KeePass 2.53 veröffentlicht: Kostenloser Passwortmanager
von caschy | 28 Kommentare
KeePass ist ein kostenloser Passwort-Manager, der es Benutzern ermöglicht, alle ihre Passwörter sicher in einer Datenbank zu speichern. Mit KeePass können Benutzer sich ein Hauptpasswort für die Datenbank setzen und dann alle ihre anderen Passwörter darin speichern. Dies ermöglicht es den Benutzern, sich nur noch ein Hauptpasswort zu merken und alle ihre anderen Passwörter automatisch auszufüllen, wenn sie sie benötigen. Die Datenbank wird durch starke Verschlüsselung geschützt, um sicherzustellen, dass nur der Benutzer auf seine Passwörter zugreifen kann. Nun ist KeePass 2.53 erschienen. Der Entwickler hat einen ganzen Schwung von Verbesserungen und Neuerungen in KeePass 2.53 einfließen lassen, wobei sich die meisten unter der Haube und somit nicht sichtbar für Nutzer abspielen.
Sichtbar ist aber die History: Im Tab ‚Historie‘ des Eingabedialogs wurde die Schaltfläche ‚Vergleichen‘ hinzugefügt; wenn zwei (nicht notwendigerweise aufeinanderfolgende) Historieneinträge ausgewählt werden, zeigt ein Klick auf die Schaltfläche einen detaillierten Vergleich (mit Werten usw.). Ebenso wurden die Tastaturkürzel Strg+T für den Eingabebefehl „Zeitbasiertes OTP kopieren“ und Strg+Umschalt+T für den Eingabebefehl „Zeitbasiertes OTP anzeigen“ hinzugefügt. Übrigens:
Nutzer der klassischen Ausgabe des Passwort-Managers KeePass finden seit kurzem Version 1.41 zum Download vor. KeePass Version 1 und 2 unterscheiden sich stark in ihren Funktionen, allerdings gibt es eben Nutzer, denen die Version 1 ausreicht. Eine Übersicht der Unterschiede zwischen KeePass 1 und KeePass 2 findet ihr auf dieser Seite.
- Unser bisher schnellster Streaming-Mediaplayer – Blitzschnelle App-Starts, Octa-Core-Prozessor und...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„ Ebenso wurden die Tastaturkürzel Strg+T für den Eingabebefehl „Zeitbasiertes OTP kopieren“ und Strg+Umschalt+T für den Eingabebefehl „Zeitbasiertes OTP anzeigen“ hinzugefügt.“
Es ist super, das KeePass OTP kann, aber man sollte es trotzdem nicht hier speichern. Zumindest nicht in der gleichen Datenbank wie die Passwörter. Der Sinn eines zweite Faktors ist es ja gerade, einen zweiten Faktor zu haben und das nicht wieder zu einem zu machen
Nutze selbst KeePass auf diversen Geräten und für die OTP Aegis auf dem „immer dabei“ Smartphone
Für den Hacker ist es weiterhin ein zweiter Faktor. Daher ist das schon okay
Hmm, aber WENN der Hacker Dein KeePass File knackt, hat er gleich alles und kann alle Deine Konten übernehmen.
Und das ist genau das, was man mit dem 2. Faktor verhindern möchte.
Zur Erinnerung: 1. Faktor = Wissen (Passwort), 2. Faktor = Besitz (Smartphone mit OTP, OTP Generator, Yubikey etc.) oder Biometrie (Fingerabdruck-Scanner z.B.)
Ja aber wie wahrscheinlich ist es, dass jemand überhaupt an deine Datenbank rankommt, dazu auch noch das Keyfile und dann auch noch das Passwort knackt? Ich verstehe deinen Angriffsvektor aber die Wahrscheinlichkeit erscheint mir so absurd gering, dass es den Komfortgewinn mMn absolut wert ist. Durch den Komfort habe ich bei so ziemlich jedem Onlinedienst, der es unterstützt OTP aktiv. Ohne KeePass wäre mir das zu blöd. Das ist für mich ein relevanter Sicherheitsgewinn, gegen das diese minimale Angriffsmöglichkeit bei weitem nicht entgegensteht. Aber jeder wie er mag.
Die OTP-Einträge einfach in einer zweiten, gut geschützten Datenbank zu speichern ist ja kein großer Mehraufwand, zumindest am PC.
Das stimmt. Aber jedes Mal beim zurück an PC gehen muss man dann zwei Passwörter eingeben. Und am Handy (was die meisten Leute nutzen dürften) ist’s echt unpraktisch. KeePassium unter iOS bspw. integriert sich super in iOS und kopiert auch den TOTP in die Zwischenablage nach jedem AutoFill. Das ist schon super… aber klar, jeder wie er mag.
Ernstgemeinte Frage, das Passwort von otp Aegis in KeePass zu speichern ist ok?
Ich denke schon. Die eigentlichen 2FA-Geheimnisse stehen ja dann immer noch in einer anderen Datei. In meinem Fall sogar in einem anderen Handy.
Es wäre natürlich besser, das Passwort dafür nicht in der Passwortdatenbank zu speichern. Oder gleich ein spezielles 2FA-Gerät (z.B. von Rainer SCT). Letztendlich muss sich jeder selbst entscheiden, wie viel Komfort man für die Sicherheit aufgeben will.
Ich speichere das Aegis Passwort nicht in KeePass, sondern habe es im Kopf.
Generell würde ich sagen, wäre es wahrscheinlich ok, wenn Keepass mit einem guten Passwort abgesichert ist. Am Ende kommt es immer auf das Bedrohungsszenario an. Ein Journalist in einem repressiven Staat hat sicher andere Ansprüche als Hans Müller aus Wuppertal, der nix Besonderes macht.
Meine Datenbank selbst ist aber auch OTP geschützt als 2. Faktor.
Wie genau kann man das denn einstellen? Beim erstellen der Datenbank hab ich dazu nichts gefunden.
Ich schätze mal, er verwendet das Plugin otpkeyprov
keepass.info/plugins.html#otpkeyprov
Ich nutze nen Yubikey, zB. dort Schritt für Schritt:
https://www.netz-weise-it.training/weisheiten/kennwoerter-sicher-verwalten-mit-keepass-und-yubikey-mfa.html
Mit KeePassXC gibt es das sogar in schön(er) 😛
1. Priorität Sicherheit
2. Priorität Bedienbarkeit
…
99. Priorität Schönheit
Ja. Dafür fehlt es KPXC aber auch massiv am Funktionsumfang, vor allem weil die Plugins fehlen.
Naja mal sehen, Version 2.8 wird wohl viele neue Funktionen hinzufügen, gerade was so OTP oder QR Codes betrifft.
Offtopic: Wieso kann man die Kommentare in einem Beitrag nicht mehr per Mail abonnieren? Bitte fixt das!
Die Plugins sind halt ein Sicherheitsrisiko, kann man also so oder so sehen…
Vor allem der SSH Agent in XC ist super nützlich.
Es gibt sogar die Möglichkeit, die Datenbank von keepass mit dem digitalen Perso zu verschlüsseln.
Dazu brauch man das Plugin:
KeePerso 2.x
Author: buergerservice.org. Language: German
Encrypt and decrypt your database using Personalausweis eID (via AusweisApp2).
Interessant, aber da hängt mir dann doch zuviel dran (App, Perso), da hätte ich Angst dass ich mich bei technischen Problemen u.ä. (zumindest vorübergehend) aus meinem Safe aussperren würde…
Ich bin privat wegen der ursprünglich fehlenden inziwschen schlecht implementierten Windows-Hello-Funktion von KeepassXC zu Kepass zurückgekehrt. Klar, etwas weniger schick, aber durch die Plugins viel mehr Optionen.
Dienstlich kann ich nur Keepass nutzen und da sind leider alle Plugins gesperrt.
Da suche ich noch immer eine Idee, um die Datenbank (ähnlich wie bei Quickunlock bei Keepass2Android sinnvoll per PIN etc zu entsperren, nachdem ich einmal das Hauptpassword eingegeben habe, ohne das Hauptpassword vollstänig neu einzugeben.
Hat jemand eine Idee?
Hintergrund ist, dass der PC ja sowieso bei Abwesenheit gesperrt wird, bzw ich ihn manuell sperre, wenn ich den Arbeitsplatz verlasse. Allerdings gibt es Situationen, wo ich das vergesse oder jemand von der IT bei einem technischen Problem entweder an meinem Arbeitsplatz oder per Fernwartung auf den Rechner zugreiften könnte. Ein Quickunlock mit maximal 3 Versuchen bis zur Eingabe des Hauuptpassowrds, würde mir da aber als Vorkehrung reichen.
Es gibt KeePass auch portabel, da kannst Du dann auch Plugins installieren. Sofern das Ausführen von unbekannten Anwendungen bei Dir nicht auch gesperrt ist. Ansonsten würde ich vermuten, dass die Anwesenheit von den QuickUnlock-Plugins dafür spricht, dass KeePass so etwas nicht eingebaut hat.
Ansonsten ist wohl das Beste, wenn Du Dir das Sperren des Rechners angewöhnst. Das ist auch aus Informationsschutzgründen sinnvoll.
Der Bildschirmschoner kann auch weiter helfen (wenn der nicht eh schon aktiviert ist), da er den Rechner sperren kann. Dann ist der Rechner nur ein paar Minuten ungeschützt.
Danke für die Anregungen.
Unbekannte Dateien sind natürlich auch gesperrt.
Der Rechner sperrt sich nach 15 Minuten. Auch dieses Intervall ist unveränderbar vorgegebenen. Das Zeitfensters ist also recht klein, aber wenn ich zum Beispiel nur zum Netzwerkdrucker gehe sperre ich den Rechner nicht und aufgrund der häufigen Nutzung und des langen Passwortes ist Keepass dann eben offen…
abgesehen davon, dass ICH auch den Bildschirm sperren würde, wenn ich nur 5 Minuten weg bin, kannst du Keepass so einstellen, dass eine globale Inaktivität von x Sekunden zur Sperre der Datenbank führt (Optionen – Sicherheit)
Das hilft dir natürlich nicht bei deinem Problem des „Qickunlock“
Dafür gibt es den sogenannten Autoclicker. Der lässt sich per USB Portable starten. einfach bei den Minuten 10 eingeben, auf Start klicken und minimieren und schon ist Ruhe mit der nervigen Autoabmeldung.
Wenn schon KeePass Portable geblockt wird, warum sollte dann dieses Programm laufen?
Außerdem macht das Programm genau das Gegenteil vom Gewünschten: der Rechner (oder eben KeePass) soll sich ja sperren. Nur das Entsperren von KeePass soll einfacher werden. Also statt die vollen 30 Zeichen des Hauptpassworts nur die letzten 4 Zeichen.
Was ist mit der DLL injection „KeeFarce“ funktioniert die nun nicht mehr? Dann wäre KeePass ja endlich sicherer
KeeFarce ist kein Sicherheitsproblem von KeePass(XC). Damit KeeFarce funktioniert benötigt man Vollzugriff auf Deinen Rechner und eine geöffnete Datenbank, das bedeutet Dein Rechner steht vollständig unter fremder Kontrolle. Und KeeFarce ist nicht die einzige Möglichkeit bei geöffneter Datenbank an die Passwörter zu kommen. Kein Passwortmanager kann sicher auf einem kompromittierten System betrieben werden. Ein sicherer Rechner liegt in Deinem Verantwortungsbereich.
https://keepass.info/help/kb/sec_issues.html#keefarce