Du bist nicht angemeldet.

#26 08.02.2014 17:50:08

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

nik schrieb:

Das ist zwar durchaus richtig, allerdings deuten die Beispiele von dir alle auf Fehler des Benutzers hin, die leicht hätten umgangen werden können.

Beispiel 1: Keepass kann man auch auf dem Smartphone nutzen, und so seine Passwörter mitnehmen. Genauso kann man sich durchaus oft genutzte Passwörter merken. Es zwingt einen ja niemand, alle Passwörter automatisch zu generieren.

Naja aber wo ist dann der Sinn von KeePass wenn man Passwörter nimmt die man sich sowieso merken kann?

Beispiel 2: Wenn der Rechner kompromittiert ist, gelten generell die eingegebenen Passwörter als nicht mehr sicher. Dementsprechend macht es kaum einen unterschied, ob die Passwörter in einem Passwortsafe liegen oder nicht.
Davon abgesehen, greifen die wenigstens per Mailware direkt auf den Rechner zu, sondern fahren automatisierte Angriffe, so dass es unwahrscheinlich ist, dass die komplette Datenbank abhanden kommt. Die Logindaten für interessante Ziele können so oder so automatisiert mitgeschnitten werden.

mhhh das stimmt wohl

KeePass gibt es sowohl für Android, als auch für iOS.

Naja seine KeePass Datenbank permanent mit sich zu tragen ist aber auch nicht so toll. Man stelle sich mal vor man verliert das Smartphone und jemand anderes findet es. Über Bruteforce ließe sich das bestimmt knacken mit viel Zeit und geduld. Andererseits.. wie hoch ist die Wahrscheinlichkeit dass ein Smartphone-Finder sich auch noch damit auskennt bzw dass man es überhaupt verliert?

Offline

#27 08.02.2014 17:59:24

lykaner
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Ich merke mir nur mein KeePass-Passwort, das ist 30+-Zeichen lang und zufallsgeneriert. Es ist dann weitaus angenehmer eine Datenbank zu haben, in der die restlichen stehen, anstatt sich an die 100 weiteren zufallsgenerierten zu merken wink Das führt mich auch zu deinem letzten Punkt: Wenn du ein ordentliches Passwort nimmst und dein Passwort abhanden kommt, geht die Wahrscheinlichkeit gegen Null, dass die Datenbank per Bruteforce geknackt wird; die Zeit die selbst auf großen Clustern, wie sie in Rechenzentren stehen, benötigt wird, um einen AES-Key zu knacken, wird weiterhin in Millionen Jahren gemessen. Solange der Dieb also nicht zufällig ein mathematisches Genie mit Schwerpunkt Kryptographie ist und eine Schwäche in AES gefunden hat, die nicht publiziert ist, hast du also Glück wink Blöd sieht es natürlich mit Passwörten aus Wörterbüchern aus, aber wer solch ein schwaches Passwort nimmt, ist selbst Schuld.

Beitrag geändert von lykaner (08.02.2014 18:00:49)

Offline

#28 08.02.2014 18:49:31

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

lykaner schrieb:

Ich merke mir nur mein KeePass-Passwort, das ist 30+-Zeichen lang und zufallsgeneriert. Es ist dann weitaus angenehmer eine Datenbank zu haben, in der die restlichen stehen, anstatt sich an die 100 weiteren zufallsgenerierten zu merken wink Das führt mich auch zu deinem letzten Punkt: Wenn du ein ordentliches Passwort nimmst und dein Passwort abhanden kommt, geht die Wahrscheinlichkeit gegen Null, dass die Datenbank per Bruteforce geknackt wird; die Zeit die selbst auf großen Clustern, wie sie in Rechenzentren stehen, benötigt wird, um einen AES-Key zu knacken, wird weiterhin in Millionen Jahren gemessen. Solange der Dieb also nicht zufällig ein mathematisches Genie mit Schwerpunkt Kryptographie ist und eine Schwäche in AES gefunden hat, die nicht publiziert ist, hast du also Glück wink Blöd sieht es natürlich mit Passwörten aus Wörterbüchern aus, aber wer solch ein schwaches Passwort nimmt, ist selbst Schuld.

Mhh danke für deinen Beitrag. Aber wie merkst du dir ein 30+ zufallsgeneriertes Passwort? XD

Offline

#29 08.02.2014 18:51:37

lykaner
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Gewohnheit big_smile Ne im Ernst, es einfach ausm Kopf aufschreiben könnt ich auch nicht sofort, aber mit ein bisschen Übung ist das Muster, das man tippen muss nach ein-zwei Wochen drin und dann ist es selbst aufm Smartphone kein Problem mehr.

Beitrag geändert von lykaner (08.02.2014 18:51:48)

Offline

#30 08.02.2014 19:37:28

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Jo ansonsten könnte man ja immerhin das ganze etwas lesbarer gestalten.. man formt halt einen satz auf irgendeiner fremdsprache tauscht bestimmte buchstaben gegen zeichen aus und setzt noch bestimmte sonderzeichen rein - fertig

Offline

#31 08.02.2014 19:58:08

Dirk
Moderator

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

shibumi schrieb:

Jo ansonsten könnte man ja immerhin das ganze etwas lesbarer gestalten.. man formt halt einen satz auf irgendeiner fremdsprache tauscht bestimmte buchstaben gegen zeichen aus und setzt noch bestimmte sonderzeichen rein - fertig

Genau so geht das. Abgesehen davon, dass man sich einen beliebigen Satz und eine „Ersetzungsformel“ besser merken kann, kann man sich den Satz auch unverfänglich aufschreiben.

Satz ausdenken: Zum Frühstück gab es Brötchen, dazu Rührei.
Alles außer die erste und die letzte Stelle entfernen: Zm Fk gb es Bn, du Ri.
Leerzeichen entfernen: ZmFkgbesBn,duRi.
e/E=3, i/I=1: ZmFkgb3sBn,duR1.

Und schon ist das sichere Passwort fertig. Nur das aus dem Beispiel ist nun verbrannt smile

(Habe ich gerade ein Déjà-vu?)

Offline

#32 08.02.2014 21:01:49

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Dirk schrieb:
shibumi schrieb:

Jo ansonsten könnte man ja immerhin das ganze etwas lesbarer gestalten.. man formt halt einen satz auf irgendeiner fremdsprache tauscht bestimmte buchstaben gegen zeichen aus und setzt noch bestimmte sonderzeichen rein - fertig

Genau so geht das. Abgesehen davon, dass man sich einen beliebigen Satz und eine „Ersetzungsformel“ besser merken kann, kann man sich den Satz auch unverfänglich aufschreiben.

Satz ausdenken: Zum Frühstück gab es Brötchen, dazu Rührei.
Alles außer die erste und die letzte Stelle entfernen: Zm Fk gb es Bn, du Ri.
Leerzeichen entfernen: ZmFkgbesBn,duRi.
e/E=3, i/I=1: ZmFkgb3sBn,duR1.

Und schon ist das sichere Passwort fertig. Nur das aus dem Beispiel ist nun verbrannt smile

(Habe ich gerade ein Déjà-vu?)

Wie viele testen jetzt ZmFkgb3sBn,duR1 auf Dirks Account? big_smile

Offline

#33 08.02.2014 21:29:00

Dirk
Moderator

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

shibumi schrieb:

Wie viele testen jetzt ZmFkgb3sBn,duR1 auf Dirks Account? big_smile

Soooo blöd bin ich auch nicht *g* Ich verrate doch niemandem, dass mein Passwort dytD456gWE%^F lautet big_smile

Offline

#34 12.04.2014 19:32:38

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Hallo,
Ich hab mich nun doch endlich mal nach der ganzen heartbleed Sache dazu durchgerungen einen passwortmanager zu benutzen. Hab allerdings beim starten von keepassc folgende fehlermeldung:

ImportError: No module named 'kppy'

kppy ist aber installiert laut pacman:

% pacman -Q | grep "kppy"                                       
python-kppy 1.4.1-5


Jemand eine Idee wo dran das liegen könnte? Vllt falsche python version und mal wieder python2 vs python3 ?

EDIT:

Problem durch einen geforcten neu install von kppy und keepassc gelöst. Lag wohl am vergangenen python update

Beitrag geändert von shibumi (19.04.2014 21:35:47)

Offline

#35 06.01.2015 11:09:36

lykaner
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Moin,

ich moechte euch kurz darueber informieren, dass ich alle letzten Aenderungen, die ich am development-Branch vorgenommen habe mit dem master-Branch gemerged habe. Im AUR findet ihr die aktuelle Version. Des Weiteren werde ich keine neuen Features zu KeePassC hinzufuegen, da ich momentan das ganze in Rust neu implementiere. Natuerlich koennt ihr mir trotzdem Bug Reports und aehnliches zusenden. Dies sollte auch kein Grund sein KeePassC nicht weiter zu nutzen, da es IMHO als stabil und nahezu komplett anzusehen ist.

Ich habe zwei Gruende fuer diesen Schritt:
1.Als ich mit dem Projekt begonnen habe, war ich nicht gerade erfahren, sowohl was programmieren anging, als auch in Python selbst. Daher findet man viele merkwuerdige Code-Passagen und insg. wirkt es auch alles nicht sehr rund. Ein Refactoring wuerde sich daher auch nicht lohnen.
2. Ich habe inzwischen die Einsicht erhalten, dass Python nicht die richtige Sprache fuer dieses Projekt ist, da ich nicht die Moeglichkeiten habe, die ich fuer ein Programm, das auf Sicherheit ausgelegt ist, habe, wie z.B. komplette Kontrolle ueber den Speicher. Nachdem ich eine erste Version einer C-Bibliothek fuer KeePass geschrieben habe, hat mir jmd Rust gezeigt und es scheint mir genau die Sprache zu sein nach der ich lange gesucht habe.

Also habe ich angefangen, das ganze in Rust neu zu schreiben. Ich werde mir dabei Zeit lassen, um auf alle Fallstricke, die sich in punkto Sicherheit ergeben, zu achten. Momentan kann ich schon v1 Datenbanken lesen. Ausserdem plane ich Support fuer v2 Datenbanken hinzuzufuegen, was schon lange im englischen Arch-Forum erfragt wird. Ich werde euch hier informieren, wenn alles soweit ist smile

Offline

#36 06.01.2015 12:34:14

chepaz
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

lykaner schrieb:

...dass Python nicht die richtige Sprache fuer dieses Projekt ist, da ich nicht die Moeglichkeiten habe, die ich fuer ein Programm, das auf Sicherheit ausgelegt ist, habe, wie z.B. komplette Kontrolle ueber den Speicher.

Ah, du meinst so wie die Leute bei openSSL? wink *scnr*

Offline

#37 06.01.2015 13:04:02

Creshal
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Ja, Pythons interne Speicherverwaltung ist ungefähr genauso deppert wie die von OpenSSL. wink Und du kannst nicht einmal Variablen überschreiben…

Obs wirklich ein nennenswertes Sicherheitsrisiko bei einem Programm ist, das keine externe Angriffsfläche hat, ist die nächste Frage, aber schaden kanns (hoffentlich) nicht.

Offline

#38 06.01.2015 16:02:38

lykaner
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

chepaz schrieb:
lykaner schrieb:

...dass Python nicht die richtige Sprache fuer dieses Projekt ist, da ich nicht die Moeglichkeiten habe, die ich fuer ein Programm, das auf Sicherheit ausgelegt ist, habe, wie z.B. komplette Kontrolle ueber den Speicher.

Ah, du meinst so wie die Leute bei openSSL? wink *scnr*

Ich hoffe einfach mal, dass ich mich nicht so deppert anstelle tongue

Creshal schrieb:

Ja, Pythons interne Speicherverwaltung ist ungefähr genauso deppert wie die von OpenSSL. wink Und du kannst nicht einmal Variablen überschreiben…

Obs wirklich ein nennenswertes Sicherheitsrisiko bei einem Programm ist, das keine externe Angriffsfläche hat, ist die nächste Frage, aber schaden kanns (hoffentlich) nicht.

Ja, das war mir leider vorher nicht bewusst bzw. es war mir egal, da es mir vorderrangig um den Spass ging (geht es auch immer noch, aber die Ansprueche wachsen halt). Auf der anderen Seite kam ich in den Genuss mit Leuten zu schnacken, die sich mit Speicherangriffen bei phykalischen Zugriff a la FinFireWire beschaeftigen, das hat mich dann doch ein bisschen mehr sensibilisiert auch in punkto Obfuscation. So habe ich fuer das Rust Crate SecureStrings eingebaut, die ich vorher ablehnte bzw. fuer die ich zu faul war.

Offline

#39 07.01.2015 12:24:57

shibumi
Mitglied

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Ist der Rust-Code offen zugaenglich und kann ma schonmal reinschauen ins neue Projekt?

Offline

#40 09.08.2015 15:44:57

stefanhusmann
Moderator

Re: KeePassC: KeePassX kompatibler Passwortmanager mit curses-Interface

Ja, siehe hier.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums