Keepass 2.49 - Generator

[Nixdorf]

KeeFarce

Eine Besprechung dazu gibt es auf der KeePass-Website. Die Datenausleitung beruht hierbei darauf, dass die Datenbank bereits geöffnet wurde und zusätzlich Schadsoftware auf dem Rechner installiert werden konnte. In so einem Fall kann man auch über eine auch für Laien verständliche Methode an die Daten gelangen, die der Link beschreibt: Man schickt Tasteneingaben zum Export der Datenbank an die KeePass-Software. Wenn es auf deinem Rechner bis an diesen Punkt kommen konnte, hast du also schon ganz andere Probleme.

Autovervollständigung oder ähnliches bzw. Clout nutze ich nicht.

Was denn? Du liest das Passwort mit den Augen im Passwort-Manager ab und tippst es in das Formular ein? Denn das muss es dann schon sein, denn eine Übertragung im Klartext über die Zwischenablage ist tendenziell sogar weniger sicher als die Autovervollständigung über Kee als Browser-Plugin. Am sichersten ist AutoType, am besten noch mit aktivierter "Zwei-Kanal Auto-Type-Verschleierung", denn das ist dann selbst gegen einen Keylogger wirksam.

Ansonsten: Cloud wie Wolken, nicht Clout wie Schlagkraft. Gegen die Nutzung eines Cloud-Anbieters für das gesamte Passwort-Management bin ich sehr strikt. Man muss da jemandem letztendlich vertrauen, für einen selbst lebenswichtige Daten sorgfältig zu behandeln. Gleichzeitig packen die aber alle eine Haftungsausschluss in ihre AGB und falls es dann zum Daten-Gau kommt, zeigen sie da drauf und lachen dir ins Gesicht. Was man machen kann, ist das zusätzliche Ablegen der verschlüsselten Datenbank in einem Internetspeicher (beliebiges WebDAV, OneDrive, Google Drive, etc.) ohne spezifischen Bezug zu Passwörtern. Dann kann man auch mit den eigenen Mobilgeräten auf die Datenbank zugreifen.

 

[Oli_P]

"Zwei-Kanal Auto-Type-Verschleierung"

Jo, schöne Funktion. Autotype wird die Anmeldedaten in wilder Folge "eintippen" und hinterher korrekt sortieren. Nutz ich auch. Passwörter ablesen aus der Datenbank oder kopieren und einfügen find ich auch nicht optimal.

Man sollte halt die Datenbank immer schließen bei Nicht-Nutzung von Keepass oder einen Timer einrichten (der die Datenbank sperrt nach vordefinierter Zeit der Inaktivität), wenn man einen Rechner gemeinsam mit anderen nutzt. Ist die Datenbank offen, dann ist diese prinzipiell offen für jeden

 

[Nixdorf]

Autotype wird die Anmeldedaten in wilder Folge "eintippen" und hinterher korrekt sortieren.

Es ist noch heftiger. Die Daten werden nicht eingetippt, sondern (auch) zerhackstückt über die Zwischenablage übertragen. Die regulären Tastenanschläge zu den einzelnen Zeichen der Anmeldedaten finden dann gar nicht erst statt. Alles, was ein Keylogger sieht, ist eine wilde Abfolge von Strg+C/X/V und Cursorbewegungen.

 

[Piktogramm]

Das ist auch nur Obfuskation, wird alles aufgezeichnet hat ein Angreifer ja genau die Abfolge, die am Schluss das richtige Passwort bekommt. Beim Suchen in den Logs wird es tendenziell sogar einfacher. Denn die schnelle Abfolge von Copy&Paste ist bei sonstiger Nutzung eher untypisch und sticht damit besonders heraus.

 

[Nixdorf]

Ein simpler Zwischensteck-Hardware-Keylogger sieht den Inhalt der Zwischenablage nie. Bei dem kann man damit nichts restaurieren. Diese Gerätekategorie meine ich. Das ist die Sorte, bei der keine (im Corporate-Umfeld oft sowieso gesperrte) Geräteinstallation im angegriffenen System erforderlich ist.

Der Trick der Technik ist, dass alle Übertragungswege kombiniert genutzt werden. Weder ein reiner Keylogger noch eine reine Überwachung der Zwischenablage ist hinreichend. Ein Angreifer muss schon alle Eingaben in Software überwachen können und diese dann auch noch korrekt auswerten. Und wie so oft gilt: Wenn dieser Punkt schon vorab erreicht wurde, dann hat der Überwachte ganz andere Probleme als nur die Sicherheit seiner Passwörter.

 

[Piktogramm]

Lies mal den Artikel von dir genauer. Die beziehen sich nur auf Software Keylogger, ohne Überwachung der Zwischenablage. Also allenfalls Angreifer auf absolutem Dau Niveau. Zudem in dem Fall ohne 2FA im ChallengeResponse[1] Verfahren sowieso das MasterPW gesnifft wird. Wenn 2FA nur als "dummes" erweitertes Passwort übertragen wird, landet das auch im SW-Keylogger[2].
HW-Keylogger sind für Autotype irrelevant, da die prinzipbedingt kein Zugriff auf die Zwischenablage bekommen können. Jedoch auf das MasterPW vom PWManager. An der Stelle hilft jedoch 2FA mit Challenge-Response, selbst wenn ein HW-Keylogger vorhanden ist. Hauptsache ein Angreifer kann die PWDatenbank nicht auf anderem Wege extrahieren.

[1]Vorsicht, wenn Software Eingabe und Zwischenablage überwacht kommt sie theoretisch auch an die Passwortdatenbank. Prinzipbedingt wird die Challenge bei jedem Speichervorgang mitgespeichert, kann Software also die PWDatenbank extrahieren und die Antwort auf die Challenge ebenfalls Abfangen, ist die PWDatenbank auch geknackt.
[2] Ohne Challenge-Response verhalten sich 2FA Sticks wie eine Tastatur und geben einfach nochmal ein komplexes PW ein.

Das Problem wäre da dann auch, dass das Plugin für KeePass2 für Challenge-Response nicht das Gelbe vom Ei ist, KeePassXC integiert 2FA C-R wenigstens direkt, wenn auch das grundlegende Problem bleibt.

 

[Nixdorf]

Okay, prinzipiell sind die Punkte alle korrekt. Speziell bei der Abgrenzung von Hardware-Keyloggern hatte ich einen Brainfart.

Ein paar Korrekturen gibt es dennoch noch:

HW-Keylogger sind für Autotype irrelevant, da die prinzipbedingt kein Zugriff auf die Zwischenablage bekommen können.

Das ist nicht der Grund, denn reguläres Autotype verwendet die Zwischenablage ja gar nicht. Sie sind vielmehr schon prinzipbedingt deswegen irrelevant, weil auch normale Tastenanschläge nur simuliert werden, also gar nicht über die Verbindung vom Eingabegerät kommen und daher dort sowieso nicht abgreifbar sind.

Also allenfalls Angreifer auf absolutem Dau Niveau.

Die Aussage finde ich etwas zu abwertend. Das Maß an notwendiger, zusätzlicher Expertise oberhalb des simplen Belauschens und dann Sichtens der Mitschnitte ist dann doch schon deutlich. Dass man letztendlich ran kommt, wenn man unbedingt will, das hatte ich mit dem verlinkten Artikel ja auch schon vermittelt. Dort steht ja, dass das Feature schon in der Theorie keine vollständige Sicherheit bieten kann.

Außerdem möchte ich deine Aussagen aus Beitrag #20 nochmals hervorheben, die hier in der späteren Diskussion wieder ein wenig unter die Räder kommen. Es gilt weiterhin: Gegenüber einem simplen Kopieren der Zugangsdaten über die Zwischenablage ist das Verfahren dennoch im Vorteil. Außerdem greifen bei Plugin-Anbindung statt Zwischenablage die Anti-Phishing-Aspekte, auf die du dort ebenfalls hingewiesen hattest. Die automatische Zuordnung des Zugangsdaten zur jeweiligen Website-URL ist besser als der bloße Blick auf die Optik der angezeigten Website und daraufhin das "blinde" Einfügen der Zugangsdaten.

Zum Rest: Volle Zustimmung.

 

[Piktogramm]

Eingaben bzw. Textfiles zu parsen ist 1. Semester Informatik, das ist überhaupt keine Hürde. Allenfalls für Script Kiddies, die ihre ausgeleiteten Strings wirklich noch manuell sichten, da sie grep und awk nicht verstanden haben.
Autotype ist auch nicht sonderlich nützlich gegen Phishing, da dort nur der "Window title" zum Einsatz kommt und nicht die URL. Setzt die Phishingseite den Titel der Webseite passend ist auch der Titel des aktiven Fensters genau passend für das was Autotype abgleicht.
Um sauber die URL abzugleichen braucht es schon ein Browserplugin. Was auch den Vorteil hat, dass Browserplugin und Keepass die Verbindung untereinander absichern.
Da ist aber auch wieder die Kritik, dass das KeePass2 nur wieder über Plugins abwickelt (KeePassRPC oder KeePassHTTP) und das KeePassXC direkt integriert.

Edit: Das PWManager und Browserplugin die Verbindung absichern ist aus dem Kopf, ich habe mit die RPC und HTTP Version länger nicht mehr angeschaut. Für eine definitive Aussage müsste da mal genauer drauf geschaut werden.

 

[Nixdorf]

Eingaben bzw. Textfiles zu parsen ist 1. Semester Informatik

Vorhin waren es noch alle, die keine DAUs sind, nur können es Erstsemester Informatik sein. Das ist ein riesiger Unterschied. So passt das schon eher.

Um sauber die URL abzugleichen braucht es schon ein Browserplugin.

Ugh, sorry. Ich hatte da erst viel mehr stehen und war auch nochmals auf die Plugins eingegangen. Diskussionen mitten in der Nacht mit mehreren Twitch-Streams daneben sind offenbar ein Garant für hohe Beitragsqualität. /s

Da ist aber auch wieder die Kritik, dass das KeePass2 nur wieder über Plugins abwickelt (KeePassRPC oder KeePassHTTP) und das KeePassXC direkt integriert.

Es gibt für beide Ansätze gute Argumente. Die Diskussion fange ich hier aber nicht an.