Der kostenlose Passwortmanager KeePassXC hat heute ein Update auf die 2.7.8 als neue finale Version erhalten. Die Liste der Änderungen, neuen Funktionen und Korrekturen sind diesmal sehr lang. Das letzte Update liegt noch gar nicht so lange zurück.
Neu ist ein Hotkey zum Anzeigen der Suchhilfsfunktion und ein Hotkey für den Gruppenwechsel (Strg+Umschalt+PgUp/PgDown). Eine Verzögerung für das automatische Speichern pro Datenbank, sowie eine konfigurierbare Überprüfung der Passwortstärke für das Datenbankpasswort wurde hinzugefügt.
Die Änderungen sind diesmal:
- Einstellung zum Ausblenden der Menüleiste hinzugefügt
- Verbesserung des Bitwarden 1PUX-Imports und Unterstützung von organisatorischen Sammlungen
- Eine Checkbox für erweiterte Einstellungen wird nur angezeigt, wenn die entsprechenden Einstellungen vorhanden sind
- Veraltete Einstellung für wiederholte Passworteingabe wurde entfernt
- Passkeys: Erlaubt die Registrierung von Passkeys für bestehende Einträge
- Passkeys: Warnung über unverschlüsselte Daten vor Passkey-Export wird angezeigt
- Passkeys: Unterstützung von NFC und USB-Transport
- Passkeys: Übergabe von JSON-Daten der Erweiterung an den Browser
- SSH-Agent: Benutzt keine Einträge aus dem Papierkorb
- Linux: Hotkey-Sequenz zur Verwendung von
{CLEARFIELD}Auto-Type wurde geändert - Windows: Verbesserung des DACL-Speicherzugriffsschutzes
- Viele Korrekturen, die hier den Rahmen sprengen würden.
Info und Download:
KeePassXC 2.7.8 mit neuen Funktionen und Korrekturen erschienen
Kann ich damit die ganze API lokal nutzen ohne Drittanbieter? Quasi nur ich und die Seite die den Passkey fordert zum Login? Ganz ohne Google, Apple?
[https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html#doc1107470bodyText2]
Ich meine wie Passkeys funktionieren ist schon gut erklärt. War mir nur neu, das sowas außerhalb einer Secure Enclave oder außerhalp der Crypto-Einheit eines Smartphones abgelegt werden kann.
FIDO2 kann/soll ja auch nicht emuliert werden und läuft immer in dedizierten HW-Tokens. Von daher halte ich meine Frage für berechtigt.
Also mit APIs kenne ich mich nicht aus, aber vielleicht mal ganz grundsätzlich eine Info für dich:
So wie du Passkeys glaube ich bisher siehst ist damit das gemeint, was meist als „device-bound passkeys“ bezeichnet wird. Es gibt aber auch „syncable passkeys“. Solche letztgenannten dürfte eigentlich die Art von Passkey sein, die in quasi allen Passwort-Managern (KeePassXC, Bitwarden, 1Password, …) gespeichert wird. Und wenn mein Google-Account (oder Apple’s iCloud KeyChain) einen Passkey für einen anderen Account von mir speichern würde, wäre das auch nichts anderes…
Okay ich beiße an und recherchiere es mal selbst:
https://i.imgur.com/FJHYvGQ.png
https://i.imgur.com/4C38z77.png
Also Passkeys ist nur FIDO2 in „unsicher“? Weil bei FIDO2 ist der externe Mikrocontroller ja vor hacking sehr gut geschützt.
Den private key eines Passkeys aus dem RAM zu dumpen geht wenn der PC infiziert ist. Bei FIDO2 geht das nicht, weil der Mikrocontroller sich einen Furz schert, wenn der Windows PC infiziert ist
Passkeys: Das ist FIDO2 in billig, weil keine separate Hardware nötig ist. Komfort auf kosten der Sicherheit.
Edit: Kommentar erscheint nicht
Ah, ein Schwarz-Weiß-Denker.
> Also Passkeys ist nur FIDO2 in “unsicher”? Weil bei FIDO2 ist
> der externe Mikrocontroller ja vor hacking sehr gut geschützt.
Ja aber das heißt ja nicht direkt „komplett unsicher“. Weniger sicher schon. Behauptet aber auch niemand, dass das die gleiche Sicherheit wäre. Device-bound ist sicherer als Synced. Aber Synced ist (allgemein) wiederum sicherer als Passwort+MFA, weil auch ein synced Passkey z.B. Phishing-Resistenz hat. Natürlich muss die jeweilige Passkey-„Wallet“ (KeePassXC, Bitwarden, Google, …) das ganze gut umsetzen, klar.
> Passkeys: Das ist FIDO2 in billig, weil keine separate Hardware nötig ist.
Öh, nee. FIDO2 auf separater Hardware sind ja auch Passkeys. Das wird sozusagen jetzt alles als Passkey bezeichnet. (auf meinen YubiKeys sind z.B. jetzt Passkeys gespeichert – lies mal bei Yubico nach)
Nun, widerlegt hast du ja nicht, dass der Private Key auf einem Externen MCU sicherer ist.
Soviel zu meinem Schwarz-Weiß-Denken
Wenn ich Passkeys loben darf:
Ja es ist gut, dass mehr Leute besser geschützt werden können ohne extra hardware zu kaufen. Ein Phone, PC haben viele. Einen Yubikey, Solokey, etc nur wenige.
Pro 2: Passkeys kann man leichter backup von machen. Viele HW-Keys erlauben es nicht den Inhalt zu sichern.
Aber als Security-Freak ist der Hardware-Token der absolute Goldstandard. Auch in Firmen mit VPN-Clientcerts auf RAS-Tokens und Smartcards mit PIN. Oder unter Linux mit einem FLOSS GnuK.
Nicht jeder braucht dieses Level an Schutz. Mein Argument sollte dir aber folgendes ans Herz legen: Was ist wenn die Firma behauptet du hast dir deinen Passkey stehlen lassen in Keypass und sie Zahlen den Schaden nicht?
Schuldabwälzung wird so leichter für Firmen. Ich hoffe ich konnte mein Misstrauen differenziert erläutern.
> Pro 2: Passkeys kann man leichter backup von machen.
> Viele HW-Keys erlauben es nicht den Inhalt zu sichern.
HW-Keys SIND (jetzt) AUCH Passkeys.
> Aber als Security-Freak ist der Hardware-Token der
> absolute Goldstandard.
Stimmt und das, was die Hardware-Tokens (FIDO2) schon seit Jahren speichern können, nennt man jetzt auch Passkeys…
> Nicht jeder braucht dieses Level an Schutz. Mein Argument
> sollte dir aber folgendes ans Herz legen: Was ist wenn die
> Firma behauptet du hast dir deinen Passkey stehlen lassen
> in Keypass und sie Zahlen den Schaden nicht?
>
> Schuldabwälzung wird so leichter für Firmen. Ich hoffe ich
> konnte mein Misstrauen differenziert erläutern.
Aber hat man das Problem nicht mit allem? – Wenn ich mir mein Passwort stehlen lasse… wenn ich mir meine Passkeys auf dem Hardware-Token stehlen lasse (durch Stehlen des Hardware-Tokens)… ist doch eigentlich immer ein ähnliches Problem… Und bei Firmen dürfte es eine entsprechende Policy o.ä. geben, an die man sich dann halt halten muss (wenn man das nicht tut, wird es eh problematisch).
Deswegen bin ich noch Fan von 2FA bzw. MFA (Multi-Faktor-Authentifizierung) per Mobiltelefon (App) 😂
Hier das ist vielleicht die seriöseste und direkteste Quelle – unten ist ein langer Abschnitt mit FAQs, da steht vieles ganz gut beschrieben: https://fidoalliance.org/passkeys/
Schlägt bei euch auch der Defender Smart Screen an? Das war beim 2.7.7er Setup nicht so, habe das gerade nochmal verifiziert.
Nee, bei mir hat’s (unter Windows 11) ohne Probleme geklappt.
Das kann passieren, da der Defender die Datei noch nicht kennt. (Zu neu).
Der Entwickler sagt selbst:
„Yes of course, Microsoft being dumb as usual. This is the first release with our new signing cert because the old one expired“
Also kein Problem.
https://github.com/keepassxreboot/keepassxc/issues/10672
Hier hat der Defender auch gemeckert.
Der Titel braucht auch eine Korrektur
„KeePassXC 2.7.8 mit neuen Funktionen und Korrrekturen erschienen“
Sind eben ne Menge Korrekturen enthalten.