Von den Funktionenen ist Bitwarden haushoch überlegen und sicherheitstechnisch auch klar im Vorteil.
Dank kostenloser Wildcardzertifikate via Lets Encrypt für den Synology DDNS Dienst könnte man das Ding theoretisch extern erreichbar machen - 2FA ist ja easy eingerichtet:)
Diese „Lücke“ geht ja jetzt schon ein paar Tage durchs Netz, ist aber nicht ganz unumstritten, denn
„Für einen erfolgreichen Angriff müssen einzig zwei Voraussetzungen erfüllt sein, der Angreifer benötig Zugriff auf das System und der Benutzer muss beim Passwort-Manager angemeldet sein.“
Also so ziemlich worst case scenario, das bei einer Systemübernahme (durch malware o.ä.) deine Passwörter bei Benutzung kompromittiert werden können ist jetzt keine spektakuläre neue Erkenntnis sondern nur logisch.
Ja, wobei ein Angreifer in diesem Fall auch genauso gut einen Keylogger verwenden könnte, um an das Passwort für die KeePass Datenbank zu gelangen. Nichtsdestotrotz ist mMn diese Trigger-Funktion besser in der Datenbank aufgehoben als in einer Konfigurationsdatei.
Und diese nicht nur aus ein, sondern zwei Softwarekomponenten bestehende Lösung, die beide gesichert werden müssen, hat weniger potentielle Lücken und ist besser auditiert als KeePass, weil…?
Was willst du mit der reisserischen Frage bewirken?
Um die Backups der „Softwarekomponenten“ kümmere ich mich schon - Bitwarden ist ebenso OpenSource wie KeePass - KeePass nutzt aber veraltete Technik die keine (Sicherheits)Updates mehr erhält
#Luke Nicht reißerisch! Einfach nachgefragt - Antwort: Kommerziell.
Ich denke, hier geht es vorwiegend um freie Software. Kommerzielle Apps sollen deshalb nicht ausgeschlossen / verteufelt werden. Auch die haben ihre Berechtigung.
Umgekehrt könnte man Dir auch Werbung für…unterstellen, was Du sicherlich nicht gewollt hast.
Achso, dies ist dann einfach nachgefragt - komische Ansichten herrschen hier teilweise…
Werbung für Bitwarden? Weil ich 3 Links eingestellt habe und schrieb ich sei auf Vaultwarden umgestiegen?
Für Privatandwender ist Bitwarden übrigens komplett kostenlos, und wenn man es selbst hostet hat man auch die Premiumfeatures gratis mit dabei - nur mal so als Info am Rande;)
In der schriftlichen Kommunikation können Aussagen relativ schnell anders verstanden werden als vom Ersteller gedacht. Auch kann die persönliche Stimmung beim Schreiben den Stil beeinflussen. Nicht alles ist als persönlicher Angriff gemeint. Ich bitte daher, es dabei zu belassen. Vielen Dank!
Das sehe ich nicht so. Die KeePass Thematik, respektive die Antwort der Entwickler auf die aktuelle Sicherheitslücke wurde hier ja bereits zitiert (habe dazu auch diverse Artikel in der Fachpresse gelesen). Man kann aus den Antworten der Entwickler aber nicht ableiten, dass KeePass abseits der diskutierten Schwachstelle keine Updates mehr erhalten wird. Des Weiteren ist KeePass laut einem Artikel der c’t von vor zwei Jahren einer der sichersten Password Manager, insbesondere was den Schutz der Daten im RAM betrifft. Und was die aktuelle Diskussion betrifft so denke ich, dass die Entwickler recht haben und @nobody den passenden Workaround:
Das war eigentlich als „Design-Vorschlag“ gedacht. Als Benutzer kann man das nicht beeinflussen - zumindest wüsste ich nicht wie. In den Einstellungen finde ich dazu nichts.
Ich glaube dieses „Problem“ betrifft nur KeePass und nicht KeePassXC. Sowohl in den Einstellungen als auch in der Doku habe ich nichts zu diesen Trigger gefunden. Wenn ich mir diesen PoC (github.com) ansehe und die KeePass.config.xml (ohne die PowerShell Action) anlege, dann wird nichts exportiert. Daraus schließe ich, dass entweder Linux Distributionen oder KeePassXC davon nicht betroffen sind - oder beides.
Dazu benötigt ein Angreifer aber Schreibberechtigungen auf dem System des Keepass-Nutzers.
Frage ich mich immer warum das ein ernsthaftes Sicherheitsproblem sein soll, wer Angreifer rein lässt hat doch schon vorher auf einen seltsamen Link geklickt in einer Mail.
So wie ich heute von Amazon das ich wegen meiner Retoure Rückfragen beantworten sollte, sah gar nicht so schlecht aus die Mail fast echt, wurde aber trotzdem einfach gelöscht, anstatt den Link zu klicken. Sollte es wirklich amazon gewesen sein melden die sich nochmal
Ok, dann lasse ich halt das „klar“ weg - sicherheitstechnisch ist es einfach im Vorteil weil:
Die Einstellungen nicht über eine xml gesetzt werden, die manipuliert werden kann - das ist einfach ein Designfehler…
keine veraltete Software, welche nicht mehr gepflegt wird zum „bauen“ des eigentlichen Programms verwendet wird
Ich schrieb auch, dass dieses „Problem“ nur bei KeePass vorhanden ist, und es war auch nicht meine Absicht KeePass zu verteufeln, habe es ja selbst jahrelang genutzt…
Interessant nur, dass hier gleich Belege gefordert werden, warum schaut man sich nicht einfach mal die verlinkten Seiten genauer an…
Würde man bei anderen Themen so argumentierenm würde man ruckzuck als sogenannter „Leugner“ hingestellt
Es war ja auch gar kein Rede von, dass KeePass selbst keine Updates mehr bekommt - die Software „dahinter“ bekommt halt seit Jahren keine mehr…
Wie @nobody auch schrieb, den Workaround kann man eben aufgrund des Designfehlers nicht anwenden - betrifft aber wie eingangs von mir geschrieben nur KeePass…
Danke Leute!
Ich freue mich über die angeregte Diskussion. Aber bitte, in der Eröffnung des Threads stand eindeutig AFÄNGERFRAGE! Mein Nichtwissen wurde auch prompt beantwortet. Mit dem neu erworbenen Wissen kann ich nun einige Passwortmanager testen.
Die letzten Beiträge sind so speziell, dass sie mir jetzt eher nicht helfen, aber für Spezialisten eine gute Grundlage für die Fortführung einer Diskussion bieten.
An den Admin: In einen gesonderten Thread auslagern wäre sicherlich von Vorteil.
Im Artikel selber habe ich keine Hinweise auf veraltete Technik oder fehlende Sicherheitsupdates für Keepass Komponenten gefunden. Deshalb meine Nachfrage. Die Kommentare habe ich nicht gelesen.
