NAVIGATION
Supportportal

Sicherheitslücken bei kostenlosen Passwortmanagern

Wir sind die Experten Ihrer IT-Services

Kontakt

Mithilfe von Triggern mühelos alle Schlüssel und Zugangsdaten des freien Passwort-Managers KeePass auslesen

KeePass-Nutzer unter Windows sollten sich nach einer Alternativ-Software umschauen, da der Passwortmanager große Sicherheitslücken aufweist. Der einzige Schritt, den ein Angreifer ausführen muss, um alle Daten aus einer KeePass-Datenbank abzurufen, ist sehr, sehr einfach. Mit Hilfe der Konfigurationsdatei – KeePass.config.xml – und durch das Hinzufügen eines sogenannten Triggerabschnitts in dieser Datei ist es mühelos möglich alle Passwörter an einen beliebigen Ort in eine Textdatei zu exportieren.

Diese Trigger werden von KeePass als „großen Vorteil“ und „großartige Features“ präsentiert (KeePass Trigger). Es stellt sich jedoch die Frage, wer kontrolliert und schützt vor dem Einsatz solcher Funktionen, damit solch eine Funktion nicht von Richtlinien, Malware oder sogar Administratoren missbraucht wird?

Deswegen vertraut die BERGT-Consulting auf Lösungen wie SecureAnyBox, bei dem der Hersteller aus den genannten Gründen auf solche „großartigen Features“ verzichtet – sie sind einfach nicht sicher. Ein Leitsatz des Herstellers von SecureAnyBox lautet „Der sicherste Code ist der nicht implementierte Code“.

Mit SecureAnyBox kann nichts dergleichen passieren. Und sollte doch einmal manuell eine Sicherheitslücke entdeckt werden und ein Export von Passwörtern geschehen, hilft SecureAnyBox Enterprise Reporting und Audit dies aufzudecken.

Während der Entstehung dieses Artikels und der damit einhergehenden Recherche, zeigte sich eine zweite Sicherheitslücke der KeePass Software. Ein Mitarbeiter der Sicherheitsfirma Security-Assessment.com hat den Source-Code eines Tools namens KeeFarce auf GitHub veröffentlicht. Diese Software liest ohne viel Aufwand sämtliche Nutzerdaten samt Passwörter aus KeePass aus, und das in Sekunden. Für einen erfolgreichen Angriff müssen einzig zwei Voraussetzungen erfüllt sein, der Angreifer benötig Zugriff auf das System und der Benutzer muss beim Passwort-Manager angemeldet sein.

Sind beide Voraussetzungen erfüllt, liest KeeFarce alle hinterlegten Nutzernamen, Passwörter, Notizen und URLs aus und exportiert diese in einer CSV-Datei im Klartext.

Diese beiden Beispiele sollen verdeutlichen, dass Unternehmen nicht auf kostenlose Tools vertrauen sollten, um so sensiblen Daten wie Unternehmenspasswörter zu verwalten und speichern.

Informieren Sie sich mit unserem Datenblatt im Downloadbereich über die Funktionen von SecureAnyBox.