MiniKeePass Alternative

[Testa2014]

Moin,

heute hat sich bei mir MiniKeePass aktualisiert. Leider taucht nach dem Start eine Meldung auf das die App eingestellt wird. Im Repo gibt es dazu bereits einen langen Beitrag, das die App nicht mal mehr gelistet ist.

auf der Suche nach einer Alternative bin ich über https://github.com/keeweb/keeweb gestolpert. Nutzt das jemand? Laut Seite sind die Daten alle lokal gespeichert.
dann gibts noch AuthPass, wie es scheint sind die noch in der Beta.

wo seid ihr hingewechselt?

 

[puri]

KyPass (iOS) kostet zwar etwas, speichert lokal oder auf Cloud oder per WebDav..

 

[xammu]

Ich hab vorn meinem Umstieg auf Android https://keepassium.com/ verwendet.

 

[Tinu_CH]

Wie wäre es mit KeePass Touch?

 

[BeBur]

auf der Suche nach einer Alternative bin ich über https://github.com/keeweb/keeweb gestolpert. Nutzt das jemand?

Zugriff über den Web-Browser möglich, d.h. es läuft ein Web-Server im Hintergrund -> gruselig.
Baut auf Electron auf, das bekannt dafür ist, unsicher zu sein -> gruselig
Quasi nur ein einzelner Entwickler -> nicht so toll

Der Software würde ich persönlich nicht meine Passwörter anvertrauen.

 

[Testa2014]

KyPass

SSH in einem Passwortmanager? Dazu ist die App 6x so groß, die App soll weiterhin nur Passwörter verwalten.

https://keepassium.com/

Jährliche Zahlung? Da ist doch sicherlich Werbung enthalten.

KeePass Touch

Schau ich mir mal an, Danke

Zugriff über den Web-Browser möglich, d.h. es läuft ein Web-Server im Hintergrund -> gruselig.

Scheint eine PWA zu sein ohne Netzwerkverkehr. Habe der App im Flugmodus gestartet und eine Test DB gegeben ... wird alles angezeigt. Wenn es danach geht ist das hier so beliebte LastPass der Teufel höchstpersönlich.

 

[xammu]

Jährliche Zahlung? Da ist doch sicherlich Werbung enthalten.

Kann ich mich nicht dran erinnern, aber was hindert dich daran. Sich das selbst anzuschauen. Die Grundversion ist ja kostenlos.

 

[puri]

SSH in einem Passwortmanager? Dazu ist die App 6x so groß, die App soll weiterhin nur Passwörter verwalten.

Da habe ich mir keine Gedanken gemacht, ich habe das Teil seit etlichen Jahren und es funktioniert 100%, ist meines Wissens aus Europa und war mir damals lieber, als MiniKeePass, das war mir nicht ganz geheuer (Datenabfluss..).

 

[engine]

Ich finde es wieder mal eine Unverschämtheit und unverantwortlich von den Entwicklern, sich aus der Verantwortung zu ziehen.
MiniKeePass ist ziemlich brauchbar.

Lapidar:
Neuheiten Version 1.7.3
MiniKeePass is being retired.
Follow instructions within the app to export your existing data.

Wenn die Entwickler außer den Bewertungen sonst keine Beachtung oder Zuneigung für Ihre Arbeit bekommen, hätten sie auch Geld dafür nehmen können, was andere "anständige" Entwickler tun, zurecht oder nicht.
Aber so einfach davon schleichen und den Benutzer mit der Suchen nach einer Alternativen zurücklassen ist widerlich.

 

[BeBur]

"Toll das ich das kostenfrei nutzen durfte, schade dass sie es nicht mehr weiter pflegen"
oh sorry, falsche Realität.
"Diese Arschlöcher"
Der Code steht unter GPL-3 kann also von jedem verwendet und kommerziell genutzt werden. Hat sich vermutlich schlicht nicht gelohnt, erst recht nicht wenn du sowieso schon einen Job hast.

Ich persönlich finde ein paar verstörende Einzelinfos in den Issues für MiniKeePass:
Password generation flawed: Link
Sicherheitsfeature kann umgangen werden. Und wo wird das DB Passwort gespeichert wenn nicht in der iOS keychain??? Link

 

[engine]

Ich schaue mir erst mal die empfohlenen (https://stadt-bremerhaven.de/keepassium-keepass-fuer-ios/) Alternativen an:
KeePassium
KeePass Touch

 

[BalthasarBux]

Da ist ein Entwickler (oder mehrere), die etwas in ihrer Freizeit kostenlos anbieten, und wenn sie merken, dass sie dafür keine Zeit mehr haben (oder nicht so viel Energie reinstecken können wie sie müssten), dann ist das also "widerlich" und eine "Unverschämtheit"?

Man stelle sich den Aufschrei vor, sie wären von "gratis" auf "Abomodell" umgestiegen.
Bezeichnenderweise sind die zwei Vorzeige-Apps Keepassium und Strongbox im Einmalkauf 50€ bzw. 65€ teuer. Sichere Apps programmieren sich leider nicht so nebenher.

 

[Testa2014]

Zugriff über den Web-Browser möglich, d.h. es läuft ein Web-Server im Hintergrund -> gruselig.

Passwörter werden nach dem Kopieren bis zum nächsten Kopieren gespeichert. Fällt also raus. Auf dem Server landet nichts.

Ich persönlich finde ein paar verstörende Einzelinfos in den Issues für MiniKeePass:
Password generation flawed: Link
Sicherheitsfeature kann umgangen werden. Und wo wird das DB Passwort gespeichert wenn nicht in der iOS keychain??? Link

Jetzt erklär mir Bitte wie ich das bei den App Alternativen herausfinden kann, also das diese sicher sind?
Bei Mini Keepass hat mich damals OpenSource und mehrere Unterstützer zum runterladen bewegt.

Das ein Anbieter ein paar € haben möchte stellt kein Problem dar. Nur möchte ich für so etwas keine jährlichen Beiträge zahlen.

 

[BeBur]

Passwörter werden nach dem Kopieren bis zum nächsten Kopieren gespeichert. Fällt also raus. Auf dem Server landet nichts.

Wie meinst du das genau?
Mit Web-Server meine ich einen lokal auf dem Gerät laufenden Web-Server, der die lokalen Anfragen beantwortet. So verstehe ich es jedenfalls.

Jetzt erklär mir Bitte wie ich das bei den App Alternativen herausfinden kann, also das diese sicher sind?
Bei Mini Keepass hat mich damals OpenSource und mehrere Unterstützer zum runterladen bewegt.

Ich schaue mir das jeweilige Git Repo an. Unter "Insights" kann man sehen, wie oft es Commits gab, wer Code beigesteuert hat u.ä.. Unter "Issues" kann man aktuelle und frühere Probleme sehen. Als Label kann man 'security' wählen. Da kann man dann so sehen, was es für sicherheitsrelevante Probleme/Verbesserungen gab. Irgendeine KeePass Software hatte mal fälschlich secret credentials in Klartext gespeichert gehabt... so eine Software würde ich persönlich auch nicht einsetzen wenn das korrigiert wurde.

Sowas hier Link ist genau so fahrlässig, allerdings sagt der Autor, dass die konkrete Umsetzung bei ihm dennoch sicher ist. Leider kann ich das nicht beurteilen, das kann schon sein, dass das kein Problem war.
Hier ist noch so ein Issue. Das klingt relativ dramatisch um ehrlich zu sein.

 

[Testa2014]

Wie meinst du das genau?

Wenn ich ein Passwort kopiere wird es bei Keepass nach x Sekunden aus der Zwischenablage gelöscht. In der Weblösung nicht. Keine Ahnung ob man das auch anders lösen könnte.

Mit Web-Server meine ich einen lokal auf dem Gerät laufenden Web-Server, der die lokalen Anfragen beantwortet. So verstehe ich es jedenfalls.

Wenn mich mein Wissen nicht ganz trügt (und ich dem Autor oben vertraue) baut Electron auf node.js auf. Was wiederum lokal im Browser laufen kann. Korrigiert mich gerne wenn ich falsch liege. Das ist nicht meine Domäne.

Ich schaue mir das jeweilige Git Repo an. Unter "Insights" kann man sehen, wie oft es Commits gab, wer Code beigesteuert hat u.ä.. Unter "Issues" kann man aktuelle und frühere Probleme sehen. Als Label kann man 'security' wählen. Da kann man dann so sehen, was es für sicherheitsrelevante Probleme/Verbesserungen gab.

Ja, das kenne ich. Dann hast du aber immer noch das Problem das du nicht weißt ob die App wirklich sicher ist und welche im AppStore liegt. Habe z.B. keinen Mac um das selber kompilieren zu können

 

[engine]

balthasarbildet?
Jepp widerlich, eine Abhängigkeit erzeugen und dann verschwinden, wenns schwierig wird, einfach widerlich.
Und ja, 30-50€ hätte ich einmalig gezahlt und dazu eine freiwillige Spende jählich.

 

[BalthasarBux]

Welche Abhängigkeit denn? Gibt ja genügend Alternativen, die mit kdbx umgehen können und dort darfst du ja auch zahlen.

 

[BeBur]

Wenn mich mein Wissen nicht ganz trügt (und ich dem Autor oben vertraue) baut Electron auf node.js auf. Was wiederum lokal im Browser laufen kann. Korrigiert mich gerne wenn ich falsch liege. Das ist nicht meine Domäne.

node.js ist zwar Javascript, aber es läuft nicht im Browser, sondern ist Server-Dienst der im Hintergrund auf dem Gerät läuft und auf Anfragen von Browsern horcht.

Ja, das kenne ich. Dann hast du aber immer noch das Problem das du nicht weißt ob die App wirklich sicher ist und welche im AppStore liegt. Habe z.B. keinen Mac um das selber kompilieren zu können

Ja, absolut. Das Problem ist noch nicht einmal unbedingt, dass der Autor absichtlich was unterschiebt, was natürlich auch sein kann, sondern das jemand seinen Account 'hackt'. Oder den einer der etlichen Abhängigkeiten. Solche Dinge passieren besonders gerne im node.js bzw. npm Ökosystem:

Interessanter Artikel: 52% of All JavaScript npm Packages Could Have Been Hacked via Weak Credentials
Anderer Artikel mit kleiner aber feiner Liste von Zwischenfällen wo malware in Form von Paketen angeboten oder eingeschleust wurde: Link
Kik / left-pad desaster hätte ich fast vergessen: Link. Ein Fazit daraus: Im npm Ökosystem bzw. auch node.js werden auch für kleine Programmieraufgaben fremdpakete geladen. Das war nur ein Beispiel, berühmt sind auch funkionen wie "is-odd" oder "is-even" Link

Sprich, wenn du dir ein einzelnes node.js Projekt ziehst, dann ziehst du dir Code von vermutlich 100 weiteren Projekten von unbekannten. Mit allen Implikationen.
Das gilt generell, nicht speziell für node.js / npm. Meine Wahrnehmung ist jedoch, dass es hier besonders oft Probleme gibt.


PS.: Sorry, dass das jetzt so ausschweifend war.

 

[paxtn]

Also alternativ zu Keepassium kann ich noch Enpass empfehlen. Klar, das ist ein eigenständiges System und arbeitet nicht mit kdbx, aber ich bevorzuge dies im Vergleich zu Keepassium.
Enpass liefert mehr Möglichkeiten und vor allem bei iOS funktioniert das Autofill besser als bei Keepassium.

 

[engine]

Enpass ist nicht open source.
Ich bin bei Keepassium hängen geblieben, definitiv.