KeePass Sicherheitsaudit zeigt keine kritischen Sicherheitslücken!

Der KeePass Sicherheitsaudit ist fertig. Zuerst bekommen es die Entwickler zu sehen, um mittlere und leichte Sicherheitslücken nachzubessern. Kritische Sicherheitslücken enthält aber weder KeePass noch der Apache Webserver. So viel wurde bereits verraten.


Jetzt eintragen für unser kostenfreies Webinar!

P-Factor: Diese Passwort-Stories sind unglaublich!

Jetzt kostenfrei anmelden
23.04.2021 von 10:00 – 10:30 Uhr
Unverbindlich, kostenfrei und jederzeit stornierbar!



Die EU bezahlt Apache & KeePass Sicherheitsaudit

Es ist ein richtiger und wichtiger Schritt von der EU, Sicherheitsaudits für Open Source Software zu bezahlen1. Software die von der Gemeinschaft entwickelt wird, wird zwar von vielen benutzt – selten jedoch von Fachpersonal geprüft.

Bevor aber drauf los auditiert worden ist, wurde abgestimmt2. Gewonnen haben, mit Abstand, Apache mit 18,7% und KeePass mit 23,1%. Zur weiteren Auswahl stand auch Software wie MySQL, Drupal, Notepad++ oder VeraCrypt. Letzteres hat am Ende doch noch ein Sicherheitsaudit erhalten, bei dem sogar kritische Fehler gefunden worden sind.




KeePass hat keine kritischen Sicherheitslücken – war das Sicherheitsaudit überflüssig?

Gewiss nicht. Gerade beim Passwort Manager & Generator steht und fällt der Erfolg mit der Sicherheit der Software. Ist diese nicht überprüft, könnte man Zweifel bei der Verwendung bekommen. Aus diesem Grund war die Überprüfung nötig! Auch wenn sich Sicherheitslücken nicht vollkommen ausschließen lassen, und durch Updates wieder ins Spiel gebracht werden können, ist es beruhigend den aktuellen Status zu kennen! Ganz ohne Sicherheitslücken ist nämlich auch KeePass nicht. Es wurden 5 mittlere und 3 leichte Sicherheitslücken3 gefunden!

Meine Meinung zu öffentlich geförderten Sicherheitsaudits und deren Ergebnisse!

Sicherheitsaudits sind teuer – Open Source Software i.d.R. kostenlos. Die lange Vermutung, dass sich Open Source Software durch freiwillige Mitarbeit auf ein höheres Niveau heben lässt, ist falsch. Um so besser ist es, dass sich die EU verpflichtet fühlt diese in Auftrag zu geben4. Dass die EU abstimmen lässt, welche Software im speziellen auditiert werden soll, ist ein ebenfalls sinnvoller Schritt! Nachdem in der Vergangenheit Sicherheitslücken wie z.B. Heartbleed lange Zeit unentdeckt bleiben konnten, ist dass die richtige Richtung um so einen Vorfall in Zukunft zu vermeiden bzw. das Risiko zu minimieren! In Zeiten von Diskussionen um Vorratsdatenspeicherung und Backdoors, ein EU Projekt welches hoffen lässt!

Für die, die KeePass auch mobil einsetzen wollen, ist der Blick auf KeePass Touch vielleicht etwas wert. Wer generell Cross-Plattform unterwegs ist der kann auch auf KeePassXC zurückgreifen.

Weitere Informationen und Quellen

[1] EU-Fossa project submits results of code audits (ec.europa.eu)
[2] VeraCrypt bekommt Sicherheitsaudit (technique-blog)
[3] KeePass audit: no critical security vulnerabilities found (ghacks.net)
[4] KW 31 – Yahoo gehackt, Apache und KeePass erhalten Sicherheitsaudit (…) (technique-blog)


Schreibe einen Kommentar