Europäische Kommission nimmt KeePass unter die Lupe
Unter den kostenfreien Lösungen zur Verwaltung von Passwörtern und diversen Zugängen kristallisiert sich bei unseren Lesern immer ein Liebling heraus. KeePass. Die Software ist auf mehreren Plattformen einsetzbar, zudem gibt es Dritt-Tools zum Lesen und Schreiben der Datenbanken auf Android und iOS. KeePass ist seit Jahren das, was man „eine Bank“ nennt. Zwar nicht in allen Belangen überragend, aber dennoch eine empfehlenswerte Software. Nun nimmt sich die Europäische Kommission den kostenlosen Open Source-Passwortmanager vor. Das hat allerdings nichts mit einer Ausnutzung eines Monopols zu tun, stattdessen wird man einen externen Security-Audit durchführen, der alle Sicherheitsaspekte der Software ausloten soll.
Realisiert wird das Ganze nach einer Umfrage durch Joinup, der kollaborativen Plattform, die von der Europäischen Kommission und der Europäischen Union über das Interoperability Solutions for European Public Administrations Program ins Leben gerufen wurde. Dass KeePass nun untersucht wird, ist das Ergebnis einer Umfrage. Hier standen diverse Open Source-Lösungen zur Auswahl, beispielsweise Filezilla, 7-zip oder auch der VLC Media Player. Getroffen hat es den Apache HTTP Server mit 18,7 Prozent der Stimmen – hinter dem Sieger KeePass, auf den 23,1 Prozent der Stimmen entfielen. Werden sicherheitskritische Lücken gefunden, so werden diese dem Entwickler mitgeteilt. Ganz unkritisch wird der Audit nicht beäugt, Matthias Kirschner, Vize-Präsident der Free Software Foundation Europe, teilt in seinem Blog mit, dass er Sorge habe, dass das große Budget keinen positiven Einfluss auf freie Software habe.
Naja, also wenn man das mit 1Password vergleicht.. da liegen ja alleine vom Design her WELTEN dazwischen.
Huch, Kommentar weg?
Irgendwie… ich verstehe nicht, warum sich die EU um so was kümmert. Da sitzen doch in der Hauptsache Menschen, die nicht mal wissen, dass Emails standardmäßig wie Postkarten unverschlüsselt für jeden lesbar über den Äther gehen. Warum beschäftigen die sich mit sowas? Muss mal in Ruhe den Blogpost von diesem Kirschner lesen. Dem ersten Absatz nach, denke ich jedenfalls auch, dass das Budget nicht zwangsläufig ein brauchbares Ergebnis liefern wird.
@frankyon : „da liegen ja alleine vom Design her WELTEN dazwischen“…. sicherheitskritische software und worauf geachtet wird ist das design…. unglaublich…
@Frankyon: Design sollte bei einem Password-Manager nicht das wichtigste sein. 😉
Gilt natürlich auch für alle anderen Programme und Dienste die mit Verschlüsselung arbeiten.
@frankyon, Ich bin ja sonst kein Aluhutträger und benutze auch WhatsApp und Co. Aber wenn es um meine Passwörter geht, ziehe ich eine hässliche Offline Datenbank einer schönen Online Datenbank vor. Das wird irgendwann noch richtig krachen…
Und wer will, kann ja seine KeePass Datenbank auf seiner >eigenen< Cloud ablegen oder daheim via WLAN mit dem Handy syncen. So viel Arbeit ist das wirklich nicht.
@Topic, na dann bin ich mal gespannt ob unsere Neuland-Pioniere da fündig werden.
@frankyon: nur ist das Design bei einem Passwortmanager so ziemlich das unwichtigste..
Afaik sind die Schwachstellen bereits hinreichend bekannt. Die haben in der Regel aber nichts mit der Software selbst, sondern mit unzulänglichkeiten der Betriebsysteme zu tun, aus denen man aus dem Speicher Daten abgreifen kann. Die genutzten Verschlüsselungstechniken sind ja jetzt nichts neues. Das sollte in der Vergangenheit auch schon alles beleuchtet gewesen sein. Meiner Meinung nach wird hier nur Geld versenkt.
@all: Es gibt auch SoftwareDESIGN – also die Struktur und die Konzepte, wie eine Software intern aufgebaut ist. Und in dem Fall stimme ich Frankyon vollkommen zu: Im Bereich Softwaredesign liegen da wirklich Welten dazwischen (alleine der Gedanke Passwörter in einer zentralen Cloud-Anwendung zu speichern löst bei mir schon Entsetzen aus).
Wenn es um das Aussehen geht, kann ich aber allen Vorrednern zustimmen: Das ist wirklich zweitrangig (wobei mir KeePass vom Aussehen auch sehr gut gefällt, kein Schnick-Snack und man kommt zielstrebig zum Ziel).
Ihr wisst schon, dass sich Design nicht alleine auf das Aussehen beziehen muss, sondern auch darauf wie etwas umgesetzt ist.
@icancompute: da du hier öfters kommentierst und meiner Erinnerung nach nicht regelmäßig trollst, frage ich mich, was der Auslöser für solch waghalsige Aussagen ist.
Man mag der Kommission ja vieles vorwerfen, aber mit dem Vorwurf von mangelnder Kompetenz – auch im Bereich der IT – macht man sich schon gehörig lächerlich.
@Michael
Zugegeben, provokant.
Ich halte einfach nicht viel von den Entscheidungsträgern, was IT und Telekommunikation angeht. Liegt wohl daran, dass der Lobbyismus bei denen eben mehr erreicht, als der gesunde Menschenverstand der Abgeordneten.
Meiner Meinung nach gibt einfach zu viele Themen, wo Entscheidungen nicht im Sinne der EU-Bevölkerung getroffen werden, weil wir angeblich für zu dumm gehalten werden. Die Dummheit der Wähler zu umgehen ist aber nicht der Job einer Volksvertretung. Und die EU-Kommission ist letztlich genau das. Und dennoch setzt sie sich in vielen Belangen über die Wünsche der Wähler hinweg, bzw. hält eine Befragung dieser für unnötig.
Und selbst wenn (IT) fachkundige Abgeordnete im EU-Parlament sitzen. Leider scheinen die in der Minderheit zu sein, bzw. sich nicht durchsetzen zu können. Siehe Roaming (ist doch auch nur halb so toll, wie die ganzen Provider – und EU-Kommision – den Kunden verkaufen wollen) oder Netzneutralität. Diese Themen haben zwar nicht allzu viel mit dem Sicherheits-Audit jetzt zutun, zeigen aber, wie gut Lobbyismus da in der Lage ist, vernünftige Entscheidungen abzumildern. Ich lese hin und wieder auf netzpolitik.org. Auch wenn da natürlich ordentlich Stimmung gemacht wird, gegen sämtliche Gremien. Als Quelle für einen ersten Input und weitere Eigenrecherche eignet sich das ganz gut.
Das mag also weiter oben eine oberflächliche Aussage sein, aber ich mache keinen Hehl daraus, dass ich hin und wieder nicht viel von den EU-Abgeordneten halte.
Nichts desto Trotz bin ich gerne bereit, mich vom Gegenteil überzeugen zu lassen. Quellen und Links nehme ich daher im Sinne einer fruchtbaren Diskussion gerne an.
PS: Ich habe den Blogbeitrag von Herrn Kirschner immer noch nicht gelesen, werde das aber tun. Möglich, dass danach meine Meinung schon anders ausfällt.
Wenn man etwas Ahnung von der Wirkung der UI auf die Nutzung hat, sollte man Keepass vor allem empfehlen, diese auf den Stand des neuen Jahrtausends anzupassen. Das ist für die Sicherheit aller bedeutend wichtiger als die Entdeckung eines theoretischen Sicherheitslecks. Denn ist die Ui so abschreckend, dass sich User allein deswegen abwenden und einem anderen Anbieter wählen, der eine bessere Nutzererfahrung bietet, aber unsicherer ist, so hat man das gegenteil dessen erreicht, was eigentlich Ziel sein sollte. Wer diesen Zusammenhang anzweifelt, sollte sich kurz vor Augen führen, wie oft usibility bei der Wahl eines Dienstes den Ausschlag gibt (google ist hier ein schönes Beispiel). Wenn ich frankoyn richtig verstehe, geht also gerade nicht darum, ob irgendeine nerdige Filterbubble Sicherheit vor Design vorzieht, sondern was die Mehrheit der Nutzer macht.
Mich würde mal interessieren was denn an der graphischen Oberfläche so schlecht sein soll? Ich finds aufgeräumt und ohne Klickibunti perfekt.
@Fraggle
Das Problem ist, dass die, die aus eine Generation kommen, die noch eine Kommandozeile kennen, vielleicht auch mal eine Man-Page gelesen haben, schon mal eine Konfigurations-Datei, vielleicht sogar in Form von INI oder XML editiert haben, nicht das Maß der Dinge sind.
Das Maß der Dinge, die, die in Unternehmen Entscheidungen treffen, die meisten, die zu Hause Tools benutzen, kommen viel eher aus der Ecke, wo man touched, wischt, mit solchen Dingen keine Berührung haben will. Die nutzen Slack, weil es hip ist, die nutzen irgend einen Cloud Dienst, weil er schick ist. Das die Funktionalität, oder wie hier die Sicherheit, oder bei Slack die Vertraulichkeit, nicht gegen ist, interessiert sie nicht, denn sie verstehen ohnehin nicht, worum es geht. Die klicken in KeePass einmal auf Datei / Neu, haben kein neues Passwort, sondern eine neue DB angelegt, wo sie nicht verstehen, was das ist, und beenden Keepass und sehen es sich nie wieder an.
@saujunge @frankyon: Ok, was Otto Normalos angeht muss ich da wohl leider recht geben. Die nehmen sich das erstbeste, einfache und schöne.
@saujunge:
Mit anderen Worten, Du willst lieber die Symptome als die Ursache bekämpfen? Ne, lieber nicht. Viel eher sollte man eher daran arbeiten, daß die Leute wieder denken zu lernen. Dann wäre auch kein Snowden nötig gewesen um Sicherheitsbewußtsein zu wecken.Wer übrigens Datei mit neuem Paßwort verwechselt, dem ist eh nicht zu helfen, ich versteh aber was Du damit andeuten wolltest.
Ja, die Masse ist saudumm, Aber der Weg einfach die Oberfläche so zu gestalten, daß saudumme auch ein Interesse haben, ist imho der falsche (natürlich sollte es einfach gehalten werden). Da muß ich irgendwie an Idiocracy denken 😉
Also die Gui von Keepass passt mir gut, muss kein neumodisches Material Design (das ich nebenbei zu kühl finde und mir überhaupt nicht gefällt) Da ist mir lieber es wird auf die Sicherheit geschaut. Außerdem finde ich es gut das das Programm angeschaut wird. Viele haben da doch einige brisante (aus unwissen) Passwörter drin, da schadet es nicht wenn das überprüft wird. Hab mir selber darüber schonmal Gedanken gemacht wies um die Sicherheit bei dem Programm steht.
Geht es um Keepass oder KeepassX? Ihr schreibt Keepass und verwendet das KeepassX-Logo
Kann jemand Tipps geben, wie man das ganze zwischen Win10 – Linux – Android vernünftig synchronisiert (dauernd ist die KDBX-Datei auf unterschiedlichen Stand…) und dann noch das ganze schick in die Browser bei Win10 und Linux (Firefox, stark customized) integriert?