ComputerBase Menü
Aktuelles

News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

TNM schrieb:
Tja, jetzt stellt sich raus, analog in der Wohnung ist sicherer als digital auf dem kompromitierten Rechner...
Zum Vergrößern anklicken....
Na da kann man ja nur hoffen, das Du Dein analog aufgeschriebenes Passwort niemals in das digitale, potentiell kompromittierte Gerät eingibst.
Wofür man dann noch das Passwort braucht ist dann natürlich die Frage. :-)
 
  • Gefällt mir
Reaktionen: FranzvonAssisi, shinXdxd und Hirtec
Scheint aslo so, dass offene Systeme generell dafür anfällig sind (Admin-Rechte). Also auch macOS und Linux.
k0ntr schrieb:
Unknackbar? Wenn dich die CIA verhört und non stop mit Britney Spears bombardiert
Zum Vergrößern anklicken....
Warum sollte sich die CIA für deine Passwörter interessieren? Die folgenden Worte sind hart: Dein Leben interessiert keinen Geheimdienst und deine Passwörter schon gar nicht. Wir sind nicht im Film, also bitte.:stacheln:
 
andy_m4 schrieb:
Wenn ich regelmäßig beim Online-Banking sehe das da nur irgendwie 6 Zeichen (meist auch ohne Sonderzeichen) erlaubt sind, frag ich mich was so ein Blödsinn soll.
Zum Vergrößern anklicken....

bei meinem online-banking acc wird der zugang nach 3 falschen passworteingaben gesperrt, es würde da theoretisch also auch eine zweistellige PIN für den login ausreichend sicher sein. wenn du das glück hast, die richtige zahl zu treffen darfst du gern auf mein konto schauen :)
ich gehe davon aus dass deine und andere banken ähnliche maßnahmen treffen, ansonsten rate ich dir deine bank zu wechseln.
 
Ich habe diesen Dingern noch nie getraut. Bei mir kommen alle Passwörter in eine ordentlich verschlüsselte ZIP Datei und die ist auf einem USB-Stick den ich nur bei Bedarf anstöpsele. Zu mehr reicht mein Vertrauen da nicht!

robertx6 schrieb:
Meine Passwörter liegen unter brain.exe. Unknackbar.
Zum Vergrößern anklicken....
Da wäre ich vorsichtig. Der sogenannte Demenz-Trojaner kann jeden von uns treffen und eine absolute sichere Firewall dagegen wurde leider noch nicht erfunden. :(
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Christock schrieb:
Unter Annahme dieser Grundregel ist man dann allerdings auch mit einem Passwortmanager unsicher, weil man für dessen Verwendung schließlich auch ein Passwort benötigt, das man sich merken können muss. ;)
Zum Vergrößern anklicken....

Jain.
  1. Sinnvoll nutzt man einen Passwortmanager mit einer 2-Faktorauthentifizierung
  2. Einige Passwortmanager lassen eine Einstellung zu, die bestimmt wie häufig / komplex das Masterpasswort gehasht wird. Bei KeePass ist die Voreinstellung glaub derart, dass mindestens eine Sekunde Rechenzeit auf dem Rechner benötigt wird, auf dem die Datenbank eingerichtet wird. Damit steigt die Zeit zum Knacken von Passwörtern deutlich, da es den Aufwand für Angreifer erhöht. So viel Rechenzeit investieren die meisten Webanwendungen nicht ansatzweise zum Hashen der Passwörter. Entsprechend leichter kann man dan Passwörter auch angreifen.

cor1 schrieb:
Schon klar. Aber 8 Zeichen könnte man sich evtl. noch merken und darum ging's in meinem Kommentar.
Zum Vergrößern anklicken....
Schlechte Empfehlung bleibt schlechte Empfehlung

branhalor schrieb:
Ist richtig - eben, weil es ein System ist. Aber das System als solches muß erstmal jemand knacken und die Logik dahinter erkennen - was bei der Verwendung von Fantasiebezeichnungen[...]
Zum Vergrößern anklicken....
Wenn du dir als Mensch das System merken kannst, ist es schlecht.
Auch bei Phantasiebezeichnungen. Du als Mensch wirst immer Muster generieren. Dinge die Menschen generieren und sich merken können weißen in der Regel die Muster natürlicher Sprache auf. Das Anwenden dieser Muster beim Cracken von Passwörtern kann die Komplexität des Angriffs deutlich reduzieren.
 
  • Gefällt mir
Reaktionen: Christock
robertsonson schrieb:
bei meinem online-banking acc wird der zugang nach 3 falschen passworteingaben gesperrt,
Zum Vergrößern anklicken....
Ja super. Da braucht also nur irgendein Scherzkeks 3 mal ne falsche PIN eingeben und ich komm nicht mehr ins System.
Ergänzung ()

klinkistlink schrieb:
Ich habe diesen Dingern noch nie getraut. Bei mir kommen alle Passwörter in eine ordentlich verschlüsselte ZIP Datei und die ist auf einem USB-Stick den ich nur bei Bedarf anstöpsele. Zu mehr reicht mein Vertrauen da nicht!
Zum Vergrößern anklicken....
Das klingt super sicher. Was kann da noch schiefgehen. :-)

(Tipp: Du hättest den Thread lesen sollen)
 
  • Gefällt mir
Reaktionen: .fF und klinkistlink
Kacha schrieb:
Ich finde es beunruhigend wie sehr das ganze hier einfach abgetan wird. Admin Rechte zu erlangen mag schwieriger sein, ja, aber es ist moeglich und vor allem ist es moeglich, dass das ohne Wissen des Nutzers geschieht.
Zum Vergrößern anklicken....

Hier wird ein Szenario zugrunde gelegt, bei dem du in jeden Fall ein Problem hast, unabhängig von der Frage, wie du mit deinen Passwörtern verfährst. Gegen das Szenario, dass ein Angreifer über Admin-Rechte verfügt, können Passwortmanager schon deswegen nicht sicher sein, weil ein Keylogger auch einfach dein Masterpasswort abgreifen kann, während du es eintippst. Das ist in etwa so, als bemängelte man, dass ein Haustürschloss nicht vor dem Einbrecher schützen kann, der sich schon einen Tunnel in den Keller gegraben hat.
 
  • Gefällt mir
Reaktionen: Smartbomb
Blutschlumpf schrieb:
Wenn jemand Admin-Zugriff auf den Rechner hat und die Keepass-Datei mit dem passenden pw entsperrt wurde, würde ich eh nciht mehr von Sicherheitlücken reden.
Zum Vergrößern anklicken....
Irgendwie ja doch. Aber mit dem Administrator Kennwort kann man eh mehr machen. Es bleibt aber eine Lücke.
 
klinkistlink schrieb:
Ich habe diesen Dingern noch nie getraut. Bei mir kommen alle Passwörter in eine ordentlich verschlüsselte ZIP Datei und die ist auf einem USB-Stick den ich nur bei Bedarf anstöpsele. Zu mehr reicht mein Vertrauen da nicht!
Zum Vergrößern anklicken....
Du gehst davon aus, dass das Programm welches du zum zippen nutzt die Crypto ordentlich macht, beim Entpacken keine temporären Dateien mit dem entschlüsseltem Inhalt ablegt und nach erldeigter Arbeit das zip-Programm alle Speicherbereiche überschreibt wo Klartextdaten vorlagen?
Dagegen sind Passwortmanager doch 1-2-3 Schritte weiter und paranoider :D

Abgesehen davon, gescheite Passwortmanager nutzen 2-Faltorauthentifizierung. Angriffe auf die Datenbank sind damit weit schwerer als das knacken eines verschlüsselten Archivs wo sich der Mensch das Passwort merkt.
 
  • Gefällt mir
Reaktionen: Hirtec und klinkistlink
andy_m4 schrieb:
Ja super. Da braucht also nur irgendein Scherzkeks 3 mal ne falsche PIN eingeben und ich komm nicht mehr ins System.
Zum Vergrößern anklicken....

stimmt. bei der bank anrufen und wieder freischalten lassen, als idee?
ist ja nicht so dass die bank dann sofort dein konto auflöst und dein guthaben von den bankstern weggekokst wird ;)
 
  • Gefällt mir
Reaktionen: Daniel D.
tja leider..sobald jemand Zugriff auf die Kommandkonsole hat, ist das Passwort+Zugang schon "verloren".
Windoof natürlich.
 
Dass Passwortmanager unnuetz/unsicher sind, hatte ich schon immer angenommen.

Wer sich auf Internet-/Cybersecurity verlaesst, der ist wohl verlassen ... richtig sensitive Daten haben auf einem (internetvernetzten) PC bei mir schon immer nichts verloren gehabt und bisher fahre ich damit ganz gut.

Technik ist eben nicht immer ein Segen ;) ...
 
usb2_2 schrieb:
Irgendwie ja doch. Aber mit dem Administrator Kennwort kann man eh mehr machen. Es bleibt aber eine Lücke.
Zum Vergrößern anklicken....
Fakt ist, um irgendwas zu entschlüsseln muss der Schlüssel irgendwo im Speicher im Klartext liegen. Admin / root kann immer Speicherdumps ziehen.
Oder anders: Gegen Angreifer die eskalierte Rechte haben, ist kein Kraut gewachsen.

Einzig kann man erwarten, dass Programme deren Datenbank gesperrt wurde den Speicherbereich den sie vorher mit den Inhalten der Datenbank vollgeschrieben haben sauber überschreiben.

@Chismon
Du verstehst Passwortmanager und die Angriffsvektoren nicht, ich möchte dich trotzdem zu deiner Meinung gratulieren!
 
  • Gefällt mir
Reaktionen: trpna und .fF
andy_m4 schrieb:
Oh-ha. brain.exe hat ne bekannte Sicherheitslücke. Der Exploit "waterboarding" befindet sich bereits seit Jahren im Umlauf ohne das die Lücke gefixt wurde. Skandal. :-)
Zum Vergrößern anklicken....

Man vergesse nicht die andere schleichende Methode "Demenz".

Und im Ernst: Wenn alle Passwörter im Kopf sind, ist die Wahrscheinlichkeit hoch, dass Passwörter doppelt verwendet werden. Hier erhöht sich die Wahrscheinlichkeit, dass Passwörter im Netz landen, weil auf irgendeiner Seite die Sicherheit nicht so hoch ist, siehe Collection1-5 etc.
 
Piktogramm schrieb:
Du gehst davon aus, dass das Programm welches du zum zippen nutzt die Crypto ordentlich macht, beim Entpacken keine temporären Dateien mit dem entschlüsseltem Inhalt ablegt und nach erldeigter Arbeit das zip-Programm alle Speicherbereiche überschreibt wo Klartextdaten vorlagen?
Zum Vergrößern anklicken....
Danke dafür, dass du eben mein (bisher vorhandenes) Sicherheitsgefühl erfolgreich zerstört hast! 🤨
 
@klinkistlink
Du hast ein Sicherheitsgefühl? Im Jahre 2019?
Ich biete Therapiesitzungen an! Das muss schnellsten abgestellt werden!
 
  • Gefällt mir
Reaktionen: Smartbomb, Helge01, emeraldmine und eine weitere Person
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Googles Passwortmanager - Anzeigen von Passwörtern auf dem Smartphone
Antworten
4
Aufrufe
868
Heinrich_1
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz