Keepassクライアントが安全であることをどのように確認できますか？

Question

私は何年もの間ローカルで暗号化されたディスクイメージをいじっていますが、パスワードマネージャーを使用するときがきたと思います。 Keepassは私が使いたいものですが、公式プロジェクトのUIのファンではありません。

Keepassのデータベース形式をサポートしているクライアントが多数あることに気付きましたが、安全に使用できるかどうかをどのように評価できますか？クライアントへのネットワークアクセスを無効にした場合、シークレットを使用して電話をかけないことは合理的に確信できますか？

Ben · Accepted Answer

特定のKeePass実装を信頼する方法をどのようにして知っていますか？あなたが信頼する方法を知っているのと同じ方法anyソフトウェア。私にとって、これらは私が検討する要因です：

オープンソース
- 主要なポートはすべて開いています。
- おそらく、ソースのないランダムなWindowsストアアプリを避けてください。
第三者による監査
- 私の知る限り、公式バージョンのみがこれを持っています。私は間違っている可能性があります。
アクティブ、透過的、開発
- 公式バージョンは開発が活発ですが、かなり不透明です。
- KeePassXは、私が正しく理解していれば、あまりアクティブではなくなりました。
- AndroidおよびiOSアプリのいくつかは放棄されているようです。
- KeePassXCとKeeWebはどちらもアクティブで透過的です。
アクティブなコミュニティ
- コンピューター上のすべての大きなものにこれがあると思います。
- スマートフォンアプリ：言うのは難しい。
場所：あなたがどこにあるかに応じて、ソフトウェアが主にドイツ対ロシア対アメリカ合衆国で開発されているかどうかを知ることは、あなたの信頼に違いをもたらすかもしれません。
- KeePass自体はドイツで開発されました
- 他のことは知りません。 Android使用したアプリとブラウザ拡張機能を調べましたが、覚えていません。
開発者：それは1人だけ（危険にさらされる可能性がある）、コミュニティ（必要に応じて他のメンバーを監視できる）、または会社（他の人から責任を問われる可能性がある）ですか？
- 正直なところ、この分野ではKeePassXCの方が優れていると思います。
- 公式のKeePassのメンテナーは1人だけです。KeeWebもそうだと思います。
- すべてのスマートフォンアプリのメンテナーは1人だけだと思います。
人気：侵害が誰かに気づかれ、技術ニュースで報告される可能性はどのくらいありますか？
- KeePass自体は間違いなく注目され、報告されます。
- KeePassXCは、コミュニティプロジェクトであるという理由で、私の意見でもまともなチャンスです。
- KeeWebについてはわかりません。私の知る限り、それははるかに少ない使用を見ています。
- スマートフォンアプリの場合、特に定期的にKeePassフォーラムで言及されているものは非常に人気がありますが、おそらく技術ニュースサイトで注目される可能性は低くなります。

safesploit · Answer

公式プロジェクトのUIのファンではない

私はここに共感できます。 [〜＃〜] g [〜＃〜]nu[〜＃〜] pg [〜＃〜] は、サードパーティのグラフィカルユーザーインターフェイスが使用される例です。しかし、それらが安全かどうかはわかりません。

このシナリオでは、オープンソースソフトウェアを使用できます。ただし、残念なことに、自分でコードを確認してから、そのコードを使用する必要があります。ほとんどの開発者は、自分でコンパイルできるWebサイトまたはGitHub経由でソースコードを提供します。

クライアントへのネットワークアクセスを無効にした場合、シークレットを使用して電話をかけないことは合理的に確信できますか？

プログラムのクライアントがインターネットにアクセスできない「フォンホーム」を試みていると仮定します。したがって、ネットワークアクセスを無効にしたままにすると永久に、情報を「自宅」に報告できないことを保証できます。

上記の説明は、そのプログラムがネットワークにアクセスするのをブロックするように聞こえましたが、これは実行可能な代替手段の1つです。もう1つは、仮想マシン（安全性が低い）または物理マシン（安全性が最も高い）を使用してエアギャップを設定することです。