News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

[Aufwachen]

Cracker haben sich längst darauf spezialisiert. Die Behörden auch.

 

[Rumpel99]

Und wie sieht es mit Passwörtern in Chrome aus?
Gibt es da auch einen Passwortschutz wie bei FF? Chrome so sicher wie ein Passwort Manager oder besser doch so einen nutzen?

Danke

 

[Arcturus128]

Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt )

Und die Daten liegen dann niemals unverschlüsselt im RAM? Irgendwie muss du sie doch entschlüsseln.

Meine Passwörter liegen unter brain.exe. Unknackbar.

Wie schaffst du das denn? Also für mich ist die Fülle an Passwörtern die man so benötigt völlig unmöglich zuverlässig im Kopf speicherbar.

 

[scryed]

Ich weiss gar nicht warum man nach ..... Admin Rechte bzw Zugang zum Rechner durch dritte noch weiter diskutiert , ob man dann einen Password Manager nutzt oder Heidi in den Bergen jodelt völlig wumpe oder egal

Person x hat Zugriff auf dem Rechner alles andere danach ist doch irrelevant ...


Jedenfalls für mich nur ein Versuch passwordmanager schlecht zureden

 

[killertomate285]

Mhm.... ich habe hier jetzt viel mit gelesen und muss zu geben das ich für meine ca 30 Logins insgesamt nur 4 verschiedene Passwörter benutze welche ich mir aber in Kopf behalte. Ich frag mich immer wie ihr das macht mit so vielen verschiedenen Passwörtern....

Hab jetzt nicht nachgeforscht aber gibt es für Android einen Passwort Manager welcher die Passwörter automatisch einträgt, z.b. im Firefox oder auch in Apps?
Oder muss ich in den Manager gehen, dort das Passwort kopieren und dann per Hand einfügen?

Unter Windows ist es kein Problem das das automatisch geht...

Ich denke, ich sollte meine Passwörter mal langsam ändern und zwar für alle Logins. Gibt es dafür eigentlich Software welche das übernimmt? Bis ich meine 30 Passwörter von Hand geändert habe, sind bestimmt viele Stunden vergangen.

 

[Zac4]

Wenn Keepass2 allgemein sicherer wird würde ich mich drüber freuen. Das teil würde ich nicht mehr missen wollen^^

Kepass ist sicher, dieser troy hunt hat keepass nur nicht richtig konfiguriert.

Extras->Optionen->Sicherheit-> nach angegebener Zeit Programm Beenden, anstatt die Arbeitsfläche zu sperren
Extras->Optionen->Sicherheit-> Immer beenden anstatt die Arbeibtsfläache zu sperren.

 

[Schrammler]

Irgendwann kommt der Typ der behauptet "Ich verwende seit 20 Jahren PW-Manager und mir ist noch keines geklaut worden".

Den mag es auch geben, aber alleine die Chance durch PW-Manager seiner Passwörter entledigt zu werden, würde ich höher einstufen. Mal ehrlich: Welchem IT-Softwareanbieter würde man seine gesamten PW anvertrauen?

Nur weil etwas schon lange so ist, wie es ist, heißt nicht dass es automatisch gut ist. Der Mensch hat auch mehrere Jahrzehnte in Höhlen gewohnt.

Der Mensch hat zehntausende von Jahren in Höhlen gewohnt, deutlich länger als in gemauerten Häusern..

Und an alle die noch Papier verwenden: Habt ihr auch Passwörter die länger als 40 Zeichen sind oder gar 100+? Und zwar wirklich Pseudozufällge? Ich meine jetzt nicht Diceware.

Wozu brauche ich die als Privatmann? So wichtig sind meine Daten nun auch wieder nicht.
Ich könnte mir auch ein Konzept mit 20+ stelligen PW überlegen, für das ich noch nicht einmal einen Zettel brauche, der ist bei meinen PW aber die schnellere Lösung.

Ich denk da grad noch an eine tolle Sache:
Ihr habt doch auch nicht euer Geld zuhause versteckt sondern die Meisten lagern es vermutlich bei EINER Bank und fürchten sich auch nicht dauernd davor, dass jemand das Konto leerräumt.

Aus Prinzip müsste ich mein Geld in Gold umwandeln und hier im Haus (oder Garten) verstecken oder in Immobilien oder Gründstücke investieren, aus Bequemlichkeit mache ich es jedoch nicht. Banken heutzutage blind zu vertrauen ist sehr naiv. Wenn das System richtig crasht, ist die Kohle weg und auch die Bundesregierung wird das nicht mehr unterbinden können.

 

[robertx6]

Cracker haben sich längst darauf spezialisiert.

Mit Salz oder ohne ?

 

[Zac4]

Länger als 40, sehr viele. Über 100 ist nichts.
Abgesehen von einigen weitgehend Unbedeutenden sind sie (pseudo)zufällig.


Weder noch.


So auch das Masterpasswort/Keyfile der allermeisten gängigen Manager womit der Angreifer den Jackpot gezogen hätte.

Bei Keepass ist das nicht möglich, wenn man die Option "Hauptschlüssel auf sicheren desktop eingeben" wählt.
Da kann keiner was abgreifen auch nicht wenn der Angreifer dein system mit Admin rechten infiltriert hat und einen keylocker oder sonsige lässt.

Ein "Sicherer Desktop" ist ein Desktop, der nur vom System selbst ausgeführt werden kann. Das klingt ein wenig seltsam lässt sich aber einfach erklären.

Ein Sicherer Desktop ist ein Desktop, der außerhalb des Bereichs der Zugänglichkeit anderer Anwendungen liegt.
Der Anmelde-Desktop ist z.B ein sicherer Desktop (erstellt von winlogon.exe), ebenso wie der UAC-Desktop. Kein anderer Prozess kann mit dem Desktop interagieren, daher kann kein anderer Prozess Dinge wie das Aktivieren einer Schaltfläche oder das Lesen des Inhalts einer Textbox durchführen.

 

[TrueAzrael]

ist am ende der gute alte stift und zettel unter der tastatur sicherer als alles andere?

Meine Passwörter liegen unter brain.exe. Unknackbar.

Unter den gegebenen Umständen ein klares "Nein!"
Wenn der Hacker Adminzugriff am Rechner hat, sind deine Passwörter spätestens dann geknackt wenn du sie am Rechner eingibst, egal wo sie zuvor gespeichert waren.
Steht auch im Artikel, dass ein Hacker mit Adminzugriff wohl eher mit einem simplen Keylogger agieren wird, als aufwändig Bits im Speicher zu durchkämmen...

 

[SheepShaver]

Meine Passwörter liegen unter brain.exe. Unknackbar.

Na dann schauen wir Mal, was deine Brain.exe zu Kneifzange und co. sagt.

 

[Zac4]

Unter den gegebenen Umständen ein klares "Nein!"
Wenn der Hacker Adminzugriff am Rechner hat, sind deine Passwörter spätestens dann geknackt wenn du sie am Rechner eingibst, egal wo sie zuvor gespeichert waren.
Steht auch im Artikel, dass ein Hacker mit Adminzugriff wohl eher mit einem simplen Keylogger agieren wird, als aufwändig Bits im Speicher zu durchkämmen...

Selber Nein.

Der Artikel hat nur an der Oberfläche gekratzt und kennt auch nicht die Zwei-Kanal Auto-Type-Verschleierung.

KeePass kopiert dann nämlich nicht das Passwort im Klartext in den Zwischenspeicher, um es dann in das Passwortfeld einzufügen, sondern simuliert einen [Strg]+[c]-Tastenschlag, um dann in das Passwortfeld ein [Strg]+[v] zu schicken. Zusätzlich speichert es diverse Hin- und Herhüpfer per Pfeiltasten, um zusätzlich Verwirrung zu stiften. Der Keylogger kann nur diese [Strg]-Befehle mitloggen und somit nicht das Passwort im Klartext sehen.

 

[TrueAzrael]

@Zac4 was hat jetzt KeePass damit zu tun, dass bei Passwörtern im Kopf (brain.exe) und Passwörtern auf nem Zettel ein Keylogger problemlos funktioniert?

 

[SheepShaver]

Schon klar. Aber 8 Zeichen könnte man sich evtl. noch merken und darum ging's in meinem Kommentar.

Es ist hinlänglich erwiesen, dass lange Passwörter >20 Zeichen, die aus einer Konketanation normaler Wörter bestehen, sicherer sind als 8 stellige Passwörter, die so aufgebaut sind, dass man sie sich merken kann, Sonderzeichen hin oder her.

 

[luckysh0t]

@Piktogramm

Und hier ist schon die nächste Antwort von Bitwarden.

Sorry for the confusion, I say "app" but I meant in general, all of the Bitwarden clients. Basically, it behaves the same in all of the clients. Yes, Web Browers all handle this a little differently but from a high level our logic hands off the reads and writes to the browsers in the same manner.

Bitwarden clears any sensitive cached vault data, as well as encryption keys from memory whenever the application enters a locked state. We also reload the application's renderer process after 10 seconds of inactivity on the lock screen to make sure any managed memory addresses which have not yet been garbage collected are also purged.

Sagt ja viel aus, allerdings dürfte dass ganze ja im Code stehen - ist ja open source (Ist auf Github).
https://bitwarden.com/ Die bieten ein ganzes Wohfühlpaket an.Desktopprogramm, Plugin (ist übrigens in Angular geschrieben, gelesen habe ich es schon, aber sagt mir sonst nichts weiter)), mobile Apps und eben auch die Option das ganze selbst zu betreiben.

 

[Kacha]

@Kacha
So viele Fehler...
Wenn du mit einem Public Key verschlüsselst ist damit KEINE Authentifizierung möglich. Public Keys kann jeder haben. Authentifizierung ist erst möglich wenn der Sender mit seinem privaten Schlüssel signiert.
Damit eine Signatur möglich ist, muss der entsprechende private Schlüssel unverschlüsselt im Speicher liegen.
Ebenso bei Passwörtern, damit Passwörter übermittelt werden können müssen diese im Klartext vorliegen. Bei Computern liegen sie damit zwangsweise im Speicher. Genauso wie sie beim Browser wenn man sie in eine Eingabemaske eintippt im Klartext im Speicher liegen bevor sie übermittelt werden.

Sichere Methoden die praktikabel mit herkömmlicher Hardware abbildbar sind würde die Welt gern sehen. Eine gute Methode um sehr schnell sehr vermögend zu werden!

Natuerlich meinte ich Pub/Priv Key, ich dachte das waere klar da wir hier in einem Technikforum sind. Anscheinend ist dem nicht so. Und keine Angst, mir ist durchaus bewusst wie es funktioniert.

OK, nehmen wir an du hast recht. Warum liegen sie dann im Klartext im RAM vor wenn man sie nicht braucht? Dann sollte das mindeste doch sein, dass Passwoerter nur im RAM liegen, wenn sie wirklich gebraucht werden. Also, man will es eingeben, dann wird das verschluesselte Passwort in den RAM geladen und dann entschluesselt direkt an den Prozess gegeben und danach sofort gepurged. Nicht ganz so schwer, aber anscheinend schwer genug.

Keine Frage. Das ist aber auch gar nicht der Punkt. Der Punkt ist, das Einige gleich den Untergang des Abendlandes beschwören.
Die andere Sache ist, das man leider mit Fehlern rechnen muss.
Kein Weg wird 100%ige Sicherheit bieten. Von daher kann man pragmatischerweise nur die Hürden so hoch wie möglich legen. Und wenn Passwortmanager sich dafür als geeignetes Werkzeug herausstellen, dann gehören die eben auch dazu.


Die spannende Frage ist halt, wie man das machen soll. Spätestens wenn der Nutzer das braucht, um es beispielsweise in seinem Browser einzufügen muss es irgendwie klartextmäßig vorhanden sein. DU kannst die Zeitspanne kurzhalten. Du kannst die Zugriffsmöglichkeiten minimieren. Aber verhindern kannst Du es nicht.

Dann ist ein Passwortmanager aber schon by Design fehlerhaft und deswegen nicht zu empfehlen. Wenn eine Anwendung nur funktioniert, wenn sie unsicher ist, dann ist die Anwendung wirklich ein Problem.

Ja. Ich hatte ja schon selbst zu passwordless etwas gesagt. Nur hilft das dem Nutzer der Dienst XYZ nutzt aber eben nur Passwörter anbietet eben nicht weiter. Dem bleibt nur auf den Dienst zu verzichten oder sich mit Passwörtern zu arrangieren. Und wenn er sich für letzteres entscheidet, dann musst Du den Unzulänglichkeiten die das Passwortkonzept hat nun mal begegnen. Da nützt es ja nix zu sagen: Ich machen gar nix weil ich kriegs eh nicht sicher.

Dann muss von Nutzern mehr Druck aufgebaut werden. Und vor allem muss eine Sensibilitaet fuer Sicherheit entstehen. Die wird aber nicht kommen, wenn man, wie im Artikel, die Luecken runterspielt.

Das habe ich so nicht gesagt. Ich denke letztlich braucht man ein ganzes Bündel an Sicherheitsmaßnahmen, weil man sich eben auch nicht darauf verlassen kann das jede Sicherheitsmaßnahme auch greift und es nicht doch mal durch einen Bug, Fehlbedienung etc. zu einem Sicherheitsproblem kommen kann.


Es gibt viele Bugs die eigentlich nicht passieren dürfen und doch sind sie regelmäßig zu bestaunen. Mir wärs auch lieber, wir hätten sichere Software. DOch den Status haben wir nun mal (noch) nicht. Und das Beste was ich machen kann ist mir dessen bewusst zu sein und aktiuv darauf zu reagieren, um damit umzugehen. Also genau das Gegenteil von Deinem unterstellten iss ja alles nicht so schlimm.

Natuerlich koennen Bugs vorkommen. Aber Entwickler und Unternehmen muessen dafuer abgestraft werden wenn diese Bugs sicherheitsrelevant sind. Es wird nur etwas geaendert wenn das Auslassen der Aenderung weh tut.

Ich sag mal so: Wenn die Schadsoftware auf Deinem Rechner ist, ist das eh schon der GAU. Und mit Adminrechten sowieso. Schon das darf nicht passieren.
Klar. Wird man aus den genannten Gründen auch nicht ausschließen können, weshalb Du Recht hast das solche Lücken in einer Software nicht sein sollten gemäß überschneidender Sicherheitsmaßnahmen die sich gegenseitig decken.
Dennoch ist halt hier der große Punkt des infiziertwerdens. Das ist halt ne ganz wichtige Sache. Darauf sollte die Hauptkonzentration liegen, weil damit viel steht und fällt. Der Passwortmanager sollte auch sicher sein. Klar. Aber das wiegt halt in der Gesamtbetrachtung nicht so schwer wie infektionsfrei zu bleiben.

Du gehst davon aus, dass man notwendigerweise Adminrechte braucht und etwas auf dem Rechner. Ja, die Forscher haben es so aufgesetzt, aber in Kombination mit anderen Luecken kann es schnell gefaehrlich werden. Falls das ganze ueber infizierte Adds ausgefuehrt werden kann, dann brauchst du nicht mal was auf deinem Rechner.

Das Problem mit Hauptkonzentration auf etwas anderes ist, dass es dann doch aus dem Fokus verschwindet. Natuerlich sollte ein Betriebssystem danach streben sicher zu sein, aber jedes Programm eben auch. Und so wie es hier im Thread zu hoeren ist, wird es doch runter gespielt, weil man braucht ja Adminrechte. So findet keine Sensibilisierung statt.

Um in dem Bild zu bleiben:
Dennoch kann es sinnvoll sein erstmal die Seitenwände zu erhöhen, wenn über rüberschwappende Wellen mehr Wasser ins Boot läuft als durch das Leck.
Das heißt ja nicht, das das Leck zu stopfen nicht sinnvoll ist. Das heißt nur, das im Augenblick ne andere Maßnahme sinnvoller/wirksamer ist.

Dann ist es doch super, dass es unterschiedliche Unternehmen sind und beides sofort angegangen werden kann ohne, dass man das eine bevorzugt.

Es ist zumindest in Bezug auf Keepass so nicht richtig, dass hier Basics verletzt werden. Lies dir mal bitte die Stellungnahme dazu durch. Es gibt verschiedene Vorgänge, bei denen es sich nicht einfach vermeiden lässt, dass Tokens im Klartext in den Speicher wandern. Dabei haben dann Windowsprozesse darauf Zugriff und können möglicherweise Kopien erstellen, auf die Keepass dann mit seinem Bereinigungsmechanismus keinen Zugriff mehr hat. Die Autoren empfehlen die Implementierung von Schnittstellen, die das verhindern sollen, die dann aber gleichzeitig selbst wieder verwundbar sind. So einfach, wie du es hier andeutest, ist das nicht.

Dann muss man die Bereithaltung des Klartexts auf ein absolutes Minimum reduzieren. Das scheint aber eben nicht der Fall zu sein bei einigen der getesteten Programme. Wenn man eine Software anbietet, deren Ziel es ist die Sicherheit zu erhoehen, dann wird man nun mal am Sicherheitsaspekt gemessen. Zu sagen, ja, das ist gar nicht so einfach, hilft in dem Fall null. Wenn man keine sichere Loesung anbieten kann, dann sollte man es lassen.

 

[Hirschschnaps]

Was mich mal interessieren würde wie "anfällig" sind solche Passwortmanager denn z.B. bei einem Festplattencrash? Im Endeffekt wird dadurch ja noch eine gefährliche Unbekannte hinzugefügt.

 

[Chismon]

... auf welchem Rechner logge ich mich dann beim online-banking ein wenn auf PCs mit Internetverbindung nichts sensibles drauf sein darf?

Am besten gar kein Online-Banking, aber wenn doch, hast Du doch den TAN-Generator, ohne welchen zumindest bei meiner Bank eigentlich wenig geht, ausser man will die Daten abrufen/kopieren.

Letzteres wäre aber eher unspektakulär bei mir, da ich zu wenig biete/besitze .

Das eine Passwort wird man sich wohl merken können (mehr als einen Online-Banking Zugang braucht's i.d.R. auch nicht), einen Passwort-Manager braucht's daher eigentlich nicht.

 

[raidenone]

Was mich mal interessieren würde wie "anfällig" sind solche Passwortmanager denn z.B. bei einem Festplattencrash? Im Endeffekt wird dadurch ja noch eine gefährliche Unbekannte hinzugefügt.

was meinst du damit?

 

[Hirschschnaps]

was meinst du damit?

Na werden die Passwörter nicht im Prinzip verschlüsselt auf der Festplatte gespeichert? Wenn diese nun ausfällt bzw. Teile davon unlesbar werden, hat man doch völlig ohne fremden Zugriff alle Passwörter verloren. Also im Prinzip auf eine trügerische Sicherheit gesetzt?
Natürlich, man kann Backups machen, aber eine simple Textdatein auf einem USB-Stick im Schrank erfüllt dann doch den selben Zweck. Zumindest bei einer Privatperson dürfte das auch nicht "gefährlicher" sein. Oder übersehe ich etwas?