Question Est-il sécuritaire de garder la fenêtre Keepass ouverte lorsque vous ne l'utilisez pas?


J'ai lu sur le site Web de Keepass que Keepass garde le mot de passe crypté en mémoire.

Alors, est-il sûr de garder la fenêtre Keypass ouverte?


4
2018-03-30 14:06


origine


À moins que quelqu'un puisse argumenter pour cette raison Plus précisément devrait être fermé comme pas constructif, je vais supposer qu'il pourrait être répondu avec un fait indiscutable. - oKtosiTe
Je ne pense pas que ce soit une bonne idée. (À 2016), il existe quelques programmes comme KeeThief qui peuvent s’attacher à KeePass et voler vos mots de passe sourceforge.net/p/keepass/discussion/329220/thread/32cc71ec - Hoàng Long


Réponses:


Pourquoi ne lisez-vous pas le manuel Keepass et décidez vous-même?

Protection de la mémoire de processus

Pendant que KeePass est en cours d'exécution, des données sensibles (comme le hachage du maître   les mots de passe des clés et des entrées) sont stockés sous forme cryptée dans la mémoire du processus.

Cela signifie que même si vous souhaitez transférer la mémoire de processus KeePass   disque, vous ne pouviez pas trouver les mots de passe.

Par exemple, lorsque vous copiez un mot de passe dans le presse-papiers, KeePass   décrypte d'abord le champ du mot de passe, le copie dans le presse-papier et   le recrypte immédiatement en utilisant la clé aléatoire.

En outre, KeePass efface toutes les mémoires critiques pour la sécurité   n'est plus nécessaire, c'est-à-dire qu'il écrase ces zones de mémoire avant   les libérer (ceci s'applique à toute la mémoire de sécurité critique, pas seulement   les champs de mot de passe).

KeePass ≥ 1.15 et 2.x utilisent le Windows DPAPI pour le chiffrement en mémoire   les données sensibles. Avec DPAPI, la clé du chiffrement en mémoire est   stocké dans une zone de mémoire sécurisée et non échangeable gérée par Windows. Si   DPAPI n'est pas disponible ou désactivé (options avancées de KeePass, par   par défaut avec DPAPI est activé), KeePass utilise le cryptage ARC4   algorithme avec une clé aléatoire Notez que cela est moins sécurisé que DPAPI,   principalement pas parce que ARC4 n'est pas cryptographiquement fort, mais   parce que la clé pour le cryptage en mémoire est également stockée dans swappable   mémoire de processus.


5
2018-03-30 16:04





Eh bien, si vous tenez à protéger vos mots de passe suffisamment pour que vous utilisiez un mot de passe, je ne le recommanderais pas. La sécurité est seulement aussi bonne que son lien le plus faible. Sauf si vous êtes déconnecté et dans un lieu non public, je ne le recommanderais pas.


2
2018-03-30 14:14



Et le maillon le plus faible ici est? - TFM
Garder le programme en place. - Griffin
Wow, c'était limpide. - TFM
@TFM Je sais que c'est un peu tard (3 ans) mais je pense que je parlais de tâches automatisées plus faciles à réaliser. Un exemple rapide de mon exemple serait une tâche automatisée pour copier le mot de passe dans le presse-papiers, le coller dans un fichier texte et l'envoyer à quelqu'un. Bien sûr, la machine doit être compromise en premier lieu, mais le seul inconvénient que je vois pour la fermer est l'inconvénient. - Griffin


Cela dépend si quelqu'un a accès à votre ordinateur. Certes, si vous verrouillez votre ordinateur lorsque vous n'êtes pas là, je ne vois pas de problème.


2
2018-03-30 14:23