Dieser riesige Passwort-Manager-Exploit wird möglicherweise nie behoben

Eskere Guru

Es waren ein paar schlechte Monate für Passwort-Manager – wenn auch hauptsächlich nur für LastPass. Doch nach den Enthüllungen, dass LastPass einen großen Einbruch erlitten hatte, richtet sich die Aufmerksamkeit nun auf den Open-Source-Manager KeePass.

Es gab Anschuldigungen, dass eine neue Schwachstelle es Hackern ermöglicht, heimlich die gesamte Passwortdatenbank eines Benutzers in unverschlüsseltem Klartext zu stehlen. Das ist eine unglaublich ernste Behauptung, aber die Entwickler von KeePass bestreiten sie.

Ein großer Monitor, auf dem eine Warnung vor Sicherheitsverletzungen angezeigt wird.

KeePass ist ein Open-Source- Passwortmanager , der seine Inhalte auf dem Gerät eines Benutzers speichert und nicht wie Konkurrenzangebote in der Cloud. Wie bei vielen anderen Apps kann der Passwort-Tresor jedoch mit einem Master-Passwort geschützt werden.

Die als CVE-2023-24055 protokollierte Schwachstelle ist für jeden mit Schreibzugriff auf das System eines Benutzers verfügbar. Sobald diese erhalten sind, kann ein Angreifer Befehle zur XML-Konfigurationsdatei von KeePass hinzufügen, die automatisch die Datenbank der App – einschließlich aller Benutzernamen und Passwörter – in eine unverschlüsselte Klartextdatei exportieren.

Dank der an der XML-Datei vorgenommenen Änderungen wird der Vorgang automatisch im Hintergrund ausgeführt, sodass Benutzer nicht benachrichtigt werden, dass ihre Datenbank exportiert wurde. Der Angreifer kann dann die exportierte Datenbank auf einen Computer oder Server extrahieren, den er kontrolliert.

Es wird nicht behoben

Eine Darstellung eines Hackers, der mithilfe von Code in ein System eindringt.

Die KeePass-Entwickler bestreiten jedoch die Einstufung des Verfahrens als Schwachstelle, da jeder, der Schreibzugriff auf ein Gerät hat, über andere (zum Teil einfachere) Methoden an die Passwortdatenbank gelangen kann.

Mit anderen Worten, sobald jemand Zugriff auf Ihr Gerät hat, ist diese Art von XML-Exploit unnötig. Angreifer könnten beispielsweise einen Keylogger installieren, um an das Master-Passwort zu kommen. Die Argumentation ist, dass die Sorge um diese Art von Angriff so ist, als würde man die Tür schließen, nachdem das Pferd durchgegangen ist. Wenn ein Angreifer Zugriff auf Ihren Computer hat, hilft das Beheben des XML-Exploits nicht.

Die Lösung, argumentieren die Entwickler, besteht darin, „die Umgebung sicher zu halten (durch die Verwendung einer Antivirensoftware, einer Firewall, das Öffnen unbekannter E-Mail-Anhänge usw.). KeePass kann in einer unsicheren Umgebung nicht auf magische Weise sicher ausgeführt werden.“

Was kannst du tun?

Passwort-Manager-Lifestyle-Bild

Während die Entwickler von KeePass nicht bereit zu sein scheinen, das Problem zu beheben, gibt es Schritte, die Sie selbst unternehmen können. Am besten erstellen Sie eine erzwungene Konfigurationsdatei . Dies hat Vorrang vor anderen Konfigurationsdateien und mindert alle böswilligen Änderungen, die von außen vorgenommen wurden (z. B. die, die in der Schwachstelle beim Datenbankexport verwendet werden).

Sie müssen auch sicherstellen, dass normale Benutzer keinen Schreibzugriff auf wichtige Dateien oder Ordner im KeePass-Verzeichnis haben und dass sich sowohl die KeePass.exe-Datei als auch die erzwungene Konfigurationsdatei im selben Ordner befinden.

Und wenn Sie KeePass nicht weiter verwenden möchten, gibt es viele andere Optionen. Versuchen Sie, zu einem der besten Passwort-Manager zu wechseln, um Ihre Logins und Kreditkartendaten sicherer denn je zu halten.

Obwohl dies zweifellos weitere schlechte Nachrichten für die Welt der Passwort-Manager sind, sind diese Apps dennoch eine Verwendung wert. Sie können Ihnen helfen, starke, eindeutige Passwörter zu erstellen, die auf allen Ihren Geräten verschlüsselt sind. Das ist weitaus sicherer als die Verwendung von „123456“ für jedes Konto .