Habár még áprilisi hír, érdemes megemlíteni, hogy a KeepassXC jelszókezelő alkalmazáson külső biztonsági auditot hajtottak végre, ami pozitív eredménnyel zárult.
Zaur Molotnikov független biztonsági szakértő a KeePassXC jelszókezelő alapvető funkcióin végzett vizsgálatot, elsősorban az adatbázis-olvasási és -írási funkciókra, valamint a kriptográfia használatára összpontosítva. A vizsgálat alapjául a program 2.7.4-es verziója szolgált.
Molotnikov saját elmondása szerint az auditot ingyenesen, saját indíttatásból végezte, mert úgy találta az open source jelszókezelő piacon kevés biztonsági vizsgálati eredmény érhető el, így nehézséget jelentett számára egy-egy konkrét szoftvert ajánlása. A vizsgálati jelentést a CISSP ISC2 etikai elvek figyelembevételével állította össze.
A vizsgálat főbb megállapításai
- A KeePassXC megfelelő kriptográfiai védelmet biztosít az adatbázisban tárolt bizalmas felhasználói információkhoz a biztonsági kritériumok (bizalmasság, sértetlenség és elérhetőség) tekintetében, feltéve, hogy a felhasználó erős hitelesítési módot ─ pl. egy erős jelmondatot és egy bizalmas véletlenszerű kulcsfájlt ─ választ, valamint, hogy a felhasználó a KeePassXC-t a legújabb biztonságos fájlformátumát használja.
- A KeePassXC kódja megfelelő minőségű és kellő mértékben alkalmaz biztonságos kódolási gyakorlatokat. Mindazonáltal a memóriafelszabadítás javítandó, annak érdekében, hogy az adatbázis zárolása után se tartalmazzon érzékeny adatokat.
- A kutató komolyabb problémát nem fedezett fel. Legjobb tudomása szerint ─ garanciát és/vagy felelősséget nem vállalva ─, 2022 decemberétől tudja ajánlani a KeePassXC 2.7.4 alapvető funkcióinak használatát: a bizalmas felhasználói információkat tartalmazó adatbázis fájlok olvasását és rögzítését.
A biztonsági auditok ─ az ún. hibavadász (bug bounty) programokkal egyetemben ─ segítségével képet kaphatunk egy szoftver általános biztonsági színvonaláról, azonban fontos leszögezni, hogy egy jó vizsgálati eredmény sem jelenti azt, hogy a szoftver garantáltan nem tartalmaz sérülékenységet.
Molotnikov azt is jelezte, hogy a vizsgálat nem a teljes kódbázison zajlott, időbeli korlátok miatt több funkciót sem érintett (mint például a TOTP, SSH agent, böngésző bővítmény vagy például az automata kitöltés), azonban nem zárja ki annak lehetőségét, hogy ezeket egy következő vizsgálat során végezze el.
A teljes vizsgálati jelentés itt érhető el.
