Password Manager

Gar nicht,
wir sprechen hier von einem PasswortManager wenn eine Anwendung zugriff auf meinen RAM hat, dann hat er auch zugriff auf die Zwischenablage. Nichts ist einfacher als einfach alles was in die zwischenablage geschrieben wird auszulesen. Also ist die Sicherheit bereits ab dem Zeitpunkt futsch wo eine Andere Anwendung (Virus) zugriff auf meinen Zwischenspeicher hat.

Ob das passwort aus der Zwischenablage gelöscht wird oder nicht ist eingetlich für den Angriff per Tool komplett egal, denn bereits simple Programme wie JDownloader reagieren direkt auf Eingabe in die Zwischenablage. Der Punkt, dass das passwort wieder aus der Ablage verschwinden soll ist nur, dass Mr.X der in meinem Nachbar Büro sitzt nicht zu meinem Computer gehen kann und sich das Passwort in einen Texteditor pasted.
Denn ein tool das mich ausspioniert, hat das passwort bereits in dem Moment wo es in die Zwischenablage gelegt wird und nicht erst nach 12 sekunden wo die Ablage geleert wird.

Es ist definitiv korrekt, dass man im Bereich Security sehr viel falsch machen kann, und man vieles nicht durch machen lernt, aber bei einem PWM geht es im Grunde nur darum eine Datei zu verschlüsseln. Diese Aufgabe ist Standard und es gibt genug Literatur/ Online Uni Unterlagen, wo exakt vorgekaut wird welcher Algo - wie verwendet werden sollte.

Eine einzig interessante Frage bleibt noch, sollte jedes pw einzeln oder einfach die Gesamte Datei verschlüsselt werden. Auf diese Frage sollte aber jeder der so etwas programmiert von selbst kommen und auch darüber kann man sich dann innerhalb kürzester Zeit genug Wissen aneignen.

Hier meine überlegungen zu dem Thema, Sind Passwörter so viel anders als Personenbezogene Daten, Bankinfos, Krditkarten bzw. andere sensible Daten.

Jeder Entwickler, der für eine Firma arbeitet wird früher oder später mit Daten hantieren die gesichert irgendwo abgelegt werden müssen. Sei es in einer verschlüsselten datei oder in einer Anderen Datenbank.
Die Überlegungen alla temporärer Datein, bzw Ram, Zwischenablage spielen dort genauso mit,

ergo dürfte diese Anwendung auch keiner schreiben. Es gebe wohl deutlich weniger Onlineschops (Gut vl. wäre das dann sogar ein Vorteil :smiley: )

Daher ist ein PasswortManager sicher nicht ein „Hochsicherheitsbereich“, den man nur nach einnem Studium der IT-Forensik implementieren sollte. sondern hier sehe ich es wie @ionutbaiu eher eine gute Übung, wo man lernt, solche Sachen korrekt zu implementieren.
Was dann trotzdem zu beachten bleibt ist dass man es nicht Quick’n’dirty hinschreibt, sondern sich eben in das Thema vorher einliest.

Meine Aussage ist ja auch, dass eine Firma natürlich komplexe Programme schreiben kann/darf/muss. Aber ein einzelner Entwickler kann nunmal ein 4-Augenprinzip nicht einhalten.

Und bzgl Ram:
Keepass speichert die Hashs nicht unverschlüsselt im Ram. Mittels Heartbleed kommt man Remote an Teile vom Arbeitsspeicher, Klartext wäre hier fatal. Und es gibt bestimmt noch andere Beispiele. Wobei auch Keepass natürlich Passwörter im Klartext dort ablegen muss. Aber eben nicht permanent. Ich habe z.,B. Keepass den ganzen Tag offen.

Natürlich musst du als Anwender beurteilen, wie hoch die Sicherheit sein soll. Fakt ist aber, dass ein etabliertes Produkt mit hoher Wahrscheinlichkeit sicherer sein wird.
KeePass bspw. hat aber Schutzmechanismen implementiert, die sowohl gegen Keylogger als auch gegen Clipboardsniffer schützen, indem eine Kombination aus emulierten Tasteneingaben mit Passwortfragmenten aus der Zwischenablage eingesetzt wird (oder vielmehr je nach Konfiguration: werden kann). Und der Passworttresor ist je nach Konfiguration auch nur temporär entsperrt. Das sind alles Ideen, die man auch selbst umsetzen kann, auf die man aber erst kommen muss.

Richtig Keepass speichert Passwörter im Klartext in der Zwischenablage, sonst könntest du sie ja nicht in das Eingabefeld pasten.

Der einzelne Entwickler, der sich einen maßgeschneiderten PWM schreibt, läuft aber wieder nicht wirklich Gefahr angegriffen zu werden, erst wenn der PWM eine gewisse Masse erreicht, wird es zum Problem, und dann wird aber nicht mehr nur einer an dem Projekt arbeiten. Keepass hat auch als Ein-Mann projekt begonnen.

Zur Zwischenablage habe ich parallel zu deinem Beitrag etwas geschrieben.

Es ist aber nicht nur das allein ausschlaggebend. VeraCrypt (Nachfolger von TrueCrypt) ist auch ein mehr oder weniger Ein-Mann-Projekt, wurde aber professionell geaudited.
KeePass wird von einer breiten Nutzerbasis eingesetzt, ist Open-Source und demnach sicher von vielen mit fundierten IT-Sicherheitsfachkenntnissen analyisiert worden.

Bevor wir uns im Kreis drehen oder ich falsch verstanden werde.

  • Keepass in der jetzigen Form ist, definitiv sicherer als alles was ein Einmann-project auf die schnelle erstellen kann

  • Einen eigenen halbwegs sicheren Passwort Manager schreiben, ist aber keine unlösbare Aufgabe, vorausgesetzt, dass man sich selbst mit dem Thema Security auseinander setzt und sich an gewisse Standards hält. (auch wenn dieser dann NOCH nicht an die Sicherheit von etablierten Managern kommt)

Ändert nichts, solange ich es in ein Textfeld pasten kann kann ich es auch auslesen. genau deshalb gibt es ja die Lösung mit den Software Tastaturen die dies verhindern sollten.

3 „Gefällt mir“

Gutn Morgen, immer beachten: Wenn man das Laptop zuklappt, dürfen RAM-Inhalte nicht auf Pladde geschrieben werden, das wäre ungünstig, wenn das Passwort dann quasi im Klartext auf Pladde steht.

Stimmt schon, darauf wollte ich auch nicht hinaus. Ich wollte nur darauf hinweisen, dass ich in Bezug auf die Zwischenablage etwas geschrieben hatte. Das Passwort wird nunmal im Klartext benötigt und liegt dementsprechend zu irgendeinem Zeitpunkt irgendwo unverschlüsselt im RAM. Man kann es einem Angreifer nur versuchen möglichst schwer zu machen, an dieses Datum zu gelangen.

Darüber hinaus:
Deinen Beitrag würde ich genau so unterschreiben.