Passwortmanager Keepass GEHACKT! (CVE-2023-32784) 

Hacking mit Python amzn.to/3pxVnmh (*) (*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.

KeepassXC, Strongbox sowie die KeePass Versionen 1.X sind übrigens nicht betroffen

Ich nutze Bitwarden, aktuell die cloudbasierte Version, einfach aus Bequemlichkeit, damit überall (und OS-übergreifend) auf meine Passwörter zugreifen zu können. Habe den Login zusätzlich mit einem Yubikey abgesichert, d.h. der einzige cloudspezifische Schwachpunkt ist, wenn die verschlüsselte Passwortdatenbank geleakt werden sollte. Klar, theoretisch kann sowas passieren, aber dann müsste erstens das passieren und zweitens müsste man mein Masterpasswort herausfinden, um an meine Passwörter zu gelangen. Und selbst dann sind die enthaltenen Logins (sofern von der Webseite angeboten) durch 2FA abgesichert. Meine Frage: würde ich wirklich so viel mehr Sicherheit gewinnen, wenn ich den Dienst selbst hosten würde? Mein Zuhause ist ja nicht unbedingt sicherer als ein Clouddienst und ich behaupte mal, dass die Wahrscheinlichkeit, einen Konfigurationsfehler zu machen (oder bei eigener Implementierung einen Bug einzubauen), um ein Vielfaches höher ist als den Clouddienst zu nutzen, oder liege ich komplett daneben?

Ich finde es cool wie du immer wieder kleine Anime Anspielungen in deinen Videos drin vorkommen

Tolles Video! Du rätst ja von Passwort-Mgr ab, die Passwörter in der Cloud speichern. Was hältst du von einem self-hosted Vaultwarden-Server (ehemals bitwarden-rs), der auf meinem Raspi im LAN zuhause läuft, und alle Daten lokal speichert? Die Verbindung (Login etc.) habe ich noch mit einem self-signed SSL-Zertfikat abgesichert, welches ich auf allen meinen Geräte installiert habe. Um nicht nur zuhause im LAN, sondern auch von unterwegs zugreifen zu können, habe ich mir noch einen VPN-Server am Raspi installiert - somit kann ich sehr bequem mit dem OpenVpn Client am Smartphone von überall aus meine Passwörter synchronisieren. Hast du zu meinem „System“ auch irgendwelche Bedenken oder Tipps, die du mir mitgeben könntest? Liebe Grüße Andi

Danke dass du immer so schnell Videos zu den aktuellen Themen machst. BTW, cipher /w empfiehlt sich nur bei HDD, nicht bei SSD. Korrigiert mich bitte falls ich falsch liege. 😊

Ist KeePassXC auch betroffen, da es auf Keepass basiert? Vielen Dank für das Video!

Ich benutze Keepass schon seit Jahren und bin froh, dass die Entwickler noch aktiv an Fixes arbeiten. Generell schreckt mich die Lücke jetzt wenig ab, da man ja eben größeren Zugriff auf den Rechner benötigt und wenn ein Angreifer den schon hat, warum dann die Mühe machen und über so einen komplizierten Weg sich das Passwort beschaffen? Da gibt es leichtere und effizientere Wege. Jetzt stellt sich mir interessehalber die Frage, da es in nem Artikel auf Heise heißt, dass das Passwort mit Standardkonfiguration auslesbar ist: Wie verhält es sich bei der Eingabe über 'Secure Desktop' oder mit Keyfiles?

Erst Mal Danke für deinen Hinweis auf die Voraussetzungen, die ersterfüllt sein müssen. Ich habe bis jetzt zwar erst zwei Artikel zu dem Thema vorliegen gehabt, die aber auch bloß gaaanz grob quergelesen, da ich selber Keepass nicht benutze. Stattdessen habe ich Bitwarden im Einsatz, an dem ich mich mit Yubikey anmelde. Dort habe ich inzwischen eine ordentliche Sammlung an Passworts, die ich sukzessive auch auf MFA mit Yubikey umgestellt habe und auch noch dabei bin. Ist echt aufwendig, aber inzwischen habe ich wohl alle Accounts durch, die ich innerhalb der letzten 4 bis 5 Jahre benutzt habe. Alle anderen die noch länger nicht mehr benutzt wurden, sind wahrscheinlich auch nur noch verwaiste Logins, viele Homepages existieren bestimmt gar nicht mehr Viele Grüße aus'm Ruhrpott

Wäre es nicht auch eine sinnvolle Gegenmaßnahme, 2FA-Möglichkeiten von Keepass zu nutzen wie beispielsweise die Schlüsseldatei oder die Integration eines OTP-Generators wie dem Yubikey? btw wäre ich Dir dankbar, wenn Du eine Anleitung dazu machen könntest, wie man sich einen OTP-Generator zum Öffnen der Keepass-Datenbank einrichten kann, um die Schlüsseldatei zu ersetzen

Super 🙌🏼 es funktioniert wieder wie gewohnt man kann deine Videos aufrufen ohne einen direkten Link von dir ! Grüße ✌🏼 Rick

ich benutze Bitwarden und somit auch ein cloudbasierten Password Manager, nur mit der kleinen Abweichung, dass ich die Server Komponente selbst hoste über Vaultwarden. ich benutze ihn gern, da alle Dateien immernoch in meinem Netzwerk sind, aber ich dennoch die Bequemlichkeit habe die Passwörter zwischen meinen Geräten zu synchronisieren.

Wie ist es den, wenn die Datenbank zusätzlich noch mit einem keyfile versehen ist?

Ja, ich nutze einen Password-Manager. Den habe ich auf einem USB-Stick gespeichert, von dem Stick gibt es ein Backup, das absolut sicher verwahrt wird. Der original Stick verlässt nie das Haus, und auf Reisen nehme ich nur eine frische Kopie mit. Falls der Reise-Stick mal verloren geht, weis der Finder nicht, dass ein Pw-mgr darauf ist, er findet nur Dateien, die sich nicht öffnen lassen. Der Stick müsste schon einem sehr guten Hacker in die Hände fallen, damit überhaupt ein Risiko besteht. Das Backup ist sehr wichtig, da mir schon mal die Formatierung eines Sticks zerschossen wurde, und ich nicht wieder an die gespeicherten Daten gelangen konnte. Es versteht sich von selbst, dass der Passwort-Stick nur bei Benutzung im PC steckt.

Sind jegliche Versionen von Keepass betroffen? Du hast ja jetzt Keepass und nicht Keepass2 gezeigt

Trifft aber nicht auf die anderen Varianten von Keypass zu, so wie ich das jetzt verstanden habe, richtig? Und selbst wenn man genau das Keypass hat, wie im Video, sollte man sich trotzgdem keine alte Version zulegen, weil das wahrscheinlich nur noch andere Sicherheitslücken bietet.

ich nutze KeePassXC mit Masterpasswort + Keyfile für 2 Faktor. Diese Neuigkeiten sind erstmal beunruhigend ich werde das ganze also erstmal im Auge behalten

Ich benutze einfach Spectre dort wird nichts gespeichert sondern immer wenn ich mein Benutzer und Keyword eingebe neu generiert! Das finde ich am besten und auch am sichersten.

Einfach KeepassXC benutzen ist nicht betroffen und auch vom Design nicht so altmodisch :)

Direkt mal Masterpasswort geändert und jetzt dazu auch eine Key-Datei hinzugefügt. Man weiß ja nie. :D Danke fürs aufmerksam machen!

wäre es nicht eine lösung seine passwörter nach einem muster festzulegen, welches einen sehr langen, zufällig generierten string als präfix hat der dann im passwortmanager abgelegt wird, aber eben nicht das vollständige passwort ist?

Ich benutze Bitwarden. Die Passwörter werden lokal und in der Cloud gespeichert, wobei die Cloud aber auf einem selbst betriebenem Server liegt. Ist das eine sichere Methode oder rätst du davon ab?

Sehr informatives Video - vielen Dank!👍 Ist bekannt, wie es bei der Verwendung von Masterpasswort "und" Schlüsseldatei ausschaut?

Nutze aktuell Bitwarden auf Empfehlung von The Morpheus bin recht zufrieden

dieses bild im hintergrund was sich ändern, wie heißt sowas? oder hast du das selbst gemacht?

Ich verlink das mal Frecherweise weiter =P Hab ich doch heute meine Freunde direkt davor gewarnt weil gestern in der Exploit DB gesehen und du hast schon video gemacht =D Du erklärst das immer so fein =)

Gutes Video. Könntest du ein Video über SSH und SSL machen?

Hi Florian! 3:42 Auf welcher URL oder Software findet man denn dieses Bedienfeld?

Gutes Video! Welchen Manager kannst du empfehlen?

Ich bin vor ca. 2 Jahren auf Vaultwarden von KeepassXC umgestiegen. Hauptgrund: Ab dem Zeitpunkt hat die Anwendung auch Yubkeys unterstützt. Ich habe Vaultwarden auf einer VM unter Docker laufen. Was hältst du davon?

Da im Video auch gesagt wurde das 2FA am besten lokal und nicht in der Cloud abgerufen werden sollte, wie ich auch finde, ist der neue Upgrade Zwang von Goggle mit ihrem authenificator bekannt? Ich werde gerade genötigt die app mit einen google account zu verbinden und die daten in die cloud hochzuladen. Natürlich muß ich dann zustimmen. So haben die eine Zustimmung erpresst. Anders komme ich nicht mehr an meine hinterlegten Accounts mehr ran.

Danke für die Warnung :)

Nice, habe das POC gleich ausprobiert...

Ich hab noch eine viel schwerere Sicherheitslücke entdeckt: Wenn ich dem Benutzer eine Pistole an den Kopf halte, rückt er auch das Passwort raus! Dazu muss ich nicht mal Malware auf den Computer machen! Wann wird das denn gefixt?

Ich nutze sowohl Privat als auch beruflich Vaultwarden als Docker Container, also die Selfhosted Variante von Bitwarden

Nutze Enpass, ist zwar closed source aber ich bin mir sicher dass die Passwörter an dem Ort bleiben den ich definiere, zumal die ja ein sehr transparentes Geschäftsmodell haben. Bin damit happy.

Gutes Video. Ich nutze keinen. Habe mir stattdessen eine eigene Paaswort-Strategie ausgedacht. Zum Thema Keylogger/Trojaner. Könntest ja mal irgendwann ein Video machen und zeigen, wie man sie aufspüren könnte (z. B. über die PID). 😊😅

Ich finde es Schade, dass man kein POC hier zeigen darf. Ich habe eine Quelle im Internet gefunden und es selbst ausprobiert. Und siehe da es hat meine aktuelle Datenbank cracken können. Ich bin sehr überrascht und hab einen viel besseren Lerneffekt daraus gewonnen es selbst mal ausprobiert zu haben, anstatt nur ein Video anzuschauen und es für gegeben ansehe. Soweit ich es richtig verstanden habe muss man nur Keepass updaten. Ich habe alle Dump. files die für Keepass erstellt oder vorhanden sind aus meinem System gelöscht. Vielen Dank für die Aufklärung.

Starkes Vid, lieben Dank 🌹 Wie schon paar mal erwähnt, nutzen mein Liebling & ich KeePass. Wir werden es auch weiterhin nutzen und dabei bleiben 🍀😎

Welche neue Version von KeePass wäre das dann bei der der CVE gefixt wird?

Du tippst das Passwort manuell ein: Keylogger oder die Lücke Du fügst das Passwort aus einer Datei ein: Die Lücke bringt dir nix, aber z.B. eine ReverseShell + cat, eine Malware die Dateien lesen kann oder ein Programm, das aus dem Clipboard liest würden dem Hacker helfen

Warum sind bei den möglichen Passwörtern Variationen von - und _ drin? Ist das Zeichen auch nicht sicher auszulesen?

Sehr interessant, schau dir mal Bitwarden an, ist auch ziemlich einfach das Masterpasswort auszulesen, letztens erst getestet.

gilt das auch für die forks wie KeepasXC?

Ich habe bei meinem Keepass eine 2FA mit einem Yubico-Stick. Muss ich mir da auch Sorgen machen ?

Hallo teste mal Sticky Passwort Manager, dieser hat 2 Faktor Authentifizierung. Kannst den auch hacken ?

ich nutze KeepassXC wegen der einfachen YubiKey Nutzung :) ist KeepassXC von der Lücke auch betroffen?

Ist der iCloud Schlüsselbund auch ein Passwort Manager?

Ich benutze den Firefox mit starkem Master PW

Love is War war wirklich gut! Staffel 1 war aber meine Lieblingsstaffel, die letzten beiden waren relativ okay. Nur fande ich das Ende beschissen... Aber sehr gutes Video! Nutze KeePass schon seit langem, also vielen Dank für das Video! Aber glücklicherweise kopiere ich mein Passwort immer, also sollte dieser Hack bei mir nicht möglich sein. Sobald das Update draußen ist, werde ich das Masterpasswort mal ändern, dann sollte eigentlich alles passen! :) Malwarebytes hat nämlich jetzt keinen Virus gefunden, nutze nochmal Hitman Pro um sicher zu gehen.^^

Könntest du mal ein Video dazu machen, wie du dein digitales Tagebuch handhabst? Ich persönlich finde die Idee eines digitalen Tagebuchs zwar gut, bin aber unsicher wie der Tradeoff zwischen praktisch und sicher aussehen könnte.

Also ist nur die Software, aber nicht das Datenbankformat betroffen. Ich nutze Strongbox, was auf der KeePass Darenbank aufbaut. Damit sollte dieser Fall gar nicht erst eintreten können?

Kaguya Sama ist wirklich ein echt guter Anime :) habe den auch erst vor so nem Monat. geschaut. echt empfehlenswert

Was ist mit der 1.x Version des KeePass, hat es auch das Problem

funktioniert das auch mit Keyfile? Denn mit das Keyfile bringt das Passwort alleine nichts

Danke für die Warnung. Das ist gut zu wissen. Ich schätze ich kann auch Keepass XC verwenden, bis die Lücke gefixt ist oder? Direkt mal die Glocke geklickt, um das Update nicht zu verpassen. Abonniert hatte ich deinen Kanal schon. Großes Lob an dieser Stelle für deine Arbeit, die du hier reinsteckst!

Ich nutze Norton. Mit dem Intigrierten Passwortmanager. Ist cloudbasiert und selbst in der Cloud verschlüsselt, only mit dem key kann man die öffnen

Bitwarden. Hatte es auch mal selbst gehostet benutzt, jetzt wieder das cloudbasierte :)

Wie sieht es denn aus wenn ich noch eine Schlüsseldatei als zusätzliche Sicherheit verwende.

Welchen passworanager benutzt du?

Ich habe schlichtweg Angst, dass irgendwann auch mal Google einen Leak hat. Daher habe ich mir eine Strategie ausgedacht, bei der ich mir die verschiedenen Passwörter merken kann. Ist etwas knifflig, da jede Seite ein eigenes Passwort hat. Aber ich denke das erhöht die Sicherheit ungemein. Und grundsätzlich natürlich 2FA, wenn angeboten.

Ist KeePassXC und KeePassDX auf Android auch betroffen?

Immer schauen das der Password Manager ein Entschlüsslungs code braucht damit die Datenbank überhaupt benutzt werden kann und danach noch ein Master Password damit wird extrem schwer überhaupt zugriff zu bekommen selbst wenn man das Master passwort besitzt ist es vollkommen nutzlos ohne die Entschlüsslungsdatei. (Verbunden mit einem USB key ksnn man sich noch stärker absichern da man dann ein teil komplett abgesondert gesichert hat.) Aber all das Hilft am ende Nicht wenn jemand zugriff auf deinem Computer hat spätestens wenn du den USB Key einschiebst könnte er den Schlüssel in die hände kriegen. Man bräuchte gefühlt eine Spezielle Isolierte schnittstelle beim USB die vom kompletten system getrennt ist der sich ein kleiner Speicher befindet mit den daten und schluss endlich nur das Ergebnis der Datenbank aus dem Speicher gesendet wird aber keine daten eingespeichert werden können also eine einwegverbindung die nur von einer seite aussgeht und seperat gesteuert werden müsste. ( zu viel aufwand )

4:25 Was spricht deiner Meinung nach denn gegen Cloud-Passwortmanager? Insbesondere dank Open-Source sind die nachweislich E2E-verschlüsselt, somit auch bei Datenleck sicher, also keine größere Angriffsfläche als lokal (sicheres Passwort vorausgesetzt).

Derzeit benutze ich bitwarden selbst gehosted zuhause, der Server ist in der Regel abgeschaltet, per Telefonanruf kann ich den Server starten, dann habe ich für 30min Zugriff anschließend schaltet ersich selbst ab.

Wie ist es mit der UbiKey 2FA , die müsste doch sicher bleiben obwohl das Master PW ausgelesen wurde ?

ich nutz keepass mit masterpassword und schlüssel datei die ich extra auf einen usb stück hab reicht das auch aus das man das nicht so schnell knacken kann ???

Hi, speichert eigendlich jedes Programm so eine Datei oder werden die alle in einer gespeichert? , Danke☺️

Betrifft es nur das "original" für Windows oder auch keepassxc für GNU? Ich denke ein wichtiger Schritt zur Absicherung ist 2fa. Aber wie bereits gesagt, wenn der Zugriff auf den Rechner schon so tief geht, ist das wahrscheinlich das geringere Problem

Meine Meinung dafür: Wenn man auf die Datenbank als externer Zugriff hat bzw auf den Prozess zugreifen kann, hat man bereits andere Probleme. Ein Fix wurde soweit ich weis bereits für Juli angekündigt. (In unserem Unternehmen wurde sich da auch darüber unterhalten.)

Ist Firefox sicher bzgl Zugangsdaten und Passwörter ? Scöne grüße aus den hohen Norden

ich nutze Keepass und Remot Desktop Manager (DPS) als PW manager

Welche Methode empfiehlst du? Ich habe mich immer von Passwortmanagern ferngehalten. Ich mache es mit Testdateien.

Update: Mit Version 2.54 ist das Problem behoben 👍

Vielen Dank für den Hinweis. Also das nächste Update nicht X Tage ignorieren xD

Was hälst du von Bitwarden?

Ist KeePassXC ebenfalls betroffen?

Ich nutze einen selfhosted Vaultwarden-Server. Kein allzu interessantes Angriffsziel, da nur ich meine PWs darin Save und dennoch ziemlich komfortabel..

Was ist mit KeePassX(C)?

Wieso sagst du nichts zu einer zusätzlichen Schlüsseldatei? Ist ja im Grunde 2FA dann.

Ich verwende KeePass in der Version 1.3x. Ist diese Version sicher oder hat diese ggf. andere Schwachstellen?

Apple Schlüsselbund ist das sicher?

Ich nutze einen Passwort Manager: "Password Safe" aus dem Playstore, ist von einem Deutschen Entwickler. Türkises Logo Mal Allgemein gefragt: Was ist denn die beste und Sicherste Methode um möglichst seine Passwörter irgendwo abzuspeichern, da sich ja keiner eine 20 lange Wirre folge aus Zeichen, Buchstaben und Zahlen merken kann? Grüße 😅✌

Ist das auch für KeePassXC anwendbar?

Man kann auch die in Keepass gespeicherten Passwörter per Memory Dump auslesen, solange das Programm offen ist.

Der Punkt mit dem "kopieren des passwortes" ist auch wieder nicht "optimal" da es programme gibt welche die Ablage kopieren & unter windows man plainen zugriff auf die history der zwischenablage hat.

KeePassXC ist davon nicht betroffen? 😅

Wie siehts mit KeepassXC aus?

Wurde das Video, in dem du Relationen erklärst, wieder runtergenommen?

Sehr interessant 👍

gilt das auch für keepassXC?

Solange mein Bitwarden noch sicher ist 😢

Kannst du mal ein Video zu Passkeys machen? :)

Bezweifele gerade, dass das Konzept auf Linux funktioniert aber ich recherchiere das später mal ^^

ich nutze iPIN auf dem iPhone...

Ich nutze Bitwarten, dazu aber zu beachten: Nur aus dem Heimnetz erreichbarer Vault und eine Standalone App, nicht die BrowserApps.

gibt es schon n update was das behebt?

Da ich meine Passwörter auf mehreren Geräten benötige, betreibe ich eine eigene Instanz Vaultwarden.

Huch kurz Angst bekommen😱(Immer die Iterationen hoch einstellen, in der Hoffnung das Das dann zu lange dauert)

Ich nutz KeepassXC mit masterpasswort und deren Yubikey Unterstüzung - wie schauts damit aus ? Würd mi echt interessiern!