Maar kunnen we blindelings dergelijke tools wel vertrouwen? In ieder geval heb ik hier een test gedaan en het lijkt me een redelijk ok programma.
Is 'redelijk ok' voldoende om hier al je (veel) wachtwoorden veilig in te noteren of om anderen dit programma hiervoor aan te raden? (niet relevant: persoonlijk gebruik ik KeePassX al jaren veelvuldig).
- Wat heb je getest om tot de conclusie te komen dat het 'redelijk ok' is?
- Wat moet er nog meer worden getest om het 'volledig ok' te noemen?
Volgens de
website wordt de KeePassX database altijd versleuteld met
AES (alias Rijndael) of
Twofish. Die technieken zijn
in theorie erg sterk. Echter heeft iemand je versleutelde database kan langdurig worden geprobeerd de beveiliging te kraken.
KeePassX: In contrast to KeePass, the Linux port project 'KeePassX' only partially supports protection against dictionary and guessing attacks.
Door het gebruik van AES of Twofish zal het wachtwoord raden zeer (mits een sterk wachtwoord wordt gebruikt bijna onmogelijk) lang kunnen duren. Maar is dit ooit door een onafhankelijk en ter zake kundig persoon getest? Is de encryptie (op alle ondersteunde besturingssystemen) goed geïmplementeerd of zijn er (onbewuste) achterdeurtjes of sluipwegen die het toch eenvoudiger maken dan in theorie.
Vergelijkbaar met de vraag over
TrueCrypt. Velen gebruiken TrueCrypt om bestanden of partities te versleutelen maar hoe goed deze versleuteling is, is nog niet onafhankelijk vastgesteld, zie
http://istruecryptauditedyet.com/passwordsafe is erg goed ook
Is deze tool dan wel blindelings te vertrouwen? Het is vast goed te gebruiken en aanbevolen door verschillende
sites maar deze aanbevelingen zijn vooral gebaseerd op de bruikbaarheid.
Offtopic, op de
Passwordsafe website lees ik:
Keeping written lists of passwords on scraps of paper, or in a text document on your desktop is unsafe and is easily viewed by prying eyes (both cyber-based and human).
Mogelijk begrijp ik de Engelse tekst niet goed maar als je wachtwoorden noteert op een papiertje is dat volgens mij best (heel) veilig tegen 'cyber-based' bedreigingen. Vanzelfsprekend niet tegen 'menselijke' problemen zoals meelezen of verliezen.