Software-update: KeePassXC 2.7.3

KeePassXC logo (79 pix) Versie 2.7.3 van de opensourcewachtwoordmanager KeePassXC is uitgekomen. Het programma is een afgeleide van KeePass Password Safe en wordt ontwikkeld in C++ met Qt voor het grafische deel waarmee het op Linux, macOS en Windows een passend uiterlijk biedt. Met KeePassXC kunnen accounts worden opgeslagen met alle bijbehorende gegevens, zoals gebruikersnaam, wachtwoord en URL. Alle gegevens worden veilig in een met aes, twofish of ChaCha20 versleutelde database opgeslagen. Verder kan het programma automatisch wachtwoorden genereren en lijsten im- en exporteren. Meer informatie is te vinden op deze pagina. De changelog voor deze uitgave ziet er als volgt uit:

Changes
  • Enhance Tags Support and Add Saved Searches [#8435, #8607]
  • Significant improvements to entry preview panel [#7993]
  • Add password strength indicator to all password fields [#7885]
  • Limit zxcvbn entropy estimation length to 128 characters [#7748]
  • Try full URL path when fetching favicon [#8565]
  • Hide usernames in preview panel when hidden in entry view [#8608]
  • Enable dark title bar on windows when accent color is not used [#8498]
  • Add option to display passwords in color in preview panel [#7097]
  • Add XML Export option to GUI [#8524]
  • Increase entropy required for a "good" password rating to 75 [#8523]
  • Add shortcut to copy password with TOTP appended [#8443]
  • Show entry count in status bar [#8435]
  • Allow KeePassXC to be built without X11 [#8147]
  • Enable use of VivoKey Apex and Dangerous Things FlexSecure tokens [#8332]
  • Add setting for number of recent files [#8239]
  • Add Ctrl+Tab shortcut to cycle databases in unlock dialog [#8168]
  • Replace offensive words in eff_large.wordlist [#7968]
  • Auto-Type: PICKCHARS can specify attribute and ignore BEEP [#8118]
  • Linux: Add isHardwareKeySupported and refreshHardwareKeys to DBus methods [#8055]
  • Add config variable to specify default database file name [#8042]
  • Support numeric aware sorting on Windows and macOS [#8363]
  • CLI: Add db-edit command [#8400]
  • CLI: Add option to display all attributes with show command [#8256]
  • CLI: Show UUID and tags with show and clip commands [#8241]
  • Browser: Move socket into separate directory on Linux [#8030]
  • Browser: Add group setting to omit WWW subdomain when matching URLs [#7988]
  • FdoSecrets: Ask to unlock the database when creating items [#8022, #8028]
  • FdoSecrets: Skip entries in recycle bin when searching [#8021]
Fixes
  • Fix potential deadlock in UI when saving [#8606]
  • Fix newlines when copying notes from preview panel [#8542]
  • Fix dark mode detection on Linux [#8477]
  • Fix crash when deleting items in recycle bin while searching [#8117]
  • Fix crash when trying to close database during unlock [#8144]
  • Fix tabbing around the interface [#8435, #8520]
  • Fix OPVault import when there are multiple OTP fields [#8436]
  • Fix various Windows Hello bugs [#8354]
  • Fix use of Apple Watch for Quick Unlock [#8311]
  • Better handling of "Lock on Minimize" setting [#8202]
  • Check for write permission before entering portable mode [#8447]
  • Correct regex escape logic to prevent parse errors [#7778]
  • Normalize slashes and file case for last used databases [#7864, #7214]
  • Link ykcore against pthread [#7807]
  • Auto-Type: Fix menu entries in selection dialog on Windows [#7987]
  • Auto-Type: Fix use of modifiers under macOS [#8111]
  • CLI: Fix output when using clip with the -t flag [#8271]
  • Browser: Use asynchronous access confirm dialog [#8273]
  • Browser: Always send database locked/unlocked status [#8114]

KeePassXC

Versienummer 2.7.3
Releasestatus Final
Besturingssystemen Windows 7, Linux, macOS, Windows 8, Windows 10, Windows 11
Website KeePassXC
Download https://github.com/keepassxreboot/keepassxc/releases/tag/2.7.3
Bestandsgrootte 44,81MB
Licentietype GPL

Door Bart van Klaveren

Downloads en Best Buy Guide

23-10-2022 • 19:34

8 Linkedin

Submitter: 1DMKIIN

Bron: KeePassXC

Update-historie

Reacties (8)

8
8
5
2
0
3
Wijzig sortering
Om alvast even de standaard terugkerende vragen te beantwoorden:

1.) Waarom zou ik KeePass(XC) gebruiken in plaats van een online password manager?

Dit zijn een aantal belangrijke voordelen:
  • De database kan offline worden opgeslagen, en is daarmee onafhankelijk van derde hosting partijen.
  • De database kan met elke sync provider / cloud gebruikt worden (OneDrive, Google Drive, iCloud etc.)
    Let wel op dat je KeePassXC het bestandje in-place laat opslaan (anders kan het database bestandje ineens verdwijnen van de cloud. Credits aan _HugoBoss_):
    • KeePassXC: settings → General → Basic Settings → File Managements → Safely save database files (disable if experiencing problems with Dropbox, etc.) → turn it off.
    • Voor Linux gebruikers i.c.m. google-drive-ocamlfuse moet in ~/.gdfuse/default/config de waarde mv_keep_target=true worden gezet om exact dezelfde reden.
En dit zijn een aantal belangrijke nadelen:
  • De cross-platform portability is lastiger, aangezien het apparaat waarmee je het database bestandje wil openen, gebruik moet maken van enige KeePass software. KeePassXC werkt op Windows, Linux en MacOS, maar bijvoorbeeld niet op iOS, waarvoor je weer een alternatief KeePass project nodig hebt.
  • Als de database corrupt raakt door wat voor een omstandigheid dan ook, dan ben je alle gegevens onherroepelijk kwijt. Daarom altijd regelmatig backups (van backups) maken.
Conclusie: KeePassXC is voor mensen die zelf controle willen over hun gegevens. De prijs die je hiervoor betaalt, is dat je back-ups moet maken, en de software zelf moet configureren voor je specifieke use-case.

2.) Als mijn computer gehackt wordt, kan een crimineel dan niet gewoon mijn KeePass database bestandje stelen?

Het antwoord is: Ja.
Om jezelf hier tegen te beschermen is de allereerste stap een lang wachtwoord. Ook is het aan te raden om de decryption timing aan te passen naar bijvoorbeeld 5 seconden. Dan duurt het wel 5 seconden* om je database te unlocken, maar dit geldt dan ook voor de crimineel.

* Let op: De seconden zijn gebaseerd op de snelheid van je processor, en hoe lang die er over doet om een aantal decryptie rondes uit te voeren. Op apparaten met weinig CPU kracht kan het unlocken hierdoor langer duren, en op snelle apparaten korter. Het aantal encryptie rondes kun je aanpassen via de "Advanced..." tab onder "Encryption settings" tijdens het aanmaken van de database. Dit betekent ook dat een crimineel met een groep samenwerkende computers je database bijvoorbeeld alsnog 1000x per seconde kan kraken.
Maar zonder de langer ingestelde timing zou dit 5x zo snel gaan, dus x5000. Het doel van de decryption timing is uiteindelijk de crimineel vertragen in het kraken van je database, zodat jij tijd hebt om je gegevens te veranderen.

De tweede stap is een keyfile genereren. Dit bestandje gebruik je naast je wachtwoord, en dit bestandje zet je op elk apparaat waarop je de database wil benaderen. Het voordeel hiervan is dat dit bestandje niet op de cloud staat, en dit extra bescherming bied tegen een crimineel die inbreekt op je sync provider / cloud account.

De wat meer oplettende persoon zal onvermijdelijk op deze vraag uitkomen:
Maar wat als een crimineel root access heeft tot mijn systeem, het database bestandje steelt, mijn wachtwoord keylogt, en mijn key-file ook weet te stelen?

Dan liggen je gegevens inderdaad nog steeds bloot.

Edit: Excuses voor de verwarring, maar mijn uitleg was niet correct m.b.t. een unieke code die tijdelijk geldig is. De code die gegenereerd wordt is constant, maar deze verandert pas als de de database opnieuw opslaat. Als een hacker je challenge response steelt i.c.m. de bijbehorende database versie, dan kan die bij jouw database komen. Hij kan alleen niet met dezelfde challenge response bij een nieuwe of oudere versie van je database komen.

Het laatste stukje bescherming wat hier tegen te bieden valt is HMAC-SHA1 Challenge Response mode in combinatie met een Yubikey (€50+).

DISCLAIMER: KeePassXC heeft HMAC-SHA1 Challenge Response mode standaard geïncorporeerd in het programma en deze heb ik ook werkend op mijn systeem, maar KeePass heeft hiervoor een aparte plugin nodig. Ik kon de plugin niet werkend krijgen op Windows 10 met mijn YubiKey. Ik kan de foutmelding niet herinneren, en misschien is deze error inmiddels verholpen, maar het kan zijn dat de YubiKey nog steeds niet werkt i.c.m. KeePass en de plugin. Om over andere forks van KeePass nog maar te zwijgen (deze heb ik niet geprobeerd).

De laatste veiligheidsmaatregel die je altijd moet nemen, is dat je de wachtwoorden zo nu en dan verandert. Dit zorgt ervoor dat als een crimineel je database steelt, en er vijf jaar over doet om je database te brute-forcen, dat de wachtwoorden inmiddels weer veranderd zijn. Om je hieraan te herinneren, bestaat er de "Expires" optie. Deze kun je vinden in het "New Entry" of "Edit Entry" menu.

Het enige overblijvende veiligheidslek aan de gebruikerskant die ik kan bedenken, is dat de crimineel de database, keyfile en wachtwoord heeft gestolen, hij (of een programma) live meekijkt met je systeem, en zodra jij je Challenge Response code genereert, hij deze kopieert, en invoert in zijn eigen instance van KeePassXC met jouw database, keyfile en wachtwoord, om zo alsnog je bij je gegevens te komen.

[Reactie gewijzigd door dikbek op 25 oktober 2022 22:04]

De laatste veiligheidsmaatregel die je altijd moet nemen, is dat je de wachtwoorden zo nu en dan verandert. Dit zorgt ervoor dat als een crimineel je database steelt, en er vijf jaar over doet om je database te brute-forcen, dat de wachtwoorden inmiddels weer veranderd zijn. Om je hieraan te herinneren, bestaat er de "Expires" optie. Deze kun je vinden in het "New Entry" of "Edit Entry" menu.
Om FUD te voorkomen:
Het is zeer onwaarschijnlijk dat een gestolen database binnen/over vijf jaar gekraakt kan worden, als die database beveiligd is met een goed wachtwoord en een keyfile/andere veilige tweede factor (zoals een YubiKey). Hou ook rekening met wat je wachtwoorden echt waard zijn, en dat er goedkopere en snellere methodes zijn om die te verkrijgen. Gebruik gerust de functie, maar ga niet veel onderhoud doen. Veiligheid wordt nogal snel schijnveiligheid.
DISCLAIMER: KeePassXC heeft HMAC-SHA1 Challenge Response mode standaard geïncorporeerd in het programma en deze heb ik ook werkend op mijn systeem, maar KeePass heeft hiervoor een aparte plugin nodig. Ik kon de plugin niet werkend krijgen op Windows 10 met mijn YubiKey. Ik kan de foutmelding niet herinneren, en misschien is deze error inmiddels verholpen, maar het kan zijn dat de YubiKey nog steeds niet werkt i.c.m. KeePass en de plugin. Om over andere forks van KeePass nog maar te zwijgen (deze heb ik niet geprobeerd).
Verder zou ik uitkijken met custom plugins en code. Je maakt dan (toekomstige) toegankelijkheid afhankelijk van extra programmatuur, wat de risico's vergroot. Als de plugin niet meer onderhouden wordt, dan zit je mogelijk vast aan een oudere versie van het programma. Qua dat doet KeePassXC het beter door dit gewoon te integreren.

Als je iets self-hosted wilt hebben in dezelfde open source gedachtegang als KeePassXC (geen commercieel winstoogmerk door de functionaliteit verweven), kijk dan bijvoorbeeld eens naar Vaultwarden.

[Reactie gewijzigd door The Zep Man op 24 oktober 2022 07:07]

Een YubiKey met een Challenge Response is veel veiliger dan een key-file, omdat de YubiKey een apart apparaatje is die niet van buitenaf gekraakt kan worden, en waarop de geheime sleutel staat opgeslagen. De YubiKey voert een cryptografische berekening uit gebaseerd op deze sleutel, en genereert iedere keer een unieke code die tijdelijk geldig is.
Ik gebruik ook de HMAC-SHA1 Challenge Response met de wachtwoordmanager, maar het is in dat geval niet zo dat telkens een unieke tijdelijk geldige code wordt gegenereerd. De input voor het algoritme zijn wachtwoord of master seed en shared secret, die wijzigen niet vanzelf (een master seed (en daarmee de verwachte response) kan je natuurlijk elke keer dat de database wordt opgeslagen automatisch wijzigen) Wat de HMAC-SHA1 Challenge Response doet is je wachtwoord wat complexer/meer random maken (tenminste doorgaans is de output van het algoritme (of wachtwoord+algoritme) complexer dan het wachtwoord of wachtwoord), en ook meekijken met de wachtwoordinvoer minder problematisch maken (omdat het wachtwoord voor de database anders is, namelijk de output van het algoritme.)

KeePassXC gebruikt de HMAC-SHA1 vzw met shared secret en master seed als input. De master seed wordt opnieuw gezet elke keer dat de database wordt opgeslagen. (Zie o.a. https://github.com/keepas...34#issuecomment-484194343) dat betekent dat de verwachte response anders is voor elke versie van de database, en dat elke versie van de database dus in zekere zin ook een uniek wachtwoord heeft. Dat is op zich ook nog een voordeel, omdat het replay attacks op toekomstige versies van de database voorkomt.

[Reactie gewijzigd door begintmeta op 24 oktober 2022 09:59]

Je hebt helemaal gelijk, ik heb net mijn post terug gelezen, en ik ben een grote fout begaan in de uitleg. Deze is helaas helemaal niet accuraat, en wat jij hier schrijft is correct.

Ik zal de post aanpassen, en bij volgende versies een accuratere comment achter laten.
Inmiddels is versie 2.7.3 acht uur geleden uitgekomen.
https://github.com/keepas...passxc/releases/tag/2.7.3
Geïnstalleerd hier (Windows 10 vooralsnog, Linux misschien later vandaag)
Veiligheidshalve had ik vooraf de vorige versie gedeïnstalleerd.
Eerste indruk: prima werk weer, draait prima.

[Reactie gewijzigd door danmark_ori op 24 oktober 2022 01:46]

Ik heb het artikel aangepast van 2.7.2 experimental -> 273
Het lijkt erop dat ze development en release planning wat serieuzer nemen nu. Voorheen was het vooral alle nieuwe features, changes en fixes in de volgende release, ondanks dat het gebruikte version scheme leek op semantic versioning. Ik zie dat ze nu werken met branches (2.7.x). Hopelijk komt hiermee de ontwikkeling wat in een stroomversnelling :)
Ik ben sinds een aantal jaren trouw gebruiker van KeePassXC omdat het er op zowel Windows als op Linux hetzelfde uit ziet en zich hetzelfde gedraagt.

Ik ben niet enorm tevreden over het gebruiksgemak, maar dat is een prijs die ik bereid ben te betalen voor de luxe om overal een ander wachtwoord voor te verzinnen en vervolgens niet al die verschillende wachtwoorden te hoeven onthouden.

Wat beveiliging betreft: mijn eigen allereerste stap is deze: geen inlogcodes in het database bestand opnemen die mij financiële schade opleveren als dit bestand in de verkeerde handen valt.

Ik heb een redelijk lang wachtwoord ingesteld, maar goed, als iemand echt kwaad wil is alles te kraken.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee