NGB PasswortManager

[HoneyBadger]

Also wenn ihr einfach ein verbessertes Plugin wie KeeFox machen wollen würdet, würde ich einen keep it simple Ansatz wirklich sehr begrüßen.

Diese Funktionen grundsätzlich mit den danach genannten Möglichkeiten der Nutzung:

Funktionen:
a) Passwort und/oder Nutzername eingeben
b) Passwort und/oder Nutzername aufnehmen und speichern

Nutzung:
a) manuell
b) vollautomatisch
c) partiell automatisch (Seite X, Y und Z automatisch abarbeiten und bei allen anderen entweder nichts tun oder nachfragen, je nach Usereinstellung)

Fertig.

 

[Mr. White]

You do not have permission to view link please Anmelden or Registrieren

Gibt es das nicht schon in Form von KeePass in Verbindung mit KeePassHttp und ChromeIPass bzw. PassIFox?

 

[Roin]

Man man man. Ich komme ja allein schon mit den ganzen Kee* oder Pass* Begriffen durcheinander

 

[sia]

Man man man. Ich komme ja allein schon mit den ganzen Kee* oder Pass* Begriffen durcheinander

Hier ein kleines Glossar:


Desktop-Programme:

KeePass:

You do not have permission to view link please Anmelden or Registrieren

KeePassX:

You do not have permission to view link please Anmelden or Registrieren

KeePassXC:

You do not have permission to view link please Anmelden or Registrieren

Apps:

KeePassDroid:

You do not have permission to view link please Anmelden or Registrieren

Webinterface:

Keeweb:

You do not have permission to view link please Anmelden or Registrieren

Nextcloud-Keeweb:

You do not have permission to view link please Anmelden or Registrieren

Plugins:

PassIFox/ChromeIPass:

You do not have permission to view link please Anmelden or Registrieren

Keefox:

You do not have permission to view link please Anmelden or Registrieren

APIs:

KeePassHTTP:

You do not have permission to view link please Anmelden or Registrieren

KeePassRPC:

You do not have permission to view link please Anmelden or Registrieren

---

Beendet das deine Verwirrung?

 

[Roin]

Beendet das deine Verwirrung?

Etwas. Aber wieso nutzen die denn einfach alle den gleichen Namen?

 

[Mr. White]

You do not have permission to view link please Anmelden or Registrieren

Weil

You do not have permission to view link please Anmelden or Registrieren

das Ursprungsprojekt ist und der Rest inoffizielle Ports.

 

[sia]

Inwiefern kann man denn bei FOSS von "inoffiziell" sprechen?

Das Datenbanksystem ist echt gut und afaik schwer zu knacken, darauf kann man halt gut aufbauen.

 

[Mr. White]

@phre4k:

Indem der Entwickler von KeePass auf seiner

You do not have permission to view link please Anmelden or Registrieren

von "Contributed/Unofficial KeePass Ports" spricht, da die Projekte nicht von ihm sind.

Ich habe bisher immer das normale KeePass benutzt und kein Feature vermisst. Die Integration in den Browser über KeePassHttp und ChromeIPass funktioniert ebenso perfekt wie die Synchronisation der Datenbank. KeeWeb hat aber eine deutlich bessere Oberfläche, das werde ich mir mal anschauen.

Was fehlt euch denn in KeePass/ KeeWeb/ KeePassXC noch?

 

[HoneyBadger]

Was fehlt euch denn in KeePass/ KeeWeb/ KeePassXC noch?

Habe jetzt einmal XC installiert und meine DB aus dem KeePass2 hinein geladen. XC schaut schon deutlich frischer aus, sodass mir das eigentlich ganz gut gefällt. Dort ist mir aber aufgefallen, dass keine Autostartfunktion mit Windows, wie´s beim normalen KeePass der Fall ist, integriert ist. Zumindest konnte ich sie nicht finden. Habe das sonst immer so eingestellt, dass KeePass in der Traybar minimiert startet. Das fehlt mir dort.
Zu KeeFox sagte ich ja vorher schon etwas. Habe nun in der Kombination PassIFox ausprobieren wollen. Das Addon lässt sich zwar installieren, startet allerdings gar nicht erst. Insofern kann ich da nichts zu sagen.

Nachtrag: Nach einer Stunde sprang das Addon dann doch plötzlich noch an. Hier fällt mir auf, dass das Plugin pro Website nur mit einem Account klar kommt und diese, je nach Einstellung auch hart erzwungen wird. Das bekommt man scheinbar nur wieder raus, indem man ALLE zuvor gemerkten Einstellungen wieder löscht. Da´s mir eben passiert ist, kann´s wohl auch anderen schnell passieren. Spielt aber, nüchtern betrachtet, eh keine Rolle, da ja eh nur ein Login angezeigt wird. Hat man beispielsweise bei einem Webmail-Provider mehrere Accounts, kann das sehr unglücklich sein. Nutze diese Tools auch für die Arbeit. Da muss ich zum Beispiel regelmäßig mit verschiedenen Zugriffen auf gleichbleibende Seiten.

 

[sia]

You do not have permission to view link please Anmelden or Registrieren

KeePassXC kann man minimiert starten:

Tools → Einstellungen → Allgemein → Fenster bei Programmstart minimieren.

Den Autostart müssten wir reinprogrammieren, finde, dass das auch ein sinnvolles Feature ist. Erstelle dazu gerade einen Thread:
https://ngb.to/threads/29377-KeePassXC-Weiterentwicklung-(keine-Diskussion!)?p=791847#post791847

 

[drfuture]

Was hat denn dieser Thread nun mit KeepassXC und dessen Bugs zu tun?
Wenn du dort etwas machen willst kannst du das gerne machen - aber bitte nicht alles irgendwie kreuz und quer verwegen.
Erst KeepassWeb weiterentwickeln obwohl unklar ist ob das passend ist für uns bzw. ob es alternativen gibt.
Dann nun Fehler bei KeepassXC zu beheben..

Es wird schon schwer genug *igendwas* zu machen.
Der Sinn der Idee ist nicht gelangweilten Programmierern Arbeit zu geben sondern als Community etwas für uns und andere zu schaffen inkl. Erfahrung und Teilhabe der Programmierer hier.

 

[sia]

Welche Alternative schlägst du denn vor?

In deinem Startbeitrag wünschst du dir einen eigenen Passwortmanager. Ich bin der Meinung, dass KeePassXC ausreicht.

Bisher hast du außer dass du selbst was willst, was wie Lastpass ist, noch nichts zum Thema beigetragen.

Welche Features fehlen dir denn in den verfügbaren FOSS-Lösungen?
Warum denkst du, dass KeePassXC+Keefox+Keeweb nicht das ist, was "passend ist für uns" (meintest du: "für mich")?
Bist du der Meinung, wir sollten was "from scratch" erstellen? Wer pflegt das dann langfristig?

Dieser Thread hier scheint vorrangig für

You do not have permission to view link please Anmelden or Registrieren

vorgesehen zu sein oder sehe ich das falsch?

Deine User Story wäre: Eigenständige Browser-Erweiterung, die im Browser entschlüsselt. Dazu könnte man ja Keeweb nutzen und irgendwie in Firefox/Chromium integrieren, oder?

 

[HoneyBadger]

You do not have permission to view link please Anmelden or Registrieren

Ich gab nur meinen Input, was mir bei anderen fehlt bzw. als buggy aufgefallen ist. Was ihr als Fachmänner daraus macht (Bugs fixen, was eigenes machen, nen neuen Fork, im Zweifel doch gar nichts), müsst ihr selbst beurteilen. Ich bin nur User. Und wenn ihr wollt, durchaus auch Tester.

 

[drfuture]

jop @HoneyBadger das passt ja auch.
@phre4k dann hast du n Hirn wie ein Sieb.
Was ich an den anderen nicht gut finde habe ich jeweils z.B. in Beitrag 13 und 34 geschrieben.
Beispiele für andere Software habe ich schon im Startpost geliefert.
Das andere mit den jeweils anderen Produkten auch Probleme haben / ihnen etwas fehlt kam hier auch raus.... Wo ist also a) das nichts dazu getan / gesagt und b) *mein* Wunsch?

Deine Frage war noch bei Userverwaltung das *warum* - Weil nicht jeder auf mein gehostetes Passwortfile zugreifen können soll? Und weil dort vielleicht nicht nur für mich persönlich eines liegen sollte?
Man hat ja doch auch eine Familie... oder wie in deinem Fall Kunden für die man das nutzen könnte.

So oder so ist es aber Kontraproduktiv alle 2Min die *Richtung* zu wechseln und Nebenschauplätze zu eröffnen.

Der Thread soll allgemein zur Ideen-Sammlung dienen und um herauszufinden ob überhaupt Leute da sind die etwas umsetzen möchten und oder können.

 

[sia]

You do not have permission to view link please Anmelden or Registrieren

Deine erwähnten Beiträge sind "User Stories", keine Handlungsanweisungen für den hypothetischen Programmierer, der das umsetzt.
Wie würdest du das denn konkret umsetzen? Also wie soll deiner Meinung nach die komplette Infrastruktur für den User aussehen? Welche Schritte würden ausgeführt, bis ein Passwort in einem Eingabefeld landet?

Wenn es nur um Browser-Logins geht: Warum nicht Firefox Sync?

Ich könnte mir vorstellen, dass ein Browser-Plugin über

You do not have permission to view link please Anmelden or Registrieren

auf einen SFTP-Server zugreift. Dort könnte dann die KeePass-Datenbank liegen. SFTP ist verschlüsselt und die Entschlüsselung der Datenbank kann im Browser-Addon-Code vonstatten gehen. Die Userverwaltung ist bei SFTP ja bereits gegeben.

Sind wir uns denn mittlerweile einig, dass das KeePass-Format genutzt wird?

 

[BurnerR]

Was ich an den anderen nicht gut finde habe ich jeweils z.B. in Beitrag 13 und 34 geschrieben.

Wäre vllt auch gut, wenn du das noch konkretisierst insbesondere im direkten Vergleich mit der Kee* Familie.

KeeWeb:
- liest / schreibt Keepass-Container, läd diese jedoch entweder von Dropbox, Onedrive remote oder Datei mit passwörtern muss auf USB-Stick oder sonst wo mitgeführt / vorgehalten werden. Somit zusätzliche Abhängigkeit, Fremdanbieter, Zungangsdaten etc.
- Es gibt keine Browser-Integration, schlichte Passwort-Manager gibt es reichlich und sehr gute - nicht zuletzt natürlich Keepass. Für den Surf-Alltag finde ich diese jedoch nicht praktikabel.

Ich fand jetzt die Kee* Familie auch leicht unübersichtlich, so wie ich den KeeWeb Ansatz verstehe wären das zwei Punkte für eine Erweiterung?

Wenn ich das richtig im Kopf habe, dann haben sich insgesamt vier User gemeldet (ich liste nur die, die auch Interesse bekundet haben, mitzuprogrammieren):
* phre4k der schon in den Startlöchern steht, Kee* zu verbessern
* Roin mit einem 'vielleicht' ohne eine genaue Präferenz genannt zu haben
* drfuture der auf libs und evtl. auf Kee* aufbauen will, aber ein eigenes Projekt starten will statt contributing
* BurnerR mit einem 'vielleicht' und Präferenz was mit der Kee* Familie zu machen

Es wird schon schwer genug *igendwas* zu machen.

Deswegen plädiere ich auch für contribution und gegen eigenes Projekt. Wenn wir besser aufgestellt wären: Dann eventuell. Ich kann auch verstehen, dass so ein eigenes Projekt erstmal geiler klingt. Aber zu 95% verläuft das im Sand. Am Ende macht es mehr Bock, kleine aber dafür reale und real genutzte Beiträge zu liefern, statt einem 10% Projekt, oder auch 80% Projekt, dass aber niemand pflegt und/oder verwendet.

Deine Frage war noch bei Userverwaltung das *warum* - Weil nicht jeder auf mein gehostetes Passwortfile zugreifen können soll? Und weil dort vielleicht nicht nur für mich persönlich eines liegen sollte?
Man hat ja doch auch eine Familie... oder wie in deinem Fall Kunden für die man das nutzen könnte.

Wäre die Frage, ob man neben authentication auch authorization Mechanismen einbauen will.. klingt nach viel Arbeit .

Was fehlt euch denn in KeePass/ KeeWeb/ KeePassXC noch?

In KeePassX fehlt mir der Trashbin bzw. eine Eintragshistorieund die Clipboard Obfuscation für sicheres kopieren in und aus der Zwischenablage.

 

[sia]

In KeePassX fehlt mir der Trashbin bzw. eine Eintragshistorie

Sowohl KeePassX 2.0b4 als auch KeePassXC 2.1.4 hatten bei mir beide diese Funktion. Strg+D fragt bei mir "wollen Sie diesen Eintrag wirklich in den Papierkorb verschieben?" und tut das dann auch.

und die Clipboard Obfuscation für sicheres kopieren in und aus der Zwischenablage.

Was genau meinst du damit? Bei mir gibt es in den beiden genannten Programmen auch eine Option "Zwischenablage leeren nach X Sekunden", welche auch funktioniert.

Such bitte mal deine Programmversion heraus und beschreibe das fehlerhafte und erwartete Verhalten Schritt für Schritt.

 

[BurnerR]

ich habe wohl zu viele Ordner im Safe und habe den Recycle Bin schlicht übersehen, gab es 'damals' nicht meines Erachtens nach, aber ist wohl mit der Zeit dazugekommen.
[edit: kann nichts in changelog finden, vermutlich war das Problem, dass der User zu doof war die Funktion zu sehen]

Was genau meinst du damit? Bei mir gibt es in den beiden genannten Programmen auch eine Option "Zwischenablage leeren nach X Sekunden", welche auch funktioniert.

Ich meine dieses Feature von KeePass2:

The Auto-Type feature of KeePass is very powerful: it sends simulated keypresses to other applications. This works with all Windows applications and for the target applications it's not possible to distinguish between real keypresses and the ones simulated by Auto-Type. This at the same time is the main disadvantage of Auto-Type, because keyloggers can eavesdrop the simulated keys. That's where Two-Channel Auto-Type Obfuscation (TCATO) comes into play.

TCATO makes standard keyloggers useless. It uses the Windows clipboard to transfer parts of the auto-typed text into the target application. Keyloggers can see the Ctrl+V presses, but do not log the actual contents pasted from the clipboard.

Clipboard spies don't work either, because only parts of the sensitive information is transferred on this way.

Anyway, it's not perfectly secure (and unfortunately cannot be made by theory). None of the currently available keyloggers or clipboard spies can eavesdrop an obfuscated auto-type process, but it is theoretically possible to write a dedicated spy application that specializes on logging obfuscated auto-type.

You do not have permission to view link please Anmelden or Registrieren

Habe hier 2.0.3

 

[sia]

Wie unsinnig ist es denn, gegen Keylogger so ein Feature zu haben, wenn ebenjene auch einfach das Masterpasswort mitlesen können?

Da würde dann ja eine Smartcard-Authentifizierung oder ähnliches helfen. Hast du das denn eingerichtet?

Du könntest ja einfach ein Feature-Request im Bugtracker von KeePassXC dazu eröffnen, falls du ein Github-Konto hast. Ich bin leider gerade noch dabei, in den Code einzusteigen.

 

[KaPiTN]

Wie unsinnig ist es denn, gegen Keylogger so ein Feature zu haben, wenn ebenjene auch einfach das Masterpasswort mitlesen können?.

Wenn der Keylogger Username, Passwort und die URL versenden kann, ist das ein Problem. Wenn er das Masterpasswort und den Namen von Keypass versendet, dann bringt das ohne keyfile nichts.

Ergibt das Sinn?