离开Keepass总是在电脑上打开安全吗？

Question

在同一天，我经常需要从Keepass获得几个密码，我发现自己不得不每次打开它并输入主密码，这是非常辛苦的。解决这个问题的明显办法是让它永久开放，但它安全吗？

(我知道我可以“锁定”它，但每次都要输入主密码，所以不是很满意的选项)

Answer 1

如果您的计算机不受未经授权的访问，是安全的。这包括恶意软件。

如果你的电脑在身体上不安全，那么任何人都可以访问你的Keepass。如果您的计算机上有恶意软件，它也可以访问您的Keepass如果它是未加密的。

Answer 2

当你打开它的时候，它和电脑一样安全，特别是当你没有自动锁的时候。

它易受攻击:物理访问，恶意软件，基本上任何可以访问您的计算机。如果你能阻止那些不那么普遍的，S是安全的，但如果你不能，我不会冒险。

Answer 3

假设你的设备上有恶意软件试图扫描你的敏感数据的主内存，不幸的是答案是否定的。

Keepass提供了一些防范这一威胁。诚然，它尽力保护你的密码(但不是你的用户名等等)。记忆中：

当KeePass运行时，敏感数据以加密方式存储在进程内存中。这意味着即使要将KeePass进程内存转储到磁盘，也无法找到任何敏感数据。出于性能原因，进程内存保护只适用于敏感数据；这里的敏感数据包括例如主密钥和输入密码，但不包括用户名、注释和文件附件。请注意，这与数据库文件的加密无关；在数据库文件中，所有数据(包括用户名等)被加密了。此外，当不再需要时，KeePass会擦除所有安全关键内存(如果可能的话)，即它在释放这些内存区域之前覆盖它们。对于某些操作，KeePass必须在进程内存中以非加密方式使敏感数据可用。例如，为了在Windows提供的标准列表视图控件中显示密码，KeePass必须以未加密字符串的形式提供单元格内容(密码)(除非启用星号隐藏)。导致进程内存中未加密数据的操作包括但不限于:在标准控件中显示数据(不是星号)、搜索数据、替换占位符(在自动类型、拖放、复制到剪贴板、.)、导入/导出文件(KDBX除外)和加载/保存未加密文件。Windows和.NET可以复制KeePass无法擦除的数据(在进程内存中)。

一个在Reddit上链接的2019年学习 (使用KeePass 2.40)演示了如何将密码保存在未加密的内存中。这只适用于在打开会话中与您交互的密码，而不适用于主密码。显然，在锁定或未锁定状态下，这个问题的安全性没有差别。(显然，锁定状态仍然阻止人们使用您的Keepass文件，如果您将设备不上锁且无人值守。)他们的结论是：

终端用户应一如既往地采用安全最佳实践来限制对敌对活动的暴露，例如：(.)

• 在不使用密码管理器时，即使在锁定状态下也完全关闭密码管理器(如果使用的密码管理器在处于锁定的运行状态时不能正确地清除机密)

然而，只有当你的设备上有恶意软件时，才会有威胁。所以，也可能是恶意软件

• 在你打开Keepass的几秒钟内偷取你的敏感数据。
• 是键盘记录器。虽然Keepass 提供一些防键盘记录器的保护。，但我不确定它是否适用于主密码。如果没有，您仍然可以使用一个额外的主密钥文件来缓解这个问题。

因此，问题仍然是，有多少额外的安全性，习惯总是关闭(不仅仅是锁定！)尽快在实践中提供真正的服务。

作为在安全性和便利性之间进行权衡的一个想法，您可以使用两个Keepass文件:一个尽快关闭，用于超敏感数据，如电子邮件登录、银行登录、加密资产密钥等；另一个则长期开放，用于较不敏感的数据，如留言板登录等等。

免责声明:我不是一个安全专家，只是一个专业的软件开发人员。