Passwortverwaltung unsicher

Keepass ist eine Hilfssoftware, die dem Nutzer bei der Verwaltung von Passwörtern hilft. Die Software merkt sich in einem verschlüsselten Verfahren alle Kennwörter, die sie verwalten soll. Der Nutzer muss nur noch ein Master-Passwort wissen und kann damit seine Zugangsdaten bei diversen Accounts herauskopieren.

Zur Zeit ist es jedoch nur bedingt sicher, die Software zu verwenden. Wie viele andere Programme ist Keepass anfällig dafür, falsche Bibliotheken nachzuladen. Ein Angreifer kann die Sicherheitslücke ausnutzen, indem er einem Nutzer beispielsweise vorgaukelt, die Passwort-Datei liege auf einem WebDav-Laufwerk, der Nutzer müsse sie anklicken, damit Keepass darauf zugreifen kann. Funktioniert der Trick, kann der Angreifer über das Internet auf den PC zugreifen und schädlichen Code einschleusen.

Im Moment gibt es von Seiten der Entwickler noch keine Lösung für das Problem. Abhilfe schafft nur, keine Dateien anzuklicken, die nicht aus vertrauenswürdiger Quelle stammen.

Update 14.09.2010: Der Autor von Keepass hat seine Software aktualisiert und das Problem behoben. In Keepass 1.18 und 2.13 tritt der Fehler nicht mehr auf. Die Updates stehen auf der Webseite des Projekts zum Download bereit. Wer mit Keepass arbeitet, sollte nur noch die aktuellen Versionen verwenden.