Forum: Netzwelt
Internet-Sicherheit: Forscher beklagen Mängel in Passwort-Managern

Passwort-Manager werden immer beliebter. Sie versprechen verbesserten Schutz und trotzdem Komfort. Doch nun warnen amerikanische Informatiker vor möglichen Schwachstellen.

Seite 2 von 3
Drake_De 14.07.2014, 14:40
10. leider muss man hier den Link des Artikels klicken

um rauszubekommen wie der fünfte Kandidat hieß:
PasswordBox.
Aber im Endeffekt haben alle 5 versagt:
"We found critical vulnerabilities in all the password managers and in four password managers, an attacker could steal arbitrary credentials from
a user's account."
Man muss dazu in die "Conclusions" gehen und findet dort die Zusammenfassung. Leider wurde die Opensource Software Keepass nicht überprüft.

Beitrag melden Antworten / Zitieren
carranza 14.07.2014, 14:42
11. Passwortmanager? Nein danke!

Zitat von berufskonsument
Sehr schwacher Artikel. Welche Sicherheitslücken haben die Passwortmanager denn nun? Wie sehen die Angriffsszenarien aus? Was ist mit den Passwortmanagern, die mit Browsern mitgeliefert werden? Warum soll passwortbasierte Authentifizierung im Internet prinzipiell unsicher sein? Was soll die Alternative sein - der E-Perso? Warum wird nicht über die besseren Alternativen berichtet, z.B. Add-Ons, die bei Bedarf zufällige Passwörter erzeugen (mein Favorit: Password Hasher)?
Passwortmanager haben leider den Nachteil, dass die Passwörter auf dem PC, oder schlimmer noch irgendwo im Internet gespeichert werden, hackt jemand den Passwortmanager, dann hat er alle Passwörter. Dann lieber ein wenig "Vokabeltraining" betreiben und auf der sicheren Seite bleiben.

Beitrag melden Antworten / Zitieren
wanderer777 14.07.2014, 15:25
12. Der gute alte Schmierzettel is back

Jedem User mit halbwegs gesundem Menschenverstand war von Anfang an klar, das es eine SCHWACHSINNSIDEE ist, all seine Passwörter von einem einzigen Tool verwalten zu lassen. Wer so viel Naivität und Gutgläubigkeit zeigt, ist selbst schuld.

Beitrag melden Antworten / Zitieren
irun 14.07.2014, 15:41
13. Gedächtnis?!

Jetzt mal ne ernsthafte Frage! Ich nutze selber sehr viele Plattformen und habe für alle separate Passwörter, diese sind nur im Gedächtnis abgelegt und entsprechen keinem Muster und beinhalten diverse Sonderzeichen sowie keine Wörter. Sind alle mindestens 8 / 10 stellig... Ist der Großteil der Bevölkerung einfach nur zu faul sich Dinge zu merken, oder können das manche eben nicht?

Das einzige was ich mir auf Dauer nicht merken konnte und deshalb sicher verwahrt werden muss, ist das 25+ stellige Encryption Passwort der Festplatten...

Man darf doch nicht bei so heiklen Dingen einer Software vertrauen...

Beitrag melden Antworten / Zitieren
lexik 14.07.2014, 17:06
14. KeePass

Zitat von Drake_De
Leider wurde die Opensource Software Keepass nicht überprüft.
KeePass ist auch kein Web-basierter Passwortmanager. Das einzige, was da aufs Internet zugreift ist die Update-Suchroutine. Und die lässt sich ausschalten.
Die Forscher hier haben sich ausschließlich auf Web-basierte PWM gestürzt und sind zu Erkenntnissen gelangt, gleichbedeutend mit "Fass keine heißen Herdplatten an, egal of rund oder eckig."

Beitrag melden Antworten / Zitieren
quark@mailinator.com 14.07.2014, 18:00
15. Ausgerechnet ...

Ziemlich lächerlich finde ich ja die letzten Sätze. Also wenn es etwas gibt, was ich überhaupt nicht will, dann eine zentralisierte Lösung, am besten noch über ein Google(Android)- oder Apple-Handy. Das nennt man dann den Bock zum Gärtner machen. Nervt mich schon total, daß viele Sites dazu übergehen, keine eigenen Paßwortsysteme mehr zu schaffen, sondern den Login per Gesichtsbuch oder anderen zentralen Diensten vozunehmen. Ich mag es gar nicht, wenn eine zentrale Stelle den Überblick bekommt, wo ich mich überall rumtreibe. Identifikation mittels persönlicher Hardware, sei es Handy, Personalausweis oder TPM-Modul kommt also schon mal gar nicht in Frage. Ich will annonym und intransparent surfen und einkaufen. Meine Paßworte habe ich im Kopf.

Beitrag melden Antworten / Zitieren
chrima 14.07.2014, 22:51
16.

Zitat von lexik
KeePass gilt zur Zeit als sicher und ist OpenSource. Einziger Nachteil: Der Nutzer darf für Copy-Paste nicht zu faul sein.
Zumindest KeePass2 bietet die Möglichkeit Anmeldungen in dem aktiven Browserfenster anhand der gespeicherten Daten durchzuführen:

Im Browser die Anmeldeseite aufrufen, entsprechenden Schlüssel in KeePass2 markieren und Ctrl-V und die Anmeldedaten werden in den Browser übertragen.

Beitrag melden Antworten / Zitieren
spon-1178394816883 15.07.2014, 07:25
17. Wird eigentlich noch recherchiert?

Wieder mal so eine SPON-Geschichte: Als besorgter Nutzer habe ich bei Siber Systems nachgefragt, wie es denn mit den Lücken bei ROBOFORM aussieht.

Und siehe da: Sie sind geschlossen sagt der Anbieter. Wenigstens hätte der Autor hier mal nachfragen können, aber das ist wohl erstens zuviel erwartet und macht das ganze dann zweitens auch weniger sensationell.

Beitrag melden Antworten / Zitieren
no3ck 15.07.2014, 09:12
18. Genau!

@shardan
"Zweitens: Wer kennworte inw elcher Weise auch immer mit so einem programm auf dem PC/Tablet/Smartphone speichert, ist bevorzugtes Angriffsziel..."

Wie bitte? Woher soll der Angreifende wissen, was hinter der Tür ist, wenn sie noch geschlossen ist?

@cabeza
Die Passworthistorie bitte nicht vergessen :)

@carranza
Wenn jemand Zugang zum lokalen Passwort-Container hat, wird sicherlich auch schon ein Keylogger laufen - schliesslich sollte man sich diese Gelegenheit nicht entgehen lassen, wenn man schon Zugriff auf das lokale Filesystem hat. Das "gehakte" Passwortarchiv dürfte dann die kleinste Sorge sein...

@irun
Respekt. Zwei Minuten habe ich meinen WLAN Schlüssel angeschaut und mir dann gedacht, neee wenn man sich schon die Mühe macht Passwörter maximal auszureizen (Stellen, Zeichen) und dieses dann auch auf alle Anmeldungen anwendet (Webdienste, Server, Benutzer) ist spätestens bei den Passwörtern die man ein- bis zweimal pro Jahr benutzt schluss - schliesslich möchte der Arbeitgeber auch das man sichere Passwörter nutzt. Insofern ist ein PWM der offline auf einem Rechner ohne Netz läuft ein prima Spickzettel ;)

Beitrag melden Antworten / Zitieren
lexik 15.07.2014, 11:35
19.

Zitat von chrima
Zumindest KeePass2 bietet die Möglichkeit Anmeldungen in dem aktiven Browserfenster anhand der gespeicherten Daten durchzuführen: Im Browser die Anmeldeseite aufrufen, entsprechenden Schlüssel in KeePass2 markieren und Ctrl-V und die Anmeldedaten werden in den Browser übertragen.
Das wäre besagtes Copy-Paste, welches der Nutzer übernehmen muss. KeePass selbst überträgt nichts. Der Nutzer kopiert den Anmeldenamen aus dem KeePass-Eintrag und fügt ihn in das entsprechende Feld ein. Dann macht er dasselbe mit dem Passwort. KeePass selbst sorgt nur dafür, dass diese Daten nach 10 Sekunden aus dem Cache verschwunden sind. Sonst bleibt es bei der Anmeldeprozedur inaktiv.
Hat Version 1 übrigens auch schon so gehandhabt.

Das einzige Problem ist jetzt nur noch, wenn ein Keylogger deine Einträge in die KeePass-Datenbank mitschreibt oder ein anderes Programm deinen Cache überwacht. Aber wenn es soweit gekommen ist, werden deine Passwörter auch beim manuellen Abschreiben von einem Spickzettel mitgelesen. Und der Spickzettel ist im Falle eines Einbruchs in deine Wohnung nicht verschlüsselt.

Beitrag melden Antworten / Zitieren
Seite 2 von 3