Es waren ein paar schlechte Monate für Passwort-Manager – wenn auch größtenteils nur für LastPass. Aber nach den Enthüllungen, die LastPass hatte einen schwerwiegenden Verstoß erlitten, richtet sich die Aufmerksamkeit nun auf den Open-Source-Manager KeePass.
Inhalt
- Es wird nicht behoben
- Was kannst du tun?
Es kursieren Vorwürfe, dass eine neue Sicherheitslücke es Hackern ermöglicht, heimlich die gesamte Passwortdatenbank eines Benutzers im unverschlüsselten Klartext zu stehlen. Das ist eine unglaublich ernste Behauptung, aber die Entwickler von KeePass bestreiten sie.
KeePass ist eine Open-Source-Software Passwortmanager das seine Inhalte auf dem Gerät eines Benutzers speichert und nicht wie Konkurrenzangebote in der Cloud. Wie bei vielen anderen Apps kann der Passwort-Tresor jedoch mit einem Master-Passwort geschützt werden.
Verwandt
- Diese peinlichen Passwörter führten dazu, dass Prominente gehackt wurden
- Google hat dieses wichtige Gmail-Sicherheitstool gerade völlig kostenlos zur Verfügung gestellt
- NordPass bietet Passkey-Unterstützung, um Ihre schwachen Passwörter zu verbannen
Die Sicherheitslücke, protokolliert als CVE-2023-24055steht jedem zur Verfügung, der Schreibzugriff auf das System eines Benutzers hat. Sobald dies erfolgt ist, kann ein Bedrohungsakteur Befehle zur XML-Konfigurationsdatei von KeePass hinzufügen Exportieren Sie die Datenbank der App – einschließlich aller Benutzernamen und Passwörter – automatisch in eine unverschlüsselte Datei Klartextdatei.
Empfohlene Videos
Dank der an der XML-Datei vorgenommenen Änderungen läuft der gesamte Vorgang automatisch im Hintergrund ab, sodass Benutzer nicht darüber informiert werden, dass ihre Datenbank exportiert wurde. Der Bedrohungsakteur kann dann die exportierte Datenbank auf einen von ihm kontrollierten Computer oder Server extrahieren.
Es wird nicht behoben
Allerdings bestreiten die Entwickler von KeePass seit jeher die Einstufung des Prozesses als Schwachstelle Wer Schreibzugriff auf ein Gerät hat, kann auf verschiedene (manchmal einfachere) Weisen an die Passwortdatenbank gelangen. Methoden.
Mit anderen Worten: Sobald jemand Zugriff auf Ihr Gerät hat, ist diese Art von XML-Exploit unnötig. Angreifer könnten beispielsweise einen Keylogger installieren, um an das Master-Passwort zu gelangen. Die Argumentation ist, dass die Sorge vor einem solchen Angriff so ist, als würde man die Tür schließen, nachdem das Pferd durchgebrannt ist. Wenn ein Angreifer Zugriff auf Ihren Computer hat, hilft die Behebung des XML-Exploits nicht weiter.
Die Lösung, so argumentieren die Entwickler, besteht darin, „die Umgebung sicher zu halten (durch die Verwendung einer Antivirensoftware, einer Firewall, das Öffnen unbekannter E-Mail-Anhänge usw.). KeePass kann in einer unsicheren Umgebung nicht auf magische Weise sicher laufen.“
Was kannst du tun?
Obwohl die Entwickler von KeePass offenbar nicht bereit sind, das Problem zu beheben, gibt es einige Schritte, die Sie selbst unternehmen können. Am besten erstellen Sie eine erzwungene Konfigurationsdatei. Dies hat Vorrang vor anderen Konfigurationsdateien und schwächt alle böswilligen Änderungen ab, die von externen Kräften vorgenommen werden (z. B. die in der Datenbankexport-Schwachstelle verwendete).
Sie müssen außerdem sicherstellen, dass normale Benutzer keinen Schreibzugriff auf wichtige darin enthaltene Dateien oder Ordner haben sich im KeePass-Verzeichnis befinden und dass sich sowohl die KeePass-EXE-Datei als auch die erzwungene Konfigurationsdatei in derselben Datei befinden Ordner.
Und wenn Sie KeePass nicht weiter verwenden möchten, gibt es zahlreiche andere Optionen. Versuchen Sie, zu einem der folgenden zu wechseln beste Passwort-Manager um Ihre Login-Daten und Kreditkartendaten sicherer als je zuvor aufzubewahren.
Obwohl dies zweifellos eine weitere schlechte Nachricht für die Welt der Passwort-Manager ist, lohnt es sich dennoch, diese Apps zu verwenden. Sie können Ihnen beim Erstellen helfen starke, einzigartige Passwörter die auf allen Ihren Geräten verschlüsselt sind. Das ist weitaus sicherer als Verwenden Sie „123456“ für jedes Konto.
Empfehlungen der Redaktion
- Dieser kritische Exploit könnte es Hackern ermöglichen, die Abwehrmaßnahmen Ihres Mac zu umgehen
- Hacker haben möglicherweise den Hauptschlüssel eines anderen Passwort-Managers gestohlen
- Nein, 1Password wurde nicht gehackt – hier ist, was wirklich passiert ist
- Wenn Sie diesen kostenlosen Passwort-Manager verwenden, könnten Ihre Passwörter gefährdet sein
- LastPass enthüllt, wie es gehackt wurde – und das sind keine guten Nachrichten
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
