web-dev-qa-db-ja.com

KeePassXはどれくらい安全ですか?

ウェブサイト/サービスごとに異なるランダムなパスワードを使用しているため、数百のパスワードを持っています。これらはすべて、KeePassXで生成および保存されます。KeePassXは、ドロップボックス(またはubuntuone)を介して別のコンピューターとAndroid電話に同期できます。

私は、KeePassXのデータベースが安全であることを知っています(少なくとも良いパスフレーズがあれば)。しかし、パスワードをクリップボード(5秒間保存される場所)にコピーする場合はどうでしょうか。ユーザー空間で実行されているプログラムは、クリップボードにアクセスしてパスワードを保存できますか?もしそうなら、これはどのくらいのセキュリティリスクですか?

passwordkeepass
11
Uli

プログラムはクリップボードにアクセスできます。たとえば、Webページからテキストをコピーして、geditに貼り付けることができます。これは、KeePassXに別のマルウェア(Unixシステムでは非常にまれ)が使用できるセキュリティの脆弱性がない限り、ユーザーの操作なしでは発生しません。信頼できないソフトウェアを使用しないでください。

パスワードが他人に送られる可能性を減らしたい場合、ホームフォルダーを暗号化し、スワップとRAMを使用し、適切なログインパスワードを使用し、ログインマネージャーでユーザー名リストを無効にします(gdmなど)。そのようにして、パスワードにアクセスできる唯一の方法は、KeePassXが実行されているときです。ログインして、古い安全でないプログラムを実行しているとき。

8
papukaija

KeepassXをクリップボード履歴へのパスワードの追加から除外するには、KeepassXを除外リストに追加します

settings -> security and privacy -> files and applications

そうすれば、KeepassXはZeitGeistやDashに記録されず、たとえばDiodonは パスワードを履歴リストに追加しない になります。

4
Janghou