¿Qué tan seguro es Keepass cuando se usan aplicaciones móviles?

1

Keepass parece ser muy seguro, ya que es de código abierto y el código es examinado por muchas personas independientes. Además, la base de datos que contiene todas las contraseñas se almacena donde el usuario quiere que esté. Esto brinda la posibilidad de mantener la base de datos fuera de línea y secreta en lugar de almacenarla en los servidores de una empresa, como es el caso cuando usa administradores de contraseñas como LastPass, Dashlane, Keeper, etc. Para mí, estas son las principales ventajas de Keepass sobre los administradores de contraseñas comerciales.

Como quiero tener mis contraseñas conmigo donde quiera que vaya, siento la necesidad de usar una aplicación móvil (iOS) que sea capaz de manejar las bases de datos de Keepass. Desafortunadamente, estas aplicaciones no son oficiales, pero son puertos no oficiales de otras personas. Algunos de ellos son incluso de código cerrado.

¿Qué sucede si estas aplicaciones se implementan incorrectamente o no se mantienen continuamente? ¿Keepass sigue siendo seguro cuando utiliza aplicaciones de terceros y existe alguna ventaja de código abierto si la aplicación es de código cerrado? ¿Existe todavía una ventaja de seguridad sobre un administrador de contraseñas comercial de código cerrado?

    
pregunta David 14.02.2018 - 13:08
fuente

1 respuesta

1

El problema con cualquier aplicación que pueda acceder a los contenidos seguros de su contraseña es que podría hacer cualquier cosa con las contraseñas: enviarlas a un servidor, guardarlas en su disco duro en formato de texto sin formato, eliminarlas, cambiar un carácter en cada entrada, etc.

Esto se aplica tanto al software de código abierto como al software de código cerrado, a menos que esté examinando las acciones específicas que realiza el programa en ejecución. ¿Puede estar seguro de que la copia de KeePass que tiene se creó a partir del mismo código que puede descargar?

Has tomado la decisión de que la versión oficial de KeePass es confiable y no robará tus contraseñas. Ahora tiene que decidir si confía en los puertos móviles no oficiales en el mismo grado, lo que depende de su apetito por el riesgo.

Cosas a considerar:

  • Potencialmente menos usuarios que la versión principal de Windows, por lo que se reduce la posibilidad de que se detecten problemas
  • Dificultad de verificar exactamente qué código se está ejecutando en un dispositivo móvil (incluso si el código está disponible)
  • Riesgo potencialmente mayor de conexiones salientes que no se notan

Sin embargo, incluso teniendo en cuenta esto, suponiendo que cualquier aplicación móvil que elija no sea maliciosa, tendrá un mayor grado de control sobre el lugar donde se guarda el archivo de contraseña principal que con un administrador de contraseñas en la nube. Siempre puede mantener una caja fuerte completa en su computadora y una secundaria en su dispositivo móvil, que contiene un subconjunto de contraseñas. En ese caso, incluso si la aplicación resulta ser maliciosa, tendría un núcleo de contraseñas de alto riesgo no afectadas, aunque pierde algo de la conveniencia de un administrador de contraseñas.

    
respondido por el Matthew 14.02.2018 - 13:40
fuente

Lea otras preguntas en las etiquetas