image

Duitse overheid laat audit van wachtwoordmanager KeePass uitvoeren

woensdag 9 oktober 2024, 14:29 door Redactie, 11 reacties

De Duitse overheid heeft een security-audit van wachtwoordmanager KeePass laten uitvoeren, die twee kleine, mogelijke problemen heeft opgeleverd. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, lanceerde in 2021 het 'Code Analysis of Open Source Software' (CAOS)-project. De bedoeling van dit project is het onderzoeken van opensourceprogramma's waar steeds meer overheden en mensen gebruik van maken.

Eerder werd al gekeken naar communicatiesoftware Matrix, microbloggingplatform Mastodon en videoconferentiesoftware Jitsi en BigBlueButton. De nieuwste audit die het BSI liet uitvoeren is van wachtwoordmanager KeePass. De Duitse overheidsinstantie moet de resultaten nog op de eigen website publiceren, maar KeePass laat weten dat er twee kleine potentiële beveiligingsproblemen zijn aangetroffen en onderdelen van de code die verbeterd konden worden. Deze verbeteringen zijn inmiddels in versie 2.57.1 doorgevoerd.

Reacties (11)
09-10-2024, 14:42 door Anoniem
Kijk, overheden die bijspringen om audits van open-source programma's te auditten vind ik een top actie
09-10-2024, 14:47 door Anoniem
Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
09-10-2024, 16:16 door Anoniem
Jammer dat ze KeepassXC niet nemen.
09-10-2024, 16:18 door Anoniem
Door Anoniem: Kijk, overheden die bijspringen om audits van open-source programma's te auditten vind ik een top actie

Wel jammer dat ze dan een Windows tools auditten en niet de multi OS variant KeepassXC die nog meer voordelen heeft dan Keepass.
09-10-2024, 16:19 door Anoniem
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.

Veilig onder je toetsenbord, ga zo door.
09-10-2024, 16:33 door Anoniem
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
Tik effe mee met mij als ik inlog?
weaJ0W9CEtOcFniN67KJWYLKOViEyVwzxje93bJvz
en dan wel voutlooz he?
10-10-2024, 01:57 door Anoniem
Door Anoniem:
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.

Veilig onder je toetsenbord, ga zo door.

Als dat toetsenbord in een vertrouwde omgeving staat is het inderdaad een prima om zo door te gaan.

papier is ontzettend goed bestand tegen 'stelen door malware' , en is ook een uitstekend backup medium bestand tegen alle allerlei software/mechanische/elektrische storingen ,en met een levensduur die weinig elektronische opties zullen evenaren.

De toegangs-API is _enorm_ goed gesupport .

Het heeft alleen in gebruik wat praktische nadelen , zoals iemand al postte qua overtikken van het erg lange random string.
En dan is 'kwetsbaar' qua security als de omgeving _niet_ vertrouwd is.
10-10-2024, 08:26 door Anoniem
Door Anoniem:
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
Tik effe mee met mij als ik inlog?
weaJ0W9CEtOcFniN67KJWYLKOViEyVwzxje93bJvz
en dan wel voutlooz he?
Door Anoniem:
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
Tik effe mee met mij als ik inlog?
weaJ0W9CEtOcFniN67KJWYLKOViEyVwzxje93bJvz
en dan wel voutlooz he?

Hoe wist je mijn wachtwoord?
10-10-2024, 10:32 door Anoniem
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
Bewerkt in een MSWord document die in cleartext van de schijf af te halen is. Goed bezig.
Als je nou had geschreven 'alle wachtwoorden netjes uitgeschreven' dan snapte ik je nog of werk jij op een echte typemachine?
10-10-2024, 12:21 door Anoniem
Door Anoniem: Er gaat niets boven een velletje papier met alle wachtwoorden netjes uitgeypt.
Oh, ik zet het altijd op het whiteboard. Kunnen mijn collega's zien of ik het fout intyp.
13-10-2024, 14:48 door Anoniem
Door Anoniem:
Door Anoniem: Kijk, overheden die bijspringen om audits van open-source programma's te auditten vind ik een top actie

Wel jammer dat ze dan een Windows tools auditten en niet de multi OS variant KeepassXC die nog meer voordelen heeft dan Keepass.
Er is ook een Linux build: https://packages.fedoraproject.org/pkgs/keepass/keepass/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.