News Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar

[Xport]

Eek hap Ankst ... so ein Käse, Leute.

Ich komme ohne das Ding (KeePass 2) nicht mehr durch den Tag, hatte Auto-Update noch nie an - bei *keiner* Software auf meinen Kisten übrigens, sogar diesem Windows gestatte ich lediglich, mich zu benachrichtigen - und werde wegen diesem aufgeblasenen HTTPS-Frosch jetzt nicht den Anbieter wechseln. Schon gar nicht zu irgendwas Proprietärem, bezahlpflichtigem oder Cloud-basiertem schwenken, ja geht's noch?

Der Dominik wird's indes schon richten, manchmal will gut Ding aber einfach mal Weile haben.

 

[Blutschlumpf]

Scheint nicht viel los zu sein wenns für dieses "Sicherheitsproblem" (in meinen Augen ist es keins) ne News gibt.

 

[NoXPhasma]

Ver- und entschlüsselt wird nur lokal (kann auch nur, da nur dort das Master Passwort eingegeben wird), auf den Servern liegen nur die verschlüsselten Container. Und insofern in der Implementierung kein Bug vorhanden ist und ein sicheres Passwort verwendet wird, kann der Container auch bei der NSA als Backup liegen.

Das trifft aber nur zu wenn das Programm keine Hintertür/Masterkey hat. Da es Closed Source ist, wirst du das auch nie erfahren und musst so dem Hersteller vertrauen. Das gilt im übrigen für alle Closed Source Password Manager, weswegen solche Lösungen für mich absolut nicht in Frage kommen.

 

[MorgotH88]

Hmm irgendwie ist mir die Überschrift des Artikels zu reißerisch. Ich dachte es gibt jetzt wirklich ein Problem bei der Sicherheit von KeePass. Das es Potentiell möglich ist, dass man nicht wirklich das Downloaded, was man haben will, sollte einem klar sein und um sicher zu gehen kann man die checksums überprüfen. Hat n bisschen was von Clickbait.

 

[slawa.dev]

Irgendwie hat noch immer niemand (@CB?) erklärt, was der Updatecheck jetzt mit Werbeeinnahmen zu tun hat?

Der Typ, der den Exploit gefunden hat, wollte wohl dass der Entwickler nur SSL für keepass.info erlaubt. Dort wird die Textdatei für Autoupdate gehostet. Für SSL gibt es weniger Werbung und ist komplizierter umzusetzen ohne dass der Browser Warnungen ausspuckt (unsichere Inhalte, etc.). Das hat der Entwickler erstmal abgelehnt, da er auf den großteil der Werbeeinnahmen von der Webseite nicht verzichten will.
Der Entwickler könnte aber so wie bei Computerbase beim Login, https nur für sicherheitsrelevante Teile der Webseite benutzen uns sonst auf http umleiten.

Ich persönlich sehe das nicht als Problem an. Autoupdate ist bei vielen Programmen schlecht abgesichert und wird hier immer deaktiviert. Ich aktualisiere meine Software selber aus sicheren Quellen, wenn möglich mit Checksum.

 

[fuyuhasugu]

Häkchen raus bei "Bei KeePass-Start nach Update suchen"

Das Suchen nach Updates ist doch absolut keine Problem und sollte sogar an bleiben. Sonst nutzen die Leute einfach veraltete und tatsächlich potentiell unsichere Versionen weiter. Denn selbst wenn sich jemand als MIM dazwischen setzt und eine höhere Version vorgaukelt, müsste man anschließend erst eine falsche URL öffnen, um von dort tatsächlich ein Schadprogramm herunterzuladen. Schadprogramme von fake-URLs zu laden geht jedoch immer, auch ohne die angebliche "Lücke" in KeePass.

Wenn ein Update angezeigt wird, kann man einfach auf den Link unten links klicken, der da heißt "KeePass Website" und von dort dann das Update runterladen. Ein Link in den Bookmarks, um die Webseite zu öffnen, tut es natürlich genauso. Der Download selbst findet dann von Sourceforge statt und ist https-gesichert. Dieser Hinweis hätte so auch von Ferdinand Thommes kommen können, seine anderen Artikel sind ja auch besser recherchiert und kommentiert. Dann würde im Forum auch nicht das Abschalten des Update-Checks für sicherheitsrelevante Software vorgeschlagen werden.

 

[e-Funktion]

Kündigt sich damit das Sommerloch bei CB an? Da gibt's schlimmeres. Auto-Update aus und gut. So viele updates kommen da nicht, dass das wichtig wäre.
Und wo ist da Werbung auf der Seite? Ich seh trotz deaktiviertem Adblocker nix.

Ich nutze seit Jahren Mateso Password Safe kostet zwar etwas Geld jedoch ist der auch relativ sicher.

Woran machst du das fest?

ich würde dem Freak ne Email schreiben das er sich dann sein Programm sonstwo hinstecken kann..und tschüss

Recht sinnfreie Aussage.

 

[Xpect]

Pfff, ganz ehrlich. Wegen einem Update, das man nciht ausführen braucht und für das man immernoch erstmal auf die Betreiberwebsite wechseln muss von der man dann auf Sourceforge weitergeleitet wird ist doch lächerlich.

Genau wie der Typ hier im Topic mit "KeeFox Datensammelwut". Ganz ehrlich, würden da tatsächlich Userdaten, die umfangreicher sind als "Welches OS nutzt du mit welcher Browserversion und wie gut läuft unsere Anwendung?" weitergeleitet werden, hätte das LÄNGST jemand mitbekommen. Gerade auch in der Firefoxcommunity. Es wird auch bei KeeFox nciht mehr weitergeleitet als JEDE verdammte Website heutzutage haben will (klar, solche Minimalseiten wie Fefes Blog mal außen vor gelassen). Sogar weniger, denn afaik prüfen Websites heutzutage mittels Trackern auch, von wo man kommt, wo man hingeht etc. Zumindest und gerade Websites die Werbung zeigen, z.B. CB, Hardwareluxx, PCGH etc.

Naja, ich bleib zufrieden mit meinem KeePass, läuft sogar via Mono unter Linux, was will ich mehr? Datenbank wird zwischen Windows und Linuxsystem geshared, alles easy bei mir. Und dass der Entwickler Werbeeinnahmen nciht verlieren will, sei ihm meiner Meinung nach ABSOLUT gegönnt.

 

[nille02]

Der Typ, der den Exploit gefunden hat,

Es gibt ja nicht mal einen Exploit. Da hat jemand drauf geschaut und gesehen, dass keine Verschlüsselte Verbindung genutzt wird. Daraufhin wurde das Fass auf gemacht.

Ich persönlich sehe das nicht als Problem an. Autoupdate ist bei vielen Programmen schlecht abgesichert und wird hier immer deaktiviert.

Oft ist es ja nicht mal ein Update sondern nur eine Benachrichtigung. Der Hintergrund liegt meist in Werbung.

Genau wie der Typ hier im Topic mit "KeeFox Datensammelwut". Ganz ehrlich, würden da tatsächlich Userdaten, die umfangreicher sind als "Welches OS nutzt du mit welcher Browserversion und wie gut läuft unsere Anwendung?" weitergeleitet werden, hätte das LÄNGST jemand mitbekommen. Gerade auch in der Firefoxcommunity. Es wird auch bei KeeFox nciht mehr weitergeleitet als JEDE verdammte Website heutzutage haben will (klar, solche Minimalseiten wie Fefes Blog mal außen vor gelassen).

KeeFox greift schon etwas mehr ab. Aber selbst das was sie Abgreifen sind Usage Daten über das Plugin selbst. Welche FUnktionen benutzt man und wie erreicht man sie etc.

Vor einigen Jahren gab es mal einen Messnager (War der alte Google Talk meine ich), dort wurde auch ein Fass aufgemacht wegen solchen Daten aber diese sind letztlich nötig für eine Verbesserung der Anwendung.
Ich weiß, es wird oft über die "neuen" oder "Modernen" GUIs gelästert die aus solchen Daten entstanden sind.

 

[kar82]

Ich nutze seit Jahren KeePassX unter ArchLinux und KeePassDroid unter Android. Die Datenbank synchronisiere ich über Dropbox und habe sie zusätzlich noch per EncFS verschlüsselt. Die Key-File habe ich aber nur lokal auf meinem Rechner und meinem Smartphone.

So habe ich eine 3-fache Sicherheitsbarriere, die mir aber selber auch schon das ein oder andere mal Schwierigkeiten bereitet hat, weil man sich halt 2 (logischerweise) unterschiedliche Passwörter merken muss. Den Speicherort der Key-File lasse ich aber gespeichert, d.h. ich wähle nicht jedes mal die Key-File wieder neu aus wenn ich in KeePassX/-Driod meine Datenbank öffne.

Damit fühle ich mich sehr sicher, aber ich frage mich immer öfter ob das nicht übertriebene Sicherheit ist und ich die EncFS Verschlüsselung nicht einfach wieder "entferne". Mal schauen, was ich in Zukunft machen werde.

Nichts desto trotz, gucke ich auch gerne mal über den Tellerrand und bin auch proprietären Programmen nicht generell abgeneigt, sofern sie kein Sicherheitsaspekt haben. Letzteres trifft natürlich auf Enpass zu, aber dennoch teste ich es jetzt seit einer ganzen weile und bin echt begeistert. Auch die Integration in den Browser (nutze hauptsächlich Vivaldi und gelegentlich Firefox) finde ich äußerst praktisch. Wenn Enpass OpenSource wäre, würde ich sofort wechseln, aber da es ClosedSource ist, ist mir dennoch irgendwie unwohl bei dem Gedanken, meine Passwörter einem solchen Programm anzuvertrauen. Sie nutzen zwar eine OpenSource Verschlüsselung, aber "theoretisch" ist nicht auszuschließen, dass sie dennoch einen Masterkey besitzen. Es ist ja nicht nachprüfbar.

Auf der anderen Seite würden sich die Entwickler solcher ClosedSource Programme selbst in den Allerwertesten schneiden, wenn so etwas rauskäme und sie wirklich Masterkeys besitzen. Der Shitstorm wäre gewaltig, weswegen ich schon davon ausgehe, dass Enpass, 1Password, LastPass usw. keine Masterkey besitzen. Das können die sich gar nicht erlauben. Aber dennoch wäre es in der Theorie denkbar und deswegen vertraue ich dennoch lieber auf OpenSource bei Sicherheitstools. Aber es reicht ja auch schon eine Sicherheitslücke, die von den Entwicklern bewusst nicht geschlossen wird bzw. erst geschlossen wird wenn irgendjemand (durch Zufall) darauf stößt. Die Entwickler könnten dann ja überrascht tun und sie schließen bzw. sie "scheinbar" schließen. Das alles ist aber leider nicht überprüfbar, weil es eben ClosedSource ist und deswegen klingt es für manchen vielleicht auch wie eine Verschwörungstheorie eine Aluhutträgers.

Angestachelt durch Enpass und deren Browser-Integration bin ich auf KeePassHTTP gestoßen (kannte es vor wenigen Tagen noch nicht) und finde es auch sehr gut. Es gibt einen KeePassX fork der das integriert und KeePassX 2.0.2 (aktuelle Version) nebenbei gleich auf Qt5 migriert hat. Die originale KeePassX 2.0.2 Version ist nach wie vor auf Qt4.

==> https://github.com/droidmonkey/keepassx_http

 

[Klassikfan]

Ich bin bei LastPass und bin zufrieden...

Ob das so vernünftig ist?

http://www.zeit.de/digital/datenschutz/2015-06/lastpass-passwortmanager-hack-sicherheit

Und an jene, die hier Werbung für 1Password machen die Bitte, die Kosten dafür nicht unerwähnt zu lassen: 65 Dollar sind nicht wenig Geld. Und dnan sind meiens Wissens noch nicht mal alle Features frei. Die gibts nur beim 5-Dollar/Monat-Abo. Das sind dann 60 Dollar im Jahr....


Ich werde vorerst weiter KeePass nutzen. aber ich wäre dankbar für Tips, ob es eine gängige Alternative zu KeeFox gibt. Das Addon nervt ein wenig....

 

[kar82]

Ich werde vorerst weiter KeePass nutzen. aber ich wäre dankbar für Tips, ob es eine gängige Alternative zu KeeFox gibt. Das Addon nervt ein wenig....

Für Firefox gäbe es noch PassiFox (https://addons.mozilla.org/en-us/firefox/addon/passifox/) und für Chrome bzw. Chromium-basierte Browser gibt es CromeiPass (https://chrome.google.com/webstore/detail/chromeipass/ompiailgknfdndiefoaoiligalphfdae).

Beide Addons sind vom selben Entwickler und natürlich OpenSource (https://github.com/pfn/passifox/).

Ich selber nutze hauptsächlich Vivaldi und habe ChromeiPass installiert. Das Addon funktioniert vollkommen problemlos mit KeePassX 2.0.2 unter ArchLinux (https://aur.archlinux.org/packages/keepassx-http/). Für KeePassX (2.0.2) muss man aber den Fork nehmen, bei welchem KeePassHTTP bereits integriert ist und welcher schon auf Qt5 portiert wurde (siehe den vorherigen Link). Das originale KeePassX 2.0.2 funktioniert anscheinend nicht mit KeePassHTTP (???) und ist noch auf Basis von Qt4.

Das Firefox Addon habe ich noch nicht getestet bzw. installiert, aber werde es sicherlich auch noch tun.

 

[moggle]

Hallo,

ich habe die News auf Google gefunden, weil ich mal schauen wollte, wie andere das machen oder was sie benutzen.

Ich speichere meine Ganzen Logins und Passwörter in einer simplen Text Datei und packe die einfach mit Winrar und setzte ein Kennwort. Das Ganze speichere ich dann auf einem USB-Stick (Und einem Backup-USBStick). Sind solche Programme besser wie die Methode?

 

[Yuuri]

Das trifft aber nur zu wenn das Programm keine Hintertür/Masterkey hat. Da es Closed Source ist, wirst du das auch nie erfahren und musst so dem Hersteller vertrauen. Das gilt im übrigen für alle Closed Source Password Manager, weswegen solche Lösungen für mich absolut nicht in Frage kommen.

Und wo ist da jetzt der Unterschied zu OSS? Hast du jede einzelne Zeile des Codes untersucht? Hast du bei jeder neuen Version den Diff durchgesehen? Und wenn du dann sichergehen kannst, dass das Programm keinen groben Unfug macht, musst du zusätzlich noch sicherstellen, dass die Verschlüsselung keine Fehler und Hintertüren offen hat. Du bist also ein kleines Genie, das Verschlüsselungen ohne zu Murren auseinander nehmen kann. Und selbst dann, wer sagt dir, dass der Quellcode, der öffentlich einsehbar ist, genau der ist, für den der Build herhalten musste?

Du musst bei OSS dem Hersteller genauso vertrauen. Auch kann "niemand" (gefühlt vielleicht 0,00001 % der Menschen) den Quelltext durchsehen, einfach weil sie keine Ahnung haben. Und die die es können, haben wahrscheinlich besseres zu tun, als sich nach Lust und Laune in ihrer Freizeit über fremden Quelltext herzumachen und Lücken zu suchen.

Schön dass man den Quelltext einsehen kann. Bringt mir nur nichts, wenn es niemand macht. Gab es bereits Audits von KeePass, von welchen, die ihre Sache auch verstehen und sich nicht Hobby-Entwickler nennen? Und wenn, wann war der Audit - < 1 Jahr?

Und wenn KeePass jetzt einen groben Schnitzer hat. Wie siehts dann mit dem Vertrauen aus? Ist ja OSS, also ...

Die OSS <-> CSS Diskussion ist echt müßig. Schön dass es öffentlich einsehbar ist, nur klemmt sich anscheinend keiner dahinter. Oder doch?

Ob das so vernünftig ist?

Und? Wenn die Verschlüsselung sicher ist und das Passwort entsprechend gut, ist das vollkommen Hupe, ob da einer einbricht oder nicht. Denn genau dafür ist Verschlüsselung da. Damit man beim Einbruch und dem Entwenden trotzdem nichts damit anfangen kann. Hast halt ne Datei mehr und das wars.

 

[kar82]

Und wo ist da jetzt der Unterschied zu OSS? Hast du jede einzelne Zeile des Codes untersucht? Hast du bei jeder neuen Version den Diff durchgesehen? Und wenn du dann sichergehen kannst, dass das Programm keinen groben Unfug macht, musst du zusätzlich noch sicherstellen, dass die Verschlüsselung keine Fehler und Hintertüren offen hat. Du bist also ein kleines Genie, das Verschlüsselungen ohne zu Murren auseinander nehmen kann. Und selbst dann, wer sagt dir, dass der Quellcode, der öffentlich einsehbar ist, genau der ist, für den der Build herhalten musste?

Du musst bei OSS dem Hersteller genauso vertrauen. Auch kann "niemand" (gefühlt vielleicht 0,00001 % der Menschen) den Quelltext durchsehen, einfach weil sie keine Ahnung haben. Und die die es können, haben wahrscheinlich besseres zu tun, als sich nach Lust und Laune in ihrer Freizeit über fremden Quelltext herzumachen und Lücken zu suchen.

Schön dass man den Quelltext einsehen kann. Bringt mir nur nichts, wenn es niemand macht. Gab es bereits Audits von KeePass, von welchen, die ihre Sache auch verstehen und sich nicht Hobby-Entwickler nennen? Und wenn, wann war der Audit - < 1 Jahr?

Meiner Ansicht nach hast du den Nagel auf den Kopf getroffen.

Auch wenn ich etwa 5 Kommentare vorher noch geschrieben habe, dass ich Enpass getestet habe, aber aufgrund ClosedSource nicht nutzen möchte und lieber bei KeePassX bzw. einem Fork davon (wegen KeePassHTTP) bleibe, ist es trotzdem mal interessant und von nutzen wenn man mal in sich geht und sich fragt, warum KeePassX jetzt unbedingt sicherer ist. Nur weil es OpenSource ist und theoretisch jeder den Quelltext "prüfen" kann?

Hmm? Aber wer könnte das bzw. wann wurde das zuletzt gemacht? Ich kanns jedenfalls nicht, da ich kein Programmierer bin.

Naja, ich werde jedenfalls weiterhin Enpass testen und deren Browserintegration finde ich auch um längen besser, als KeePassHTTP bzw. das Addon ChromiPass. Es ist komfortabler zu bedienen.

Mal schauen, was die Zukunft bringt. Vielleicht werde ich doch auf Enpass wechseln, denn wenn die wirklich einen Masterkey hätten oder bewusst Sicherheitslücken offen ließen und das herauskäme, dann könnten die sich auf einen gewaltigen Shitstorm einstellen und auf viele Klagen betroffener Kunden.

Letztlich ist Enpass an sich nur Offline nutzbar, hat aber die Möglichkeit die Synchronisation mit z.B. DropBox, OwnCloud, MS OneDrive und weitere zu aktivieren.

 

[engine]

So wie ich das überflogen habe:
wer online sein KeePass aktualisiert hat es nicht besser verdient gecracked zu werden.
Hier ist auch noch etwas für die Angstmacher: http://www.com-magazin.de/news/keepass/hacker-tool-knacken-keepass-1042057.html

... muss für einen erfolgreichen Angriff ein Zugriff zum System des KeePass-Nutzers bestehen. Darüber hinaus muss Letzterer bei dem Passwort-Manager angemeldet sein...

Wenn ich schon beim KeePass-Nutzers bin, dann brauche ich kein Crack-Tool... .

Also, es ist alles gut !

 

[Rollkragen]

"Sicherheitslücke" Benutzer. Ist ja wirklich nichts neues und gegen diese kann auch die beste Software nichts machen.



Kannst du dir da sicher sein, bei Closed Source und ohne Code Reviews?

Sicher ist absolut nichts- deswegen bleibe ich mal bei "relativ"- Wäre aber die selbe Diskussion wie Whatsapp VS. Threema oder Google Chrome vs. Tor Projekt (bei letzterem ist Google der größte Spender . Closed Source vs. Open Source.
Eine mittlwerweile ermüdende Diskussion. Die nur noch von falschen Stereotypen lebt. Wenn du Programmierer bist und regelmäßig die Quellcodes auf Schadecodes durchsuchts, kann dass ggf. für dich relevant sein.
Die meisten Menschen sind jedoch einfach User. Dank Open Source sind mittlerweile viele vermeidlich "sichere" Appps verseucht. Brauchst nur mal in einen Android Appstore schauen. Opensource ist Segen und Seuche zugleich, je nachdem was "Mensch" damit bezweckt.

 

[Thomas Anderson]

Das ist ja mal ein starkes Stück!!!

Zum GLÜCK verwende ich den Password Manager von MATESO "Password Safe and Repository". Password Safe and Repository wurde vor einigen Jahren in unserer Firma eingeführt. Da ich es privat auch nicht mehr missen wollte, habe ich mir davon die Standard Edition geleistet und bin rundum zufrieden

 

[Tanzmusikus]

Ich speichere meine Ganzen Logins und Passwörter in einer simplen Text Datei und packe die einfach mit Winrar und setzte ein Kennwort. Das Ganze speichere ich dann auf einem USB-Stick (Und einem Backup-USBStick). Sind solche Programme besser wie die Methode?

Hallo moggle,

das habe ich bisher einfachheitshalber auch immer so gehandhabt.
Die Textdateien werden leider jedesmal unverschlüsselt im Cache* abgelegt - also ziemlich unsicher!
Werde deshalb KeePass v2 demnächst mal ausprobieren, weil es kompfortabel zu sein scheint.

* z.B. unter: C:\Users\<Username>\AppData\Local\Temp

Gruß, MiMo

P.S.
WIE -> gleich, genauso wie
ALS -> besser, größer, kleiner als

 

[highks]

Alleine für diese Aussage des Entwicklers darf man sein tolles Programm gar nicht mehr nutzen.
Werbeeinnahmen > Sicherheit... und das bei einem Programm aus der Sparte Sicherheit -.-

Vor allem, weil das Programm ja praktisch am Anfang jeder Sicherheitskette steht - wenn jemand meine Keepass Datenbank knackt, dann hat er alle Passwörter zu sämtlichen Diensten. Das wäre der absolute Supergau!

Ergänzung (6. Juni 2016)

WIE -> gleich, genauso wie
ALS -> besser, größer, kleiner als

Im Schwäbischen dagegen auch gerne austauschbar oder in Kombination "als wie" einzusetzen
"Mein Computer ischt besser als wie deiner!"