Passwortspeicherung mit einem extra Tool < mehr Sicherhei

    Hallo, mir gefällt es nicht wie Firefox mit meinen Passwörtern umgeht, also das man alles gespeicherten Einstellungen über die Einstellungen einsehen kann.
    Deswegen bin ich auf der Suche diese Passwörter auszulagern, denn man kann mit FF backup Tools ja auch schnell mal ein backup machen, wo dann auch alle Passwörter drinne sind, und auch hat sich mal schnell jemand an meinen FF gesetzt wenn ich kurz weg sind..

    Ich möchte jedoch nicht auf Komfortabilität des automatischen setzens von Passwörtern verzichten.
    Ich dachte da an was für meinen U3 Software USb Stick, gibts da was für :D

    naja, ich bin darüber nicht informiert, würde mir gerne einen Überblick darüber verschaffen.

    Wäre toll wenn man es sehr einfach halten könnte, da ich nicht viel davon verstehe.

    mfg

    Meine Meinung zu diesem "Sicherheitsproblem":

    1. Wenn man Dritte an seinen PC / an sein Benutzerkonto lässt, ist es mit der Sicherheit sowieso vorbei. Deshalb ist die Möglichkeit, sich die Passwörter im Klartext anzeigen zu lassen, sicherheitstechnisch eher irrelevant.

    2. Die Aufgabe und Funktionsweise des Masterpassworts ist Dir bekannt?
    http://www.firefox-browser.de/wiki/Masterpasswort

    2. Ich würde keinem Passwortmanager der Welt sensitive Passwörter, wie z.B. für das Online-Banking, anvertrauen.

    Unabhängig davon gibt es natürlich externe Lösungen. Eine Reihe von Leuten hier im Forum verwendet z.B. dies: http://www.roboform.com/de/

    Alexander

    MS Windows XP Home Edition Version 5.1 (Build 2600.xpsp2_gdr.050301-1519: Service Pack 2
    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1
    Erweiterungen, Themes, Plugins

    In der Tat noch nie etwas vom Masterpasswort gehört? Das würde ich selbst aber nie benutzen, weil es MPR gibt. Mag jeder so sehen wie er will. Für mich ist das aber ein Witz.

    Ich empfehle eine nicht Fx-spezifische Lösung. Alternativen die sicherer, vertrauenswürdiger und problemloser (Bugs) sind kenne ich nicht.

    http://sourceforge.net/project/showfiles.php?group_id=41019

    Das .bin-Archiv ist eine Art "portable" Version. Man muß die Software also nicht zwingend installieren. Das Grundgerüst entstand bei Counterpanx Labs. Das ist die Firma von Bruce Schneier.

    Probieren geht über Studieren

    Zitat von BeeHaa

    Das würde ich selbst aber nie benutzen, weil es MPR gibt.

    Näheres dazu?

    Zitat

    Das .bin-Archiv ist eine Art "portable" Version. Man muß die Software also nicht zwingend installieren. Das Grundgerüst entstand bei Counterpanx Labs. Das ist die Firma von Bruce Schneier.

    Ist halt ein wenig beschränkt.. (OS), der Java-Port ist hingegen interessanter, leider aber hässlich. Für Linux gibt es immerhin noch http://www.semanticgap.com/myps/

    Alternativ gäbe es noch
    http://keepassx.sourceforge.net

    Albatroner fragte:

    Zitat

    Hallo, mir gefällt es nicht wie Firefox mit meinen Passwörtern umgeht, also das man alle gespeicherten Einstellungen über die Einstellungen einsehen kann.[...]

    Behalte Deine PW´s lieber unter dem "Kopfkissen" oder sonstwo - in den PW-Manager gehören sie auf jeden Fall nicht - wenn Dir Sicherheit wirklich lieb ist.

    Der integrierte Passwort-Manager des Firefoxes - und der anderer Browser auch - ist meiner Ansicht nach als unsicher einzustufen und zwar aus Gründen wie folgt:


    a. Jeder browser-integrierte Passwort-Manager, der nicht im Vorfeld über ein definiertes Master-Passwort abgesichert wurde, könnte bereits Deine vertrauenswürdigen Zugangsdaten willkürlich auch an eine gefälschte Webseite übergeben, da in so einem Zweifelsfall nur ein gesetztes Master-Passwort, als letzte Instanz, darüber entscheiden könnte, welche Webseite genau welche sensiblen Login-Details erhalten darf. Es gilt somit das Setzen eines Master-Passwortes als eine Minimal-Voraussetzung, um überhaupt in die Nähe des Begriffes einer sicheren und automatisierten Authorisierung gegenüber Webseiten zu gelangen.

    b. Für eine separate, kostenlose und obendrein browser-unabhängige PW-Verwaltung nach gleichem Prinzip, versuche es einmal mit RoboForm.

    c. Mit einer gesicherten WiFi-Verbindung über WAP / WAP2, oder einem Router, der nicht mit dem Industrie-Standard-PW läuft, solltest Du hinreichend abgesichert sein, sofern Du Deine PW´s separat (offline) notieren solltest.


    Oliver

    Jou. Mist. KeePass hat bei mir in einer 0.x Version soviel Theater gemacht, daß ich mir das seitdem nicht mehr angeguckt habe.

    Auch wenn das aussehen nicht wirklich eine Rolle spielen sollte und nicht zwangsläufig etwas mit besseren/einfacheren Bedienung zu tun hat, eine alternative zu PWSafe ist KeepPass allemal geworden. Zustimmung. Ich guck mir das die Tage auch mal wieder aus. Scheint sich mächtig entwickelt zu haben.

    Probieren geht über Studieren

    Mit dem "Aussehen" bezog ich mich nur auf die Java-Variante. Da sieht die Tree-Gliederung einfach grauenvoll aus. Nur scharzer Text auf weißem Grund, ohne erkennbare Spalten, abgeschnittene Texte. Wenn man Alternativen hat, die optisch hübscher sind und ungefähr gleiche Funktionalität bieten...

    boardraider schrieb:

    Zitat

    Zudem noch Open-Source, im Gegensatz zu RoboForm und 1PasswordPro.


    ...womit Du implizierst, dass Open-Source in diesem Falle etwas besseres sei - und da muss ich Dir leider wiedersprechen.

    Firefox = Open-Source / Open-Source = immer gut. Diese Rechnung geht leider nicht immer auf. Wir fallen nicht alle gleich deshalb auf die Knie, weil wir den Term "Open-Source" hören.

    Es kann meiner Meinung nach auch eigentlich nicht sein, bezüglich KeePass, ersteinmal Java und Groovy im Vorfeld installieren zu müssen, um dann anschliessend über einen XML-Konverter die sensiblen PW´s zu exportieren, bzw. diese sogar dezentral verwalten zu lassen, wobei dann die Zuganswörter noch nicht einmal verschlüsselt auf der Festplatte abgelegt werden. Du kennst Dich da sicherlich besser aus als ich :)

    Wie syncs. Du denn persönlich Deine PW´s zwischen Notebook und Station? Über XML-Import? Ich fange gleich an zu schmunzeln...


    Oliver

    Zitat von Oliver222

    boardraider schrieb:


    ...womit Du implizierst, dass Open-Source in diesem Falle etwas besseres sei - und da muss ich Dir leider wiedersprechen.

    Firefox = Open-Source / Open-Source = immer gut. Diese Rechnung geht leider nicht immer auf. Wir fallen nicht alle gleich deshalb auf die Knie, weil wir den Term "Open-Source" hören

    Du hast dich jetzt implizit verhaspelt. Opensource stellt bei einer Sicherheitssoftware für den privaten Gebrauch - aber nicht ausschliesslich - einen positiven Sicherheitsfaktor dar. Das hat mit Firefox überhaupt nichts zu tun. Und ich würde mich jetzt schwer wundern, wenn ich dir erklären müßte, warum. Falls dir das aber nicht einleuchtend erscheint, melde dich einfach nochmal zu Wort.

    Zitat

    Es kann meiner Meinung nach auch eigentlich nicht sein, bezüglich KeePass, ersteinmal Java und Groovy im Vorfeld installieren zu müssen, um dann anschliessend über einen XML-Konverter die sensiblen PW´s zu exportieren, bzw. diese sogar dezentral verwalten zu lassen, wobei dann die Zuganswörter noch nicht einmal verschlüsselt auf der Festplatte abgelegt werden. Du kennst Dich da sicherlich besser aus als ich :)

    Suchst du eine Lösung um die Paßwörter der Mitgleider eines Forums zu managen? Oder eines größeren Internetportals oder sowas in der Art? Geht das nicht leicht am Thread vorbei?

    Zitat

    Wie syncs. Du denn persönlich Deine PW´s zwischen Notebook und Station?

    Syncronisation ist ein guter Einwurf. Auch wenn ich mich nicht tagtäglich einer Fülle von neuen Paßwörtern ausgesetzt sehe.

    Probieren geht über Studieren

    Zitat von Oliver222

    ...womit Du implizierst, dass Open-Source in diesem Falle etwas besseres sei - und da muss ich Dir leider wiedersprechen.

    Open Source ist bei Software, die in sensiblen Bereichen eingesetzt wird für mich ein positiver Faktor. Es erlaubt Experten den Code auf Fehler zu untersuchen. Ich schreibe nichts von "auf die Knie fallen" und ich weiß warum ICH Open Source in solchen Bereichen für besser halte. Was du in meine Aussagen hinein interpretierst und welche Schlüsse du aus solchen Umständen ziehst, ist deine Sache.

    Zitat

    Es kann meiner Meinung nach auch eigentlich nicht sein, bezüglich KeePass, ersteinmal Java und Groovy im Vorfeld installieren zu müssen

    Ich weiß nicht, wozu du für KeePass Java oder Groovy brauchst, aber das weißt du selbst am besten. Ich brauche dafür weder das eine noch das andere.

    Zitat

    um dann anschliessend über einen XML-Konverter die sensiblen PW´s zu exportieren, bzw. diese sogar dezentral verwalten zu lassen, wobei dann die Zuganswörter noch nicht einmal verschlüsselt auf der Festplatte abgelegt

    Ich weiß ehrlich gesagt nicht auf was du hinaus willst, in der bisherigen Diskussion finde ich nichts, wozu das passen könnte.

    Zitat

    Wie syncs. Du denn persönlich Deine PW´s zwischen Notebook und Station? Über XML-Import? Ich fange gleich an zu schmunzeln...

    Hm, indem ich die verschlüsselte Passwortdatei kopiere vielleicht? Ob ich diese lokal über einen Datenträger oder via Lan oder alternativ über Webspace kopiere ist für mich unerheblich.

    boardraider & co.

    Open Source ist meiner Ansicht nach `ne tolle Sache gegenüber den zugrundelegenden Ciphers - bzw. gegenüber den mathematisch restriktiven Algorithmen (DES). Open Source ist somit, bezüglich der allgemeinen Betrachtung dieser offenen Verschlüsselungsalgorithmen, sogar notwendig.

    Die Frage verbleibt dennoch, inwieweit und unter welchen Bedingungen, der PW-Transfer sauber aus dem FF heraus integriert wurde und ab wann und wo genau verschlüsselt wird.

    boardraider fragte:

    Zitat

    [...]Ich weiß nicht, wozu du für KeePass Java oder Groovy brauchst, aber das weißt du selbst am besten. Ich brauche dafür weder das eine noch das andere.

    Lese Dir einfach den Thread nocheinmal genau durch, dann kommst Du vermutlich von selbst drauf. Es geht nicht um die Applikation selber, sondern um den Transfer der sensiblen Daten oder der Format-Konvertierung. Es gibt genug Leute, die diesbezüglich "hängenbleiben". Nichts gegen Dein KeePass als Single-Applikation.


    Oliver

    Zitat von boardraider


    Alternativ gäbe es noch
    http://keepassx.sourceforge.net


    Genau das nutze ich auch mit einer schlüssel datei.

    Aber trotzdem habe ich auch Passwörter im firefox gespeichert. Ich starte doch nicht zig mal ein Programm damit ich mich einloggen kann :roll: .

    Oliver222 Ich sehe das anders.
    Wenn ich eine OpenSource Alternative die dasselbe kann wie eine kommerzielle Variante dann bin ich nicht abgeneigt das OpenSource Programm zu benutzen.

    Außerdem kann man da auch sicher sein das das Programm nicht spioniert oder irgendetwas sendet.
    Nicht ohne Grund sind die closed source Sachen auf meinem Linux System (ja sogar ein opensource Betriebssystem :lol: ) nur google earth, moneyplex und nero linux...
    Genauso ist es doch etwas komisch zu kritisieren das exportierte Passwörter nicht verschlüsselt werden. Genau dafür ist das exportieren doch da? :roll:
    Mal davon abgesehen das keepass eins der ersten mit schlüssel Datei war und damit sicherheitstechnisch doch sehr weit vorne ist :roll:

    Beim Rest schließe ich mich meinen Vorredner an. Sicherheitstechnisch ist OpenSource immer vorrangig...

    Achja ein weiterer Vorteil ist das du den entwicklern ja sogar helfen könntest und die export funktion mit einer Verschlüsseln versehen könntest :roll:

    Übrigens finde ich es schon irgendwie komisch. Ich habe keepass unter windows und Linux immer als erstes installiert bevor überhaupt etwas anderes ala java kam.

    Komischerweise konnte ich auch ohne java und co immer alles ohne Probleme exportieren auch in *.xml...
    Wäre für keepass Java nötig käme das unter Linux doch als abhängigkeit?
    Ich habe bis jetzt noch nirgends gelesen das einige keepass Funktionen Java voraussetzen. Auch nicht auf der Herstellerseite :roll:

    Zitat von Oliver222

    boardraider & co.

    Open Source ist meiner Ansicht nach `ne tolle Sache gegenüber den zugrundelegenden Ciphers - bzw. gegenüber den mathematisch restriktiven Algorithmen (DES). Open Source ist somit, bezüglich der allgemeinen Betrachtung dieser offenen Verschlüsselungsalgorithmen, sogar notwendig

    Na also. Es geht doch. Das gleiche gilt dann nicht nur für den Cipher, sondern auch für seine Implementierung. Was den Einwurf mit OpenSource nun komplett als korrekt hinstellt. Gut daß wir darüber gesprochen haben ;)

    Zitat

    Die Frage verbleibt dennoch, inwieweit und unter welchen Bedingungen, der PW-Transfer sauber aus dem FF heraus integriert wurde und ab wann und wo genau verschlüsselt wird

    Sorry wenn ich mich jetzt dumm anstellen sollte, aber eigentlich will ich aus dem Fx heraus nichts transferieren. Ich will IN den Fx transferieren/auf der Seite eingeben. Zum Beispiel.

    Die Fragen die für mich verbleiben sind andere. Und die sind keine rethorischen jetzt: Was ist für mich wirklich sicherer? Ein unsicherer Passwort aus dem Kopf oder ein sicherer kurz über die Ablage?
    Soll ich eher einen Keylogger/brute force furchten oder einen Wurm der in der Ablage schnüffelt?
    KeePass kann Probleme mit eineigen Erweiterungen für die Ablage verursachen. Ich nehme an, wil es einiges unternimmt, damit man die Ablage nicht ausschnüffelt. Wie sicher das ist kann ich nicht beurteilen. Man nimmt sich einiger dieser Probleme übrigens mit KeePass2 bereits an.

    Ich denke PWSafe3 und KeePass schützen vor garnichts, wenn sie alleine das Sicherheitskonzept des Rechners tragen müßen. Beachtet man alle Regel der Kunst, halte ich sie für großartige und sehr nützliche Erweitrungen eines Sicherheitskonzeptes.
    Nicht zuletzt, weil es OpenSource Lösungen sind. Wie AxCrypt, TrueCrypt, Enigmail oder GnuPG.

    Sebastian
    Wie zig mal starten? KeePass und PWSafe3 können doch im Tray verweilen. Jedenfalls was Windows angeht. Dann muß man per Menü die Datenbank nur entsperren, Paßwort rausholen und wieder sperren.

    Probieren geht über Studieren

    Zitat von BeeHaa


    Sebastian
    Wie zig mal starten? KeePass und PWSafe3 können doch im Tray verweilen. Jedenfalls was Windows angeht. Dann muß man per Menü die Datenbank nur entsperren, Paßwort rausholen und wieder sperren.


    Also ich schließe das Programm wieder wenn ich es nicht brauche :wink: .

    Mal davon abgesehen das es am ende dann auch zu einem indirekten start wrid wegen der neuen passwort eingabe.

    Zitat von Oliver222

    Die Frage verbleibt dennoch, inwieweit und unter welchen Bedingungen, der PW-Transfer sauber aus dem FF heraus integriert wurde und ab wann und wo genau verschlüsselt wird.

    Darüber hatte ich nicht gesprochen. Mit ging es tatsächlich um bspw. Keepass als wie du es nennst "Single-Applikation". Unter den Gesichtspunkten des Transfers bestehen natürlich einige Probleme. Da widerspreche ich dir nicht. Nichts für Ungut!

    boardraider stellte folgendes dar:

    Zitat

    [...] Darüber hatte ich nicht gesprochen. Mir ging es tatsächlich um bspw. KeePass als wie du es nennst "Single-Applikation". Unter den Gesichtspunkten des Transfers bestehen natürlich einige Probleme. Da widerspreche ich dir nicht. Nichts für Ungut!.

    Nichts für Ungut zurück.

    Es ging dabei nur um eine kritische Betrachtungsweise der Anwendung (KeePass) und zwar bezogen auf ihren Einsatzzweck innerhalb des Firefoxes und aus ihm heraus - unabhängig davon, ob es sich dabei um eine Open-Source oder um eine propetiäre Software, (also um eine firmenspezifische, individuelle Anwendung), handelt. Der sicherheitsspezifische Nutzen der Anwender, bezüglich der Applikation (KeePass) und ihres Einsatzzwecks hat dabei Vorrang - nicht automatisch der Faktor: "Open-Source". (Nichts gegen Open-Source im Allgemeinen).

    Kritische Hinterfragungen sind meiner Ansicht nach notwendig, denn daran "wachsen" wir hier alle - wohingegen Pauschalisierungen meiner Ansicht nach bloss zu einer Stagnation führen würde.


    BeeHaa stellte folgendes dar:

    Zitat

    [...] Na also. Es geht doch. Das gleiche gilt dann nicht nur für den Cipher, sondern auch für seine Implementierung. Was den Einwurf mit OpenSource nun komplett als korrekt hinstellt. Gut daß wir darüber gesprochen haben.

    Nun, Du hast es leider noch nicht verstanden - aber eigentlich ist es auch egal - ich denke mal es gibt doch eigentlich viel wichtigere Dinge im Leben :)


    Oliver