Jede Software, die geschrieben wird, kann Sicherheitslücken enthalten. Je komplexer sie wird, desto mehr Lücken können sich einschleichen. Das Team von KeePassXC und ihrem Passwort-Manager haben die Version 2.7.4 einem unabhängigen Sicherheitsforscher zur (kostenlosen) Prüfung vorgelegt.
Gleich vorneweg, eine Audit-Prüfung ist keine 100%ige Garantie, dass nicht doch Lücken enthalten sind. Denn selbst die besten Prüfer können Schwachstellen übersehen. Aber wie heißt es so schön, vier Augen sehen mehr als zwei. Der Test wurde im Januar abgeschlossen und kommt zu einem sehr guten Urteil für KeePassXC.
„KeePassXC bietet ausreichenden kryptografischen Schutz (Vertraulichkeit, Integrität und Authentizität) für die vertraulichen Informationen, die der Benutzer in der Datenbank speichert. Vorausgesetzt, dass der Benutzer eine starke Authentifizierungsmethode wählt, z. B. eine starke Passphrase und eine vertrauliche Zufallsschlüsseldatei. Und dass der Benutzer KeePassXC mit seinem neuesten sicheren Dateiformat verwenden wird.
„KeePassXC ist gut geschrieben und übt sich ausreichend in defensiver Kodierung. Die Speicherfreigabe könnte jedoch verbessert werden, damit keine geheimen Daten enthalten sind, nachdem die Datenbank gesperrt wurde. Ich habe die Kernfunktionen von KeePassXC überprüft und mich dabei hauptsächlich auf die Lese- und Schreibfunktionen der Datenbank und die Verwendung von Kryptographie konzentriert.“
Mit seinem neuesten sicheren Dateiformat ist das Datenbankformat KDBX 4 gemeint, welches noch sicherer ist (bspw. durch Argon2), als das vorherige Datenbankformat KDBX 3. In den Einstellungen wird es auch als „Empfohlen“ gekennzeichnet. Das Problem dabei ist, dass es Apps gibt, die KDBX 4 noch nicht unterstützen. Das sollte man bei den Einstellungen bedenken und gegebenenfalls austesten.
Wer sich den kompletten Test als PDF einmal ansehen möchte: keepassxc.org/KeePassXC-Review-V1-Molotnikov.pdf
https://tobtu.com/minimum-password-settings/
Gab ja keine großen Vorschläge da noch etwas zu verbessern vom Tester auf S.28/29, deswegen droppe ich mal meine Settings die ich von scoobz habe wie man Argon2id sehr sicher konfiguriert. Als Maß dient die Leistung moderner Grafikkarten.
Kann ich nix mit anfangen, kannst Du das bitte ‚übersetzen‘?
In KeePass habe ich (nur) „Key deriv“, „Iterations“, „Memory“ und „Parallelism“, davon finde ich auf der Seite nix.
Danke.
Passwörter sollten weder im Browser noch in einer App gespeichert werden, ein Zettel und Bleistift sind die einzige sichere Lösung, egal wer was geprüft hat. Haha.. (Ps. Seit 23 Jahren Save damit!)
Ach komm, Jens. 1) ‚Bei mir funktioniert es – deshalb ist es richtig‘ ist kein Argument sondern ein individuelles Beispiel. 2) Dh du benutzt durchegehend entweder schwache passwoerter, immer die selben oder du hast eine Sau arbeit das PW jedes mal einzutippen.
Ein offline gespeicherter PW manager (KeePass), mit verschluesseltem Backup und nem Keyfile ist definitiv die sicherere Moeglichkeit um lange und starke Passwoerter langfristig und nutzterfreundlich zu speichern.
Und um dich gaenzlich zu ueberzeugen: Seit 24 Jahren Save damit!
Klar doch ein Trojaner reicht aus um dir damit all deine PW zu klauen … passiert die mIt Zettel und Stift auch, ein Trojaner reicht, nur bekommt der da nur die PW die du eingeben hast bis er bemerkt wird!
MIt PW Safe sind alle weg.
Jens hat vollkommen recht! Die Sicherste Lösung ist Papier und Stift … Sicherheit Bequemlichkeit schließen sich nunmal aus!
Ist aber real simple: für die Sicherheit ist jeder selbst verantwortlich, also auch deine Entscheidung ob dir Sicherheit wichtiger ist oder Bequemlichkeit!
Ich hab ein Sehr sichheren Masterkey (Zahlen Buchstaben Groß/klein Sonderzeichen) das nutze ich überall und habe trotzdem für jeden Dienst ein individuelles PW. da ich den Masterkey + Dienstanhang + Dienstanhang nach meinem Algo verschlüselt benutze …und Masterkey und Algo liegen im Wandsafe. Merken muss ich mir also lediglich den Masterkey und den Algo und habe trotzdem für jede Anwendung individuelle sichere PW die man mir so auch nicht klauen kann. Die Eingabe ist mir die Sicherheiut wert! Auf Komfort verzichte ich da absichtlich!
Safety or Comfort beides zusammen geht nicht!
Und nen Trojaner kann man sich immer einfangen einmal unachtsam reicht aus!
Hallo Luzifer,
kannst Du uns (besseres) ein Beispiel zum Dienstanhang geben? Ich mache das auch seit Jahren so, aber bei der mittlerweile großen Anzahl von Passwörtern (= und Diensten) kommt mir meine Variante zu unsicher vor.
Ich habe ein Masterpasswort + Dienstanhang. Angenommen ebay ist der Dienst, dann hänge ich &fz an, also immer den 1. und den letzten Buchstabe der Domain, jedoch um 1 Buchstaben weitergezählt. Das ist mir aber zu kurz.
Gruß
Thomas
Klar, nur dass du mit der Logik bewiesene Mathematik für Datenbankverschlüsselung leugnest. Nach deiner Logik „alles ist unsicher, selbst der eigene PC“ ist deine Methode auch nicht sicher, da du ja einen Keylogger haben könntest.
Wie albern ich diese Totschlagargumente einfach nur finde. Mathe funktioniert.
Nö, ich habe nur etwas verstanden und die Anzahl der Passwörter spielt keine Rolle, es kommt auch für euch der Tag an dem ihr das versteht. Schönes WE euch allen! Haha..
>es kommt auch für euch der Tag an dem ihr das versteht
Der Tag, an dem man mich von Sicherheitsaufgaben in meiner Firma dauer-beurlaubt?
Wollen wir es mal nicht hoffen, dass ich so unvernünftig werde
100% Sichgerheit gibt es nicht! Nur bei deinem PW Safe hat ein Trojaner all deine PW, bei Stift und Papier nur die die du eingegeben hast bis es bemerkt wird! Da gibt es nix dran zu rütteln, da braucht es auch keine höhere Mathematik!
Triviale Binsenweisheiten und dennoch nutzt du TLS und hast ein Haustürschloss. Weil es eben doch funktioniert und den Angriff massivst erschwert. Auf dem Niveau reden bleibt halt kindisch.
Es behauptet ja auch keiner das du kein PW benutzen sollst ;-P Aber so ist das halt wenn einem die Argumente ausgehen!
Wäre mega, wenn du meine Email-Inbox nicht zumüllst mit deinen Spaßantworten. Es gibt auch Leute die nutzen Deskmodder ernsthaft 🙄
Super Jens… Bei dir funktioniert es – Gut messen wir uns ab jetzt nur noch an dir! ‚Zettel und Bleistift‘ –> in meiner .kdbx-Datei hat es 300 Einträge, diesen ‚Zettel‘ würde ich gerne mal sehen….
siehe mein Beitrag oben … die Anzahl an Diensten Anwendungen spielt dabei keinerlei Rolle!
Sicherheit Bequemlichkeit wer einen PW Safe auf dem Rechner nutz legt keinen Wert auf Sicherheit sondern auf Bequemlichkeit!
Wie aber oben bereits erwähnt: Sicherheit dafür ist jeder selbst verantwortlich und kein Anderer!!
Hat doch absolut nichts mit Bequemlichkeit zu tun… Auch wenn du wie oben geschrieben hast, dass DU noch zusätzlich zu jedem Passwort noch dein ’spezifischer‘-Schlüssel ergänzt. Worin liegt denn der Unterschied zwischen einem realen-Safe und einem digitalen-Safe?
Genauso gut kann ich meine Keepassdatei mit einem externen YubiKey sichern, dann können Sie von mir aus auch meinen digitalen-Safe, mittels exakt an mich adressierten Trojaner stehlen… nützt ihnen dennoch genau nichts. Ergo müssten diejenigen auch noch den YubiKey stehlen.
Natürlich muss man bei dir den realen-Safe ‚abholen‘ –> was natürlich auch nicht gerade einfach ist!
Nur bin ich der Meinung, dass, auch wenn ich deine Methode für ziemlich sicher halte!, es die anderen Menschen, die auf Stift + Papier setzen NICHT so handhaben!
Aber in einem Punkt sind wir uns einig!
Sicherheit dafür ist jeder selbst verantwortlich und kein Anderer!!
100% Zustimmung.. siehe: (CVE-2023-32784) KeePass: Angreifer können auf Master-Passwort zugreifen. Kriminelle, können vollständig den Tresor öffnen und haben auf alle gespeicherten Passwörter Zugriff. Das kommt einem Super-GAU gleich.
Ich nutze Bitwarden. Die Referenz für mich in Sachen Sicherheit und Bequemlichkeit wie auch Usability.
Was fürn Kindergarten hier.
Jeder muss selber wissen was für ihn richtig ist.
Beide Wege haben ihre Berechtigung.
Wege?
Ja sicher, viele Passwörter finden ihren Weg nach Nordkorea, Iran und Russland, meine aber nicht. Haha..
Werd du man erstmal erwachsen.
Ach lass, Jens tut nix, der will nur spielen.
Dann soll er in den Kindergarten gehen und nicht die Diskussion zuspammen.
Niemand kriegt beim ersten Mal alles richtig hin. Was uns ausmacht, ist, wie wir aus unseren Fehlern lernen.
Richard Branson
tsss.. https://abload.de/img/unbenannt98fm9.jpg
Bin weg von dem Programm, scheint ja nicht mehr gepflegt zu werden. Bin jetzt bei Keeper gelandet. Kann jemand was dazu sagen? Also zu Keeper?
Nur weil es derzeit keine Updates erhält?
Schau hier
https://github.com/orgs/keepassxreboot/projects/3
Auch mal hier geschaut?
https://snapshot.keepassxc.org/
Aber warum auf etwas kostenpflichtiges wechseln, wenn es gute kostenlose alternativen gibt?
Zudem auch noch Quelloffen mit Audit-Prüfung.
Also die App hat eine relative große intakte Community, wie kommst du darauf dass dieses nicht weitergepflegt wird?
Nicht jedes Programm braucht monatlich Updates wie ein OS
Frage : sind solche Passwort Manager nur für website gedacht oder funktionieren die auch mit lokalen Apps ?
Kann jetzt nur für Bitwarden sprechen, was ich seit langer Zeit selbst verwende (und auch selbst hoste) und dort funktionieren die Apps auf Windows und macOS, sowie mobil wunderbar.
Wie kann ich das verstehen ‚lokalen Apps‘?
Ob du ein Passwort auf einer Website oder ein Passwort lokal eingibst, spielt in meinen Augen keinen Unterschied.
Webseite: CTRL-ALT-A für Autotype (wird als „sicherer“ angesehen, weil das Clipboard umgangen wuird), bei Apps geht mW nur Copy&Paste.
Also mein „Keepass“ speichert das Passwort ‚CTRL-C‘ für genau 8 Sekunden, jedoch wird es nicht im Clipboard (WIN-V) abgespeichert.
Keepass funktioniert auch für lokale Programme
hi,
Danke für eure Antworten aber ich fürchte ihr habt meine Frage nicht verstanden.
es geht um eine Anwendung die „lokal“ auf dem PC läuft OHNE Internet.
—
auf einer Website kann man im HTML-Formularen nach dem „type“ Attribut „password“ suchen
wie mache ich es mit eine Win32 Anwendung ?
Jim es tut mir leid, aber ich verstehe deine Frage immer noch nicht. ‚Keepass‘ ist ein lokales Programm, dass auf dem Computer läuft, Internet wird für deine Passwort-Datenbank nicht benötigt.
https://learn.microsoft.com/en-us/dotnet/api/system.web.security.membership.generatepassword?view=netframework-4.8.1
?
Es sollte gehen. Wie die Bezeichnung bei Keepass lautet, weiß ich nicht. Bei mir nennt sie sich Programmkonten.
https://1drv.ms/i/s!AsMiI7UzBbVuhqN-nJh_SvYrP7C9YA?e=MntfFZ
ok, Danke
es ist wohl nicht das richtige Forum um eine Programmierer Frage zu stellen
es geht darum“ wie“ solche Passwort Manager bei eine „lokalen“ App „erkennen“ das ein Passwort gefragt ist ?
es gibt keine HTML Datei wie bei einer Website die „durchsucht“ werden kann
wie muss also die „lokale“ App „vorbereitet“ sein um darauf zu reagieren ?
Der Benutzer klickt in das Anmelde- oder Passwortfeld, drückt die passende Tastenkombination und der Passwortmanager erkennt, z.B. anhand des Fenstertitels, um welche Website oder App es sich handelt und fügt die entsprechenden Daten ein.
hi,
> Der Benutzer klickt in das Anmelde- oder Passwortfeld, drückt die passende Tastenkombination
Danke für die Antwort was „das“ schildert was ich meine.
bei einer Website „erkennen“ ein Passwort Manager „das“ ein Passwort gefragt ist und fügt das richtige „automatisch“ ein
bei einem „User“ kann ich nicht „verlangen“ das er/sie eine Tasten-Kombination drückt und es dann funktioniert.
ich werde mich wohl in die API einarbeiten müssen um einen Weg zu finden, Danke an alle
Achso, dir geht es explizit darum, wie der PW-Manager die Passwörter mittels Tasten-Kombination direkt einträgt!
sorry!
Welche KDBX Version nutzt das normale KeePass?
Ich habe bei mir auch mal auf ChaCha und ArgonId umgestellt. Letzteres mit den Daten aus dem PDF. „Set default Argon2id rounds to t = 4 (1 at least), m = 2048 (at least), p = 2“
Btw Stift und Papier: dann doch wenigstens mit Bar- oder QR-Code Scanner.
Da fast alle Programme nach Hause funken, wer sagt Euch das eure Passwörter nicht irgendwie und irgendwohin gesendet werden und bei Bedarf benutzt werden, oder Verkauft werden. Es könnte auch eine Backdoor in die Passwortprogramme eingebaut worden sein.
Schönen Tag noch und glaubt mal weiter an das Gute im Menschen.
Sowie das ganze Betriebssystem oder die Firmware in der Hardware möglicherweise eine einzige Backdoor sein könnte… wer weiß das schon.
ich schreib mir auch meine Passwörter seit Jahren in ein Buch. Die meisten hab ich im Kopf und verwende zusätzlich yubikey. Im Kopf mein ich Handypin, Facebook, Google, Amazon, Steam, Ubisoft, GOG, Origin, Epic, Fritzbox, Youtube, Twitter, Cloud, Microsoft, Dropbox etc. Kein Dritter bekommt mein Passwort. Passwörter sind völlig verschieden und über 12 Zeichen lang. Sogar Microsoftaccount hab ich zusätzlich mit Yubikey ab gesichert. Aber ich find gut, das die Firma so was macht. Die sollten einen Whitehackercontest mit Geld-Preisen veranstalten, mal schauen was dann raus käme. Ich verteufle keine Passwortclouds. Aber sicherer ist es wenn es im Kopf oder auf Papier bleibt. Fatal ist es nur wenn sich jemand einen Zettel mit Passwörtern in der Börse mit schleppt, dann ist die Cloud schon wesentlich sinnvoller. Allein schon das ab speichern einer Sicherheitskopie aller Schlüssel auf PC ist extrem gefährlich, da selbst gelöschte oder auf externe FP verschobene Datei im Index der Festplatte noch aus gelesen werden kann. Aber muss jeder für sich selbst entscheiden welchem Risiko er sich aussetzen will. Wir haben bei Siemens in der Buchhaltung Passwörter auf geschrieben und vom IT-ler zugewiesen bekommen. Aber es war nicht erlaubt diese auf Festplatte ab zu legen.