Независимый консультант по безопасности был впечатлен.
Впервые за шесть лет своего существования KeePassXC прошел полный аудит безопасности, проведенный независимым специалистом по безопасности Зауром Молотниковым.
В блоге KeePassXC кратко изложены его выводы, сделанные после изучения более 127 000 строк кода на C++: «Я проверил основные возможности KeePassXC, сосредоточившись в основном на функциях чтения и записи баз данных и использовании криптографии. Я не смог обнаружить никаких серьезных проблем. Насколько мне известно, я могу рекомендовать использование основных функций KeePassXC 2.7.4: чтение и запись файлов базы данных с конфиденциальной информацией пользователя». Хотя KeePassXC обратно совместим с более старыми форматами баз данных паролей, его обзор посвящен только последнему формату KDBX4, использующий мощное шифрование AES-256-CBC.
Редакторы также заметили постоянный недостаток в системе безопасности, вызванный отсутствием защищенных распределителей памяти. Это означает, что если база данных заблокирована, злоумышленники могут извлечь информацию о пароле из виртуальной памяти. Хотя консультант не обнаружил никаких серьезных недостатков, Молотников завершает свой аудит рекомендациями по получению наилучшей защиты с KeePassXC. Неудивительно, что эти рекомендации включают использование формата KDBX4 для хранения паролей. Он также советует использовать длинную ключевую фразу, а также изменить функцию получения ключа по умолчанию на как минимум два потока и четыре раунда преобразования. Полный текст отчета читайте на сайте: https:/tinyurl.com/keepassxcaudit.