xxxxxxxx
xxx
-
Frost3000 -
11. August 2007 um 21:57 -
Erledigt
-
Reichlich egal ist das. Wenn Du Dir einen Keylogger einfängst, der Deine Handeingabe mitprotokolliert, dann kannst Du Dir auch einen Trojaner einfangen, der die verschlüsselten Passwortdateien vom Firefox saugt.
Sobald dein System konterminiert ist, hilft nix mehr. Also stell sich das das nicht passiert. Sonst ist beides nicht sicher.
Auf einem Büro-Rechner auf den verschiedene Leute zugriff haben, sollte man ein Masterpasswort für den Manager setzen.
-
Zitat von Frost3000
Ich besitze nur avast!Ich auch
Und als Passwort-Manager einen "externen":
Kannst auch mal den hier probieren, kostet nichts:
http://www.erweiterungen.de/detail/Secure_Login/
-GA-
-
Zitat von Frost3000
inen keylogger muss man sich sicher erst richtig einfangen, einen trojaner bekommt man schneller.
Ich glaub da schätzt Du was falsch ein. Wenn jemand dir einen Trojaner unterjubeln kann, dann ist das mit einem Keylogger auch kein Problem. Die fallen auch unter "Trojaner".Und da der Passwortmanager lokal arbeitet, braucht das ganze nicht mal Verschlüsselt zu sein. Solange keiner auf Deine Kiste Zugriff hat, kommt da keiner ran. Firefox gibt die nicht auf Anfrage aus dem Netz raus.
Die Verschlüsselung ist Vorsorge im Falle eines lokalen Zugriffs.
Wenn Passwörter im Netz ohne HTTPS-Protokoll übermittelt werden, dann sind sie egal ob von Hand oder Autovervollständigung, dann sind die ungesichert. Weil Firefox die Passwörter erst lokal entschlüsselt und dann verschickt.
Ich hoffe ich konnte dir den Ablauf jetzt deutlich machen.
-
Wie sieht es denn aus, wenn man Benutzernamen und Passwort aus einzelnen Buchstaben der Website per markieren - Rechtsklick - kopieren - einfügen zusammenbastelt?
Nein, das hab ich nicht vor - reine Neugierde.
-
Zitat von Frost3000
ich hätte gedacht, das firefox die passwörter wenigstens gut verschlüsselt.
Tut er ja auch, wenn du ein Masterpasswort verwendest. Allerdings bei einer kompromittierten Kiste sollte man dem Masterpasswort und allen damit verschlüsselten Pw nicht mehr vertrauen.
ZitatKlar man kann nichts sicher verschlüsseln
Theoretisch vielleicht nicht, aber wenn eine Brute-Force-Attacke gegen ein Pw 10 Jahre dauert, dann wird wohl keiner den Aufwand auf sich nehmen.
-
Damitt dürfte man die meisten Keylogger austricksen können, da es nicht getippt ist und auch der Zwischenspeicher nicht genutzt wird.
Aber es bleib dabei. Kein HTTPS, keine sichere Übertragung. Die HTTP-Anfrage (header) die rausgeht, ist dann immer noch unverschlüsselt und wenn der Keylogger/Trojaner das ebenfalls prüft, was da so ein und ausgeht, kann er auch an diese Daten kommen.
-
Fury fragte:
ZitatWie sieht es denn aus, wenn man Benutzernamen und Passwort aus einzelnen Buchstaben der Website per markieren - Rechtsklick - kopieren - einfügen zusammenbastelt?
bugcatcher antwortete daraufhin:
ZitatDamitt dürfte man die meisten Keylogger austricksen können, da es nicht getippt ist und auch der Zwischenspeicher nicht genutzt wird.
??? :shock:
Ein Keylogger, der als ein eingeschleusstes Aufnahmemodul der Zwischenablage (Clipboard) fungiert, kann nach meinen bisherigen Erfahrungen auch jeden unverschlüsselten Datenaustausch im Textformat einzelnd oder als Zeichenkette sequenziell dauerhaft protokollieren. Über einen Hexeditor (z.B. Win Hex 13.9 (http://www.x-ways.net)), liessen sich solche Clipboard-Inhalte sogar manuell auslesen und somit auch weiter verwerten - nur mit dem Unterschied, dass sich eine Spionage-Software sog. "Speicherfenster" zu Nutze macht.
Auch ein sog. Mauspositions-Ansteuerungs-Verfahren (Bildschirmtastatur) würde meiner Ansicht nach genau dann in ein "ad-adsurdum" geführt werden, solange der Transit dieses sensiblen PW´s anschliessend wiederum über die allgemein auslesbare Zwischenablage erfolgen würde.
Eine erste Gegenmassnahme wäre dabei eine Software, die die Überwachung der Zwischenablage im Vorfeld unterbinden würde. (z.B. Bagusoft, Acebit, CP-Lab, Mateso sowie Keepass Password Safe).
Oliver
http://www.password-depot.de/download/PC%20…_07_112-123.pdf
http://en.wikipedia.org/wiki/Tinfoil_Hat_Linux
http://tech.de.msn.com/home/computer_…umentid=5654475 -
Ich sagte ja vorsichtshalber "die meisten". Die die einfach gestrickt sind. Was sicher die meisten sind, weil das völlig ausreicht. Das man einen Trojaner bauen kann, die ganze Speicherabbildungen auslesen und analysieren, das ist klar. Aber meist halt auch gar nicht nötig?
-