• Welkom op ons forum. Gasten hebben beperkt toegang tot ons forum. Meld je daarom aan voor een account. Registreren kost slechts een minuutje van je tijd.

Kwetsbaarheid in wachtwoordmanager KeePass, oplossing volgt in juni

phtvs

Sysop
Admin
Mocht je KeePass gebruiken...

Kwetsbaarheid in wachtwoordmanager KeePass, oplossing volgt in juni​

Door een kwetsbaarheid in wachtwoordbeheerder KeePass is het voor aanvallers mogelijk om het hoofdwachtwoord van gebruikers in plaintext op te halen. De ontwikkelaar werkt aan een oplossing, al verschijnt deze pas ten vroegste in juni.
https://tweakers.net/nieuws/209936/...utm_medium=email&utm_campaign=twk_nieuwsbrief


Uit het artikel:
Gebruikers moeten voor de zekerheid mogelijk het besturingssysteem van hun pc opnieuw installeren en bestaande gegevens overschrijven zodat het wachtwoord niet meer in het geheugen staan opgeslagen.

Ik zou op zoek gaan naar een beter alternatief.
 

Capman

Specialist
Ik gebruik Keepass 2 al jaren. Aanvallers die toegang hebben tot het hele geheugen? Dan ben je toch al compleet gehacked.
Ik zou op zoek gaan naar een beter alternatief.

Kan me van veel andere alternatieven ook dergelijke berichten herinneren. Bijkomend probleem is dat die alles centraal in de cloud opslaan, dus 1 hack en je hebt de jackpot. Bij Keepass moet de hack elke gebruiker afzonderlijk treffen. Bovendien is Keepass open source en dus worden lekken vroeg of laat bekend. Bij de tegenhangers weet je het nooit.
 

Capman

Specialist
Ik gebruik Keepass 2 al jaren. Aanvallers die toegang hebben tot het hele geheugen? Dan ben je toch al compleet gehacked.


Kan me van veel andere alternatieven ook dergelijke berichten herinneren. Bijkomend probleem is dat die alles centraal in de cloud opslaan, dus 1 hack en je hebt de jackpot. Bij Keepass moet de hack elke gebruiker afzonderlijk treffen. Bovendien is Keepass open source en dus worden lekken vroeg of laat bekend. Bij de tegenhangers weet je het nooit.

Nog even over "hele pc opnieuw installeren". Omdat 1 applicatie niet lekker werkt!?! Niveau daar bij Tweakers is ver te zoeken. Als er flarden password in je swapfile of hiberfile zitten kun je die bestanden wissen, eventueel FIPS compliant (dan is de data ook exht weg), en opnieuw opstarten.
 

joepmeloen

Prepper goeroe
Volgens mij al aardig wat nuttigs over gezegd:

https://www.preppers-shelter.nl/threads/cyber-security-algemeen.5365/

"
De zogenaamde password vaults is handig in gebruik, maar het heeft een risico dat als ze de private key van dir software hebben alle maar dan ook alle passworden en gebruikersnamen hebben. Het probleem zit hem in de reverse encryprtie, centrale opslag en eventueel dat het ergenst in een database staat zodat je op een ander systeem je wachtwoorden kan oproepen."
 

Capman

Specialist
Dat is zeker een probleem natuurlijk. Zo ongeveer alle passwordmanagers hebben dat probleem. Maar wat is het alternatief? Word documentje op de desktop is nog veel gevaarlijker. Geel briefje op de monitor plakken? Notitieboekje met ganzenveer naast je PC?
Vingerafdruk/gezichtsherkenning? (crimineel die bij je wallet wil kan daar wel mee overweg, en oom agent ook als die je iPhone wil openen).
Cloud ID van Google/Apple/Microsoft/Feestboek? Of nog erger, de overheid? No way...

Misschien Yubikey of iets dergelijks (iemand ervaringen mee?) https://www.yubico.com/
 

petroman

SHTF Expert
Eerlijk gezegd snap ik niet waarom een word document een probleem zou zijn. Als ik zie hoeveel documenten ik voor mijn hobby heb in pdf, word of jpg dan moet je of alles downlaoden en één voor één openen want anders wordt het toch echt werken.
Je moet dan dat docie niet ww_01.docx of pw_01.docx gaan noemen maar iets wat totaal niet opvalt in de hele stapel. Soort van "grey man"* dus.





*oeps, mag dat nog wel?
 

martin

Mankinds only hope
Laatst bewerkt:
Misschien Yubikey of iets dergelijks (iemand ervaringen mee?)

Je heb al voldoende kennis door laten schemeren en zinnige dingen gezegd dat het lastig gaat worden om er iets aan toe te voegen.

Het probleem is dat je in alle gevallen een balans moet zien te vinden tussen veiligheid en gebruiksgemak.
De meest mensen slaan of compleet door naar de veiligheid en anderen compleet door naar gebruiksgemak.

Wat ik meestal probeer over te brengen (op mijn werk) is dat je zaken "uit elkaar moet trekken" net zoals je dat ook doet met normale gegevens.

Je leg je portemonnee gewoon op de keukentafel want het is niet praktisch dat je ieder keer naar de kelder moet gaan en daar je dikke kluis moet gaan openmaken.
Maar als het zou gaan om iets wat echt kostbaar zoals een gouden munt of een duur sieraad dan is dit wel de juist plek.

Digitaal kun je dit ook uit elkaar trekken.

Dus zaken die echt belangrijk zijn die voorzie je van 2FA en dan maakt dat wachtwoord ook niet meer zoveel uit. Zonder 2FA is al het andere in mijn ogen zinloos. Zodra iemand toegang zou hebben tot je computer dan is het ophalen van die wachtwoorden echt geen uitdaging meer. En of je ze dan uit de browser gaat trekken, of uit een password manager maakt voor die hacker echt niet veel uit.

En of die 2FA nou via een stuk hardware verloopt of via een app op je telefoon is in mijn ogen vrijwel gelijk. Dus gebruik ik gewoon de Google Autenticator.

Voor dit forum gebruik ik geen 2fa (ik weet niet eens of die optie mogelijk is) en zou iemand mijn pc ooit hacken dan zou ik alsnog flink balen want ik heb ongemerkt best wel wat inloggegevens in mijn browser staan die ik weer eens moet gaan herzien.

Resumerend is het in mijn ogen van belang om zaken te classificeren naar waarde en afhankelijk hiervan je strategie af te stemmen m.b.t. de gebruikte beveiliging. (en het af en toen opnieuw tegen het licht houden, ik ga maar eens mijn inlog bij enkele sites alsnog voorzien van 2FA)
 

martin

Mankinds only hope
Eerlijk gezegd snap ik niet waarom een word document een probleem zou zijn.

Ik denk dat je hier toch een vergissing maakt.
Een hacker gebruikt flink wat tools om zijn doel te bereiken.
Stel dat een hacker toegang krijgt tot een email omgeving (exchange bijvoorbeeld, of gmail) dan typt de hacker de zoekterm "password" "wachtwoord" en nog wat zaken in.
Op een pc gebruikt een hacker vaak een indexprogramma om alle docx bestanden door te lopen op deze zoekterm. Meestal komt daar geen mensenhand aan te pas en is dit zelfs onderdeel van de toegepaste trojan en gaat dat document van jouw zo de "cloud" in.

Dat is ook de reden dat zodra iemand via email een wachtwoord zou versturen hij bij ons op staande voet ontslag zou krijgen (ok, eerst 1 waarschuwing)
 

Capman

Specialist
Klopt, beetje pro hacker gaat echt niet handmatig alle documentjes openen. Daar zijn zeer geavanceerde tools voor.

Wachtwoord verstoppen tussen andere tekst werkt ook niet. Brute force scanners met GPU accelerators scannen makkelijk tientallen miljarden(!) hashes (soort afgeleide van een wachtwoord) per seconde.
 

petroman

SHTF Expert
Je moet in je doc ook niet het woord wachtwoord oid noemen , dat lijkt mij dan weer logisch.
maar als hier mijn wachtwoord in zit wordt het toch lastig*.
Wachtwoord verstoppen tussen andere tekst werkt ook niet.

Laat staan als ik de letters ga gebruiken van muziekstukken/coupletten.
En een briefje onder je toetsenbord is niet handig maar een digitale hacker gaat dat dus niet vinden.
Stop je dat briefje in een boek tussen andere boeken in je kast wordt het voor die hacker nog lastiger.

*wvtatwon
 

Capman

Specialist
maar als hier mijn wachtwoord in zit wordt het toch lastig*.

Je denkt niet als een hacker :lol:
Die heeft allang een algoritme dat van elk woord de eerste letter pakt omdat dat nou eenmaal een veel voorkomend menselijk foetje is. Al beter is het als je van het eerste woord de laatste letter pakt, 2e woord eennalaatste enz.
Laat staan als ik de letters ga gebruiken van muziekstukken/coupletten.

Als dat muziekstuk niet op de computer zelf staat dan werkt dat wel ja.
En een briefje onder je toetsenbord is niet handig maar een digitale hacker gaat dat dus niet vinden.
Stop je dat briefje in een boek tussen andere boeken in je kast wordt het voor die hacker nog lastiger.

*wvtatwon

Dan installeert ie een keylogger. Hoppa (sleutel onder de mat).
En dat probleem heb je niet met een goede passwordmanager (key obfuscation).
Bovendien, jouw briefje wordt al gauw een enorme inktbende als je na een jaar elk wachtwoord al 3 keer veranderd hebt.1684873473489.jpeg
 

martin

Mankinds only hope
Tja, we lijken wel op een alcoholist die aangeeft dat hij geen probleem heeft met alcohol.

In een situatie als deze is het volgende advies meestal wel effectief als het gaat om bewustwording.

Type gewoon eens "wachtwoord" als zoekterm in je emailprogramma
En start eens de verkenner op (windows + E) en klik op "deze computer"

klik op "geavanceerd zoeken" en kies voor "bestandsinhoud" en doe nog eens het woord "wachtwoord"

Ik denk dat 99% van de mensen die dit doen toch echt zullen moeten toegeven dat het resultaat confronterend kan zijn.
 

phtvs

Sysop
Admin
Als je in staat bent om je wachtwoorden op te schrijven en vanaf een briefje weer in te tikken, dan heb je A een te makkelijk wachtwoord gekozen en/of B je gebruikt het ww op meerdere sites. Erg handig is het niet.

Ik maak gebruik van een wachtwoord manager en ja, die slaan de ww encrypted op hun servers op. Voor mijn eigen servers en de hosting accounts maak ik sindskort gebruik van een yubikey waarvan ik een backup in de kluis heb liggen. Geen idee of dit 90% veilig is, maar gebruiksgemak in combinatie met sterke wachtwoorden die een bruteforce attack kunnen weerstaan, maakt dat ik dit voldoende veilig vind.

Al met al kost het wel een paar centen. De yubi's kosten ruim 50 euro per stuk en de ww manager kost een paar euro per maand. Ik vind het wel bizar dat keepass in dit geval weigerde de kwetsbaarheid te repareren en pas in actie komt nadat er flink met de tamtam is gerammeld.
 

RockyFlats

Ruttaan
Laatst bewerkt:
Als je in staat bent om je wachtwoorden op te schrijven en vanaf een briefje weer in te tikken, dan heb je A een te makkelijk wachtwoord gekozen en/of B je gebruikt het ww op meerdere sites. Erg handig is het niet.

Ik maak gebruik van een wachtwoord manager en ja, die slaan de ww encrypted op hun servers op. Voor mijn eigen servers en de hosting accounts maak ik sindskort gebruik van een yubikey waarvan ik een backup in de kluis heb liggen. Geen idee of dit 90% veilig is, maar gebruiksgemak in combinatie met sterke wachtwoorden die een bruteforce attack kunnen weerstaan, maakt dat ik dit voldoende veilig vind.

Al met al kost het wel een paar centen. De yubi's kosten ruim 50 euro per stuk en de ww manager kost een paar euro per maand. Ik vind het wel bizar dat keepass in dit geval weigerde de kwetsbaarheid te repareren en pas in actie komt nadat er flink met de tamtam is gerammeld.

@phtvs , wachtwoordmanagers, hoofdwachtwoorden opgeslagen in bestanden, yubikey's?

Ik vraag mij dan af, of mijn methode niet mooier is in enkele opzichten. Geen briefjes met wachtwoorden. Geen online zooi. Geen onversleutelde bestanden met daarin (delen van) passwords. Maar gewoon een versleuteld bestand en een stand-alone encryptieprogramma zonder risicovolle "links met buiten".

Ik schrijf van alles en nog wat in een simpel .txt bestandje met een naam dat aan alles doet denken behalve aan iets belangrijks. Passwords, rekeningnummers, hyperlinks, al het belangrijke staat erin. Die .txt file heb ik m.b.v. het axcrypt versleutelingsprogramma versleuteld en staat als .axx bestand op de computer en op enkele USB-sticks.

Nergens, maar dan ook helemaal nergens is het versleutelingswachtwoord opgeslagen.
Ik gebruik daarvoor een zinnetje dat onmogelijk te raden is, maar dat ook moeilijk te vergeten is, en dat ik nergens hoef op te schrijven.
Ik moet het bij de eerste maal versleutelen van een .txt in axcrypt invoeren, en daarna telkens bij het ontsleutelen. Wijzigingen in het ontsleutelde bestand worden automatisch versleuteld bij opslaan en afsluiten. Het wachtwoord wordt gebruikt bij (is een onderdeel van) de versleuteling.
Overigens zijn ook alle andere soorten bestanden (dan .txt) met axcrypt te versleutelen, tot en met gehele mappen in een keer.

Axcrypt start telkens "schoon" op, en heeft m.i. geen weet van het password. Voor zover ik kan zien, bevindt zich dat programma alleen in het werkgeheugen, en na afsluiten van de bewuste .axx file resteert er niets (voor zover mij bekend is). Behalve natuurlijk dat encrypted .axx bestand.
Noot: Bij andere bestandssoorten zoals Word kan ik mij voorstellen dat een auto-save functie van de tekstverwerker roet in het eten kan gooien, maar bij .txt is dat risico er m.i. niet.

Afgezien van onverhoopte keyloggers of backdoors, kan daarmee toch niet veel fout gaan?

Voor wie het wil proberen: via https://axcrypt.net/ kan je het programma downloaden.
Men is er echter jaren geleden toe overgegaan om (voor mij onnodige) extra toeters en bellen toe te voegen, en werkt nu met versie 2 en een abonnementsmodel.
Ik startte er eerder mee, toen er nog geen registratie en abonnement nodig was. Het aardige is, dat dat nog steeds kan, door die eerdere versie 1 te downloaden. Te koop lopen ze er niet mee, maar voor "insiders" is dat een leuk weetje. Het is erg ver weg gestopt, maar hier de directe hyperlink: https://forum.axcrypt.net/support/legacy-downloads/

Versie 1 heeft SHA 1 en 128 bits encryptie, en de betaalde versie 2 heeft SHA 2 en 256 bits encryptie. Het is wel zaak om die belangen tegen elkaar af te wegen. SHA 1 schijnt niet meer 100% veilig te zijn.

Ik vraag mij evengoed af, hoe zich dat "voor een simpele ziel zoals ik vertaalt". Hoe bruikbaar is versie 1 nog, voor een doorsnee preppert? Het "kraken" van een password kost immers nog steeds enorm veel rekenkracht en tijd, meen ik.

Tegelijkertijd, vraag ik mij af of bijvoorbeeld Cryptomator een beter alternatief zou zijn...?
https://alternativeto.net/software/cryptomator/about/


Tips:
je zult zien dat er in het Axcrypt schermpje een aantal opties mogelijk zijn. Een bestand kan eventueel naar een .exe bestand worden versleuteld dat op iedere windows PC te openen is zonder Axcrypt te hoeven hebben. Alle voor ontsleuteling benodigde functionaliteit is dan in het versleutelde .exe bestand ingebouwd.

Maak het beste geen gebruik van een (optie) masterkey voor versleuteling, maar vul het password telkens handmatig in. Tenminste, in mijn logica zou het eerste inhouden dat het password toch ergens op de PC wordt opgeslagen en dat wil ik niet.

Gebruik een zin als password. Hoe langer hoe beter, en moeilijk om te onthouden is het niet. Ik laat de spaties weg, en (tip) sommige letters zijn daarin bijvoorbeeld best door nummers te vervangen.

Kies het beste voor "encrypt" en niet voor "encrypt a copy". In het tweede geval wordt het bestand wel versleuteld, maar blijft het onversleutelde bestand ook behouden. En vergeet je om dat te deleten...

Tot slot: Informatie over versie 1 is ook te vinden in het volgende draadje. Axcrypt staat begrijpelijk niet te springen om gebruik ervan te promoten, maar dat hoeft het plezier niet te drukken. Versie 1 heeft SHA 1 en 128 bits encryptie, en de betaalde versie 2 heeft SHA 2 en 256 bits encryptie.
https://forum.axcrypt.net/forums/topic/encryption-security-with-version-1-7-3201-0-vs-version-2-x-2/
 

martin

Mankinds only hope
Afgezien van onverhoopte keyloggers of backdoors, kan daarmee toch niet veel fout gaan?

Dat is dus heel het probleem.


Laten we even een paar stappen teruggaan want het begint wat rommelig te worden m.b.t. het onderwerp.


Stel iemand gebruikt geen duur/complex/veilig slot en laat de deur openstaan.
Dan is deze persoon dus NIET kwetsbaar voor een mogelijke fout in dit slot.
Maar dat wil niet zeggen dat zodra blijkt dat er een hack mogelijk is op dat slot iedereen onveilig bezig is op de mensen na die hun deur hebben laten openstaan.


Digitaal kun je het op dezelfde manier bekijken.
Als je gebruik maakt van een HTTPS verbinding dat is die verbinding versleuteld. Stel dat de versleuteling zwak zou zijn door verouderde technieken dan is de overstap naar een onversleuteld verbinding HTTP nou niet echt een stap in de goed richting.


Dan (in mijn ogen) de onderschatting van een computerhack. Zodra iemand toegang heeft tot je pc dan is het voor een hacker in 99% van de gevallen extreem eenvoudig om alles wat je hebt staan op de pc te kunnen downloaden. En als de bestanden versleuteld zijn dat maakt niks uit want zodra je ze zelf ooit moet openen dan wacht de hacker (of de software die hij gebruikt) wel tot het moment dat de data niet versleuteld is.
In een bedrijfsnetwerk is het zelfs nog makkelijker. Zodra een hacker 1 persoon van een team van 1000 medewerkers zo gek zou krijgen om een verkeerd stukje software te laten activeren (een reverse SSH verbinding zodat de hacker hierna op zijn dooie gemakje het complete netwerk kan gaan doorspitten) dan is het een kwestie van tijd voordat men de complete controle heeft over de omgeving. (en nee, dit is niet simpel op te lossen met een virusscanner of dure firewalls want die poort 443 die staat echt wel open)

Vroeger kon je nog stellen dat er “niks is te halen” op een pc van een particulier. Maar zo werkt het niet (meer) Heel veel mensen hebben een mogelijkheid om te kunnen telewerken. Dat is voor een hacker goud waard.

Maar wat is de moraal van dit veel te lange verhaal?

Voorkomen is beter dan genezen. En je kunt nog beter een slecht slot gebruiken dan helemaal geen slot. Logisch nadenken en je bewust zijn van de mogelijke risico's is ook belangrijk. Als je bang bent dat de hacker je versleuteld bestand zou kunnen lezen dan zou ik me meer focussen op het voorkomen dat de hacker ooit op je pc gaat rondneuzen. Er is (in mijn ogen) op dit moment maar 1 goede techniek en dat is 2FA. Met alleen een naam/wachtwoord ben je altijd kwetsbaar. Met een 2e factor is dit risico bijna tot 0 gereduceerd.

En nog even aanhaken op encyptie van bestanden. ja, het is een prima extra horde om bestanden die belangrijk zijn te versleutelen. Maar als je ze dagelijk nodig hebt en je dagelijks dat wachtwoord zit in te kloppen of via het klemboard zit door te sturen dan adviseer ik iedereen om eens een keylogger te bestuderen. De reden dat je niet echt bang moet zijn dat een hacker je versleutelde bestanden gaat lopen uitpluizen is omdat de hacker zijn tijd wel in interesantere zaken kan stoppen zoals het versleutelen van een bedrijfsnetwerk.
 

phtvs

Sysop
Admin
2FA is relatief de veiligste idd. Maar bewaar je backup codes dan wel in een kluis waar alleen jij bij kunt.

Overigens is er veel te doen over hackers die je google play account hacken. Google play biedt de mogelijkheid om app's automatisch op je apparaten te installeren. Hierdoor kunnen hackers vrij eenvoudig bij je 2FA app en ook bij je sms en oproepen voor het geval je die mogelijkheid gebruikt als 2FA.

Ik gebruik een yubikey. Maar ook dat is pas veilig genoeg als je dat ding niet in je pc/laptop laat zitten of je sleutelbos met dat ding eraan overal laat slingeren.
 
Bovenaan