News BSI warnt vor Passwort-Trojaner Passteal für Browser

[Nevermore4ever]

Was macht man da am besten? Passwörter nicht im Browser speichern. Ist Keepass sicherer?

Definitiv. Dort tauchen die Passwörter nirgendwo im Klartext auf der Platte auf, bei einem geeigneten Encryption Key, kann die standardmäßige (ich glaube AES-256-)Verschlüsselung nicht geknackt werden.

Zu beachten ist allerdings, dass wenn der PC schon infiziert ist, evtl. auch ein Keylogger mit draufkommt, mit dessen Hilfe es dann wieder möglich ist, Keepass zu umgehen.

KeePass ist grundsätzlich eine gute Idee (besser als im Browser direkt oder in einer unverschlüsselten Textdatei), aber der oben erwähnte geeignete Encryption Key ist das A und O! Das Passwort zu Keepass selbst muss so sicher wie möglich sein, weil bereits Schadsoftware existiert, die gezielt nach solchen Passwortspeichern (auch Keepass) sucht und diese nach Hause schickt. Es muss dann nur ein einziges Passwort geknackt werden, um an alle im Tresor enthaltenen Passwörter zu kommen, und das bedeutet, dass sich der eingesetzte Rechenaufwand zum Knacken dieses einen Passwortes viel eher lohnt als bei "gewöhnlichen" Passwörtern.

Besonders effizient ist die Kombination aus so einem Schädling und einem Keylogger; denn im Normalfall steigt die Zahl der mitgeloggten Passwörter für jeweils einzelne Anwendungen allmählich mit der Zeit, ebenso aber auch die Entdeckungswahrscheinlichkeit (bei Einsatz eines Virenscanners). Benutzt man aber einen Passwortsafe, dann nutzt man ihn üblicherweise regelmäßig, und durch die eben beschriebene Kombination kann ein Angreifer in kürzester Zeit ans Masterpasswort und somit an alle Passwörter kommen.

 

[SoldierShredder]

Häääää, hab ich irgendwas verpasst? Ich glaub es einfach nicht, was für ein verrücktes Land.

Was hat das mit dem Land zu tun? Was ist so verrückt? Passwörter-stehelnde Virusse? Verstehe nicht, auf was du hinaus willst.

 

[Chepre]

Was macht man da am besten? Passwörter nicht im Browser speichern. Ist Keepass sicherer?

DIN A4 für wenige cents benutzen,kann auch helfen

wer seine PW auf Rechnern speicher,sry,selber schuld.

 

[Kasmopaya]

Ich würde nun mal sagen das es nicht für den Chrome gilt.

Natürlich gilt das auch für Chrome, im allgemeinen für alle Browser, vielleicht nicht der Trojaner hier, aber vielleicht der nächste. Es kann ganz schnell gehen ohne Vorwarnung, daher sollte man ganz egal was man nutzt, selber so viel wie möglich tun um sowas einzudämmen. Das gleiche Passwort für alles ist schon mal der falsche Weg.

 

[green-e]

DIN A4 für wenige cents benutzen,kann auch helfen

Stimmt. Ich haffe du hast aber noch eine Kopie gemacht und an einem anderen Ort gelagert.

wer seine PW auf Rechnern speicher,sry,selber schuld.

Ja, ich habe meine Datenbank auf einem USB-Stick

Und spätestens bei der Eingabe deiner Passwörter können auch diese abgegriffen werden. Auch wenn sie ganz sicher nur auf dem Papier stehen.

 

[PhilS1984]

Heißt das wenn man bei Firefox ein Masterpasswort hat ist man auf der sicheren Seite?

 

[Maxn777]

Heißt das wenn man bei Firefox ein Masterpasswort hat ist man auf der sicheren Seite?

Man ist NIE auf der sicheren Seite

Du bist aber definitiv auf der sichereren Seite. Wichtig ist dabei aber nicht unbedingt, DASS ein Master-Passwort (und die damit einhergehende Verschlüsselung) verwendet wird, sondern WELCHES.
Faktisch heißt dass, ein Master-Passwort "123456" oder "password1" o.ä. ist ca. 99,99% so unsicher, wie überhaupt keins.
Mit Wortlisten sind die innerhalb von ein paar Sekunden geknackt. Verschiedene Zahlen- und Buchstaben- und Sonderzeichenkombinationen sind aber durchaus sicher.

 

[PhilS1984]

Danke.

Aber wie man liest ist der Trojaner ja auch nur oder zum Großteil in Tauschbörsen zu finden.
Demnach ist es eher unwarhscheinlich den zu bekommen wenn man dort nicht aktiv ist.

Ist es denn sicherer kein Master Passwort zu haben und die Passwörter manuell einzugeben?

Oder speichert die Firefox irgendwo ab?

MfG

 

[C4rp3di3m]

Dass sind die üblichen Märchen, wenn man weis wo und wie man was Läd dann Passiert auch nix.
Keygens sind in der Regel falsepositive weil Sie Verschlüsselt gepackt werden, damit der Hersteller nicht so einfach Rausbekommt wie sie´s machen, zudem damit andere Groups nix klauen.
Verpestete Keygens fängt man sich in der Tat nur dann ein, wenn man keine Ahnung hat und einfach irgendwas Saugt. Zudem sollte man immer Virustotal.com und Sandbox zur Hand haben. So lange man original Scene Apps nutzt ist man auch sicher. Bei dem ganzen p2p Gelumpe gibts die oben zwei beschriebenen Sachen.

Nein ich Kaufe mir natürlich alles, dass heißt ja nicht dass man so was nicht zum Antesten mal verwendet Ich habe seit 11 Jahren kein Problem/Infektion gehabt obwohl ich jedes Tool/App vorher Gratis die Vollversion teste.

mfg

 

[green-e]

@PhilS1984: Das speichern der Passwörter unter Firefox kannst du in den Einstellungen deaktivieren. Sie können aber noch immer, auch bei einer manuellen Eingabe abgefangen werden, wenn ein entsprechender Schädling auf deinem System ist.

 

[HighTech-Freak]

Zur Vereitelung solcher Angriffe sollten Anwender keine Passwörter im Browser speichern oder zumindest das bei Firefox angebotene Master-Passwort nutzen.

Das is ja wohl nix neues... Ich kann ohnehin nur zu KeyPass raten. Wenn das Passwort nicht dort schon bei der Eingabe abgefangen wird ist es danach sicher. KeyPass pastet auf verschiedenste Weisen die Daten in die Login-Maske bei Websites. KeyLogger gehen da leer aus...

MfG, Thomas

 

[Slamraptor]

Opera ist nicht betroffen?

 

[PhilS1984]

Sehe ich das richtig, das KeePass ein Programm ist, in dem ich Passwörter speichern kann?
Oder kann das Programm noch mehr?

 

[cr4zym4th]

Dann kann ich zum Glück meinen IE3 weiter benutzen:-)

Im Ernst, wenn ich sehe, dass sogar bei grossen IT-Firmen das Passwort für Admin einfach admin ist, womit man dann auf alles zugreifen kann, haben es gewisse Leute einfach nicht anders verdient...

 

[HighTech-Freak]

KeePass ist ein Password-Safe. Es in .Net geschrieben und damit auch auf OSX/Linux mit den entsprechenden Bibliotheken lauffähig. Da es sowohl kompakt ist (Single-Executable, kein Installation nötig) und sehr gut durchdacht ist, ist es derzeit so ziemlich der beste Passwort-Safe. Da Du es auch portable nutzen kannst (zB auf einem USB-Stick), ohne Dir im Falle eines Verlustes sorgen machen zu müssen, ist es dzt. die erste Wahl, wenn man seine Passwörter sicher ablegen will.

LG, Thomas

 

[Wolfgang D.]

Tja, dann darf man in Zukunft wohl gar keine Daten mehr in den Browser eintippen, jeder Rechner kann mit Keylogger verseucht sein. Künftig identifiziert man sich per Kartenleser und elektrischem Personalausweis, damit keiner mehr anonym unterwegs sein kann. Oder wir schalten das böse Internet besser gleich aus. /Hohn

Was sollen Meldungen wie diese bewirken?

 

[Tinpoint]

Opera nicht betroffen?

 

[Jonaldo]

Tja, dann darf man in Zukunft wohl gar keine Daten mehr in den Browser eintippen, jeder Rechner kann mit Keylogger verseucht sein. Künftig identifiziert man sich per Kartenleser und elektrischem Personalausweis, damit keiner mehr anonym unterwegs sein kann. Oder wir schalten das böse Internet besser gleich aus. /Hohn

Mein Master-Password (KeePass) gebe ich immer nur mit einer Bildschirm-Tastatur ein. Ein einfacher Keylogger wird bei diesem Vorgehen machtlos.

 

[green-e]

Es sollte völlig egal sein, wie die Daten eingegeben werden. Bei einem Man in the Browser Angriff werden die Daten so oder so abgefangen.

 

[HighTech-Freak]

Es sollte völlig egal sein, wie die Daten eingegeben werden. Bei einem Man in the Browser Angriff werden die Daten so oder so abgefangen.

Daran wird sich sobald wohl auch nix ändern... Aber das sollten aktuelle Updates und ein Anti-Viren Programm ja wohl hoffentlich zu verhindern wissen.

MfG, Thomas