Es gibt derzeit Diskussionen über eine Schwachstelle im beliebten Passwort-Manager KeePassXC. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor den Lücken und stuft sie als hochriskant ein.

Laut Fehlerbeschreibung können lokale Angreifer Änderungen an den Datenbank-Sicherheitseinstellungen einschließlich des Master-Kennworts und der Zwei-Faktor-Authentifizierung innerhalb einer authentifizierten Datenbank-Sitzung vornehmen, ohne diese Änderungen etwa durch die Eingabe des Master-Passworts oder Vorlage des zweiten Faktors zu authentifizieren (CVE-2023-35866, CVSS laut BSI 7.1, Risiko “hoch”).

KeePassXC: Zwei ähnliche Lücken Es gibt zwei Fehlermeldungen im Github-Projekt von KeePassXC dazu. Der erste Problembericht erläutert, dass der Export der Datenbank oder das Ändern des Master-Kennworts nach einem vorherigen Log-in keine weitere Abfrage des Passworts vorsehe. Andere Passwort-Manager würden dies anders handhaben. Wenn ein Angreifer durch eine Sicherheitslücke in den Rechner eindringt, könne er in KeePassXC unbemerkt die Klartext-Passwörter exportieren oder das Master-Kennwort ändern, ohne jedweden Schutz.

Eine zweite Fehlermeldung betrifft die Sicherheitseinstellungen, etwa zur Nutzung von Mehr-Faktor-Authentifizierung. Ist sie aktiviert, kann die Einstellung ausgewählt werden, die sie deaktiviert, ohne, dass der zweite Faktor abgefragt würde. Die meldende Person stuft sie als gleichartige, aber andere Schwachstelle als die obige ein.

Der KeePassXC-Entwickler mit dem Handle droidmonkey hat eine geplante Korrektur für die Schwachstellen für KeePassXC 2.8.0 anvisiert und zeigt sich offenbar verwundert über den CVE-Eintrag der Schwachstelle. Aktuell – und für die Lücken anfällig – ist KeePassXC 2.7.5.

Auch andere Passwort-Manager haben gelegentlich mit Schwachstellen im Sicherheitskonzept zu kämpfen. Vergangene Woche wurde bekannt, dass der Master-Schlüssel von Bitwarden für alle lesbar war. Das Problem hatten die Entwickler mit einem Update im April korrigiert.

(dmk)

  • scorpionix@feddit.de
    link
    fedilink
    arrow-up
    18
    ·
    1 year ago

    Ich würde das eher nicht als Sicherheitslücke einstufen, eher als fehlendes Feature. Sobald ein Angreifer lokalen Zugriff hat, ist ohnehin alles verloren. Man kann die Datenbank kopieren und auf einem eigenen System mit Millionen Versuchen pro Minute versuchen zu knacken und bei der Komplexität des durchschnittlichen Passworts geht das ganz flott.

    • Malossi167@feddit.de
      link
      fedilink
      arrow-up
      9
      ·
      1 year ago

      und auf einem eigenen System mit Millionen Versuchen pro Minute versuchen zu knacken und bei der Komplexität des durchschnittlichen Passworts geht das ganz flott.

      Ich glaube wenn man schon so versiert ist einen PW Manager zu nutzen, dann nutzt man auch ein brauchbares Masterpasswort. Und das ist dann auch mit ziemlich viel Rechenpower nicht wirklich zu knacken.

      • scorpionix@feddit.de
        link
        fedilink
        arrow-up
        1
        ·
        1 year ago

        Bisher habe ich noch niemanden in meinem Bekanntenkreis angetroffen, der/die von sich aus einen Passwortmanager verwendet hat. Denen, die ich einen einrichte, bekommen natürlich ein ordentliches Passwort, aber wenn Bettina in der Buchhaltung vom Arbeitgeber einen Manager aufs Auge gedrückt bekommt, denke ich schon, dass das Passwort nicht sehr komplex wird.

        • BirbyMcBirb@feddit.de
          link
          fedilink
          arrow-up
          4
          ·
          1 year ago

          Bettina muss ihr Passwort ja auch alle 3 Monate ändern kein Wunder also wenn da nix gescheites bei rauskommt.

      • SchlafendeKatze@feddit.de
        link
        fedilink
        arrow-up
        8
        ·
        1 year ago

        Es gibt aber ja extra die Funktion die Datenbank entweder beim minimieren von KeepassXC oder nach einer festen Zeit in der man inaktiv ist automatisch zu sperren. Wenn man das auf 60 Sekunden stellt ist das Risiko extrem gering. Mal davon abgesehen das man einen Laptop oder PC sowieso niemals verlassen sollte ohne wenigsten die Bildschirmsperre zu aktivieren. Unter Windows reicht es dafür ja auf Win+L zu drücken.

    • zekiz@kbin.social
      link
      fedilink
      arrow-up
      4
      ·
      1 year ago

      Stimmt nicht so ganz. Klar kann man versuchen das Passworts zu bruteforce, aber wenn das Passworts stark genug ist, ist es so gut wie unmöglich zu knacken, solange man nicht solche Lücken ausnutzt. Also sehe ich es sehrwohl als sicherheitslücke.

    • was wäre denn ein feature um das zu vermeiden? dann müsste man die Datenbank doch aufteilen und auf veschiedenen Systemen lagern oder? Dann kann man auf seine Passwörter nicht mehr zugreifen, sobald das Internet Probleme macht, oder schlimmer noch ein Teil der DB geht verloren und damit sämtliche Passwörter. Man kann die DB natürlich auch auf nem USB Stick haben o.ä. Dann sind wir vom Aufwand wieder am dem Punkt, dass es einfacher ist ein starkes Passwort zu vergeben.

    • delt4@feddit.de
      link
      fedilink
      arrow-up
      1
      ·
      1 year ago

      Keepassxc verwendet mit dem aktuellen Datenbankformat den Passwort Algorithmus argon2d. In der Standardeinstellung kann der je nach PC schon 1 Sekunde pro Passwort brauchen.

      Solange dein Angreifer kein staatlicher mit nahezu unendlichen Ressourcen ist sollte die Datenbank auch da mit einem akzeptabeln Passwort sicher sein. Natürlich in der Zukunft wahrscheinlich problematisch, aber im aktuellen Zustand in Ordnung.

    • macniel@feddit.de
      link
      fedilink
      arrow-up
      9
      ·
      1 year ago

      Ja also, wenn ein Angreifer Zugriff auf deine Daten hat, dann hast du eine Sicherheitslücke. :)

      • Sw00$h@feddit.de
        link
        fedilink
        arrow-up
        4
        ·
        1 year ago

        Ja, aber wenn jm seinen PC ungesperrt für dritte zugänglich rum stehen lässt, ist dieser User die Sicherheitslücke.

  • Sw00$h@feddit.de
    link
    fedilink
    arrow-up
    12
    ·
    1 year ago

    Angreifer muss bei der Lücke also schon im Rechner eingenistet sein, ich weiß da nicht, ob man da jetzt spezifisch wg. Keepassxc alarmiert sein soll. Das ist ja eh schon das worst case Szenario.

    Also eher etwas heiße Luft und nicht dem Alarmgetue entsprechend.

      • Scrath@feddit.de
        link
        fedilink
        arrow-up
        2
        ·
        edit-2
        1 year ago

        Ich bin mir jetzt nicht sicher ob das eine Standardeinstellung ist, aber bei mir wird die Datenbank von KeePassXC automatisch gesperrt wenn ich meinen PC sperre.

        Wenn ich meinen PC entsperre muss ich das Passwort von KeePass auch nochmal eingeben bevor ich an meine Passwörter komme