News Sicherheit: Passwortmanager KeePass 2 potentiell angreifbar

[Kontrollfreak]

Aber letztendlich gehört schon ne Portion Userdummheit dazu, damit diese "Lücke" wirklich ausgenutzt werden kann. Immerhin kann man eine Phishingseite mit einem Blick in die Adresszeile erkennen. Ist ja wie bei Spam-Mails.

Bei MITM? Nein, kann man nicht.

 

[rin]

Es ist gefährlich jetzt auf was anderes zu wechseln nur wegen so einer kleinen Sache, da andere auch nicht anders als mit Wasser kochen und ich vertraue lieber Programmen die unter Beobachtung stehen als irgendwelchen 'möchtegern' Tools. Ich denke in der Vergangenheit gabs kein Grund zur Sorge, das Programm ist schließlich schon länger am start und das ist jetzt glaub das zweite mal das ich sowas gehört habe.

Wie bereits gesagt schaltet da Auto-Update aus und gut ist. Ich sehe da keine bedenken, MITM ist ein prinzipielles Problem, nicht nur in Keepass.

Erinnert mich an TrueCryp, alle sind sofort gewechselt weil Sie dachten das andere Tools dann sicherer wären nur weil sie zwei Sachen gefixt haben, ich denke das ist falsch, ein Audit dauert halt und neue fixes können auch wieder neue Löcher ins System reißen. So lange es da kein Stichhaltigen Beweise gibt würde ich es lassen. Aussagen kann man auch schnell mal falsch interpretieren - von daher.

Der keepass Entwickler ist denke vertrauenswürdig, hab noch in der GPG Community was schlechtes über ihn gehört und er angegiert sich sehr um das Programm zu pflegen.

 

[Hito]

Nein, in erster Linie geht es hier auch nur um eine Webseite. Hier wird etwas aufgebauscht, das schlicht völliger Nonsense ist. Am Ende wird die Datei bei Sourceforge geladen, wer sagt, dass dieser Dienst nicht gehackt wird und dort eine geänderte Binary runter geladen wird.

Immerhin ist es doch ein rein manueller Prozess, es ist ja nicht so, dass KeePass vollautomatisch ein ungeprüftes Update rüberbügelt, das wäre eine Sicherheitslücke.

Und ja, eure Download links kommen auch nicht von einer HTTPS gesicherten Verbindung, woher soll ich wissen, dass das bei CB geladene Keypass dem original entspricht? Oder das eure News echt sind?

Schreibt eure Artikel etwas besser, dann würde hier nicht wieder eine Massenpanik entsteht und die Existenzgrundlage eines Programmierers zerstört werden. Denn das Produkt an sich hat ja keine Fehler.

Danke.

Dieses hippokritische Verhalten ist nicht angemessen.
Wenn man selbst das CBPro Abonnement an den Mann zu bringen versucht und es überall auf der Seite erwähnt(teilweise fast schon aufdringlich, daß es erscheint wenn ich ins Profil geh), darf man sich nicht über Kritik wundern, wenn man einen Artikel verfasst, bei dem eine andere Person dasselbe Konzept anzuwenden gezwungen ist oder nur versucht es anzuwenden. Bloß weils in bestimmter Leuten "Schubladen"-Denken nicht reinpasst, daß diese Software sich der Sicherheit verschrien hat. Kennwortspeicher sind Kennwortspeicher, keine Sicherheitsprogramme. Meist nur in Benutzung der Bequemlichkeit wegen, nicht der Sicherheit wegen.

 

[miac]

Als Linux Benutzer ist mir das egal.

Wieso? Nutzt Linux kein Internet?

Das hat mit dem Betriebssystem doch gar nichts zu tun.

Finde auch, daß die Problematik aufgebauscht ist.
Aber die Ausrede von Computerbase ist mal wieder ein Klassiker.

 

[JAIRBS]

An die Leute, die sich hier wegen dem nicht optimal implementierten Update-Check aufregen, aber andererseits LastPass empfehlen: sehe ich das richtig, dass bei LastPass die Passwörter online beim Betreiber in der Cloud liegen? Falls ja, dabei könnte ich nicht mehr ruhig schlafen.

Da ist ein nicht ganz perfekter Update-Check wohl weniger unsicher, solange die *.kdbx Datenbank bei mir offline auf dem PC liegt.

--

Edit:

Enpass sieht interessant aus. Aber scheint auch nicht notwendig zu sein deswegen jetzt die komplette Datenbank zu migrieren.

 

[Uridium]

Uridium, diese Art der Datenerhebung hat aber nichts mit Datensammelwut oder Werbung zu tun. Das sind einfach Daten die für Entwickler interessant sind um die Anwendung zu verbessern.

Stimmt. Jetzt wo du's sagst. Wie dumm von mir.

 

[Kontrollfreak]

Wieso? Nutzt Linux kein Internet?

Das hat mit dem Betriebssystem doch gar nichts zu tun.

Die Software einer Linuxdistribution wird in der Regel über eine zentrale Paketverwaltung aktualisiert. Die Softwarepakete sind dabei über kryptografische Prüfsummen abgesichert, was MITM-Attacken praktisch unmöglich macht.

 

[neuhier08]

Wer nach 2015 noch Lastpass nutzt, dem gehört eh da PC weggenommen.

http://www.heise.de/security/meldung/Hackerangriff-auf-Passwort-Manager-LastPass-2691498.html

 

[Blastoise]

Ich selber habe noch keinen Passwort-Manager ausprobiert, aber auf meiner Liste stehen als einzige KeePass und Enpass. Werde mir beide näher anschauen und ehe nur offline benutzen. Da sollte dann nicht viel schiefgehen können, oder? Also ohne Auto-Update-Funktion (im Falle von KeePass 2) und nur aufm Rechner (ohne Sync).

 

[jackii]

Warum wird von der Downloadseite auf der Projekt Webseite abgeraten wenn es um die Update Benachrichtigung geht und die Links dort ja auch alle auf sourceforge führen?
Man braucht die Benachrichtigungen auch nicht ausschalten, sondern kann dann immer noch manuell auf die Seite gehen oder überprüfen ob man auf die richtige geleitet wurde. Eine automatische oder manuelle Updatefunktion im Programm gibt es doch gar nicht. Etwas konfus und alles andere als eine Katastrophe, amüsant wie deshalb hier die Panik ausbricht und Leute schnell das Programm wechseln wollen…

 

[ToniMacaroni]

Wenn's weiter nichts ist.

Als Linux Benutzer ist mir das egal.

Als Benutzer, der Auto Updates deaktiviert hat, mir auch.

 

[Mac_Leod]

Es ist doch stable, also Updatefunktion abschalten und abwarten.

 

[hugo1337]

Kein Problem.

Auto Update is aus, gesynct wird via SFTP mit SyncbackPro.

Dafür habe ich meine Passwörter auf Windows, Linux, Android und OSX...verschlüsselt mit Passwort + Keyfile.

 

[Yuuri]

An die Leute, die sich hier wegen dem nicht optimal implementierten Update-Check aufregen, aber andererseits LastPass empfehlen: sehe ich das richtig, dass bei LastPass die Passwörter online beim Betreiber in der Cloud liegen? Falls ja, dabei könnte ich nicht mehr ruhig schlafen.

Ver- und entschlüsselt wird nur lokal (kann auch nur, da nur dort das Master Passwort eingegeben wird), auf den Servern liegen nur die verschlüsselten Container. Und insofern in der Implementierung kein Bug vorhanden ist und ein sicheres Passwort verwendet wird, kann der Container auch bei der NSA als Backup liegen.

https://lastpass.com/support.php?cmd=showfaq&id=6926
https://helpdesk.lastpass.com/your-lastpass-vault/#Your+Local+and+Global+Vaults

 

[Pat]

Irgendwie hat noch immer niemand (@CB?) erklärt, was der Updatecheck jetzt mit Werbeeinnahmen zu tun hat?

Und exe's downloaden von sourceforge... ist ja sowieso nicht viel besser ;-)

 

[miac]

Vermutlich, weil man zum Update die Webseite besuchen muß und diese umgeleitet werden könnte.

 

[Warhorstl]

Nutze das Programm. Mag mir jemand in ein paar Sätzen sagen, was ich jetzt am besten machen sollte?

 

[BlubbsDE]

Steht doch in fast jedem Post hier. Dazu reichen ein paar Wörter. Die Autoupdate Funktion ausschalten.

 

[nmrkw]

@Warhorstl: KeePass starten -> Extras -> Optionen -> Erweitert -> Häkchen raus bei "Bei KeePass-Start nach Update suchen"

 

[Warhorstl]

Alles klar, danke!