В июле 2016 года мы сообщали, что популярный менеджер паролей KeePass пройдет аудит безопасности в рамках программы мониторинга открытого программного обеспечения EU-FOSSA при поддержке Еврокомиссии.
Полезные ссылки
EU-FOSSA - пилотный проект предназначен для повышения уровня доверия к программам с открытым исходным кодом за счет анализа безопасности таких приложений.
В рамках проекта был создан перечень программ с открытым исходным кодом, которыми пользуются члены Европейской Комиссии, были опубликованы исследования безопасности 14 открытых сообществ и был проведен аудит безопасности двух популярных приложений.
KeePass - менеджер паролей для Windows и Linux, который использует локальную базу данных для хранения паролей.
Программа поставляется с большим списком возможностей, которые можно расширить еще сильнее с помощью плагинов. Пользователь может активировать глобальные горячие клавиши и улучшить меры безопасности KeePass в настройках приложения.
Аудит безопасности KeePass
Команда специалистов по информационной безопасности провела тщательный анализ кода KeePass 1.31, но не актуальной версии KeePass 2.34. Хотя в отчетах KeePass 2.34 не упоминается, логично предположить, что продукт проявил бы себя при аудите также, как и предшественник.
KeePass 1.x - ранняя версия менеджера паролей, лишенная многих функций KeePass 2.x . Для ее работы не требуется Microsoft .NET. KeePass 1.x не поддерживает привязку KeePass к учетной записи Windows и одноразовые пароли. Подробная таблица сравнения доступна по ссылке.
Эксперты провели анализ 84622 строк исходного кода и не нашли критических уязвимостей и проблем с высоким риском безопасности. Тем не менее, было выявлено пять проблем со средним риском, три проблемы с низким риском и 6 небольших ошибок в информационных целях.
“Критические и опасные уязвимости с высоким риском не были обнаружены. Среди найденных проблем - 5 ошибок со средним риском и 3 ошибки с низким риском. Оставшиеся 6 ошибок носят информационный характер.”
Обнаруженные исследователями проблемы представлены в подробном отчете, который можно загрузить на сайте проекта EU-FOSSA. Там же можно ознакомиться с результатами аудита безопасности сервера Apache.
Заключение
KeePass - качественный и безопасный менеджер паролей для Windows. Результаты аудита исходного кода подтверждают эти качества продукта, ведь критические уязвимости в программе не обнаружены.
По материалам gHacks
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России