Passwörter doch nicht sicher?

    Hallo,

    ich habe gerade in der PC-Welt online einen Bericht gelesen, "Know-How: Das perfekte Passwort".
    Dabei wird geschrieben, dass man die Passwörter auslesen kann, Zitat:

    Code
    Was aber, wenn sich jemand Zugang zu Ihrem PC verschafft? In Firefox beispielsweise lassen sich gespeicherte Passwörter einfach über „Extras, Einstellungen, Datenschutz, Passwörter, Gespeicherte Passwörter anzeigen“ sichtbar machen. Firefox bietet Ihnen zwar an, abgelegte Kennwörter mit einem Master-Passwort schützen. Aber auch diese Maßnahme lässt sich umgehen, indem man die Festplatte über ein anderes System ausliest.

    Stimmt dieses? Kann man trotz des Masterpasswort die verschlüsselten Passwörter entschlüsseln?

    Gruß gecko

    Zitat von foxifire

    das Masterpasswort ist ziemlich sehr sicher :wink:

    aber 100 % :?:

    http://firefox.phpmagazine.net/2006/10/firema…fox_master.html


    Mir geht es mehr darum, dass es so aussieht, das man nur Zugriff auf die Festplatte braucht (Trojaner), die verschlüsselten Passwörter irgendwohin überträgt und schon kann man diese dann einfach ohne Masterpasswort knacken.
    Dass man jedes Passwort herausbekommen kann, ist mir schon klar. Nur wenn der Aufwand in die Monate geht (brute force, Wörterbuch, ...)
    ist mir das egal, weil es dann für diesen Aufwand besser Ziele gibt als mich und mein Masterpasswort ist relativ sicher :)

    Gruß gecko

    Zitat

    Aber auch diese Maßnahme lässt sich umgehen, indem man die Festplatte über ein anderes System ausliest.

    Schwachsinn! Bei solchen Aussagen würde ich an deiner Stelle darüber nachdenken, ob es sich lohnt diesen Schund weiter zu lesen.

    Und was das Recovery Tool betrifft. Bei einem starken Passwort ist das Tool machtlos. Allerdings lässt sich das auf so ziemlich jede normale Passwortanwendung übertragen. Mit Brute Force knackt man "theoretisch" jedes Passwort.

    Zitat von gecko1a

    Mir geht es mehr darum, dass es so aussieht, das man nur Zugriff auf die Festplatte braucht (Trojaner), die verschlüsselten Passwörter irgendwohin überträgt und schon kann man diese dann einfach ohne Masterpasswort knacken.

    Dem ist nicht so. Also don't worry.

    Wenn man ein Masterpasswort einstellt, werden die Passwörter mittels des Masterpasswort ein zweites Mal verschlüsselt. Das heißt erst müßte man das Masterpasswort knacken, dann müßte man noch den ursprünglichen zufälligen Schlüssel knacken mit dem die Passwörter zu anfangs verschlüsselt wurden.

    Da müßte man schon extrem sensible Passwörter haben damit sich jemand diese Mühe macht und da verbietet sich der Einsatz eines Passwortmanagers normalerweise.

    Wirklich sensible Passwörter nur in Brain.exe speichern :wink: .

    Bei mir ist der Passwortmanager sogar deaktiviert.

    Afaik enthält die key3.db den Schlüssel zu den Daten in der signons2.txt. Solange kein Masterpasswort gesetzt ist, ist der Schlüssel in der key3.db selbst nicht verschlüsselt. Setzt man ein Masterpasswort, wird der Schlüssel in der key3.db selbst verschlüsselt.

    Umgekehrt reicht somit das Masterpasswort und die Dateien signons2.txt sowie key3.db zum entschlüsseln der Login-Daten. Ohne Zugriff auf die key3.db ist die signons2.txt natürlich nutzlos. Allerdings muss man keine zwei Schlüssel knacken, das Masterpasswort reicht.

    Oder irre ich mich?

    Wenn Ihr soooo wichtige Daten habt, daß Ihr Angst habt, daß da irgendein Geheimdienst dahinter kommt, glaubt Ihr dann nicht auch, daß es wesentlich einfacher für den Geheimdienst wäre, Euch so lange aufs Maul zu hauen, bis Ihr Euer Passwort verratet, anstatt sich die Mühe zu machen, Euer Passwort zu knacken?

    Diese Diskussion ist lächerlich. :lol:

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Zitat von UliBär

    Wenn Ihr soooo wichtige Daten habt, daß Ihr Angst habt, daß da irgendein Geheimdienst dahinter kommt, glaubt Ihr dann nicht auch, daß es wesentlich einfacher für den Geheimdienst wäre, Euch so lange aufs Maul zu hauen, bis Ihr Euer Passwort verratet, anstatt sich die Mühe zu machen, Euer Passwort zu knacken?...

    :lol: *gröööhl*

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 132 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Jou. Das ist dann die brutal force Methode ;)

    Ich denke, wenn man soweit das Interesse der Dienste geweckt hat, daß sie sich für die Passwörter interessieren, dann gibt es etliche andere Wege an diese ranzukommen.
    brutal force gibt es in west Europa nicht. Man bekommt eher was zum Schnuppern und singt die nächsten 2h alles was die Hypnose und Brain.exe hergeben.

    Sonst http://www.firefox-browser.de/forum/viewtopic.php?t=50192 bis zum Ende lesen.

    p.s.:
    Ich will garnicht wissen wieviele Leute die sich solche Gedanken machen ohne Anmeldung auf dem Desktop landen.

    Probieren geht über Studieren

    Zitat von boardraider

    Vor ulibär hat niemand von Geheimdiensten gesprochen. Weshalb soll die Diskussion davor dann lächerlich sein?

    Das war nur ein - zugegeben übertriebenes - Beispiel.
    Da reicht auch manchmal der stärkere Buder, wenn er denn unbedingt das Passwort wissen will... ;)
    Quintessenz: Passwörter speichert man nicht, egal ob verschlüsselt oder nicht. :idea:

    Zitat von BeeHaa

    brutal force gibt es in west Europa nicht. Man bekommt eher was zum Schnuppern und singt die nächsten 2h alles was die Hypnose und Brain.exe hergeben.

    Hut ab vor Deinem guten Glauben. Ich sehe das eher umgekehrt, die Drogen kommen nämlich aus dem Osten... ;)

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Zitat von UliBär

    Das war nur ein - zugegeben übertriebenes - Beispiel.

    Allright :)

    Zitat

    Quintessenz: Passwörter speichert man nicht, egal ob verschlüsselt oder nicht.

    In Anbetracht der Flut an Logins, PINs, PUKs etc. halte ich es für schwer sich alle Daten zu merken. Und stehts die selben Passwörter zu verwenden entspricht auch nicht gerade den Sicherheitsanforderungen. Wie machst du das denn praktisch? Merkst du dir alle Zugangsdaten? Und wieviele musst du dir denn merken (Mail-Server, FTP-Server, Webforen etc...)?

    Zitat von boardraider

    (...) Wie machst du das denn praktisch? Merkst du dir alle Zugangsdaten? Und wieviele musst du dir denn merken (Mail-Server, FTP-Server, Webforen etc...)?

    Ich merke mir in der Tat alle wichtigen Zugangsdaten. :?
    Andererseits: Die Anmeldung bei Foren u. ä. habe ich durch Cookies gelöst.
    Bei Homebanking und ähnlich relevantem wird bei mir absolut nichts gespeichert.
    Meine Mailprogramme - MailWasher+Outlook Express ( Ja, ich weiß! :roll: ) - haben die Zugangsdaten gespeichert.
    Email ist sowieso wie Postkarten, kann jeder lesen. Sonst hilft nur PGP oder ähnliches.
    Ich habe jedenfalls außer ein paar delikater ( ;) ) Bilder nichts auf dem Rechner, was mich in irgendeiner Weise kompromittieren könnte. Die würden nur meinen exquisiten Geschmack belegen. :cool:
    :lol:

    Aloha, Uli

    Seit 102.0 wieder mit dem jeweils neuesten 64bit-Fx von tete009 unterwegs.

    Zitat von UliBär

    Ich merke mir in der Tat alle wichtigen Zugangsdaten.

    Ok. Ich muss für meinen Teil leider gestehen, dass mir das a) zu mühsam und b) zu schwer ist. Ich verwende im Regelfall zufällig generierte Passwörter, da versagen dann meine grauen Zellen beim Versuch sich die zu merken, leider.

    Zitat

    Andererseits: Die Anmeldung bei Foren u. ä. habe ich durch Cookies gelöst.

    Ist etwas problematisch, zum einen gibt es einige Foren, die die Sessions serverseitig beenden nach einer gewissen Zeit. Und in meinem persönlichen Fall fällt das auch flach, da ich nur ein paar Session-Cookies von handverlesenen Seiten zulasse.

    Zitat

    Meine Mailprogramme - MailWasher+Outlook Express ( Ja, ich weiß! :roll: ) - haben die Zugangsdaten gespeichert.

    Aber damit sind diese doch auch "gespeichert", analog zu anderen Passwortmanagern.

    Zitat

    Email ist sowieso wie Postkarten, kann jeder lesen. Sonst hilft nur PGP oder ähnliches.

    Ja, leider. Aber das ist mit jeder http-Webseite auch so. Trotzdem ist es für mich ein Unterschied, ob jemand meine Mails ließt oder meine Zugangsdaten hat und unter meiner "Identität" (E-Mail-Account) Mails verschickt. Ich nutze persönlich GnuPG, was einem aber nicht viel hilft, wenn es sonst kaum jemand tut.

    Für mich stellen Paswortmanager eine gute Möglichkeit dar, der Flut an Login-Daten Herr zu werden. Jeder selbst kann natürlich unterscheiden, welche Daten er dort einträgt und bspw. Banking außen vor lassen. Die paar wenigen "wichtigen" Einträge kann sich wohl jeder noch merken. Sogar ich *ggg*

    Da muß ich passen. Wenn ich sehe wie Paßwörter aussehen die als sicher gelten, dann muß ich gestehen, daß ich nicht in der Lage bin sie mir zu merken. Und Duden-paßwörter/-sätze sind schlechter als garkeine. "Unsinnsige" Kombinationen behalte ich nur in einer auf jeden Fall zu kurzen Form.

    Daher PWSafe3/KeePass. Wovor sollte man dabei Angst haben? Keylogger machen mir ehrlich gesagt mehr Angst.

    Probieren geht über Studieren

    BeeHaa schrieb:

    Zitat

    [...] Keylogger machen mir ehrlich gesagt mehr Angst.

    ... was nicht ganz unbegründet ist und zwar bezüglich der Frage, wo genau solche PW´s, über welche Wege und auf welchen eingesetzten Systemen (vielleicht sogar im Klartext), zwischengespeichert werden. Dies ist meiner Ansicht nach mehr als verdammt wichtig!!!

    Eine mit AES verschlüsselte Passwort Datenbank, auf einem separaten U3 USB-Stick, in Kombination mit einer mobilen RoboForm oder KeePass-Version hinterlässt, meinen bisherigen Erfahrungen nach, keine rückverfolgbaren Daten-Spuren auf den eingesetzten Systemen - wobei ich RoboForm (10 freie PW´s) eher favorisiere würde, da durch RoboForm auch der Import der Passwörter aus den Browsern heraus automatisch erfolgt und nicht erst manuell über die Systemebene angestossen werden muss. Darüberhinaus können über das virtuelle Bildschirm-Keyboard bereits lokal vorhandene Keylogger umgangen werden.


    Oliver


    http://www.roboform.net/dist/AiRoboForm-Portable.exe
    http://www.roboform.com/anti-keylogger.html
    http://keepass.info/download/v1/KeePass-1.06.u3p

    Ehrlich, wenn ihr einen Keylogger auf eurem Rechner habt ist es eh zu spät.
    Ich empfehle zu diesem Thema die

    10 Immutable Laws of Security
    (Ja, die stehen tatsächlich auf einer Microsoft-Seite ;) - und ja, ich schreibe diesen Text auf Firefox unter Linux)

    Zitat

    Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore


    D.h. falls ihr den Verdacht habt einen Keylogger, Virus, Trojaner oder sonst welche Malware wurde oder wird auf eurem Rechner ausgeführt, dann könnt ihr nur durch eine komplette Neuinstallation sicher gehen, das euer System wieder sauber ist.
    Und um ganz sicher zu gehen solltet ihr auch von euren gesammten Daten ein Backup wiederherstellen - denn auch das Öffnen von z.B. manipiulierten Bildern kann im Falle von verwundbaren Applikationen ausreichen um euer System zu infizieren.


    Passwort-Manager finde ich übrigens 'ne gute Sache (logisch eigentlich, siehe Signatur ;)):

    Zitat

    Das mit dem Merken ist eine prima Sache, hat allerdings einen Haken:
    Je kryptischer und länger ein Passwort ist, desto sicherer ist es. Daher sind auch ganze "Schlüssel-Dateien" (Stichwort "Private & Public Key") sicherer als einfache Passwörter.
    Keiner kann sich allerdings den Inhalt solch einer "Schlüssel-Datei" merken und auch möglichst lange und kryptische Passwörter kann sich kaum einer merken.
    Verwendet man aber kurze und einfache Passwörter, die leichter zu merken sind, oder verwendet für viele Zugänge die gleichen Kombinationen aus Benutzernamen und Passwort, macht man wieder Abstriche bei der Sicherheit.

    Passwort-Manager stellen hier meiner Meinung nach einen guten Kompromiss dar. Nutzt man einen Passwort-Manager, muss man sich nur das Master-Passwort merken (das natürlich auch lang und kryptisch sein sollte) und kann für die eigentlichen Zugangs-Daten unterschiedliche, lange und kryptische Passwörter verwenden.


    https://blueimp.net/forum/viewtopic.php?f=12&t=334


    P.S.:
    An fremden Rechnern oder gar Internet-Cafés würde ich niemals Passwörter eingeben oder durch einen mobilen Passwort-Manager eintragen lassen - denn je nach Vertrauenswürdigkeit des Betreibers und der Sicherheit seiner Systeme ist es dann nämlich nicht mehr euer Passwort.

    P.P.S.:

    Zitat

    Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore


    Falls ihr eure Daten dennoch schützen wollt, hilft nur Verschlüsselung.
    Für Windows finde ich das Programm TrueCrypt sehr nützlich.
    Auf meinem System (Xubuntu Linux) nutze ich LUKS+DM-Crypt sowie encFS - siehe https://blueimp.net/linux/howto/encryption.txt
    (Meine komplette /home Partition ist z.B. verschlüsselt).

    Allerdings nützen auch meine Vorkehrungen wenig, wenn jemand den physischen Zugriff nutzt um mein System zu manipulieren und dann darauf wartet das ich mich wieder anmelde, meine Daten entschlüssele und dann unbemerkt alles über das Netz wandert.
    In dem Fall hilft dann nur die Verschlüsselung des gesamten Betriebssystems.
    Und dann könnte immer noch jemand einen Hardware-Keylogger anbringen.
    Oder, wie schon beschrieben, die "Brutal Force" Methode anwenden. ;)

    Aber es kommt im Endeffekt auf Einsatz und Nutzen an:

    Zitat

    I consider something secure, when the effort to bypass or break it exceeds
    the benefit you get from breaking it.

    madblueimp stellte folgendes dar:

    Zitat

    [...]D.h. falls ihr den Verdacht habt einen Keylogger, Virus, Trojaner oder sonst welche Malware wurde oder wird auf eurem Rechner ausgeführt, dann könnt ihr nur durch eine komplette Neuinstallation sicher gehen, das euer System wieder sauber ist. Und um ganz sicher zu gehen, solltet ihr auch von euren gesammten Daten ein Backup wiederherstellen - denn auch das Öffnen von z.B. manipulierten Bildern, kann im Falle von verwundbaren Applikationen ausreichen um euer System zu infizieren.


    Du hast Recht bezüglich lokaler Systeme, die Du selber beeinflussen kannst. Nur was machst Du, wenn Du mit Deinen Passwörtern und den dazugehörigen Log-In-Daten professionell auf Reisen gehen musst? Du wärst in so einem Fall doch dem Zielkonflikt ausgesetzt, Deine auf dem USB-Stick abgespeicherten Zugangsdaten auch auf einem fremden und somit Dir unbekannten System einsetzen zu müssen und zwar ohne damit selber rückverfolgbare Daten-Spuren zu hinterlassen - und das alles noch unter der Voraussetzung, dass der Transfer der sensiblen Daten nicht u. U. über eine "Man-in-the-Middle Attack" MITM, innerhalb des entsprechend eingesetzten Netzwerkes abgefangen werden kann. Im Grunde genommen das, was Du bereits angedeutet hattest.

    Solltest Du vielleicht einmal wie ich, mit sensiblen Firmen-Zugangs-Daten professionell auf Reisen geschickt worden sein und dabei im Vorfeld eine vertraglich geregelte "Mitschuldnerhaftung in Bezug auf Datenschutzverletzung" (Eigenverantwortlichkeit in Bezug auf Datenübertragung und Datenübermittlung) eingegangen sein, dann weisst Du wovon ich hier spreche. Datenschutz und die dazugehörigen Programme bekommen dann für Dich eine ganz andere Bedeutung und haben überhaupt nichts mehr mit dem zu tun, was wir zu Hause machen.

    Zitat

    [...]In dem Fall hilft dann nur die Verschlüsselung des gesamten Betriebssystems.


    Dir ist schon klar, dass sich somit immer noch Daten im Klartext, auch innerhalb einer verschlüsselten OS-Partition und zwar über die nichtverschlüsselten File-Slack-Bereiche der HD wiederherstellen lassen?

    Zitat

    [...]Und dann könnte immer noch jemand einen Hardware-Keylogger anbringen.


    Falls Du den "PS/2-Connector" meintest (zwischengeschaltet zwischen Keyboard und CPU, im Kabel integriert), dann wage ich fast zu behaupten, dass diese Form des Loggings fast schon "antiquare" Züge trägt und, nach meiner Erfahrung, heutzutage kaum noch praktiziert wird.

    O.T. Haben wir es hier vielleicht mit einem Extension-Entwickler zu tun? https://blueimp.net? Ist das "Ding" etwa auf Deinem Mist gewachsen? :)


    Oliver

    File-Slack-Bereiche stellen sicher ein Sicherheits-Risiko dar.
    Ob in den Bereichen jedoch tatsächlich sensible Daten zu finden sind, hängt vom Betriebssystem und vor allem vom eingesetzten Dateisystem und der verwendeten Cluster-Größe ab.
    ext3 z.B. schreibt keine RAM-Inhalte in den Slack-Bereich sondern füllt den Cluster mit NULL-Bytes auf:
    http://www.woerter.at/dud/stuff/fileslack.pdf

    Ich bin allerdings auch kein Forensiker und somit kein Spezialist auf dem Gebiet der Datenträger-Sicherheit.

    Das von mir eingesetzte System ist jedoch für meine Sicherheits-Bedürfnisse ausreichend:
    - /home Partition mit verschlüsseltem Dateisystem (darauf aufsetztend ext3)
    - /tmp als tmpfs (Dateisystem im RAM)
    - kein Swapspace (ausreichend RAM vorhanden)
    - kein Hibernate


    Mit sensiblen Firmen-Zugangs-Daten würde ich nur dann auf Reisen gehen, wenn es möglich ist das eigene Laptop mitzuführen.
    Ansonsten würde ich die "Mitschuldnerhaftung in Bezug auf Datenschutzverletzung" nicht unterzeichnen und die Firma auf die Sicherheitsrisiken aufmerksam machen.
    Ohne eigenes Laptop kann ich ja nicht einmal davon ausgehen das ich mich per VPN mit dem Firmen-Intranet verbinden kann.


    Zitat

    O.T. Haben wir es hier vielleicht mit einem Extension-Entwickler zu tun? https://blueimp.net? Ist das "Ding" etwa auf Deinem Mist gewachsen?


    Hmmmm... du hast nicht zufällig etwas mit der Firma Siber Systems zu tun? ;)