Het nieuws dat het Bundesamt für Informationssicherheit (BSI) op 21 januari 2014 verspreidde, heeft heel wat internetgebruikers de stuipen op het lijf gejaagd: bij de analyse van botnets stuitten onderzoekers en autoriteiten op ongeveer 16 miljoen gecompromitteerde gebruikersaccounts. Dergelijke identiteitsdiefstal is des te bedreigender omdat veel gebruikers dezelfde gegevens – in dit geval de gebruikersnaam in de vorm van een e-mailadres en een wachtwoord – voor meerdere diensten tegelijk gebruiken. Dat kan tenminste eenvoudig worden veranderd, bijvoorbeeld met behulp van KeePass. We laten zien hoe.

Of het nu gaat om mail- en webaccounts, forums en winkelsites of programma’s zelf: Alle vereisen wachtwoorden die we niet kunnen onthouden hoe meer er zijn. Heeft u ook een vergeeld stuk papier onder uw laptop waarop de wachtwoorden staan? Heeft u de wachtwoorden opgeslagen door de browser? Geen van beide is veilig, plus de browser kan niet alle wachtwoorden opslaan. Wij bekeken de open-source tool KeePass, die alle wachtwoorden en toegangsgegevens versleuteld opslaat en een wachtwoordgenerator en database biedt.

De verschillen

KeePass is beschikbaar in twee edities: “Classic Edition Version 1.x” en “Professional Edition Version 2.x”.

Versie 1.x draait op Windows-systemen met GDI+ (reeds inbegrepen vanaf XP) en bevat minder functies dan versie 2.x: het ondersteunt geen Unicode, het openen van een database via URL is niet mogelijk, evenmin als synchronisatie. Een prullenbak is niet aanwezig, ook het triggersysteem ontbreekt en de versie drukt alleen in tabelvorm af. Het wordt echter nog verder ontwikkeld.

Versie 2.x draait op Windows-systemen met NET Framework 2.0 of hoger (reeds inbegrepen vanaf Vista) en ook op andere besturingssystemen zoals Linux, Mac OS X, BSD, enz. Open databases via URL en synchronisaties zijn mogelijk, de versie print in tabelvorm en in detail, ook is een triggersysteem beschikbaar om workflows te automatiseren.

Als draagbare toepassingen hoeven beide versies niet te worden geïnstalleerd, zijn het open source programma’s, geschikt voor plug-ins en kunnen ze worden aangepast via taalbestanden. Rijndael (ook wel AES genoemd) 256-bit wordt gebruikt als database encryptie algoritme, wachtwoorden worden opgeslagen met SHA-256.

Opmerking: De installatieversie vereist lokale installatierechten, die de draagbare versie niet nodig heeft.

U kunt een gedetailleerde lijst van de twee versies zien in de editievergelijking.

Wij zijn vooral geïnteresseerd in versie 2, omdat die ook verschillende interessante functies bevat.

De installatie

Na het downloaden en uitpakken van de draagbare versie en het Duitse taalbestand in een speciaal aangemaakte map op de USB-stick of op de harde schijf. Als u voor de installatieversie hebt gekozen, pakt u het taalbestand uit in de programmamap van KeePass.

In het “View” menu onder “Change Language…” vindt u het Duitse taalbestand, dat u selecteert. Start vervolgens KeePass opnieuw op om de wijzigingen toe te passen.

KeePass heeft een ongecompliceerde gebruikersinterface zonder franje. Alles ziet er nog vrij leeg uit, maar daar komt verandering in.

Database aanmaken

Om met KeePass te kunnen werken, moet je eerst een database aanmaken. Gebruik “Bestand” – “Nieuw…” om een databasebestand (*.kdbx) aan te maken, dat u een naam geeft, in de map op de USB-stick of harde schijf. In ons voorbeeld is dit “NewDatabase.kdbx” in de submap “KeePass Password Safe 2.24”.

Na “Save” verschijnt een nieuw venster“Create composite master key“.

In het veld naast“Master Password” voer je een wachtwoord in voor je nieuwe database. Dit is het enige wachtwoord dat je echt moet onthouden.

Een klik op de knop met de drie puntjes toont uw wachtwoord weer in platte tekst. U kunt de kwaliteit van het wachtwoord zien aan de gekleurde balken eronder – rood is onvoldoende, groen is goed.

Sleutelbestand/provider is verantwoordelijk voor extra bescherming – hier kunt u een sleutelbestand (*.key) aanmaken. Dit bestand wordt automatisch gegenereerd en opgeslagen op een locatie naar keuze. Als u het bijvoorbeeld op een USB-stick opslaat, zijn de gegevens alleen toegankelijk als de USB-stick op de computer is aangesloten. De sleutel moet dan worden geopend met het hoofdwachtwoord.

De Windows gebruikersaccount werkt dan alleen samen met de Windows gebruikersaanmelding en het hoofdwachtwoord. Deze optie is gebonden aan een PC.

Welke van de drie opties u afzonderlijk of in combinatie gebruikt is aan u. Dit is ook een kwestie van de gewenste beveiliging.

Wij kiezen alleen voor het “hoofdwachtwoord”.

Na “OK” worden de database-instellingen geopend, die je moet bekijken – maar je hoeft ze niet te veranderen, want ze zijn optimaal.

Uw nieuwe database is nu aangemaakt. U krijgt twee voorbeelditems die u veilig kunt verwijderen.

Onder “Bestand” – “Afsluiten” wordt u gevraagd of de wijzigingen moeten worden opgeslagen. Na “Opslaan” sluit KeePass af met de nieuw gemaakte instellingen. KeePass kan nu alleen worden geopend met uw hoofdwachtwoord. U kunt meer databases aanmaken, maar dan moet u een betekenisvolle naam kiezen en niet “NewDatabase”.kdbx zoals wij deden.

De KeePass opties

Onder “Extra’s – Opties” zijn er 5 tabbladen.

De“Security” tab is speciaal voor als je niet alleen op de PC werkt. Als u bijvoorbeeld wordt afgeleid, vergrendelt KeePass het bureaublad van zichzelf na xx seconden.

Onder het tabblad Beleid kun je functies blokkeren of toestaan. Werk je alleen met de database, sta dan (bijna) alle opties toe. Over afdrukken gesproken

Hetinterface tabblad heeft 4 kopjes: [Hoofdvenster] – [Invoerlijst] – [Snelzoeken (werkbalk)] – [Geavanceerd].

De ingangen spreken voor zich. Wij hebben bijvoorbeeld besloten de eerste optie onder “Hoofdvenster” te activeren. Het venster wordt snel gesloten met de sluitknop (Minimaliseren, Maximaliseren, Sluiten) en u zou opnieuw moeten inloggen met uw hoofdwachtwoord. Als de optie“De sluitknop [X] minimaliseert het hoofdvenster in plaats van de toepassing te sluiten” is geactiveerd, kan u dit niet overkomen. U kunt de toepassing dan alleen sluiten via “Bestand – Afsluiten”.

Onder het tabbladIntegratie kunt u sneltoetsen instellen voor Auto-Type of KeePass laten starten met Windows. U kunt KDBX-bestanden koppelen aan KeePass met de knop “Associatie maken” (als u meerdere KDBX-bestanden hebt). Het is dan mogelijk om *.kdbx bestanden met KeePass te openen door te dubbelklikken.

De URL Schema Overschrijven knop

De knopURL-schema-overschrijvingen geeft opdrachtregelopdrachten weer. Als u bijvoorbeeld de weblinks van KeePass standaard wilt openen met Firefox in plaats van Internet Explorer, dan kunnen hier de bijbehorende vinkjes onder “http” en “https” worden gezet. U kunt dit later ook voor elke vermelding afzonderlijk wijzigen.

De standaard hier is de“ssh” optie – cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}. Dit is het automatisch tot stand brengen van een SSH-verbinding (Secure Shell) met Putty (Telnet/SSH Client). In deze lijst kunnen de normen niet worden gewijzigd door “Bewerken”. U kunt alleen uw eigen, door de gebruiker gedefinieerde commando’s definiëren door op de knop “Toevoegen” te klikken.

De standaard SSH-verbinding is als volgt opgebouwd:

[CMD_commando][bestandspad][verbindingstype][gebruikersnaam]@[protocol of URL][wachtwoord].

Het commando ziet er dan als volgt uit:
cmd://”{APPDIR}putty.exe” -ssh {USERNAME}@{URL:RMVSCM} -pw {PASSWORD}

Uitleg:

• ssh – prefix dat onder schema staat in het hoofdvenster van KeePass (SSH-verbinding).
• cmd:// – Het commando wordt uitgevoerd in de Windows commandoregel op de achtergrond.
• “{APPDIR}putty.exe” – Volledig bestandspad naar de uit te voeren putty.exe (altijd tussen aanhalingstekens omdat het pad spaties kan bevatten). De variabele {APPDIR} vervangt hier het pad.
• -ssh {USERNAME}@{URL:RMVSCM} – String voor het maken van een SSH-verbinding met overdracht van de gebruikersnaam @ volledig SSH-pad : vermelding niet zichtbaar in het schema – {URL:SCM} = vermelding zichtbaar in het schema
• -pw {PASSWORD} – overdracht van het wachtwoord in gecodeerde vorm

U kunt er ook uw eigen door de gebruiker gedefinieerde programma’s mee uitvoeren, mits deze programma’s ook commandoregelargumenten accepteren. U kunt later extra commando’s uitvoeren met de ingangen via Auto-Type. Meer informatie over AutoUrls.

Het tabblad “Geavanceerd

Het tabblad heeft 5 kopjes, maar die spreken voor zich. Wij hebben het item “Automatisch opslaan bij afsluiten/vergrendelen database” geactiveerd. Op die manier worden na “Bestand – Afsluiten” alle wijzigingen automatisch opgeslagen zonder opnieuw te vragen.

Inloggegevens aanmaken

Selecteer in het hoofdvenster van KeePass in het menu “Bewerken” “Invoer toevoegen” en schakel naar het tabblad “Invoer”.

Onder“Titel” voert u de naam van bijv. een website in, onder“Gebruikersnaam” voert u de inlognaam van de site in. Verwijder de standaardwachtwoorden en voer uw inlogwachtwoord voor de website in. U kunt de kwaliteit van het wachtwoord hier negeren. Om KeePass direct naar de inlogpagina van de provider te laten gaan, roept u de inlogwebsite op in de browser en kopieert u het adres in KeePass onder“URL“. Onder“Opmerkingen” kunt u een opmerking achterlaten of een vervaldatum (“Geldig tot”) aanmaken, onder het tabblad “Geavanceerd” kunt u bijlagen toevoegen (bijv. e-mail, AV, PDF, enz.). Klik vervolgens op “OK”. Herhaal het proces met al uw internetgegevens.

Rubrieken ordenen

Na “OK” zijn de nieuwe entries zichtbaar in het hoofdvenster van KeePass onder “NewDatabase”. Om de wijzigingen in de database op te slaan, klikt u op “Bestand – Afsluiten”. U wordt dan gevraagd of u de wijzigingen wilt opslaan. Pas na bevestiging worden de nieuwe vermeldingen in de database opgeslagen. Opmerking: Als u in de “Geavanceerde” opties de optie“Automatisch opslaan bij sluiten/vergrendelen van database” hebt geactiveerd, zoals wij hebben gedaan, worden de wijzigingen automatisch opgeslagen na “Bestand – Afsluiten”.

U heeft nu verschillende groepen beschikbaar in KeePass – Internet, eMail, Homebanking enz. – en kunt de nieuwe vermelding van de “NewDatabase” sectie naar een andere sectie verplaatsen met behulp van drag & drop.

U kunt groepen toevoegen, verwijderen of bewerken door rechts op de groep te klikken.

Als je een nieuwe groep aanmaakt, wordt deze groep ondergeschikt gemaakt. Sleep de nieuw aangemaakte groep gewoon met de muis naar buiten en verplaats hem naar het gedeelte “NewDatabase”, zodat de nieuwe groep niet meer in de submap staat. Nu kunt u rechts op de nieuwe groep klikken en op “Herschikken” klikken. U heeft dan de keuze “Groep aan het begin”, “Groep een regel omhoog”, “Groep een regel omlaag” enz.

Hoe Auto-Type werkt

Een snelle test: sluit alle toepassingen behalve KeePass. Open een teksteditor (Kladblok, Wordpad), klik op een item in het hoofdvenster van KeePass aan de rechterkant en selecteer vervolgens“Run Auto-Type” in het contextmenu. Heb je opgelet?

KeePass schreef de gebruikersnaam {USERNAME} en het wachtwoord {PASSWORD} in het tekstbestand. KeePass scheidde de gegevens met een tabulator {TAB} en voltooide de overdracht met de [Enter] toets {ENTER}. Autotype werkt op dezelfde manier voor aanmeldingsvelden in uw browser – {USERNAME}{TAB}{PASSWORD}{ENTER}

Correct inloggen met Auto-Type

De tool kan de aanmeldingspagina van een webservice rechtstreeks vanuit de database-invoer aanroepen. De Auto-Type-functie kan automatisch de gebruikersnaam en het wachtwoord in een aanmeldingsvenster invoegen en herkent aan het geopende aanmeldingsvenster welke toegangsgegevens uit de database moeten worden gehaald. Auto-Type herkent ook de aanmeldings- of aanmeldingsknop.

Voor een betere weergave klikt u in het menu “Weergave” op de vermelding “Toon invoerweergave” zodat er een vinkje verschijnt, en nogmaals op de vermelding “Vensterindeling” in het menu “Weergave”. Selecteer naar keuze “Boven elkaar” of “Naast elkaar”.

Als u “Over elkaar” hebt geselecteerd, ziet u informatie over de groep, titel, gebruikersnaam, wachtwoord, URL, aanmaakdatum en wijzigingsdatum in het onderste gedeelte van het KeePass-venster. In het hoofdvenster van KeePass selecteert u de vermelding waarmee u wilt inloggen. Klik rechts op deze vermelding en klik onder “URL” op “Openen” of “Openen met” uw browser, de aanmeldingspagina wordt geopend. Als u voor een betere weergave de invoerweergave hebt ingesteld op “boven elkaar” of “naast elkaar”, kunt u van daaruit ook de inlogpagina openen. Als u opnieuw met de rechtermuisknop op de invoer klikt en deze keer naar“Run Auto-Type” gaat, kunt u zien hoe KeePass de gebruikersnaam en het wachtwoord in de invoervelden invoert en u aanmeldt.

Maar als het inlogvenster op de website een paar aankruisvakjes of soortgelijke velden tussendoor heeft die je moet “overslaan” om bij de inlogknop te komen, kun je voor die wachtwoordinvoer een andere volgorde kiezen. Zoals we al weten, is de standaard {USERNAME}{TAB}{PASSWORD}{ENTER}, die niet veranderd mag worden omdat de invoer invloed heeft op alle andere invoer.

Klik onder het tabblad Autotype van de probleemwachtwoordinvoer op “Toevoegen” en vink“Aangepaste sleutelreeks gebruiken” aan. Voeg de TAB’s toe.

Voorbeelden: {USERNAME}{TAB}{PASSWORD}{TAB}{ENTER} of

{USERNAME}{TAB}{PASSWORD}{TAB}{ENTER}

Klik gewoon in het veld na {PASSWORD} en schrijf {TAB} zonder een lege regel of spatiebalk, klik dan op de knop “OK”.

Elke {TAB} komt overeen met een invoerveld op de webpagina dat moet worden overgeslagen. Dit kan ook na {USERNAME}.

Twee-kanaals auto-type verduistering

Onder het tabblad Autotype is er nog een interessante optie:“Twee-kanaals Autotype-verduistering” voor nog meer bescherming.

Het doel van deze optie is om mogelijk geïnstalleerde keyloggers te verwarren. KeePass kopieert dan niet het wachtwoord in platte tekst in de cache om het vervolgens in het wachtwoordveld te plakken, maar simuleert een [Ctrl]+[c] toetsaanslag om vervolgens een [Ctrl]+[v] in het wachtwoordveld te sturen. Bovendien slaat hij verschillende heen-en-weer-sprongen via pijltjestoetsen op om verdere verwarring te zaaien. De mogelijke keylogger kan alleen deze [Ctrl]-commando’s loggen en dus niet het wachtwoord in platte tekst zien. U moet deze optie voor elke wachtwoordinvoer afzonderlijk activeren. De waarschuwing die telkens verschijnt als u op de optie klikt, kunt u veilig bevestigen. De optie werkt alleen bij eenvoudige aanmeldingsvelden, zoals die in browsers.

Autotype commando’s

Onder het tabblad Autotype van de wachtwoordinvoer, knop “Toevoegen”, kunt u de exacte toetsenbordvolgorde bekijken en bewerken. Er zijn standaardvelden zoals {Titel}, {Gebruikersnaam}, {Wachtwoord}, {URL} en {Noten}.

Als u op {Titel} klikt, wordt eerst de “Titel” bekeken in plaats van de URL en wordt bijvoorbeeld gecontroleerd of de titel in de webbrowser overeenkomt met de door u ingevoerde {Titel} – bijvoorbeeld {google}. Deze functie helpt als u twee e-mailadressen heeft bij hetzelfde e-mailportaal. Als KeePass op de achtergrond draait en u meer dan één Google-account hebt, verschijnt er een selectievenster op de inlogpagina als u [Ctrl]+[Alt]+[a] doet. De toetscombinatie wordt opgeslagen in de database-opties, tabblad “Integratie”. Natuurlijk moeten beide Google-accounts in KeePass zijn aangemaakt.

Verder zijn er speciale toetsen als {TAB} en {ENTER} of placeholders als {GROUP}, {URL:SCM} of {DELAY 1000} (wacht even), waarvan sommige bekend voorkomen. De knop “URL scheme overrides” bevat ook deze parameters.

Programma’s starten met een wachtwoordprompt

Er is ook de mogelijkheid om een programma te starten in plaats van een URL, als hier de juiste parameters worden samengesteld. Zoals hierboven vermeld, het commando:

cmd://PuTTY.exe -ssh {USERNAME}@{URL:RMVSCM}

U kunt ook een remote desktop verbinding tot stand brengen:

cmd://mstsc.exe /v:192.168.1.211 /w:1280 /h:1024

Autotype-venster: 192.168.1.211 – extern bureaublad*

De Auto-Type-functie kan ook worden gebruikt om de toegang tot een gecodeerd station te automatiseren.

Selecteer de schijf waarvoor een wachtwoord nodig is. Ga naar KeePass en maak een vermelding, open het tabblad Auto-Type en klik op “Toevoegen”.

Selecteer in het “Bestemmingsvenster” uw schijf en vink“Aangepaste sleutelvolgorde selecteren” aan. Verwijder {USERNAME} en {TAB} als alleen om het wachtwoord wordt gevraagd. Indien gevraagd wordt naar gebruikersnaam EN wachtwoord voor de versleutelde schijf, verwijder ALLEEN {TAB}.

De Auto-Type functie is zeer uitgebreid, evenals de URL Schema Overschrijven knop. Voor meer informatie, zie Auto-Type Functie (Auto-Type-Window).

Wachtwoord generator

In het hoofdvenster van KeePass in het menu Extra vindt u de Wachtwoordgenerator (Wachtwoord genereren, Wachtwoordlijst genereren) om u te helpen een nieuw wachtwoord te maken.

Onder “Instellingen” kunt u onder Profiel kiezen dat de nieuw gegenereerde wachtwoorden moeten gelden voor nieuwe vermeldingen. Hier kun je de lengte en complexiteit van het nieuwe wachtwoord instellen of het laten zoals het is. Een sterk wachtwoord moet zo lang mogelijk zijn (minstens 20 tekens) en bestaan uit een reeks tekens (hoofdletters en kleine letters, cijfers). U kunt de willekeurigheid van de wachtwoordreeks vergroten door extra willekeurige gegevens te genereren. Activeer daarvoor de optie “Extra entropie verzamelen”.

Na “OK” staat het wachtwoord al in het hoofdvenster van KeePass voor de volgende nieuwe invoer.

Dit is praktisch als u zich op een nieuw platform moet registreren. Je hebt daar dan alleen een gebruikersnaam nodig – het wachtwoord heb je al.

Er kunnen ook afzonderlijke vermeldingen voor wachtwoorden worden gegenereerd, bijvoorbeeld als het wachtwoord is verlopen.

Het triggersysteem

Het systeem vergemakkelijkt workflows, het kan bijvoorbeeld altijd de synchronisatie of export starten wanneer de database wordt opgeslagen.

Voorbeeld: Telkens wanneer KeePass wordt afgesloten en de database wordt opgeslagen, moet een actueel exportbestand van de database worden gemaakt.

Het triggersysteem is te vinden in het hoofdvenster van KeePass in het menu Extra. Het vinkje “Triggersysteem ingeschakeld” moet worden gezet. Klik op “Toevoegen”, het eerste tabblad “Eigenschappen” van vier verschijnt. Voer onder “Naam” de gebeurtenis in, bij de twee opties “Geactiveerd” en “Initieel ingeschakeld” moeten de vinkjes al staan.

Ga naar het tabblad “Gebeurtenissen” en klik op “Toevoegen”. Selecteer onder “Gebeurtenis”“Databasebestand opgeslagen“.

Veld Bestand/URL – Vergelijking = Is gelijk (ingesteld)

Veld Bestand/URL – Filter = gewoon leeg laten

[OK]

U kunt het tabblad “Voorwaarden” overslaan en overschakelen naar het tabblad “Acties”.

Daar klik je op “Toevoegen” en selecteer je onder “Actie” –“Actieve database exporteren“.

In het veld Bestand/URL moet u het pad invoeren waar het exportbestand moet worden opgeslagen. Maak vooraf een map aan, bijv. Export onder C: – kopieer de “NeueDatenbank.kdbx” naar deze map.

Typ in het veld Bestandsformaat KeePass KDBX (2.x).

[OK] – [Finish] – [OK]

Onder “Triggers” kunt u lezen wat de afzonderlijke gebeurtenissen betekenen.

Ophalen van de KeePass-database via internet

Hoewel de wachtwoordopslag een “database” wordt genoemd, is dit niet waar. Databases hebben een server met schrijftoegang, machtigingen en rechten om records te lezen/wijzigen. We zien dit nu niet zo nauw.

Als je een eigen homepage of server hebt, kun je de kdbx-database uploaden en van daaruit benaderen. Open dan KeePass, selecteer Bestand – Openen – “URL openen”. Voer in het eerste veld “URL” het volledige adres van uw homepage of FTP-server in, inclusief directory-pad en KDBX-bestandsnaam.

Voer de gebruiker en het wachtwoord in en bevestig met “OK”. Voer tenslotte uw hoofdwachtwoord in het venster “Enter master key” in. De KeePass access database wordt geopend.

Alternatief

Extra synchronisaties zijn mogelijk met plugins zoals KeeCloud of KeePassSync (onder “Back-up & Synchronisatie & IO”) voor Amazon S3, Dropbox, DigitalBucket.

Als je Dropbox hebt, kun je de database gewoon in de Dropbox-map zetten met een voldoende wachtwoord en dan bijvoorbeeld op Android of iOs starten vanuit de Dropbox-map met geschikte programma’s. Je moet wel het hoofdwachtwoord weten.

De browser add-on FireFTP zet uw KDBX-bestand over naar een map op uw FTP-server.

Over *afdrukken

Er zijn 2 opties voor de printer in de KeePass opties in de policy tab:

“Afdrukken van invoerlijsten toestaan” en “Invoervan de huidige hoofdsleutel niet vereisen voor het afdrukken“.

In het KeePass hoofdvenster via “Bestand – Afdrukken” kun je ALLE entries met wachtwoorden laten afdrukken zonder hoofdwachtwoord. Al in de preview wordt alles weergegeven en onder het tabblad “Layout” kunt u nog kiezen of u in tabel- of detailmodus wilt afdrukken. Standaard is “Wachtwoord” geactiveerd, de “URL” bevat geen vinkje – hoewel wij vinden dat de “URL” een vinkje moet krijgen en niet “Wachtwoord”. U moet uzelf niet alles laten doen, zelfs als u alleen aan de database werkt, voor de zekerheid.

Beeldbron: KeePass