Sicherheitslücken in Nvidia-Software stellen aktuell ein Risiko für Linux- und Windows-Systeme dar.

Ein Betriebssystem, das sich nicht kompromittieren oder manipulieren lässt – dieses Ziel strebt die neue Firma Amutable an. Ein Schlüssel dazu soll „verifizierbare Integrität“ sein.

Ein Betriebssystem, das sich nicht kompromittieren oder manipulieren lässt – dieses Ziel strebt die neue Firma Amutable an. Ein Schlüssel dazu soll „verifizierbare Integrität“ sein.

Ich könnte den Spiess ja umdrehen, wieso nutzt Du Keepass und nimmst die Unbequemlichkeit in Kauf?

Aus einem privaten Matrix-Chat mit einer Person im Internet.

Nun gut, ich möchte dieser Person den Artikel nicht schuldig bleiben. ;-)

Warum ich KeePass benutze

Dies hat wie so oft historische Gründe. Die erste Referenz zu KeePass in diesem Blog ist vom 8. Januar 2011. Etwas später, am 20.01.2011, hatte ich dem Thema einen eigenen Artikel gewidmet: Sichere Passwörter und wie man sie verwaltet. Der Artikel hat in meinen Augen nicht an Aktualität verloren, mit zwei kleinen Ausnahmen:

• Ich benutze heute keine Windows mehr, sondern KeePassXC unter Linux.
• Statt KeePassDroid verwende ich aktuell KeePassDX unter Android.

Bei der Wahl der KeePass-Projekte habe ich mich von diesem Artikel von Mike Kuketz beeinflussen lassen.

Ich bin privat dabei geblieben, weil ich die Nutzung gewohnt bin und bisher keinen Grund zu einem Wechsel sehe. Beruflich nutze ich inzwischen Bitwarden, da dies von meinem Arbeitgeber zur Verfügung gestellt wird und ich somit ein offiziell geprüftes und genehmigtes Werkzeug für dienstliche Zwecke verwende. Darüber hinaus finde ich Bitwarden genauso gut wie KeePassXC.

Wie ich KeePass benutze

KeePassXC ist auf allen meinen Geräten des Typs Laptop, Desktop-PC/Heimserver installiert. Auf meinem Tablet und Smartphone nutze ich KeePassDX, welcher auch im F-Droid-Store verfügbar ist.

Die KeePass-Datenbank halte ich mit einer selbstgehosteten Nextcloud auf allen Geräten synchron bzw. stelle sie dort zur Verfügung. Auf PC und Laptop ist dabei permanent eine lokale Kopie der Datenbank verfügbar. Auf dem Smartphone/Tablet steht diese nur zeitlich begrenzt zur Verfügung, nämlich bis der Android-Dateimanager der KeePassDX-App den Zugriff auf die gecachte KeePass-Datenbank-Datei entzieht bzw. diese aus dem Cache entfernt wird. Schaut für weitere Hinweise hierzu bitte in die englischsprachige FAQ des Projekts.

Der Ablauf auf dem Smartphone sieht bei mir so aus:

1. Nextcloud-App öffnen.
2. KeePass-Datenbank auswählen und mit KeePassDX öffnen.
3. Datenbank-Passwort eingeben und mit der üblichen Nutzung fortfahren.

Sollte ich mein Telefon oder Tablet mal verlieren, widerrufe ich den Access-Token in meiner Nextcloud, womit das jeweilige Gerät den Zugriff auf die Nextcloud und damit auf die KeePass-Datenbank verliert. Wichtig: Dies minimiert das Risiko, dass mir eine Kopie der KeePass-Datenbank verloren geht, bietet aber keinen 100%-igen Schutz. Bei der Offline-Funktionalität von Bitwarden schätze ich das Risiko ähnlich ein.

Um die Sicherheit noch etwas zu steigern, kann ich eine Funktion zur Fernlöschung nutzen, mit der die Inhalte von meinem Gerät gelöscht werden. Achtung: Dies funktioniert nur, wenn das Gerät mit dem Internet verbunden ist.

Aktuell entsperre ich die KeePass-Datenbank nur mit einem Passwort. Ich habe mir angesehen, wie man einen YubiKey als zusätzlichen Faktor nutzen kann. Leider wurde mein YubiKey in der Kombination YubiKey 5 NFC, Fedora 43 und KeePassXC nicht erkannt. Ich habe das Troubleshooting nach kurzer Zeit abgebrochen und beschlossen, dass der YubiKey und die dazugehörige Software für Linux aus der Hölle kommen und das Thema in eine Schublade zur E-Mail-Verschlüsselung gesperrt. Falls euch diese Problem bekannt vorkommt und ihr eine einfache Lösung dafür habt, bitte lasst mich wissen, welchen Zauber ihr gewirkt habt.

Browsererweiterung vs. Zwischenablage

Ich nutze die KeePassXC-Browser-Erweiterung, um mir das Leben etwas zu erleichtern und Login-Formulare per Klick ausfüllen zu lassen. Natürlich besteht hierbei das Restrisiko, dass durch eine Schwachstelle im Browser oder der Erweiterung die Login-Informationen abgefangen werden können. Dessen bin ich mir bewusst.

100%-ige Sicherheit gibt es nicht. Wenn sich ein Keylogger auf meinem System befindet oder eine Schadsoftware, welche die Zwischenablage mitschneidet, verliere ich die Informationen ebenfalls.

Da ich dank Passwort-Manager für alle Dienste unterschiedliche Passwörter und wo möglich Mehrfaktor-Authentisierung verwende, hält sich der Schaden selbst dann in Grenzen, wenn einzelne Passwörter kompromittiert werden.

Da ich kein IT-Sicherheitsexperte bin, möchte ich es hiermit aber auch gut sein lassen.

Viele Grüße ins Internet und an die Personen an den heimischen Datensichtgeräten.

Die Distribution für Pentester und Sicherheitsexperten schraubt an allen drei großen Desktop-Umgebungen, rüstet drei weitere Werkzeuge nach, verbessert die Zusammenarbeit mit Wayland in…

Die Distribution für Pentester und Sicherheitsexperten schraubt an allen drei großen Desktop-Umgebungen, rüstet drei weitere Werkzeuge nach, verbessert die Zusammenarbeit mit Wayland in…

Forscher haben eine Schwachstelle in LLMs entdeckt, die zu falschen Antworten führen kann.

OpenAI startet den Betatest für ein eigenes Sicherheitstool namens Aardvark, das Schwachstellen in Codeänderungen erkennt und auch gleich selber patcht.

Die aus BlackTrack hervorgegangene Distribution für Sicherheitsexperten und Pentester liefert in ihrer neuen Version einen leicht aufpolierten Desktop.

Die aus BlackTrack hervorgegangene Distribution für Sicherheitsexperten und Pentester liefert in ihrer neuen Version einen leicht aufpolierten Desktop.

Die aktualisierte Fassung der Distribution für Sicherheitsexperten offeriert zusätzliche Werkzeuge und holt auf dem Raspberry Pi die Nexmon-Firmware zurück.

Die aktualisierte Fassung der Distribution für Sicherheitsexperten offeriert zusätzliche Werkzeuge und holt auf dem Raspberry Pi die Nexmon-Firmware zurück.

Die Distribution Security Onion liefert eine Plattform für Sicherheitsexperten. Das neue Release zählt die Versionsnummer zwar nur leicht hoch, es bietet jedoch kleinere nützliche Funktionen.

Die Distribution Security Onion liefert eine Plattform für Sicherheitsexperten. Das neue Release zählt die Versionsnummer zwar nur leicht hoch, es bietet jedoch kleinere nützliche Funktionen.

Angreifer haben Schadcode in mehrere beliebte NPM-Pakete eingeschleust.

Angreifer haben Schadcode in mehrere beliebte NPM-Pakete eingeschleust.

Weil Cybersicherheitsforschende oft in einem rechtlichen Graubereich arbeiten, simuliert das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE Gerichtsprozesse mit echten…

KI Agenten, also Softwarekomponenten, die Computer, Browser oder das Smartphone des Anwenders selbstständig bedienen können, sind momentan stark im Kommen.

Sicherheitsforscher der deutschen Cybersecurityfirma Nextron Systems haben nach eigenem Bekunden eine Linux-Backdoor identifiziert, die bislang unbemerkt geblieben sei.

Der Schweizer Anbieter Proton bringt eine neue App für Sicherheit. Proton Authenticator erzeugt sechsstellige Codes zur Anmeldung bei Onlinekonten. Diese Codes erneuern sich automatisch alle 30 Sekunden. Damit ergänzt das Tool die bisherige Produktpalette rund um Datenschutz. Im Unterschied zu anderen bekannten Apps ist Proton Authenticator komplett offen zugänglich. Der Quellcode ist öffentlich einsehbar und […]

Der Beitrag Proton stellt Open Source App für Zwei-Faktor-Verifizierung vor erschien zuerst auf fosstopia.

Im zweiten Quartal 2025 identifizierte Sonatype über 16.000 schädliche Pakete. Das entspricht einem Anstieg von 188 Prozent im Vergleich zum Vorjahr. Besonders betroffen ist der Open-Source Bereich, wo gezielte Angriffe auf Entwicklerumgebungen zunehmend zur Regel werden. Im Fokus der Angreifer stehen sensible Informationen wie Zugangsschlüssel, API Tokens und Konfigurationsdateien. Diese befinden sich häufig in vorhersehbaren […]

Der Beitrag Angriffe auf Open Source Entwicklerumgebungen nehmen drastisch zu erschien zuerst auf fosstopia.

Das Curl-Projekt kämpft immer noch mit falschen Fehlermeldungen, die KI-Systeme generieren. Das Entwicklerteam denkt jetzt sogar offen darüber nach, das Bug-Bounty-Programm einzustellen.

Die vor allem an Sicherheitsexperten und Pentester gerichtete Distribution Parrot OS frischt in erster Linie die enthaltenen Werkzeuge auf und offeriert in ihren Repositories Software von…

Die vor allem an Sicherheitsexperten und Pentester gerichtete Distribution Parrot OS frischt in erster Linie die enthaltenen Werkzeuge auf und offeriert in ihren Repositories Software von…

Sicherheitsforscher von ERNW haben eine schwerwiegende Schwachstelle in Linux-Distributionen dokumentiert. Die Lücke erlaubt Angreifern mit physischem Zugriff die vollständige Kontrolle über ein System, selbst bei aktivierter Festplattenverschlüsselung. Betroffen sind aktuelle und durchaus auch beliebte Linux Distros wie z.B. Ubuntu 25.04 oder Fedora 42 Ausgenutzt wird eine Debug-Shell, die nach mehrmaliger falscher Passworteingabe im Entschlüsselungsdialog erscheint. […]

Der Beitrag Kritische Sicherheitslücke betrifft mehrere Linux-Distributionen erschien zuerst auf fosstopia.