Neue Version
-
- Site Admin
- Beiträge: 2468
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
-
- Site Admin
- Beiträge: 2468
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
-
- Beiträge: 34
- Registriert: Sonntag, 16. April 2006 - 11:31 Uhr
CB = Computer Bild ??
Hallo, ja, wenn Du die nächste Ausgabe der Computer bild meinst, dann kann das Testergebnis aus der aktuellen Heftausgabe 9/2006 ja wohl nur besser ausfallen!!
Passwörter, sogar Hauptpasswörter stehen unverschlüsselt im Hauptspeicher, Paßwörter lassen sich aus der Zwischenablage kopieren...
Wie gefährlich ist das eigentlich - kommt so eine Art Angriff auf den privaten PC oft vor?
Ich das der Preis für die Bequemlichkeit (Passwörter per Drag&Drop zu bewegen)??
Der Vollständigkeit halber sei aber noch angemerkt, dass alle 6 Programme zur Passwortsicherung die Bewertung "Mangelhaft" erhalten haben...
Soviel zur (Un)Sicherheit unserer aller Passwörter!!
Gruß
Bernd
aus Ostfriesland
Passwörter, sogar Hauptpasswörter stehen unverschlüsselt im Hauptspeicher, Paßwörter lassen sich aus der Zwischenablage kopieren...
Wie gefährlich ist das eigentlich - kommt so eine Art Angriff auf den privaten PC oft vor?
Ich das der Preis für die Bequemlichkeit (Passwörter per Drag&Drop zu bewegen)??
Der Vollständigkeit halber sei aber noch angemerkt, dass alle 6 Programme zur Passwortsicherung die Bewertung "Mangelhaft" erhalten haben...
Soviel zur (Un)Sicherheit unserer aller Passwörter!!
Gruß
Bernd
aus Ostfriesland
-
- Beiträge: 34
- Registriert: Sonntag, 16. April 2006 - 11:31 Uhr
Sagen wir es mal so: Wirklich wichtige Passwörter würde ich einem PW-Programm grundsätzlich nicht anvertrauen. Beispielsweise raten selbst Sparkassenmitarbeiter davon ab, TAN-Listen mit StarMoney (der Haussoftware ) zu verwalten. Aber für den normalen Passwortwahnsinn, wie Logins bei Foren etc. reicht es m.E. völlig aus, egal, was man nun verwendet.
Gruß Andreas
-
- Site Admin
- Beiträge: 2468
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
Na, da werde ich mir doch mal morgen die aktuelle Computerbild käulich erwerben müssen. Leider versendet die CB ja nicht einmal Exemplare an die beteiligten Firmen.
Soviel vorweg: Alles was am Computer angezeigt wird, muss irgendwo im Speicher stehen, ansonsten könnte Windows gar nicht auf die Daten zugreifen...
Deshalb gibt es in 1Password die Zugriffssperre. Ist die Sperre aktiv, werden die Daten aus der Zwischenablage gelöscht, und die Daten aus dem Speicher entfernt.
Selbst die Software 1Password muss beim erneuten Öffnen des Nutzers, die Datenbankdatei des Nutzers komplett neu einlesen...
Schauen wir einmal..
-
- Site Admin
- Beiträge: 2468
- Registriert: Sonntag, 01. Mai 2005 - 14:55 Uhr
- Wohnort: Leipzig
- Kontaktdaten:
So, Computerbild gekauft und den Artikel gelesen.
Naja, die Situation die dort durchgespielt wird, kommt vielleicht einmal bei 100.000 Leuten vor. Also, wer auf seinem Rechner unwissentlich einen Keylogger oder ein Programm zum Speicherauslesen laufen hat, der hat sowieso ein größeres Problem.
Meiner Meinung nach sollten die gesicherten Daten sicher verpackt sein. Und das schreibt die Computerbild, dass das bei allen Programmen so ist. Sie schreibt ja, dass man Jahre benötigen würde, die Datenbankdateien zu knacken. Ich denke, dass sollte das Wichtigste an dem Programm sein. Bildlich gesprochen ist ein realer Tresor auch nicht sicher, wenn er geöffnet ist.
Sich vor Keyloggern, "Mitschneideprogrammen" und Arbeitsspeicher-Programmen zu schützen, sollte die vorwiegendste Aufgabe eines Computernutzers sein. Nicht nur in Bezug auf die Passwortprogramme.
Ja, da gibt es ein kleines Problem im Speicher. Das Hauptpasswort wird tatsächlich im Speicher unverschlüsselt abgebildet. Dies hat aber nichts mit der Eingabe des Hauptpassworts zu tun, sondern es wird intern aus der Datenbankdatei versucht, dass Passwort nachzubilden. Stimmt es, gibt es Zugang zur Datenbank. Diese temporäre Variable, die nur beim Anmelden vorhanden ist, wird von Windows nicht zuverlässig freigegeben.
Trotzdem kann mann die Zeichenkette in den Megabytes von Speicher nur suchen, wenn man die Zeichenkette auch kennt. Ansonsten muss man sich durch die Megabytes kämpfen und vermuten, was das Passwort sein könnte. In Version 5.1 wird diese betreffende Variable einen Nullwert haben, so dass das Hauptpasswort nicht mehr im Speicher zu finden sein wird.
Die Daten selbst werden im Speicher verschlüsselt gehalten, sobald sie jedoch angezeigt werden müssen, sind sie unverschlüsselt. Das ist aber halt so, und kann auch nicht anders gestaltet werden. Ansonsten würde der Nutzer nur Kauderwelsch in den Eingabefeldern lesen, was ihm dann auch nichts nützt.
Deshalb gibt es in 1Password die Zugriffssperre. Ist die Sperre aktiv, werden die Daten - unter anderem auch aus der Zwischenablage - gelöscht, und die Daten aus dem Speicher entfernt.
In der neuen Version 5.1 wird ab sofort die Zwischenablage nach 10 Sekunden gelöscht. Da muss sich der Nutzer etwas sputen,
Der Nutzer kann ja aber gänzlich auf die Zwischenablage verzichten, in dem er die Daten per Drag&Drop oder per Tastenkombination in die Eingabefelder überträgt. Das geht schon in den älteren Versionen.
So, ich habe es dann auch mal nach den CB-Regeln nachgerechnet. Die Version 5.1 würde dann auf eine Note von 2,75 kommen
Naja, die Situation die dort durchgespielt wird, kommt vielleicht einmal bei 100.000 Leuten vor. Also, wer auf seinem Rechner unwissentlich einen Keylogger oder ein Programm zum Speicherauslesen laufen hat, der hat sowieso ein größeres Problem.
Meiner Meinung nach sollten die gesicherten Daten sicher verpackt sein. Und das schreibt die Computerbild, dass das bei allen Programmen so ist. Sie schreibt ja, dass man Jahre benötigen würde, die Datenbankdateien zu knacken. Ich denke, dass sollte das Wichtigste an dem Programm sein. Bildlich gesprochen ist ein realer Tresor auch nicht sicher, wenn er geöffnet ist.
Sich vor Keyloggern, "Mitschneideprogrammen" und Arbeitsspeicher-Programmen zu schützen, sollte die vorwiegendste Aufgabe eines Computernutzers sein. Nicht nur in Bezug auf die Passwortprogramme.
Ja, da gibt es ein kleines Problem im Speicher. Das Hauptpasswort wird tatsächlich im Speicher unverschlüsselt abgebildet. Dies hat aber nichts mit der Eingabe des Hauptpassworts zu tun, sondern es wird intern aus der Datenbankdatei versucht, dass Passwort nachzubilden. Stimmt es, gibt es Zugang zur Datenbank. Diese temporäre Variable, die nur beim Anmelden vorhanden ist, wird von Windows nicht zuverlässig freigegeben.
Trotzdem kann mann die Zeichenkette in den Megabytes von Speicher nur suchen, wenn man die Zeichenkette auch kennt. Ansonsten muss man sich durch die Megabytes kämpfen und vermuten, was das Passwort sein könnte. In Version 5.1 wird diese betreffende Variable einen Nullwert haben, so dass das Hauptpasswort nicht mehr im Speicher zu finden sein wird.
Die Daten selbst werden im Speicher verschlüsselt gehalten, sobald sie jedoch angezeigt werden müssen, sind sie unverschlüsselt. Das ist aber halt so, und kann auch nicht anders gestaltet werden. Ansonsten würde der Nutzer nur Kauderwelsch in den Eingabefeldern lesen, was ihm dann auch nichts nützt.
Deshalb gibt es in 1Password die Zugriffssperre. Ist die Sperre aktiv, werden die Daten - unter anderem auch aus der Zwischenablage - gelöscht, und die Daten aus dem Speicher entfernt.
In der neuen Version 5.1 wird ab sofort die Zwischenablage nach 10 Sekunden gelöscht. Da muss sich der Nutzer etwas sputen,
Der Nutzer kann ja aber gänzlich auf die Zwischenablage verzichten, in dem er die Daten per Drag&Drop oder per Tastenkombination in die Eingabefelder überträgt. Das geht schon in den älteren Versionen.
So, ich habe es dann auch mal nach den CB-Regeln nachgerechnet. Die Version 5.1 würde dann auf eine Note von 2,75 kommen