www.mikrocontroller.net

Forum: Mikrocontroller und Digitale Elektronik Passwortspeicher selber bauen


Autor: Ingo Henze (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nachdem ich heute im Heise-Newsticker die Sache mit "WLAN:
Wörterbuchangriff auf WPA implementiert" und die Diskussion im Forum
dazu gelesen habe (hier:
http://www.heise.de/security/news/foren/go.shtml?r...),
kam ich auf die Idee, mir einen kleinen Psswortspeicher selber zu
bauen.

Das Problem bei Passwörtern ist ja, das sie möglichst kompliziert sein
sollen, um nicht für Wörterbuchattacken oder Probieren auf Grund der
Kenntnis persönlicher Daten (Geburtsdatum, Alter und Name des Hundes
oder der Freundin u.Ä. :-) anfällig zu sein.
Andererseits läßt sich ein Passwort aus zufälligen Folgen von
Buchstaben, Ziffern und Sonderzeichen nur schwer merken. Zumal man ja
heutzutage einige zehn Passworter bzw. PINs im täglichen Leben
braucht.

Nun habe ich mir gedacht, ich baue mir aus einem AVR + LCD + EEPROM +
weiteren Teilen ein kleines Gerät, in dem ich gewissermaßen als
Sicherung meine Benutzerdaten verschlüsselt abspeichere.
Nicht um ständig damit zu Arbeiten, sondern nur für den Fall, daß ich
mal ein Passwort vergessen habe.

Bei Passwörtern, die man eher selten braucht, kann das schnell
passieren. Ich muß z.B. jedes mal grübeln, was ich denn bei der
Borland-Community (oder auch Oracle usw.) für ein Benutzername und
Passwort habe, weil ich da bestenfalls alle halbe Jahre mal ein Update
runterladen will.

Daher meine Frage (ich muß doch im Forum was fragen bzw. ein Problem
vortragen, oder?), hat jemand sowas schon mal gemacht, und wenn ja,
wie? Wenn nein, warum nicht?
Meint ihr, das sowas überhaupt sinnvoll ist, oder gibt da etwa bereits
fertige Lösungen?

Danke und Gruß
Ingo

Autor: Andi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Am einfachsten ginge es doch mit dem PC.
Z. B. Winzip.
Eine Textdatei mit Deinen Pins und Passwörtern erstellen
(Notepad.exe).
Diese dann mit Winzip und eingegebenes Passwort komprimieren, aber das
Passwort nicht vergessen.
Diese zip-Datei auslagern auf eine Diskette/externe
USB-Platte/USB-Stick, damit in den Tresor und die zip-Datei auf dem PC
mit Shift + Entf löschen.
Für sowas nun eine Schaltung mit µC und Display zu machen ist doch
Unsinn.

Gruß
Andi

Autor: Johannes M. Richter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn schon am PC sein soll, dann wuerd ich da auf eines der zahlreichen
vorgefertigten Programme zurueckgreifen.

Autor: Andi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und diese Programm sendet dann die Passwörter sonst wo hin :-)
NEIN.
Sollte ja nicht so sein.
Vielleicht kann jemand was empfehlen?

Wenn Du schon mit Oracle- und Borlanddatenbanken rummachst, dann mach
ne kleine, selbstkonstruierte Bank mit nen großen Textfeld für mehr als
255 Zeichen und ein Formular mit selbst gemachter Ver- und
Entschlüsselungsroutine für jedes Zeichen wo bei ein Passwort zur
Berechnung mit einbezogen wird.

Gruß
Andi

Autor: Hagen (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich habe sowas schonmal gemacht, sowohl auf dem PC mit
USB-Memory-Stickalso auch in Hardware.
Für die Hardware habe ich eine in BASIC programmierbare SmartCard
benutzt, schau dir mal die BasicCard an. Diese SmartCards sind
"einbruschsicher". Denn was nützt dir ein Passwort-Safe wenn der
nötige Pin so kurz gewählt werdenmuß das er die Sicherheit der
Passwörter reduziert. Das gleiche gilt für den Vorschlag der
ZIP-Methode. Du erzeugst viele sicherer 128 Bit Passwörter mit einem
möglichst sicheren Zufallsgenrator. Dann aber verschlüsselst du diese
Passwört er mit einer ZIP Verschlüsselung die mit 31 Bit Sicherheit ja
schon lächerlich ist. Zudem kann kein Komprimierungs-Algorithmus gute
Zufallsdaten komprimieren, geht einfach nicht und somit sinnlos zu
zippen.

Für die BasicCard benötigst du die entsprechende Software, in die du
dich aber nach spätestens 5 Tagen eingearbeitet hast. Dann benötigst du
noch ein Lesegerät mit Display in das die SmartCard eingeführt wird.
Dieses Lesegerät sollte natürlich eine Tatstatur zur PIN Eingabe
besitzen. Nun bei so einem System ist es sicher mit einer nur 4
Stelligen PIN zu arbeiten. Denn nach 3 maliger Falscheingabe der PIN
sperrt sich die Karte und kann nur noch mit einem sehr komplexen
Masterkey entsperrt werden.
Da diese SmartCards "einbruchsicher" sind und eben auch
eigenständigen Code ausführen können ist dies sehr sicher.

Sowas geht auch nicht-einbruschsichere Hardware mit Zugriff auf die
verschlüsselten Daten eben nicht zu bauen. Das ist und bleibt die
Schwachstelle der PC's oder auch USB-Memory-Sticks. Wird in das System
eingebrochen oder geklaut so kann sich der Hacker alle Zeit der Welt
nehmen um deinen Schlüsseltresor zu knacken. Ergo: dar Masterkey zum
schutze der Schlüssel muß um ein Vielfaches komplexer==größer sein als
die Schlüssel im Tresor selber. Angenommen im Tresor werden 10
Schlüssel a 128 Bit gespeichert, dann müsste der Masterkey mindestens
10*128 Bit groß sein. Denn wird der Masterkey gebrochen, so erlangt der
Hacker Vollzugriff auf alle Schlüssel. Normalerweise sollte man auf
diese Art & Weise eben KEINE Schlüssel verwalten.

Die Verwendung von intelligenten SmartCards mit eigenem Program ist da
schon wesentlich effektiver.

Gruß Hagen

Autor: thkais (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
@Andi:
Über den Sinn und Unsinn sollte man sich bei µC nicht streiten -
genauso gut könnte ich dann nach dem Sinn eines 3GHz-Prozessors im PC
fragen, der nur beim Spielen und bei den wenigsten Anwendungen wirklich
ausgenutzt wird, oder über den Sinn einer Modelleisenbahn, oder über den
Sinn von Autos... etc. Ich möchte stark bezweifeln, daß Du nicht auch
einmal ein (für andere) sinnfreies Projekt durchgeführt hast... oder?
@all:
Ich finde die Idee - als Projekt - garnicht mal so schlecht. Es gibt
zwar immer wieder mal "Datenbanken" im Taschenrechnerformat als
Werbegeschenk, aber die verlieren mit Verlust der Batteriespannung
zumeist auch die Daten.
Das einzige Problem sehe ich darin: Wie bekomme ich die Daten in den
AVR? Da bietet sich ein Einschleifen in die Tastatur an. Auf
http://www.beyondlogic.org und vielen anderen Internetseiten wird die
Funktionsweise der Tastaturschnittstelle beschrieben.

Autor: Ingo Henze (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Besten Dank erstmal für die Antworten.

Ich muß vorab erstmal noch eingestehen, das ich etwas durch die Sache
"Chipkarte mit Textdisplay" beeinflußt bin und mir überlegt habe, was
man denn mit so einem kreditkartengroßen Stück Elektronik noch anfangen
kann.

Deshalb meine Frage eher in Richtung Gerät, weniger Softwarelösung auf
dem PC. Was es da für Möglichkeiten gibt, ist sicher auch interessant.
Aber das Problem dabei ist ja, das im Zeitalter von Viren und Würmern
ein "Einbruch" relativ einfach geworden ist, um an die Daten auf
einem Rechner ranzukommen.

Deshalb tippe ich brav die TANs bei jeder Banktransaktion direkt ein,
hab sie also nicht auf dem Rechner gespeichert :-)
Andererseit habe ich bei einem echten Einbruch in meine Wohnung aber
auch ein Problem, da der Einbrecher dann die TAN-Liste und weitere
Daten zur Verfügung hat.

So gesehen könnte ich natürlich einfach meine Daten auf einen Zettel
schreiben und irgendwo abheften, zumindest sind sie dann online nicht
für Eindringlinge erreichbar, wohl aber für jemanden, der in meine
Wohnung einsteigt.

@Hagen
Das mit der SmarCard klingt interessant, muß ich mir mal angucken.
Ich hatte bei einem Projekt schon mal mit ähnlichen Karten zu tun, und
auch bereits 2 Testkarten vom Auftraggeber durch dreimal falsch
eingegebene PIN entschärft :-) Allerdings lag das aus meiner Sicht an
der nicht ganz gelungenen Benutzerführung, denn es gab zu den Karten
jeweils zwei PINs, nur war nicht so eindeutig zu ersehen, welche nun
welche ist.

@thakis
Über Sinn oder Unsinn von Anwendungen eins Mikrocontrollers kann man
schon streiten, nur bringt das nichts :-)
Ich finde selbst so Sache wie "4 Nebelmaschinen unterm Bett" nicht so
abwegig, wer das braucht, warum nicht.
Zumindest finde ich grundsätzlich den Ansatz, ich habe ein Problem,
kann ich das mit einem eine uC lösen und wenn ja, wie, besser als die
hier bisweilen auftauchenden Fragen nach dem Motto "Ich habe einen
Mikrocontroller, was kann ich denn nun damit machen?" oder "Wir
sollen irgendwas mit Mikrocontrollern machen, hat jemand eine Idee?".

Wie auch immer, ich werde noch mal so den einen oder anderen Aspekt
überdenken müssen...

Gruß
Ingo

Autor: Peter Dannegger (peda)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Laß Dich nicht beirren, das ist schon ein brauchbares Projekt, auch wenn
man nicht so klein wird, wie kommerzielle Lösungen.

Man muß sich eben nur ein Masterpaßwort merken und dann kommt man an
die anderen.

Man kann da auch bestimmt viel optimieren, wie man möglichst effizient
das benötigte Paßwort aus der Liste findet.

Man kann die Paßwörter ganz leicht mit einem Zufallsgenerator erzeugen
lassen. Der MC zählt einfach durch, bis man eine Taste drückt. Und da
der Mensch sich nicht auf den Quarz synchronisieren kann, ist der
Tastendruck rein zufällig bezogen auf den Quarztakt.

Das Einschleifen in die Tastatur wäre interessant, ist aber heutzutage
am USB nicht gerade einfach.


Peter

Autor: Winfried (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein Palm ist auch sehr gut für sowas geeignet. Und die bekommt man schon
 ab 30 Euro bei Ebay. Starke Verschlüsselungssoftware ist verfügbar,
z.B. das Opensource-Projekt Strip auf http://www.zetetic.net.

@Andi: Winzip lässt sich leicht knacken, ist keine gute Idee. Damit
kann man eine neugierige Sekräterin beeindrucken, aber viel mehr nicht.
Löschen von solchen Dateien ist auch gefährlich, weil die auf Platte
bleiben. Geht nur mit echtem Shredderprogramm. Dann besser z.B.
Steganos  Safe einsetzen (http://www.steganos.de).

Winfried

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.