¿Ha validado alguien si es seguro usar KeePass? ¿Tiene alguna puerta trasera?

Hay un documento de Paolo Gasti y Kasper Bonne Rasmussen de la Universidad de California, que analiza los formatos de almacenamiento utilizados por varios administradores de contraseñas, sí destacan algunos problemas con el formato Keepass 2.x, pero se han solucionado desde que se publicó el documento.

También se lanzó una herramienta, KeeFarce que afirmaba poder extraer contraseñas de la memoria al ejecutar Keepass instancias.

Sin embargo, no puedo encontrar ninguna evidencia de que se esté realizando un análisis de seguridad independiente contra el código. No puedo encontrar ninguna evidencia de una contra PasswordSafe, que probablemente sea el competidor más directo tampoco.

Sin embargo, en este caso, sospecho que incluso una contraseña segura con fallas locales (por ejemplo, datos en memoria recuperables) es mejor que repetir contraseñas en múltiples sitios, dados los vectores de ataque más comunes. Es raro que los atacantes que no son de estado-nación / espionaje vayan detrás de contraseñas específicas. Tienden a buscar volcados de bases de datos con muchas contraseñas diferentes, buscando datos potencialmente útiles que puedan usar para ganar valor, en forma de sitios más útiles o en bienes. Incluso un archivo de texto sin cifrar con contraseñas específicas del sitio, almacenado en su sistema local ( ¡no haga esto! ) ofrece una buena protección contra este método de ataque, en comparación con la memorización de una contraseña muy segura y el uso de por todas partes Claramente, esto no se aplicaría si la caja fuerte enviara los datos de la contraseña a un tercero, pero esto también es más fácil de verificar: ejecute la aplicación en una máquina conectada a través de un interruptor de monitoreo y vea si envía algo que no está esperando durante el uso.

Sería todo para un análisis de seguridad independiente de varios sistemas seguros de contraseña de código abierto, pero esto requiere un conocimiento especializado, y se repetirá si hay cambios importantes en cualquier parte del código base. Probablemente esto está fuera del presupuesto para cualquier desarrollador de código abierto en solitario. Hasta entonces, preferiría que las personas usen una contraseña única para cada sitio en el que inician sesión, e incluso una implementación local defectuosa es, en general, más segura.

Personalmente, no estoy calificado para revisar el código y comentarlo, sin embargo, puedo decirle que enviar un código ("paquetes") a través de la red desde una computadora no es una tarea fácil: debe proporcionar la red direccionar y superar tanto el firewall del sistema operativo como el firewall antivirus. También encontré un papel que parece Sugiero que los autores hayan analizado la implementación de este programa. Aparte de estas AUSUMPCIONES aquí está la prueba que realicé:

Instalé KeePass en una computadora de prueba que no tiene programas, excepto el sistema operativo y los controladores instalados en ella. Todos los controladores están bloqueados para obtener actualizaciones de Internet. Revisé el tráfico de la red usando los registros de mi firewall (firewall de Sophos Enterprise) y no encontré comunicación de KeePass a ninguna parte externa de la red. Además, no encontré comunicación desde mi computadora a Internet, excepto algunos procesos de host / windows.