Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Bron: KeePass

KeePass Password Safe logo (60 pix)Versie 2.27 van KeePass Password Safe is uitgekomen. Met deze opensource-wachtwoordmanager kunnen accounts worden opgeslagen, inclusief de bijbehorende gegevens, zoals gebruikersnaam, wachtwoord en url. Alle gegevens worden veilig in een met het Rijndael-algoritme versleutelde database opgeslagen. Verder kan het programma automatisch wachtwoorden genereren en lijsten in- en exporteren. Door het toevoegen van dit taalbestand kan het programma ook in het Nederlands worden gebruikt.

Van KeePass Password Safe bestaan twee verschillende uitvoeringen. Versie 1.x heeft geen andere programma's nodig en werkt alleen onder Windows. Versie 2 maakt intern gebruik van xml en heeft verder minimaal versie 2.0 van het .Net Framework nodig of, als het programma onder Linux, OS X of FreeBSD wordt gebruikt, versie 2.6 van Mono of hoger. Een volledig overzicht van de verschillen tussen versie 1 en 2 is op deze pagina te vinden. Hieronder staat de changelog van deze release.

New Features:
  • The estimated password quality (in bits) is now displayed on the quality progress bar, and right of the quality progress bar the length of the password is displayed.
  • Auto-Type: before sending a character using a key combination involving at least two modifiers, KeePass now first tests whether this key combination is a registered system-wide hot key, and, if so, tries to send the character as a Unicode packet instead.
  • Auto-Type: added workaround for Cygwin's default Ctrl+Alt behavior (which differs from Windows' behavior).
  • Auto-Type: added {APPACTIVATE ...} command.
  • {HMACOTP} placeholder: added support for specifying the shared secret using the entry strings 'HmacOtp-Secret-Hex' (secret as hex string), 'HmacOtp-Secret-Base32' (secret as Base32 string) and 'HmacOtp-Secret-Base64' (secret as Base64 string).
  • {T-CONV:...} placeholder: added 'Uri-Dec' type (for converting the string to its URI-unescaped representation).
  • Added placeholders: {URL:USERINFO}, {URL:USERNAME} and {URL:PASSWORD}.
  • Added placeholders: {BASE}, {BASE:RMVSCM}, {BASE:SCM}, {BASE:HOST}, {BASE:PORT}, {BASE:PATH}, {BASE:QUERY}, {BASE:USERINFO}, {BASE:USERNAME}, {BASE:PASSWORD} (within an URL override, each of these placeholders is replaced by the specified part of the string that is being overridden).
  • Added {NEWPASSWORD:/Profile/} placeholder, which generates a new password for the current entry using the specified password generator profile.
  • Pattern-based password generator: the '^' character now removes the next character from the current custom character set (for example, [a^y] contains all lower-case alphanumeric characters except 'y').
  • Enhanced syntax highlighting in the sequence field of the 'Edit Auto-Type Item' dialog.
  • Added option 'Do not ask whether to synchronize or overwrite; force synchronization'.
  • Added synchronization support for the group behavior properties 'Auto-Type for entries in this group' and 'Searching entries in this group'.
  • Root group properties are now synchronized based on the last modification time.
  • While saving a database, a shutdown block reason is now specified.
  • Added 'Move to Group' menu in the 'Selected Entries' popup of the main entry list context menu.
  • Items of dynamic menus (tags, strings, attachments, password generator profiles, ...) now have auto-assigned accelerator keys.
  • As alternative to Ctrl+F, pressing F3 in the main window now displays the 'Find' dialog.
  • Added UIFlags bit for hiding password quality progress bars and information labels.
  • Enhanced system font detection on Unix-like systems.
  • When using 'xsel' for clipboard operations on Unix-like systems, text is now copied into both the primary selection and the clipboard.
  • Added '--version' command line option (for Unix-like systems).
  • Plugins can now subscribe to an IPC event that is raised when running KeePass with the '-e:' command line parameter.
  • Added workaround for .NET AutoWordSelection bug.
  • Added workaround for Mono bug 10163; saving files using WebDAV now also works under Mono 2.11 and higher.
  • Added workaround for Mono image tabs bug.
  • Added workaround for Mono NumericUpDown drawing bug.
Improvements / Changes:
  • Merged the URL scheme overrides and the 'Override all URLs' option into a new dialog 'URL Overrides'.
  • Improved autocompletion of IO connection parameters using the MRU list (now treating the user name as filter).
  • Improved interaction of IO connection trigger parameters and the MRU list.
  • The master key prompt dialog now validates key files only when clicking [OK], and invalid ones are not removed automatically from the list anymore.
  • Improved support for managing columns leftover from uninstalled plugins in the 'Configure Columns' dialog.
  • If the 'Unhide Passwords' policy is turned off, the passwords column in the auto-type entry selection dialog is now unavailable.
  • The entry list in the main window is now updated immediately after performing auto-type or copying data to the clipboard.
  • Various list view performance improvements.
  • The 'Searching entries in this group' group behavior properties are now ignored during resolving field references.
  • Improved behavior in case of syntax errors in placeholders with parameters.
  • Two-channel auto-type obfuscation: improved realization of clipboard paste commands.
  • General main window keyboard shortcuts now also work within the quick search box and the database tab bar.
  • Pressing Ctrl+Shift+Tab in the main window now always selects the previous database tab (independent of which control has the focus).
  • Changed shortcut keys for moving entries/groups on Unix-like systems, due to Mono's incorrect handling of Alt (preventing key events) and navigation keys (selection updated at the wrong time).
  • Auto-Type: improved modifier key releasing on Unix-like systems.
  • Various code optimizations.
  • Minor other improvements.
Bugfixes:
  • A key-up event to the groups tree in the main window without a corresponding key-down event does not change the entry list anymore.

KeePass Password Safe 2.0 screenshot

Versienummer:2.27
Releasestatus:Final
Besturingssystemen:Windows 7, Linux, Windows XP, macOS, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8
Website:KeePass
Download:http://keepass.info/download.html
Bestandsgrootte:1,80MB
Licentietype:GPL
Moderatie-faq Wijzig weergave

Reacties (29)

Ik gebruik KeePass in combinatie met BTSync. Hierdoor kan ik het password bestand syncen met mijn PC, Laptop, NAS en mijn mobiel. Ben totaal geen voorstander van cloud password oplossingen.
Waarom ben je geen voorstander van cloud oplossingen?

Gebruik zelf lastpass en de enige data die encrypted staat opgeslagen in de cloud wordt en kan pas gedecrypt worden met het wachtwoord dat in mijn bezit is. Het decrypten gebeurt offline en niet online.

In het begin zat ik ook veel te twijfelen of dit nou slim was maar na diverse onafhankelijke artikelen te hebben gelezen en me verdiept te hebben in de manier van werken, lijkt het mij toch 1 van de beste oplossingen.
Ik ga ervan uit dat alles wat in de cloud staat op te vragen is door de overheid en/of hacker. De encryptie mag in theory leuk zijn maar het is duidelijk dat de NSA actief zwakheden in de encryptie methoden heeft gemaakt. Ook is een encryptie alleen maar zo sterk als de gekozen sleutel en methode.

Door mijn bestanden lokaal te hebben gooi ik tevens een extra drempel op en ben ik niet de sjaak wanneer een cloud aanbieder gehacked wordt en de bestanden op straat komen te liggen.

En mijn laatste reden is toch wel om een statement te maken naar cloud aanbieders en betreffende overheden dat wat er zich nu plaats vindt, echt niet door de beugel kan!
Je kan sinds kort bij Lastpass nu instellen dat jij jou data op de EU server zet.

https://lastpass.com/?ac=1&from_uri=%2Fuse_eu.php
Je kan sinds kort bij Lastpass nu instellen dat jij jou data op de EU server zet.

https://lastpass.com/?ac=1&from_uri=%2Fuse_eu.php
Dit is nutteloos. LastPass heeft een 'legal presence' in de VS (bron, hun hoofdkantoor zit zelfs in Washington D.C.) en daardoor kan er alsnog in de VS met wetgeving druk worden gezet voor het verkrijgen van data dat fysiek op EU servers staat.

Elk bedrijf dat voet op de bodem heeft van de VS moet gezien worden als een extra risico. Dit varieert van hoofdkantoor tot postbus.

[Reactie gewijzigd door The Zep Man op 7 juli 2014 08:34]

Als de NSA zo gewiekst is als ze zeggen dan zullen ze helemaal niet de moeite nemen om je password database te kraken. Ze hebben je password immers helemaal niet nodig om je data in te zien. Als je er van uitgaat dat de NSA toch al in je data in kan kijken dan is dat dus geen argument meer voor of tegen cloud opslag van je KeyPass file.
Het is niet alleen de NSA waar je bang voor hoeft te zijn. Als een cloud opslagdienst gehackt wordt en die hackers bemachtigen jouw file, dan heb je ineens dat al je passwords op straat liggen i.p.v. 1 specifieke voor 1 website.

Maarja, de kans dat een grote cloud opslag dienst gehackt wordt is vrij klein. Neem Dropbox, dat bedrijft bestaat alleen vanwege hun cloudopslag. Als die gehackt worden kunnen ze wel opdoeken. Daarom verwacht ik dat ze veel tijd en geld steken in beveiligen van hun netwerk.

Zelfde geldt voor Google. Mensen klagen altijd over dat Google zoveel weet. Ja, maar dat is bedrijfsinformatie die ze echt niet met anderen gaan delen. Dat is hun hele bedrijfsmodel. Heel hun core business draait om het hebben van profielen van mensen om daar op afgestemde advertenties te kunnen tonen. Als blijkt dat je informatie op straat ligt vanwege een hack, dan kan ook Google gewoon hun spullen pakken en chapter 11 aanvragen. Dat zullen ze dus ten alle tijden proberen te voorkomen. Ik vertrouw er dus op dat grote bedrijven hun zaakjes goed op orde hebben.
Ik vertrouw er dus op dat grote bedrijven hun zaakjes goed op orde hebben.
Zoals Sony PSN in 2011, Adobe in 2013, ... En zelfs als de bedrijven hun zaakjes goed op orde hebben, kan een bugje in een veelgebruikte tool voor een kleine ramp zorgen (heartbleed bijvoorbeeld).

Wat natuurlijk niet wil zeggen dat lokale opslag geen risico's heeft. Ik doe het zelf lokaal, maar met een correct geïmplementeerde cloud-oplossing lijkt me ook absoluut niks mis.
Ik ben absoluut geen 'aluhoed', maar om nou blind te vertrouwen op grote organisaties omdat jouw data hun core business is lijkt me wat naïef.

Ook de data van dropbox is overigens niet 100% veilig.
"Zelfde geldt voor Google. Mensen klagen altijd over dat Google zoveel weet. Ja, maar dat is bedrijfsinformatie die ze echt niet met anderen gaan delen. Dat is hun hele bedrijfsmodel. Heel hun core business draait om het hebben van profielen van mensen om daar op afgestemde advertenties te kunnen tonen. Als blijkt dat je informatie op straat ligt vanwege een hack, dan kan ook Google gewoon hun spullen pakken en chapter 11 aanvragen. Dat zullen ze dus ten alle tijden proberen te voorkomen. Ik vertrouw er dus op dat grote bedrijven hun zaakjes goed op orde hebben."

Vertrouwen is goed maar preventie is beter!
Wie zegt dat er daar ook geen "experimenten" lopen zoals bij Facebook het geval was ... zoiets zullen ze je echt niet aan je neus hangen, mocht dit zo zijn ...
Bij lastpass zijn eerder ook al problemen geweest, o.a. in 2013 waardoor sommige mensen het absoluut links laten liggen. Daarnaast vals LastPass afaik ook onder de Patriot Act en is een platform waar massaal credentials worden opgeslagen (zonder dat je zelf echt controle kunt uitvoeren) natuurlijk een erg interessant doelwit.

Technisch zit de software ook niet altijd even goed in elkaar. Zie bijvoorbeeld dit; http://grahamcluley.com/2013/08/lastpass-vulnerability/

[Reactie gewijzigd door Bor op 7 juli 2014 12:47]

https://clipperz.is
Gehost in Ijsland, zero-knowledge, lokale decryptie, open-source, host-proof, pen-tested en offline back-ups maken is mogelijk.
Opdat het een voorbeeld voor alle andere cloud-apps moge zijn.
Uiteindelijk is elke vorm van hosting een gewilde target voor hackers. Meer klanten = meer data = meer waarde om te stelen. Het is gewoon wachten dat een grote internationale cloud aanbieder gehacked wordt. Ik verwacht dat het ook een inside job zal zijn door medewerkers met een verkeerde bedoeling..
Hosting (lees cloud) services worden continu aangevallen.

Inderdaad het gaat om hoeveel resources men wil steken in het hacken van iets. Wat betreft gecentraliseerde password services, waar het gaat om data van vele duizenden tot miljoenen mensen, mag men verwachten dat alles wordt ingezet om deze te kraken.

Helaas is er voldoende bewijs dat de NSA haar pijlen richt op alle vormen van beveiliging en encryptie oplossingen omdat het een beperkt aantal doelwitten betreft, men met een onbeperkt budget werkt en het uiteindelijk om alle data gaat, wordt het als rendabel beschouwd.

Dus ook KeePass zal een doelwit zijn. Zelf acht ik cloud services voor wachtwoorden als vooraf al gekraakt en zal verder weinig protectie bieden tegen "intelligentie" bedrijven.
Wat is het verdienmodel van BTSync?
Dat vraag ik me af bij verschillende toepassingen. Ik vermoed de verkoop van producten, die gebruik maken van dezelfde techniek, aan het bedrijfsleven.
Uitstekende vraag.
Thanks :)
Als er geen verdienmodel achter zit, dan krijg ik achterdochtige gevoelens en voelt het althans niet veilig..
Ik ook niet. Ik gebruik minikeepass op mijn telefoon, heb ik altijd bij me.
https://itunes.apple.com/...password/id451661808?mt=8
Gebruik MegaSync voor synchronisatie. (50GB gratis) Tevens een zeer hoge beveiliging die niemand anders garandeert. Servers staan in Australië. Ik denk dat ik u niet hoef uit te leggen dat BitTorrent in haar afgesloten software mogelijk toegang creëert voor inlichting diensten. Ook is het bedrijf in het verleden met kwaadwillenden in relatie gebracht zoals bijvoorbeeld malware creators. Ook staat het bekend om third party rotzooi software installaties te bevorderden tijdens installatie van BT, deze third parties worden tevens ook vaak een link gelegd met de zwarte wereld van het internet.

In mijn geval geeft de master file volledig toegang tot al mijn online identiteiten, enkele US based online banken, mijn eigen websites, mijn bedrijf etc etc. Informatie die zeer gevoelig is. Dankzij MegaSync blijf ik veilig zowel op Laptop als Desktop.

[Reactie gewijzigd door Lennart-IT op 25 juli 2014 19:32]

Het is toch inmiddels wel duidelijk dat passwords schijnveiligheid zijn. Je kan je vrouw misschien nog wel buiten de tuin houden, maar de magische ultraprogrammeurs van bv de NSA houd je dus echt niet meer tegen. Ook met dit soort apps niet.
Dit programma is ook helemaal niet bedoeld om hackers of wie dan ook tegen te houden. Het is simpelweg een programma om je wachtwoorden op te slaan en om die opgeslagen wachtwoorden op een eenvoudige manier te gebruiken bij het inloggen op sites.

Of wachtwoorden nog een doel hebben en tot op welk niveau is dan ook een heel andere discussie.
Het doel van KeePass (en andere oplossingen) is niet alleen de opslag van wachtwoorden, het is meer dan dat. Het moment dat een programma je wachtwoorden onthoudt hoef jij het niet meer te doen en kies je vaak voor veel langere wachtwoorden wat de veiligheid ten goede komt. KeePass genereert zelf wachtwoorden die je kan gebruiken, knappe hacker die mijn 256bit wachtwoord weet te kraken :)
Wat HMC waarschijlijk bedoelt is dat het hebben van een sterk wachtwoord tegenwoodig niet tegen alles weer beveiligd. Het enige nut van een sterk wachtwoord tegenover een zwakke is een brute-force aanval, een dictionary attack of gelijksoortige aanvallen. Het komt echter vaak voor dat bedrijven hun beveiliging niet op orde hebben, waardoor wachtwoorden uitlekken. Als zo'n bestand uitlekt is het net zo makkelijk om jouw 256 bit wachtwoord te "hacken" als iemand met als wachtwoord "1234".

Het vervelende is dat je hier persoonlijk weinig aan kan doen. Door zo\n ingewikkeld wachtwoord te nemen doe je alles wat je van jou kant kan doen, maar tegen alles helpt het niet...
Door het gebruik van KeePass kun je voor iedere online dienst een ander sterk wachtwoord gebruiken. Wordt 1 dienst gehackt doordat ze de boel slecht beveiligt hadden dan ben je dat wachtwoord kwijt, maar de andere niet. Het gevaar zonder password manager is dat als je 1 wachtwoord kwijt bent, je die ook voor andere diensten gebruikt. Het gaat dus niet alleen om sterke wachtwoorden die je zelf niet meer kan onthouden. Het gaat (voornamelijk) om het opslaan van wachtwoorden zodat je overal iets anders kan gebruiken.
Het (keepass) wachtwoord bestand opslaan in de cloud heeft natuurlijk voor en nadelen. Zelf sla ik het wachtwoorden bestand op bij een cloudprovider, voor de toegang gebruik ik een key-file en een wachtwoord. Zie het als 2-delige authenticatie. Zonder één van de twee geen toegang.

Deze maatregel die ik heb genomen waant mij niet veilig, maar geeft mij wel voldoende veiligheid dat ik het wel aandurf. Het key-file sla ik uiteraard niet op in de cloud ;-). Ik vraag mij overigens af of het gebruik van de keyfile te omzeilen is?

Edit: typo's

[Reactie gewijzigd door MrTre op 7 juli 2014 07:34]

Dat is de oplossing die ik ook gekozen heb. Mede omdat KeePass de hashing van wachtwoord plus keyfile erg netjes geimplementeerd heeft:

http://keepass.info/help/base/keys.html
Interessant ! Dat wist ik niet.
Vond ik van TrueCrypt juist zo mooi, dat je zo de veiligheid ook enigszins aan het apparaat kan koppelen.
Je kunt alleen betalen met bitcoins. Daar zit niet iedereen op te wachten
Keepass werkt voor mij eenvoudiger

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True