KeePass no tiene vulnerabilidades críticas o de alta importancia [Auditoria]

El pasado mes de junio se hizo público que KeePass, el popular administrador de contraseñas de código abierto, se iba a someter a una completa auditoría de seguridad con el fin de demostrar que se trata de una solución totalmente segura, fiable y libre de vulnerabilidades o puertas traseras. El organismo responsable de llevar a cabo esta auditoría es la Comisión Europea, EU-FOSSA.

Este organismo ha llevado a cabo la auditoría para KeePass 1.31, no para la actual versión 2.34, aunque al compartir la mayor parte del código entre las dos versiones sería comprensible que el resultado fuese prácticamente el mismo. La rama 1.x de este administrador de contraseñas se caracteriza por no depender de las librerías .Net Framework de Microsoft, aunque, por ello, carece de varias opciones.

Tal como podemos ver en el reporte final [PDF], esta auditoría ha analizado una a una las 84.622 líneas de código del programa y, tras ello, ha asegurado que el programa no esconde puertas traseñas ni cuenta con ningún tipo de vulnerabilidad crítica o de alta importancia que pueda suponer un riesgo para las contraseñas que se almacenan en la plataforma. Sin embargo, este programa no es perfecto, sino que esconde 5 vulnerabilidades de importancia media y 3 de importancia baja que, aunque como decimos no supone un peligro, deberían solucionarse en breve.

Dos de las vulnerabilidades medias, que podían ser las más importantes, se deben principalmente a que el generador de números aleatorios de KeePass en realidad genera números pseudo-aleatorios al hacer uso de la función rand() y std::rand() en lugar de utilizar otras funciones o APIs con algoritmos de seguridad que generen números realmente aleatorios. Por lo demás, el resto de fallos son principalmente de diseño y control del código, pero no suponen ningún riesgo para los datos de los usuarios.

Como podemos ver, KeePass es una de las mejores alternativas que podemos utilizar para almacenar nuestras contraseñas de forma segura y fiable ya que, a diferencia de otras herramientas privativas como LastPass, que no podemos demostrar que sea realmente segura, sino que tenemos que fiarnos de lo que diga la compañía, esta sí lo es, y además certificado por la Unión Europea.

Fuente: RedesZone