Keepass är lösenordshanteraren för de som inte litar på moderna tekniker som synkronisering i molnet, med lösenord och andra uppgifter lagrade i ett krypterat valv och alla delar av koden öppen källkod. Det har funnits i många år och en rad andra lösenordshanterare använder också Keepass databasformat och är kompatibla med originalet.
Programmet anses allmänt vara väldigt säkert – det rekommenderas bland annat av myndigheter i Frankrike, Schweiz och Tyskland, och EU-kommissionen har låtit utvärdera säkerheten utan några anmärkningar. Nu har en säkerhetsforskare som på Github kallar sig ”vdohney” hittat en brist i Keepass som gör det relativt enkelt att komma över en användares huvudlösenord, rapporterar Bleeping Computer.
Bristen ligger i textboxarna som används i Keepass. Det innebär att någon som har tillgång till datorn fysiskt eller via fjärrstyrning kan läsa ut alla utom de två första tecknen i huvudlösenordet direkt från arbetsminnet eller från filer som lagrar minnet på disk, likt pagefile.sys eller hiberfil.sys. Att gissa sig till de två återstående tecknen tar inte många försök.
Lösning anländer i juni
Buggen är bekräftad av Keepass utvecklare Dominik Reichl, och en uppdatering som fixar den väntas vara klar i början av juni. Den får versionnummer 2.54. Eftersom buggen ligger i själva Keepass-koden och inte i databasformatet påverkas inte alternativa Keepass-klienter som Keepass XC eller Strongbox, och inte heller gamla Keepass 1.X, utan enbart Keepass 2.0–2.53.1.
Säkerhetsforskaren som hittade buggen påpekar att den som redan har tillgång till datorn förmodligen kan komma över både Keepass-lösenord och allt möjligt annat även utan den här säkerhetsbristen, men att det är möjligt att skriva ett skadeprogram som stjäl Keepass-lösenord och undviker antivirusprogram enklare än till exempel en keylogger.
