Sind Passwortmanager sicher?

  • Antworten:9
  • OffenNicht stickyNicht beantwortet
  7
Wolfgang OW
  • Forum-Beiträge: 15

23.02.2016, 13:05:19 via Website

Es ist zum verzweifeln. Kaum habe ich mich über den erläuternden Beitrag zum Thema KeePass von Aries in einem anderen Thread gefreut und beschlossen, endlich auch einen Passwordmanager anzuwenden, versetzt mir die Zeitschrift „Chip“ einen Schuss vor den Bug.
In dem Beitrag geht es um das häufig benutzte „LastPass“, bei dem Angreifer die komplette Kennwortdatenbank der User auslesen können. Das soll über „Cross-Site-Request-Forgery-Attacken“ (ich habe keine Ahnung was das ist) funktionieren. Dabei können beliebige Seiten den User abmelden und einen gefakten Log-In-Screen anzeigen. Sobald der User jetzt seine Log-In-Daten eingibt, erhält nicht nur LastPass die Daten sondern auch der Hacker. Vermutlich ist das aber nicht nur auf LastPass begrenzt.

In der gleichen Ausgabe der Zeitschrift wird auch die „2-Faktor-Authentifizierung“ (2FA) beschrieben. Damit scheint eine gewisse Sicherheit wieder herstellbar zu sein. Für LastPass gibt es z.B. eine App, die einen QR-Code generiert, der eingescannt werden muss. Eine Android-App dafür gibt es unter dem Namen „Authy“. Für Google gibt es die Möglichkeit, sich eine SMS mit einem Einmalcode zusenden zu lassen. Auch für Facebook, Amazon, Twitter, PayPal usw. ist 2FA möglich.
Allerdings habe ich keinerlei Erfahrung mit diesen Anwendungen und freue mich über Kommentare zu diesem Thema.

Meine Suche im Forum ergab eine sehr umfangreiche Übersicht der erhältlichen Passwordmanager und ansonsten nur ältere Beiträge die evtl. nicht mehr aktuell sind.

Wolfgang OW

Antworten
  21
Henrik Martens
  • Forum-Beiträge: 607

23.02.2016, 13:10:19 via Website

Ich persönlich vertraue meine Passwörter keiner App an. Ich habe alle sicher aufgeschrieben... Oldshool

Genau deine Angst habe ich nämlich auch.

Antworten
  41
Stefan Z.
  • Forum-Beiträge: 3.670

23.02.2016, 13:16:13 via App

Um den Hack von LastPass zu realisieren muss erst ein manipuliertes Browserplugin installiert sein, also eher eine theoretische Bedrohung. Ich nutze es weiterhin mit einem guten Gefühl.

LG G6, Android 9.0 Pie, Stock ohne Root.

Peter D.

Antworten
  83
Aries
  • Forum-Beiträge: 17.890

23.02.2016, 13:46:08 via Website

100% sicher gibt es nicht! Klar muss einem auch sein, dass der Zugriff auf das Masterpasswort oder ein Knacken der Container-Datei aller darin gespeicherten Passworte gefährdet ist.

Das von Keepass verwendete Verfahren AES-256 gilt als so sicher, dass es selbst die NSA einsetzt, auch wenn sie versuchen, es zu knacken.

Auch wenn das Verfahren an sich sicher ist, kann es immer noch fehlerhaft implementiert sein.

Lastpass ist von Haus aus cloudbasiert. Bei denen ergibt sich automatisch eine weitere mögliche Schwachstelle, gegenüber Keepass, das nicht cloudbasiert ist (wenn gleich die Containerdatei auch in der Cloud gespeichert werden kann, ist cloudbasiert noch etwas anderes)

Ob ein Notizbuch nun sicherer ist als eine verschlüsselte Containerdatei, wage ich zu bezweifeln. Das einzige was am PC, Smartphone und tablet passieren kann, sind Keylogger, die alle Eingaben mitlesen. Deshalb wird bei der Installation von externen Tastaturen auch imemr gewarnt.

Ebenso könnte die App selbst das Masterpasswort weitergeben. Das Risiko besteht insbesonere dann, wenn man kein Original lädt, sondern eine version aus einer fragwürdigen Quelle. Aber auch auf die Seiten von Herstellern wurden schon infizierte Dateien anstelle der Originale hochgeladen.

Die Verwendung von leicht zu merkenden Passworten oder das schriftliche festhalten auf Papeir verleitet eher zu Schludrigkeit und der Mehrfachverwendung eines Passwortes in mehreren Accounts. Daher sind Passwort-Manager sicherer.

Du kannst auch mehrere Containerdateien anlegen. Dann ist der Schaden bei einer Kompromittierung der einen Datei begrenzt.

Viele Grüße
Aries

Antworten
  42
Gelöschter Account
  • Forum-Beiträge: 4.160

23.02.2016, 14:08:19 via App

War Chip nicht die BILD Zeitung unter den Computerzeitschriften? :?

Nix ist 100% sicher, ich nutze für meine ganzen Zugänge, und das sind nicht wenige, eigentlich nur 2 Passwörter.

Bei nicht so heiklen Sachen wie Foren, nutze ich eins von denen, bei heiklen Sachen wie Email, nutze ich beide zusammen, bei ganz heiklen Sachen wie PayPal, nutze ich beide zusammen + Extra Zahlen + Extra Sonderzeichen.

Zahlen und Sonderzeichen sind sowieso schon in beiden Passwörtern.

Somit muss ich mir eigentlich nur 2 Passwörter merken, und die sind in meinem Kopf.

Ach ja, Groß-/Kleinschreibung ist natürlich auch dabei ;-)

Und da ich griechisch kann, kann ich das für meine Passwörter sehr gut nutzen.

Ansonsten gibt es ja immer den Tip, aus den Anfangsbuchstaben eines Satzes, zusammen mit Zahlen und Sonderzeichen sein Passwort zu wählen.

Nichts ist sicher, ausser der Tod! ;-)

Man kann Träume nicht leben, solange man schläft.
Lerne die Regeln, damit du sie richtig brechen kannst!

Thomas K.Henrik Martens

Antworten
  7
Wolfgang OW
  • Forum-Beiträge: 15

23.02.2016, 14:58:46 via Website

@ Ludy (Mod)
Danke, ich wußte nicht, wo dieses Thema am Besten hineinpasst.

@ Henrik Martens
Mittlerweile haben sich bei mir eine Menge Anwendungen angesammelt, die ein Passwort erfordern. Ich habe das so gestaltet, dass besonders sensible Anwendungen mit besonders schwierig zu ermittelnden, damit leider auch schwierig zu merkenden Passworten versehen sind. Forenzugänge haben simplere Passworte. Alles wurde schön aufgeschrieben und diese Notizen zu Hause sicher untergebracht. Für den gelegentlichen Gebrauch unterwegs mit dem Smartphone muß ich allerdings einen Zettel bei mir tragen oder alles auf dem Phone speichern. Wie Aries bemerkt, kann über diese „Sicherheit“ durchaus diskutiert werden. Leider hat die reine Anzahl der Zugänge zwischenzeitlich so stark zugenommen, dass ich nicht für jeden einzelnen Zugang ein separates Passwort habe sondern Einige mehrfach verwende. Damit ist die Sicherheit vermindert. Zusätzlich ist bei den vielen Passworten der Anreiz gering, routinemäßig einen Wechsel vorzunehmen. Eine weitere Unsicherheit. Deshalb scheint die Anwendung eines Passwortmanagers mit einem komplizierten Masterpasswort eine gute Lösung zu sein. Wie groß die Gefahr des Zugriffs auf diesen Master per Hack ist, kann ich noch nicht einschätzen, deshalb ja dieser Thread.

@Stefan Z.
In „Chip“ wurde vielleicht übertrieben, was die Leichtigkeit des Zuganges (Hack) betrifft. Das kann ich nicht einschätzen, weil ich zu unerfahren bin. Angeblich wurde von der Sicherheitsfirma Praesidio eine „Proof-of-Concept-Attacke“ entwickelt, mit der sie auf die User-Master-Kennworte zugreifen können. Vom Passwortdienst gäbe es dazu bisher keine Stellungnahme.

@Aries
Das Passwort kann nicht geknackt werden, soweit ich es verstanden habe. Durch den Hack wird allerdings der Zugang zum Passwortmanager manipuliert. Irgendwie ist das anscheinend eine besonders geschickte Art von Phishing. Das würde bedeuten, dass auch bei Anwendung größter Sorgfalt bei der Auswahl eines Anbieters und Verwendung von originalen und nicht infizierten Dateien die Gefahr des Fremdzugriffs besteht. Chip hat wie erwähnt diese „2-Faktor-Authentifizierung“ beschrieben, die es mittlerweile für einige Webdienste gibt. In den meisten Fällen müsste ein Hacker Zugriff auf zwei Geräte haben, was mir deutlich komplizierter erscheint. Darauf ist leider bisher noch niemand eingegangen. Ist das nicht die Lösung?

Antworten
  7
Wolfgang OW
  • Forum-Beiträge: 15

23.02.2016, 15:11:39 via Website

@Matze
So ähnlich wie du die Verwendung weniger Passworte beschreibst, hatte ich es mir auch überlegt. Bei der Umsetzung habe ich immer wieder neue Bedenken entwickelt und bin deshalb noch zu keinem vernünftigen Resultat gekommen. Ich werde mir deine Gedanken aber noch einmal zu Gemüte führen.
Was den Vergleich der Chip mit der Bild-Zeitung betrifft, muss ich passen. Als Lesematerial standen mir nur drei Zeitschriften am Kiosk zur Verfügung und so hatte ich diese gewählt. Die zwei angesprochenen Artikel haben mich aber direkt aufmerksam gemacht, mich erneut mit dem Thema Sicherheit meiner Passworte zu beschäftigen. Das sehe ich als positiv für Chip an.

Antworten
  83
Aries
  • Forum-Beiträge: 17.890

23.02.2016, 15:32:28 via Website

Wolfgang OW

Chip hat wie erwähnt diese „2-Faktor-Authentifizierung“ beschrieben, die es mittlerweile für einige Webdienste gibt. In den meisten Fällen müsste ein Hacker Zugriff auf zwei Geräte haben, was mir deutlich komplizierter erscheint. Darauf ist leider bisher noch niemand eingegangen. Ist das nicht die Lösung?

Es ging hier ja um Passwort-Manager. In einem anderen Thread bin ich schon darauf eingegangen, wenn ich nicht Irre...

2-Faktor-Authenfizierung ist immer eine gute Idee.

Viele Grüße
Aries

Antworten