Unsicher: Passwörter speichern mit KeePass

Situation

Passwörter gibt es heute fast überall, beinahe jede Webseite benötigt einen Login. Wir bei WelliSolutions verwenden KeePass, um Passwörter zu verwalten. Die Passwörter werden verschlüsselt abgelegt. Um die verschlüsselten Passwörter zu lesen benötigt man wieder ein Passwort – aber eben nur noch ein Passwort, um Zugriff auf alle Passwörter zu erlangen.

Außerdem bietet KeePass auch Schutz vor anderen Angriffen auf Passwörter, wie auf der KeePass Homepage (rev. 2009-11-08) zu lesen ist: „All security features in KeePass protect against generic threats like keyloggers, clipboard monitors, password control monitors, etc. “

Problem

Ein kleines Programm zeigt, dass dem nicht so ist. Innerhalb einer halben Stunde konnten wir ein Programm schreiben, welches nur darauf wartet, dass KeePass einen Text (typischerweise einen Benutzernamen oder Passwort) in die Zwischenablage kopiert.

Lösung

Das Problem wurde dem Autor der Software, Dominik Reichl, mitgeteilt. Er hat das Problem bestätigt, sieht aber leider keine Verbesserungsmöglichkeiten. Inzwischen wurde die Angabe zur Sicherheit ergänzt um den Zusatz „However in all the questions above we’re assuming that there’s a spyware program running on the system that’s specialized on attacking KeePass.“

Für WelliSolutions stellt sich die Frage, wie viele unterschiedliche Passwort-Verwaltungssysteme es gibt und ob es zu schwierig wäre, spezielle Attacken für alle zu implementieren.

Links

KeePass Password Safe Homepage (rev. 2011-02-18)