KeePass安全本地恶意软件

Question

感染本地计算机的恶意软件会以任何方式危害本地存储的KeePass数据库吗？

如果是的话，如果KeePass无法抵抗这种情况，那么它拥有如此强大的安全机制又有什么意义呢？如果您将DB保存在本地，这种情况不是存在的主要威胁吗？

Answer 1

当你的电脑被破坏时，几乎所有的防御都应该被认为是被破坏的。安全威胁模型认为这是一个超出范围的场景--除非有少数例外(例如，您的软件的目的就是作为最后一道防线)。

也就是说，在本地存储密码数据库的密码管理器(如KeePass)在某种程度上抵制了一种妥协--使用强大的措施加密数据库。如果您按预期配置它(例如，使用强主密码+不存储在本地的密钥文件)，它将抵抗蛮力和字典攻击。如果您只使用自动类型功能，它甚至会拒绝从剪贴板捕获密码。剪贴板曝光也可以限制在单一用途和短短几秒钟内。

但是，它无法抵抗键盘记录器，因为这是KeePass之外的一个环境问题。环境是给KeePass的--而不是它能控制的东西。键盘记录器可以在键入主密码时捕获它，并调用home来报告它--以及KDB / KDBX文件和任何相关的密钥文件。

我不指望每一个软件都能抵抗每一个可能的攻击(有点像寻找一种灵丹妙药)。我认为密码管理器--特别是KeePass / KeePassX --非常适合他们所做的工作。

Answer 2

是的--例如，如果恶意软件包含一个键盘记录器，它可以在输入主密码时简单地读取它。防止这种情况的唯一真正方法是让KeePass成为唯一运行在经过验证的安全计算机上的软件(例如，没有硬件键盘记录器，没有VM等)。这在一定程度上违背了拥有密码的目的。

然而，当您打开一个基于云的数据库时，相同的恶意软件也可以读取它的主密码。它不特定于本地数据库文件。事实上，如果你安装了一个不可靠的浏览器扩展并通过一个网站查看你的密码，它可以看到你在浏览器中输入的内容，但(很可能)不是你在任何其他程序中输入的内容。

如果您使用的系统上有恶意软件，假设它可以做任何您可以做的事情--如果您可以读取一个文件，那么恶意软件也可以。如果你能联系到一个特定的服务器，那么恶意软件也可以。如果你可以禁用你的AV软件，那么恶意软件也可以。为了做到这一点，它可能需要从您那里获得详细信息(例如密码)，但关键是避免将其放到系统上，而不是试图确保每一个软件都检测到它的存在。

Answer 3

值得一提的是，KeePass内部有一些设置可以帮助限制恶意软件(和您)可以做什么。例如，这允许您通过插入几个击键来防止恶意软件简单地导出整个数据库。

这不是一个故障安全，但它给你更多的缓冲，当你被感染时，当你真正意识到你已经被感染。

(截图来自KeePass 2.36)