¿Qué tan seguro es KeePassX?

12

Tengo cientos de contraseñas, ya que uso una aleatoria diferente para cada sitio web / servicio. Todos se generan y almacenan con KeePassX, que se puede sincronizar con diferentes computadoras y mi teléfono Android a través de Dropbox (o ubuntuone).

Sé que la base de datos de KeePassX es segura (al menos con una buena frase de contraseña). Pero, ¿qué pasa cuando estoy copiando la contraseña en el portapapeles (donde se almacena durante 5 segundos)? ¿Puede cualquier programa que se ejecute en el espacio de usuario acceder al portapapeles y almacenar la contraseña? Si es así, ¿qué tan grande es el riesgo de seguridad?

Uli
fuente
99
Puede que ya lo sepas, pero lo mencionaré como un problema general. Sé muy consciente de los administradores del portapapeles (por ejemplo, Parcellite) ... casi por definición mantienen un registro de lo que pasa por el portapapeles ... incluso si solo ha estado allí por <1 segundo :) ...
Peter.O

Respuestas:

9

Los programas pueden tener acceso al portapapeles, por ejemplo, puede copiar texto de una página web y pegarlo en gedit. Esto nunca debería suceder sin la interacción del usuario, a menos que KeePassX tenga una vulnerabilidad de seguridad que otro malware (muy raro en los sistemas Unix) podría usar. No use software en el que no confíe.

Si desea disminuir la probabilidad de que sus contraseñas vayan a otra persona, encripte su carpeta de inicio, intercambie y ram, use una buena contraseña de inicio de sesión, desactive la lista de nombres de usuario en el administrador de inicio de sesión (como gdm). De esa manera, la única forma posible de acceder a sus contraseñas es cuando KeePassX se está ejecutando, es decir. cuando está conectado y tiene algunos viejos programas inseguros en ejecución.

papukaija
fuente
5

Para excluir a KeepassX de agregar contraseñas al historial del portapapeles, agregue KeepassX a la lista de exclusión en

settings -> security and privacy -> files and applications

De esa forma, KeepassX no se grabará en ZeitGeist o Dash y, por ejemplo, Diodon, no agregará contraseñas a la lista del historial .

Janghou
fuente