KeePass-ontwikkelaar relativeert kwetsbaarheid in wachtwoordmanager

Een zwakke plek in de beveiliging van wachtwoordmanager KeePass kan je wachtwoorden doorspelen aan hackers. Maar KeePass zelf zegt dat de impact relatief beperkt is, aangezien de dader al toegang moet hebben tot je pc.

KeePass is een opensource-wachtwoordmanager, maar in tegenstelling tot cloudspelers bewaart de dienst je wachtwoorden lokaal met versleuteling door een hoofdwachtwoord.

De afgelopen dagen kwam een kwetsbaarheid (CVE-2023-24055) aan het licht waarvoor ook het NCSC waarschuwt. Indien een cybercrimineel toegang heeft tot je pc en er dingen kan wijzigen, dan is het mogelijk om het XML configuratiebestand aan te passen. Met de juiste aanpassing wordt je heel wachtwoordkluis automatisch in platte tekst bewaard op je pc zodra je het hoofdwachtwoord ingeeft. De dader kan dan op een later moment die database bemachtigen zonder nood aan het hoofdwachtwoord.

Gevaarlijk, maar alleen als aanvaller al toegang heeft

Dat kan ernstige gevolgen hebben, maar tegelijk moeten we erkennen dat tegen dat een malafide speler toegang heeft tot je pc (van op afstand of omdat de pc onbewaakt wordt achtergelaten), er al heel wat moeite moet gedaan worden en het initiële probleem niet bij KeePass zit. Dat nuanceert ook KeePass zelf.

In een discussie op Sourceforge wijst de organisatie naar een Q&A waarbij het opmerkt dat iemand die dingen kan wegschrijven op je pc, vermoedelijk ergere dingen kan doen dan je wachtwoordkluis bemachtigen. Tegelijk zou het dan ook niet zo moeilijk zijn om de wachtwoorden op andere manieren te bemachtigen, denk bijvoorbeeld aan een tool die je toetsenbordaanslagen of copy/paste teksten bijhoudt.

Gebruikers vragen als oplossing dat KeePass dergelijke stille database exports standaard verbiedt, tenzij de gebruiker het hoofdwachtwoord ingeeft. Of dat er een versie komt zonder die functie. Ze wijzen er op dat er altijd momenten kunnen zijn dat je pc onbewaakt wordt achtergelaten.

In samenwerking met Data News