Nachgereicht: KeepassXC hat unabhängen Sicherheits-Audit bestanden

Ein Audit stand schon lange auf der Wunschliste des Projekts. Nun wurde dieser Wunsch vom unabhängigen Sicherheitsforscher Zaur Molotnikov erfüllt.

Insgesamt bietet Zaur einen detaillierten Überblick über die KeePassXC-Anwendung und die ihr zugrunde liegende Codebasis. Er gibt auch mehrere Empfehlungen für Benutzer, um ihre eigene Sicherheit bei der Verwendung von KeePassXC zu verbessern.

🗨 KeePassXC

Allerdings gibt das Team zu bedenken, dass ein Audit keine hundertprozentige Sicherheit bietet, besonders vor dem Hintergrund, dass es sich um eine Momentaufnahme handelt und sich der Code jederzeit ändern kann.

Auszüge aus dem Bericht:

KeePassXC bietet ausreichenden kryptografischen Schutz (Vertraulichkeit, Integrität und Authentizität) für die vertraulichen Informationen, die der Benutzer in der Datenbank speichert, vorausgesetzt, dass der Benutzer eine starke Authentifizierungsmethode wählt, z. B. eine starke Passphrase und eine vertrauliche Zufallsschlüsseldatei, und dass der Benutzer KeePassXC mit seinem neuesten sicheren Dateiformat verwenden wird.

    KeePassXC ist gut geschrieben und übt die defensive Kodierung ausreichend aus. Die Speicherfreigabe könnte jedoch verbessert werden, damit keine Geheimnisse mehr enthalten sind, nachdem die Datenbank gesperrt wurde.

    Ich habe die Kernfunktionen von KeePassXC überprüft und mich dabei hauptsächlich auf die Lese- und Schreibfunktionen der Datenbank und die Verwendung von Kryptographie konzentriert. Ich konnte keine größeren Probleme entdecken. Nach bestem Wissen und Gewissen und unter Ausschluss jeglicher Gewährleistung und/oder Haftung kann ich die Verwendung der Kernfunktionen von KeePassXC 2.7.4 ab Dezember 2022 empfehlen: Lesen und Schreiben der Datenbankdateien mit vertraulichen Benutzerinformationen.

🗨 Zaur Molotnikov

Quelle: https://keepassxc.org/blog/2023-04-15-audit-report/