KeepassXC - Sicherheitslücke oder nicht?

the other

the other

Well-known member
Moinsen,
in der Tat: der Titel ist recht verkürzt und polarisierend.
In den letzten Tagen gab es eine vielfach aufgegriffene Warnung des BSI (Bundesamt für Sicherheit in der Informationstechnologie) zu dem recht beliebten Passwortmanager KeepassXC.
KeepassXC ist ein Seitenzweig von keepass, dient systemübergreifend als Passwortmanager unter Windows, Linux, Apple...
In der Vergangenheit wurde keepass (und seine Forks) als recht sicher beurteilt in den Tests der diversen Zeitschriften und online Medien.
Nun aber das: eine Sicherheitslücke wurde durch das BSI erkannt:
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-1505

Auch zB heise.de warnt, relativiert aber die Warnung bzw. das zugrunde liegende Problem etwas:
https://www.heise.de/news/BSI-warnt-vor-KeePassXC-Schwachstellen-9192374.html

Es scheint so zu sein, dass als kritisch eingestuft wurde, dass die verschlüsselte Datenbank, welche die Passwortsammlung enthält, für Angreifer lokal einsehbar, manipulierbar und auch kopierbar ist...
...WENN der Angreifer lokal am PC sitzt, dieser entsperrt ist und die keepassXC Datenbank entschlüsselt ist.

"Hmm, achwas, breaking news", dachte ich mir (und einige andere user vermutlich auch). Nochmal langsam: um die durch das BSI gemeldete Lücke ausnutzen zu können, muss ein böser Mensch
  1. bei dir zu Hause an deinem PC sitzen (Fail #1)
  2. dieser PC muss entsperrt sein (angemeldete Sitzung) (sollte eigentlich nicht sein, wenn böse Menschen in der Wohnung unbegleitet rumrennen, daher Fail #2)
  3. dazu muss dann am entsperrten PC zusätzlich auch die verschlüsselte keepass Datenbank entschlüsselt sein (also: fremde böse Menschen in der Wohnung PLUS PC offen zugänglich und entsperrt PLUS keepassXC Datenbank entschlüsselt, was uns zu Fail #3 bringt)
Wenn also all das zusammen kommt, kann problemlos auf die Datenbank zugegriffen werden. Aha, soso, ok...wenn also auf Layer 8 aka die Person vor dem Bildschrim alle gängigen Vorsichtsmaßnahmen aushebelt, dann ist da eine Sicherheitslücke...wow, ich bin begeistert, welch eine Neuigkeit.

Wie seht ihr das? Nutzt ihr das Programm? Seht ihr da eine wirklich gefährliche Sicherheitslücke?
Ich persönlich nutze keepassXC weiter. Allerdings wie zuvor auch: der PC sperrt sich bei Nichtnutzung nach x Minuten selber, keepassXC sperrt sich ebenfalls, wenn das OS in den gesperrten Modus geht. Kommt dann der böse Mensch an den Rechner...tja, nix mit offener Datenbank. Ich meine, so ein wenig selber nachdenken umgeht idR einige Probleme, nicht nur in der IT, auch im restlichen Leben...oder habt ihr die Haustür immer offen, die Kreditkarte auf dem Tisch und ein extra Vermerk daneben, wo sich die Pin dazu befindet?

Natürlich kann den Machern jetzt empfohlen werden, dass zB für ein Anlegen einer Kopie erneut eine Passworteingabe nötig ist (oder ein Entsperren mit zB yubikey). Macht sicherlich Sinn. Nur: wenn ihr das Passwort für die Datenbank ebenfalls dort abgespeichert habt, dann aber alle drei Fails begeht....tja, dann bringt das auch nix.

Vielleicht seht ihr das aber alles ganz anders und geht konform mit der Einschätzung des BSI...fühlt euch zum Diskutieren eingeladen.
:)
 
Du hast das nicht richtig verstanden. Man will damit zum Ausdruck bringen, das DU (respektive der Anwender) das Sicherheitsrisiko darstellt :p.

Anders kann ich mir das nicht erklären. ;)
 
Moinsen,
ach sooo...🤦‍♂️Mensch, jetzt macht das alles Sinn:
das BSI denkt, weil die User das wirkliche Sicherheitsrisiko sind, muss bzgl. IT in D alles verzögert werden...Ausbau Glasfaser (oder überhaupt irgendein funktionierender Zugang zum Internet), Modernisierung von Verwaltung, öffentlichem Dienst, Industrie (ist dann ja auch VIEL zu gefährlich), Medienkompetenz bei Kindern und Jugendlichen usw.

Alles klar, es ist einfach ein großangelegtes Vorbeugungsprogramm. Gott, und ich dachte schon...:rolleyes:
Na, dann hole ich mal Bretter und Nägel und zimmere mir die Birne zu, damit ich da nicht wieder unsicher am PC rumwerkel, ich armes Sicherheitsrisiko, ich...🤪
 
Naja, ich sag mal so: So "ganz" unberechtigt ist das Problem sicherlich nicht, grade wenn man sonstwas für Daten in seiner KeePass-DB gespeichert hat. Es muss ja nicht der Benutzer "vor" dem Rechner sein, sondern ein a) authentifizierter, b) lokaler. Da es "ganz normal" ist, dass oftmals einfach eine remote-Shell geöffnet wird, "ist" man in diesem Fall als Angreifer ein "lokaler" Benutzer (und auch bereits authentifiziert). Eigentlich dreht es sich eher darum, dass der lokale Schutz der DB etwas "nachlässig" behandelt wird/wurde.

Daher auch:
Wenn ein Angreifer durch eine Sicherheitslücke in den Rechner eindringt, könne er in KeePassXC unbemerkt die Klartext-Passwörter exportieren oder das Master-Kennwort ändern, ohne jedweden Schutz.
Zum Vergrößern anklicken....
Sollte 2FA aktiv sein, kommt halt vorher für den Angreifer noch jener hier:
Eine zweite Fehlermeldung betrifft die Sicherheitseinstellungen, etwa zur Nutzung von Mehr-Faktor-Authentifizierung. Ist sie aktiviert, kann die Einstellung ausgewählt werden, die sie deaktiviert, ohne, dass der zweite Faktor abgefragt würde.
Zum Vergrößern anklicken....

Heisst natürlich, dass ein Angreifer erstmal auf das lokale System kommen muss, solange das nicht gegeben ist, gibt es auch keinen Grund zur Panik. Sollte das aber doch mal so sein... tja... je nach Inhalt der KeePass-DB... könnte das ein "bisschen" blöd werden ☺️

Grundsätzlich sollte man bei solchen Meldungen immer auf 2 Dinge achten: a) local/remote, b) authenticated/unauthenticated... local/authenticated ist noch das "harmloseste", bei remote/unauthenticated ist es dann schon echt heikel. Mit "harmlos" meine ich jetzt auch nicht, dass es "egal" ist, nur müssen dafür erstmal gewisse Grundbedingungen erfüllt sein (Angreifer hat Zugriff auf das lokale System), dazu kommt auch noch immer die Frage, um was konkret es eigentlich bei der Mitteilung geht bzw. was im schlimmsten Fall passieren kann. Wenn durch eine Sicherheitslücke z.B. der lokale Druckerdienst abgeschossen werden kann, ist das - denke ich - weitaus weniger tragisch, als wenn man Passwörter im Klartext irgendwo exportieren kann 😄
 
Moinsen,
da bin ich durchaus dabei: ganz unberechtigt ist es sicherlich nicht.
Und klar, wenn es jemand schafft direkt (lokal) oder indirekt (von entfernt) per Shell auf den PC zuzugreifen, dann ist das ein Problem. Das allerdings nix mit keepassXC zu tun hat (analog Fail#1 im ersten Post von mir).
Allerdings liegt ja auch die kdbx Datei (die die Datenbank enthält) in verschlüsselter Form vor. Kann also kopiert werden, aber ohne Passwort nicht geöffnet werden. Und hier greift dann auch wieder die Komplexität und Länge des gewählten Passwortes.
Auch doof: alles an Passwortschätzen in eine einzige große Datenbank packen...niemals sollten alle Eier in den einen Korb gepackt werden. Wichtiges (online banking) und weniger Sensibles kann durchaus getrennt verwaltet werden.

Das betrifft aber am Ende auch jedes andere Programm, alle anderen Ordner: kommt jemand lokal oder von remote unerwünscht auf den PC, hat dann Zugang zu den Ordnern...tja, dann echt doof gelaufen.

Am Ende bleibt es imho aber dabei: das eigentliche Problem sitzt vor dem Bildschirm, wenn es bei keepassXC zur Ausnutzung der hier genannten Lücke gekommen ist.
So kann ja zB die Datenbank auch exportiert werden und zB in Exel geöffnet mit Ansicht aller Inhalte...und deswegen (wenn sowas gemacht wird, also die DB exportieren und lokal abspeichern) sollte eben auch die entstehende Exportdatei verschlüsselt werden. Auch da könnten die Entwickler von keepassXC sicherlich noch eine Sicherheitsebene einziehen.
Am Ende ist dann aber wie immer auch die Frage: wollen die Anwendenden ihr Masterpasswort gefühlt alle zwei Arbeitsschritte erneut eingeben? Oder wird die Funktion dann doch wieder deaktiviert, weil...ach nöö, zu unbequem! Und zack, sind wir wieder auf Layer 8 Ebene als Problemquelle angelangt...
:)
 
Zuletzt bearbeitet:
the other schrieb:
wollen die Anwendenden ihr Masterpasswort gefühlt alle zwei Arbeitsschritte erneut eingeben? Oder wird die Funktion dann doch wieder deaktiviert, weil...ach nöö, zu unbequem!
Zum Vergrößern anklicken....
Das ist und wird immer ein Thema bleiben, Bequemlichkeit gegen Sicherheit und daran wird sich so schnell auch nichts ändern. Dazu kommt dann ebenfalls, dass in den meisten Fällen die Bequemlichkeit auf kurz oder lang die Überhand gewinnt und damit ist das Thema eignetlich auch schon wieder durch 😄
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 160 (Mitglieder: 7, Gäste: 153)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.061
Beiträge
58.911
Mitglieder
6.078
Neuestes Mitglied
schmih

Teilen

Zurück
Oben