WinFuture-Forum.de: offenes KEEPASS - Sicherheitslücke? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

offenes KEEPASS - Sicherheitslücke?


#1 Mitglied ist offline   marwilm 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 29. März 21
  • Reputation: 0

geschrieben 29. März 2021 - 16:09

Guten Tag, ich benutze seit einiger Zeit erfolgreich KEEPASS und habe die Datenbank auf einen USB gespeichert. Wenn ich morgens meinen PC starte, starte ich auch KEEPASS. Das Programm bleibt den ganzen Tag über offen, bis ich am Abend den PC herunterfahre, weil Passwörter alle Nasen lang gebraucht werden. Liegt darin eine Sicherheitslücke? Könnten evtl. sogar all meine Passwörter ausgelesen werden, wenn jemand Zugang zu meinem PC erhält? Wie kann ich mich ggfs. dagegen schützen?
Danke für die Hilfe! Wilhelm
0

Anzeige



#2 Mitglied ist offline   CaNNoN 

  • Gruppe: aktive Mitglieder
  • Beiträge: 497
  • Beigetreten: 16. November 05
  • Reputation: 84

geschrieben 29. März 2021 - 19:21

nunja, wenn jemand bereits zugang zu deinem pc hat, dann hast du in der regel eigentlich so oder so verloren.

zum thema keepass, einerseits koennte man mit einem fernwartungstool (z.b. teamviewer) ebenso wie du es auch machst die passwoerter kopieren, andererseits reicht es auch die keepass datenbank mitzunehmen und mit einem keylogger zu warten bis du das master-passwort eintippst.

dagegen hilft wohl teilw. diese funktion: https://keepass.info...bfuscation.html
1

#3 Mitglied ist offline   Stef4n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.225
  • Beigetreten: 20. August 18
  • Reputation: 254
  • Geschlecht:Männlich
  • Wohnort:RLP ~Mainz
  • Interessen:pc

geschrieben 29. März 2021 - 21:47

Natürlich ist eine geöffnete und entschlüsselte Datenbank erst mal angreifbarer wie eine geschlossene. Aber du möchtest ja auch damit arbeiten und immer wieder das Masterpasswort einzugeben ist ja auch lästig. Man muss halt immer abwägen zwischen Sicherheit und Benutzbarkeit.
Auf meinem Android sperrt sich mein Keepass2Android umgehend nach Wechseln der App wieder, aber da reicht auch nur ein Daumenabdruck zum öffnen der Datenbank. Vielleicht gibt es ja eine ähnliche Lösung über das was CaNNon vorgeschlagen hat.

Ich würde mal noch in die Runde werfen, dass du hoffentlich Kopien deiner Keepass Datenbank hast und nicht nur auf dem USB Stick. So ein Stick geht ja mal ganz gerne von heute auf morgen kaputt, das wäre schade wenn es die Datenbank dahinrafft.
Ich sehe da kaum einen Vorteil drin die Datenbank auf einem Wechselmedium liegen zu haben. Wenn dein Rechner kompromittiert sein sollte ist es auch egal ob die Datenbank auf der Festplatte oder dem Stick liegt.
... aber bitte vorher ein Backup machen! ;-)
1

#4 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.164
  • Beigetreten: 11. September 10
  • Reputation: 458
  • Geschlecht:Männlich

geschrieben 29. März 2021 - 22:50

Die Frage ist aber auch, wer denn im zweifel Zugang hat und um welche Daten es sich handelt. Sind es Kollegen, die ohnehin Zugang zu denselben Firmendaten haben? Besteht nur die theoretische Möglichkeit, dass sich jemand Zugriff verschafft, aber in der Praxis besteht eigentlich gar keine Gefahr?

Und egal, ob in echt oder elektronisch, ist für mich ein Schlüsselbund nichts Anderes, als eine praktische Erfindung, um bei der nächstbesten Gelegenheit alle Schlüssel auf einmal zu verlieren.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
1

#5 Mitglied ist offline   Ler-Khun 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.963
  • Beigetreten: 16. Dezember 06
  • Reputation: 237
  • Geschlecht:unbekannt
  • Wohnort:Hätte schlimmer kommen können

geschrieben 30. März 2021 - 21:53

Der letzte Satz von Stef4n sagt eigentlich alles. Was hält du davon auf ein Passwortsystem umzusatteln?
Ein ganz simples mit dem auch alle Anforderungen erfüllt sind welche von einem Password verlangt wird bei Registrierungen, wäre zB:
Jeweils den Webseitennamen rückwärts. Der erste und letzte Buchstabe wird immer groß geschrieben. Das Ganze seetz man dann irgendwie in einem Zahlen- und Sysmbolkombie die immer gleich ist.

Für WF sähe das dann so aus:
??ErutufniW99

und für Netzwelt
??TlewzteN99

Oder man nimmt jeweils die ersten beiden, letzten beiden, oder, oder... Buchstaben des jeweiligen Doaminnnames, überlegt an wievielter Stelle des Alphabetes diese Buchstaben stehen und bastelt da sein Masterpaswort drumherum.

Mit so einem System hat man eine einfache, aber effektive Möglichkeit für jede Website unique Passwörter zu haben ohne sie sich merken zu müssen.
Es ist nicht alles Chrome was glänzt. Firefox -Der bessere Browser
0

#6 Mitglied ist offline   Stef4n 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.225
  • Beigetreten: 20. August 18
  • Reputation: 254
  • Geschlecht:Männlich
  • Wohnort:RLP ~Mainz
  • Interessen:pc

geschrieben 30. März 2021 - 22:10

Also auch wenn du dich auf mich beziehst, ich bin ein absoluter Fan von einer Kennwort Datenbank und ich pflege eine super gepflegte Keepass Datenbank und nutze diese auch täglich. Und die liegt in der Cloud und wird auch regelmäßig an unterschiedliche Stellen versioniert gesichert. Eben weil mir dieses Ding so wichtig ist. Aber drauf verzichten möchte ich nicht, Kennwort Muster gut und schön, aber ich hab kein Bock mir alles merken zu müssen.
... aber bitte vorher ein Backup machen! ;-)
0

#7 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.164
  • Beigetreten: 11. September 10
  • Reputation: 458
  • Geschlecht:Männlich

geschrieben 30. März 2021 - 22:18

Mit solcherart Passwortmuster arbeite ich auch, aber es gibt immer wieder Probleme. Man hat 14 Passwörter vergeben und alles funktioniert. Dann kommt das 15 Kennwort dazu und das Muster passt nicht zu den Anforderungen.
Bauernregel: Regnets mächtig im April, passiert irgendwas, was sich auf April reimt.
0

#8 Mitglied ist offline   marwilm 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 29. März 21
  • Reputation: 0

geschrieben 02. April 2021 - 05:30

Danke für die Hilfestellungen! Ich hatte eher gehofft, dass es so etwas wie einen shortcut gibt, mit dem ich KeePass nach der regulären Anmeldung zwischenzeitlich (wenn nicht gebraucht)schließen und bei Bedarf ebenso einfach wieder öffnen kann??!! Schöne Osterfeiertage! Wilhelm
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0