Schweizer Passwort-Tresore

 Passwortgenerator und Klartext-Problematik

Speziell: der Passwortgenerator bei SecureSafe

Ein weiteres interessantes Feature bietet nur SecureSafe. Der Dienst unterhält einen Passwortgenerator, der im besten Fall einen 32 Zeichen umfassende Zufallsfolge ausspuckt, der wohl kaum noch per Brute-Force-Angriff knackbar sein dürfte.
Ein spezielle Feature bei SecureSafe ist der Passwortgenerator. So dürften Brute-Force-Angreifer kaum noch Chancen haben
Quelle: IDG
Will man das Passwort verwenden, muss es kopiert werden. Einen Einfüll-Service wie bei den Passwort-Managern gibt es weder bei SecureSafe noch bei DocSafe. Bei beiden Diensten erscheinen die Passwörter zum Teil im Klartext, in jedem Fall werden sie in dieser Form in die Zwischenablage kopiert, aus der man sie dann wieder in das entsprechende Eingabefeld einfügen kann.

Candid Wüest im Gespräch mit PCtipp

Wie Candid Wüest, Virenforscher und Principal Threat Researcher bei Symantec Schweiz, gegenüber PCtipp ausführt, birgt dies Risiken. «Wir haben bereits Malware gesehen, welche periodisch das Clipboard ausliest», berichtet er. Allerdings sind auch Management-Lösungen à la Lastpass nicht gegen ein Abgreifen des Zwischenablageinhalts gefeit. Laut Wüest ist es zum Teil auch möglich, mit JavaScript das Clipboard auszulesen. «Dies würde dann auch bei lokal installierten Passwort-Managern funktionieren», relativiert er. Generell sei das Clipboard offen für alle Dienste, so der Virenjäger von Symantec. Deshalb empfielt er, das Passwort nach Gebrauch aus dem Clipboard zu löschen.

Fazit

Wer seine Passwörter auf Schweizer Servern gespeichert wissen will, für den sind SecureSafe und DocSafe eine gute Wahl. Allerdings muss man sich dabei bewusst sein, dass man nicht den selben Bedienungskomfort erhält wie bei den ausgewachsenen Passwort-Management-Angeboten.



Kommentare
Avatar
weissertiger2
17.02.2015
Geht mir genauso. Würde niemals PWs in der Cloud speicher, geschweige den überhaupt Speicher. Für Irgendwas gibt es brain.exe. ;-)

Avatar
Telaran
17.02.2015
Für Irgendwas gibt es brain.exe. ;-)Prinzipiell gebe ich dir recht, aber die Realität sieht anders aus. Früher konnte man sich ein 12-16 Stelliges Passwort merken und für fast alle Dienste verwenden. Oder man hat sich 4-5 Blöcke gemerkt, die man dann je nach Dienst und Vertraulichkeit zusammengemischt hatte. Da hat Brain.Exe ausgereicht. Bedauerlicherweise hat sich viel getan. Sicherheitslücken, welche Klartext-Passwörter ermöglichen (Heartbleed), Dienste welche gehackt werden und teilweise unverschlüsselt oder nur unzureichend verschlüsselte Datenbestände haben... selbst bei Namhaften Anbietern ist plötzlich das Passwort nicht mehr "sicher" hinterlegt. Auch die Tatsache mit den Rainbow-Tables und der Rechenpower (GPU in Verbund, etc) macht das ganze noch unsicherer. Aus diesem Grund muss man eigentlich auf Wegwerf-Passwörter umstellen. Jedes Passwort darf nur für jeweils einen Dienst genutzt werden. Sollte also ein Hack stattfinden, dann betrifft es nur die eine Seite. In meinem Fall wären das aber aktuell über 120 Webseiten und 25 Applikationen. Und diese Zahlen sind erst ein Zwischenstand. Ich selber bin noch immer dabei die Passwörter bei mir Schrittweise zu ändern (bei einigen muss ich mir die Passwörter merken, weswegen ich noch immer dran bin). Das Problem mit der Cloud sehe ich ähnlich. Leider muss ich als Übergang auf diese Lösung setzen, weil ich aktuell weder Zeit noch Lust habe, meinen eigenen Tresor inkl. Android und Portable-Unterstützung zu schreiben (was bei mir ein KO Kriterium ist). OpenSource Lösungen habe ich auch evaluiert, aber mich konnte keine überzeugen. Im Endeffekt ist es schon so: jede Form von Datensicherung ausserhalb des Kopfes ist ein Angriffsziel. Nur irgendwo muss man auch Kompromisse eingehen.

Avatar
Har-D
17.02.2015
Passwortspeicher Prinzipiell gebe ich dir recht, aber die Realität sieht anders aus. Im Endeffekt ist es schon so: jede Form von Datensicherung ausserhalb des Kopfes ist ein Angriffsziel. Nur irgendwo muss man auch Kompromisse eingehen. Also wenn ich so nachdenke, ist vielleicht der Zettel mit den Passwörtern zuhause unter der Tastatur gar nicht mehr die schlechteste Lösung...

Avatar
Notebuilder
17.02.2015
Passwort-Sichern Passwörter in der Cloud sichern ist nahezu gleich wie diese auf einer Ansichtskarte dem Notariat schicken... Meine Lösung sieht so aus. Die PW Liste als Excel Datei ist auf einem Stick gesichert und nur dort. Diese wird nur für kurze Momente geladen für Ergänzungen - anschliessend ausgedruckt und aufbewahrt. Klar, bei einem Einbruch könnte diese auch zum Ziel werden, aber immerhin kann sie nicht aus dem PC geholt werden ohne weiteres.

Avatar
Bebbi107
17.02.2015
Ich bin zwar kein Spezialist, aber ich habe mir alles das, was Ihr hier zuvor geschrieben habt, schon lange überlegt und bedacht: Ich verwende Dropbox zum Speichern meiner Passwörter. Nicht lachen, denn ich verschlüssele sie so, dass nur ich sie entziffern kann, respektive erraten kann, welches PW ich nehmen muss. So kann ich auch unterwegs nachsehen. Beispielsweise lade ich ein PDF mit einer Tabelle mit den sites in alphabetischer Reihenfolge. Habe ich mein Swisscom-Login vergessen, gucke ich unter Swisscom a/b/c etc. nach und kann dann zwei bis drei Zeichen sehen, die mich an das Passwort erinnern. Meine Passwörter kombiniere ich stets so, dass nur ein paar Zeichen bereits den Hinweis (nur für mich!!) enthalten, was dann in welcher Reihenfolge zu folgen hat. Ja, habs mir grad überlegt, dass Ihr vielleicht nicht verstehen könnt, wie ich das mache. Hier also ein Beispiel: Sie haben einen Passwort-Generator verwendet oder selbst ein kryptisches Passort mit 32 Zeichen kunterbunt mit Satzzeichen, Zahlen,Sonderzeichen, Gross- und Kleinbuchstaben etc. kreiert. Dann könnt Ihr natülrich auch mit der obgenannte Methode nichts mehr erraten. Also setzten Sie vor diesem 32-Zeichen-PW noch ein paar dazu, die Sie aber UNBEDINGT sicht merken müssen - ebenso am Schluss noch weitere. Das kann z.B. Ihr Geburstag oder Geburtsjahr oder das der Katze sein. Am Schluss dann noch einer der Waldstätten. Wird irgendwo ein Passwort geknackt, so stellen Sie Ihre Zusatzangaben von hinten nach vorne und jene von vorne nach hinten. Beispielsweise. Das Problem bei 32 plus 8 Zeichen ist, dass man dann Mühe hat, den Bandwurm abzuschreiben. Verwenden Sie daher in Dropbox ein Format, das erlaubt, auch auf dm iPhone auszuwählen und zu kopieren. Aber Achtung: kopieren Sie nur das Passwort ohne Ihre Zusätze und geben Sie diese vor und hinten von Hand ein, was ja müheloser gehen kann. Was meinen Sie? (Wie gesagt, bin Anfänger!)

Avatar
Klaus Zellweger
18.02.2015
Für jeden Webdienst sollte ein eigenes Kennwort verwendet werden, das ist klar. Das sind bei mir aktuell 193. Die meisten davon sind relativ lang und von Hand sehr mühsam einzutragen. Ohne Computer wäre die Verwaltung eine Tortur. Ausserdem müssen die Kennwörter auf 2 Macs, 2 iPads und 2 iPhones zur Verfügung stehen. Denn meine (sehr viel) bessere Hälfte benötigt ja auch Zugriff. Und das verlangt nach einer automatischen Synchronisierung. Deshalb verwende ich 1Password (Mac, PC, iOS, Android) und synchronisiere die ab Werk verschlüsselte Datei über Dropbox. Kann man 1Password trauen? Keine Ahnung, wahrscheinlich schon. Ist Dropbox sicher? Vermutlich. Kennt die NSA eine Backdoor und entschlüsselt meine Kennwörter? Eher nicht. Und wenn doch? Pech gehabt, dann sehen wir weiter. Jeder muss für sich abwägen, wie viel er in die Sicherheit oder in den Komfort investiert – denn beides zusammen gibt es nicht. Aber es bringt nix, den imaginären Alu-Hut aufzusetzen und sich selbst in den Wahnsinn zu treiben. Im Endeffekt ist es schon so: jede Form von Datensicherung ausserhalb des Kopfes ist ein Angriffsziel. Nur irgendwo muss man auch Kompromisse eingehen. Da gehe ich absolut mit dir einig – mit dem Unterschied, dass ich mir keine Sorgen mache. Denn irgendwann verliert jedes aufgebauschte) Schreckensszenario seine Wirkung. ;)

Avatar
Bebbi107
20.02.2015
1Passwort ist nicht alles Ja, die NSA… Aber, da ich kein Terrorist noch Muslim bin, hat NSA von mir nichts zu erwarten. Nichts? Glaub ich nicht, und auch andere Buden machen mit meinen Daten genau das, was ich nicht will: Mich auf Konsumquelen schicken, die ich nicht will! So Google und Amazon und, und, und. 1Password könnte auch so was sein, zumal mir das Ding nicht gefällt, weil es auch falsch eingegebenen Passwörter speichert, man dann nicht mehr weiss, welches zuletz gültig war. Und gewisse sites lassen kein automatisches Ausfüllen, nicht mal durch 1Password zu. Darum glaube ich an meine oben beschriebene Methode, und dass die zumindest zu 90 Prozent sicher ist, oder sicherer als…

Avatar
Klaus Zellweger
20.02.2015
Darum glaube ich an meine oben beschriebene Methode, und dass die zumindest zu 90 Prozent sicher ist, oder sicherer als… Auf mich wirkt sie eher wie eine originelle Form von Selbstkasteiung. Dagegen ist ja diese kleine Showeinlage direkt simpel. Kennwörter oder Teile davon im Kopf zu speichern, ist ausserdem keine gute Idee – und nicht nur deshalb, weil man sie vergessen kann. Dazu kommt, dass ein Kennwort gar kein Kauderwelsch braucht, um sicher zu sein. Alle meine Kennwörter sind in diesem Stil aufgebaut: Bitte keine Witze! In diesem Beispiel haben wir 18 Zeichen, Gross- und Kleinschreibung, Leerzeichen und Satzzeichen. Viel Spass beim Knacken! Trotzdem lässt es sich einigermassen einfach eingeben, wenn 1Password das Formular nicht ausfüllen kann. Auf jeden Fall einfacher, als v8DsnH3UjXjbwo («nur» 14 Zeichen, keine Satzzeichen oder Leerschläge). Solche Kennsätze sind leicht zu merken und trotzdem bombensicher – es sei denn, die Dropbox und die verschlüsselte 1Password-Datenbank werden infiltriert. Aber mit diesem Risiko kann ich sehr gut leben.

Avatar
Bebbi107
20.02.2015
Nicht ganz kapiert Lieber Klaus Zellweger. Zunächst: die Showeinlage ist gut und gut gemacht, hahaha. Danke. Hat etwas… Indessen habe ich den Rest nicht ganz kapiert. Abgesehen davon, dass nur mein Katzenbusi in meinem Haushalt lebt, und weil es kürzlich mal mit den Krallen die Apple-Tastatur runtergerissen, als ich sie davon runterhieven wollte, und die Feststelltasre abgezerrt hat. Und dann kommt noch dazu, dass unsere Autorensite einen Einbruch erlebt hat, weil sie nun schon 15 Jahre alt ist, weswegen sie der Provider zunächst abgeschaltet hat (und jetzt auf Zusehen hin wieder freigab, bis wir das Geld für ein neues Programm zusammehaben). Dabei sind wir in Gefahr, unsere bisherigen 1’350 unikaten Artikel von elf Autoren zu verlieren. Nachdem ich die Satellitenaufnahme von Apamea in Nordsyrien mit den die ganze Landschaft übersäten Spuren der Raubgrabungen gesehen habe, habe ich mir wieder Johann Peter Hebels Gedicht «Die Vergänglichkeit» in Erinnerung gerufen und mich gefragt, wie wichtig wir uns nehmen, wenn wir alles für alle «Ewigkeiten» aufbewahren wollen… Dabei haben wir keine Ahnung schon allein von einer einzigen Ewigkeit. Tschuldigung, schweife etwas ab. Aber meine wichtigsten Daten sind mein Portmonnaie und der Tresor im geheimen Versteck, was vorläufig noch ziemlich diebstahlsicher und auch sicher vor Computer-Pannen und -Attacken ist. Zurück zu Deinem Tip: Du meinst wohl, dass ein Passwort eines banalen Satzes auf Deutsch oder vielleicht gar Finnisch eine Idee wäre. Vielleicht habe ich es jetzt geschnallt? Ja, das wäre eine Idee. Hast recht. Kein Chines, kein Nordkoreaner und auch kein IS-Terrorist mag wissen, wie man auf Baseldeutsch einem Feuerzeug sagt… Ha, oder sonstwas aus dem Schnitzelbangg-Repertoire - es sei denn, der IS-Depp sei hier geboren, aber dazu ist er wohl gleichwohl zuwenig integriert oder bestitzt Ruedi Suters Lexikon des Baseldytsch, das so viel unzählige (vergessene) Ausdrücke enthält, dass es eine Fundgrube für Passwörter in Deinem Sinne ist. Sofern ich das nun verstanden habe??? Also: Danke und schöne Grüsse vom Morgenstraich am Montag, 23. Hornig.