You are not logged in.

hamena314

Zerschmetterling

  • "hamena314" is male
  • "hamena314" started this thread

Posts: 2,032

Date of registration: Aug 31st 2003

Location: Hannover

Occupation: Informatikstudent (d'uh)

1

Thursday, February 21st 2008, 1:01pm

Passwörter sichern / Passwortsafe

Hallo,

ich benutze ungern Standardpasswörter und habe daher etliche unterschiedliche. Jetzt bin ich vor einiger Zeit dazu übergegangen, diese in einem Passwortsafe auf einem Offline(!)-Rechner zu speichern und zwar mit dem Programm:
"Alle meine Passworte" - AmP von http://www.alle-meine-passworte.de/

Ist ziemlich komfortabel. Jetzt frage ich mich aber, wie sehr man allgemein solchen Passwort-Safe Programmen vertrauen kann und diesem im Besonderen? Nicht dass heimlich alle Passwörter nach Hause geschickt werden...
Ich weiss, es ist ein bisschen paradox das Prog zu nutzen, weil man ein Passwort benötigt um es zu verwenden ( ergo: hat man dieses Passwort, hat man alle), aber immer noch sicherer als alle zu vergessen oder auf Zetteln mit sich zu führen.

Meinungen, Anregungen, Vorschläge?

HAVE PHUN!

P.S.: Wer mir rät, die doch einfach auswendig zu lernen kriegt Haue. :D
Mein längstes Passwort bestand aus 100 Zeichen, grösstenteils Zahlen, dazu Sonderzeichen, Buchstaben, kein Leet-speak und war nirgends notiert. 8)
Aber langsam wird man ja alt, nech? Und ich hab besseres zu tun als dauernd Passwörter zu lernen...
Nicht der Wind bestimmt die Richtung, sondern das Segel! (Lao Xiang, China)

hyperion

Erfahrener Schreiberling

  • "hyperion" is male

Posts: 422

Date of registration: Oct 8th 2004

2

Thursday, February 21st 2008, 1:55pm

Warum nimmst Du nicht sowas wie gnupg? Einfach eine Textdatei mit allen Sachen drin verschlüsseln und das ganze ist auch noch System unabhängig.
"Der Klügere gibt nach! Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit." --Marie von Ebner-Eschenbach

  • "Joachim" is male

Posts: 2,863

Date of registration: Dec 11th 2001

Location: Hämelerwald

Occupation: Wissenschaftlicher Mitarbeiter (Forschungszentrum L3S, TU Braunschweig)

3

Thursday, February 21st 2008, 2:30pm

RE: Passwörter sichern / Passwortsafe

Jetzt frage ich mich aber, wie sehr man allgemein solchen Passwort-Safe Programmen vertrauen kann und diesem im Besonderen? Nicht dass heimlich alle Passwörter nach Hause geschickt werden...
Es gibt auch derartige Programme aus dem Open-Source-Bereich. Denen würde ich grundsätzlich eher vertrauen ... Ich benutze beispielsweise Revelation (Linux).
The purpose of computing is insight, not numbers.
Richard Hamming, 1962

maffe

Unregistered

4

Thursday, February 21st 2008, 3:54pm

Ich bin mit KeePass sehr zufrieden. Bei so einem sensiblen Bereich ziehe ich quelloffene Programme vor.

Rick

Mädchen

  • "Rick" is male

Posts: 1,266

Date of registration: Mar 17th 2004

Location: ::1/128

Occupation: Forentroll

5

Thursday, February 21st 2008, 4:56pm

wieso nicht einfach mit nem normalen Verschlüsslungsalgorithmus verschlüsseln? gibt doch ne Vielzahl an "Standard"-AES-Implementationen (cryptoloop, dm-crypt und noch ein paar andere) die das transparent erledigen. Dann einfach ne datei anlegen im stil site - login - password und alles ist gut?

Sometimes you've got to ask yourself: Is xkcd shitty today?

CrissCross

Erfahrener Schreiberling

  • "CrissCross" is male

Posts: 282

Date of registration: Feb 15th 2005

6

Thursday, February 21st 2008, 5:55pm

Ich persönlich halte nicht viel von solchen Passwort-Safes. Zum gibt es eine ganze Menge dieser Programme und man weiß weder wie vertrauenswürdig die sind (Stichwort: Trojaner etc.) und außerdem ist es auch schwer die Sicherheit solcher Tools einzuschätzen: Der beste Verschlüsselungsalgorithmus bringt nix, wenn er schlecht implementiert ist etc. Abgesehen davon ist es unter Sicherheitsaspekten wohl eh nicht das Beste alle Passwörter auf einem Haufen zu speichern, da zentraler Angriffspunkt...

Allgemein würde ich wenn aber auch (bekannten) Open Source Programmen hier mehr vertrauen. Eine Empfehlung wäre hier noch Truecrypt, womit man nicht nur verschlüsselte File-Container erstellen kann, die dann als Laufwerk gemountet sind, sondern auch ganze Partitionen verschlüsseln kann.
"Technology is easy - people are hard."

(John Gage - Sun Microsystems zum Thema warum IT-Projekte scheitern)

oixio

Senior Schreiberling

  • "oixio" is male

Posts: 517

Date of registration: Oct 3rd 2004

7

Thursday, February 21st 2008, 7:26pm

Ich bin mit KeePass sehr zufrieden.
Dem kann ich mich anschließen. Dazu gibt's noch eine dateikompatible Pocket-PC Version. Diese ist zwar nicht so sicher wie die Desktopversion (was den Schutz gegen Speicherauslesen und Keylogger angeht) aber das ganze sollte ausreichend Sicher sein, auch wenn ich mein Handy mal verliere. So habe ich auch unterwegs alle Zugangskennung dabei. Sehr praktisch.

Andererseits sehe ich das mit dem Zentralen Zugangspunkt auch nicht so gefährlich. Schließlich sollte man erstmal davon ausgehen, dass der eigene Rechner sauber ist. Sonst kann genauso die Passwort-Eingabe abgefangen werden, wenn sie aus dem Gedächtnis erfolgt. Das ist wahrscheinlich sogar einfacher als die Passwortdatei zu knacken. Und dann bietet so ein Safe einen die Möglichkeit bei verschiedenen Diensten ein unterschiedliches Passwort zu nutzen(ohne sich alle zu merken) und man muss so zumindest nichts fürchten, wenn bei einem Dienst Sicherheitstechnisch mal was schief läuft.
Dieser Post wurde aus 100 % chlorfrei gebleichten, handelsüblichen, freilaufenden, glücklichen Elektronen erzeugt!

maffe

Unregistered

8

Friday, February 22nd 2008, 3:51pm

wieso nicht einfach mit nem normalen Verschlüsslungsalgorithmus verschlüsseln? gibt doch ne Vielzahl an "Standard"-AES-Implementationen (cryptoloop, dm-crypt und noch ein paar andere) die das transparent erledigen. Dann einfach ne datei anlegen im stil site - login - password und alles ist gut?


Naja, so ein spezieller Passwortspeicher kann schon Vorteile haben.
  • Er muss nicht alle Passwörter gleichzeitig entschlüsselt im RAM halten.
  • Er kann sie hinter Sternchen verstecken (wichtig, falls jemand zuschaut – was ja aufgrund der Strahlung auch aus der Ferne möglich ist).
  • Er kann bequeme Verfahren zur Übertragung der Passwörter in die jeweiligen Programme bieten. Bei KeePass gibt es 3 Möglichkeiten: Kopieren und Einfügen (dabei wird nach dem Einfügen die Zwischenablage gelöscht – wie das Erkennen des Einfügens funktioniert und ob man ein Programm, das die Zwischenablage ausliest, bemerken würde, weiß ich allerdings nicht), Drag & Drop und „Auto-Type“, mit dem KeePass das Passwort eintippt. So ist man vor Hardware-Keyloggern und manch anderen Lauschern sicher. Durch die Generierung der Passwörter innerhalb von KeePass muss es nie angezeigt oder eingetippt werden.
  • Er kann die Erstellung sicherer Passwörter unterstützen (KeePass lässt einen z. B. zulässige Zeichen und die Länge auswählen und verwendet für den Zufallsgenerator auch Maus- und Tastatureingaben).
  • Er kann weitere Komfortfunktionen bieten, wie beispielsweise Organisation in einer Baumstruktur, Suchfunktion, Verwaltung von Metadaten (dazugehörige URL, Ablaufdatum inkl. Warnung usw.), automatische Sperre der Oberfläche (und vermutlich [hoffentlich] Entfernung des Schlüssels aus dem Speicher) nach einer bestimmten Zeit (ich nehme mal an, dass KeePass den Schlüssel entfernt, zumindest muss man ihn neu eingeben).
  • Er kann leicht auf anderen Systemen genutzt werden (einfach auf einen mobilen Datenträger werfen).
  • Er macht es leicht, für jeden Dienst ein anderes Passwort zu wählen.


Die Punkte sind nicht alle gegen deine „Standard-AES“-Methode, sondern sollen generell die Vorteile eines solchen Programms aufzeigen (ohne Anspruch auf Vollständigkeit).

Informatik Minister

Senior Schreiberling

  • "Informatik Minister" is male

Posts: 1,234

Date of registration: Dec 11th 2001

9

Friday, February 22nd 2008, 4:42pm

Nur so: Artikel Kennwortverwaltung bei Wikipedia inklusive einer Liste von Programmen und einem Link zu einem Test der PC Professionell (PDF).
"Fliegenpilze! Löwen!! Das Leben ist gefährlich." -- www.katzundgoldt.de

This post has been edited 1 times, last edit by "Informatik Minister" (Feb 22nd 2008, 4:43pm)


hamena314

Zerschmetterling

  • "hamena314" is male
  • "hamena314" started this thread

Posts: 2,032

Date of registration: Aug 31st 2003

Location: Hannover

Occupation: Informatikstudent (d'uh)

10

Friday, February 22nd 2008, 10:54pm

Ich denke mal, damit man die Programme auch vernünftig nutzt (und nicht eben mal wieder auf einen Schmierzettel ausweicht) müssen sie einen Kompromiss aus Funktion, Sicherheit und Komfort bieten und OpenSource scheint mir da Favorit zu sein.
Ich auf meiner Stelle kann z.b. eine Linux-Lösung verwenden, aber was wenn ich plötzlich mal in einem reinen Windows-Umfeld arbeiten muss? Was bei Krankheit, oder ich kündige und der Nachfolger hat keine Ahnung davon? Wäre zusätzliche Arbeit die mein Nachkomme dann zu erledigen hätte.
Dann sind meine Einzellösungen wieder hinfällig.
Lieber nutze ich eine allgemeine Lösung (auch wenn die eher wieder mehr Angriffsfläche bietet), die aber planbar funktioniert.
Ausserdem denke ich, dass der Faktor Mensch eh die grösste Rolle spielt.
Eine zentrale Lagerungsstelle hat Vor- und Nachteile und daher muss vor allen Dingen geregelt sein, was aussen rum passiert, sonst nutzt auch das beste Programm nichts.
Zusätzlich zu einem Passwortsafe sollte ich dann wohl ne Schulung für die Mitarbeiter in's Auge fassen. ^^

HAVE PHUN!
Nicht der Wind bestimmt die Richtung, sondern das Segel! (Lao Xiang, China)