Het zijn een paar slechte maanden geweest voor wachtwoordbeheerders, zij het meestal alleen voor LastPass. Maar na de onthullingen die LastPass had een grote inbreuk heeft geleden, de aandacht gaat nu naar open-sourcemanager KeePass.
Inhoud
- Het zal niet opgelost worden
- Wat kan je doen?
Er gaan beschuldigingen rond dat een nieuwe kwetsbaarheid hackers in staat stelt om heimelijk de volledige wachtwoorddatabase van een gebruiker in niet-versleutelde leesbare tekst te stelen. Dat is een ongelooflijk serieuze bewering, maar de ontwikkelaars van KeePass betwisten deze.
KeePass is een open source wachtwoordbeheerder dat de inhoud opslaat op het apparaat van een gebruiker, in plaats van in de cloud zoals concurrerende aanbiedingen. Net als veel andere apps kan de wachtwoordkluis echter worden beveiligd met een hoofdwachtwoord.
Verwant
- Deze gênante wachtwoorden zorgden ervoor dat beroemdheden werden gehackt
- Google heeft deze essentiële Gmail-beveiligingstool zojuist volledig gratis gemaakt
- NordPass voegt ondersteuning voor wachtwoordsleutels toe om uw zwakke wachtwoorden te verbannen
De kwetsbaarheid, aangemeld als CVE-2023-24055, is beschikbaar voor iedereen met schrijftoegang tot het systeem van een gebruiker. Zodra dat is verkregen, kan een bedreigingsacteur opdrachten toevoegen aan het XML-configuratiebestand van KeePass exporteer automatisch de database van de app – inclusief alle gebruikersnamen en wachtwoorden – naar een niet-versleutelde database platte tekst bestand.
Aanbevolen video's
Dankzij de wijzigingen in het XML-bestand gebeurt het proces allemaal automatisch op de achtergrond, zodat gebruikers niet worden gewaarschuwd dat hun database is geëxporteerd. De bedreigingsacteur kan vervolgens de geëxporteerde database extraheren naar een computer of server die hij beheert.
Het zal niet opgelost worden
De ontwikkelaars van KeePass hebben echter de classificatie van het proces als een kwetsbaarheid betwist wie schrijftoegang tot een apparaat heeft, kan de wachtwoorddatabase in handen krijgen met behulp van verschillende (soms eenvoudiger) methoden.
Met andere woorden: zodra iemand toegang heeft tot uw apparaat, is dit soort XML-exploit niet meer nodig. Aanvallers kunnen bijvoorbeeld een keylogger installeren om het hoofdwachtwoord te achterhalen. De redenering is dat zorgen maken over dit soort aanvallen hetzelfde is als de deur dichtdoen nadat het paard is weggelopen. Als een aanvaller toegang heeft tot uw computer, zal het oplossen van de XML-exploit niet helpen.
De oplossing, zo stellen de ontwikkelaars, is “het veilig houden van de omgeving (door het gebruik van antivirussoftware, een firewall, het niet openen van onbekende e-mailbijlagen, enz.). KeePass kan niet op magische wijze veilig werken in een onveilige omgeving.”
Wat kan je doen?
Hoewel de ontwikkelaars van KeePass niet bereid lijken het probleem op te lossen, zijn er stappen die u zelf kunt nemen. Het beste wat u kunt doen, is een afgedwongen configuratiebestand. Dit heeft voorrang op andere configuratiebestanden, waardoor eventuele kwaadwillige wijzigingen die door krachten van buitenaf worden aangebracht (zoals die worden gebruikt bij de kwetsbaarheid voor het exporteren van databases) worden beperkt.
U moet er ook voor zorgen dat gewone gebruikers geen schrijftoegang hebben tot belangrijke bestanden of mappen binnen de KeePass-directory en dat zowel het KeePass .exe-bestand als het afgedwongen configuratiebestand zich in dezelfde map bevinden map.
En als u zich niet op uw gemak voelt om KeePass te blijven gebruiken, zijn er tal van andere opties. Probeer eens over te stappen naar een van de beste wachtwoordmanagers om uw logins en creditcardgegevens veiliger dan ooit te houden.
Hoewel dit ongetwijfeld nog meer slecht nieuws is voor de wereld van wachtwoordbeheerders, zijn deze apps nog steeds de moeite waard om te gebruiken. Zij kunnen je helpen creëren sterke, unieke wachtwoorden die gecodeerd zijn op al uw apparaten. Dat is veel veiliger dan gebruik “123456” voor elk account.
Aanbevelingen van de redactie
- Door deze kritieke exploit kunnen hackers de verdediging van uw Mac omzeilen
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
- Nee, 1Password is niet gehackt – dit is wat er werkelijk is gebeurd
- Als u deze gratis wachtwoordbeheerder gebruikt, lopen uw wachtwoorden mogelijk gevaar
- LastPass onthult hoe het werd gehackt – en dat is geen goed nieuws
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
