KeePassX: een handig tooltje ?

[Joris Donders]

Bronartikel

Het lijkt me een handige tool om eens eindelijk je paswoorden op een goede manier te managen.
Maar kunnen we blindelings dergelijke tools wel vertrouwen? In ieder geval heb ik hier een test gedaan en het lijkt me een redelijk ok programma.

Misschien een tip voor mensen met heel veel paswoorden ? (je mag me daar gerust bijtellen  )

[Soul-Sing]

Een ik-kan-niet zonder/must have tool. Ik gebruik het al heel lang.

passwordsafe is erg goed ook: http://passwordsafe.sourceforge.net/

[Vistaus]

KeePassX is inderdaad een fijn programma. Mijn ouders gebruiken het elke dag en zijn er zeer tevreden over. Ik heb het zelf ook eens gebruikt maar ik ben niet zo'n fan van wachtwoord-opslaan-programma's. Maar het werkte wel fijn.

[erik1984]

Gebruik het nu al weer rond de 2 jaar en zeer tevreden over het programma, doet gewoon wat het moet doen en verder niets. Iedereen moet verder zelf bepalen of het een goede oplossing is voor zijn of haar situatie. Ideaal is het zeker niet hoor, maar veiligheid en gemak gaan vaak niet goed samen.

[Vincentlaborant]

Ik zelf gebruik Lastpass als plugin in Firefox en Chrome. Het nadeel van Lastpass is dat het een cloud service is, en je dus moet nadenken over welke wachtwoorden je in de wolken wil opslaan (Zelf zet ik daar geen wachtwoorden van internetbankieren, email en cloud opslag neer).

KeePassX heb ik nog niet gebruikt, maar wat ik begreep na het lezen van http://www.keepassx.org/ begrijp ik dat dit een offline toepassing is, met 256 bit encryptie eroverheen. Misschien dat ik het toch maar eens rustig ga uitproberen (het is nu toch echt ***weer).

[testcees]

Maar kunnen we blindelings dergelijke tools wel vertrouwen? In ieder geval heb ik hier een test gedaan en het lijkt me een redelijk ok programma.

Is 'redelijk ok' voldoende om hier al je (veel) wachtwoorden veilig in te noteren of om anderen dit programma hiervoor aan te raden? (niet relevant: persoonlijk gebruik ik KeePassX al jaren veelvuldig).

• Wat heb je getest om tot de conclusie te komen dat het 'redelijk ok' is?
• Wat moet er nog meer worden getest om het 'volledig ok' te noemen?

Volgens de website wordt de KeePassX database altijd versleuteld met AES (alias Rijndael) of Twofish. Die technieken zijn in theorie erg sterk. Echter heeft iemand je versleutelde database kan langdurig worden geprobeerd de beveiliging te kraken.

KeePassX: In contrast to KeePass, the Linux port project 'KeePassX' only partially supports protection against dictionary and guessing attacks.

Door het gebruik van AES of Twofish zal het wachtwoord raden zeer (mits een sterk wachtwoord wordt gebruikt bijna onmogelijk) lang kunnen duren. Maar is dit ooit door een onafhankelijk en ter zake kundig persoon getest? Is de encryptie (op alle ondersteunde besturingssystemen) goed geïmplementeerd of zijn er (onbewuste) achterdeurtjes of sluipwegen die het toch eenvoudiger maken dan in theorie.
Vergelijkbaar met de vraag over TrueCrypt. Velen gebruiken TrueCrypt om bestanden of partities te versleutelen maar hoe goed deze versleuteling is, is nog niet onafhankelijk vastgesteld, zie http://istruecryptauditedyet.com/

passwordsafe is erg goed ook

Is deze tool dan wel blindelings te vertrouwen? Het is vast goed te gebruiken en aanbevolen door verschillende sites maar deze aanbevelingen zijn vooral gebaseerd op de bruikbaarheid.
Offtopic, op de Passwordsafe website lees ik:

Keeping written lists of passwords on scraps of paper, or in a text document on your desktop is unsafe and is easily viewed by prying eyes (both cyber-based and human).

Mogelijk begrijp ik de Engelse tekst niet goed maar als je wachtwoorden noteert op een papiertje is dat volgens mij best (heel) veilig tegen 'cyber-based' bedreigingen. Vanzelfsprekend niet tegen 'menselijke' problemen zoals meelezen of verliezen.

[Vincentlaborant]

Cyber kan je b.v. ook kijken via de webcam onder verstaan he. Bijna iedereen heeft een laptop met camera erin waarmee je kan meekijken, of een usb webcam. Dring de pc binnen, zet de webcam aan en je kan meekijken,

of

je dringt de pc binnen, en de wachtwoorden en usernames staan in een kladblok of word bestandje dat je eventjes leent en je hebt ook alle wachtwoorden.

[siegi]

Zelf gebruik ik ook lastpass, al vertrouw ik het toch niet 100%.
-Misschien hebben ze wel ergens een backdoor/lek bewust of onbewust...
Al beweren ze wel dat alle data lokaal versleuteld word en zei enkel de versleutelde versie kunnen zien.

Voordeel van de kritische wachtwoorden zoals internet bankieren is wel dat er nog een tweede vorm van verificatie nodig is,  zoals een gsm/digipas

[Bobbie]

KeePassX gebruik ik al jaren met tevredenheid en tevens de portable versie http://portableapps.com/apps/utilities/keepass_portable voor op de USB stick zodat ik altijd de beschikking heb over mijn gegevens om in te loggen.

[Soul-Sing]

Ah, ik lees het verkeerd. Of KeepassX ok is. Veilig? Geen idee. Ik bedoel maar, wat er de laatste maanden op "ons" afkomt aan internet-toestanden.
Dus de vertrouwensvraag blijft onbeantwoord. Men gaat op korte termijn Truecrypt echt testen, waarschijnlijk. Ook daar hangt een waas van achterdocht omheen.
Fedoraforums heeft daar hele topics over. Ik gebruik keepassx, maar dat zegt helemaal niets over het prog. Behalve dat het er fraai uitziet en bruikbaar is.
Hetzelfde geldt ook over firefox addons imho. De vertrouwensvraag blijft onbeantwoord.
Testcees ja passwordsafe is 100% opensource software, maar ondanks alle aanbevelingen, zegt ook dat niets over de vertrouwensvraag.

[Vincentlaborant]

Zoals je kan lezen op http://www.keepassx.org/features/ gebruikt KeePassx encryptie (sterkte 256 bit) voor de lokale database. Omdat het geen cloud dienst is, en enkel lokaal werkt, is het zo veilig als dat jij je pc hebt ingericht.

Ik heb bijvoorbeeld altijd mijn firewall (UFW) aanstaan, een virusscanner (ClamAV), update mijn software regelmatig (veiligheidsupdates), en heb een sterk wachtwoord van 20 tekens voor het uitvoeren van root/ sudo acties.

Ik zou daarom zeggen dat KeePassx veiliger is (veiligheid in eigen hand, gemoedsrust i.v.m. cloud gerommel).

[Soul-Sing]

@Bobbie dat is imo ook de beste wijze. Gevoelige waar scheiden van de huis-tuin-kabouter computer. Maar dan met een extra versleutelde usb stick?

[Vistaus]

Het mooie van KeePassX is dat het ook portable is, niet alleen op de manier die Bobbie beschrijft. O.a. Android en webOS hebben ook een KeePass-client die de database kan inlezen. Je hoeft dus alleen maar de database op je apparaat te zetten en dan te importeren. Is iets minder makkelijk dan cloud-toepassingen maar wel veiliger.

[jolo]

Wellicht was hier als topititel beter: Wachtwoordbeheer software. Eventueel in combinatie met een poll.

Ikzelf had al een maand of drie geleden KeePassX geïnstalleerd. Maar heb 'm nog niet gebruikt. Ik twijfel ook nog. Want volgens http://www.keepassx.org/changelog was de laatste update van 7 maart 2010. Dat zou de indruk kunnen geven, dat er geen veiligheidsupdates worden aangeboden. Al lijkt het er volgens deze hyperlink https://launchpad.net/~keepassx/+archive/daily op, dat er aan een nieuwe versie wordt gewerkt. Behalve in dit topic genoemde alternatieven, is er ook nog KeePass2, die inmiddels ook al is genoemd in de reacties, op het artikel in de startpost.

[Vistaus]

@jolo: Ja, er wordt aan een nieuwe versie gewerkt. Zie de nieuws-pagina op hun website: http://www.keepassx.org/news/ De laatste alpha-versie (buiten de dailies om dus) is van 30 maart dit jaar, vrij recent dus.

[erik1984]

Wellicht was hier als topititel beter: Wachtwoordbeheer software. Eventueel in combinatie met een poll.

Ikzelf had al een maand of drie geleden KeePassX geïnstalleerd. Maar heb 'm nog niet gebruikt. Ik twijfel ook nog. Want volgens http://www.keepassx.org/changelog was de laatste update van 7 maart 2010. Dat zou de indruk kunnen geven, dat er geen veiligheidsupdates worden aangeboden. Al lijkt het er volgens deze hyperlink https://launchpad.net/~keepassx/+archive/daily op, dat er aan een nieuwe versie wordt gewerkt. Behalve in dit topic genoemde alternatieven, is er ook nog KeePass2, die inmiddels ook al is genoemd in de reacties, op het artikel in de startpost.

Keepass2 is qua features meer uitgebreid maar in Linux vind ik 'm minder fijn werken. Als ik alleen Windows zou gebruiken dan zou ik wel Keepass2 kiezen, maar dat doe ik niet

[Vistaus]

Wellicht was hier als topititel beter: Wachtwoordbeheer software. Eventueel in combinatie met een poll.

Ikzelf had al een maand of drie geleden KeePassX geïnstalleerd. Maar heb 'm nog niet gebruikt. Ik twijfel ook nog. Want volgens http://www.keepassx.org/changelog was de laatste update van 7 maart 2010. Dat zou de indruk kunnen geven, dat er geen veiligheidsupdates worden aangeboden. Al lijkt het er volgens deze hyperlink https://launchpad.net/~keepassx/+archive/daily op, dat er aan een nieuwe versie wordt gewerkt. Behalve in dit topic genoemde alternatieven, is er ook nog KeePass2, die inmiddels ook al is genoemd in de reacties, op het artikel in de startpost.

Keepass2 is qua features meer uitgebreid maar in Linux vind ik 'm minder fijn werken. Als ik alleen Windows zou gebruiken dan zou ik wel Keepass2 kiezen, maar dat doe ik niet

KeepassX 2 alpha (en daily) heeft meer features dan de stabiele versie van KeepassX.

[siegi]

Ikzelf had al een maand of drie geleden KeePassX geïnstalleerd. Maar heb 'm nog niet gebruikt. Ik twijfel ook nog. Want volgens http://www.keepassx.org/changelog was de laatste update van 7 maart 2010.

Opzich is zo'n programma natuurlijk niet zo ingewikkeld. Meest geavanceerde zit in de encryptie, daar gebruiken ze standaarden welke bij mijn weten nog geen grote gaten vertonen.

Laat ons hopen dat het zo veilig is dat het geen updates benodigd, is opzich beter dan een gatenkaas waar ze elke maand een patch voor uitbrengen.

[Vistaus]

@siegi: Zoals je hierboven kunt lezen wordt er wel druk aan een nieuwe versie gewerkt. Momenteel elke paar dagen daily builds en voor de minder gewaagde testers is er alpha 4 van eerder dit jaar.

Maar natuurlijk heb je wel gelijk met je laatste zin. Liever een veilig programma dat weinig updates nodig heeft dan een gatenkaas-programma wat veel updates krijgt.