L’aggiornamento del gestore password KeePass migliora la sicurezza

Dominik Reichl, lo sviluppatore principale del gestore di password KeePass, ha rilasciato al pubblico KeePass 2.54. La nuova versione dell’applicazione migliora la sicurezza in molti modi significativi e affronta i potenziali vettori di attacco delle versioni precedenti del programma.

Gli utenti KeePass nuovi ed esistenti trovano il download di KeePass 2.54 sul sito ufficiale. Il programma di installazione aggiornerà automaticamente le installazioni del gestore delle password.

Gli utenti di KeePass che hanno utilizzato le sostituzioni degli URL potrebbero volerne fare uno screenshot o annotarli, poiché saranno disabilitati nella nuova versione, a meno che non siano memorizzati nel file di configurazione applicato.

Dai un’occhiata alla mia guida su come migliorare la sicurezza di KeePass .

KeePass 2.54 le modifiche

gestore di password keepass 2.54

La nuova versione del gestore delle password migliora notevolmente la funzionalità di esportazione. A febbraio, il team federale di emergenza informatica belga ha rilasciato un avviso in merito alla funzionalità di esportazione.

Ha rivelato che chiunque abbia accesso al file di configurazione di KeePass potrebbe esportare l’intero database delle password senza la conferma dell’utente.

Reichl ha rilasciato KeePass 2.53.1 per risolvere il problema aggiungendo una richiesta di password principale alle esportazioni di dati.

KeePass 2.54 migliora ulteriormente la sicurezza dell’esportazione. Le esportazioni richiedono ora il flag del criterio dell’applicazione “esporta” “nella maggior parte delle finestre di dialogo dei report” e la password principale. Anche il design delle finestre di dialogo di conferma dell’esportazione è cambiato. Il tradizionale pulsante “ok” è stato sostituito con un pulsante “Conferma esportazione” per rendere più chiara l’azione e i banner hanno un nuovo colore di sfondo.

Le password e altri dati sensibili ora sono nascosti dietro asterischi nelle finestre di dialogo dei report. C’è un nuovo pulsante nella barra degli strumenti per attivare o disattivare l’occultamento delle informazioni.

Un altro importante cambiamento inserisce diverse importanti opzioni di configurazione nel file di configurazione applicato del programma. Le opzioni di configurazione del file hanno la priorità sulle modifiche apportate ai file di configurazione globale o locale dell’applicazione.

La funzione è progettata principalmente per gli amministratori di sistema che desiderano applicare determinate impostazioni, ma può anche essere utilizzata per proteggersi dalla manipolazione da parte di terzi.

configurazione forzata

Reichl osserva che i trigger, le sostituzioni URL globali, i profili del generatore di password “e alcune altre impostazioni” sono archiviati nel file di configurazione applicato in KeePass 2.54. Questo può avere alcune conseguenze:

  • I trigger possono essere utilizzati per automatizzare determinate attività in KeePass. Il sistema di trigger viene disattivato se i trigger non sono già stati salvati nel file di configurazione nelle versioni precedenti. Gli utenti devono selezionare Strumenti > Trigger e selezionare l’opzione “abilita sistema di trigger” per iniziare a usarli.
  • Le sostituzioni URL globali sono disabilitate in KeePass, a meno che non siano memorizzate nella configurazione applicata. Questi possono essere abilitati in Strumenti > Opzioni > Integrazione > Sostituzioni URL.
  • Profili del generatore di password. Anche questi sono ora memorizzati nella configurazione forzata. Per continuare ad usarli, seleziona Strumenti > Genera Password > Pulsante Scudo, apporta le modifiche e attiva il pulsante Salva.

Le informazioni per gli utenti portatili e gli utenti che hanno già utilizzato un file di configurazione forzato sono disponibili sul sito Web ufficiale .

Il problema di sicurezza segnalato il mese scorso è stato risolto nel rilascio. Le terze parti con accesso ai dump della memoria potrebbero ripristinare tutto tranne il primo carattere della password principale di KeePass, il che rende banale l’identificazione della password. L’aggiornamento a KeePass 2.54 risolve la questione.