ComputerBase Menü
Aktuelles

News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

Mal ehrlich. Der Ansatz ist ja hoffentlich löblich und auch verlockend.
Aber...
Wann immer irgendwer daher kommt und behauptet, ich verwahre Deine Daten sicher für Dich, und so bequem, da gehen bei mir alle Alarmglocken an.
Um so prominenter so ein Tool ist, um so mehr könnte man auch hinter jeden dazu veröffentlichen Artikel dazu schreiben "hack mich".
Je mehr User je mehr lohnt die Arbeit. Und wieviele PW Manager gibt es und wieviele Hacker?
Nach meiner Meinung trifft das aber ebenso auf Clouddienste und ähnliches zu.
 
  • Gefällt mir
Reaktionen: branhalor
emeraldmine schrieb:
Mah lachen ? hehehe...Bitcoin ein Begriff ? Das vergleicht dauernd nur "Schlüssel"..*pollter *
Zum Vergrößern anklicken....
Jub zwei geschachtelte Sha256 Hashes und selbst zur Hochzeit unter der Verwendung des Outputs mehrer Atomkraftwerke überstieg die Komplexität 2^78 nicht(f1). Ein Passwort mit 128bit Länge(f2) allein ist also mindestens 15 Größenordnungen komplexer (oder auch 2^50, also 50fach verdoppelt). Zuzüglich Salz und dem Fakt, dass paranoide Naturen von SHA256 langsam abkommen und aufwendigere Verfahren nutzen.


f1: Komplexität als Größe des möglichen Suchraums unter der Bedingung, dass ich die wüsten Komplexitätsberechnungen bei Bitcoin verstanden habe :D

f2: Hier könnte man jetzt anfangen zu diskutieren wie man die Komplexität von Passwörtern bestimmt. Ob Nun naiv oder unter Anwendung aller möglichen Kniffe, die es Angreifern erlaubt den Suchraum ihrer Angriffe zu reduzieren. Lassen wir das mal lieber...

Ergänzung ()

EvilsTwin schrieb:
Wann immer irgendwer daher kommt und behauptet, ich verwahre Deine Daten sicher für Dich, und so bequem, da gehen bei mir alle Alarmglocken an.
Zum Vergrößern anklicken....
Nutz halt einen PW-Manager der nur lokal arbeitet.
 
Zuletzt bearbeitet:
EvilsTwin schrieb:
Je mehr User je mehr lohnt die Arbeit. Und wieviele PW Manager gibt es und wieviele Hacker?
Zum Vergrößern anklicken....
Mir fallen bestimmt so 10 auf Anhieb ein.

Aber es ist natürlich nicht ganz von der Hand zu weisen. Je verbreiteter ein Passwortmanager ist, desto höher ist das Risiko einzuschätzen, das dieser angegriffen wird. Andererseits sind gerade kleine Projekte nicht so gut getestet und könnten mehr Lücken aufweisen.
Gibt immer ein Für und Wider.

EvilsTwin schrieb:
Nach meiner Meinung trifft das aber ebenso auf Clouddienste und ähnliches zu.
Zum Vergrößern anklicken....
Ja. Bei Clouddiensten ist es ja von vornherein so, das Du gar nicht mehr Herr Deiner Daten bist.
Wobei ne Alternative zu vielen Clouddiensten eben auch ist selber ein Server zu betreiben.
Auch hier gibts ein Für und Wider. Vertrauen in den Cloudbetreiber vs. Vertrauen in die eigenen Fähigkeiten einen Server sicher zu betreiben.
 
  • Gefällt mir
Reaktionen: EvilsTwin
Kacha schrieb:
Nur weil ein anderer Angriffsvektor moeglich ist, soll eine Sicherheitsluecke kein Problem sein? Was in der Studie aufgezeigt wurde sind Basics, die nicht funktionieren. Ein Passwort sollte niemals als Klartext im RAM sein. So etwas darf einfach nicht passieren.
Zum Vergrößern anklicken....

Es ist zumindest in Bezug auf Keepass so nicht richtig, dass hier Basics verletzt werden. Lies dir mal bitte die Stellungnahme dazu durch. Es gibt verschiedene Vorgänge, bei denen es sich nicht einfach vermeiden lässt, dass Tokens im Klartext in den Speicher wandern. Dabei haben dann Windowsprozesse darauf Zugriff und können möglicherweise Kopien erstellen, auf die Keepass dann mit seinem Bereinigungsmechanismus keinen Zugriff mehr hat. Die Autoren empfehlen die Implementierung von Schnittstellen, die das verhindern sollen, die dann aber gleichzeitig selbst wieder verwundbar sind. So einfach, wie du es hier andeutest, ist das nicht.
 
testwurst200 schrieb:
Unter dem Kopfkissen ist es womoglich auch sicherer als der offensichtliche Tresor :)
Zum Vergrößern anklicken....

Ein Einbrecher schaut garantiert unter das Kopfkissen. Einen guter Tresor, den er nicht einfach mitnehmen kann, wird aber bleiben. Er hätte auch gar nicht die Möglichkeit, diesen Vorort in einer anehmbaren Zeit zu öffnen.
 
Wie siehts denn mit den Plugins aus? Wie sicher sind die?

Was ist wenn die Seite aaa.de das Passwort für bbb.de aus Keepass anfordert. Keepass liefert doch ...?
 
@Piak
  1. Die "autosubmit"-Funktion einger Plugins ist durchaus ein Problem
  2. PW-Manager haben in der Regel ein Feld, wo die URL eingetragen werden sollte wo das bestimmte Login wirksam wird. Diese URL sollte man genaust möglich hinterlegen UND dem Passwortmanager so einstellen, dass die URL genau geprüft wird.
Aber es wäre wirklich mal ein Gedanke. Werbung schalten wo Javascript ein Loginprompt anbietet und sowas zB auf computerbase.de schalten.
Hand hoch, wie viele Leute haben autosubmit an und nur *.computerbase.de/* konfiguriert?
 
andy_m4 schrieb:
Die Passwörter. Alphabetisch sortiert. Wie schlau ist das denn. :-)
Zum Vergrößern anklicken....

was willst Du mir sagen? in einem Notizbuch bei mir zuhause.. wieso sollte ich da nicht alphabetisch aufschreiben dürfen? Also bei A z.b. Amazon + Passwort usw...
 
Helge01 schrieb:
Ein Einbrecher schaut garantiert unter das Kopfkissen. Einen guter Tresor, den er nicht einfach mitnehmen kann, wird aber bleiben. Er hätte auch gar nicht die Möglichkeit, diesen Vorort in einer anehmbaren Zeit zu öffnen.
Zum Vergrößern anklicken....
Der Einbrecher hat sich speziell auf diesen einen Tresor vorbereitet weil da muss ja was wertvolles drinnen sein ;)
Das offensichtliche ist nicht immer das Beste
Jetzt verstanden?
 
Also wenn ich den Artikel richtig lese ist KeePass 2.40 betroffen. Ich habe aber bereits seit einiger Zeit (Anfang Januar) die Version 2.41 installiert. Wäre die sicher? Das wird leider nicht im Artikel erwähnt und auch im Changelog zu 2.41 konnte ich so nichts finden.
 
Habe gerade die Antwort von Bitwarden bekommen.

I am happy to answer your question. We do not keep the master password in memory. Your encryption key (which is derived from the master password) is kept in memory while the app is unlocked. This is needed to decrypt data in your vault. When the vault is locked, this data is purged from memory. We do our best to ensure that any data that may be in memory for the application to function is only held in memory for as long as you need it and that memory is cleaned up whenever the application is locked. We consider the application to be completely safe while in a locked state.
Zum Vergrößern anklicken....

Ist jetzt die Frage ob das bei dem Browserplugin auch so ist.Also nochmal eine Mail, oder meint Ihr di Bezeichnen das ganze System als App....immer diese Sprachbarrieren..
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: zett0 und Daniel D.
Keine Ahnung, aber irgendwie kann ich mich mit dem Gedanken eines PW-Managers nicht anfreunden.
Wenn mir ein Passwort geklaut wird ist schlimmstenfalls der eine Account betroffen - falls ich dasselbe PW auf einer anderen Website nutze schlimmstenfalls auch dort, wobei dann auch die Mail-Adresse vonnöten ist.

Ist das eine Master-Passwort vom PW-Manager weg sind alle Accounts hin.
Viele Nutzer von PW-Managern nutzen ja auch die Cloud-Funktionen - und naja, es ist nur ne Frage der Zeit, bis auch PW-Manager-Clouds geknackt werden.
 
  • Gefällt mir
Reaktionen: branhalor
Magl schrieb:
was willst Du mir sagen? in einem Notizbuch bei mir zuhause.. wieso sollte ich da nicht alphabetisch aufschreiben dürfen? Also bei A z.b. Amazon + Passwort usw...
Zum Vergrößern anklicken....
Ja. So herum macht das ja auch Sinn.
Aber mein hätte das was Du gesagt hast auch anders verstehen können.
Also eben nach Passwort sortiert und nicht nach Name des Webdienstes.

Das hab ich dann als Aufhänger für meinen (zugegebenermaßen billigen) Gag genommen.
 
Bitwarden ist z.B auch als "self hosted" Version verfügbar.
So bleibt alles im LAN - zumindest bei mir.Hier ist die Schwachstelle dann wie immer das OS/Browser etc. der Clients oder ich - je nach dem.
 
testwurst200 schrieb:
Der Einbrecher hat sich speziell auf diesen einen Tresor vorbereitet weil da muss ja was wertvolles drinnen sein ;)
Das offensichtliche ist nicht immer das Beste
Jetzt verstanden?
Zum Vergrößern anklicken....

Tresore sollten so beschaffen sein, dass ein Angreifer der alles außer die Kombination / den Schlüssel kennt keinen derartigen Vorteil hat, dass er das Ding nicht ohne auffällig viel Zeit und X-Minuten Zeiteinsatz knacken kann. Genauso wie bei guter Crypto, der Angreifer darf alles bis auf das Passwort wissen. Der Aufwand darf sich dadurch nicht reduzieren.
Wohingegen da Wissen wo etwas versteckt wird genauso leicht bekannt werden sollte die das genaue Modell eines verwendeten Safes. Das nicht sonderlich geheime Wissen erleichtern Angriffe damit deutlich -> Unsicher.

luckysh0t schrieb:
Habe gerade die Antwort von Bitwarden bekommen.

Ist jetzt die Frage ob das bei dem Browserplugin auch so ist.Also nochmal eine Mail, oder meint Ihr di Bezeichnen das ganze System als App....immer diese Sprachbarrieren..
Zum Vergrößern anklicken....
Ob das Masterpasswort oder der abgeleitete Schlüssel bekannt werden ist egal. Mit beiden kommt man an deine Passwörter.
Ein Browserplugin dürfte das Masterpasswort noch den abgeleiteten Schlüssel je zu Gesicht bekommen. Die Plugins sollten nur die gerade angefragten Logindaten im Klartext bekommen. Dabei ist natürlich fraglich, ob diese Klartextdaten von den Plugins zeitnah aus dem Speicher getilgt werden können.
Das ist aber wieder sowas, wenn der Angreifer "beliebig" Speicherzugriff hat, hast der Nutzer sowieso verloren. Egal wie.


iGameKudan schrieb:
Ist das eine Master-Passwort vom PW-Manager weg sind alle Accounts hin.
Viele Nutzer von PW-Managern nutzen ja auch die Cloud-Funktionen - und naja, es ist nur ne Frage der Zeit, bis auch PW-Manager-Clouds geknackt werden.
Zum Vergrößern anklicken....
Passwortdatenbanken sollten nur verschlüsselt in der Cloud sein. Die Verschlüsselung und Passwort müssen dann derart gut sein, dass Angriffe realistisch nicht möglich sind. Da sich der Rahmen der realistischen Angriffe ständig verschiebt sollte man in angemessenen Zeitrahmen entsprechend Passwörter und Verfahren ändern.
Damit du nicht nur auf ein Masterpasswort angewiesen bist gibt es ja 2-Faktorauthentifizierung.
 
Keepas löscht doch nach wenigen Sekunden die Speicherkopie, zumindest bei mir. Ist das kein Standard oder hilft diese Option nicht?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Googles Passwortmanager - Anzeigen von Passwörtern auf dem Smartphone
Antworten
4
Aufrufe
868
Heinrich_1
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz