Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Software-update: KeePass Password Safe 2.42.1

KeePass Password Safe logo (75 pix) Dominik Reichl heeft versie 2.42.1 van KeePass Password Safe uitgebracht. Met deze opensource-wachtwoordmanager kunnen accounts worden opgeslagen, inclusief de bijbehorende gegevens, zoals gebruikersnaam, wachtwoord en url. Alle gegevens worden veilig in een met het Rijndael-algoritme versleutelde database opgeslagen. Verder kan het programma automatisch wachtwoorden genereren en lijsten im- en exporteren. Door het toevoegen van dit taalbestand kan het programma ook in het Nederlands worden gebruikt.

Van KeePass Password Safe bestaan twee verschillende uitvoeringen die beide actief worden ontwikkeld. Versie 1.x is niet afhankelijk van andere software en werkt alleen onder Windows. Versie 2 maakt intern gebruik van xml en heeft verder minimaal versie 2.0 van het .Net Framework nodig of, als het programma onder Linux, macOS of FreeBSD wordt gebruikt, van Mono versie 2.6 of hoger. Een volledig overzicht van de verschillen tussen versie 1 en 2 is op deze pagina te vinden. Hieronder staat de changelog van deze uitgave.

New Features:
  • Added main menu items 'Group', 'Entry' and 'Find', which contain all commands related to groups and entries (supersets of context menus); removed 'Edit' main menu item, because all of its commands are included in the three new main menu items.
  • Added support for a system-wide hot key to auto-type only the password of a matching entry; by default, the hot key is Ctrl + Alt + Shift + A, changeable in the options dialog.
  • When double-clicking the URL cell of an entry in the main entry list while holding down the Shift key, KeePass now copies the URL to the clipboard (a double-click without Shift continues to open the URL; the option 'Copy URLs to clipboard instead of opening them' reverses this behavior).
  • Added quick edit commands 'Expires: Now' and 'Expires: Never'.
  • There now are two commands for copying a whole entry to the clipboard: 'Copy Entry (Encrypted)' and 'Copy Entry (Unencrypted)'; the first one encrypts the data for the current user using the Windows DPAPI.
  • Added Ctrl + Shift + P shortcut for printing the currently selected group.
  • The creation time and the last modification time of an entry are now displayed on the 'History' tab of the entry editing dialog.
  • Added support for importing Steganos Password Manager 20 CSV files.
  • Added support for importing Bitwarden 1.12 JSON files.
  • Mozilla Bookmarks JSON import: added support for importing tags (new format, in addition to the old format) and keywords.
  • Enhanced the Enpass import module to support TXT files created by version 6.0.4.
  • The language selection dialog now also lists KeePass 1.x LNG files; when trying to select such a file, an informative error message is displayed.
  • Added 'Cancel' command in the context menu of KeePass' system tray icon, which can be used to abort opening and saving a database file.
  • Added '-cancel' command line option, which causes all other KeePass instances to cancel opening/saving a database file.
  • Added '-auto-type-password' command line option (other running KeePass instances auto-type only the password of a matching entry).
  • Added '-e1:' command line parameter, which works like '-e:', but is handled by only one other instance; '-e:' is handled by all other instances.
  • When compiling a PLGX plugin, KeePass now defines a 'KP_V_*_*_*' symbol, where the asterisks specify the KeePass version (for example, 'KP_V_2_42_0' for version 2.42).
  • Added workarounds for .NET Caps Lock warning tooltip bug.
  • Added workaround for Mono grid view default color bug.
  • Added workaround for OneDrive bug on Windows 1809.
Improvements:
  • Auto-Type: improved sending of characters that are realized with the AltGr key.
  • Auto-Type: improved compatibility with VirtualBox 6 and VMware Player.
  • Improved user interface behavior while opening a database file.
  • Accelerator key improvements.
  • Replaced 4 and 8 weeks expiry date search commands by 1 and 2 months (taking the number of days in the months into account).
  • Improved hot key controls (better key combination handling and display).
  • The hot key controls in the options dialog now support entering hot keys that are already registered by KeePass.
  • Improved field to standard field mapping function.
  • Improved new-line handling of several import modules.
  • When a file import fails, KeePass now shows a more detailed error message.
  • After changing the color of an entry using a quick edit command, the entries are deselected now, such that the new color is visible immediately.
  • Moved 'Print Emergency Sheet' command into 'File' → 'Print'.
  • The pattern-based password generator now supports repeating escaped characters using '{...}'.
  • The pattern-based password generator now refuses to generate a password if the pattern is (partially) invalid.
  • Turning off the 'Unhide Passwords' policy now enforces hiding passwords in a few more places/situations.
  • New-line characters at the end of the output of a {CMD:...} placeholder are now removed (analogous to $(...) and `...` shell command substitutions).
  • The {URL:SCM} and {BASE:SCM} placeholders now work with arbitrary data having a ':'-terminated prefix.
  • Improved {URL:RMVSCM} and {BASE:RMVSCM} placeholders ('//' authority prefix is removed, but not '/').
  • The '-entry-url-open' command line option is now handled by all other KeePass instances (instead of only one).
  • Path traversal with attachment names is not possible anymore.
  • Removed the option 'Show tray icon only if main window has been sent to tray' from the options dialog (due to possible denial-of-service problems); if you want to hide the icon, it is recommended to configure this in the system settings instead.
  • Improved reading of KDBX XML documents with unknown elements.
  • Improved JSON parser.
  • Various UI text improvements.
  • Various code optimizations.
  • Minor other improvements.
Changes from 2.42 to 2.42.1:
  • Improved menu item state updating.
  • Improved backward compatibility with certain plugins.
  • Minor other improvements.

Versienummer 2.42.1
Releasestatus Final
Besturingssystemen Windows 7, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2012, Windows 8, Windows 10, Windows Server 2016
Website KeePass Password Safe
Download https://keepass.info/download.html
Bestandsgrootte 3,16MB
Licentietype GPL

Reacties (33)

Wijzig sortering
Tijdens opstarten nieuwe versie van KeePass krijg ik de melding:

The following plugin is incompatible with the current Keepass version
C:\Program Files(x86)\Keepass Password Safe\KeePassHttp.plgx

Have a look at the plugin's website for an appropriate version.

De laatste update van KeePassHttp.plgx is van 2 jaar geleden....

Kortom nu heb ik de laatste versie van KeePass draaien MAAR de integratie met websites doet het nu niet meer :-(

Krab nu op mijn hoofd......
Ik gebruik zelf KeePassXC en dan niet met de (antieke, sorry) http optie, maar de moderne browser plugin versie. Ik moet wel zo af en toe een vinkje zetten bij "use proxy for browser plugin", maar voor de rest werkt het super en net zo als de http optie.

Zit deze optie niet gewoon in KeePass zelf?
Vreemd: bij mij wordt de plugin in het geheel niet meer gedetecteerd en weergegeven onder de plugins. Dus ook geen melding.
Daarop de vorige versie opnieuw geïnstalleerd en die ziet hem ook niet meer.

Edit: nu op kantoor even de portable versie gedownload, plugins er bij gezet en krijg nu ook de melding waar @clogie886 het over heeft.

[Reactie gewijzigd door guapper op 2 mei 2019 08:25]

Dominik Reichl van Keepass heeft tijdelijk een update van de KeepassHttp plugin gemaakt. Hopelijk dat de originele makers hem binnenkort updaten. Maar tot die tijd kun je deze gebruiken (zijn reactie ergens onderaan).
knip-en-plak uit Keepass 2.42 testing thread:

Dominik Reichl
I'm sure that Perry will update KeePassHttp soon.

If you can't wait until that, here's an updated KeePassHttp build (created by me, i.e. unofficial) that's compatible with KeePass 2.42:
https://keepass.info/filepool/KeePass_190501_KeePassHttp.zip

Best regards,
Dominik


bron:
https://sourceforge.net/p...1/thread/de57e6358a/#b01d

Ik kan bevestigen dat het met deze versie wel werkt.
Ik gebruik KeePassRPC als plugin en in m'n browser gebruik ik de plugin Kee.
Wat is het verschil in het gebruiken van KeePassHttp met PassIFox/chromeIPass t.o.v. KeePass Tusk?
Gebruik nu Tusk maar deze pakt niet altijd de websites waar ik op inlog goed op, is dat beter met KeePassHttp & PassIFox/chromeIPass?
En om aan @B.O.C.K toe te voegen: waarom een plugin gebruiken ipv gewoon de Auto-Type functionaliteit van Keepass zelf gebruiken? CTRL-ALT-A. Lijkt mij toch veiliger om zo min mogelijk tussenpersonen te hebben?

[Reactie gewijzigd door Buzz_Fuzz op 2 mei 2019 11:57]

Ik heb hetzelfde probleem maar even terug gegaan naar 2.41
Een van de weinige password vaults die nog niet gekraakt is. Er zijn een paar security issues als het boefje in kwestie fysiek toegang heeft tot de computer waar het programma op draait, maar voor de rest is het een van de meest veilige oplossingen.
Zie ook: https://www.kitploit.com/...racts-passwords-from.html
https://bogner.sh/2016/03...-keepass-2s-update-check/
Bijzonder goed te gebruiken in een 'cloud-based' oplossing met een extra veiligheid van een .key-file :)
Door het karakter van deze applicatie (stand-alone, 1 file die gedeeld hoeft te worden, cross-platform) is het voor gemiddelde tweaker geen probleem om hier zelf een X-platform systeem te ontwikkelen. Dit maakt dat je je wachtwoorden hebt op android, iOS, MacOS, Linux en Windows met een enkele file.

[Reactie gewijzigd door Ravhin op 2 mei 2019 08:59]

Een van de weinige die niet gekraakt is?
Welke zijn er dan wel aantoonbaar gekraakt?

En doel je alleen op KeePass of ook op de afgeleiden zoals KeePassX en KeePassXC?
Lees o.a. https://mashable.com/2015...ty-practices/?europe=true en https://www.zdnet.com/art...xecution-vulnerabilities/ en https://www.telegraph.co....king-users-bookmarks.html eens.
Er is nog een beter artikel maar die kan ik even niet vinden.
Edit: Hebbes! Het artikel is IMHO nogal pretentieus geschreven :) maar als je de quotes goed leest zie je dat Keepass er een stukkie beter afkomt dan de overige geteste password safes. https://www.zdnet.com/art...opular-password-managers/

Ik ken Keepass, Keepassdroid, Kypass en KeePass 2.x for Debian/Ubuntu Linux; KeepassX en KeepassXC heb ik geen ervaring mee/niet op ingelezen.

[Reactie gewijzigd door Ravhin op 2 mei 2019 09:04]

Mwah, het artikel is wel erg pretentieus. LastPass wordt niet getest alleen hun legacy app voor desktop, die minder dan 2% van iedereen nog gebruikt, kan worden gekraakt indien er al volle root access is op de machine waar het draait.

Aangezien de meeste mensen hier waarschijnlijk een auto-login hebben op Gmail, Hotmail, Facebook of Tweakers ben je sowieso al de pineut als mensen root toegang hebben op je computer.

Verder wordt dus ook bij KeePass zelf zo een obscure 'fout' gevonden.

Ik denk dat het niet heel veel uitmaakt... KeePass, LastPass, Dashlane.. Ze zijn allemaal 10.000 keer veiliger dan geen wachtwoordmanager.
Ik ben toevallig een uur geleden overgestapt op KeePassXC i.v.m. 2FA (Yubikey) ondersteuning dus ik ben eigenlijk ook wel benieuwd naar de afgeleiden varianten.
Gebruikt men niet gewoon de Yubikey HMAC-SHA1 Challenge-Response (ja dus) om het wachtwoord/de key te hashen? In dat geval zou ik het niet een 'echte 2FA' noemen (want er is nog steeds maar een key voldoende om de boel te decrypten (op zich ook logisch natuurlijk)), maar het voegt denk ik wel iets toe, omdat je gehashte wachtwoord vermoedelijk een stuk complexer is dan het ongehashte wachtwoord, en meelezen van toetseninvoer onvoldoende is om het wachtwoord te achterhalen. (zie ook mijn discussievraag in https://gathering.tweaker...message/57045555#57045555, ik zou het best interessant vinden de mening van anderen over het nut van dat gebruik van de Yubikey te lezen)

[Reactie gewijzigd door begintmeta op 2 mei 2019 09:57]

Maar geldt deze claim voor alle implementaties op alle systemen? Als je multi-platform wilt zoals je zegt heb je (in mijn geval) ook een android versie, ios versie of browswer plugin nodig, maar die worden niet via de standard applicatie geleverd, je moet een 'unofficial keepass port/contribution' installeren, waar er geen enkel keurmerk lijkt te zijn welke ports even veilig zijn. Dat is eerlijk gezegd mijn grootste reden vandaag om geen gebruik te maken van keepass, het is al moeilijk genoeg om 1 bedrijf/implementatie te betrouwen, laat staan drie of vier varianten.
Bij de implementaties van de diverse platformen zitten veelal MD5-hashes en de meesten geven hun broncode via github. Ik zie bij de andere safe vaults duidelijke problemen die via audits/pentests aan het licht zijn gekomen; ik ben van mening dat dat een duidelijker en groter probleem is dan de open source X-platform implementatie van een open source 'veilig' programma. ;)
Bedankt voor de feedback, maar dat is niet echt mijn issue, ik weet perfect hoe na te gaan of een binary betrouwbaar is of niet. Mijn probleem is simpelweg vertrouwen: er zijn genoeg voorbeelden bekend van opensource projecten die ineens abandoned worden en waar later (non-resolved) issues in gevonden worden, of erger, malware in opduikt, dit moet niet eens in het bron project zijn, het kan in een gebruikte library zijn (zie event-stream). Het is niet echt realistisch om na te gaan welke (if any) dependencies een project gebruikt en of deze ook betrouwbaar zijn. Dus kom je terug op of je de basisimplementatie vertrouwt en of die mensen hun dependencies goed controleren. Obviously is de mate van vertrouwen afhankelijk van welk type software je gebruikt, maar voor een password vault moet dit hoog zijn (basically verrek ik van 'guilty until proven innocent), ik heb niet de tijd om onderzoek te doen naar 4 teams/implementaties om die mate van vertrouwen op te wekken. Ik vertrouw keepass, maar dat vertrouwen heeft tijd gekost. Wat mij bv. zou helpen is dat het keepass team ergens een officieel keurmerk heeft van 'wij implementeren dit niet maar garanderen dat het aan onze veiligheidseisen voldoet'. Wie weet kom je niet op hun site zonder dat vertrouwen, maar ik heb alleszins nergens zo een statement gezien, dus voor mij is zo een lijst evenveel waard als een goede duckduckgo search.

P.S. Ik gebruik keepass effectief, maar voor een usecase waar ik X-platform minder/niet nodig heb en gewoon de basis keepass gebruik. Mijn punt is ook niet zozeer keepass vs lastpass of zelfs open-source vs commercial/closed-source oplossingen, dat (gebrek aan) vertrouwen geldt evengoed voor closed-source/commercial.
Ik blijf het eng vinden, die third party keevaults. Als een ontwikkelaar er stiekem ineens een regeltje code in verstopt wat niemand ziet, dan is iedereen de lul.
Het is opensource, dus het is te controleren of er dubieuse code in zit.
Dat is een veel gehoord argument maar in de praktijk is dit lastig. De code is soms erg lang en o.a. cryptografische implementatie kan ingewikkeld zijn. In de praktijk komt het neer op periodieke externe code audits welke vanuit kostenoogpunt lang niet altijd worden uitgevoerd.
Ware het niet dat de code style vaak te wensen over laat, of dat enkel de code in de repository staat en niet de build scripts of een lijst met dependencies met versie gespecificeerd.

Niet iedere open source ontwikkelaar wil "zijn" project gemakkelijk overdraagbaar maken.

[Reactie gewijzigd door RoestVrijStaal op 2 mei 2019 23:30]

Dan moet je bij iedere update alle code controleren en zelf compileren. Dat doet dus niemand.
Vind ik ook. Daarom mijn oplossing sedert jaren: creëer een onopvallend truecrypt-containertje van een paar megabyte groot en noem het "system35.dll", "wallpaper769.jpg" of nog iets anders en bewaar het ergens in een systeemmap of zo. In het containertje stop je dan alleen een tekstfile met je paswoorden, url's e.d.m.
Truecrypt is echt geen aanrader meer. Het wordt al tijden niet meer ontwikkeld. Lekken worden / zijn niet meer gepatched. O.a. nieuws: Google-onderzoeker publiceert binnenkort kritiek lek in TrueCrypt

Dat was al 2015.

Met tooling als tchunt vind je Truecrypt containers.

[Reactie gewijzigd door Bor op 2 mei 2019 12:03]

De manier waarop Truecrypt in 2015 plots uit de markt geknikkerd werd was op z'n minst verdacht te noemen en er is nooit – ondanks een audit in twee fases – een geldige reden gevonden om het programma te wantrouwen. Sterker nog, het doet nog steeds wat het moet doen, desnoods op een internetloze pc.

Dat er tools bestaan om containers te vinden (al dan niet met veel succes) betekent weinig voor iemand die gewoon wat wachtwoorden wil bewaren. Er bestaan vast ook al tools om Veracrypt-containers te vinden. En so what als je een container op iemand z'n pc vindt, dat betekent nog niet dat die dan ook meteen toegankelijk is.
Wat wel iets zegt is dat er kritieke lekken zijn die niet meer worden gefixed zoals in het artikel wat ik heb gelinked. De bekende audit is ook alweer jaren oud. Truecrypt nu adviseren is bad advise wat mij betreft. Het voordeel aan Keepass is op zijn minst de actieve ontwikkeling.

Keepass is overigens ook geaudit: https://keepass.info/ratings.html

Waarom vasthouden aan legacy applicaties welke al tijden end of life zijn verklaard? Wat is het voordeel? In feite maak jij van Truecrypt ook een key vault.

[Reactie gewijzigd door Bor op 2 mei 2019 12:58]

Ik meen mij te herinneren dat dit ooit (voor TV) in een bestaande (open-source) applicatie gedaan werd. Dit was een app voor een bepaald event en kwamen de makers op het event af met de leuke data die ze met die lijn verzameld hadden.
Dat kan met je browser ook gebeuren, of met je OS, of anti-virus, of...
Die .NET onder Windows is voor Windows-gebruikers vast geen probleem omdat dat framework daar toch meestal wel aanwezig is. Maar onder Linux ga ik echt niet Mono installeren alleen maar om een simpele wachtwoordmanager te kunnen draaien. Alsof het niet mogelijk is een dergelijk programma te maken zonder .NET of Mono. Het lijkt me bij dit soort programma's juist verstandiger om niet afhankelijk te zijn van een extra framework.
Linux / Unix etc vallen dan ook niet onder de officiële ondersteunde platformen. Dit is min of meer een Windows tool. Er zijn diverse geporte versies beschikbaar.
Supported operating systems: Windows Vista / 7 / 8 / 10 (each 32-bit and 64-bit), Mono (Linux, Mac OS X, BSD, ...).
Voor Linux is Mono de enige ondersteunde oplossing.

[Reactie gewijzigd door Bor op 2 mei 2019 15:44]

Gebruik dit al even en ben er zeer tevreden over. Regelmatig updates. Voor wat het moet dienen is het een top tool
Gebruik dit al geruime tijd met de Kee browser extension voor Firefox/Chrome op de desktop (die regelmatig een update krijgt) en met KyPass op de Iphone (inclusief Face ID, quicktype & autofill). Sync alleen de .kdbx op desktop en in iCloud nog handmatig.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Google

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True