Recensione Keepass2Android

Keepass2Android


ProPrivacy.com Punto
8 su 10

Sommario

Keepass2Android (K2A) è una porta aperta dell'eccellente gestore di password KeePass per Windows sulla piattaforma Android.

vantaggi

Esistono diverse porte KeePass per Android. La maggior parte di questi sono open source e possono aprire e manipolare i normali file KeePass. Uso K2A perché:

  1. Ha una migliore integrazione Android rispetto alle altre porte Keepass. O, in effetti, rispetto alla maggior parte dei prodotti pubblicitari che abbiamo esaminato.
  2. Non si basa sulla funzione degli appunti non sicuri di Android per funzionare. Entrambi questi vantaggi sono legati alla funzione tastiera personalizzata di K2A (vedi sotto).

svantaggi

Il principale svantaggio di K2A è che è disponibile solo tramite Google Play Store ed è quindi aggiornato tramite Google Play Services. Ciò significa che, in teoria, Google potrebbe inserire il codice dannoso in un aggiornamento in qualsiasi momento.

Siamo a nostro agio con il compromesso tra questo rischio e i vantaggi sopra elencati. A chiunque diffida di Google, consiglio invece di utilizzare KeePass DX o KeePass Droid.

Entrambe queste app sono disponibili da F-Droid e mitigano il problema degli Appunti con un timeout degli Appunti. Questo non è sicuro come la soluzione per tastiera K2A ma minimizza il problema.

La tastiera K2A

La maggior parte dei gestori di password Android (inclusa la maggior parte delle porte KeePass) funziona utilizzando la funzione Appunti integrata di Android. Ciò consente di copiare e incollare nomi utente e password da un database KeePass aperto all'app o alla pagina Web in cui sono necessari.

"Molte app [password] ignorano completamente il problema dello sniffing degli Appunti, il che significa che non è possibile ripulire gli Appunti dopo che sono state copiate le credenziali. [...] Abbiamo scoperto che, ad esempio, è possibile abusare delle funzioni di riempimento automatico per le applicazioni per rubare i segreti memorizzati dall'applicazione di gestione delle password utilizzando attacchi di "phishing nascosto". "

K2A risolve questo problema fornendo la propria tastiera. Questo può accedere direttamente al database KeePass e inserire nomi utente e password nei moduli senza la necessità di archiviare i dati negli Appunti di Android.

La tastiera è ottima anche per l'integrazione con Android, poiché funziona con tutte le app. Non è necessario alcun tipo di integrazione personalizzata o componente aggiuntivo del browser. Può essere installato insieme ad altre tastiere, può essere facilmente scambiato dentro e fuori con altre tastiere.

Troviamo la tastiera K2A un po 'di base per l'uso quotidiano come tastiera Android. Non prevede alcuna previsione di testo, ad esempio nessuna correzione automatica personalizzata o input di fantasia.

Tastiera Keepass

Ma questa non è necessariamente una cosa negativa. Queste funzionalità possono rappresentare un grave rischio per la privacy. La tastiera K2A, d'altra parte, è completamente autonoma e non invia informazioni a nessuno.

Tuttavia, ci sentiamo a nostro agio a sacrificare un po 'di privacy per comodità e pertanto utilizziamo solo la tastiera K2A per immettere le password. Scusa, ma sono solo pigro! Per i seriamente attenti alla privacy, tuttavia, la tastiera K2A sarebbe un ottimo driver quotidiano.

Sincronizzazione dei file KeePass nel cloud

È facile sincronizzare in modo sicuro le password tra i dispositivi utilizzando qualsiasi servizio cloud. Questo include artisti del calibro di Dropbox e Google Drive. Prima di obiettare, sono consapevole che servizi come questo sono un incubo per la privacy. Il fatto è, tuttavia, che non importa.

Ogni file .kbdx viene crittografato da te usando una crittografia solida. Per impostazione predefinita, K2A utilizza un codice AES-256 con autenticazione hash SHA-256. Questo è molto sicuro, ma sono disponibili anche opzioni più forti.

L'unico modo per accedere al file è utilizzare una password principale che dovrebbe essere nota solo a te stesso. Quindi scegline uno buono! C'è anche la possibilità di migliorare ulteriormente la sicurezza richiedendo la presenza di un file chiave (creato da te stesso) all'apertura del file .kbdx.

In altre parole, nessuno aprirà un file .kbdx adeguatamente protetto, indipendentemente dalla sua archiviazione pubblica.

I veramente paranoici, tuttavia, possono archiviare un file .kbdx localmente sui loro dispositivi Android e sincronizzarlo manualmente con i file .kdbx memorizzati su altri dispositivi utilizzando un cavo USB o simili. Se non prevedi di utilizzare le funzionalità di sincronizzazione online di K2A, puoi invece installare Installa Keepass2Android Offline solo offline.

Le password vengono sincronizzate online ogni volta che si salvano modifiche al database. Questo perché tutti i programmi KeePass su tutti i tuoi dispositivi possono accedere al file .kbdx.

Utilizzando K2A

Impostazione e apertura di un database K2A

Si noti che la politica di sicurezza di K2A non consente più di acquisire schermate di database aperti. Per illustrare come funziona KeePass2Android, ho quindi utilizzato alcuni screenshot di Google Play Store.

Installa Keepass2Android Password Safe dal Google Play Store. Gli unici privilegi richiesti sono:

  • Accesso alla scheda SD
  • Accesso a Internet (installare K2A offline se non si desidera concedere questo privilegio)
  • Vibrare

Quando apri K2A per la prima volta hai la possibilità di aprire un database KeePass esistente (file .kbdx) o crearne uno nuovo.

Keepass2android file

Se si apre un file .kbdx esistente, KeePass2Android supporta un'ampia selezione di servizi cloud popolari, oltre a varie soluzioni di self-hosting (incluso l'archiviazione locale). È sufficiente accedere al servizio / soluzione personale prescelto, se necessario, e cercare il file .kbdx memorizzato.

Collega Keepass2Android con app di terze parti

In alternativa, puoi creare un nuovo database KeePass. Per impostazione predefinita, utilizza un codice AES-265, ma è possibile modificarlo in ChaCha20 o Twofish-256. La derivazione della chiave utilizzata è AES-KDF con 500000 round di crittografia per impostazione predefinita, ma può essere modificato in Argon2 se si preferisce.

È inoltre possibile creare un file chiave per migliorare la sicurezza. Questo file deve essere presente per poter aprire il database. Questo file non deve essere archiviato online. Dovresti invece archiviarne copie localmente su qualsiasi dispositivo con cui desideri aprire il file .kbdx (o per i veramente paranoici, portane una singola copia con te su un dispositivo USB bloccato o simile).

Per ulteriori informazioni sulla creazione di un database KeePass, consultare la mia recensione completa su KeePass.

password master keepass2android

Una volta che un file .kbdx è stato individuato o creato, puoi aprirlo in due o tre modi:

  1. Sblocco password: basta inserire la password completa o la passphrase creata durante la configurazione del database.
  2. Sblocco rapido (opzionale): se un database è già stato aperto utilizzando la password / passphrase completa, può essere riaperto rapidamente utilizzando solo le ultime lettere della password / passphrase (tre per impostazione predefinita). Questo, ovviamente, non è sicuro quanto usare ogni volta la password completa. Ma è molto conveniente.
  3. Sblocco delle impronte digitali (opzionale). Se il tuo dispositivo ha uno scanner di impronte digitali, puoi usarlo per sbloccare un file .kbdx. Questo sostituisce la necessità di inserire la password completa o solo la password di sblocco rapido.

In tutti i casi, il file chiave deve essere presente se il database .kbdx ne richiede uno.

Il database

Le password possono essere organizzate in gruppi.

Screenshot del database dimostrativo di Keepass2Android

È possibile creare nuove password, ispezionare e modificare i dettagli della password.

Voce di esempio Keepass2Android

Integrazione Android

Puoi tagliare e incollare nomi utente e password dal database, ma come discusso in precedenza, questo non è molto sicuro. Il problema è mitigato da un timeout degli Appunti (predefinito 5 minuti, ma questo può essere modificato), ma è anche piuttosto ingombrante.

Dove KeePass2Android è molto più avanti rispetto ai suoi rivali, tuttavia, è nella sua integrazione Android.

Il servizio di riempimento automatico di Android

A partire da Android 8.0 Oreo, K2A può integrarsi con il nuovo servizio di riempimento automatico di Android. In teoria, questo offre automaticamente di inserire nomi utente e password ovunque tu li incontri sul tuo dispositivo, sia nel tuo browser che nelle app.

Utilizzo di Keepass2Android con riempimento automatico

In pratica, il supporto rimane un po 'irregolare in questo momento. Google Chrome, ad esempio, che offre alla propria password un gestore, rifiuta ostinatamente di giocare. La funzionalità funziona perfettamente in molte app, tuttavia, e l'ho trovata una manna dal cielo quando si accede agli account utilizzando il browser Firefox per Android.

Quando funziona (che è la maggior parte delle volte ed è particolarmente utile in Firefox), il servizio di riempimento automatico di Android rende ridicolmente semplice l'utilizzo di K2A.

Input da tastiera

Per gli utenti di dispositivi meno recenti e per quando le app non adottano il servizio di riempimento automatico di Android, il modo principale in cui K2A si integra con Android è tramite la sua tastiera. Questo viene installato insieme all'app principale e, se lo si desidera, può essere sostituito a caldo con la normale tastiera. È il modo più sicuro per inserire le credenziali ed è abbastanza conveniente. Funziona anche con qualsiasi campo password in qualsiasi app.

Sul mio telefono Samsung è facile passare da una tastiera all'altra dopo l'installazione.

Keepass2Android cambia tastiera

Per inserire nomi utente e password in qualsiasi pagina Web o app Android, selezionare l'icona KeePass speciale della tastiera. Questo fa apparire l'opzione per selezionare una voce dal tuo database KeePass o lasciare che K2A provi a cercare quella giusta per te.

Devo ammettere che trovo che la funzione di ricerca sia molto incostante, quindi di solito scelgo di selezionare una voce da solo. Se il database .kbdx non è già aperto, sarà necessario aprirlo utilizzando uno dei metodi descritti sopra.

Accesso utente Keepass2Android

Una volta trovata o selezionata la voce corretta, K2A entra nella modalità di riempimento automatico. Basta selezionare il campo di inserimento corretto e scegliere Utente o Password e la tastiera inserirà le informazioni. Facile!

Schermata di accesso a ProtonMail

È possibile tornare alla tastiera convenzionale toccando il pulsante ABC.

Integrazione del browser

Come già notato, K2A è incredibilmente facile da usare su telefoni più recenti nei browser che supportano il servizio di riempimento automatico di Android. Anche senza questo, tuttavia, funziona abbastanza bene in qualsiasi browser.

Su una pagina web con accesso, utilizza semplicemente la funzione Condividi del browser per condividere con K2A.

Integrazione del browser KeePass2Android

Sblocca il tuo database KeePass e K2A dovrebbe aver già trovato le voci corrette. Trovo che la ricerca di voci in questo modo sia più efficace dell'uso della funzione di ricerca da tastiera.

Devi ancora usare la tastiera K2A in modalità di riempimento automatico per inserire i dettagli a meno che tu non abbia il plugin KeyboardSwap per K2A installato e configurato correttamente.

Conclusione

Grazie alla sua natura open-end end-to-end, KeePass è l'unico gestore di password che consiglio vivamente *. KeePass2Android ne è un'ottima porta. È pienamente compatibile con i normali file di database KeePass 2.x, si sincronizza perfettamente su tutti i dispositivi e si integra molto meglio con Android rispetto a qualsiasi altra porta KeePass che ho stanco.

La sua dipendenza da Google Play Services è un inconveniente e sarebbe bello vedere una versione F-Droid dell'app. A mio avviso, tuttavia, questo problema è compensato dalla sicurezza aggiuntiva offerta dal metodo di input da tastiera dedicato.

* Da quando ho scritto questa recensione consiglio anche il gestore di password Bitwarden open source.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me