Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern
Die Sicherheitsforscher der Firma Independent Security Evaluators (ISE) haben in einer Untersuchung aktueller Passwortmanager mehrere Sicherheitslücken bei diesen festgestellt. Unter anderem war es möglich, Masterpasswörter oder private Schlüssel zu extrahieren. Das setzt aber Zugriff mit Admin-Rechten auf den Computer voraus.
ist am ende der gute alte stift und zettel unter der tastatur sicherer als alles andere?
€rgänzung: am heimischen rechner der nicht als bürorechner für die arbeit genutzt wird.
@Balthasarbildet
bei mir zuhause hab ich nichts zu verbergen.
ich bin nicht wichtig genug um was verbergen zu müssen.
Ne schöne TXT auf nem mit VeraCrypt verschlüsselten USB Stick/im verschlüsselten Container auf der Cloud etc etc, alles sinnvoller als Passwortmanager.
(Am besten die TXT auch noch mit PGP verschlüsselt )
Nutze seit Jahren LastPass ohne Probleme. Allerdings auch mit 2 Faktor Authentifizierung mittels YubiKey.
Zumindest das "auslesbare" Masterpasswort ist damit nicht ausreichend.
@Blumenwiese Bei VeraCrypt muss du auch ein Passwort eingeben, welches man dann aus dem Speicher auslesen kann. Die Frage ist wie lange das möglich ist und wie Aufwändig es ist.
Bei einer Attacke auf VeraCrypt würde ich es mir einfach machen und versuchen dem User eine selbstkompilierte EXE Datei unterzujubeln. Dann kann man das Passwort schön bequem im Klartext mitschneiden.
Die kann sich eigentlich jeder, der in deinem Benutzeraccount eingeloggt ist, ohne Probleme anzeigen lassen. (Zumindest hat Firefox bei mir nie nach nen PW verlangt), deshalb speichere ich auch nur unwichtige PWs im Firefox, die Passwörter lassen sich auch leicht mit ner Schadware saugen, dafür muss man nur den Profilordner des Firefoxprofils kopieren)
@DocWindows
Und deshalb auch noch die TXT (bzw den Text in der TXT) mit PGP verschlüsseln
@Blumenwiese :
Man kann die Passwörter im FF mit einem Masterpasswort schützen.
Wenn man es denn aktiviert.
Ansonsten kommt da jeder dran, der im laufenden Betrieb an den installierten Firefox kommt.
Gleiches gilt für die Profildaten. Falls Masterpasswort existiert sind diese geschützt.
Es ist klar, das auch Passwortmanager (wie jeder andere Software auch) Sicherheitslücken enthalten kann.
Was wenig hilft ist aber jetzt in Panik zu verfallen oder Passwortmanager zu verdammen.
Schließlich geht es bei dem beschriebenen Angriff um ein Szenario, wo bereits Schadsoftware auf dem Rechner ist und mit Admin-Rechten läuft.
In dem Fall hat man so oder so ein Problem. Da helfen auch keine verschlüsselten Textdateien oder Passwörter auf dem Zettel zu notieren. Weil der Angreifer dann natürlich auf die verschlüsselte Datei zugreifen kann, sobald sie der Benutzer entschlüsselt.
Und auf die Passwörter auf dem Papier, sobald der Nutzer sie bei Onlinebanking etc. eingibt.
Ein wirksamer Schutz ist es also nicht Passwörter zu verdammen, sondern aufpassen das man sich keine Schadsoftware einfängt. Dazu gibt es eine Reihe an Maßnahmen die hier auch schon rauf und runter diskutiert wurden.
Wenn jemand Admin-Zugriff auf den Rechner hat und die Keepass-Datei mit dem passenden pw entsperrt wurde, würde ich eh nciht mehr von Sicherheitlücken reden.
Hab beim Titel schon befürchtet, dass die Container entschlüsselbar sind oder sowas.
Viele (auch ich) können die Flut an nötigen Passwörtern einfach nicht merken.
Bei mir sind es insgesamt ca 30 PW die ich brauche, davon habe ich jedoch nur die wichtigsten im Kopf. (VeraCrypt Laptop+sämtliche andere Container, dann mein PGP Passwort und noch die Passwörter für die Mailkonten/Online Banking (gesamt 10 Passwörter inkl Handy))
Der Rest will mir nicht in den Kopf und ich möchte keine Passwörter doppelt nutzen.
Der Apostroph beim Genitiv wird nur bei Eigennamen verwendet, daher muss es hier einfach heißen: des entsperrten Modus.
Da hier von einer Prämisse ausgegangen wird, unter der man in jedem Fall Sicherheitsprobleme mit seinen Passwörtern hat, finde ich die Erkenntnis nur wenig erhellend und für den praktischen Alltag fast irrelevant. Passwortmanager sind mit dem richtigen Gebrauch weit sicherer als die Praxis, mit der die allermeisten Anwender mit ihren Passwörtern verfahren, sei es, immer dasselbe Passwort zu verwenden, oder sei es, eine Basisvariante in verschiedenen Modifizierungen zu nutzen.
Wobei durchaus Fälle möglich sind, bei denen der Angreifer erst nach der Nutzung des Passworts auf/an den PC gelangt und somit das Passwort nicht mit ein Keylogger hätte mitschneiden können.
Z.B. bei einer Hausdurchsuchung.
Dazu kommt, das die Passwörter im RAM auch in der Pagefile, Hiberfile oder Memdumps vom Bluescreen landen können und damit möglichweise tagelang offen auf der Platte liegen.
Ja. Das mit dem "im Kopf behalten" ist ein Problem.
Wobei ein Passwort nicht zwangsläufig mit Zahlen und Sonderzeichen gespickt sein muss, wie immer gesagt wird.
Wenn es denn lang genug ist.
Es darf also z.B. auch ein Satz sein und er darf auch Sinn ergeben. Da wird die Sicherheit über die Länge erreicht. Und Sätze lassen sich für viele Menschen meist besser merken als ein kurzes kompliziertes Passwort.
Das einzige Problem ist, das Webdienste gerne mal ne zu starke Beschränkung der Passwortlänge haben.
Wenn ich regelmäßig beim Online-Banking sehe das da nur irgendwie 6 Zeichen (meist auch ohne Sonderzeichen) erlaubt sind, frag ich mich was so ein Blödsinn soll.
Ich denke nicht, dass das wirklich sicher ist. Denn sobald du auf die Datei in deinem 7z zugreifst, wird diese vorher irgendwohin entpackt. Dann liegt diese Datei als Klartext in deinem Temp-Ordner und kann ohne weiteres abgegriffen werden. Auch wenn du deinen Temp-Ordner regelmäßig löschst, sollte die Datei relativ einfach wiederherstellbar sein.
)
