Hay un documento de Paolo Gasti y Kasper Bonne Rasmussen de la Universidad de California, que analiza los formatos de almacenamiento utilizados por varios administradores de contraseñas, sí destacan algunos problemas con el formato Keepass 2.x, pero se han solucionado desde que se publicó el documento.
También se lanzó una herramienta, KeeFarce que afirmaba poder extraer contraseñas de la memoria al ejecutar Keepass instancias.
Sin embargo, no puedo encontrar ninguna evidencia de que se esté realizando un análisis de seguridad independiente contra el código. No puedo encontrar ninguna evidencia de una contra PasswordSafe, que probablemente sea el competidor más directo tampoco.
Sin embargo, en este caso, sospecho que incluso una contraseña segura con fallas locales (por ejemplo, datos en memoria recuperables) es mejor que repetir contraseñas en múltiples sitios, dados los vectores de ataque más comunes. Es raro que los atacantes que no son de estado-nación / espionaje vayan detrás de contraseñas específicas. Tienden a buscar volcados de bases de datos con muchas contraseñas diferentes, buscando datos potencialmente útiles que puedan usar para ganar valor, en forma de sitios más útiles o en bienes. Incluso un archivo de texto sin cifrar con contraseñas específicas del sitio, almacenado en su sistema local ( ¡no haga esto! ) ofrece una buena protección contra este método de ataque, en comparación con la memorización de una contraseña muy segura y el uso de por todas partes Claramente, esto no se aplicaría si la caja fuerte enviara los datos de la contraseña a un tercero, pero esto también es más fácil de verificar: ejecute la aplicación en una máquina conectada a través de un interruptor de monitoreo y vea si envía algo que no está esperando durante el uso.
Sería todo para un análisis de seguridad independiente de varios sistemas seguros de contraseña de código abierto, pero esto requiere un conocimiento especializado, y se repetirá si hay cambios importantes en cualquier parte del código base. Probablemente esto está fuera del presupuesto para cualquier desarrollador de código abierto en solitario. Hasta entonces, preferiría que las personas usen una contraseña única para cada sitio en el que inician sesión, e incluso una implementación local defectuosa es, en general, más segura.