¿Es seguro el administrador de contraseñas Passbolt contra el acceso de raíz, por ejemplo? Si instalo Passbolt en un VPS, ¿se puede considerar seguro o podría el host del VPS acceder a las contraseñas almacenadas en él?
Revelación completa: soy uno de los desarrolladores de passbolt.
Si un atacante tiene acceso de root al servidor, puede inyectar javascript adicional para intentar realizar diferentes tipos de ataque. Por lo que sabemos, no es posible crear un JavaScript que permita a un atacante obtener acceso a la clave privada del usuario final y / o la frase de contraseña. Si logra crear esto, póngase en contacto con nosotros en [email protected].
Dicho esto, es posible que el atacante infrinja lo siguiente: - Confidencialidad: el atacante puede crear / editar un usuario para engañar a otro usuario para que comparta la contraseña con el atacante. Esto podría mitigarse en el futuro mediante el uso de firmas de claves (por ejemplo, el administrador que firma todas las claves de los usuarios). - Disponibilidad: acceso de raíz significa, obviamente, que todas las contraseñas se pueden eliminar o manipular. - Integridad: idem.
Lea otras preguntas en las etiquetas password-management