Publication
FORENSIC ANALYSIS OF PASSWORD MANAGERS
| datacite.subject.fos | Engenharia e Tecnologia::Outras Engenharias e Tecnologias | |
| dc.contributor.advisor | Frade, Miguel Monteiro de Sousa | |
| dc.contributor.advisor | Domingues, Patrício Rodrigues | |
| dc.contributor.advisor | Negrão, Miguel Cerdeira Marreiros | |
| dc.contributor.author | Campos, Miguel Filipe Cunha | |
| dc.date.accessioned | 2025-11-19T12:02:05Z | |
| dc.date.available | 2025-11-19T12:02:05Z | |
| dc.date.issued | 2025-10-14 | |
| dc.description.abstract | A utilização crescente de gestores de palavras-passe como o Bitwarden e o KeePassXC levanta preocupações sobre a sua segurança e os vestígios digitais que podem deixar, particularmente em contextos de investigação forense. Este trabalho propõe uma análise forense detalhada destas duas aplicações populares de gestão de palavraspasse, com o objetivo de avaliar o tipo e a quantidade de informação sensível recuperável após a sua utilização. A metodologia envolveu a criação de ambientes de teste controlados em máquinas virtuais (Windows e Linux), simulando cenários reais de uso. Foram usadas diversas ferramentas forenses (System Informer, HxD, Hashcat e John the Ripper) para análises ao sistema de ficheiros, memória volátil, extensões de navegador e hashes de palavras-passe. Adicionalmente, foi realizada uma análise do código-fonte e da arquitetura das aplicações, focando nos algoritmos de derivação de chaves (KDF), como o PBKDF2 e o Argon2. Os resultados revelam que, apesar da encriptação robusta, vestígios como palavraspasse mestre, parâmetros de configuração, dados de autenticação e até fragmentos de palavras-passe podem permanecer acessíveis em ficheiros locais ou memória volátil, dependendo da aplicação e do sistema operativo. O Bitwarden, por ser baseado na nuvem, mostrou maior suscetibilidade a deixar artifactos em extensões de navegador, enquanto o KeePassXC, com armazenamento local, apresentou riscos associados à memória volátil e à extração de dados do seu ficheiro de base de dados. Verificou-se ainda que, em certos cenários, é possível extrair e tentar quebrar hashes das palavras-passe, embora a eficácia varie conforme o algoritmo de derivação utilizado. Esta investigação contribui para a compreensão dos riscos forenses associados aos gestores de palavras-passe, oferecendo recomendações para investigadores forenses e programadores, visando a redução da pegada digital destas aplicações. | por |
| dc.description.abstract | The increasing use of password managers like Bitwarden and KeePassXC raises concerns about their security and the digital forensic traces they might leave, particularly in forensic investigation contexts. This work proposes a detailed forensic analysis of these two popular password management applications, aiming to assess the type and quantity of sensitive information recoverable after their use. The methodology involved creating controlled test environments in virtual machines (Windows and Linux), simulating real-world usage scenarios. Various forensic tools (System Informer, HxD, Hashcat, and John the Ripper) were employed for analyses of the file system, volatile memory, browser extensions, and password hashes. Additionally, an analysis of the applications’ source code and architecture was performed, focusing on key derivation algorithms (KDFs) such as PBKDF2 and Argon2. The results reveal that, despite robust encryption, traces like master passwords, configuration parameters, authentication data, and even fragments of passwords can remain accessible in local files or volatile memory, depending on the application and operating system. Bitwarden, being cloud-based, showed greater susceptibility to leaving artifacts in browser extensions, while KeePassXC, with local storage, presented risks associated with volatile memory and data extraction from its database file. It was also found that, in certain scenarios, it’s possible to extract and attempt to crack password hashes, although efficacy varies according to the key derivation algorithm used. This investigation contributes to understanding the forensic risks associated with password managers, offering recommendations for both forensic investigators and developers, aiming to reduce the digital footprint of these applications. | eng |
| dc.identifier.tid | 204052459 | |
| dc.identifier.uri | http://hdl.handle.net/10400.8/14672 | |
| dc.language.iso | eng | |
| dc.rights.uri | http://creativecommons.org/licenses/by/4.0/ | |
| dc.subject | Bitwarden | |
| dc.subject | KeePassXC | |
| dc.subject | Cibersegurança | |
| dc.subject | Investigação forense | |
| dc.subject | Gestor de palavras-passe | |
| dc.subject | Pegada digital | |
| dc.title | FORENSIC ANALYSIS OF PASSWORD MANAGERS | |
| dc.type | master thesis | |
| dspace.entity.type | Publication |