Einige werden den Test in der aktuellen Computerbild gelesen haben, bei dem alle getesteten Passwortverwaltungsprogramme die Note Mangelhaft erhielten, wegen unverschlüsselten Daten im Arbeitsspeicher während der Nutzung der Software.
Sie werden sich jetzt verängstigt fragen: Sind meine Daten noch sicher? Ich kann Sie beruhigen: Ja, ihre Daten sind in 1Password zu 99,99...% sicher aufgehoben.
Unter www.oebackup.de/forum/viewtopic.php?t=192#583 konnten Sie bereits meine kurze Stellungnahme nach dem Test der Computerbild lesen.
Hier folgt die erweiterte Stellungnahme
Da die Computerbild die betroffenen Firmen nicht über das Testergebnis informierte und auch kein Exemplar der Zeitschrift zur Verfügung stellte, und ich auch kein Abonnent dieser Zeitschrift bin, musste ich mir diese Zeitschrift erst einmal käuflich erwerben.
Auf dem Rechner gesicherte Passwortdaten sollen sicher verpackt sein. In einem Nebensatz schreibt die Computerbild auch, dass dies bei ALLEN Programmen dank kryptografischer Verschlüsselungsroutinen gegeben ist. Sie schreibt ja, dass man Jahre benötigen würde, die Datenbankdateien zu knacken (siehe auch meine Abhandlung über Brute-Force-Attacken unter www.1pw.de/brute-force.html ). Ich denke, dass sollte das Wichtigste an einem Datentresor-Programm sein. Denn, wenn Daten gestohlen werden, dann wohl die gesamten Dateien und nicht wenn Sie am Rechner sitzen. Bildlich gesprochen ist ein wirklicher Tresor auch nicht mehr sicher, wenn er geöffnet ist.
Die Situation, die bei dem Test des Fraunhofer Instituts durchgespielt wurde, kommt in den seltensten Fällen vor. Der Nutzer, auf dessen Rechner unwissentlich ein Keylogger oder ein Programm zum Speicherauslesen im Hintergrund läuft, der hat ein generelles Problem, indem er sich nicht genügend vor Angriffen von außen schützt. Sich vor Keyloggern, "Mitschneideprogrammen" und Arbeitsspeicher-Programmen zu schützen, sollte nicht die Aufgabe eines Passwortverwaltungsprogramms sein, sondern sollte die vorwiegendste Aufgabe eines Computernutzers sein.
Zudem ist die Suche nach einem Passwort im Arbeitsspeicher einfach, wenn man weiß, wie das Passwort lautet. Haben Sie schon einmal den Inhalt vom Arbeitsspeicher gesehen? Normalerweise hat ein Anwender, mit dem von CB angegebenen Programm zum Speicherauslesen einige Megabytes an Daten zu durchforsten, die nicht nur aus sinnvollen Daten bestehen. Außerdem muss der Auslesende auch die Struktur der Daten im Arbeitsspeicher kennen, um sie dann sinnvoll deuten zu können.
Auch das bemängelte Löschen der Zwischenablage ist in 1Password gegeben, sobald der Schnellzugriff geschlossen wird. Ob dies nun schlechter ist, als eine Bewertung mit Note 1 wenn es nach 10 Sekunden gelöscht wird, kann man anzweifeln. Der Nutzer kann ja aber gänzlich auf die Zwischenablage verzichten, in dem er z.B. die Daten per Drag&Drop oder per Tastenkombination in die Eingabefelder überträgt. Das geht schon in den älteren Versionen.
Ja, auch die Computerbild hat eine reale, kleine Schwachstelle entdeckt. Das Hauptpasswort wird tatsächlich im Speicher unverschlüsselt abgebildet. Dies hat aber nichts mit der Eingabe des Hauptpassworts zu tun, sondern es wird intern aus der Datenbankdatei versucht, das Passwort nachzubilden. Stimmt es, gibt es Zugang zur Datenbank. Diese temporäre Variable, die nur beim Anmelden vorhanden ist, wird von Windows nicht zuverlässig freigegeben. Aber, wie bereits erwähnt. Man findet das Passwort nur im Arbeitsspeicher, wenn man es von vornherein kennt und somit danach suchen kann.
Der Mangel, dass die Daten auch nach dem Schließen des Schnellzugriffs im Speicher zu finden sind, ist dem modernen Speichermanagement von Windows geschuldet, der den Speicher nicht sofort freigibt, sondern wegen Geschwindigkeitsoptimierungen so belässt.
Der Test hat bewirkt, dass die neue Version 5.10 sensible Daten komplett im Speicher verschlüsselt hält. Das löst jedoch nicht das prinzipielle Problem. Denn sobald die Daten angezeigt werden, müssen sie entschlüsselt werden. Ansonsten würden Sie als Anwender keine sinnvollen Daten lesen. Dies hat aber zur Folge, dass irgendwo im Speicher die Datensätze unverschlüsselt erscheinen müssen, um sie sichtbar abzubilden.
Es ist Ihre Entscheidung
Computerbild meint, keine wichtigen Daten in solchen Programmen zu speichern.
Jetzt müssen Sie entscheiden, ob Sie wichtige Daten zu Hause auf einem Zettel notieren, wobei eventuelle Einbrecher, Freunde, etc. diese niedergeschriebenen Daten ungeschützt lesen können.
Oder Sie sorgen auf Ihrem Rechner für Sicherheit, indem Sie eine aktuelle Antiviren-Software und andere Sicherheitstools verwenden. Denn dann können Sie sicher sein, dass ihre Daten in Passwortverwaltungen sicher aufgehoben sind. Auch wenn der gesamte Rechner oder sonstige Datenträger wie USB-Sticks abhanden kommen sollten.
PS: Der Test wurde vom Fraunhofer Institut durchgeführt. Zeitnah arbeitet das Institut selbst an einem Passwortsafe. Ein Schelm, der Böses dabei denkt.
Stellungnahme zum Test in der Computerbild
-
Heiko Schröder
- Site Admin
- Beiträge: 2510
- Registriert: Sonntag, 01. Mai 2005 - 15:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Stellungnahme zum Test in der Computerbild
Zuletzt geändert von Heiko Schröder am Mittwoch, 04. Oktober 2006 - 9:54 Uhr, insgesamt 1-mal geändert.
Hallo,
ich kenne den Test nicht. Aber AFAIK erstellt auch Win Speicherabbilder bei Absturz, je nachdem was eingestellt ist. Was im Speicher liegt wird auch durchaus mal ausgelagert. Die Auslagerungsdatei kann man dann zwar in weiten Teilen beim Runterfahren überschreiben lassen, was aber das Runterfahren sehr verlängern kann. Findet sich eigentlich das Master-Passwort selbst oder lediglich ein Hash davon im Speicher?
Die Schlussfolgerung ist plausibel, solange noch zwecks Authorisation auf Benutzernamen und Passwörter gesetzt wird, kommt man an einer Anwendung nicht vorbei. Mit Kopf/Zettel und so geht das vielleicht für eine handvoll Accounts. Mehr dann nur, wenn man z.B. immer wieder das gleiche nutzt oder sehr einfache Passwörter verwendet, was auch bedenklich ist. Eigentlich erspart die Passwortdatei im Falle eines Angriffes dem Angreifer nur das Herunterladen und (ggfls. automatisierbare) durchsehen von E-Mails etc., denn - so meine Erfahrung, die Passwortdatenbank wird oft nur als eine Art zentraler bequemer Cache für Logins genutzt...
Aber grundsätzlich ist das alles nur eine Flickerei für Unvollkommenheiten des Betriebssystems oder der Architektur an sich. Eine Authentifizierung sollte in einem, vom PC, getrennten Kanal/Datenstrom stattfinden können. Solange die logingebenden Anbieter von Produkten und Dienstleistungen sich mit irgendwas anderem zufriedengeben, kann ich gut mit den derzeitigen Lösungen leben. Wenn die nur nicht immer öfter irgendwas von "Speichern sie die Zugangsdaten nicht auf ihrem PC" schreiben würden, vorzugsweise in einer Mail die eh unverschlüsselt übers Internet ging... Kommt dann wohl noch: Speichern sie die Zugangsdaten auch nicht auf Informationsträgern im Allgemeinen (Papier, Hirn etc.)
Mal im Ernst, mancher PC ist doch besser abgesichert als die Bude, in der er steht *g*
Grüße
ich kenne den Test nicht. Aber AFAIK erstellt auch Win Speicherabbilder bei Absturz, je nachdem was eingestellt ist. Was im Speicher liegt wird auch durchaus mal ausgelagert. Die Auslagerungsdatei kann man dann zwar in weiten Teilen beim Runterfahren überschreiben lassen, was aber das Runterfahren sehr verlängern kann. Findet sich eigentlich das Master-Passwort selbst oder lediglich ein Hash davon im Speicher?
Die Schlussfolgerung ist plausibel, solange noch zwecks Authorisation auf Benutzernamen und Passwörter gesetzt wird, kommt man an einer Anwendung nicht vorbei. Mit Kopf/Zettel und so geht das vielleicht für eine handvoll Accounts. Mehr dann nur, wenn man z.B. immer wieder das gleiche nutzt oder sehr einfache Passwörter verwendet, was auch bedenklich ist. Eigentlich erspart die Passwortdatei im Falle eines Angriffes dem Angreifer nur das Herunterladen und (ggfls. automatisierbare) durchsehen von E-Mails etc., denn - so meine Erfahrung, die Passwortdatenbank wird oft nur als eine Art zentraler bequemer Cache für Logins genutzt...
Aber grundsätzlich ist das alles nur eine Flickerei für Unvollkommenheiten des Betriebssystems oder der Architektur an sich. Eine Authentifizierung sollte in einem, vom PC, getrennten Kanal/Datenstrom stattfinden können. Solange die logingebenden Anbieter von Produkten und Dienstleistungen sich mit irgendwas anderem zufriedengeben, kann ich gut mit den derzeitigen Lösungen leben. Wenn die nur nicht immer öfter irgendwas von "Speichern sie die Zugangsdaten nicht auf ihrem PC" schreiben würden, vorzugsweise in einer Mail die eh unverschlüsselt übers Internet ging... Kommt dann wohl noch: Speichern sie die Zugangsdaten auch nicht auf Informationsträgern im Allgemeinen (Papier, Hirn etc.)
Mal im Ernst, mancher PC ist doch besser abgesichert als die Bude, in der er steht *g*
Grüße
-
Heiko Schröder
- Site Admin
- Beiträge: 2510
- Registriert: Sonntag, 01. Mai 2005 - 15:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Die Zeilen bringen es auch noch einmal auf den Punkt.
Die Eingabe selbst wird sofort nach dem Auslesen verschlüsselt. Das war auch schon in den Versionen davor so.
Das eingegebene Masterkennwort fand sich nicht im Speicher wieder, sondern nur der zum Verschlüsselungsalgorithmus berechnete Gegenschlüssel anhand der Eingabe. Stimmte der, war es das Passwort. Ab Version 5.10 findet sich auch dieser berechnete Schlüssel nicht mehr im Speicher.chrisi hat geschrieben:Findet sich eigentlich das Master-Passwort selbst oder lediglich ein Hash davon im Speicher?
Die Eingabe selbst wird sofort nach dem Auslesen verschlüsselt. Das war auch schon in den Versionen davor so.
ComputerBild mit Passwort Test? - "Hilfeschrei"
Ich finde es mal wieder bezeichnend das sich eine Zeitschrift mal wieder zum allwissenden und überdenkenden Computergott erhebt. Wohlwissend damit unter Umständen "Existenzen"zu gefährden! Es beweisst mal wieder wie unsensibel und asozial Journalisten vorgehen. "Hauptsache ne dicke Headline mit fetter Panikmache"
Im übrigen, weder ist die Webseite der Computerbild CSS validierbar noch XHTML 1.0 konform. Und so eine Firma die eine solche Webseite unterhält soll seriös sein und deren Fachinformation soll man glauben schenken?
Es ist doch nur wirklich eine Verar***** die dort von Geldgierigen und unverantwortlichen Journalisten betrieben wird. Der Heise Verlag zeigt auch deutlich das es anders geht.
Der Fakt das 1Password, von Heiko, seit Jahren mit eines der besten Passwort "Verwaltungs" Tools ist sollte hier nicht unbedacht bleiben.
und darum geht es letztendlich. Bei der Vielzahl der Passwörter mit denen der User immer wieder überschüttet wird ist es wichtig schnell auf seine Userdaten zugreifen zu können.
Das den Internet Explorer oder anderen Browsern zu überlassen wäre ein Witz. Nicht zuletzt hat die Hegemonie des IE den Virenschreibern das Programmieren wirtschaftlich gemacht.
Die Sicherheit eines Passworttools ohne das Betriebssystem zu testen ist gleichsam so bedeutbar wie einen Gurt ohne Auto im Seitenaufprall zu testen. Seitenaufprallschutz nämlich gleich Null.
Kein Autoprofi würde auf die Idee kommen dann zu sagen das der Gurt nicht schützen würde!!! Warum ist das aber in der IT nicht so das die Gesamtzusammenhänge dargestellt werden.
Warum nur kapiert der DAU das beim Autofahren, aber nicht in der IT!
Mein Statement: Von der Usability, der Flexibilität, der Skalierbarkeit und nicht zuletzt von den laufenden Updates ist das 1PW super und sicher mit das beste Programm auf dem Markt. Und das schon seit 4 Jahren.
Weiter so Heiko!! Vielen Dank.
John
Im übrigen, weder ist die Webseite der Computerbild CSS validierbar noch XHTML 1.0 konform. Und so eine Firma die eine solche Webseite unterhält soll seriös sein und deren Fachinformation soll man glauben schenken?
Es ist doch nur wirklich eine Verar***** die dort von Geldgierigen und unverantwortlichen Journalisten betrieben wird. Der Heise Verlag zeigt auch deutlich das es anders geht.
Der Fakt das 1Password, von Heiko, seit Jahren mit eines der besten Passwort "Verwaltungs" Tools ist sollte hier nicht unbedacht bleiben.
und darum geht es letztendlich. Bei der Vielzahl der Passwörter mit denen der User immer wieder überschüttet wird ist es wichtig schnell auf seine Userdaten zugreifen zu können.
Das den Internet Explorer oder anderen Browsern zu überlassen wäre ein Witz. Nicht zuletzt hat die Hegemonie des IE den Virenschreibern das Programmieren wirtschaftlich gemacht.
Die Sicherheit eines Passworttools ohne das Betriebssystem zu testen ist gleichsam so bedeutbar wie einen Gurt ohne Auto im Seitenaufprall zu testen. Seitenaufprallschutz nämlich gleich Null.
Kein Autoprofi würde auf die Idee kommen dann zu sagen das der Gurt nicht schützen würde!!! Warum ist das aber in der IT nicht so das die Gesamtzusammenhänge dargestellt werden.
Warum nur kapiert der DAU das beim Autofahren, aber nicht in der IT!
Mein Statement: Von der Usability, der Flexibilität, der Skalierbarkeit und nicht zuletzt von den laufenden Updates ist das 1PW super und sicher mit das beste Programm auf dem Markt. Und das schon seit 4 Jahren.
Weiter so Heiko!! Vielen Dank.
John
Erst einmal sei zu diesem Thema gesagt, ich selbst bin Nutzer der 1pw Software.
Ich benutze und arbeite im Internet schon seit Zeiten in denen DSL noch nicht einmal erfunden war. In dieser Zeit haben sich natürlich eine Menge Passwörter angesammelt. Auch gehöre ich nicht zu den Leuten die für jede Seite (die einem selbst wichtig erscheint) das gleiche Passwort benutzen. Wie also verwalten? So begab ich mich vor vielen Jahren auf die Suche nach einem Passwortmanager. Dabei habe ich viele probiert und ich blieb bei der 1pw Software.
Warum?
Letztendlich hat mich die Sicherheit der Passwörter nie mehr interessiert als das sie nicht mehr auf meinem Schreibtisch in Zettelform liegen und nicht mehr von jedem im Büro zu sehen sind. Ich aber dennoch immer einen einfachen und schnellen Zugriff auf diese habe.
Ein weiser Man sagte einst: „Ein PC ist erst dann zu 99% sicher wenn er sich in einem geschlossenen Tresor befindet ohne Verbindung nach Außen. Aber wie soll man dann daran arbeiten?“ Und er hat Recht. Das wichtigste Kriterium mich für diese Software zu entscheiden war die Usability und nicht die Sicherheit, denn wenn ein Hacker auf meinem PC soweit ist, habe ich sowieso ein ganz anderes Problem. Und 1pw war die einzige Software die damals meine Ansprüche vollkommen erfüllte. Sicherlich mag es heute neuere und modernere Programme geben, aber:
1.) suche ich einen Passwortmanager und keine Eier legende Vollmilchsau
2.) 1Pw hat nie viel Geld gekostet, selbst heute nicht (10€)
3.) ich habe bisher alle Updates kostenlos bekommen, selbst als die USB Version entwickelt wurde, oje und die ganzen Funktionen die im laufe der Jahre hinzu gekommen sind, würden wo andern normalerweise eine Stange Geld kosten
4.) ich benutze heute die USB Version und kann meine Passwörter überall nutzen, zu Hause, im Büro ja selbst im i-Net Café obwohl ich nur die stationäre Version gekauft habe
5.) ich hatte bisher ein einziges Mal ein Problem mit der Software und dabei wurde mir prompt per Emailsupport geholfen
6.) ich habe vor ein paar Jahren mein Registrierungsschlüssel verloren hatte die Software aber neu installiert, selbst da wurde mir geholfen
7.) ich kann neue Ideen einbringen und selbst die werden im laufe der Zeit umgesetzt
8.) Gibt es Neuerungen bezüglich der Software werde ich jedes Mal per Email informiert ich muss mich nicht einmal selbst darum kümmern ob es eine neue Version gibt. Somit verzichtet die Software auch selbst im Netzt zu schauen ob man sich aktualisieren kann.
Was will ich mehr?
Nun wird sich sicherlich der ein oder andere Leser fragen, dieser Text ist so Pro, den hat sicherlich ein Mitarbeiter der Firma geschrieben. Dem sei gesagt: Dem ist nicht so. Ich stehe weder freundschaftlich, familiär, oder beruflich in irgendeiner Weise mit den Machern in Kontakt. Sondern bin nur ein User der sich über einen solchen Bericht in der „Bild“ aufregt.
Aber eh, es ist die „Bild“ egal ob sie nun „am Sonntag“ oder „Computer“ heißt. Was wollen wir da erwarten? Nur schade dass das Fraunhofer Institut eine Studie für so eine Propaganda frei gibt. Aber Angst hat sich schon immer gut verkauft.
Abschließend kann ich dazu nur sagen: Macht weiter so und zerbrecht euch nicht den Kopf über einen Artikel in der „Bild“.
Ich benutze und arbeite im Internet schon seit Zeiten in denen DSL noch nicht einmal erfunden war. In dieser Zeit haben sich natürlich eine Menge Passwörter angesammelt. Auch gehöre ich nicht zu den Leuten die für jede Seite (die einem selbst wichtig erscheint) das gleiche Passwort benutzen. Wie also verwalten? So begab ich mich vor vielen Jahren auf die Suche nach einem Passwortmanager. Dabei habe ich viele probiert und ich blieb bei der 1pw Software.
Warum?
Letztendlich hat mich die Sicherheit der Passwörter nie mehr interessiert als das sie nicht mehr auf meinem Schreibtisch in Zettelform liegen und nicht mehr von jedem im Büro zu sehen sind. Ich aber dennoch immer einen einfachen und schnellen Zugriff auf diese habe.
Ein weiser Man sagte einst: „Ein PC ist erst dann zu 99% sicher wenn er sich in einem geschlossenen Tresor befindet ohne Verbindung nach Außen. Aber wie soll man dann daran arbeiten?“ Und er hat Recht. Das wichtigste Kriterium mich für diese Software zu entscheiden war die Usability und nicht die Sicherheit, denn wenn ein Hacker auf meinem PC soweit ist, habe ich sowieso ein ganz anderes Problem. Und 1pw war die einzige Software die damals meine Ansprüche vollkommen erfüllte. Sicherlich mag es heute neuere und modernere Programme geben, aber:
1.) suche ich einen Passwortmanager und keine Eier legende Vollmilchsau
2.) 1Pw hat nie viel Geld gekostet, selbst heute nicht (10€)
3.) ich habe bisher alle Updates kostenlos bekommen, selbst als die USB Version entwickelt wurde, oje und die ganzen Funktionen die im laufe der Jahre hinzu gekommen sind, würden wo andern normalerweise eine Stange Geld kosten
4.) ich benutze heute die USB Version und kann meine Passwörter überall nutzen, zu Hause, im Büro ja selbst im i-Net Café obwohl ich nur die stationäre Version gekauft habe
5.) ich hatte bisher ein einziges Mal ein Problem mit der Software und dabei wurde mir prompt per Emailsupport geholfen
6.) ich habe vor ein paar Jahren mein Registrierungsschlüssel verloren hatte die Software aber neu installiert, selbst da wurde mir geholfen
7.) ich kann neue Ideen einbringen und selbst die werden im laufe der Zeit umgesetzt
8.) Gibt es Neuerungen bezüglich der Software werde ich jedes Mal per Email informiert ich muss mich nicht einmal selbst darum kümmern ob es eine neue Version gibt. Somit verzichtet die Software auch selbst im Netzt zu schauen ob man sich aktualisieren kann.
Was will ich mehr?
Nun wird sich sicherlich der ein oder andere Leser fragen, dieser Text ist so Pro, den hat sicherlich ein Mitarbeiter der Firma geschrieben. Dem sei gesagt: Dem ist nicht so. Ich stehe weder freundschaftlich, familiär, oder beruflich in irgendeiner Weise mit den Machern in Kontakt. Sondern bin nur ein User der sich über einen solchen Bericht in der „Bild“ aufregt.
Aber eh, es ist die „Bild“ egal ob sie nun „am Sonntag“ oder „Computer“ heißt. Was wollen wir da erwarten? Nur schade dass das Fraunhofer Institut eine Studie für so eine Propaganda frei gibt. Aber Angst hat sich schon immer gut verkauft.
Abschließend kann ich dazu nur sagen: Macht weiter so und zerbrecht euch nicht den Kopf über einen Artikel in der „Bild“.
-
langewiesche
- Beiträge: 7
- Registriert: Sonntag, 03. Juli 2005 - 18:39 Uhr
wg. Stellungnahme zum Test in der Computerbild
Ich kann mich nur meinen Vor (schreibern) anschließen.
Mit dieser SW kann man endlich vernünftig Passwörter verwalten und regelmäßig wechseln. Das ganze auch noch zu einem eindeutig akzeptablen Preis.
Was die Testaktionen angehen, da muss ich wirklich nur sagen... Hätten Sie mal das kleingedruckte gelesen...
Allein was die ganzen Pishing (Neudeutsch für Password Fishing) angeht, ist jeder selber schuld.
Jeder vernünftige Onliner gibt doch seine Passwörter nicht in Form von unverbrannten TANs an eine obskure Banking Adresse offen.
Aber jeder sollte den Grad seines Schutzes selber bestimmen.
Super Heiko, weiter so. Kann Dich nur vollstens unterstützen.
Mit dieser SW kann man endlich vernünftig Passwörter verwalten und regelmäßig wechseln. Das ganze auch noch zu einem eindeutig akzeptablen Preis.
Was die Testaktionen angehen, da muss ich wirklich nur sagen... Hätten Sie mal das kleingedruckte gelesen...
Allein was die ganzen Pishing (Neudeutsch für Password Fishing) angeht, ist jeder selber schuld.
Jeder vernünftige Onliner gibt doch seine Passwörter nicht in Form von unverbrannten TANs an eine obskure Banking Adresse offen.
Aber jeder sollte den Grad seines Schutzes selber bestimmen.
Super Heiko, weiter so. Kann Dich nur vollstens unterstützen.
Auch ich möchte mich meinen Vorrednern rückhaltlos anschließen. Benutze PW nun schon seit einiger Zeit, bin hoch zufrieden damit, besonders mit dem Support.
Zusätzlich zu Passwort habe ich noch einen Card-Leser mit entsprechender Speicherkarte über USB an meinem Rechner, auf den selbst das Masterpasswort gespeichert ist. Bei Starten des 1PW Programm wird das dazugehörige Masterpasswort über eine entsprechende Software automatisch eingelesen, so das von mir Tastatureingaben gar nicht gemacht werden müssen. Diese Hardware arbeitet hervorragend mit 1PW zusammen, der Passwortmanager dient auch mir zum konfortablen Verwalten all meiner sensiblen Passwort-Dateien.
Ich kann Heiko nur gratulieren zu seiner Software, wie auch andere Programme von Ihm.
Sie sind hilfreich. kompetent, der Support ist wirklich einmalig und dies alles zu einem wirklich erstaunlich günstigen Preis.
Ich kann nur sagen, mach weiter so !
Gruß
Nobbi
Zusätzlich zu Passwort habe ich noch einen Card-Leser mit entsprechender Speicherkarte über USB an meinem Rechner, auf den selbst das Masterpasswort gespeichert ist. Bei Starten des 1PW Programm wird das dazugehörige Masterpasswort über eine entsprechende Software automatisch eingelesen, so das von mir Tastatureingaben gar nicht gemacht werden müssen. Diese Hardware arbeitet hervorragend mit 1PW zusammen, der Passwortmanager dient auch mir zum konfortablen Verwalten all meiner sensiblen Passwort-Dateien.
Ich kann Heiko nur gratulieren zu seiner Software, wie auch andere Programme von Ihm.
Sie sind hilfreich. kompetent, der Support ist wirklich einmalig und dies alles zu einem wirklich erstaunlich günstigen Preis.
Ich kann nur sagen, mach weiter so !
Gruß
Nobbi
Re: Stellungnahme zum Test in der Computerbild
Dass man größere Probleme hat, wenn man einen Keylogger oder sonstiges Trojaner-Zeugst auf dem rechner hat ist klar, ich sehe das Problem mit den Daten im Speicher aber folgendermaßen:Heiko hat geschrieben: Die Situation, die bei dem Test des Fraunhofer Instituts durchgespielt wurde, kommt in den seltensten Fällen vor. Der Nutzer, auf dessen Rechner unwissentlich ein Keylogger oder ein Programm zum Speicherauslesen im Hintergrund läuft, der hat ein generelles Problem, indem er sich nicht genügend vor Angriffen von außen schützt.
Man stelle sich vor, ein Benutzer öffnet 1Pw und gibt sein Passwort für die Datenbank ein, macht dann was und sperrt am Ende 1Pw. Er/Sie fühlt sich sicher und verlässt den Rechner. Nun kommt z.B. ein anderes Familienmitglied, speichert den kompletten Prozess-Speicher von 1Pw in eine datei, z.B. auf einem USB-Stick und verschwindet wieder.
Fazit: Es muss keine Software permanent im Hintergrund laufen.
Dass im Arbeitsspeicher viel Müll steht ist klar. Dass man einfach Passwörter extrahieren kann habe ich anfangs auch nicht für möglich gehalten, aber mit ein paar Zwischenschritten erscheint es schon nicht mehr so abwegig:Heiko hat geschrieben: Zudem ist die Suche nach einem Passwort im Arbeitsspeicher einfach, wenn man weiß, wie das Passwort lautet. Haben Sie schon einmal den Inhalt vom Arbeitsspeicher gesehen? Normalerweise hat ein Anwender, mit dem von CB angegebenen Programm zum Speicherauslesen einige Megabytes an Daten zu durchforsten, die nicht nur aus sinnvollen Daten bestehen. Außerdem muss der Auslesende auch die Struktur der Daten im Arbeitsspeicher kennen, um sie dann sinnvoll deuten zu können.
1. Passwörter bestehen nur aus "druckbaren" Zeichen
2. Passwörter besitzen eine gewisse Midestlänge
Beides zusammen und ein wenig Wahrscheinlichkeitsrechnung reduzieren das Chaos schon ein wenig. Wenn man beispielsweise Annimmt, dass 70% aller Zeichen druckbar sind und ein Passwort mindestens 8 Zeichen lang ist, dann kommen nur 5% (~= 0,7^8) der Daten im Speicher als Passwort in Frage (nur eine grobe Hochrechnung).
Wenn man nun den ganzen Speicher eines Programmes nach diesen Kriterien durchkämmt bekommt man eine Liste von allen Zeichenfolgen des Programms. Darunter befinden sich dann auch auch die Passwörter.
Das Extrahieren kann man schön automatisieren, sprich von einem Programm erledigen lassen. Die eben erstellte Liste enthält aber noch viele Texte, die vom Programm oder von Windows stammen - also startet man 1Pw noch einmal neu, ohne eine Datenbank zu öffnen, erzeugt einen Speicher-Dump und extrahiert daraus eine Liste mit zeichenfolgen, die zu 1Pw gehören, diese kann man nun aus der ersten Liste eleminieren.
Was übrig bleibt ist eine Liste mit möglichen Passwörten oder Zeichenfolgen, die Passwörter enthalten. Wenn sich das Datenbank-Kennwort darin versteckt kann man diese Liste sehr einfach für einen Wörterbuch-Angriff verwenden und ein Wörterbuchangriff mit meinetwegen 10.000.000 Wörtern ist, wie du ja schön auf der "Brute-Force-Seite" dargestellt hast kein Problem.
Auch das Datenbank-Passwort?Heiko hat geschrieben: Der Test hat bewirkt, dass die neue Version 5.10 sensible Daten komplett im Speicher verschlüsselt hält. Das löst jedoch nicht das prinzipielle Problem.
Gruß sec_freak
Re: Stellungnahme zum Test in der Computerbild
Ein Szenario wie dieses setzt doch aber voraus, daß Du den Familienmitgliedern nicht vertraust. In solch einem Fall würdest Du Deinen PC jedoch nicht ungesperrt (damit meine ich das OS, nicht 1PW) verlassen. Und bei einer Anmeldung als anderer User ist der Prozessspeicher gelöscht. Insofern halte ich das für sehr theoretisch.sec_freak hat geschrieben:Man stelle sich vor, ein Benutzer öffnet 1Pw und gibt sein Passwort für die Datenbank ein, macht dann was und sperrt am Ende 1Pw. Er/Sie fühlt sich sicher und verlässt den Rechner. Nun kommt z.B. ein anderes Familienmitglied, speichert den kompletten Prozess-Speicher von 1Pw in eine datei, z.B. auf einem USB-Stick und verschwindet wieder.
Mit welchem Programm hast du das überprüft? Ich finde nämlich teilweise mein Datenbank-Passwort (einmal als normaler String und einmal als Unicode-String aus doublebyte-chars).R.a.l.f. hat geschrieben:Übrigens: wenn 1PW gesperrt ist, kann ich im Hauptspeicher weder das Master-Passwort noch einzelne Passwörter finden. Somit kannst Du einfach eine kurze automatisch Sperrfrist wählen und das Problem ist gelöst, oder?
Gruß sec_freak
-
Heiko Schröder
- Site Admin
- Beiträge: 2510
- Registriert: Sonntag, 01. Mai 2005 - 15:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Das ist unmöglich, da es verschlüsselt im Speicher gehalten wird.sec_freak hat geschrieben:Ich finde nämlich teilweise mein Datenbank-Passwort (einmal als normaler String und einmal als Unicode-String aus doublebyte-chars).
Zum Test kann man z.B. den WinHex-Editor nehmen. » http://www.x-ways.net/index-d.html