Schutz vor KeeFarce: KeePass Sicherheit erhöhen /Leistung optimieren


Laut den allgemeinen Meinungen im Internet, ist die Verschl√ľsselung des Passwortmanagers KeePass sicher. Unterstrichen wird dies durch den Open Source- Ansatz: Der Quellcode ist f√ľr jedermann ersichtlich und dementsprechend gepr√ľft. Die Sicherheit h√§ngt vielmehr von der Verwendung ab.¬†

siehe auch  KeePass in der Praxis 

Sicherer Umgang

Damit die Passw√∂rter nicht in falsche H√§nde geraten, sollte¬†nat√ľrlich ein sicheres Masterpasswort verwendet werden, ein sicherer Computer und vertrauensw√ľrdige Plugins.¬†Gesamt gesehen¬†ist KeePass so sicher, wie das Ger√§t auf dem es l√§uft.¬†Wird die KeePass Datenbank auf mehreren Ger√§ten verwendet, gilt dies nat√ľrlich f√ľr alle.¬†

Zum Beispiel gibt es¬†spezielle Malware f√ľr KeePass, die eine ge√∂ffnete KeePass Datenbank ausliest, siehe folgende Diskussion:¬†sourceforge.net/p/keepass/discussion/329220/thread/8e511d96/¬†

KeeFarce

Das angesprochen Tool KeeFarce, kann¬†zum Beispiel¬†eine ge√∂ffnete KeePassdatenbank in eine nicht verschl√ľsselte csv Datei exportiert. M√∂glich ist dies durch DLL¬†Injection. Das Tool bringt¬†Keepass.exe dazu einen Export aller Benutzernamen und Passw√∂rter in eine Textdatei zu erstellen.¬†

KeeFarce funktioniert in Windows unter Verwendung der KeePass Versionen 2.28, 2.29, 2.30 oder 2.31.

Wie kann ich KeePass¬†sch√ľtzen?

KeeFarce funktioniert mit der 2.x Version (inkl. 2.31) von KeePass, die Version 1.x ist derzeit nicht betroffen. Laut Hersteller w√§re ein √§hnliches Tool aber auch f√ľr die Version 1.x denkbar. Aufgrund der eingeschr√§nkten Funktionen ist der Umstieg auf die Version 1.x aus meiner Sicht nicht zu empfehlen. Entsprechende Sicherheitseinstellungen, wie zum Beispiel das Deaktivieren des "Export" in den Sicherheitsrichtlinien von KeePass, sch√ľtzen nicht vor KeeFarce, da das Tool auf einer anderen Ebene ansetzt.

KeePass.exe umbenennen

Da KeeFarce nach einer KeePass.exe sucht, bringt das Umbenennen der Keepass.exe einen kleinen Sicherheitsgewinn. 

Zusätzlich muss die .config Datei auf den neuen Namen der .exe Datei umbenannt werden.

Nat√ľrlich k√∂nnte eine angepasste KeeFarce-Version die .exe auch¬†auf einem anderen Weg¬†lokalisieren, daher hilft das Umbenennen nur bei der aktuellen KeeFarce Version.

Als Administrator ausf√ľhren

KeeFarce benötigt entsprechende Rechte um auf den Speicherbereich von Keepass zuzugreifen. KeeFarce muss dazu mit demselben Benutzer gestartet werden, mit dem auch die Datenbank geöffnet ist. Eine Ausnahme dazu ist System, siehe dazu: start als Local System - mehr als Administratorrechte.

Theoretisch k√∂nnte die Angriffsfl√§che also ein ganz klein wenig minimiert werden, indem Keepass mit einem anderen Benutzerkonto oder mit der Option¬†"Als Administrator ausf√ľhren" gestartet wird.¬†

Die Benutzerkontensteuerung kann dabei auch dauerhaft in den Optionen der KeePass.exe eingestellt werden:

Wenn KeeFarce dann nicht als "Administrator" und einer Best√§tigung der Benutzerkontensteuerung ausgef√ľhrt wird, fehlen die entsprechenden Rechte f√ľr den Zugriff auf den Speicherbereich:

Programme die mittels URL aus KeePass gestartet werden, werden mit dieser Variante auch als Administrator gestartet, der Sicherheitsgewinn bleibt dann auf der Strecke. 

Au√üerdem bekommt KeePass dadurch mehr Rechte als notwendig, es muss also sichergestellt werden, dass KeePass selbst und die verwendeten Plugins vertrauensw√ľrdig sind.¬†

Urspr√ľnglich hab ich KeeFarce unter Ausf√ľhrung von KeePass als ein anderer Benutzer getestet.¬†Die¬†Idee KeePass einfach als Administrator zu starten,¬†hab ich im¬†Blog von SOLARIZ¬†entdeckt: solariz.de/de/keefarce-keepass-gefahr.htm

Das ausf√ľhren als Administrator¬†hilft dennoch¬†nur teilweise. Die L√∂sung¬†ist vielmehr den PC frei von Schadsoftware zu halten.

Schutz vor Malware

An dieser Stelle sei aber erwähnt, dass der Start eines Programmes wie KeeFarce, den Zugriff auf den Computer voraussetzt.

Solange also kein Fremder Zugriff auf den Computer hat, n√ľtzt das Programm nichts. H√§tte ein Fremder Zugriff auf den Computer, und Keepass ist gerade ge√∂ffnet, sind die Passw√∂rter nicht gesch√ľtzt. KeePass kann sich also, wie auch alle anderen Programme, nicht selbst vor Malware sch√ľtzen: Das ist Aufgabe des Virenscanners. Beschrieben wird dies auch im ersten der "Zehn unver√§nderlichen Gesetze zur Sicherheit":¬†https://technet.microsoft.com/en-us/library/hh278941.aspx

 

Zitat:

"If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore."

 

√úbersetzt:

"Wenn es ein Bösewicht schafft, Zugriff auf deinen Computer zu erlangen, dann ist es nicht mehr nur dein Computer." 

 

siehe auch: keepass.info/help/base/security.html#secspecattacks

 

Schreibschutz im KeePass Ordner

Damit KeePass selbst nicht so einfach manipuliert werden kann, sollte der Ordner mit den Programmfiles schreibgesch√ľtzt werden, dazu Rechtsklick auf den Programmordner, meist: C:\Programme (x86)\KeePass Password Safe 2 und auf "Eigenschaften"

"Sicherheit", "Erweitert" und Vererbung deaktivieren 

und dem verwendeten Windows Benutzer nur ¬†"Lese-" und "Ausf√ľhren" Berechtigung geben:

Fazit

Wichtig ist also nur vertrauensw√ľrdige Programme zu starten, einen funktionierende Virenscanner zu verwenden und das Einspielen aktueller Sicherheitsupdates. Vor der aktuellen KeeFarce Version sch√ľtzt das einfache Umbenennen der KeePass.exe. Der Start von KeePass als "Administrator" hilft ein wenig, da die Malware f√ľr den Zugriff dann auch entsprechende Rechte ben√∂tigt und diese erst nach der Best√§tigung der Benutzerkontensteuerung bekommen w√ľrde.¬†

positive Bewertung({{pro_count}})
Beitrag bewerten:
{{percentage}} % positiv
negative Bewertung({{con_count}})

DANKE f√ľr deine Bewertung!

Aktualisiert: 10.01.2016 von Bernhard ūüĒĒ


Top-Artikel in diesem Bereich


KeePass synchronisieren mit der Cloud: Der ultimative Guide
In dem Artikel ‚ÄěWie verwaltest du deine Passw√∂rter?‚Äú habe ich einige Gedanken zum sicheren Umgang mit Passw√∂rtern beschrieben. Ein m√∂glicher L√∂sungsansatz, um den Umgang mit Passw√∂rtern sicherer zu gestalten, ist das Verwenden eines Passwortmanagers wie KeePass. KeePass ist freie Software und kann daher v√∂llig kostenlos auf allen m√∂glichen Ger√§ten verwendet werden.¬†

Bitwarden in Docker betreiben - Setup Schritt f√ľr Schritt
Bitwarden ist ein webbasierter Passwort-Manager, √§hnlich LastPass, aber Open Source und der M√∂glichkeit diesen selbst zu betreiben (hosten). Wie sich Bitwarden im Vergleich zu anderen Passwort-Managern einordnet, habe ich auf folgender Seite √ľberlegt: Passwort-Manager sicher? KeePass vs. LastPass vs. Bitwarden. Um einen mit Bitwarden kompatiblen Server zu betreiben, bietet sich Vaultwarden an. Vaultwarden ist eine alternative Umsetzung von Bitwarden und dank der geringeren Systemanforderungen pe...

Warum? Der angeforderte Vorgang erfordert erhöhte Rechte.
Bestimmte Aktionen erfordern in Windows erhöhte Rechte. Aber was sind erhöhte Rechte?

Fragen / Kommentare


Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu Mehr Details