Gar nicht,
wir sprechen hier von einem PasswortManager wenn eine Anwendung zugriff auf meinen RAM hat, dann hat er auch zugriff auf die Zwischenablage. Nichts ist einfacher als einfach alles was in die zwischenablage geschrieben wird auszulesen. Also ist die Sicherheit bereits ab dem Zeitpunkt futsch wo eine Andere Anwendung (Virus) zugriff auf meinen Zwischenspeicher hat.
Ob das passwort aus der Zwischenablage gelöscht wird oder nicht ist eingetlich für den Angriff per Tool komplett egal, denn bereits simple Programme wie JDownloader reagieren direkt auf Eingabe in die Zwischenablage. Der Punkt, dass das passwort wieder aus der Ablage verschwinden soll ist nur, dass Mr.X der in meinem Nachbar Büro sitzt nicht zu meinem Computer gehen kann und sich das Passwort in einen Texteditor pasted.
Denn ein tool das mich ausspioniert, hat das passwort bereits in dem Moment wo es in die Zwischenablage gelegt wird und nicht erst nach 12 sekunden wo die Ablage geleert wird.
Es ist definitiv korrekt, dass man im Bereich Security sehr viel falsch machen kann, und man vieles nicht durch machen lernt, aber bei einem PWM geht es im Grunde nur darum eine Datei zu verschlüsseln. Diese Aufgabe ist Standard und es gibt genug Literatur/ Online Uni Unterlagen, wo exakt vorgekaut wird welcher Algo - wie verwendet werden sollte.
Eine einzig interessante Frage bleibt noch, sollte jedes pw einzeln oder einfach die Gesamte Datei verschlüsselt werden. Auf diese Frage sollte aber jeder der so etwas programmiert von selbst kommen und auch darüber kann man sich dann innerhalb kürzester Zeit genug Wissen aneignen.
Hier meine überlegungen zu dem Thema, Sind Passwörter so viel anders als Personenbezogene Daten, Bankinfos, Krditkarten bzw. andere sensible Daten.
Jeder Entwickler, der für eine Firma arbeitet wird früher oder später mit Daten hantieren die gesichert irgendwo abgelegt werden müssen. Sei es in einer verschlüsselten datei oder in einer Anderen Datenbank.
Die Überlegungen alla temporärer Datein, bzw Ram, Zwischenablage spielen dort genauso mit,
ergo dürfte diese Anwendung auch keiner schreiben. Es gebe wohl deutlich weniger Onlineschops (Gut vl. wäre das dann sogar ein Vorteil )
Daher ist ein PasswortManager sicher nicht ein „Hochsicherheitsbereich“, den man nur nach einnem Studium der IT-Forensik implementieren sollte. sondern hier sehe ich es wie @ionutbaiu eher eine gute Übung, wo man lernt, solche Sachen korrekt zu implementieren.
Was dann trotzdem zu beachten bleibt ist dass man es nicht Quick’n’dirty hinschreibt, sondern sich eben in das Thema vorher einliest.