Warum e. Passwort Manager sicherer ist + Tool Tipp: KeePass Password Safe

#0
07.04.2005, 20:25
Member
Avatar Laserpointa

Beiträge: 2175
#1 Hi,

Passwörter sind ein sensibles Thema und schon oft hier im Forum diskutiert;
ich möchte einfach mal eine These aufstellen die gerne hinterfragt und fair diskutiert werden darf:

Ich finde ein Passwort Manager sicherer als Passwörter per Hand einzutippen, weil
- z.B. Trojaner über die Tastatur eingetippte Passwörter gerne mitloggen, allerdings imho kein Trojaner Passwörter die über die Zwischenablage eingefügt werden mitprotokolliert
- Passwort Manager meiner Meinung nach Passwörter gut verschlüsselt lagern.
- Passwort Manager praktisch sind gegen das Vergessen.


Software Tipp (Passwort Manager)
so und nun noch ein Tooltipp für einen wie ich finde guten Passwort Manager:
Dieses Tool ist ein Open-Source Passwort-Verwaltungstool, das sich zunehmender Beliebtheit erfreut.




Mit Installer als auch lose (Zip) erhältlich
http://sourceforge.net/project/showfiles.php?group_id=95013&package_id=101217&release_id=317170

Deutsche Sprachdatei
http://keepass.sourceforge.net/gettrans.php?lng=German

viel Spass, bin gespannt auf Feedback

Greetz Lp
Dieser Beitrag wurde am 07.04.2005 um 20:28 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
07.04.2005, 20:41
Member
Avatar Malkesh

Beiträge: 669
#2 Klingt ja ganz nett, nur meine erste Frage: Wie kommt der Anwender an seine verschlüsselten Passwörter in dem Passwort-Manager? Setzt man für diesen eine Art Master-Passwort?
Klingt für mich nach einer kleinen Unsicherheit, denn würde dieses Passwort geknackt (oder das Tool direkt) hätte der theoretische Eindringling Zugang zu allen Passwörtern.

Daher meine Frage: Wie werden die Passwörter verwaltet und der Zugriff darauf kontrolliert?
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
08.04.2005, 13:31
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2175
#3

Zitat

Malkesh postete
Setzt man für diesen eine Art Master-Passwort?
Klingt für mich nach einer kleinen Unsicherheit, denn würde dieses Passwort geknackt (oder das Tool direkt) hätte der theoretische Eindringling Zugang zu allen Passwörtern.

Daher meine Frage: Wie werden die Passwörter verwaltet und der Zugriff darauf kontrolliert?


okay damit hast Du die Lücke ;) - die ganzen Passwörter werden über ein Masterpasswort verwaltet; aber:
- dieses Passwort kann man auch auf einem Datenträger / USB Stick speichern und über so ein Medium auslesen lassen
- beim vergeben von Passwörtern wird einem die Sicherheit des Passwortes auf einer Messlatte engezeigt.
- man kann auch mehrere Container anlegen, und z.B. für ganz sensible Passwörter (Email / Homebanking) einen Extra Container mit einem andere Masterkey verwenden
- Daten die in die Zwischenablage kopiert werden, werden dort verschlüsselt abgelegt

Fazit das Programm tut vieles (eventuell noch nicht alles) um die Daten sicher zu verwahren. - aber ich denke das sowas notwendig ist da die Code und Passwörter einfach zu sehr zunehmen im Internet und ein solches System eventuell sicherer ist als a) die Daten immer per Hand einzugeben (Keylogger Gefahr) sowie b) überall dasselbe Passwort zu verwenden, was viele machen!

Greetz Lp
Seitenanfang Seitenende
08.04.2005, 13:50
Member
Avatar Malkesh

Beiträge: 669
#4 Die externe Sicherungsmöglichkeit ist natürlich nicht schlecht (wie eine Lizenz/Schlüssel?). Damit sollte jedoch auch die lokale/manuelle Eingabe des Master-Passworts unterbunden werden (optional). Um eben den Fall zu vermeiden, dass an einem Rechner der von mehreren Usern verwendet wird jemand das Passwort per Bruteforce oder ähnlichen Methoden knacken könnte.
(den Fall das einem jemand den USB-Stick klaut lass ich jetzt mal bewusst weg, man kann eben einfach nicht für alles vorsorgen, da muss man schon selber drauf aufpassen *g*)

Und achja: Was für eine Verschlüsselung verwendet das Programm?

Klingt soweit aber schon interessant, mir geht es mit der Unmenge an Passwörtern nämlich ähnlich, über die Zeit kommt da eine Menge zusammen, allein für meine Arbeit hab ich schon knapp 10 'sichere' Passwörter die ich im Kopf halten muss. Vom Privatbereich will ich hier mal gar nicht erst anfangen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
08.04.2005, 14:02
Member

Beiträge: 3306
#5 http://sourceforge.net/tracker/index.php?func=detail&aid=1175325&group_id=95013&atid=609908

Zitat

KeePass stores passwords in plain-text in memory
Passwords stored in plain-text in memory as mentioned
on FileForum user comments. While KeePass website says
all passwords are stored in encrypted form, this is NOT
the case if you check out the KeePass process space in
a hex editor like WinHex.


Ich weiß nicht ob das jetzt bestätigt oder schon behoben wurde, aber es zeigt das grundsätzliche Problem das zusätzliche Software auch zusätzliche Fehler und Schwachstellen hat.

Wenn man Passwörter für verschiedene Ebenen (unwichtig, wichtig, kritisch) verwendet und die sich einfach versucht zu merken muss man sich um sowas keine Gedanken machen. Das ist der selbe Ansatz wie mehrere Container anlegen bloß halt ohne Software.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Dieser Beitrag wurde am 08.04.2005 um 14:05 Uhr von asdrubael editiert.
Seitenanfang Seitenende
08.04.2005, 14:07
Member
Themenstarter
Avatar Laserpointa

Beiträge: 2175
#6 @asdrubael
gut recherchiert ;) -> ich bin zwar kein Experte, aber ich habe den Bug auch schon gesehen und habe mir den Prozess der Zwischenablage mal mit einem Hexeditor angesehen und konnte keine Passwörter von mir finden -> Version 99b

Xeper hat in irgendeinem Thread mal gesagt:
der beste Safe ist Dein Gehirn oder ein Zettel im Haus...
(^^ kann man auch hinterfragen, kommt aufs Hirn/Haus drauf an ;) - auf jeden Fall kann auch das löchrig sein :p)

Greetz Lp
Dieser Beitrag wurde am 08.04.2005 um 14:07 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
22.05.2005, 12:51
...neu hier

Beiträge: 1
#7 Hi!
Habt ihr euch noch näher mit dem Programm beschäftigt? Ich setze es nun schon einige Wochen ein und hab gerade versucht es mir ein bisschen komfortabler zu machen. Ich wollte mir eine Batchdatei anlegen, sodass die Datenbank automatisch geöffnet wird sobald man die Batchdatei ausführt und mein USB Stick am System hängt. Also habe ich folgendes versucht:

KeePass.exe Y:\KeyPass_Database.kdb -keyfile:C:\pwsafe.key

Nur wenn ich das so schreibe kommt immer eine Fehlermeldung:

"Es ist ein Fehler aufgetreten! Fehler-Code: 0x00000002 Ungültiger Parameter."

Nur in der Hilfe stehen die Parameter so drin. Weiß einer was ich da falsch mache?
Seitenanfang Seitenende
03.12.2005, 10:27
...neu hier

Beiträge: 1
#8

Zitat

Damit sollte jedoch auch die lokale/manuelle Eingabe des Master-Passworts unterbunden werden (optional). Um eben den Fall zu vermeiden, dass an einem Rechner der von mehreren Usern verwendet wird jemand das Passwort per Bruteforce oder ähnlichen Methoden knacken könnte.
in der version die ich habe (1.03) ist es so das man beides gleichzeitig aktivieren kann also master passwort + schlüssel dann kann man ohne den schlüssel mit dem master passwort wenig anfangen und umgekehrt
Seitenanfang Seitenende
11.09.2006, 21:44
Member

Beiträge: 20
#9 Dieser Beitrag ist schon relativ alt, jedoch möcht ich eine kleine Anmerkung zu diesem Thema geben. Ein positiver Ansatz, welcher jedoch tükisch ist, war die Aussage: "Ein Password Manager schütz vor Keyloggern", da man ja -> PASTE&COPY<- anwendet. Gegenfrage? Kann das Masterpasswort nicht zufällig auch mitgeloggt werden? Dann würde man ja an die ganzen Passwörter kommen? Ich finde die Aussage, ein Password Manger schützt vor Keyloggern einfach falsch.

lg, robbyk
Seitenanfang Seitenende
07.03.2010, 00:07
Member
Avatar Jagge

Beiträge: 702
#10 für alle Keypass User gibt es nun übrigens eine schöne Firefox Erweiterung namens Keyfox: http://keefox.org/ ;)

Mac OS User verwenden 1Password! ;)
Seitenanfang Seitenende
20.09.2013, 22:13
...neu hier

Beiträge: 1
#11 Achtung! Moderation Hinweis: neuer unbekannter User - dieser Beitrag ist eventl. Werbung (...mehr)

Gibt es http://blublu.at
Seitenanfang Seitenende