News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

[robertx6]

Unter den gegebenen Umständen ein klares "Nein!"
Wenn der Hacker Adminzugriff am Rechner hat, sind deine Passwörter spätestens dann geknackt wenn du sie am Rechner eingibst, egal wo sie zuvor gespeichert waren.
Steht auch im Artikel, dass ein Hacker mit Adminzugriff wohl eher mit einem simplen Keylogger agieren wird, als aufwändig Bits im Speicher zu durchkämmen...

Und nochmal -welcher Hacker ? a gibts bei mir keinen und gabs nie einen und b bin ich zu unwichtig. Und selbst wenn -wayne ? Bei mir ist nichts wichtiges online wie bereits erwähnt.
Wirklich relevant sind doch nur gespeicherte Zugangsdaten bei allen möglichen Onlinediensten ,das sind doch die wirklichen Sicherheitsrisiken ,sieht man jeden Tag neu in den Nachrichten.

 

[raidenone]

Na werden die Passwörter nicht im Prinzip verschlüsselt auf der Festplatte gespeichert? Wenn diese nun ausfällt bzw. Teile davon unlesbar werden, hat man doch völlig ohne fremden Zugriff alle Passwörter verloren. Also im Prinzip auf eine trügerische Sicherheit gesetzt?
Natürlich, man kann Backups machen, aber eine simple Textdatein auf einem USB-Stick im Schrank erfüllt dann doch den selben Zweck. Zumindest bei einer Privatperson dürfte das auch nicht "gefährlicher" sein. Oder übersehe ich etwas?

Also im Fall von Bitwarden (welches ich benutze) ist es so, dass die Passwörter auf einem Cloud Server gespeichert werden. Natürlich verschlüsselt. Das dürfte bei den anderen PW Managern nicht anders sein. Falls du genauere Infos suchst, siehe https://help.bitwarden.com/security/

 

[yamyamyup]

@robertx6

Ich weiß nicht so recht, kommt dir beim genauen Nachdenken nicht mindestens eine Sache die dir doch irgendwie "wichtig" ist und die du nicht in "fremden Händen" sehen willst?
Also ich denke wer heute wirklich gar nichts "wichtiges" irgendwo im Netz hat muss schon Glück haben oder auf vieles "verzichten". Sei es nun auf Onlinebanking, Paypal oder generell Onlinehandel.
Fast jeder hat doch einen Emailaccount, Spieleaccounts, vielleicht einen Dropboxlogin (wo vielleicht eine Doktorarbeit oder ein Projekt liegt) oder irgendwelche anderen mehr oder weniger wichtigen Verknüpfungen im Netz. Also beim genauen Nachdenken kommen mir da immer mehr Dinge in den Kopf die ich in Sicherheit wissen möchte. Im Prinzip fängt es doch schon bei Identitätsdiebstahl an.
Ich bin nun auch keine "wichtige Person".
Aber die "Wichtigkeit" deiner Person ist einem Hacker mit "Zerstörungswut"auch völlig Wumpe, der trollt dann eben gern - weil er es kann.

 

[Bibi8]

Hier noch die relevanten Infos zum Open Source fSekrit, das mit meinen Passwörter auf einem USB Stick liegt:

Another advantage of using fSekrit is that your un-encrypted data is never stored on your harddisk. With a traditional encryption utility you would have to decrypt your file to disk, view or edit it, and then re-encrypt it. Unless you use secure file wiping tools, it would be a trivial matter for someone to retrieve your un-encrypted data, even though you deleted the temporary file. This is not a viable attack against fSekrit, though, since it never stores your un-encrypted data on disk. (See security notes about swapping and hibernation, though!)
fSekrit uses very strong encryption to ensure that your data is never at risk. Rather than using hocus-pocus home-brewed algorithms, fSekrit uses the standard, military grade, peer-reviewed AES/Rijndael in CBC mode, with a 256-bit keysize.

 

[robertx6]

@robertx6

Ich weiß nicht so recht, kommt dir beim genauen Nachdenken nicht mindestens eine Sache die dir doch irgendwie "wichtig" ist und die du nicht in "fremden Händen" sehen willst?
Also ich denke wer heute wirklich gar nichts "wichtiges" irgendwo im Netz hat muss schon Glück haben oder auf vieles "verzichten". Sei es nun auf Onlinebanking, Paypal oder generell Onlinehandel.
Fast jeder hat doch einen Emailaccount, Spieleaccounts, vielleicht einen Dropboxlogin (wo vielleicht eine Doktorarbeit oder ein Projekt liegt) oder irgendwelche anderen mehr oder weniger wichtigen Verknüpfungen im Netz. Also beim genauen Nachdenken kommen mir da immer mehr Dinge in den Kopf die ich in Sicherheit wissen möchte. Im Prinzip fängt es doch schon bei Identitätsdiebstahl an.
Ich bin nun auch keine "wichtige Person".
Aber die "Wichtigkeit" deiner Person ist einem Hacker mit "Zerstörungswut"auch völlig Wumpe, der trollt dann eben gern - weil er es kann.

Alles unwichtig unterm Strich ,und beim Onlinebanking könnte er mit meinen Zugangsdaten auch nichts anstellen weil die Tan für jede Transaktion neu generiert wird und nur an meine Handynummer gesendet wird.

 

[andy_m4]

Dann ist ein Passwortmanager aber schon by Design fehlerhaft und deswegen nicht zu empfehlen.

Wenn Du Dein Passwort von Hand eintippst ist es auch in dem Augenblick im Klartext im RAM.
Also ist Passworteingabe nicht zu empfehlen. Oder wie?

Dann muss von Nutzern mehr Druck aufgebaut werden. Und vor allem muss eine Sensibilitaet fuer Sicherheit entstehen.

Klar wäre das gut. Aber Druck von Nutzern kannst Du vergessen. Dafür sind die Benutzer zu bequem. Sieht man ja auch immer wieder regelmäßig an den Hitlisten der meist verwendeten Passwörter. Jemand der password als Passwort verwendest von dem erwartest Du, das er Druck auf die Hersteller macht? :-)
Wie ich schon in einem anderen Posting anmerkte. Vielleicht ist ja auch das Konzept mit den Passwörtern suboptimal.

Natuerlich koennen Bugs vorkommen. Aber Entwickler und Unternehmen muessen dafuer abgestraft werden wenn diese Bugs sicherheitsrelevant sind.

Wir können uns natürlich lang und breit darüber unterhalten, was wir alles haben möchten um es sicherer zu haben. Und in den meisten Punkten würden wir sogar übereinstimmen. Das hilft mir aber erst mal nicht im hier und jetzt.

Abstrafen könnte man die Unternehmen auch schon, indem man ihre Software nicht einsetzt. Man könnte stattdessen auf Sicherheit getrimmte Systeme setzen wie z.B. HardenedBSD oder OpenBSD.
Und? Wird das im signifikanten Umfang gemacht?

Du gehst davon aus, dass man notwendigerweise Adminrechte braucht und etwas auf dem Rechner.

Nein. Gehe ich nicht.

Das Problem mit Hauptkonzentration auf etwas anderes ist, dass es dann doch aus dem Fokus verschwindet.

Na das ist Blödsinn. Aber man hat hat halt nur begrenzt Ressourcen und Zeit, also macht man natürlich bevorzugt an den Stellen was, wo es am meisten bringt.
Bei einem baufälligen Haus fängst Du ja auch nicht an zu tapezieren, sondern siehst zu, das Du das Mauerwerk stabilisiert kriegst.

Dann muss man die Bereithaltung des Klartexts auf ein absolutes Minimum reduzieren. Das scheint aber eben nicht der Fall zu sein bei einigen der getesteten Programme.

Ja. Scheint wohl nicht so zu sein.

Wenn man eine Software anbietet, deren Ziel es ist die Sicherheit zu erhoehen, dann wird man nun mal am Sicherheitsaspekt gemessen.

Klar.

Zu sagen, ja, das ist gar nicht so einfach, hilft in dem Fall null. Wenn man keine sichere Loesung anbieten kann, dann sollte man es lassen.

Ob das besser ist, wage ich zu bezweifeln.
Hier sieht man ja viele Postings a-la Passwortmanager sind schei*e. Nie wieder Passwortmanager usw. und das Ende vom Lied ist, das die Leute dann als Lösung irgendwie eine passwortgeschützte Excel-Datei präsentieren. Ja super.
Passwort-Manager mögen nicht perfekt sein, aber besser als solche Selbstbastellösungen sind sie allemal.

 

[Forum-Fraggle]

Nochmal die Frage nachgereicht, weiß jemand ob der Test mit aktivierter Option PW aus Speicher löschen nach x Sekunden durchgeführt wurde?

 

[K7Fan]

Da kann keiner was abgreifen auch nicht wenn der Angreifer dein system mit Admin rechten infiltriert hat und einen keylocker oder sonsige lässt.

Interessant, wie gelangst Du zu dieser -sogar der offiziellen Keepass Seite widersprechenden- Aussage?
Zitat von keepass.info:

Although most keyloggers do not work on KeePass' secure desktop, keyloggers can be developed to also work on it.

Wenn der Angreifer schon Admin Rechte hat kann er alles Mögliche anstellen, zum Beispiel (nahezu) beliebigen Speicher auslesen oder einen modifizierten Tastaturtreiber installieren. Oder aber einfach Keepass und/oder SD selbst so modifizieren dass es jedes Passwort im Klartext in eine Textdatei speichert, übers Netzwerk schickt,...was auch immer.

Ist das System einmal derartig kompromittiert hilft kein sicherer Desktop der Welt mehr.

 

[Kacha]

Wenn Du Dein Passwort von Hand eintippst ist es auch in dem Augenblick im Klartext im RAM.
Also ist Passworteingabe nicht zu empfehlen. Oder wie?

Im Prinzip, ja. Passworteingabe ist sicherheitstechnisch grauenvoll. Aber es ist mitunter die einfachste Loesung.

Klar wäre das gut. Aber Druck von Nutzern kannst Du vergessen. Dafür sind die Benutzer zu bequem. Sieht man ja auch immer wieder regelmäßig an den Hitlisten der meist verwendeten Passwörter. Jemand der password als Passwort verwendest von dem erwartest Du, das er Druck auf die Hersteller macht? :-)
Wie ich schon in einem anderen Posting anmerkte. Vielleicht ist ja auch das Konzept mit den Passwörtern suboptimal.

Das Problem ist der zweite Punkt den ich erwaehnte, Sensibilisierung. Der Artikel traegt dazu nicht wirklich bei. Er sagt nur, Passwortmanager sind trotzdem besser. Als unbedarfter Nutzer waere ich etwas verwirrt wenn mir jemand sagt ich soll Software mit Luecken einsetzen. Die Folge, man denkt, dass Luecken in Ordnung sind und hat damit genau das Gegenteil erreicht. Im Endeffekt muesste der Artikel sagen, nutze keine Software mit Luecken, hier, dieser Passwortmanager hatte einen oeffentlichen Audit und ist sicher.

Abstrafen könnte man die Unternehmen auch schon, indem man ihre Software nicht einsetzt. Man könnte stattdessen auf Sicherheit getrimmte Systeme setzen wie z.B. HardenedBSD oder OpenBSD.
Und? Wird das im signifikanten Umfang gemacht?

Natuerlich machen Nutzer das nicht, weil ihnen aus irgendeinem Grund suggeriert wird, dass Luecken in Ordnung sind. Deswegen haette die Schlussfolgerung von CB auch anders ausfallen muessen. Man kann nicht von Nutzern erwarten, dass sie sichere Software einsetzt, wenn man ihnen sagt, dass unsicher Software in Ordnung ist.

Na das ist Blödsinn. Aber man hat hat halt nur begrenzt Ressourcen und Zeit, also macht man natürlich bevorzugt an den Stellen was, wo es am meisten bringt.
Bei einem baufälligen Haus fängst Du ja auch nicht an zu tapezieren, sondern siehst zu, das Du das Mauerwerk stabilisiert kriegst.

Deswegen sind es zum Glueck unterschiedliche Unternehmen und man kann gleichzeitig daran arbeiten. Dass die Fokusierung auf ein Problem anderes in den Hintergrund und ins Vergessen schieben kann sehen wir gerade live in unserer Politik. Das ganze ist viel zu einfach moeglich, als das man es als Bloedsinn abtun sollte.

Ob das besser ist, wage ich zu bezweifeln.
Hier sieht man ja viele Postings a-la Passwortmanager sind schei*e. Nie wieder Passwortmanager usw. und das Ende vom Lied ist, das die Leute dann als Lösung irgendwie eine passwortgeschützte Excel-Datei präsentieren. Ja super.
Passwort-Manager mögen nicht perfekt sein, aber besser als solche Selbstbastellösungen sind sie allemal.

Wie gesagt, hier war die Schlussfolgerung von CB einfach Banane. Da war es klar, dass solche Aussagen kommen. Man muss eine klare Alternative anbieten, die nicht unsicher ist, und die Vorteile darlegen. Das wuerde wenigstens ein paar der Aussagen vorbeugen.

 

[Aufwachen]

Mit Salz oder ohne ?

Mit Energy Drink im Keller.

 

[EvilsTwin]

Nutz halt einen PW-Manager der nur lokal arbeitet.

Mal 5 Min. denken wie ein Hacker, dann kommt man drauf das sich damit kaum was ändert.
Wenn ich Zugriff hätte auf ein System, such ich ob einer der X gängigen PW Manager installiert ist.
Allenfalls eine Hürde mehr.
Manche Verantwortung trägt man eben am besten selbst und in der Regel ist es am Ende sowieso so.

 

[andy_m4]

Das Problem ist der zweite Punkt den ich erwaehnte, Sensibilisierung. Der Artikel traegt dazu nicht wirklich bei. Er sagt nur, Passwortmanager sind trotzdem besser. Als unbedarfter Nutzer waere ich etwas verwirrt wenn mir jemand sagt ich soll Software mit Luecken einsetzen. Die Folge, man denkt, dass Luecken in Ordnung sind und hat damit genau das Gegenteil erreicht.

Wie schon gesagt. Die Leute nehmen das schon ernst und bejubeln stattdessen ihre Selbstbastellösung und das obwohl der Artikel Deiner Meinung nach Pro Passwortmanager ist.

Im Endeffekt muesste der Artikel sagen, nutze keine Software mit Luecken, hier, dieser Passwortmanager hatte einen oeffentlichen Audit und ist sicher.

Und welcher wäre das?
Und selbst wenn es einen auditierten Passwortmanager gibt, dann wäre es immer noch sicherer z.B. das beanstandete KeePass unter Linux zu betreiben als ein auditiert Sicherer unter Windows.
Wenn, dann müsste also im Artikel nicht nur stehen, das man nicht nur den sicheren PasswortManager XYZ benutzen soll, sondern das ganze am besten dann noch unter OpenBSD oder HardenedBSD. Mindestens aber unter Linux.
Der Sicherheitsgewinn durch nen anderen Passwortmanager allein ist so marginal, das man es auch schon fast wieder bleiben lassen könnte.

Und das ist das, wenn ich sage, man muss erst mal die großen Sicherheitsprobleme angehen.

Wie gesagt, hier war die Schlussfolgerung von CB einfach Banane.

Die ist einfach nur konsequent bzw. realitätsnah.
Microsoft patcht sein Windows seit Jahrzehnten. Jeden Monat dürfen wir zahlreiche offene Lücken bestaunen die gefixt werden. Und es gibt kein Grund anzunehmen, das es in den kommenden Monaten großartig anders sein wird.
Und das Betriebssystem ist nun mal die Basis von allem. Wenn Du das nicht sicher hast, kannst Du auch keine Anwendungssoftware drauf sicher betreiben.
Beim Passwortmanager lässt Du es nicht durchgehen, wenn da mal ne Sicherheitslücke bekannt wird. Beim Betriebssystem aber schon?
Das passt einfach nicht zusammen.

 

[Rexus]

TLDR

Was ich nicht verstehe: Besteht dieses Risiko nur bei Verwendung der Windows-Versionen der Password-Manager, oder ist ein Zugriff auf das Master-Password in analoger Weise auch unter dem Mac-Betriebssystem und Linux möglich? Und wie sieht das mit den Betriebssystemen auf mobilen Endgeräten aus?

 

[Kasjo]

Ich finde man kanns auch Übertreiben. Viele nehmen sich hier auch extrem Wichtig oder haben Alu Folie als Tapete im Zimmer.

Das Beste was bisher dabei war ist Bruteforce... bin mal gespannt ob das noch getoppt werden kann.

 

[andy_m4]

Besteht dieses Risiko nur bei Verwendung der Windows-Versionen der Password-Manager, oder ist ein Zugriff auf das Master-Password in analoger Weise auch unter dem Mac-Betriebssystem und Linux möglich?

Sagen wir mal so: Die Untersuchung fand wohl unter Windows 10 statt. Aber es ist wahrscheinlich, das sich das auch unter anderen Betriebssystemen in ähnlicher Weise ausnutzen lässt.

Und wie sieht das mit den Betriebssystemen auf mobilen Endgeräten aus?

Auch da hast Du prinzipiell ähnliche Probleme. Wobei bei Mobilgeräten eher darauf geachtet wird die Apps voneinander zu isolieren. Das nützt Dir aber alles nix, wenn Du ein Smartphone mit einer uralt-gammeligen Android-Version hast, die der Hersteller nie patcht.

 

[Piktogramm]

@Piktogramm
Und hier ist schon die nächste Antwort von Bitwarden.
[...]

Es bleibt das grundsätzliche Problem von Umsetzungen in Sprachen die GarbageCollection nutzen und keine explizit sicheren Verfahren zur Speicherverwaltung vorsehen.

OK, nehmen wir an du hast recht. Warum liegen sie dann im Klartext im RAM vor wenn man sie nicht braucht? Dann sollte das mindeste doch sein, dass Passwoerter nur im RAM liegen, wenn sie wirklich gebraucht werden. Also, man will es eingeben, dann wird das verschluesselte Passwort in den RAM geladen und dann entschluesselt direkt an den Prozess gegeben und danach sofort gepurged. Nicht ganz so schwer, aber anscheinend schwer genug.

Ein Grund wäre Nutzerfreundlichkeit. Bei jedem Login das mitunter lange Masterpasswort abzufragen ist nicht nutzerfreundlich. Führt mitunter zu kürzeren, unsicheren Masterpasswörtern. Abwegung wäre also:
Bombensichere Software vs. typische Macken der Nutzer.
Ansonsten das Problem, je nach Programmiersprache die eingesetzt wird, hat man als Programmierer schlicht keine Chance explizit zu bestimmen was im Speicher passiert. Was auch ein typischer Kompromiss zwischen dem Vermeiden von Bugs in der Speicherverwaltung im Austausch gegen ausbleibende Kontrolle bei der Speicherverwaltung.

Dann ist ein Passwortmanager aber schon by Design fehlerhaft und deswegen nicht zu empfehlen. Wenn eine Anwendung nur funktioniert, wenn sie unsicher ist, dann ist die Anwendung wirklich ein Problem.

Bewusst eingegangene Kompromisse sind nicht zwingend Designfehler

Dann muss von Nutzern mehr Druck aufgebaut werden. Und vor allem muss eine Sensibilitaet fuer Sicherheit entstehen. Die wird aber nicht kommen, wenn man, wie im Artikel, die Luecken runterspielt.

Druck auf Nutzer bringt garnichts. Sicherheit muss bequem nutzbar sein, sonst unterlaufen die Nutzer die Anstrengungen. Im Zweifelsfall würde ich Nutzern auch 8stellige Passwörter mittlerer Komplexität durchgehen lassen, wenn sie gleichzeitig einen 2. Faktor nutzen. Ist immer noch besser als 16stellen vorzusehen wo Nutzer dann einfach "P4sswordP4ssword" nutzen.

Du gehst davon aus, dass man notwendigerweise Adminrechte braucht und etwas auf dem Rechner. Ja, die Forscher haben es so aufgesetzt, aber in Kombination mit anderen Luecken kann es schnell gefaehrlich werden. Falls das ganze ueber infizierte Adds ausgefuehrt werden kann, dann brauchst du nicht mal was auf deinem Rechner.

Auf jedem System auf dem sich Angreifer sich freien Speicherzugriff erarbeitet haben ist Hopfen und Malz verloren. Man sollte darauf hinarbeiten bei solchen Fällen ein minimiertes Ziel zu bieten. Wirklich sicher ist man da aber nie.

Natürlich, man kann Backups machen, aber eine simple Textdatein auf einem USB-Stick im Schrank erfüllt dann doch den selben Zweck. Zumindest bei einer Privatperson dürfte das auch nicht "gefährlicher" sein. Oder übersehe ich etwas?

USB Speicher sind neben SD-Karten die unzuverlässigsten Speichermedien. Sich gegen Ausfälle von HDDs bzw. Cryptotrojaner zu wappenen indem man seinen Kram extern auf einem USB-Stick speichert ist keine Lösung.
Ansonsten ist der große Vorteil solcher Passwortdatenbanken, man kann sie ÜBERALL hin sichern. Egal ob Cloud, der Rechner der Schwiegermutter, auf leicht verlierbaren USB-Speichern... Die Passwörter sind bei ausreichend sicherem Masterpasswort für Angreifer nicht erreichbar.

Mal 5 Min. denken wie ein Hacker, dann kommt man drauf das sich damit kaum was ändert.
Wenn ich Zugriff hätte auf ein System, such ich ob einer der X gängigen PW Manager installiert ist.
Allenfalls eine Hürde mehr.
Manche Verantwortung trägt man eben am besten selbst und in der Regel ist es am Ende sowieso so.

Passwortmanager sichern NICHT gegen kompromittierte System. Dazu müsste man dann schon dedizierte Hardware nutzen, die vom infizierten Rechner nicht manipuliert werden kann (gute 2-Faktorlösungen können das oder aber dedizierte Passwortsafes).
Passwortmanager dienen dazu komplexe Passwörter sicher zu verwahren. Mit dem Ziel, dass diese Passwörter für jeden Dienst einmalig sind und derart komplex, dass Angreifer auf die Dienstleister keinen Erfolg haben.
Auf den "Hackerveranstaltungen" auf denen ich mich herumtreibe sind die paranoiden Naturen oft schon jene mit Hardwareverschlüsselung, Softwareverschlüsselung, Passwortmanager + Faktor + abstrus langem Masterpasswort. Da ist den Anwesenden schon sehr bewusst unter welchen Bedingungen sie halbwegs sicher sind und wann die Kacke am Dampfen ist.

Was ich nicht verstehe: Besteht dieses Risiko nur bei Verwendung der Windows-Versionen der Password-Manager, oder ist ein Zugriff auf das Master-Password in analoger Weise auch unter dem Mac-Betriebssystem und Linux möglich? Und wie sieht das mit den Betriebssystemen auf mobilen Endgeräten aus?

Ich würde davon ausgehen, dass das Betriebssystem da keinen größeren Einfluss hat an dieser Stelle.

Ich finde man kanns auch Übertreiben. Viele nehmen sich hier auch extrem Wichtig oder haben Alu Folie als Tapete im Zimmer.

Leute wie heulen dann, wenn irgend eine Datenbank aufgemacht wird und ihre Universalpasswort damit verbrannt ist...

 

[Kasjo]

Leute wie heulen dann, wenn irgend eine Datenbank aufgemacht wird und ihre Universalpasswort damit verbrannt ist...

Was hat das eine mit dem Anderen zu tun? Wenn's um Sicherheit geht, speziell wenn man diesen Thread also Grundlage nutzt, so ist man Grundsätzlich nicht sicher, völlig egal was man macht. Ich denke da sind wir uns alle einig.
Belustigend, und das is der Grund warum ich mir Popkorn für diesen Thread rausgepackt habe ist, das hier die wahnwitzigsten Gründe, Ursachen und Theorien aufgeworfen werden, völlig ohne zusammenhing zur Realität und vor allem mit Argumenten rumgeworfen wird die das ganze nicht besser machen.

Sei mir nicht böse, aber kein Hacker der welt setzt sich hin und versucht mit Bruteforce ein halbwegs sicheres Passwort (Sonderzeichen zahlen und groß klein) zu knacken, der braucht Jahrzehnte wenn er nicht grad die Regierung Chinas mit Supercomnputern im nebenzimmer hat. Und schon gar nicht bei nem Otto normaluser.

Jeder hier geht davon aus das die Ganze welt an die Peanouts des users ranwollen. Sowas klappt nur in der Masse. Dabei wird wirld in der gegen herum verschlüsselt bis eines der Glieder der Kette reißt, und dann hat man von seiner Passwort Datenbank auch nichts mehr.

Ich kann durchaus all diese Bedenken im Bezug auf Sicherheit Nachvollziehen, wenn wir hier über Firmen oder Institutionen Reden wo es auch nen Grund und vor allem ein reward gibt.

Für den Heimuser is das Maximale was er an Sicherheit machen kann, zumindest wenn man den kleinen teil der kette, die Passwörter betrachtet, sich das alles auf nen Zettel zu legen oder zu merken. Damit ist ein groß teil getan. Dabei sollte halt auch nicht Paswort123 genutzt werden. Und wer seine Daten dann an drei vier oder fünf verschiedenen unternehmen weiterleitet und anvertraut und sich dann wundert wenn die Daten weg sind, ist selber schuld. Eigentlich is das ganze sogar kontra produktiv. Ich habe hier Passwörter, um diese zu sichern, vertraue ich sie Glied A, Windows an, weil Txt file und win is ja sauber, dann nehme ich eine weitere Firma in die kette, was ein Passwortmanager is, dann noch ein weiteres, weil ich extra Verschlüsseln will, und dann nochmal ein weiteres, weil ich das zeug in der cloud noch mal ordentlich durch verschlüsseln will. Und wenn wir dabei sind, kann ich auch noch nen Hersteller dazu packen, wohin ich dann die Daten auf nen Stück Hardware Speicher (USB Stick) was ne Langlebigkeit im direkten Vergleich zu nem Zettel hat, wie ne Eintagsfliege.

Mit jedem Stück in der Kette wird die Sache unsicherer, allen voran, weil ich mit Glied A schon das größte Sicherheitsrisiko trage. Bevor ich so nen Aufwand betreibe, Sichere ich die Daten analog, und wenn ich mir ne Liste halt ausdrucke auf nem Offline Rechner, meinet wegen.


Und dann kommen hier ernsthaft Argumente von wegen Folter und Einbruch.... Ernsthaft???? Hier wir so viel zusammen geworfen und auseinandergerissen, einfach lächerlich.

 

[Piktogramm]

Sei mir nicht böse, aber kein Hacker der welt setzt sich hin und versucht mit Bruteforce ein halbwegs sicheres Passwort (Sonderzeichen zahlen und groß klein) zu knacken, der braucht Jahrzehnte wenn er nicht grad die Regierung Chinas mit Supercomnputern im nebenzimmer hat. Und schon gar nicht bei nem Otto normaluser.

Datenbanken mit Nutzerpasswörtern von Online Diensten einzusacken ist das kleine 1x1 der Inertnetkriminalität. All zu oft sind die Datenbanken mit MD5 / SHA1 und keinem bzw unzureichendem Salz versehen. Da dann einfach auf Verdach Jacktheripper oder Hashcat mit ein paar GPUs drauf anzusetzen ist kein Kunststück.
Da ist jeder Ziel und wenn du dir nicht vorstellen kann, was die Motivation bzw. der profitable Aspekt dahinter ist, zeigt dass nur, dass deine kriminelle Energie als auch dein Wissen nicht ausreichend sind.

Dabei sind diese "Großbuchstaben, Sonderzeichen, Zahl" keine brauchbaren Tips. Typische Endanwender nutzen einen Großbuchstaben, ein Sonderzeichen und 1-4 Ziffern bei einer Passwortlänge von unter 10 Zeichen und das nach dem Muster "Password123!". Damit verringert dieser "Ratschlag" die Entropie des Passwortes enorm und erleichtert Angriffe. Deswegen auch der Tip: Komplett zufällige, lange und damit nicht merkbare Passwörter und die dann in einen Passwortsafe speichern.

Jeder hier geht davon aus das die Ganze welt an die Peanouts des users ranwollen. Sowas klappt nur in der Masse. Dabei wird wirld in der gegen herum verschlüsselt bis eines der Glieder der Kette reißt, und dann hat man von seiner Passwort Datenbank auch nichts mehr.

Nochmal, die Passwortdatenbank ist Mittel zum Zweck, die es erlaubt sehr starke Passwörter zu verwenden. Was selbst beim Abhandenkommen der Passwortlisten bei Dienstanbietern seine eigenen Daten sichert. Schlicht weil das Passwort ausreichend komplex ist.

Ich kann durchaus all diese Bedenken im Bezug auf Sicherheit Nachvollziehen, wenn wir hier über Firmen oder Institutionen Reden wo es auch nen Grund und vor allem ein reward gibt.

Ist ja jetzt nicht so, als wären Privatpersonen von Cryptotrojanern, Erpresseremails etc. betroffen. Nur weil dir nicht einfällt, was man für Schindluder treiben kann, heißt das nicht, dass Anderen nichts einfällt.

Für den Heimuser is das Maximale was er an Sicherheit machen kann, zumindest wenn man den kleinen teil der kette, die Passwörter betrachtet, sich das alles auf nen Zettel zu legen oder zu merken. Damit ist ein groß teil getan. Dabei sollte halt auch nicht Paswort123 genutzt werden.

Nutzer sind faul. Anstatt jedesmal mit Logins zu arbeiten werden Cookies gesetzt und wenn irgendwo Passwörter regelmäßig benötigt werden (Chatprogramm, Emailprogramm) werden die Passwörter unterkomplex oder unverschlüsselt im Programm hinterlegt. PW-Manager vermeiden dies indem sie ausreichend komfortabel bei deutlich gesteigerter Sicherheit sind.
Mal ganz abgesehen, kaum jemand tippt wirklich komplex Passwörter mit 16stellen regelmäßig von Hand ab..

[...]
Mit jedem Stück in der Kette wird die Sache unsicherer, allen voran, weil ich mit Glied A schon das größte Sicherheitsrisiko trage. Bevor ich so nen Aufwand betreibe, Sichere ich die Daten analog, und wenn ich mir ne Liste halt ausdrucke auf nem Offline Rechner, meinet wegen.

Ok du hast die Funktion von PW-Managern nicht verstanden

 

[andy_m4]

Eigentlich is das ganze sogar kontra produktiv. Ich habe hier Passwörter, um diese zu sichern, vertraue ich sie Glied A, Windows an, weil Txt file und win is ja sauber, dann nehme ich eine weitere Firma in die kette, was ein Passwortmanager is, dann noch ein weiteres, weil ich extra Verschlüsseln will, und dann nochmal ein weiteres, weil ich das zeug in der cloud noch mal ordentlich durch verschlüsseln will.

Jemand der seine Passwörter auf nen Papierzettel hat wird halt dazu neigen die einfach zu halten. Weil er nicht jedes Mal wenn er es braucht ne endlose Kolonne wirrer Zeichen eingeben möchte.
Klar wird es auch Nutzer mit Zettel geben die in der Hinsicht sorgfältiger sind. Nur wenn man eine allgemeine Empfehlung herausgibt, sollte die natürlich bei möglichst vielen zu einem Sicherheitsgewinn führen. Und da viele Menschen nun mal bequem sind, ist ein Passwortmanager vielleicht gar kein so schlechter Tipp.

Und dann kommen hier ernsthaft Argumente von wegen Folter und Einbruch.... Ernsthaft????

Na ich glaube kaum, das das jemand ernst gemeint hat. Wenn jemand sagt in seinem Kopf ist das Passwort 100% sicher, dann fordert das natürlich ne passende Antwort heraus. :-)

 

[Axendo]

Meine Passwörter sind als PDF in einem 7z-Archiv mit 16 stelligen AES-256 PW mit Zahlen und Sonderzeichen. Dürfte ähnlich sicher sein...

Ich denke nicht, dass das wirklich sicher ist. Denn sobald du auf die Datei in deinem 7z zugreifst, wird diese vorher irgendwohin entpackt. Dann liegt diese Datei als Klartext in deinem Temp-Ordner und kann ohne weiteres abgegriffen werden. Auch wenn du deinen Temp-Ordner regelmäßig löschst, sollte die Datei relativ einfach wiederherstellbar sein.

... Nö: https://www.zdnet.de/88269281/freies-packprogramm-7-zip-weist-schwerwiegende-sicherheitsluecken-auf/
Wenn dein verwendetes 7zip diesen Fehler nicht gefixt hat, dann ist der Spaß vergleichsweise unsicher.
Und nur weil ein Passwort lang ist, ist es nicht sicher!
Genauso wie 7zip die entschlüsselten Daten genauso im Arbeitsspeicher liegen hat als auch gegebenenfalls in Form von temporären Files auf den Festspeicher wirft.

Oder kurz: komplett falsche Anwendung für diesen Zweck ...

welches du jedesmal entschlüsselst/unzippst wenn du ein passwort brauchst....

Ihr habt mich überzeugt! Ich nutze seit gestern KeePass zusammen mit Kee Firefox synch. Dabei wurden gleich alle PW im Firefox gelöscht. (Fast) kein Komfortverlust, ich bin zufrieden.
Steinigt mich, aber die 7z habe ich immer noch. Das Backup für Notfälle ist nun auf einem alten Handy ohne Internet.