Passwort-Manager: Datenklau durch Browser-Erweiterungen möglich

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
77.739
Mal wieder den Bock zum Gärtner gemacht. Passwortmanager dienen dem Datenklau, so heise heute.
Folgende Passwortmanager wurden untersucht:
1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm.

www.heise.de

Passwort-Manager: Datenklau durch Browser-Erweiterungen

Ein IT-Forscher hat eine Lücke in Browser-Erweiterungen von Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt.
www.heise.de www.heise.de
 
Zuletzt bearbeitet:
linrunner schrieb:
KeePassXC unter Linux, KeePass2Android und die .kdbx Datei mit Syncthing/Syncthing-fork synchronisieren.
Zum Vergrößern anklicken....
Kann ich die Datenbank vom Pc extrahieren und einfach im Android Programm einfügen oder muss ich dort nochmal händisch eine neue Datenbank anlegen?Bin doch schon sehr verwöhnt von Bitwarden.
 
Volvo-Berti schrieb:
weil das komplizierter ist, denn zB auf dem iPhone läuft kein Office, wenn man da eine Datei anlegen würde.
Zum Vergrößern anklicken....
Kannst du das bitte genauer ausführen? Ich verstehe nicht wieso kein Office (welches? MS Office? ein anderes? Was hat Office mit einer Passwortdatenbank zutun?) laufen sollte. Habs zwar schon beschrieben aber ich verwende KeePassXC auf dem PC und die gleiche Datenbank auf dem iPhone und iPad in Keepassium. Die Datenbank liegt in meiner Mailbox.org Drive. Funktioniert ohne Probleme.
Beitrag automatisch zusammengeführt:

PocoF5 schrieb:
Kann ich die Datenbank vom Pc extrahieren und einfach im Android Programm einfügen oder muss ich dort nochmal händisch eine neue Datenbank anlegen?Bin doch schon sehr verwöhnt von Bitwarden.
Zum Vergrößern anklicken....
Die Datenbank liegt einfach auf deinem PC. Das ist eine Datei. Die Datei kannst du überall hinkopieren wo du willst. Wenn du wenig Aufwand mit dem syncen haben willst, legst du die Datei in einen Cloudspeicher und greifst von überall darauf zu.
 
PocoF5 schrieb:
Kann ich die Datenbank vom Pc extrahieren und einfach im Android Programm einfügen oder muss ich dort nochmal händisch eine neue Datenbank anlegen?Bin doch schon sehr verwöhnt von Bitwarden.
Zum Vergrößern anklicken....
Die Datenbank ist eine einzelne Datei (Endung .kdbx), die man einfach kopiert. Wobei die Android-App mit einem Cache arbeitet und Änderungen aus einer neuen Kopie automatisch einfügt. KeePassXC unter Linux kann ebenfalls mit Änderungen per Sync umgehen, frag mich aber nicht wie genau. Ich benutze es schon viele Jahre so und hatte keine Probleme:

Documentation and FAQ – KeePassXC

KeePassXC Password Manager
keepassxc.org keepassxc.org
 
Bitte sehe doch mal den Speicherort der .kdbx in einem vernünftigen Dateimanager an..... das ist eine wenige KB grosse Datei für die es doch kein Officepaket braucht. Was soll dieser Gedanke? Editieren lässt sich da auch nichts weil verschlüsselt!
 
Zum ursprünglichen Thema:

Wenn Plugins schon sensible Daten leaken können, wie ist das denn mit in Cookies gespeicherten Sessions, respektive den darin enthaltenen Zugangdaten. So bleibt man auch z.b. hier im Forum eingeloggt
 
@Hubot du schriebst ja von geeigneten Programmen, mit denen man das dann managt. Vielleicht habe ich das falsch verstanden, denn ich dachte in Richtung einer Datei, für die man dann spezielle Software braucht wie zB ein Office. Und es ist ja so, dass nicht alles auf allen Geräten läuft.

Und Bitwarden wurde inzwischen seit dem Artikel 2x aktualisiert. Und die Frage der Cookies, die @Ambrosius gestellt hat, ist ja auch sehr berechtigt.
Wenn man das alles weiterdenkt, bekommt man entweder eine Paranoia, oder man schaltet alles sofort ab und bleibt dem ganzen bösen Internet etc. fern.
btw.: benutzt denn hier jemand WhatsApp? war ja auch ein Thema hier im Forum, dass man das nicht in sensiblen Bereichen nutzen soll....
 
Volvo-Berti schrieb:
@Hubot du schriebst ja von geeigneten Programmen, mit denen man das dann managt. Vielleicht habe ich das falsch verstanden, denn ich dachte in Richtung einer Datei, für die man dann spezielle Software braucht wie zB ein Office. Und es ist ja so, dass nicht alles auf allen Geräten läuft.
Zum Vergrößern anklicken....
Ja man braucht ein Keepass-Datei kompatibles Programm. Unter iOS zB. Keepassium. Das Programm ist Open Source und telefoniert nicht nach Hause. Man öffnet damit einfach sein Keepass File. Limitiert auf eines in der Gratis Version und beliebig viele wenn man zahlt. Die bieten auch eine Einmalzahlung an. Meiner Meinung nach ein faires Modell.

Also zusammengefasst: jedes gängige OS hat Programme das Keepass Dateien öffnen kann. Ich habe den Sicherheitsblog Artikel von Mike Kuketz bereits verlinkt. Er gibt da seine Meinung dazu ab warum er dieses oder jenes Programm gut findet und listet meistens auch immer eine iOS und Android Version wenn verfügbar. Mehr als verlinken kann ich auch nicht, lesen muss man den dann schon selbst.
 
Ambrosius schrieb:
Wenn Plugins schon sensible Daten leaken können, wie ist das denn mit in Cookies gespeicherten Sessions, respektive den darin enthaltenen Zugangdaten.
Zum Vergrößern anklicken....
Die leaken natürlich auch Daten (hoffentlich keine Passwörter, aber immerhin). Deshalb sollte man sich gut überlegen, wessen Kekse man futtern will und wessen nicht - insbesondere wenn es um Cookies von Drittanbietern geht, die man nicht kennt.
Als Kind haben einem die Eltern schließlich beigebracht, keine Süßigkeiten von Fremden anzunehmen.

U.A. deshalb wird es mir immer sympathischer, in diesem Forum Links auf externe Websites in Code-Blöcken zu kapseln, denn die lässt die Foren-Software 1:1 stehen, statt sie in Irgendetwas umzuwandeln, das für den Leser nicht lesbar ist, weil er die Drittanbieter-Cookies nicht blind annehmen will.
So kann der Leser dann selbst entscheiden, was er mit der URL machen will.
 
linrunner schrieb:
KeePassXC unter Linux, KeePass2Android und die .kdbx Datei mit Syncthing/Syncthing-fork synchronisieren.
Zum Vergrößern anklicken....
Oder in einer Nextcloud. Hat den Vorteil, dass es keine Sync-Probleme geben kann, wenn man gar nicht synct, sondern immer direkt in die Datei in der Nextcloud speichert. Ist mir schon ein paar Mal passiert, dass ich eine Datei sowohl am PC als auch am Handy editiert habe. Bei der Speicherung in Datei, die dann synchronisiert wird, überschreibt der zweite die Änderungen des ersten. Bei Speicherung in der Nextcloud bemerken die Clients die Änderungen und fragen, ob sie sie zusammenführen sollen (was hervorragend funktioniert).

PocoF5 schrieb:
Kann ich die Datenbank vom Pc extrahieren und einfach im Android Programm einfügen oder muss ich dort nochmal händisch eine neue Datenbank anlegen?Bin doch schon sehr verwöhnt von Bitwarden.
Zum Vergrößern anklicken....
Du nutzt am besten auf allen Geräten die gleiche/selbe Datei. Entweder per Synchronisation oder indem du direkt auf eine von überall verfügbare Quelle zugreifst (z.B. Nextcloud). Notfalls kannst du die Datei natürlich auch in unregelmäßigen Abständen per Hand kopieren/"synchronisieren". Geht auch , ist aber natürlich fehleranfälliger.
Und, ach ja, Backups der Datei natürlich nicht vergessen! Nicht, dass irgendwann alle Passwörter weg sind.
 
cuco schrieb:
Ist mir schon ein paar Mal passiert, dass ich eine Datei sowohl am PC als auch am Handy editiert habe. Bei der Speicherung in Datei, die dann synchronisiert wird, überschreibt der zweite die Änderungen des ersten.
Zum Vergrößern anklicken....
Die letzten KeyPass-Versionen gehen sogar etwas weiter:
Du arbeitest mit einer lokalen Kopie der KeyPass-Datenbank und kannst diese mit der auf dem Server liegenden über die KeyPass-eigene Funktion synchronisieren. Nutzt Du lokale Kopien auf mehreren Geräten, werden in der Serverdatenbank alle Änderungen Satzweise durchgeführt und nicht die ganze Datenbank überschrieben.
hikaru schrieb:
in diesem Forum Links auf externe Websites in Code-Blöcken zu kapseln,
Zum Vergrößern anklicken....
Dennoch muss man aufpassen, wenn es um Ref-Links geht. Dort wird nämlich ein ganzer Rattenschwanz teilweise unsichtbar eingebunden. Diesen sieht man nur, wenn man mit dem Mauszeiger über den Link fährt oder den Editor der Forensoftware über den Schalter "[ ]" in den "Quellcode-Modus" umschaltet. Gerade Google- und Amazon-Links sind da sehr "mitteilungsfreudig".
 
Zuletzt bearbeitet:
Mornsgrans schrieb:
Dennoch muss man aufpassen, wenn es um Ref-Links geht. Dort wird nämlich ein ganzer Rattenschwanz teilweise unsichtbar eingebunden. Diesen sieht man nur, wenn man mit dem Mauszeiger über den Link fährt oder den Editor der Forensoftware über den Schalter "[ ]" in den "Quellcode-Modus" umschaltet.
Zum Vergrößern anklicken....
Danke für den Hinweis!
Da ich fast ausschließlich den Quellcode-Modus des Editors nutze, und dort natürlich ref-Links im Klartext sehe, kam mir gar nicht in den Sinn, dass die im visuellen Editor immer noch problematisch sind.
 
Beim einfügen als Link im visuellen Editor erkennt man den Rattenschwanz. Wenn man jedoch den Begriff, der den Link enthält, kopiert und hier einfügt, sieht man nur den Verlinkungstext.
 
Zuletzt bearbeitet:
Welche app brauch ich für das Smartphone um die kdbx Datei zu öffnen?Am Pc hab ich es jetzt soweit eingerichtet.
 
PocoF5 schrieb:
Welche app brauch ich für das Smartphone um die kdbx Datei zu öffnen?Am Pc hab ich es jetzt soweit eingerichtet.
Zum Vergrößern anklicken....
Beitrag #14 hätte nach anklicken des Links zu KeyPass Download und herunterscrollen ein Deja vu - Erlebnis der Art "achja, stand auch bei Keypass auf der Webseite, von der ich das Programm heruntergeladen hatte" ausgelöst
p030.gif


Dort steht nach anklicken des Links mit anschließendem nach unten scrollen:
1759068269378.png
 
Zuletzt bearbeitet:
Ich nutze keepass2Android jetzt schon eine Weile erfolgreich am Handy.Habt ihr eine Empfehlung für einen passwort generator?Die app selbst hat das leider nicht implementiert.grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben