Moin, ich habe eine Idee, von der ich nicht weiß, ob sie etwas taugt. Ich denke an einen Passwortspeicher, in der Art wie ein Schlüsselanhänger oder etwas größer. Ein Arduino nano mit einem OLED oder etwas in der Art, genau habe ich das noch nicht durchdacht. Die technischen Detail sind erstmal uninteressant. Darin sollen alle meine Passwörter gespeichert und mit einem Masterpasswort verschlüsselt werden. Falls das Teil verloren geht oder geklaut wird, könnte natürlich jemand per brute force in aller Ruhe versuchen, die Verschlüsselung zu knacken. Daher ist meine Idee, ein OTP-verfahren einzusetzen. Das hat die Eigenschaft, dass der Dieb für jeden ausprobierten Master eine Lösung herausbekommt und nicht weiß, welche die richtige ist. Auch der Passwortspeicher selbst weiß es nicht. Das Problem mit OTP-verfahren ist, dass man es, wie der Name schon sagt, nur einmal verwenden kann. Andernfalls kann z.B. durch Differenzanalyse mehrerer verschlüsselter Passwörter auf den Master zurückgeschlossen werden. Diese Differenzanalyse funktioniert jedoch nur bei Klartextnachrichten, also i.A. menschenlesbaren Texten in einer natürlichen Sprache und mit einer bestimmten Häufigkeitsverteilung der Zeichen. Dies ist jedoch bei Passwörtern nicht notwendig. Da ich meine Passwörter frei wählen kann, kann ich darauf achten, dass Sie keine statistischen Auffälligkeiten haben und absolut keinen syntaktischen Regeln folgen. Z.B. %$2dCC@?´h"#8yd" Einem solchen Passwort könnte man nicht einmal ansehen, ob es verschlüsselt ist oder nicht. Da ich mir das Ungetüm nicht merken muss, kann das Passwort aussehen wie es will, und daher greift hier keine statistische Analyse. Man könnte die Passwörter sogar von einem (echten) Zufallsgenerator erzeugen lassen. Also der Clou an der Sache ist nicht die Verschlüsselung selbst, sondern die Gestaltung der Passwörter. Wenn jemand eines der Passwörter auf andere Weise herausfindet, ist die Verschlüsselung natürlich über den Jordan, das ist mir klar. Ich habe nicht vor, das Teil in naher Zukunft zu bauen, es gibt da sicher noch ein paar technische Probleme. Mich interessiert im Moment nur, ob da bzgl. der Verschlüsselung ein Denkfehler drin ist. Comments are welcome.
:
Verschoben durch User
%$2dCC@?´h"#8yd ist alles aus dem druckbaren Bereich. Also in der Tat nicht der volle Wertebereich. Für dich mag das wirr aussehen, ist alles >= 0x20 und somit statistisch relevant. http://www.asciitable.com/ Die Bedienung ist ja nun auch mehr als fragwürdig. https://pwsafe.org/ setze ich seit Jahren auf nem USB-Stick ein. Frisst alles, auch meine pub-keys mit etwas mehr Zeichen als "%$2dCC@?´h"#8yd". Backup auf unsicheren Medien sehe ich als ungefährlich an.
ein OTP bring dir keine Vorteile, auch bei AES oder jeder anderem Verfahren bekommt man mit jeden Key die Daten entschlüsselt. Es kommt dann nur Unsinn raus. Das Problem ist viel mehr, das du dafür sorgen muss das das Ergebnis im sichtbaren Zeichensatz ist.
Matthias Q. schrieb: > %$2dCC@?´h"#8yd ist alles aus dem druckbaren Bereich. Also in der Tat > nicht der volle Wertebereich. Für dich mag das wirr aussehen, ist alles >>= 0x20 und somit statistisch relevant. http://www.asciitable.com/ Das ist aber nur ein Problem des Mappings. Man könnte alle 7-Bitkombinationen zulassen und dann eine Funktion definieren, die das in lesbare Zeichen verwandelt. Diese Funktion kann auch offengelegt weden, da sie nicht Bestandteil der Verschlüsselung ist. > Die Bedienung ist ja nun auch mehr als fragwürdig. Über die Bedienung habe ich garnichts gesagt, aber warum ist sie fragwürdig?
Was ist der Vorteil deiner Lösung gegenüber eines beliebigen Passwort Managers, den man auf einen USB-Stick packt. Für manche gibt doch inzwischen sogar Plugins für Browser etc.
Vancouver schrieb: >> Die Bedienung ist ja nun auch mehr als fragwürdig. > > Über die Bedienung habe ich garnichts gesagt, aber warum ist sie > fragwürdig? Willst du die Passwörter von OLED abschreiben oder was ?
https://xkcd.com/538/ Was spricht gegen KeyPass oder OnePassword als App auf dem Mobilen Fernsprechapparat ? Vancouver schrieb: > Die > technischen Detail sind erstmal uninteressant. Grade das ist doch das wichtigste... Keiner will eine Maschine so groß wie die Enigma.. OTP Gerede... OTP ist OTP ist OTP. Keine Ausnahmen und kein wenn und auch kein aber. Damit OTP Sicher ist muss der Schlüssel auch so lang sein wie die Information die es zu verschlüsseln gilt. Damit ist es hinfällig für einen Passwortspeicher wo der Mensch sich ein "Master" Passwort merken soll. > Z.B. %$2dCC@?´h"#8yd" Einem solchen Passwort könnte man > nicht einmal ansehen, ob es verschlüsselt ist oder nicht. Fein, wozu ? Dir wirst dir sicherlich auch noch dazu schreiben sollen wie der User Name ist und wofür das Password ist. Da Usernamen oder Dinge and die man sich anmelden will selten „6““%&23FSkk2!“ heißen wird jedem schnell klar das das hier verschlüsselt wird. Oder willst du nur die reinen Passwörter verschlüsseln ?
:
Bearbeitet durch User
Ich würde bereits verhandene Libs und bewährte Verschlüsselungsverfahren verwenden. Ich würde mit sha512 einen 64 byte key erzeugen, und mit einer AES lib wie https://github.com/DavyLandman/AESLib die Passwörter Ver- und Entschlüsseln lassen.
Vancouver schrieb: > Ich denke an einen Passwortspeicher, in der Art wie ein > Schlüsselanhänger oder etwas größer. Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher machen? Mit Tasten den Zeichenvorrat durchnudeln o.ä.? Das wäre bei einem längeren Masterpaßwort ziemlich mühselig. Ich habe mir vor längerer Zeit auch einen PW-Speicher gebastelt und für die Eingabe der Zeichen eine Computermaus geschlachtet und das Mausrad (natürlich inkl. Lichtschranken) verwendet. Damit läßt sich der Zeichenvorrat (Alphabet groß/klein, Zahlen, einige Sonderzeichen) ziemlich schnell durchwälzen. Ist dadurch allerdings ein ziemlich großer "Schlüsselanhänger"...
Horst M. schrieb: > Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher > machen? > Mit Tasten den Zeichenvorrat durchnudeln o.ä.? Das wäre bei einem > längeren Masterpaßwort ziemlich mühselig. es reicht dafür eine Taste - man muss nur noch morsen können. Hat den Vorteil das man es blind mache kann.
Peter II schrieb: > ein OTP bring dir keine Vorteile, auch bei AES oder jeder anderem > Verfahren bekommt man mit jeden Key die Daten entschlüsselt. Es kommt > dann nur Unsinn raus. OTP ist das einzige inherent sichere Verfahren, soweit ich weiß. Es gibt bei korrekter Anwendung nichtmal eine theoretische Angriffsmöglichkeit. Zudem es ist so einfach, dass man es im Prinzip mit Bleistift und Papier rechnen kann. Der Andere schrieb: > Was ist der Vorteil deiner Lösung gegenüber eines beliebigen Passwort > Managers, den man auf einen USB-Stick packt. Für manche gibt doch > inzwischen sogar Plugins für Browser etc. Es ist mobil, es braucht keine spezielle Software auf dem PC/Smartphone, es hat keine Verbindung zu einem Netz und kann somit nicht ausgelesen oder manipuliert werden. Marc V. schrieb: > Willst du die Passwörter von OLED abschreiben oder was ? Ja. Ist das ein Problem? Im Moment schreib ich die selten benutzen Passwörter von einem Zettel ab. Bei mir geht Sicherheit definitiv vor Bequemlichkeit. Marc D. schrieb: > Damit ist es hinfällig für einen Passwortspeicher wo der Mensch sich > ein "Master" Passwort merken soll. Ich traue mir durchaus zu, mir einen 16-stelligen Master zu merken. Typsicherweise sind meine Passwörter maximal 12 Zeichen lang. > Oder willst du nur die reinen Passwörter verschlüsseln ? Ja. Wozu sollte ich meinen Usernamen verschlüsseln? Der ist in den meisten Fällen identisch mit der Mailadresse. >> Die >> technischen Detail sind erstmal uninteressant. > > Grade das ist doch das wichtigste... Keiner will eine > Maschine so groß wie die Enigma.. OTP und OLED gehen mühelos auf jedem Arduino oder Micro:bit oder wasweiß ich. Unwichtig. Andererseits brauche ich keine Gedanken an Hardware oder Software zu verschwenden, solange ich nicht weiß, ob das Konzept fehlerfrei ist.
Horst M. schrieb: > Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher > machen? Das fällt unter "technische Details" :-) Mausrad wäre ein Ansatz, oder ein Microjoystick.
Na dann mach mal. Hast du letzte Nacht den Wikiartikel über OTP gefunden? Arduino 5€, OLED 3€, also kannst du das Ding ja für 12€ auf den Markt bringen. Der Nano hat sogar gleich die Stromversorgungsbuchse per USB dabei. Ich finde es sehr löblich, dass du Sicherheit so hoch aufhängst, aber selbst der paranoideste Linuxadmin den ich kenne - und ich kenne ne menge ;-) - hat nen PWsafe auf USB. Udn der ist absolut vom Typ "Mr. Robot / Eliot". Inkl. Drogenkonsum.
Also mir gefällt die Idee gut. Das einzige Problem das ich sehe ist, dass ich momentan nicht wüsste wie man die Bedienung praktikabel umsetzen kann, ohne z.B. einen kleinen Touchscreen zu benutzen. Dann hat das Gerät aber auch gleich eine gewisse Grösse...
Vancouver schrieb: > Ein Arduino nano mit einem OLED > oder etwas in der Art, genau habe ich das noch nicht durchdacht. Die > technischen Detail sind erstmal uninteressant. Noch mehr Krimskrams mit sich rumschleppen? Für portable Daten und zugehörige Software hat man doch schon ein Handy in der Hosentasche. Für Passwörter und andere Schlüssel hab ich immer eine Kopie meiner KeePass-Datei auf der sd-Karte zusammen mit der zugehörigen App.
Matthias Q. schrieb: > Na dann mach mal. Hast du letzte Nacht den Wikiartikel über OTP > gefunden? Mir ist nicht klar, was Du damit meinst. Ich bin neu hier und habe von Elektronik und so keine Ahnung, aber meine Tante hat erzählt, dass OTP sicher ist, und dabe ich gedacht, das wäre gut um mal was mit Microcontrollern zu machen? Willst Du das hören? > Arduino 5€, OLED 3€, also kannst du das Ding ja für 12€ auf den Markt > bringen. Ich habe nicht vor irgendwas auf den Markt zu bringen. > Udn der ist absolut vom Typ "Mr. > Robot / Eliot". Inkl. Drogenkonsum. Nicht gerade ein Vorbild. Joachim S. schrieb: > ohne z.B. einen kleinen > Touchscreen zu benutzen. Dann hat das Gerät aber auch gleich eine > gewisse Grösse... Einen Bschleunigungssensor. mit dem Du den Cursor über das OLED verschiebst. Auf eine ähnliche Weise habe ich mal eine Steuerung für ein Fischertechnikmodell implementiert, natürlich nicht mit Texteingabe, sondern nur zur Menüsteuerung. Ich glaube, da gibts viele Möglichkeiten.
Peter II schrieb: > es reicht dafür eine Taste - man muss nur noch morsen können. Hat den > Vorteil das man es blind mache kann. Und den Nachteil das man es mit einer einfachen Tonaufnahme des Tastengeräuschs knacken kann.
Vancouver schrieb: > aber meine > Tante hat erzählt, dass OTP sicher ist, und dabe ich gedacht, das wäre > gut um mal was mit Microcontrollern zu machen? Ok, Trollthread!
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.