PplWare Mobile

Se usa o Keepass é melhor ter muito cuidado! Falha grave que revela a password mestra

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. NotFUD says:

    Sempre que o keepass está em execução com o cofre aberto, é possível recuperar a chave. Independentemente desta vulnerabilidade ou não…

    • ZarkBit says:

      Mesmo depois de fechado ou locked é possível recuperar através desta falha.

    • Sandro says:

      É só experts aqui, mas nenhum se lembra de correr numa VM sem ligação a Internet?

      Tantas opções, tantas maneiras de tornar-lo ainda mais seguro.

      Admira-me. Mas prontos. Nada que uma VM sem ligação e autorun desligados não ajude.

  2. Manuel says:

    Uso o KeepassXC que não tem esse problema.

  3. Nhecos says:

    É daquelas vulnerabilidades que já implica acesso acesso ao sistema com permissões suficientes para correr a prompt. Isto significa que para além do Keepass talvez hajam problemas maiores com que se preocupar…

  4. PeterUprise says:

    Convém assinalar que uma das maneiras de protecção do chaveiro no keepass, é utilização de palavra chave composta (master password + keyfile). Assim, mesmo com acesso à palavra passe mestra, é necessário o key file para conseguir aceder ao chaveiro! Algum report de esta vulnerabilidade também poder afectar esta método de autenticação?

    • Sandro says:

      Se tens alguma duvida contacta-lhes. Essa falha vai ser corrigida no próximo update de certeza.

      Agora é preciso avisar a fonte de que existe a vulnerabilidade e colocar essas questões não?

  5. halnaweb says:

    Também uso o keepass embora recentemente passei para o keepass XC, visualmente parece-me mais evoluído e já não é preciso gravar a entrada ou alteração. Também sofre do mesmo problema? Vou estar atento ao site deles.

  6. Zeca says:

    ainda há quem defenda estes gestores de passwords…

    • Sandro says:

      O Keepass continua a ser muito mais seguro que 90% das apps e software de gestão de passwords online.

      Se usares o Keepass num VM ou num pc sem ligação a internet o que poderão fazer? Well só se tiveres um ladrão dentro de casa…

      E há chave mestra. Keepass continua seguro

  7. Sandro says:

    Continua seguro em uma VM completamente offline e com Firewall a bloquear todas as ligações.

    Continuem a usar, continua seguro.
    Enquanto a vulnerabilidade é reportar. Em breve é corrigida.

    Keepass forever.

  8. Figas says:

    Se os pagos já sofrem com problemas, os gratuitos não iriam ser o milagre da tecnologia.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.