Forum: Offtopic Passwortspeicher


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Vancouver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Moin,

ich habe eine Idee, von der ich nicht weiß, ob sie etwas taugt.
Ich denke an einen Passwortspeicher, in der Art wie ein 
Schlüsselanhänger oder etwas größer. Ein Arduino nano mit einem OLED 
oder etwas in der Art, genau habe ich das noch nicht durchdacht. Die 
technischen Detail sind erstmal uninteressant.

Darin sollen alle meine Passwörter gespeichert und mit einem 
Masterpasswort verschlüsselt werden. Falls das Teil verloren geht oder 
geklaut wird, könnte natürlich jemand per brute force in aller Ruhe 
versuchen, die Verschlüsselung zu knacken. Daher ist meine Idee, ein 
OTP-verfahren einzusetzen. Das hat die Eigenschaft, dass der Dieb für 
jeden ausprobierten Master eine Lösung herausbekommt und nicht weiß, 
welche die richtige ist. Auch der Passwortspeicher selbst weiß es nicht.
Das Problem mit OTP-verfahren ist, dass man es, wie der Name schon sagt, 
nur einmal verwenden kann. Andernfalls kann z.B. durch Differenzanalyse 
mehrerer verschlüsselter Passwörter auf den Master zurückgeschlossen 
werden. Diese Differenzanalyse funktioniert jedoch nur bei 
Klartextnachrichten, also i.A. menschenlesbaren Texten in einer 
natürlichen Sprache und mit einer bestimmten Häufigkeitsverteilung  der 
Zeichen. Dies ist jedoch bei Passwörtern nicht notwendig. Da ich meine 
Passwörter frei wählen kann, kann ich darauf achten, dass Sie keine 
statistischen Auffälligkeiten haben und absolut keinen syntaktischen 
Regeln folgen. Z.B. %$2dCC@?´h"#8yd" Einem solchen Passwort könnte man 
nicht einmal ansehen, ob es verschlüsselt ist oder nicht. Da ich mir das 
Ungetüm nicht merken muss, kann das Passwort aussehen wie es will, und 
daher greift hier keine statistische Analyse. Man könnte die Passwörter 
sogar von einem (echten)  Zufallsgenerator erzeugen lassen. Also der 
Clou an der Sache ist nicht die Verschlüsselung selbst, sondern die 
Gestaltung der Passwörter.

Wenn jemand eines der Passwörter auf andere Weise herausfindet, ist die 
Verschlüsselung natürlich über den Jordan, das ist mir klar.

Ich habe nicht vor, das Teil in naher Zukunft zu bauen, es gibt da 
sicher noch ein paar technische Probleme. Mich interessiert im Moment 
nur, ob da bzgl. der Verschlüsselung ein Denkfehler drin ist.

Comments are welcome.

: Verschoben durch Moderator
von Matthias Q. (zaphod_beeblebrox)


Bewertung
0 lesenswert
nicht lesenswert
%$2dCC@?´h"#8yd ist alles aus dem druckbaren Bereich. Also in der Tat 
nicht der volle Wertebereich. Für dich mag das wirr aussehen, ist alles 
>= 0x20 und somit statistisch relevant. http://www.asciitable.com/

Die Bedienung ist ja nun auch mehr als fragwürdig.
https://pwsafe.org/ setze ich seit Jahren auf nem USB-Stick ein. Frisst 
alles, auch meine pub-keys mit etwas mehr Zeichen als "%$2dCC@?´h"#8yd".

Backup auf unsicheren Medien sehe ich als ungefährlich an.

von Peter II (Gast)


Bewertung
0 lesenswert
nicht lesenswert
ein OTP bring dir keine Vorteile, auch bei AES oder jeder anderem 
Verfahren bekommt man mit jeden Key die Daten entschlüsselt. Es kommt 
dann nur Unsinn raus.

Das Problem ist viel mehr, das du dafür sorgen muss das das Ergebnis im 
sichtbaren Zeichensatz ist.

von Vancouver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Matthias Q. schrieb:
> %$2dCC@?´h"#8yd ist alles aus dem druckbaren Bereich. Also in der Tat
> nicht der volle Wertebereich. Für dich mag das wirr aussehen, ist alles
>>= 0x20 und somit statistisch relevant. http://www.asciitable.com/

Das ist aber nur ein Problem des Mappings. Man könnte alle 
7-Bitkombinationen
zulassen und dann eine Funktion definieren, die das in lesbare Zeichen 
verwandelt. Diese Funktion kann auch offengelegt weden, da sie nicht 
Bestandteil der Verschlüsselung ist.

> Die Bedienung ist ja nun auch mehr als fragwürdig.

Über die Bedienung habe ich garnichts gesagt, aber warum ist sie 
fragwürdig?

von Der Andere (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Was ist der Vorteil deiner Lösung gegenüber eines beliebigen Passwort 
Managers, den man auf einen USB-Stick packt. Für manche gibt doch 
inzwischen sogar Plugins für Browser etc.

von Marc V. (Firma: Vescomp) (logarithmus)


Bewertung
0 lesenswert
nicht lesenswert
Vancouver schrieb:
>> Die Bedienung ist ja nun auch mehr als fragwürdig.
>
> Über die Bedienung habe ich garnichts gesagt, aber warum ist sie
> fragwürdig?

 Willst du die Passwörter von OLED abschreiben oder was ?

von Marc D. (gierig) Benutzerseite


Bewertung
2 lesenswert
nicht lesenswert
https://xkcd.com/538/

Was spricht gegen KeyPass oder OnePassword als App auf dem Mobilen 
Fernsprechapparat ?


Vancouver schrieb:
> Die
> technischen Detail sind erstmal uninteressant.

Grade das ist doch das wichtigste... Keiner will eine
Maschine so groß wie die Enigma..

OTP Gerede...
OTP ist OTP ist OTP. Keine Ausnahmen und kein wenn
und auch kein aber. Damit OTP Sicher ist muss der
Schlüssel auch so lang sein wie die Information die es zu
verschlüsseln gilt.

Damit ist es hinfällig für einen Passwortspeicher wo der Mensch sich
ein "Master" Passwort merken soll.


> Z.B. %$2dCC@?´h"#8yd" Einem solchen Passwort könnte man
> nicht einmal ansehen, ob es verschlüsselt ist oder nicht.

Fein, wozu ? Dir wirst dir sicherlich auch
noch dazu schreiben sollen wie der User Name ist und wofür das
Password ist.  Da Usernamen oder Dinge and die man sich anmelden will 
selten
„6““%&23FSkk2!“ heißen wird jedem schnell klar das das hier 
verschlüsselt wird.

Oder willst du nur die reinen Passwörter verschlüsseln ?

: Bearbeitet durch User
von Daniel A. (daniel-a)


Bewertung
0 lesenswert
nicht lesenswert
Ich würde bereits verhandene Libs und bewährte Verschlüsselungsverfahren 
verwenden. Ich würde mit sha512 einen 64 byte key erzeugen, und mit 
einer AES lib wie https://github.com/DavyLandman/AESLib die Passwörter 
Ver- und Entschlüsseln lassen.

von Horst M. (horst)


Bewertung
0 lesenswert
nicht lesenswert
Vancouver schrieb:
> Ich denke an einen Passwortspeicher, in der Art wie ein
> Schlüsselanhänger oder etwas größer.

Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher 
machen?
Mit Tasten den Zeichenvorrat durchnudeln o.ä.? Das wäre bei einem 
längeren Masterpaßwort ziemlich mühselig.

Ich habe mir vor längerer Zeit auch einen PW-Speicher gebastelt und für 
die Eingabe der Zeichen eine Computermaus geschlachtet und das Mausrad 
(natürlich inkl. Lichtschranken) verwendet. Damit läßt sich der 
Zeichenvorrat (Alphabet groß/klein, Zahlen, einige Sonderzeichen) 
ziemlich schnell durchwälzen.
Ist dadurch allerdings ein ziemlich großer "Schlüsselanhänger"...

von Peter II (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Horst M. schrieb:
> Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher
> machen?
> Mit Tasten den Zeichenvorrat durchnudeln o.ä.? Das wäre bei einem
> längeren Masterpaßwort ziemlich mühselig.

es reicht dafür eine Taste - man muss nur noch morsen können. Hat den 
Vorteil das man es blind mache kann.

von Vancouver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> ein OTP bring dir keine Vorteile, auch bei AES oder jeder anderem
> Verfahren bekommt man mit jeden Key die Daten entschlüsselt. Es kommt
> dann nur Unsinn raus.

OTP ist das einzige inherent sichere Verfahren, soweit ich weiß. Es gibt 
bei korrekter Anwendung nichtmal eine theoretische Angriffsmöglichkeit. 
Zudem es ist so einfach, dass man es im Prinzip mit Bleistift und Papier 
rechnen kann.

Der Andere schrieb:
> Was ist der Vorteil deiner Lösung gegenüber eines beliebigen Passwort
> Managers, den man auf einen USB-Stick packt. Für manche gibt doch
> inzwischen sogar Plugins für Browser etc.

Es ist mobil, es braucht keine spezielle Software auf dem PC/Smartphone, 
es hat keine Verbindung zu einem Netz und kann somit nicht ausgelesen 
oder manipuliert werden.

Marc V. schrieb:
> Willst du die Passwörter von OLED abschreiben oder was ?

Ja. Ist das ein Problem? Im Moment schreib ich die selten benutzen 
Passwörter von einem Zettel ab.
Bei mir geht Sicherheit definitiv vor Bequemlichkeit.

Marc D. schrieb:
> Damit ist es hinfällig für einen Passwortspeicher wo der Mensch sich
> ein "Master" Passwort merken soll.

Ich traue mir durchaus zu, mir einen 16-stelligen Master zu merken. 
Typsicherweise sind meine Passwörter maximal 12 Zeichen lang.

> Oder willst du nur die reinen Passwörter verschlüsseln ?

Ja. Wozu sollte ich meinen Usernamen verschlüsseln? Der ist in den 
meisten Fällen identisch mit der Mailadresse.

>> Die
>> technischen Detail sind erstmal uninteressant.
>
> Grade das ist doch das wichtigste... Keiner will eine
> Maschine so groß wie die Enigma..

OTP und OLED gehen mühelos auf jedem Arduino oder Micro:bit oder wasweiß 
ich. Unwichtig. Andererseits brauche ich keine Gedanken an Hardware oder 
Software zu verschwenden, solange ich nicht weiß, ob das Konzept 
fehlerfrei ist.

von Vancouver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Horst M. schrieb:
> Wie willst'n Du die Eingabe des Masterpaßworts am Paßwortspeicher
> machen?

Das fällt unter "technische Details" :-) Mausrad wäre ein Ansatz, oder 
ein Microjoystick.

von Matthias Q. (zaphod_beeblebrox)


Bewertung
0 lesenswert
nicht lesenswert
Na dann mach mal. Hast du letzte Nacht den Wikiartikel über OTP 
gefunden?

Arduino 5€, OLED 3€, also kannst du das Ding ja für 12€ auf den Markt 
bringen.

Der Nano hat sogar gleich die Stromversorgungsbuchse per USB dabei.

Ich finde es sehr löblich, dass du Sicherheit so hoch aufhängst, aber 
selbst der paranoideste Linuxadmin den ich kenne - und ich kenne ne 
menge ;-) - hat nen PWsafe auf USB. Udn der ist absolut vom Typ "Mr. 
Robot / Eliot". Inkl. Drogenkonsum.

von Joachim S. (oyo)


Bewertung
0 lesenswert
nicht lesenswert
Also mir gefällt die Idee gut.
Das einzige Problem das ich sehe ist, dass ich momentan nicht wüsste wie 
man die Bedienung praktikabel umsetzen kann, ohne z.B. einen kleinen 
Touchscreen zu benutzen. Dann hat das Gerät aber auch gleich eine 
gewisse Grösse...

von Bernd K. (prof7bit)


Bewertung
-1 lesenswert
nicht lesenswert
Vancouver schrieb:
> Ein Arduino nano mit einem OLED
> oder etwas in der Art, genau habe ich das noch nicht durchdacht. Die
> technischen Detail sind erstmal uninteressant.

Noch mehr Krimskrams mit sich rumschleppen? Für portable Daten und 
zugehörige Software hat man doch schon ein Handy in der Hosentasche. Für 
Passwörter und andere Schlüssel hab ich immer eine Kopie meiner 
KeePass-Datei auf der sd-Karte zusammen mit der zugehörigen App.

von Vancouver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Matthias Q. schrieb:
> Na dann mach mal. Hast du letzte Nacht den Wikiartikel über OTP
> gefunden?

Mir ist nicht klar, was Du damit meinst.
Ich bin neu hier und habe von Elektronik und so keine Ahnung, aber meine 
Tante hat erzählt, dass OTP sicher ist, und dabe ich gedacht, das wäre 
gut um mal was mit Microcontrollern zu machen? Willst Du das hören?

> Arduino 5€, OLED 3€, also kannst du das Ding ja für 12€ auf den Markt
> bringen.

Ich habe nicht vor irgendwas auf den Markt zu bringen.

> Udn der ist absolut vom Typ "Mr.
> Robot / Eliot". Inkl. Drogenkonsum.

Nicht gerade ein Vorbild.

Joachim S. schrieb:
> ohne z.B. einen kleinen
> Touchscreen zu benutzen. Dann hat das Gerät aber auch gleich eine
> gewisse Grösse...

Einen Bschleunigungssensor. mit dem Du den Cursor über das OLED 
verschiebst. Auf eine ähnliche Weise habe ich mal eine Steuerung für ein 
Fischertechnikmodell implementiert, natürlich nicht mit Texteingabe, 
sondern nur zur Menüsteuerung. Ich glaube, da gibts viele Möglichkeiten.

von Der Andere (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Peter II schrieb:
> es reicht dafür eine Taste - man muss nur noch morsen können. Hat den
> Vorteil das man es blind mache kann.

Und den Nachteil das man es mit einer einfachen Tonaufnahme des 
Tastengeräuschs knacken kann.

von Der Andere (Gast)


Bewertung
-4 lesenswert
nicht lesenswert
Vancouver schrieb:
> aber meine
> Tante hat erzählt, dass OTP sicher ist, und dabe ich gedacht, das wäre
> gut um mal was mit Microcontrollern zu machen?

Ok, Trollthread!

von Le X. (lex_91)


Bewertung
0 lesenswert
nicht lesenswert
bravo...

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.