mikrocontroller.net

Forum: PC Hard- und Software Passwort-Manager vs Excel-Tabelle?


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Pfeiffer mit 3 "f" (Gast)
Datum:

Bewertung
-4 lesenswert
nicht lesenswert
Hallo, angeregt duch den Thread hier: 
Beitrag "Allgemeine Frage zu Passwort-Managern"
möchte ich Euch mal fragen wo der Unterschied eines Passwortmanagers zu 
einer Excel-Tabelle ist?

Ich benütze derzeit keinen Passwortmanager, habe mir aber die Beiträge 
durchgelesen und finde das Prinzip eine Managers nicht schlecht. Bei 
meiner Recherche im Internet nach solchen Managern fällt mir aber ein 
gravierender Nachteil auf - die Programme sind nicht 
plattformübergreifend.
KeyPass z.B. ist als exe nicht auf Android oder Mac ausführbar.

Meine Überlegung ist nun eine Excel-Tabelle. Die kann man ja eigentlich 
überall öffnen. Natürlich muss diese Tabelle mit einem starken Passwort 
geschützt werden - das müssen Passwort-Manager aber auch.

Ist diese Idee dumm? wo liegen die Nachteile einer passwortgeschützten 
Exceltabelle?

Während der Passwortschutz beim alten Format *.xls bekannter Maßen nicht 
sicher war und man das PW mit freien Tools aus dem Internet schnell 
knacken konnte, ist doch das *.xlsx-Format recht sicher, oder???


Was sagen die Experten? ist ein Passwortmanager gegenüber einer 
Exceltabelle wirklich sicherer / besser?


Und ja mir ist bewusst, dass die Sicherheit mit der Auswahl eines guten 
Passworts steht und fällt. Jüngst haben wir erfahren, das "Vegan123" 
kein gutes Passwort ist.
Aber das dürfte bei einer Exceltabelle wie auch bei KeyPass gleich 
sein...

Autor: Kolja (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Pfeiffer mit 3 "f" schrieb:
> KeyPass z.B. ist als exe nicht auf Android oder Mac ausführbar.

Muß es doch auch nicht. Soviel ich weiß, kann die eigentliche 
Passwort-Datei von allen Keypass-Versionen auf allen Plattformen 
geöffnet werden.

Autor: Sebastian (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich hatte mir mal ein jpg erzeugt mit allen Passwörter und daraus ein 
verschlüsseltes PDF erstellt. Das galt vor zehn Jahren mal als sicher. 
Hab ich inzwischen aber nicht mehr. Dem verschlüsselten xlsx traue ich 
genauso wenig.

Autor: Otto Mans (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Passwort-geschützte Mappen kannst Du per Hand "entschlüsseln", in dem 
der umgebende sheetProtection XML Tag einfach entfernt wird... (wer 
denkt sich sowas aus???).

Verschlüsselte Sheets sind angeblich auch mit Tool knackbar, da habe ich 
aber keine Erfahrung ob das wirklich zuverlässig klappt.

Bei Excel hätte ich neben dem Zweifel an der sicheren Implemetierung 
noch die Sorge, dass man nicht weiß welche evtl. Temp-File noch so 
existieren und die Daten enthalten.

Die PW Manager sind zumindestens für diesen einen Zweck gemacht und 
deutlich besser für den Zweck, auch wenn es dort auch Raum für 
Diskussionen gibt.

Autor: der Ich bin's (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Otto Mans schrieb:
> Passwort-geschützte Mappen kannst Du per Hand "entschlüsseln", in dem
> der umgebende sheetProtection XML Tag einfach entfernt wird... (wer
> denkt sich sowas aus???).
>
> Verschlüsselte Sheets sind angeblich auch mit Tool knackbar, da habe ich
> aber keine Erfahrung ob das wirklich zuverlässig klappt.



Das halte ich für ein Gerücht!

Autor: Luther B. (luther-blissett)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Pfeiffer mit 3 "f" schrieb:

> Bei
> meiner Recherche im Internet nach solchen Managern fällt mir aber ein
> gravierender Nachteil auf - die Programme sind nicht
> plattformübergreifend.
> KeyPass z.B. ist als exe nicht auf Android oder Mac ausführbar.

Wie sehen denn bei dir Internet-Recherchen aus? Auf 
https://keepass.info/download.html sind dutzende Ports für alle 
möglichen Systeme.

Es gibt mehrere Portierungen für Android. Ich benutze diese hier, die 
den Store direkt aus Dropbox aufmachen und wieder sichern kann:

https://play.google.com/store/apps/details?id=keepass2android.keepass2android

MacOS Version hier:

https://keepass.info/download/p_macosx/index.html

ditto Linux usw. Keepass gibt es wirklich überall und die Kombi 
Dropbox/Keepass für Passwörter und PIN funktioniert bei mir 
plattformübergreifend schon seit ewigen Jahren.

: Bearbeitet durch User
Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein Passwortmanager wird seinen für die Passwörter reservierten Speicher 
nach beenden überschreiben oder dafür vorgesehene Funktionen des 
Betriebssystem nutzen, die das machen.

Bei einem Programm wie Excel würde ich eher davon ausgehen dass der 
Speicher vom OS lediglich freigegeben, aber nicht zwangsläufig auch 
gesäubert wird.

Außerdem ist Excel sehr komplex und bietet theoretisch durch die größere 
Komplexität und Programmgröße mehr Angriffsfläche als so ein kleiner PW 
Manager.


Zumal Excel selbst auch nicht plattformunabhängig ist, das wäre eher 
LibreOffice Calc, was aber die gleichen Probleme hätte.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Korrektur:
Es muss natürlich "beim Beenden" heißen.

Autor: Arno K. (Firma: OE2) (radiosonde)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Den Sheet muss man ja nicht verschlüsseln!
Einfach unverfänglich benennen und irgendwo untermischen.

LG

Autor: Lothar M. (zwickel)
Datum:
Angehängte Dateien:

Bewertung
-2 lesenswert
nicht lesenswert
Nachdem ich verschiedene Passwortmanager ausprobiert hatte, hatte ich 
die Nase voll. Einige der Programme nerven unglaublich mit Werbung.

Kurzum, ich habe meine Datei(en) unter Excel erstellt und mit einem 
kleinen Proggi verschlüsselt.

Das Programm Challenger kann sowohl einzelne Dateien, alsauch ganze 
Ordner in einem Rutsch verschlüsseln.

Ist für den Privatgebrauch Freeware, ganz ohne nervende Einblendungen 
und denkbar einfach zu bedienen.

Autor: Nano (Gast)
Datum:

Bewertung
-3 lesenswert
nicht lesenswert
Ich würde hierfür  kein Programm benutzen bei dem die Verschlüsselung 
extern erst auf die Datein angewendet wird, denn das Dateisystem könnte 
bspw Copy on Write nutzen, dann liegen die Datein im Klartext vor.

Die Verschlüsselung muss also schon erfolgen, wenn die Daten noch im RAM 
liegen.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Und selbst wenn so eine Lösung auf Dateiebene genügen würde, dann würde 
ich dafür keine proprietäre Lösung verwenden, sondern gnupg, das geht 
damit auch.

Autor: MS415D (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mahlzeit.

Auch Interessant:
https://www.sse-web.de/produkte/passwordsafe/

Allerdings nur für Windows und kein OpenSource. Ich persönlich würde das 
ja gerne mal testen, aber ist mit zu teuer.

Autor: Lothar M. (zwickel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
MS415D schrieb:
> Auch Interessant:
> https://www.sse-web.de/produkte/passwordsafe/

Die können nochnichteinmal Screenshot richtig schreiben....

Da gefällt mir https://encryption-software.de/challenger/de/  viel 
besser.

Autor: Mach (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Was m.E. etwas gegen einen Passwortmanager spricht, ist dass ein 
Schadprogramm den Passwortmanager recht leicht im System finden kann und 
damit auch den Ablageort der Passwoerter. Zumindest bietet ein bekannter 
Passwortmanager allein durch seine Verbreitung eine Attraktivitaet fuer 
Hacker.

Autor: Pfeiffer mit 3 "f" (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo und vielen Dank für die bisherigen Antworten.

Die Anmerkung von "Mach" sehe ich sehr interessant!
Sollte für ein Passwortmanager eine Sicherheitslücke bekannt werden, 
sind tausenden Passwörter gefährdet. Bei Excel ist mir derzeit keine 
Methode bekannt, das PW zu umgehen.

Ist allerdings der PC bereits kompromittiert, hat man bei Excel das 
gerade kopierte PW dafür u.U. stundenlang im RAM.

Das selbstständige löschen des Zwischenspeichers sehe ich aber derzeit 
als einzigen Vorteil eines Passwortmanagers, richtig?

Autor: #Neuland (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Sollte für ein Passwortmanager eine Sicherheitslücke
>bekannt werden, sind tausenden Passwörter gefährdet.
>Bei Excel ist mir derzeit keine Methode bekannt, das
>PW zu umgehen.

Ist bei einem Manager und bei Excel / Office genau gleich!
Es ist ja jeweils nur die Inhaltsdatei verschlüsselt. Wenn sich eine 
Möglichkeit ergibt die Dateien ohne PW zu öffnen, benötigt man das 
Programm selbst gar nicht (also Excel oder PW-Manager) - dann werden 
andere tools zum PW-Knacken heran gezogen.

Die Frage ist eben, wie sicher ist die Verschlüsselung der Datei!?

Office 2007–2013 verschlüsselt mit einem 128-bit key AES, O2k16 sogar 
mit einem 256-bit key - Das ist an sich "sehr sicher".
https://en.wikipedia.org/wiki/Microsoft_Office_password_protection

Beim PW-Manager kommt es eben auf das Programm an, KeePass z.B. benützt 
einen SHA-256-Hash, das gilt derzeit als "nahezu unknackbar"...

Ich denke beides, Excel und PW-Manager, sind sehr sicher - 
VORRAUSGESETZT das Passwort zum öffnen der Datei wurde sicher gewählt 
und das System, auf welchem man arbeitet ist sauber!

der PW-Manager bietet eben der Vorteil das die Zwischenablage nach 
x-Sekunden gelöscht wird. Excel hingegen bietet mehr Gestaltungsfreiraum 
mit Bemerkungen, Notizen und Sortierung...




Ich glaube, das größte Einfallstor ist die leichtsinnige Wahl eines 
schwachen Hauptschlüssels. Hat nicht google oder FB mal eine Liste mit 
den häufigsten Passwörtern veröffentlicht!? - hoch im Kurs war 
"password", "123456" und "secret" :o)

Autor: Luther B. (luther-blissett)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
#Neuland schrieb:
> Office 2007–2013 verschlüsselt mit einem 128-bit key AES, O2k16 sogar
> mit einem 256-bit key - Das ist an sich "sehr sicher".
> https://en.wikipedia.org/wiki/Microsoft_Office_password_protection
>
> Beim PW-Manager kommt es eben auf das Programm an, KeePass z.B. benützt
> einen SHA-256-Hash, das gilt derzeit als "nahezu unknackbar"...

SHA-256 wird nicht zum Verschlüsseln verwendet, sondern ist eine 
Hashfunktion, die zum Generieren des Keys verwendet wird. Das 
funktioniert so, daß das Passwort zusammen mit einem Salt gehasht wird 
*und dies mit dem Ergebnis wiederholt wird, z.T. mehrere tausend Mal*. 
Das Ergebnis dieser Operation ist dann der eigentlich Schlüssel.

Die Idee dahinter ist, daß es mir nichts ausmacht, wenn das Öffnen 
meiner Datenbank wegen der Schlüsselgewinnung eine Sekunde oder länger 
dauert. Ein Angreifer aber muß die Schlüsselgewinnung aber auch 
durchführen und kann ebenfalls nur eine Schlüssel pro Sekunde probieren.

Die Anzahl der Runden und das Verfahren zur Schlüsselgewinnung (u.A. 
Argon2, welches Angriffe mit spezieller Hardware erschwert) kann bei 
Keepass unter den Datenbankeigenschaften eingestellt werden.

Autor: #Neuland (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Für alle Interessierten lasse ich mal diesen Link hier zurück:
https://www.heise.de/security/meldung/Passwort-Tresor-Webbrowser-Firefox-pfuscht-seit-neun-Jahren-beim-Master-Kennwort-3998599.html

Fazit ist, dass der interne Passwortmanager von Firefox und Thunderbird 
eher unsicher sind, es ist als Ratsam lieber auf etwas anderes zurück zu 
greifen. Wobei das natürlich bei Thunderbird problematisch bzw. unbequem 
sein könnte...

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> SHA-256-Hash, das gilt derzeit als "nahezu unknackbar"...

Das war bei PGP auch mal so. Dann hat einer die Tastatur abgehört ...
Wie oben schon stand: mit der Verbreitung wächst das Risiko.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
#Neuland schrieb:
> Beim PW-Manager kommt es eben auf das Programm an, KeePass z.B. benützt
> einen SHA-256-Hash, das gilt derzeit als "nahezu unknackbar"...

Der SHA-256-Hash bezieht sich höchstwahrscheinlich auf den Masterkey, 
der
die Entschlüsselung erst freischaltet.
Die eigentliche Verschlüsselung der vielen Passwörter wird sicherlich 
nicht mit einem Hashverfahren durchgeführt.


Wegen der Kompromitierung, sobald der Angreifer einen Keylogger 
installiert hat und der Nutzer sein PW Wallet einmal öffnet, hat der 
Angreifer Zugang zu allen Passwörtern im Passwortmanager.

Autor: Marek N. (bruderm)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
+1 für KeePass, der auch schon seit über einem Jahrzehnt mein geringstes 
Misstrauen genießt.

Mach schrieb:
> Was m.E. etwas gegen einen Passwortmanager spricht, ist dass ein
> Schadprogramm den Passwortmanager recht leicht im System finden kann und
> damit auch den Ablageort der Passwoerter. Zumindest bietet ein bekannter
> Passwortmanager allein durch seine Verbreitung eine Attraktivitaet fuer
> Hacker.

Berechtigter Einwand! Sollte irgendwann ein Angriffs-Szenario auf KP 
bekannt werden oder ein Angreifer die Datenbank entführen und in einem 
parallelen Prozess per Brute-Force knacken, steht man sprichwörtlich mit 
heruntergelassenen Hosen dar, weil sämtliche Passwörter und weitere 
Logindaten + evtl. Sicherheitsfragen auf ein Mal verfügbar werden.

Any bessere Vorschläge?

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marek N. schrieb:
> Any bessere Vorschläge?

Wie schon gesagt, Stift und Papier. Das begrenzt zumindest die Anzahl 
der Passwörter, die sich zur gleichen Zeit auf dem Rechner auf den 
Datenträgern oder im RAM befinden.
Man wird an einem Tag wohl nicht überall in allen Accounts eingeloggt 
sein.

Autor: Master of PW (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Marek N. schrieb:
> Any bessere Vorschläge?

Jedes Passwort noch um eine Phrase die man nur im Gedächtnis hat 
erweitern und nicht im KeePass hinterlegen.

Nano schrieb:
> Wegen der Kompromitierung, sobald der Angreifer einen Keylogger
> installiert hat und der Nutzer sein PW Wallet einmal öffnet, hat der
> Angreifer Zugang zu allen Passwörtern im Passwortmanager.

Dann hat man meist eh ganz andere Probleme.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Man wird an einem Tag wohl nicht überall in allen Accounts eingeloggt
> sein.

Ach und noch etwas vergessen.
Die PW werden bei einem Login sowieso nur für Sekundenbruchteile 
benötigt.
Sobald der Webserver das PW erhalten hat, bildet er damit und seinem 
Salt einen Hash und vergleicht den mit dem in seiner Datenbank.
Sind die beiden Hashs identisch, dann hat sich der Nutzer ordentlich 
authentifiziert und für die weitere Sitzung wird ein Session Key 
ausgehandelt. Das PW ist ab dem Punkt nicht mehr nötig.

Autor: Marek N. (bruderm)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Master of PW schrieb:
> Jedes Passwort noch um eine Phrase die man nur im Gedächtnis hat
> erweitern und nicht im KeePass hinterlegen.

Das ist eine gute Idee! Quasi analoges Salt ;-)

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marek N. schrieb:
> Das ist eine gute Idee! Quasi analoges Salt ;-)

Wenn das Masterpasswort mit einem Keylogger abgefangen wird, dann hilft 
auch der extra Phrase nichts mehr, weil den muss man auch eingeben.
Der Phrase erhöht die Sicherheit so gesehen eigentlich nicht, er 
bedeutet nur mehr Aufwand und Arbeit.

Anders sieht es höchstens nur dann aus, wenn der Angreifer das nicht 
bemerkt.
Also wenn er einfach nur automatisiert die PW im Keylogger abgreift und 
dann aufhört ohne daran zu denken, den Nutzer noch etwas weiter per 
Keylogger zu überwachen.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Wenn das Masterpasswort mit einem Keylogger abgefangen wird, dann hilft
> auch der extra Phrase nichts mehr, weil den muss man auch eingeben.

Der Eingabeweg kann aber verschieden sein. Wenn der Tastatur-Suppe z.B. 
noch Salt vom Monitor hinzugefügt wird (wie bei mancher Direktbank), 
wird der Datenklau etwas mühsamer.

Autor: vn n. (wefwef_s)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Nano schrieb:
> Wegen der Kompromitierung, sobald der Angreifer einen Keylogger
> installiert hat und der Nutzer sein PW Wallet einmal öffnet, hat der
> Angreifer Zugang zu allen Passwörtern im Passwortmanager.

Wenn dein Rechner kompromittiert ist, hat er auch Zugang zu deinen 
manuell eingegebenen Passwörtern, ist also völlig Banane. Ein 
kompromittierter Recher ist nicht vertrauenswürdig, simple as that.

Autor: Arc N. (arc)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lothar M. schrieb:
> Nachdem ich verschiedene Passwortmanager ausprobiert hatte, hatte ich
> die Nase voll. Einige der Programme nerven unglaublich mit Werbung.
>
> Kurzum, ich habe meine Datei(en) unter Excel erstellt und mit einem
> kleinen Proggi verschlüsselt.
>
> Das Programm Challenger kann sowohl einzelne Dateien, alsauch ganze
> Ordner in einem Rutsch verschlüsseln.

Nicht öffentliches, selbstgebasteltes Kryptoverfahren und dazu ein 
selbstgebastelter Zufallszahlengeneratoren. Beide ohne jeglichen 
öffentlichen Review. Dem würde ich höchstens soweit trauen, wie ich den 
Quelltext kenne. Nämlich gar nicht, da nicht vorhanden.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
vn n. schrieb:
> Nano schrieb:
>> Wegen der Kompromitierung, sobald der Angreifer einen Keylogger
>> installiert hat und der Nutzer sein PW Wallet einmal öffnet, hat der
>> Angreifer Zugang zu allen Passwörtern im Passwortmanager.
>
> Wenn dein Rechner kompromittiert ist, hat er auch Zugang zu deinen
> manuell eingegebenen Passwörtern, ist also völlig Banane. Ein
> kompromittierter Recher ist nicht vertrauenswürdig, simple as that.

Das ist richtig.
Es könnte aber sein, dass man den Einbruch noch bemerkt oder irgend ein 
Ereignis zur Neuinstallation führt, bevor man sämtliche PW eingegeben 
hat.
Listen mit kompromittierte PW könnten bspw. im Darknet veröffentlicht 
werden, wenn das passiert, dann erfährt davon auch 
https://haveibeenpwned.com/
Hat man dort seine E-Mail eingetragen, dann wird man benachrichtigt und 
kann entsprechend handeln.

Es ist somit durchaus möglich, dass man nicht alles auf seiner 
Papierliste eingegeben hat.
Bei einem PW Manager hat er aber wirklich alles.

Autor: Mad (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Lothar M. schrieb:
> Das Programm Challenger kann sowohl einzelne Dateien, alsauch ganze
> Ordner in einem Rutsch verschlüsseln.

Und weil das ganze so trivial ist, traue ich deinem Tool, das du in 
deinem Kellerchen gefrickelt hast natürlich allemal mehr als jedem 
Passwortmanager.

Autor: Mad (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Marek N. schrieb:
> Berechtigter Einwand! Sollte irgendwann ein Angriffs-Szenario auf KP
> bekannt werden oder ein Angreifer die Datenbank entführen und in einem
> parallelen Prozess per Brute-Force knacken, steht man sprichwörtlich mit
> heruntergelassenen Hosen dar, weil sämtliche Passwörter und weitere
> Logindaten + evtl. Sicherheitsfragen auf ein Mal verfügbar werden.

Ihr geht ja auch immer davon aus, dass man Opfer eines Superduperhackers 
wird.

Für Otto-Normal ist Keepas doch nicht zum Schutz vor solchen Szenarien. 
z.B. kann man per Keepas seine Passworter mobil halten, verliert man 
z.B. den Laptop mit der Datenbank oder wird dieser gekidnapt, kann mit 
Sicherheit der Fündige damit nichts anfangen. Der ist viel zu blöd dazu.

Es wird beim Thema Sicherheit, Firewall und Passwort-managern viel zu 
wenig differenziert. Sofort kommt die "Alles ist knackpar"-Keule.

Autor: Lothar M. (zwickel)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Arc N. schrieb:
> Nicht öffentliches, selbstgebasteltes Kryptoverfahren und dazu ein
> selbstgebastelter Zufallszahlengeneratoren. Beide ohne jeglichen
> öffentlichen Review. Dem würde ich höchstens soweit trauen, wie ich den
> Quelltext kenne. Nämlich gar nicht, da nicht vorhanden.

Genau darin liegt die Sicherheit!

selbstgebastelt....jedes Programm ist von jemanden selbst gebastelt.

Mad schrieb:
> Für Otto-Normal ist Keepas doch nicht zum Schutz vor solchen Szenarien.

Dann ist es auch völlig nutzlos.

Autor: Jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo

"Nicht öffentliches, selbstgebasteltes Kryptoverfahren und dazu ein
selbstgebastelter Zufallszahlengeneratoren."

Was ja supereinfach ist wenn man kein Mathematiker und Programmierer 
ist... ;-)

Ich denke das selbst in diesen Forum nicht mal 1% das wirklich schaffen 
können - also wirklich selbst entwickelt und nicht aus Bausteinen 
zusammengesetzt.
Wie soll das erst beim normalen Nutzer aussehen?

Was ganze (wenn auch letztendlich kleine) Firmen beschäftigt dürfte doch 
schon eine "weniger leichte" Herausforderung sein - reale Sheldon 
Coopers oder Überflieger wie Hawking (RIP) sind halt recht dünn gesäht.

Jemand

Autor: Toxic (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
#Neuland schrieb:
> Ich glaube, das größte Einfallstor ist die leichtsinnige Wahl eines
> schwachen Hauptschlüssels.

http://www.spiegel.de/netzwelt/web/gmx-und-web-de-mail-anbietern-reicht-passwort-als-passwort-a-1247013.html

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mach schrieb:
> Was m.E. etwas gegen einen Passwortmanager spricht, ist dass ein
> Schadprogramm den Passwortmanager recht leicht im System finden kann und
> damit auch den Ablageort der Passwoerter.

Gute Verschlüsselung mit guten Password muss sich nicht verstecken.

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Gute Verschlüsselung mit guten Password muss sich nicht verstecken.

Aber man kann das Programm gezielt angreifen.

Beispiel, es wäre nicht schwer (oft, kommt drauf an) den Shortcut auf 
den Passwortmanager aufs eigene Programm zu verbiegen.
Das eigene Programm ist optisch identisch mit der Passwortabfrage des 
Passwortmanagers. Und schon hat man Datenbank und Masterpasswort. Und 
das ohne wirklich komplizierte Sachen programmieren zu müssen.

Autor: qwertzuiopü+ (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lothar M. schrieb:
> Arc N. schrieb:
>> Nicht öffentliches, selbstgebasteltes Kryptoverfahren und dazu ein
>> selbstgebastelter Zufallszahlengeneratoren. Beide ohne jeglichen
>> öffentlichen Review. Dem würde ich höchstens soweit trauen, wie ich den
>> Quelltext kenne. Nämlich gar nicht, da nicht vorhanden.
>
> Genau darin liegt die Sicherheit!

Ich würde ja lachen, wenn ich wüsste, dass das ironisch gemeint wäre...

Das sicherste bleibt ein Programm wie KeePass, was eben zahlreiche 
Audits hinter sich hat und eben komplett offenlegt, wie es arbeitet.

"Nettes" Gegenbeispiel: Youtube-Video "34C3 -  Der PC-Wahl-Hack"

Verschlüsselte Textdokumente wären grundsätzlich auch eine Option, da 
dürften wohl keine temporären Dateien irgendwo abgelegt werden. Wenn man 
TrueCrypt/VeraCrypt dafür nutzt (Oder meinetwegen auch Bitlocker, was ja 
abseits der Unbekannten Microsoft/NSA als sicher gilt - und wenn das 
relevant ist, hat man sowieso das falsche OS mit Windows gewählt), 
klingt das nach einer vernünftigen Alternative. Zwar bei Weitem nicht so 
praktisch, aber natürlich tendenziell weniger anfällig, wenn mal jemand 
einen Trojaner "gegen" KeePass schreibt.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Pfeiffer mit 3 "f" schrieb:
> möchte ich Euch mal fragen wo der Unterschied eines Passwortmanagers zu
> einer Excel-Tabelle ist?

- Automatische Backups, ggf in die Cloud.
- Selbsttätige Eingabe von Username/Password in die Eingabefelder.
  Erspart das leicht mitschnüffelbare Clipboard.
- Alternativ mit eigenem virtuellen Keyboard, um User/Pass ohne
  Clipboard einzutragen. Gibts zumindest bei Android.
- Erzeugung guter Passwörter.
- Automatischer Zugangsschutz nach Timeout, Screen-Off etc.
- Gruppierung von Einträgen.
- Gibts für alle gebräuchlichen Plattformen.
- Verhindert Screendumps, Vorschau... mindestens in Android.

: Bearbeitet durch User
Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lothar M. schrieb:
> Genau darin liegt die Sicherheit!
>
> selbstgebastelt....jedes Programm ist von jemanden selbst gebastelt.

Das ist keine Sicherheit.

Gute Kyptoverfahren zu implementieren ist keine leichte Aufgabe und 
selbst wenn du meinst guten Code geschrieben zu haben und keine Fehler 
gemacht zu haben wirst du das erst mit Gewissheit wissen, wenn ein paar 
dutzend sehr guter Programmierer und in dem Fall auch 
Kryptografiexperten von denen es auf der Welt nur sehr wenige gibt, sich 
den Code genau angesehen haben.

Und sich ein eigenes Kryptoverfahren auszudenken ist erst recht Mist.

Was man aber machen kann ist lediglich eine fertige und gut gepflegte 
Kryptobibliothek zu verwenden.


Informatiker basteln übrigens keine Programme, sie konstruieren sie. Das 
basteln ist dem Hobbyprogrammierer vorbehalten. ;)

Autor: Jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Informatiker basteln übrigens keine Programme, sie konstruieren sie.

Manchmal wünschte ich mir, die würden einfach halbwegs funktionierenden 
Code in irgendeiner Programmiersprache veröffentlichen, nicht mal 
zwingend kommentiert. Das Pseudocode-geschwurbel mit 
Minimalstbezeichnern deren Definitionen man in mehreren Seiten Text 
suchen muss ist eine Qual.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.