Het Nederlandse Cyber Security Centrum (NCSC) wil gebruikers van de wachtwoordbeheerder KeePass waarschuwen. Het pc-programma dat bij de app hoort, bevat een kwetsbaarheid waarmee kwaadwillenden je onversleutelde wachtwoorden kunnen achterhalen.
KeePass-kwetsbaarheid
Het Nederlandse Cyber Security Centrum heeft de wachtwoordbeheerder KeePass op de hoogte gebracht van een ernstige fout in hun pc-programma. Op het moment dat hackers via malware al toegang hebben gekregen tot de pc van hun slachtoffers, kunnen ze een kwetsbaarheid van KeePass misbruiken om de wachtwoorden van de gebruiker te achterhalen. Die kunnen dan in platte tekst worden gekopieerd.
Dat is een rode vlag voor het NCSC, maar volgens de ontwikkelaars van KeePass is er geen stront aan de knikker. Ze erkennen de fout, maar hanger er geen hoog dreigingsniveau aan. KeePass oordeelt dat de wachtwoordbeheerder zij gebruikers niet hoeft te beschermen tegen hackers die al via malware toegang hebben gekregen tot de pc van hun slachtoffers.
Zo bescherm je je wachtwoorden
Er is wel een manier waarmee KeePass alsnog kan beschermen tegen dit soort dreigingen, namelijk als je een specifieke instelling activeert. Daarmee is het masterwachtwoord vereist op het moment dat iemand een export wil maken van je wachtwoorden. Hackers moeten in dat geval dus ook al je masterwachtwoord bezitten voor ze heel je kluis kunnen openbreken.
Het NCSC adviseert gebruikers van KeePass om die instelling te gebruiken en aan organisaties geeft het het advies om toch een risicoafweging te maken voor het gebruik van de dienst. Recent was er veel te doen om de wachtwoordmanager LastPass, die moest toegeven dat er wachtwoorden van gebruikers zijn gestolen na een aanval van hackers. Ben jij een KeePass-gebruiker en blijf jij na dit nieuws de app al dan niet gebruiken? Laat het ons weten in de reacties.
Wil je op de hoogte blijven van het laatste nieuws over beveiliging? Download dan onze Android-app en volg ons via Google Nieuws en op Telegram, Facebook, Instagram en Twitter.
Reacties
Inloggen of registreren
om een reactie achter te laten
Keepass is veilig. Men praat over malware op de PC gebruik je keepass niet op de PC heb je dit probleem niet. Het probleem zit in windows die laat ten wensen over. Neem aan dat niemand keepass kdb file bewaard op pc . Over Android lees je niets.
Geldt dit alleen voor je pc of ook voor de mobiele telefoon?
Ik heb 1 keer een virus op het kdb bestand gehad maar heeft gelukkig geen invloed gehad 🙂 Het blijft oppassen.
Ik gebruik Samsung pass die is heel goed vind ik
“Er is wel een manier waarmee KeePass alsnog kan beschermen tegen dit soort dreigingen, namelijk als je een specifieke instelling activeert”
Nadeeltje is alleen wel dat die gewoon in een configfile staat genoteerd. Heeft iemand toegang tot je machine dan kan die dus gewoon die configfile aanpassen en de volgende keer dat je keepass start is die instelling uitgeschakeld.
Een waar kan ik die specifieke instelling vinden in KeePass (hoe heet die)? Want ik zie hem niet helaas. Alvast bedankt!
https://sourceforge.net/p/keepass/discussion/329220/thread/a146e5cf6b/?page=1&limit=25#73e4