Südkurier-Artikel v.19.Jan. betreffend Passwort in Firefox

    http://www.suedkurier.de/ratgeber/compu…t409977,4128972

    ...

    Zitat

    als auch Firefox und Internet Explorer lassen Kennwörter, beispielsweise nach dem Eintragen in Internetseiten, unverschlüsselt im Arbeitsspeicher des PC. Dort sind sie eine leichte Beute für die Piraten.

    Stimmt das? Wenn ja, wie könnte bei Firefox eine Methode implementiert werden, bei der das Problem nicht besteht?

    Etwa für Eingabe des Passworts folgender Algorithmus: bei Verlassen des Passworteingabefelds wird dieses, beispielsweise per One-Time-Pad, verschlüsselt und erst bei Betätigung des Login-Buttons wieder entschlüsselt? Dann sofort nach dem Absenden im flüchtigen Speicher mit Nullen überschrieben?

    Bei Benutzung eines bereits gespeicherten, mit Masterpasswort verschlüsselten Passworts? Zunächst nur die Länge ermitteln und die entsprechende Anzahl Sternchen bzw. Punkte in das Passwortfeld? Erst beim Absenden Passwort entschlüsseln und nach dem Absenden wie oben gesagt mit Nullen überschreiben?

    Willkommen im Forum!
    Falsche Frage!
    Die Frage muss lauten: Was tust du dagegen, das "Piraten" deinen Arbeitsspeicher einsehen können?
    1. Tipp: Nicht auf alles klicken was blinkt und hüpft
    2. Tipp: System und Programme immer uptodate halten
    3. Tipp: Nicht mit Admin-Rechten im Internet surfen
    4. Tipp: Antivirenprogramm und Firewall- oder Router benutzen
    5. Tipp: Keine Fremden (auch Freunde etc.) an deinen Computer lassen, und wenn dann nur im Gastkonto
    6. Tipp: keine fremden Speicher ohne vorherige Virenprüfung an den Computer anschließen
    etc.etc

    Zitat von JanDavid

    Erst beim Absenden Passwort entschlüsseln und nach dem Absenden wie oben gesagt mit Nullen überschreiben?

    Prinzipiell wird es immer in Zeitfenster geben, bei dem ein Passwort im Klartext im Speicher zu finden ist, so denn eine Entschlüsselung auf der lokalen Maschine stattfindet.

    Zitat von Suedkurier

    KeePass Password Safe 2 (kostenlos), als auch Firefox und Internet Explorer lassen Kennwörter, beispielsweise nach dem Eintragen in Internetseiten, unverschlüsselt im Arbeitsspeicher des PC.


    KeePass setzt da aber wesentlich mehr um als der Fx, IE oder andere Programme.
    http://keepass.info/features.html#lnksec
    http://keepass.info/help/base/security.html#secmemprot
    So ganz klar ist mir nicht, wie die zu diesem Urteil kommen.

    Zitat

    Dort sind sie eine leichte Beute für die Piraten.

    Leicht? Memory-Dumps anzulegen und auszuwerten halte ich nicht gerade für leicht im Vergleich zu anderen Mechanismen.

    Zitat

    Bei einem solchen Angriff können Datendiebe bis zu 30 Millionen Kennwörter pro Sekunde ausprobieren, um das Hauptkennwort zu finden. Sie können ein Passwort aus elf Zeichen in weniger als sechs Minuten knacken.

    Da das unmittelbar von der Struktur des Passworts abhängt, ist diese Aussage in der Form witzlos.

    Zitat

    Als einziges der getesteten Programme lässt sich der „Passwort-Manager 12“ von Steganos samt Tresor auf einem USB-Stick speichern.


    http://keepass.info/download.html
    *lol*

    Zitat

    etwa indem Sie den Namen des Auktionshauses, des E-Mail- Kontos oder des Online-Shops davor oder dahinter setzen.
    [...]
    Wenn darin bekannte Namen oder Jahreszahlen auftauchen, ist es ähnlich unsicher

    *rofl*

    Wie immer ein mies recherchierter Artikel der CB, da widerspricht man sich doch gerne mal selbst, pauschailisiert vor sich hin und ist scheinbar nicht in der Lage ein paar Webseiten nur halbwegs aufmerksam zu lesen. Dass andere den Käse dann ohne Hirn abschreiben qualifiziert sie dann ähnlich hoch. Grausam!

    Wenn irgendwer lokal an den Rechner kann, dann kommt der Dieb im Grunde mit etwas Plan und entsprechendem Willen an fast alles ran. Vor sowas schützt auch Firefox nicht. Primär schützt man sein System von Angriffen von AUSSEN. Bei Angriffen von INNEN (lokal vor dem Rechner oder direkt auf dem Rechner), hat man immer schlechte Karten. Zumal dann, wenn man den Angriff nicht erwartet.