Passwort-Manager: Datenklau durch Browser-Erweiterungen möglich

[Mornsgrans]

Mal wieder den Bock zum Gärtner gemacht. Passwortmanager dienen dem Datenklau, so heise heute.
Folgende Passwortmanager wurden untersucht:
1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm.

Passwort-Manager: Datenklau durch Browser-Erweiterungen

Ein IT-Forscher hat eine Lücke in Browser-Erweiterungen von Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt.

www.heise.de

 

[iks230]

Die app selbst hat das leider nicht implementiert.

In der Version die ich nutze schon (Release v1.14-r1):

 

[PocoF5]

@iks230 Ah habs gefunden.Direkt wenn man einen neuen Eintrag anlegt kann man die 3 Doppelpunkte anklicken um dort hin zu gelangen.

 

[XOrg]

KeePassXC lokal nutzen, Addons meiden, Updates einspielen – wer mehrere Geräte will, synchronisiert die .kdbx einfach über eigene Nextcloud oder Syncthing.

 

[cuco]

Ich nutze keepass2Android jetzt schon eine Weile erfolgreich am Handy.Habt ihr eine Empfehlung für einen passwort generator?Die app selbst hat das leider nicht implementiert

Natürlich hat Keepass2Android einen Passwortgenerator. Dieses grüne Symbol mit dem Schlüssel und dem Plus, direkt neben/unter dem Passwort-Feld.

//EDIT: 3. Seite des Threads übersehen, wurde schon beantwortet.

 

[Ambrosius]

Weiss jemand warum die Autofill Funktion von KP XC in Firefox nicht funktioniert? Gibt es da evtl eine Einstellung die das blockiert?
Beide Programme sind up2date. Kann mir da keinen Reim drauf machen

 

[fakiauso]

Machst Du das über Strg+Alt+A oder per Add-On?

Letzteres muss ja auch verbunden sein, damit das klappt:

KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1

Die Auto-Type-Funktion vereinfacht die Handhabung und Sicherheit von KeePassXC erheblich. Alternativ: KeePassXC-Browser-Add-on.

www.kuketz-blog.de

 

[Ambrosius]

Str+Sh+V bei mir und nein ohne Add-On. Nur per gewöhnlichem Point and Click auf dem Tastatursysmbol in der Symbolleiste

 

[ksk_halo]

Seht ihr ein Problem von einem selfhost vaultwarden Server. Die Hardwareanforderungen (Mini PC mit Proxxmox, Vaultwarden in einer VM) sind minimal. Meine Version läuft nur im lokalen Netzwerk. Also ändern und speichern geht nur zuhause. Auf Android und IOS die Bitwarden APP, am PC die Browser Extension. Ich habe das ca. zwei Jahre auf einer Start9 Node betrieben, da dort aber das Speichern von Dateianhängrn nicht funktioniert bin ich umgestiegen.

 

[elektrokid]

KeePassXC lokal nutzen, Addons meiden, Updates einspielen – wer mehrere Geräte will, synchronisiert die .kdbx einfach über eigene Nextcloud oder Syncthing.

....oder wenn es ohne Cloud sein soll, Stick an die Fritte oder das sonstige Routergerät und mit dyndns darauf zugreifen. Oder vielleicht einen kleinen Homeserver mit extra wenig Verbrauch und eine Freigabe darauf. Sicherheitstechnisch lässt sich das dann von Pontius zu Pilatus hetzen

 

[linrunner]

Weiss jemand warum die Autofill Funktion von KP XC in Firefox nicht funktioniert? Gibt es da evtl eine Einstellung die das blockiert?
Beide Programme sind up2date. Kann mir da keinen Reim drauf machen

Ist eine komplexe, schon ältere Wayland-Problematik, die anscheinend aus Sicht der Applikation nicht trivial zu lösen ist:

Support Auto-Type on Wayland · Issue #2281 · keepassxreboot/keepassxc

Expected Behavior AutoType should be available as under X. Current Behavior AutoType not available in Wayland Steps to Reproduce (for bugs) Login to Plasma Wayland Open KeePassXC You will there are...

github.com

Mit dem Browser-Addon hat Auto Type nichts zu tun.

Die offizielle Doku nennt einen Workaround (hab ich nicht ausprobiert):

https://keepassxc.org/docs/KeePassXC_UserGuide#_auto_type

 

[zwieblum]

"Hey! So geht das aber nicht! Das ist eines DER TOP Sicherheitsfeature von Wayland! Das soll so sein - by Design! Bleib' halt bei Xorg (wirst schon sehen wie wir das kaputpatchen)!"

Tja, es gibt gute Gründe für Xlibre.

 

[Ambrosius]

ich bin auf x11

 

[diwo]

Mal ne dumme Frage, ist mit Browser Plugin auch das gemeint, das der Browser automatisch Passwörter speichern möchte/kann?

 

[linrunner]

ich bin auf x11

Dann hab ich falsch geraten und die Ursache ist eine andere.

Mal ne dumme Frage, ist mit Browser Plugin auch das gemeint, das der Browser automatisch Passwörter speichern möchte/kann?

Das Keepass* Browser Plugin holt/speichert Benutzername/Passwörter passend zur URL aus/in Keepass*.

Dass die gängigen Browser auch selbst Passwörter speichern können, ist damit nicht gemeint.

 

[Ambrosius]

Dann hab ich falsch geraten und die Ursache ist eine andere.

Ja ich hätte das auch dazu schreiben können. Ich werde das System eh nuken und neu aufziehen. Ich meine auch dass ich das Problem in der Vergangenheit schon mal hatte und deswegen dachte ich dass das Problem browserseitig zu suchen sei.

Dann hab ich zum Gegentesten mal ein Textdokument offen gehabt, und die autofill funktion darauf angewendet. Theoretisch müsste es ja dann klar sein, woran es liegt. Es klappt aber auch dann nicht, ich weiss aber dass es funktionieren sollte. Ein schneller Vergleich mit einer anderen Maschine wo Arch/Wayland drauf ist, ist die Auto-Type Funktion gänzlich rausgenommen worden. KPXC-Paket jeweils aus den offiziellen Repos und beides Mal v.2.7.11
Danke für den Link, das untersuche ich mal näher

@zwieblum

 

[fakiauso]

Mal ne dumme Frage, ist mit Browser Plugin auch das gemeint, das der Browser automatisch Passwörter speichern möchte/kann?

Nein - es gibt von KeepassXC ein Addon ähnlich wie den Google Authenticator, der auch automatisch ausfüllt. Dazu muss das Addon allerdings mit dem Hauptprogramm verbunden sein.