Passwortmanager Keepass GEHACKT! (CVE-2023-32784)

preview_player
Показать описание

Disclaimer
Dieses Video ist keine Anleitung zum Hacken! Hacken ohne Erlaubnis ist nicht erlaubt. Dieses Video ist ausschließlich zu Bildungszwecken gedacht!

Inhalt 📚
In diesem Video berichte ich dir von einer neuen Sicherheitslücke im #Passwortmanager #Keepass. Die #Sicherheitslücke zum Passwortmanager Keepass findest du unter der CVE-Nummer CVE-2023-32784. Ich erkläre dir außerdem, was man unter einem Passwortmanager versteht, wie ein Passwortmanager funktioniert und welchen Beitrag ein Passwortmanager leisten kann.

00:00 | Was ist Keepass?
00:52 | Das Problem mit dem Masterpasswort
01:56 | Oje ...
02:12 | Demo
02:36 | Disclaimer
03:29 | Aber das Passwort ist doch sicher!
04:47 | Wann funktioniert der Hack?
05:56 | Gegenmaßnahmen

EQUIPMENT(*)

SUPPORT

SOCIAL MEDIA

  1. Florian Dalwigk
  2. passwort manager
  3. passwort manager gehackt
  4. florian dalwigk passwort manager
  5. passwort manager erklärung
  6. passwort manager erklärt
Рекомендации по теме
Passwortmanager Keepass GEHACKT! 0:07:10

Passwortmanager Keepass GEHACKT! (CVE-2023-32784)

EASY: Dumping the 0:03:17

EASY: Dumping the KeePass Master Password - CVE-2023-32784

How to fix 0:01:12

How to fix CVE-2023-32784 in KeePass password manager

KeePass 2 x 0:03:11

KeePass 2 x Master Password Dump - CVE-2023-32784

Don't use KeePass 0:00:15

Don't use KeePass as a password manager.

Unlock KeePassDX MUCH 0:00:39

Unlock KeePassDX MUCH Faster

The ultimate hack 0:12:21

The ultimate hack to get the master password of any KeePass database!

Cracking KeePass databases 0:04:35

Cracking KeePass databases (.kdbx)

Get KeePass passwords 0:01:34

Get KeePass passwords without the main password - CVE-2023-24055 PoC (KeePass 2.5x)

CREDENTIALS - KEEPASS 0:01:27

CREDENTIALS - KEEPASS (*** DISPUTED *** CVE-2023-24055)

KeePass Password Manager 0:07:10

KeePass Password Manager Review | Should you use it in 2024?

I’m Never Using 0:05:23

I’m Never Using An Offline Password Manager Again

Dabei hilft dir 0:00:24

Dabei hilft dir der Passwortmanager nicht

KeePass - der 0:15:20

KeePass - der sichere Passwortmanager - Teil 1 Bedienung und Handhabung

Yet Another Android 0:00:40

Yet Another Android KeyPass Client

Nie wieder vergessene 0:08:38

Nie wieder vergessene Passwörter mit Keepass XC | Passwort Management | Digitale Selbstorganisation

Mit dem kostenlosen 0:15:26

Mit dem kostenlosen Passwortmanager KeePass XC vergisst Du keine Passwörter mehr!

Underdog schlägt das 0:09:35

Underdog schlägt das Original! KeePassXC punktet mit besserer Oberfläche!

DONT let your 0:00:11

DONT let your teacher see this! 😹😹

The KeePass Vulnerability 0:10:57

The KeePass Vulnerability

7 KeePass Features 0:09:26

7 KeePass Features You Should Know About - Best KeePass Password Manager Core Functions Overview

KeePass Exploitation: Uncovering 0:13:12

KeePass Exploitation: Uncovering Security Weaknesses

How to Unlock 0:04:49

How to Unlock KeePass With A Fingerprint Reader?

Passwortmanager für Unternehmen 0:00:46

Passwortmanager für Unternehmen

Комментарии
Автор






(*) Bei den Amazon-Links handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.

Florian.Dalwigk
Автор

KeepassXC, Strongbox sowie die KeePass Versionen 1.X sind übrigens nicht betroffen

samuql
Автор

Ich nutze Bitwarden, aktuell die cloudbasierte Version, einfach aus Bequemlichkeit, damit überall (und OS-übergreifend) auf meine Passwörter zugreifen zu können. Habe den Login zusätzlich mit einem Yubikey abgesichert, d.h. der einzige cloudspezifische Schwachpunkt ist, wenn die verschlüsselte Passwortdatenbank geleakt werden sollte.

Klar, theoretisch kann sowas passieren, aber dann müsste erstens das passieren und zweitens müsste man mein Masterpasswort herausfinden, um an meine Passwörter zu gelangen. Und selbst dann sind die enthaltenen Logins (sofern von der Webseite angeboten) durch 2FA abgesichert. Meine Frage: würde ich wirklich so viel mehr Sicherheit gewinnen, wenn ich den Dienst selbst hosten würde? Mein Zuhause ist ja nicht unbedingt sicherer als ein Clouddienst und ich behaupte mal, dass die Wahrscheinlichkeit, einen Konfigurationsfehler zu machen (oder bei eigener Implementierung einen Bug einzubauen), um ein Vielfaches höher ist als den Clouddienst zu nutzen, oder liege ich komplett daneben?

lighty
Автор

Tolles Video! Du rätst ja von Passwort-Mgr ab, die Passwörter in der Cloud speichern. Was hältst du von einem self-hosted Vaultwarden-Server (ehemals bitwarden-rs), der auf meinem Raspi im LAN zuhause läuft, und alle Daten lokal speichert? Die Verbindung (Login etc.) habe ich noch mit einem self-signed SSL-Zertfikat abgesichert, welches ich auf allen meinen Geräte installiert habe. Um nicht nur zuhause im LAN, sondern auch von unterwegs zugreifen zu können, habe ich mir noch einen VPN-Server am Raspi installiert - somit kann ich sehr bequem mit dem OpenVpn Client am Smartphone von überall aus meine Passwörter synchronisieren. Hast du zu meinem „System“ auch irgendwelche Bedenken oder Tipps, die du mir mitgeben könntest? Liebe Grüße Andi

dsa
Автор

Danke dass du immer so schnell Videos zu den aktuellen Themen machst. BTW, cipher /w empfiehlt sich nur bei HDD, nicht bei SSD. Korrigiert mich bitte falls ich falsch liege. 😊

IzzyWe
Автор

Ich finde es cool wie du immer wieder kleine Anime Anspielungen in deinen Videos drin vorkommen

zero_two_anime
Автор

Ist KeePassXC auch betroffen, da es auf Keepass basiert?

Vielen Dank für das Video!

Paul
Автор

Erst Mal Danke für deinen Hinweis auf die Voraussetzungen, die ersterfüllt sein müssen. Ich habe bis jetzt zwar erst zwei Artikel zu dem Thema vorliegen gehabt, die aber auch bloß gaaanz grob quergelesen, da ich selber Keepass nicht benutze. Stattdessen habe ich Bitwarden im Einsatz, an dem ich mich mit Yubikey anmelde. Dort habe ich inzwischen eine ordentliche Sammlung an Passworts, die ich sukzessive auch auf MFA mit Yubikey umgestellt habe und auch noch dabei bin. Ist echt aufwendig, aber inzwischen habe ich wohl alle Accounts durch, die ich innerhalb der letzten 4 bis 5 Jahre benutzt habe. Alle anderen die noch länger nicht mehr benutzt wurden, sind wahrscheinlich auch nur noch verwaiste Logins, viele Homepages existieren bestimmt gar nicht mehr

Viele Grüße aus'm Ruhrpott

Lothar.Amberge
Автор

Super 🙌🏼 es funktioniert wieder wie gewohnt man kann deine Videos aufrufen ohne einen direkten Link von dir !
Grüße ✌🏼
Rick

rickhildebrandt
Автор

Ich benutze Keepass schon seit Jahren und bin froh, dass die Entwickler noch aktiv an Fixes arbeiten.

Generell schreckt mich die Lücke jetzt wenig ab, da man ja eben größeren Zugriff auf den Rechner benötigt und wenn ein Angreifer den schon hat, warum dann die Mühe machen und über so einen komplizierten Weg sich das Passwort beschaffen? Da gibt es leichtere und effizientere Wege.
Jetzt stellt sich mir interessehalber die Frage, da es in nem Artikel auf Heise heißt, dass das Passwort mit Standardkonfiguration auslesbar ist:
Wie verhält es sich bei der Eingabe über 'Secure Desktop' oder mit Keyfiles?

Spiesser
Автор

Wäre es nicht auch eine sinnvolle Gegenmaßnahme, 2FA-Möglichkeiten von Keepass zu nutzen wie beispielsweise die Schlüsseldatei oder die Integration eines OTP-Generators wie dem Yubikey?
btw wäre ich Dir dankbar, wenn Du eine Anleitung dazu machen könntest, wie man sich einen OTP-Generator zum Öffnen der Keepass-Datenbank einrichten kann, um die Schlüsseldatei zu ersetzen

NochSoEinKaddiFan
Автор

Nice, habe das POC gleich ausprobiert...

ubZr
Автор

ich benutze Bitwarden und somit auch ein cloudbasierten Password Manager, nur mit der kleinen Abweichung, dass ich die Server Komponente selbst hoste über Vaultwarden. ich benutze ihn gern, da alle Dateien immernoch in meinem Netzwerk sind, aber ich dennoch die Bequemlichkeit habe die Passwörter zwischen meinen Geräten zu synchronisieren.

Pitbully
Автор

Direkt mal Masterpasswort geändert und jetzt dazu auch eine Key-Datei hinzugefügt. Man weiß ja nie. :D
Danke fürs aufmerksam machen!

roman_ng
Автор

Ja, ich nutze einen Password-Manager. Den habe ich auf einem USB-Stick gespeichert, von dem Stick gibt es ein Backup, das absolut sicher verwahrt wird. Der original Stick verlässt nie das Haus, und auf Reisen nehme ich nur eine frische Kopie mit. Falls der Reise-Stick mal verloren geht, weis der Finder nicht, dass ein Pw-mgr darauf ist, er findet nur Dateien, die sich nicht öffnen lassen. Der Stick müsste schon einem sehr guten Hacker in die Hände fallen, damit überhaupt ein Risiko besteht. Das Backup ist sehr wichtig, da mir schon mal die Formatierung eines Sticks zerschossen wurde, und ich nicht wieder an die gespeicherten Daten gelangen konnte. Es versteht sich von selbst, dass der Passwort-Stick nur bei Benutzung im PC steckt.

Anrufbeantworter
Автор

Wie ist es den, wenn die Datenbank zusätzlich noch mit einem keyfile versehen ist?

finnaerix
Автор

Gutes Video. Könntest du ein Video über SSH und SSL machen?

Gabimiti_
Автор

Ich nutze sowohl Privat als auch beruflich Vaultwarden als Docker Container, also die Selfhosted Variante von Bitwarden

AngeloR
Автор

Ich verlink das mal Frecherweise weiter =P Hab ich doch heute meine Freunde direkt davor gewarnt weil gestern in der Exploit DB gesehen und du hast schon video gemacht =D Du erklärst das immer so fein =)

SRo
Автор

Ich bin vor ca. 2 Jahren auf Vaultwarden von KeepassXC umgestiegen. Hauptgrund: Ab dem Zeitpunkt hat die Anwendung auch Yubkeys unterstützt. Ich habe Vaultwarden auf einer VM unter Docker laufen. Was hältst du davon?

ZeroMan