ComputerBase Menü
Aktuelles

Schwachstelle in Keepass

Bei mir wird mit jedem Windows LogIn KeePass im Hintergrund entsperrt, damit Kee (Firefox) darauf Zugriff hat. Autologin für Websites.
Jetzt überlege ich 2 Dateien zu erstellen. 1x für Websites und 1x für die wirklich wichtigen Dinge. Wobei diese Dinge eh 2FA geschützt sind.
Schwieriges Thema
KeepassXC (von dieser Sicherheitslücke nicht betroffen) hat mir überhaupt nicht gefallen, da es nicht so elegant mit Websites umgehen kann wie Kee/Keepass. Ständige Fragen nach Eingabe des PW nerven eben.
 
Zuletzt bearbeitet:
Klar, du kannst die beiden Datenbanken mittels Trigger sogar gleichzeitig laden beim Start von Keepass. Dann werden die Datenbanken in Tabs angezeigt. Funktioniert gut. Ich glaub, das Trigger-System ist Alleinstellungsmerkmal von Keepass 2? Bin nicht sicher, ob XC das auch hat.
Bei mir wird Keepass mit Windows gestartet, aber gesperrt. Sobald ich mich irgendwo einloggen will (Autotype), muss ich die Datenbank entsperren. Ich hätte gern, dass die Datenbank nach erfolgreichem Autotype wieder gesperrt wird. Aber das hab ich noch nicht hinbekommen. Man kann diese halt automatisch sperren lassen nach einer gewissen Zeit der Inaktivität. Oder man sperrt diese, wenn Keepass in den Hintergrund geht (nur noch Symbol in Systray).
 
Top! Die Lösung des Problems war auch recht einfach. Zuviel Komfort bringt halt auch Probleme mit sich ;)
Neue Version ist schon in Gebrauch :)
 
Super, habe zwar keinen Aluhut, aber so fühlt es sich besser an :)
 
Habs auch grad mal getestet. Wenn man die Datenbank exportieren will, muss man sein Login eingeben. Der Eintrag in den Richtlinien, der sowas ohne Passwort erlaubt, wurde gestrichen.
Man kann ja auch die Datenbank ausdrucken... aber ich denk da aktuell nicht weiter drüber nach ;)
 
Ich habe KeePass soeben auf die Version 2.53.1 geupdatet (portable) und bekam eine Meldung vom Windows Defender dass die App blockiert wurde. Beim 2. Versuch das Gleiche.

Habe es dann trotzdem ausgeführt.

Hat jemand ähnliche Erfahrungen?
 
Oli_P schrieb:
So álà: Hey, ich muss mal aufs Klo! Bin gleich zurück. Du gehst aus dem Büro und vergisst deine Datenbank und deinen Rechner zu sperren.
Zum Vergrößern anklicken....
Je nach IT Abteilung gibts dafür (hoffentlich) dann so auf die Finger, das das nicht mehr vergessen wird. Ist halt das gleiche Problem wie überall, größte Schwachstelle ist der User. Und wenn es schon an selbstverständlichem scheitert, wie das der Rechner gesperrt wird wenn man weg geht, dann hilft das auch nix da groß Mauern drum zu bauen. Wenn das bei uns im Büro gemacht wird bekommst du erstmal ein möglichst seltsames Hintergrundbild verpasst und beim nächsten mal darfst du dann für die Kollegen essen holen :hammer_alt:
 
Ich bin nicht in der IT tätig. Du siehst das schon richtig, grösster Schwachpunkt ist immer der User. Und es gibt einige unbedarfte User, die von PC-Sicherheit überhaupt keine Ahnung haben; aber trotzdem mit PCs arbeiten müssen :) Aber die Macher von Keepass haben ja nun eine kleine Änderung im Programm gemacht, damit ein Risiko weniger existiert.
 
Auf ein neues :)

https://www.heise.de/news/Passwortm...rscher-liest-Master-Passwort-aus-9059945.html
Ergänzung ()

Wegen diesem Problem stellte ich mir die Frage, ob ich nicht eh dagegen abgesichert bin, weil ich auch immer ein Keyfile nutze? Aber andererseits, wenn jemand solche Rechte auf meinem Rechner hätte, dann käme dieser vielleicht auch so an das Keyfile? Ich hab die Keyfiles immer auf einem USB-Stick. Will ich mich in Keepass einloggen, dann muss der USB-Stick im Rechner stecken.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: PC295
Naja, so ein Angriff würde mir keine schlaflosen Nächte bereiten. Und wer Zugriff auf Auslagerungsdatei/Hibernate-Datei hat, der kann sich vermutlich auch Zugriff auf die Keyfile beschaffen. Und angenommen es wäre Malware auf dem System, die Eingaben aufzeichnet, die könnte auch die Keyfile gleich mitabgreifen usw...

Statt Keyfile würde ich eher darüber nachdenken etwas wie einen YubiKey zu verwenden - wenn das möglich ist.
 
Ja an YubiKeys hab ich auch schonmal gedacht. Mich hat aber immer gestört, dass die Software nicht frei ist. Es gibt auch solche Keys mit freier Software, aber ich glaub nur der YubiKey ist wirklich kompatibel mit Keepass. Deswegen hantier ich noch mit Keyfiles.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Keepass Masterpasswort
Antworten
1
Aufrufe
2.101
martinallnet
M
M
KeePass: the key transformation settings of the database are weak
Antworten
5
Aufrufe
8.369
xNeo92x
xNeo92x
G
KeePass Schlüsseldatei wo ablegen, Konzept ohne Yubi-Key?
2
Antworten
31
Aufrufe
4.972
Geeky26
G
A
Keepass Passwortdatenbank mit Google Drive synchronisieren
2 3
Antworten
41
Aufrufe
6.859
AlfRein
A
B
Netzwerkzugriff auf Serverordner
Antworten
6
Aufrufe
675
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz