Quantcast
PplWare Mobile

KeePass 2 para guardar passwords? Atenção que está vulnerável

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Dass says:

    Mas pelos vistos… deve afetar apenas em windows não? E linux? Alguém sabe?

    • daiquiri says:

      linux não porque os updates em principio vêm pelo teu package manager (apt, aptitude, yum, dnf, pacman, etc)

    • Diogo says:

      Porque assumes que acontece apenas em Windows?
      Isto tem a ver com comunicação entre dois pontos por não existir ligação segura. É um protocolo de rede e não uma “feature” de sistema.

      • Xinuo says:

        No GNU/Linux, dependendo da distribuição, as atualizações de programas são realizadas pelos gerenciadores de programas/pacotes, tipo: yum, apt-get, dnf, etc. No Windows, quem não pertence ao sistema, atualiza por si só, como é o caso do keepass. No GNU/Linux, mesmo que a comunicação com o repositório da distro não seja criptografada, os pacotes tẽm assinatura, então mesmo que sejam substituídos por versões com malware, o SO detectará que o app não é original, barrando o ataque.

    • merc says:

      se instalares via package managers da distro nao tens problemas.

  2. Thefura says:

    Penso que está na altura de trocar de software ou então continuar com o que ando a fazer, adiar a actualização…

  3. daiquiri says:

    Mais uma não notica que vem tarde pela demora?

    Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. This solution is more secure than just using HTTPS, because it guarantees version information safety even when the webserver is compromised (the private key for signing the version information is not stored on the webserver).

  4. belinhas says:

    saquem do site oficial!

  5. ZarkBit says:

    xiii, jesus, que pandemónio, tenham lá calma com os cavalos, para começar o KeePass não necessita de ter uma ligação à internet para funcionar, portanto sempre podem bloquear a sua ligação, deste modo acabam por bloquear também o aviso de update (atenção que o Keepass 2 não faz actualizações automáticas), caso queiram continuar com uma ligação e caso recebam uma notificação de update, é simples, vaiam ao site official e saquem de lá, não utilizem o link disponibilizado na janela de notificação.

  6. Paulo Oliveira says:

    O keepass 2 é para windows, o keepass X é para linux.

  7. alopes says:

    Simples de resolver:
    -desligar o computador da internet.
    – guardar as pass num ficheiro exel (protegido por pass)
    – gravar numa pen
    – imprimir em papel
    – retirar a pen e guardar até nova utilização/atualização

  8. Hugo says:

    Há alguma alternativa viável na qual se consiga manter o tipo de ficheiro da base de dados?

  9. Jão Machado says:

    Usar HTTPS não ia resolver nada, se um servidor intermédio interceptar o pedido HTTPS pode fazer-se passar pelo destinatário e passar a usar o seu próprio certificado como se fosse um destinatário legítimo. É assim que funciona a Great Firewall of China. 1º – Cliente chinês envia pedido a site cifrado com protocolo HTTPS. 2º – GFWoC intercepta o pedido e envia um criado por si ao servidor externo à China. 3º – Servidor externo troca chaves usadas para cifrar o tráfego com GFWoC. 4º – GFWoC troca chaves com o cliente chinês que fez o pedido inicial, fazendo-se passar pelo site externo. A partir daqui todos os pedidos que o cliente chinês fizer são todos feitos atravez da GFWoC. Desta forma esta consegue ver toda a informação que é trocada entre utilizadores chineses e servidores estrangeiros.

    • José P. says:

      Como é que o servidor intermédio se faz passar pelo destinatário se o programa tem o certificado embutido que foi assinado com a private key do autor do KeePass? acho que tens de ir investigar isso melhor…

  10. Az8teiro says:

    Old, já tem mais de um ano, e o estudo apresentado pelo orador afirmava que mais de 90% dos programas com actualizações automáticas em windows têm este problema. Https ajuda em certos casos, mas não tem todos. Na altura lembro-me que a adobe tinha um sistema de actualizações seguro. Quase tudo o resto era possível fazer ataques man-in-the-middle ás actualizações de qualquer programa…

    Anyway guardar passwords em programas… Lol.

    • Telmo M. says:

      “Anyway guardar passwords em programas… Lol.”
      O que é que sugeres então? Há muita gente inocente/involuntariamente naive que não sabe melhor, como eu.
      Isto para não andar com um papel atrás.

  11. censo says:

    Mas quem é que confia em aplicações de terceiros para guardar passwords ??? Depois ainda falam de invasões de privacidade.

  12. Manuel says:

    Descarrego sempre a versão portable. Nunca utilizo a funcionalidade de update da aplicação. Não instalo no sistema, a aplicação e o ficheiro estão numa pasta cifrada:-) o importante aqui é que não é a segurança da encriptação que está em causa. Era importante explicarem isso aos leitores

  13. tugatech says:

    O autor já corrigiu este problema e a partir da versão Keepass 2.34 a informação sobe a nova versão disponível passou a ser assinada digitalmente com chave RSA-2048 and SHA-512 e a ser transmitida via https:
    http://keepass.info/help/kb/sec_issues.html#updsig

  14. says:

    Mas no site para download ainda está a 2.33!!!

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.