使用移动应用程序时Keepass有多安全？

Question

Keepass看起来非常安全，因为它是开源的，代码由许多独立的人检查。此外，保存所有密码的数据库存储在用户希望它位于的任何地方。这样可以使数据库保持离线和保密，而不是存储在公司服务器上，就像使用密码管理器(如LastPass、Dashlane、Keeper等)一样。对我来说，这是Keepass相对于商业密码管理器的主要优势。

因为我想随身携带密码，所以我觉得有必要使用移动应用程序(iOS)，它能够处理Keepass数据库。不幸的是，这些应用程序不是官方的，而是其他人的非官方端口。其中一些甚至是封闭的来源。

如果这些应用程序执行得不好，或者没有连续维护，会发生什么？当使用这样的第三方应用时，Keepass仍然安全吗?如果应用程序是封闭的，那么开源有什么好处吗？与封闭源商业密码管理器相比，还有安全优势吗？

Answer 1

任何可以访问密码安全内容的应用程序的问题是，它可能对密码做任何事情:将密码发送到服务器，以纯文本格式保存在硬盘上，删除它们，在每个条目中更改一个字符，等等。

这既适用于开源软件，也适用于封闭源代码软件，除非您正在检查执行程序所采取的特定操作。您能确定您所拥有的KeePass副本是从您可以下载的相同代码中构建的吗？

您已经决定KeePass的官方版本是可信任的，并且不会窃取您的密码。现在您必须决定是否信任非官方的移动端口，这取决于您的风险偏好。

需要考虑的事项：

• 与主Windows版本相比，潜在的用户数量减少了，从而减少了问题被发现的可能性
• 很难准确地检查在移动设备上运行的代码(即使代码可用)
• 可能增加未被注意到的出站连接的风险

但是，即使考虑到这一点，假设您选择的任何移动应用程序都不是恶意的，与云密码管理器相比，您仍然可以更好地控制主密码安全文件的保存位置。您可以始终在您的计算机上保存一个完整的保险箱，在您的移动设备上保存一个二级保险箱，其中包含一个密码子集。在这种情况下，即使应用程序被证明是恶意的，你也会有一个不受影响的高风险密码的核心，尽管它失去了密码管理器的一些便利。