Nachdem ich heute im Heise-Newsticker die Sache mit "WLAN: Wörterbuchangriff auf WPA implementiert" und die Diskussion im Forum dazu gelesen habe (hier: http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=6820857&forum_id=68565&showthread=1), kam ich auf die Idee, mir einen kleinen Psswortspeicher selber zu bauen. Das Problem bei Passwörtern ist ja, das sie möglichst kompliziert sein sollen, um nicht für Wörterbuchattacken oder Probieren auf Grund der Kenntnis persönlicher Daten (Geburtsdatum, Alter und Name des Hundes oder der Freundin u.Ä. :-) anfällig zu sein. Andererseits läßt sich ein Passwort aus zufälligen Folgen von Buchstaben, Ziffern und Sonderzeichen nur schwer merken. Zumal man ja heutzutage einige zehn Passworter bzw. PINs im täglichen Leben braucht. Nun habe ich mir gedacht, ich baue mir aus einem AVR + LCD + EEPROM + weiteren Teilen ein kleines Gerät, in dem ich gewissermaßen als Sicherung meine Benutzerdaten verschlüsselt abspeichere. Nicht um ständig damit zu Arbeiten, sondern nur für den Fall, daß ich mal ein Passwort vergessen habe. Bei Passwörtern, die man eher selten braucht, kann das schnell passieren. Ich muß z.B. jedes mal grübeln, was ich denn bei der Borland-Community (oder auch Oracle usw.) für ein Benutzername und Passwort habe, weil ich da bestenfalls alle halbe Jahre mal ein Update runterladen will. Daher meine Frage (ich muß doch im Forum was fragen bzw. ein Problem vortragen, oder?), hat jemand sowas schon mal gemacht, und wenn ja, wie? Wenn nein, warum nicht? Meint ihr, das sowas überhaupt sinnvoll ist, oder gibt da etwa bereits fertige Lösungen? Danke und Gruß Ingo
Am einfachsten ginge es doch mit dem PC. Z. B. Winzip. Eine Textdatei mit Deinen Pins und Passwörtern erstellen (Notepad.exe). Diese dann mit Winzip und eingegebenes Passwort komprimieren, aber das Passwort nicht vergessen. Diese zip-Datei auslagern auf eine Diskette/externe USB-Platte/USB-Stick, damit in den Tresor und die zip-Datei auf dem PC mit Shift + Entf löschen. Für sowas nun eine Schaltung mit µC und Display zu machen ist doch Unsinn. Gruß Andi
Wenn schon am PC sein soll, dann wuerd ich da auf eines der zahlreichen vorgefertigten Programme zurueckgreifen.
Und diese Programm sendet dann die Passwörter sonst wo hin :-) NEIN. Sollte ja nicht so sein. Vielleicht kann jemand was empfehlen? Wenn Du schon mit Oracle- und Borlanddatenbanken rummachst, dann mach ne kleine, selbstkonstruierte Bank mit nen großen Textfeld für mehr als 255 Zeichen und ein Formular mit selbst gemachter Ver- und Entschlüsselungsroutine für jedes Zeichen wo bei ein Passwort zur Berechnung mit einbezogen wird. Gruß Andi
Ich habe sowas schonmal gemacht, sowohl auf dem PC mit USB-Memory-Stickalso auch in Hardware. Für die Hardware habe ich eine in BASIC programmierbare SmartCard benutzt, schau dir mal die BasicCard an. Diese SmartCards sind "einbruschsicher". Denn was nützt dir ein Passwort-Safe wenn der nötige Pin so kurz gewählt werdenmuß das er die Sicherheit der Passwörter reduziert. Das gleiche gilt für den Vorschlag der ZIP-Methode. Du erzeugst viele sicherer 128 Bit Passwörter mit einem möglichst sicheren Zufallsgenrator. Dann aber verschlüsselst du diese Passwört er mit einer ZIP Verschlüsselung die mit 31 Bit Sicherheit ja schon lächerlich ist. Zudem kann kein Komprimierungs-Algorithmus gute Zufallsdaten komprimieren, geht einfach nicht und somit sinnlos zu zippen. Für die BasicCard benötigst du die entsprechende Software, in die du dich aber nach spätestens 5 Tagen eingearbeitet hast. Dann benötigst du noch ein Lesegerät mit Display in das die SmartCard eingeführt wird. Dieses Lesegerät sollte natürlich eine Tatstatur zur PIN Eingabe besitzen. Nun bei so einem System ist es sicher mit einer nur 4 Stelligen PIN zu arbeiten. Denn nach 3 maliger Falscheingabe der PIN sperrt sich die Karte und kann nur noch mit einem sehr komplexen Masterkey entsperrt werden. Da diese SmartCards "einbruchsicher" sind und eben auch eigenständigen Code ausführen können ist dies sehr sicher. Sowas geht auch nicht-einbruschsichere Hardware mit Zugriff auf die verschlüsselten Daten eben nicht zu bauen. Das ist und bleibt die Schwachstelle der PC's oder auch USB-Memory-Sticks. Wird in das System eingebrochen oder geklaut so kann sich der Hacker alle Zeit der Welt nehmen um deinen Schlüsseltresor zu knacken. Ergo: dar Masterkey zum schutze der Schlüssel muß um ein Vielfaches komplexer==größer sein als die Schlüssel im Tresor selber. Angenommen im Tresor werden 10 Schlüssel a 128 Bit gespeichert, dann müsste der Masterkey mindestens 10*128 Bit groß sein. Denn wird der Masterkey gebrochen, so erlangt der Hacker Vollzugriff auf alle Schlüssel. Normalerweise sollte man auf diese Art & Weise eben KEINE Schlüssel verwalten. Die Verwendung von intelligenten SmartCards mit eigenem Program ist da schon wesentlich effektiver. Gruß Hagen
@Andi: Über den Sinn und Unsinn sollte man sich bei µC nicht streiten - genauso gut könnte ich dann nach dem Sinn eines 3GHz-Prozessors im PC fragen, der nur beim Spielen und bei den wenigsten Anwendungen wirklich ausgenutzt wird, oder über den Sinn einer Modelleisenbahn, oder über den Sinn von Autos... etc. Ich möchte stark bezweifeln, daß Du nicht auch einmal ein (für andere) sinnfreies Projekt durchgeführt hast... oder? @all: Ich finde die Idee - als Projekt - garnicht mal so schlecht. Es gibt zwar immer wieder mal "Datenbanken" im Taschenrechnerformat als Werbegeschenk, aber die verlieren mit Verlust der Batteriespannung zumeist auch die Daten. Das einzige Problem sehe ich darin: Wie bekomme ich die Daten in den AVR? Da bietet sich ein Einschleifen in die Tastatur an. Auf http://www.beyondlogic.org und vielen anderen Internetseiten wird die Funktionsweise der Tastaturschnittstelle beschrieben.
Besten Dank erstmal für die Antworten. Ich muß vorab erstmal noch eingestehen, das ich etwas durch die Sache "Chipkarte mit Textdisplay" beeinflußt bin und mir überlegt habe, was man denn mit so einem kreditkartengroßen Stück Elektronik noch anfangen kann. Deshalb meine Frage eher in Richtung Gerät, weniger Softwarelösung auf dem PC. Was es da für Möglichkeiten gibt, ist sicher auch interessant. Aber das Problem dabei ist ja, das im Zeitalter von Viren und Würmern ein "Einbruch" relativ einfach geworden ist, um an die Daten auf einem Rechner ranzukommen. Deshalb tippe ich brav die TANs bei jeder Banktransaktion direkt ein, hab sie also nicht auf dem Rechner gespeichert :-) Andererseit habe ich bei einem echten Einbruch in meine Wohnung aber auch ein Problem, da der Einbrecher dann die TAN-Liste und weitere Daten zur Verfügung hat. So gesehen könnte ich natürlich einfach meine Daten auf einen Zettel schreiben und irgendwo abheften, zumindest sind sie dann online nicht für Eindringlinge erreichbar, wohl aber für jemanden, der in meine Wohnung einsteigt. @Hagen Das mit der SmarCard klingt interessant, muß ich mir mal angucken. Ich hatte bei einem Projekt schon mal mit ähnlichen Karten zu tun, und auch bereits 2 Testkarten vom Auftraggeber durch dreimal falsch eingegebene PIN entschärft :-) Allerdings lag das aus meiner Sicht an der nicht ganz gelungenen Benutzerführung, denn es gab zu den Karten jeweils zwei PINs, nur war nicht so eindeutig zu ersehen, welche nun welche ist. @thakis Über Sinn oder Unsinn von Anwendungen eins Mikrocontrollers kann man schon streiten, nur bringt das nichts :-) Ich finde selbst so Sache wie "4 Nebelmaschinen unterm Bett" nicht so abwegig, wer das braucht, warum nicht. Zumindest finde ich grundsätzlich den Ansatz, ich habe ein Problem, kann ich das mit einem eine uC lösen und wenn ja, wie, besser als die hier bisweilen auftauchenden Fragen nach dem Motto "Ich habe einen Mikrocontroller, was kann ich denn nun damit machen?" oder "Wir sollen irgendwas mit Mikrocontrollern machen, hat jemand eine Idee?". Wie auch immer, ich werde noch mal so den einen oder anderen Aspekt überdenken müssen... Gruß Ingo
Laß Dich nicht beirren, das ist schon ein brauchbares Projekt, auch wenn man nicht so klein wird, wie kommerzielle Lösungen. Man muß sich eben nur ein Masterpaßwort merken und dann kommt man an die anderen. Man kann da auch bestimmt viel optimieren, wie man möglichst effizient das benötigte Paßwort aus der Liste findet. Man kann die Paßwörter ganz leicht mit einem Zufallsgenerator erzeugen lassen. Der MC zählt einfach durch, bis man eine Taste drückt. Und da der Mensch sich nicht auf den Quarz synchronisieren kann, ist der Tastendruck rein zufällig bezogen auf den Quarztakt. Das Einschleifen in die Tastatur wäre interessant, ist aber heutzutage am USB nicht gerade einfach. Peter
Ein Palm ist auch sehr gut für sowas geeignet. Und die bekommt man schon ab 30 Euro bei Ebay. Starke Verschlüsselungssoftware ist verfügbar, z.B. das Opensource-Projekt Strip auf http://www.zetetic.net. @Andi: Winzip lässt sich leicht knacken, ist keine gute Idee. Damit kann man eine neugierige Sekräterin beeindrucken, aber viel mehr nicht. Löschen von solchen Dateien ist auch gefährlich, weil die auf Platte bleiben. Geht nur mit echtem Shredderprogramm. Dann besser z.B. Steganos Safe einsetzen (http://www.steganos.de). Winfried
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.