ComputerBase Menü
Aktuelles

News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

In C# gibt es das Konzept von Secure Strings. Damit werden Zeichenketten verschlüsselt im Arbeitsspeicher abgelegt.
Sowas muss es doch auch für andere Programmiersprachen geben. Hätte nicht gedacht, dass die die Passwörter einfach so im Arbeitsspeicher vorhalten
(außer die momentan angezeigten natürlich).
Edit: OK vergesst es, die scheinen auch nicht sicher zu sein
https://github.com/dotnet/platform-compat/blob/master/docs/DE0001.md
 
Zuletzt bearbeitet:
michi.o schrieb:
In C# gibt es das Konzept von Secure Strings. Damit werden Zeichenketten verschlüsselt im Arbeitsspeicher abgelegt.
Sowas muss es doch auch für andere Programmiersprachen geben. Hätte nicht gedacht, dass die die Passwörter einfach so im Arbeitsspeicher vorhalten.
Zum Vergrößern anklicken....

Zumindest bei der Sperrung sollte man die Variablen einfach überschreiben.
 
Der Entwickler von KeePassXC hat sich dazu bereits geäußert. KeePassXC ist davon definitiv nicht betroffen.

Ich nutze ein Passwort + Keyfile, aber das macht es wohl nicht sicherer. Wer das Passwort aus meinem RAM aus lesen kann, der kann wohl auch das Keyfile auf meiner SSD stehlen :)

Dieses Sicherheitsproblem hat dann aber wohl auch jede andere Software (7-zip, rar, veracrypt,...).
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Drölfzehn schrieb:
Denn sobald du auf die Datei in deinem 7z zugreifst, wird diese vorher irgendwohin entpackt. Dann liegt diese Datei als Klartext in deinem Temp-Ordner und kann ohne weiteres abgegriffen werden.
Zum Vergrößern anklicken....
Da ist durchaus was dran. Passwortmanager treiben durchaus auch einen gewissen Aufwand, um solche Sachen zu verhindern. Eben das Passwörter nicht im Temp-Verzeichnis oder Swapfiles landen.
Deshalb finde ich hier den Konter a-la "ich nehm ne verschlüsselte Textdatei" zu lustig. Erstens löst es das im Artikel angesprochene Problem nicht. Zweitens ist das häufig dann sogar noch deutlich unsicherer.
 
  • Gefällt mir
Reaktionen: zett0, dominiczeth, MenneSi und 2 andere
robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....

Außer vielleicht unter Folter, aber da ist es dann auch egal ob man einen PWDMAN benutzt oder nicht :D
Leider passen meine 200+ Passwörter nicht alle in meine brain.exe :freak:
 
Cempeg schrieb:
Was ist wenn man sie sich vom Browser (FF) merken lässt?
Kann man die auch irgendwie auslesen?
Bequem ist es ja schon.
Zum Vergrößern anklicken....

Bei Firefox in Klartext, wenn du kein Masterpasswort nutzt...
 
Drölfzehn schrieb:
@Axendo

Ich denke nicht, dass das wirklich sicher ist. Denn sobald du auf die Datei in deinem 7z zugreifst, wird diese vorher irgendwohin entpackt. Dann liegt diese Datei als Klartext in deinem Temp-Ordner und kann ohne weiteres abgegriffen werden. Auch wenn du deinen Temp-Ordner regelmäßig löschst, sollte die Datei relativ einfach wiederherstellbar sein.
Zum Vergrößern anklicken....

Danke für die Info! Werden die Temp-Dateien nicht nach beenden von 7z automatisch gelöscht? Ich werde mal einen Passwort-Manager ausprobieren.
 
Blumenwiese schrieb:
Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt ;))
Zum Vergrößern anklicken....
Aha, und welchen Text-Editor verwendest du zum öffnen dieser TXT, der den Speicher nach der Verwendung überschreibt und nicht einfach nur wieder freigibt? Weil genau darum geht es hier, die Verschlüsselung aller Tools war sicher...
Abgesehen davon cached dein Betriebssystem dir die unverschlüsselte TXT auch noch im Speicher. Fail. Und PGP für passwörter ist ja wohl mal völlig weltfremd, umständlicher gehts nicht.

Axendo schrieb:
Danke für die Info! Werden die Temp-Dateien nicht nach beenden von 7z automatisch gelöscht? Ich werde mal einen Passwort-Manager ausprobieren.
Zum Vergrößern anklicken....
Im Regelfall schon, aber Löschen bringt ja nichts. Da werden die Daten nicht überschrieben sondern lediglich im Dateisystem als gelöscht markiert, so dass sie dann überschrieben werden können wenn der Speicherplatz gebraucht wird.
Die unverschlüsselten Daten bleiben auf der Festplatte also liegen auf unbestimmte Zeit. Das ist noch viel schlimmer als das worum sich der Artikel dreht: Hier wurde bemängelt, dass die Daten im Arbeitsspeicher unverschlüsselt liegen bleiben.
Ergo deine Verschlüsselung war komplett unnütz. Wenn du Wert auf die Sicherheit deiner Passwörter legst müsstest du sie also jetzt alle ändern ... Hauptsache erstmal selbst ne Lösung zusammengepfuscht die natürlich gar nicht sicher war.

Es gilt immer: Never roll your own crypto. Weil man da als einzelner gar nicht an alle möglichen Angriffsvektoren denken kann.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: trpna, menace_one und Hirtec
robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....

Ich habe in Keepass 229 Einträge und demnach einzelne Passwörter mit einer gewissen Länge. Das schafft meine brain.exe leider nicht.
 
  • Gefällt mir
Reaktionen: McTheRipper
michi.o schrieb:
In C# gibt es das Konzept von Secure Strings. Damit werden Zeichenketten verschlüsselt im Arbeitsspeicher abgelegt.
Sowas muss es doch auch für andere Programmiersprachen geben.
Zum Vergrößern anklicken....
Das kann ich auf Schlag gar nicht sagen. Was man aber von den modernen Betriebssystemen mehr oder weniger gut unterstützt wird sind geschützte Speicherbereiche.
Ein Speicherbereich von Prozess A darf ohnehin nicht von Prozess B gelesen werden. Aber nicht immer reicht das aus, wie eben beim Swapfile-Beispiel.

Das mit den Secure-Strings klingt interessant. Mich würde nur mal interessieren, wie das genau funktioniert. Denn an irgendeiner Stelle musst Du ja mal das Klartextpasswort haben (und zwar dann, wenn der Nutzer es braucht) und dann wirds halt auch wieder potentiell problematisch.
Im ersten Augenblick würde ich also denken, man verlagert das Problem ohne es wirklich zu beheben.
 
robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....

Und dann gibst du die im befallenen Rechner ein und ein Keylogger schreibt mit. Hilft also auch nicht und wenn du was auf den Kopf bekommst, kann auch alles weg sein...
 
  • Gefällt mir
Reaktionen: Smartbomb und shinXdxd
evolute schrieb:
Außer vielleicht unter Folter
Zum Vergrößern anklicken....
Oh-ha. brain.exe hat ne bekannte Sicherheitslücke. Der Exploit "waterboarding" befindet sich bereits seit Jahren im Umlauf ohne das die Lücke gefixt wurde. Skandal. :-)
 
  • Gefällt mir
Reaktionen: Smartbomb, McTheRipper, DerFlaver und 2 andere
hugo1337 schrieb:
Der Entwickler von KeePassXC hat sich dazu bereits geäußert. KeePassXC ist davon definitiv nicht betroffen.

Ich nutze ein Passwort + Keyfile, aber das macht es wohl nicht sicherer. Wer das Passwort aus meinem RAM aus lesen kann, der kann wohl auch das Keyfile auf meiner SSD stehlen :)

Dieses Sicherheitsproblem hat dann aber wohl auch jede andere Software (7-zip, rar, veracrypt,...).
Zum Vergrößern anklicken....
keyfile am besten irgendwo ander unter einem anderen namen speichern, habe ich auch so gemacht
 
robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....

Meiner Meinung nach ist das die mit Abstand unsicherste Methode, da Du Dir sicher nicht zig hochgradig unterschiedliche UND sichere (also mindesten 8 Zeichen + Sonderzeichen) merken kannst. Daher fällt man mit dieser Methode automatisch in ein gewisses Muster, das man lediglich variiert. Ist dieses Muster einmal geknackt, hat der Hacker sämtliche Passwörter.

Ausnahme: Du hast nur 5 Passwörter oder so. Dann meinen herzlichen Glückwunsch. Ich hab jedenfalls fast 100. Keine Chance, die mir zu merken.

Richtig benutzte Passwortmanager bieten den besten Kompromiss zwischen Sicherheit und Komfort.
 
Blumenwiese schrieb:
Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt ;))
Zum Vergrößern anklicken....
Du speicherst deine Passwörter so, dass sie transparent ins Dateisystem deines Rechners eingebunden werden. Daher jede Anwendung mit deinen Nutzungsrechten kommt auf die Datei drauf. Genauso wie das Ding jedesmal Zwischenspeicher landet wenn du deine langen Passwörter kopierst?
Ja klar, das ist sicher :D

Vor allem, kopierst du die Passwörter dann bei jedem Login für Email, Webseiten, Messanger, etc. :D

Cempeg schrieb:
Was ist wenn man sie sich vom Browser (FF) merken lässt?
Kann man die auch irgendwie auslesen?
Bequem ist es ja schon.
Zum Vergrößern anklicken....

Ohne gesetzes Masterpasswort liegen die Passwörter bei FF unverschlüsselt. Mit gesetztem Masterpasswort gibt es Verschlüsselung.

@DocWindows
Und deshalb auch noch die TXT (bzw den Text in der TXT) mit PGP verschlüsseln ;)
Zum Vergrößern anklicken....
Und bei jedem Entschlüsseln liegt das File unverschlüsselt im Speicher und gegebenenfalls auf dem Festspeicher. Das ist 1-2 Größenordnung schlimmer als der Vektor gegen die Passwortmanager

Axendo schrieb:
Meine Passwörter sind als PDF in einem 7z-Archiv mit 16 stelligen AES-256 PW mit Zahlen und Sonderzeichen. Dürfte ähnlich sicher sein...
Zum Vergrößern anklicken....
Nö: https://www.zdnet.de/88269281/freies-packprogramm-7-zip-weist-schwerwiegende-sicherheitsluecken-auf/
Wenn dein verwendetes 7zip diesen Fehler nicht gefixt hat, dann ist der Spaß vergleichsweise unsicher.
Und nur weil ein Passwort lang ist, ist es nicht sicher!
Genauso wie 7zip die entschlüsselten Daten genauso im Arbeitsspeicher liegen hat als auch gegebenenfalls in Form von temporären Files auf den Festspeicher wirft.

Oder kurz: komplett falsche Anwendung für diesen Zweck.


robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....
Grundregel: Mensch kann es sich merken -> Rechner kann es knacken. Passwörter die sich "normale" Menschen merken können sind für Angriffe unterkomplex.

Obligatorisches XKCD ( www.xkcd.com/538 ) :
1550758819510.png
 
  • Gefällt mir
Reaktionen: tek9, Smartbomb, FranzvonAssisi und 6 andere
Magl schrieb:
Warum? Notizbuch, alphabetisch sortiert... fertig.
Zum Vergrößern anklicken....

Der Aufwand übersteigt halt den Nutzen, da die allermeisten Passwörter unwichtig sind. Die wichtigsten Passwörter anhand denen ich alle anderen Passwörter wiederherstellen/ändern kann sind selbstverständlich noch mal separat niedergeschrieben und werden regelmäßig "upgedatet".

@Axendo

So genau kann ich's dir nicht sagen, aber soweit ich weiß nicht. Kannst es ja mal ausprobieren. Selbst wenn die Dateien gelöscht werden, sind sie ja nicht weg und können mit relativ einfachen Mitteln (Tools zum wiederherstellen von gelöschten Dateien) wiederhergestellt werden.
 
Zuletzt bearbeitet:
Also ich hab eh wenig Vertrauen in Passwörter, egal ob da jetzt nen Passwortmanager dahinter ist oder nicht.
Ist der PC mal infiltriert ists doch eigentlich sowieso Jacke wie Hose - da lebe ich lieber nach diesem Prinzip es "den Zettel zu zerschneiden und überall zu verteilen".

Da ist eine 2FA/3FA eig. auch schon das Richtige, Passwort für Konto, Passwort für Email um den Code zu erhalten und am Ende den Code vom Smartphone...
Wenn da der PC mal verunreinigt sein sollte, gibt es wenigstens noch eine andere Hardwarekomponente als letzte "Schutzinstanz".

Habe relativ früh die 2FA lieben gelernt, bei World of Warcraft damals angefangen und als Unwissender auch weil man sichs nicht merken konnte mehrfach das gleiche Passwort genutzt - das Resultat gab es später dann zu sehen.
Aber immerhin ohne zusätzliche Software war mir auch sofort klar, dass meine brain.exe nicht die hellste Birne war und so habe ich jetzt seit Jahren ruhe - wenn dann mal die Mail auftaucht Nutzer X wollte einloggen o.Ä. ist mir klar das Passwort ist schäbig geworden, aber Zugriff gab es dennoch keinen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Googles Passwortmanager - Anzeigen von Passwörtern auf dem Smartphone
Antworten
4
Aufrufe
870
Heinrich_1
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz