Frage:
Lokale KeePass-Sicherheits-Malware
KB303
2017-06-19 14:29:46 UTC
view on stackexchange narkive permalink

Kann eine Malware, die Ihren lokalen Computer infiziert hat, eine lokal gespeicherte KeePass-Datenbank in irgendeiner Weise gefährden?

Wenn ja, warum sollte KeePass über so starke Sicherheitsmechanismen verfügen, wenn es diesem Szenario nicht widerstehen kann? Wenn Sie Ihre Datenbank lokal behalten, ist dieses Szenario nicht die Hauptbedrohung?

Sie könnten an https://arxiv.org/pdf/1706.05085.pdf interessiert sein
der Titel des Artikels ^ Horcrux: Ein Passwort-Manager für Paranoiden
Fünf antworten:
Matthew
2017-06-19 14:40:06 UTC
view on stackexchange narkive permalink

Ja - Wenn die Malware beispielsweise einen Keylogger enthält, kann sie beim Eingeben einfach das Hauptkennwort lesen. Die einzige Möglichkeit, dies zu verhindern, besteht darin, dass KeePass die einzige Software ist, die auf einem überprüften sicheren Computer ausgeführt wird Computer (z. B. keine Hardware-Keylogger, keine VMs usw.), der den Zweck der Handhabung von Kennwörtern etwas zunichte macht.

Dieselbe Malware kann jedoch auch das Hauptkennwort für eine Cloud-Basis lesen Datenbank, als Sie es geöffnet haben. Es ist nicht spezifisch für lokale Datenbankdateien. In der Tat könnte es eine weniger invasive Malware erfordern, um dies zu tun. Wenn Sie eine zweifelhafte Browsererweiterung installiert haben und Ihre Passwörter über eine Website anzeigen, kann sie möglicherweise sehen, was Sie im Browser eingegeben haben, aber (wahrscheinlich) ) nicht das, was Sie in ein anderes Programm eingegeben haben.

Wenn Sie ein System verwenden, auf dem Malware installiert ist, gehen Sie davon aus, dass es alles kann, was Sie tun können - wenn Sie eine Datei lesen können, kann dies auch die Malware. Wenn Sie einen bestimmten Server kontaktieren können, kann dies auch die Malware tun. Wenn Sie Ihre AV-Software deaktivieren können, kann dies auch die Malware tun. Möglicherweise müssen Sie dazu Details abrufen (z. B. Kennwörter). Der Schlüssel besteht jedoch darin, zu vermeiden, dass diese auf das System übertragen werden, anstatt sicherzustellen, dass jede einzelne Software das Vorhandensein erkennt. P. >

KeePass verfügt tatsächlich über Systeme zum Stoppen von Keyloggern (z. B. nur die Eingabe des Hauptkennworts in eine sichere UAC-Eingabeaufforderung unter Windows).Das heißt, kein System ist kinderleicht.
@Ajedi32 Dies scheint zumindest nicht die Standardeinstellung zu sein, nicht für die tragbare Version.Es wäre auch nicht unmöglich, eine gefälschte UAC-Eingabeaufforderung zu erstellen, selbst wenn diese möglicherweise nicht genau überprüft werden könnte.Die meisten Benutzer geben ihre Anmeldeinformationen einfach in alles ein, was vage richtig aussieht.
Sas3
2017-06-19 14:53:37 UTC
view on stackexchange narkive permalink

Wenn Ihr Computer kompromittiert ist, sollte so ziemlich jede Verteidigung als defekt angesehen werden. Sicherheitsbedrohungsmodelle betrachten dies als ein Szenario außerhalb des Anwendungsbereichs - mit Ausnahme sehr weniger Ausnahmen (z. B. besteht der eigentliche Zweck Ihrer Software darin, die letzte Verteidigungslinie zu sein).

Passwortmanager (wie KeePass), die die Passwortdatenbank lokal speichern, widersetzen sich jedoch in gewissem Maße einem Kompromiss - indem sie die Datenbank mit strengen Maßnahmen verschlüsseln. Wenn Sie es wie beabsichtigt konfigurieren (z. B. ein sicheres Hauptkennwort + eine Schlüsseldatei verwenden, die Sie nicht lokal speichern), widersteht es Bruteforce- und Wörterbuchangriffen. Es wird sogar der Erfassung von Passwörtern aus der Zwischenablage widerstehen, wenn Sie nur die Funktion zur automatischen Eingabe verwenden. Die Belichtung der Zwischenablage kann auch auf den einmaligen Gebrauch und innerhalb weniger Sekunden beschränkt werden.

Es kann jedoch Keyloggern nicht widerstehen, da dies außerhalb von KeePass ein Umweltproblem darstellt. Die Umgebung wird KeePass übergeben - nicht etwas, das es steuern kann. Ein Keylogger kann das Hauptkennwort während der Eingabe erfassen und zu Hause anrufen, um es zu melden - zusammen mit der KDB / KDBX-Datei und allen zugehörigen Schlüsseldateien.

Ich würde nicht erwarten, dass jede Software jedem möglichen Angriff widersteht (ähnlich wie bei der Suche nach einem Allheilmittel). Ich würde Passwort-Manager - insbesondere KeePass / KeePassX - als sehr gut für das betrachten, was sie tun.

Vielen Dank für Ihre Antwort. Gut zu wissen für die Wörterbuch- und Bruteforce-Angriffe. In Bezug auf die Auto-Type-Funktion schlägt KeePassX diese leider nicht vor, sondern nur für KeePass, denke ich.Ich hätte es gerne gehabt.
Ich benutze KeePassX v2.0.3.Ich verwende AutoType überall dort, wo "2-Schritt-Login" nicht erforderlich ist.Es kann auch in geringem Umfang angepasst werden (Verzögerung und Reihenfolge der Felddaten, meistens). Es verursacht manchmal einige unerwartete Ergebnisse (z. B. wenn die Feststelltaste aktiviert ist oder wenn sich der Cursor nicht im Feld Benutzer-ID befindet), aber die Funktion ist definitiv vorhanden.Es sei denn natürlich, wir meinen beide verschiedene Dinge mit Auto-Typ.:) :)
Sie müssen eine Linux-Distribution ausführen.Ich befürchte, dass diese Funktion unter OS X nicht vorhanden ist.
@KB303 Windows KeePass verfügt auch über AutoType.
Leute, die KeePass benutzen, schließen auch ihre Türen ab, obwohl bekannt ist, dass ein Schloss einen ernsthaften Gegner nicht abschreckt =)
@CortAmmon Ok, das hat meine Blase gesprengt!xD OTOH, jede Verteidigung ist NUR gut, solange Sie nicht ins Visier genommen werden.Wenn gezielt, sind die besten Fähigkeiten (früher geübt) Erkennung und schnelle Genesung.
Spacedog
2017-06-19 18:15:48 UTC
view on stackexchange narkive permalink

Es ist erwähnenswert, dass KeePass Einstellungen enthält, die die Möglichkeiten von Malware (und Ihnen) einschränken. Auf diese Weise können Sie beispielsweise verhindern, dass Malware einfach Ihre gesamte Datenbank exportiert, indem Sie einige Tastenanschläge eingeben.

Es ist nicht ausfallsicher, bietet Ihnen jedoch mehr Puffer zwischen dem Zeitpunkt Ihrer Infektion und dem tatsächlichen Zeitpunkt Stellen Sie fest, dass Sie infiziert wurden.

Policy Dialog in KeePass 2.x

(Screenshot stammt aus KeePass 2.36)

user2428118
2017-06-20 20:00:22 UTC
view on stackexchange narkive permalink

Angriffe auf KeePass

Kann eine Malware, die Ihren lokalen Computer infiziert hat, eine lokal gespeicherte KeePass-Datenbank gefährden?

Wenn nicht Öffnen Sie es, sie können nur die Datenbankdatei entreißen und versuchen, das Kennwort brutal zu erzwingen ( nicht einfach) - es sei denn, es gelingt ihnen natürlich, das Hauptkennwort auf andere Weise zu erhalten.

Wenn Sie die Datei öffnen, können sie versuchen, das Hauptkennwort zu erhalten, wenn Sie es eingeben, um die Datenbank zu entsperren. Es gab mindestens eine Malware , die genau das getan hat.

Außerdem kann sich Malware in den KeePass-Prozess einfügen und die in der Datenbank gespeicherten Kennwörter extrahieren. Eine Proof-of-Concept-Malware, die dies tut, wurde 2015 veröffentlicht.

Warum einen Passwort-Manager verwenden?

Wenn ja, Was bringt es KeePass, so starke Sicherheitsmechanismen zu haben, wenn es diesem Szenario nicht widerstehen kann?

Nun, sich gegen alle anderen möglichen Szenarien zu verteidigen, in denen Ihre Passwörter funktionieren können natürlich kompromittiert werden! Was ist die Alternative zu einem Passwort-Manager? Passwörter in ein Notizbuch schreiben? Wiederverwenden des gleichen Passworts für mehrere Konten, weil Sie sich nicht an Hunderte von Passwörtern erinnern können?

Ja, es ist theoretisch möglich, auf diese Weise auf Ihre Kennwortdatenbank zuzugreifen, aber aufgrund der folgenden Gründe, ein „cleveres“ Schema zur Kennworterstellung zu entwickeln, das zu unterschiedlichen, aber vollständig vorhersehbaren Kennwörtern führt Schutz KeePass bietet, es ist nur möglich, Ihre Passwörter auf diese Weise zu gefährden. (Okay, es gibt einen anderen Weg.)

Es gibt jedoch viele Möglichkeiten, wie Ihre Passwörter nicht kompromittiert werden, z. B.:

  • Ein neugieriger Kollege, der mit Ihren Passwörtern in das Notizbuch schaut;
  • Die Datei, in der sich Ihre Passwörter befinden, wird in ein Backup aufgenommen und an einem unsicheren Ort gespeichert.
  • Jemand, der Ihnen bei der Eingabe des Passworts über die Schulter schaut;
  • Jemand, der auf Ihren Computer zugreift und dessen Sperre Sie vergessen haben, als Sie weggingen;
  • Eine generische Spyware, die Ihr Browser-Passwort speichert Datenbank oder Stehlen der Datei mit Ihren Passwörtern;
  • Malware, die den Webbrowser-Verkehr abfängt, bevor er verschlüsselt wird (vorausgesetzt, Sie verwenden HTTPS) und Ihre Anmeldedaten von dort stiehlt;
  • Hardware-Keylogger (obwohl sie das Hauptkennwort stehlen können, müsste ein Angreifer die Kennwortdatenbank dennoch auf andere Weise abrufen);
  • Der Editor, mit dem Sie Ihre Kennwörter speichern, stürzt ab und der Absturzspeicherauszug mit Ihren Passwörtern, die an den Entwickler gesendet werden:
  • Jemand startet Ihren PC von USB oder CD und nimmt Ihre Passwortdatei;
  • Jemand stiehlt Ihren Computer und nimmt Ihr Passwort Datei
  • Sie verwenden Ihr Passwort auf mehreren Websites wieder, da Sie sich nicht an 1.219 verschiedene Passwörter erinnern können, und eine dieser Websites ge tting gehackt
  • … und so weiter.

    • Wenn Sie Ihre Datenbank lokal halten, ist dieses Szenario nicht die Hauptbedrohung, die besteht?

    Nein. Ich bin mir sicher, dass es in den oben genannten Szenarien mehrere gibt, die weitaus häufiger auftreten als Malware, die speziell nach KeePass ausgeführt wird. Risiko Nr. 1 besteht wahrscheinlich darin, ein Kennwort für alle Websites erneut zu verwenden und diese Website zu gefährden. (Zum Beispiel gibt es derzeit 3.805.757.030 verletzte Konten in Wurde ich pwned? .)

    Verteidigung

    Obwohl , wie der Entwickler von KeePass zustimmt, es letztendlich keine Möglichkeit gibt, Angriffe abzuwehren, die speziell auf KeePass abzielen, ist es sicherlich möglich, die Messlatte für einen Angreifer höher zu legen. Zum Beispiel gibt es eine Funktion zum Schutz gegen Keylogger, die beim Entsperren der Datenbank das Hauptkennwort erhalten, eine Funktion zum Sperren Ihrer Kennwortdatenbank, wenn Sie sie nicht verwenden und so weiter.

    Es lohnt sich zu untersuchen, ob Sie einige dieser Funktionen aktivieren möchten, aber ich würde nicht empfehlen, einige oder alle dieser Funktionen ohne nachzudenken einzuschalten. Es gibt einen nicht zu vernachlässigenden Einfluss auf die Benutzerfreundlichkeit, und die potenziellen Vorteile können gering sein, je nachdem, was Sie erwartet. Beachten Sie, dass ein Angreifer nicht unbedingt Ihr Kennwort von KeePass abrufen muss, sondern auch das Programm, in das Sie das Kennwort eingeben, angreifen kann. P. >

    Fazit

    Ein Passwort-Manager verteidigt Sie nicht gegen alles… weil er es nicht kann. Um Gesetz Nr. 1 aus den zehn unveränderlichen Sicherheitsgesetzen zu zitieren,

    Wenn ein Bösewicht Sie überreden kann, sein Programm auf Ihrem Computer auszuführen Computer, es ist nicht mehr Ihr Computer.

    Die Dinge, gegen die sich ein Passwort-Manager verteidigt , bedeuten jedoch immer noch, dass die Verwendung eines solchen eine sehr gute Idee ist.

    +1 für das Zitieren der zehn unveränderlichen Sicherheitsgesetze.Ich bin überrascht, dass es bis jetzt niemand erwähnt hat.
    A. Hersean
    2017-06-19 14:47:41 UTC
    view on stackexchange narkive permalink

    Zur Ergänzung der Antwort von @matthew: Eine verschlüsselte Kennwortdatenbank muss vor Offline-Angriffen geschützt werden. Beispielsweise kann es die Datenbank schützen, wenn Sie sie auf einen USB-Stick stecken und verlieren oder wenn Ihr ausgeschalteter Computer gestohlen wird. Sie können auch sicher einen Sicherungsdienst oder einen Cloud-basierten Synchronisierungsdienst mit Ihrer Kennwortdatenbank verwenden. (Dies gilt nur, wenn Sie eine starke Passphrase verwenden und Ihre Schlüsseldatei nicht synchronisieren.)

    Vielen Dank für Ihre Antwort. Ok, wenn ich einen Desktop-Computer habe, der nicht gestohlen werden kann, und wenn ich keine USB / Cloud-Lösung zum Offenlegen meiner Datenbank verwende (wenn ich meine Datenbank also ausschließlich lokal aufbewahre), muss KeePass nicht verwendet werden, Nein ? Ich hatte vor, es angesichts der Gefahr einer Malware-Kompromittierung zu verwenden, aber anscheinend würde es meine Passwörter nicht schützen.
    Die Verwendung eines Passwort-Managers bietet den Vorteil, zumindest starke zufällige Passwörter zu generieren, die für jede Website unterschiedlich sind.Ich empfehle jedoch nicht, den Passwort-Manager zu verwenden: Dies hängt stark von Ihren Anforderungen ab.Sie können die von Ihrem Browser bereitgestellte verwenden, ein Plugin verwenden, eine spezielle Software oder ein Stift-Papier-Notizbuch verwenden.Einige sind besser als andere, andere haben öffentliche Audits oder Berichte über ihre Sicherheit (oder deren Fehlen).Ich kenne keinen perfekten Passwort-Manager, benutze aber immer noch einen.
    Richtig, die Komplexität des Passworts ist in der Tat interessant.Vielen Dank. Für den Passwort-Manager würde ich KeePass empfehlen, das vielleicht das einzige kostenlose und Open-Source-Programm (oder zumindest das bekannteste) ist.Ich wurde von offiziellen Zertifizierungsstrukturen empfohlen.
    Die am längsten bestehenden Open Source-Implementierungen sind wahrscheinlich KeePass (und Derivate wie KeePassX und die verschiedenen mobilen Clients von Drittanbietern) und Password Safe (das auch kompatible Implementierungen enthält).Für beide wurde eine Analyse anhand der DB-Formate durchgeführt: https://www.cs.ox.ac.uk/files/6487/pwvault.pdf
    @Matthew: Sehr lehrreicher Artikel, danke! Ich finde jedoch das Veröffentlichungsdatum nicht. Der Chrome-Passwort-Manager (Smart Lock) speichert das Passwort heute nicht lokal in Clear.
    @KB303 Januar 2012, für dieses Papier, also ist es ziemlich alt.Es gibt auch andere Bewertungen spezifischer Software, die jedoch nicht immer diese spezifischen Pakete abdecken.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...