Passwort Safe / App

Wie Bingo schon sagte: 2FA heißt ja nicht umsonst 2-Faktor-Authentifizierung.
Die zwei Faktoren sind üblicherweise
1. etwas, das man weiß (Passwort)
2. etwas das man hat (Handy, Yubikey, ...)

Aber persönlich wär ich ganz froh, wenn es in der Richtung endlich mal weitergehen würde.
Die meisten Dienste bauen immer noch ausschließlich auf Benutzernamen/Passwort.

Es ist halt derzeit alles noch verdammt unbequem.
Da brauchts irgendwie noch die zündende Idee, damit auch Nicht-Nerds auf solche Verfahren umsteigen.

Zitat von Bingo;300167

Bei meiner Bank brauche ich Kontonummer und Passwort. Für eine Überweisung schicken die mir die TAN per SMS. Ich benutze dafür PC und Handy (kein smartphone). Würde ich beides mit einem einzigen smartphone erledigen, wäre das dann eine 2FA?

Vermutlich könnte man das dann so nennen,denn die Kommunikationswege der "Freund/Feind Abfrage" sind ja verschieden :

a) Mobilfunknetz
b) Internet

Beides zusammen in einem Gerät birgt für mich das Risiko das sich ungewollt Jemand per Key-Logger oder Screen-Recorder auch eine 2FA abgreift.

Für mich ein Grund Logins ausschliesslich zu Hause vom Sationär-PC auszuführen...

( Ich erinnere mich nur noch zu gut daran zusammen mit einem Freund genau an diesem PC eine Nacht lang gesessen zu haben um Schadensbegrenzung zu betreiben.Nach Smartphone-Verlust. )

Um mal zurück zum Thema zu kommen:

Ich selbst nutze KeePass2. Warum? Keine Cloud, und trotzdem verfügbar auf PC und Mobiltelefon, was für mich vollkommen ausreichend ist. Zudem gibt es auch noch eine portable Version, sodass ich das mittels USB auch noch auf anderen PCs nutzen kann.

Und ich denke nicht, dass das Speichern in der "Cloud" prinzipiell ein großes Sicherheitsproblem darstellt. Jedenfalls nicht seitens der Anbieter. Das Problem ist meiner Meinung nach der Benutzer, der seinen Kennwort-Safe mit einem Kennwort sichert, dass mittels Brute-Force in drei Sekunden (z.B. Schatzi123 oder so was) herausgefunden werden kann und den Safe dann dem Angreifer öffnet.

Der Kennwortgenerator in Keepass bietet mir zudem die Möglichkeit, sehr fein die Eigenschaften eines Kennworts festzulegen und dieses dann per "Zufall" (nämlich Mausgesten über einem zufällig erzeugten Rauschen) erzeugen zu lassen.

Das bietet mir die Möglichkeit, extrem sichere Kennwörter zu erzeugen, die ich mir blöderweise nicht mehr merken kann.

Hi,

ich bin in der glücklichen Lage, mich mit den Algorithmen etwas auszukennen, und habe mir selber was programmiert.
Das hilft hier leider niemandem, weil es keinen großen Unterschied macht, welchem Hersteller von Software man vertraut (außer man kennt ihn persönlich).

Einen Tipp deshalb:
1. Die Sprüche-Passwörter sind über sogenannte Rainbow-Attacken verblüffend einfach zu knacken.
2. Differenzielle Passwörter (ein supergeheimes und bei jeder Anwendung eine "einfache" Erweiterung) sind nicht sicher.
3. Vierwortpasswörter sind relativ sicher *und* einfach zu merken

Nehme vier komplett zufällige Wörter der deutschen Sprache (jeweils nur ca. 12 Bit Sicherheit)
Die hintereinander ergeben 48 Bit. Das ist schon ganz vernünftig (klar, Sicherheit sieht anders aus, aber als Kompromiss)

Beispiel: FrauFischTrumpYoghurt

Trump wäre schon schlecht, weil dieses Wort gerade sehr aktuell ist.

Noch was lustiges: Googelt mal nach "12345 passwort"

Nick

Ich benutzer Clipperz Community Edition, die auf meinem eigenen Server läuft. Es gibt auch die Möglichkeit, direkt auf https://clipperz.is seinen Passwortcache anzulegen.

Meine Gründe für Clipperz sind:

• Die Daten werden ausschließlich verschlüsselt übertragen und gespeichert (die Entschlüsselung läuft lokal im Browser).
• Die Software ist Open Source und kann somit von Kryptographen auditiert werden.
• Man kann Offline-Kopien anlegen und z.B. auf den Notebook/Tablet/Smartphone/... abspeichern, so dass man auch ohne Internetverbindung auf seine Daten zugreifen kann.
• Sicherer Passwortgenerator enthalten, allerdings zugegebenermaßen ohne diesen graphischen Nonsens wie bei KeePass2).
• Einmalpasswörter (OTP; Um z.B. von einem unsicheren Rechner aus auf seine Daten zugreifen zu können, ohne Gefahr zu laufen, sein Passwort zu kompromitieren).
• In- und Export der Daten im JSON-Format möglich.
• Die Anzahl und Benamsung der Felder ist frei wählbar. Es stehen verschiedene Typen (Text, Passowort, Webadresse/URL, ...) zur Verfügung.

LG,

Maresi

Zitat von lord_helmchen;300178

......sodass ich das mittels USB auch noch auf anderen PCs nutzen kann.

So würde sich das für mich als eine gute "stand alone" Lösung anhören. Eine saubere Trennung durch Hardware ist am allerschlechtesten zu überwinden,halt als Gegenteil zu "Stecker raus"

Vor allem wenn der Rechner/Laptop physisch in falsche Hände gerät wär das noch eine zusätzliche Sicherheit !

Gibt es da irgendwas das man einfach und unabhängig von Cloud / Anbieter mit jedem HÜ USB Stick nutzen kann ?

Wo genau ist da der Nonsens bei Keepass? Das ist lediglich ein vom Benutzer generierter Zufall.

[COLOR="silver"]- - - AKTUALISIERT - - -[/COLOR]

Zitat von AndreasH;300203

Gibt es da irgendwas das man einfach und unabhängig von Cloud / Anbieter mit jedem HÜ USB Stick nutzen kann ?

Das verstehe ich jetzt nicht. Keepass kann doch genau das. Oder meinst du einen verschlüsselten USB?

Zitat von lord_helmchen;300206

Wo genau ist da der Nonsens bei Keepass? Das ist lediglich ein vom Benutzer generierter Zufall.

Worin genau liegt denn der Mehrwert von diesem Verfahren? Ist "vom Benutzer generierter Zufall" zufälliger als vom System generierter Zufall?
Für mich ist das halt nur Sicherheitstheater ohne praktischen Mehwert - also: Nonsens!

Zitat von Maresi;300237

Worin genau liegt denn der Mehrwert von diesem Verfahren? Ist "vom Benutzer generierter Zufall" zufälliger als vom System generierter Zufall?
Für mich ist das halt nur Sicherheitstheater ohne praktischen Mehwert - also: Nonsens!

Ein algorithmischer Zufall ist letztlich keiner. Und durch die menschliche Interaktion kommt da eine eben absolut nicht zu berechnende Komponente hinzu: Zufall.

So long,
Sam

Erklär mir doch bitte im Zusammenhang mit Passwörtern (nicht: Verschlüsselungsalgorithmen) den Nachteil eines mit zufälligen Werten geseedeten PRNGs. Zur Implementierung von Clipperz: https://clipperz.is/security_privacy/crypto_algorithms/#prng

Zitat

Fortuna is based on an entropy accumulator which collects genuinely random data from various sources and uses them to reseed the generator when enough new randomness has arrived. Therefore Fortuna leaves to implementors the choice of the entropy sources to be used. Unless an attacker is able to control all the sources of alleged entropy flowing into the system, it will remain secure.

Block cipher used by the generator: AES-256 in CTR mode
Entropy sources:
- mouse movements
- internal clock
- keyboard activity
- built-in crypto.getRandomValues() of modern browsers

Alles anzeigen

Wenn du mir also den Vorteil der KeePass-Implementierung gegenüber dieser Variante erklären kannst ändere ich meine Meinung und behaupte das Gegenteil!

Nachtrag: KeePass2 verwendet genau den selben Ansatz, nur halt mit mehr Tamtam. Somit bleibe ich bei meinem Urteil: Theater, nicht mehr!

Zitat

KeePass first creates an entropy pool using various entropy sources (including random numbers generated by the system cryptographic provider, current date/time and uptime, cursor position, operating system version, processor count, environment variables, process and memory statistics, current culture, a new random GUID, etc.).

The random bits for the high-level generation methods are generated using a cryptographically secure pseudo-random number generator (based on SHA-256/SHA-512 and ChaCha20) that is initialized using the entropy pool.

Zitat von Maresi;300237

Ist "vom Benutzer generierter Zufall" zufälliger als vom System generierter Zufall?

Ein Random aus egal wie vielen Systemparametern ist nun mal kein echter Random. Also: ja, genau so ist es.

Es ist aber nicht mehr nachvollziehbar und damit ausreichend zufällig. Also ich mag Theater.

Tun wir mal eine Sekunde lang so, als ob das inhaltlich korrekt wäre* oder mit der Sache was zu tun hätte: Ich warte immer noch die Antwort auf die Frage, was dies mit Passwörtern zu tun hat. Selbst ein Mersenne-Twister, der mit einem aus Systemzeit und dem PC-Namen generierten Seed** initialisiert wurde erzeugt Passwörter, die nicht mehr erraten/errechnet werden können.

Was die Sicherheit von korrekt implementiertem PRNG mit rein systembasiertem Seed vs. echten Zufallszahlen anbelangt: Ohne den Seed zu kennen ist es bei einem sicheren PRNG umöglich, die Zahlenfolge zu errechnen. Um alle Parameter für den Seed zu kennen, müsste ein Angreifer die vollständige Kontrolle über das Zielsystem haben. In diesem Szenario ist es komplett unerheblich, ob man nun mit der Maus über ein paar Punkten herumfuchtelt oder nicht...

Allerdings hat diese Diskussion wie gesagt nichts mit der aktuellen Diskussion zu tun, da auch KeePass2 mit PRNGs arbeitet. Ob der benutzergenerierte Zufall nun von Tastaturanschlägen und Mausgesten kommt, die während der normalen Benutzung ohnehin "anfallen" oder ob diese erst neu eingegeben werden müssen hat keine Auswirkung auf die Zufälligkeit.

*) Dass ein PRNG keine echte Zufallszahlen liefert ist natürlich richtig, hat aber bei korrekter Implementation keine Auswirkung auf die Sicherheit.

**) Der Seed kann nur bekannt sein, wenn Charly auf die Milisekunde genau den Zeitpunkt der Passwortgenerierung und der Rechnername kennt. Ein eher unwahrscheinlicher Fall.

Zitat von lord_helmchen;300206

Das verstehe ich jetzt nicht. Keepass kann doch genau das. Oder meinst du einen verschlüsselten USB?

Oh,sorry,da habe ich mich nicht vollständig ausgedrückt :

Ich stelle mir da eine Kombination aus Laptop/PC und Stick vor die sich gegenseitig erst "bestätigen" muss um die gespeicherten Passwörter "lesbar" zu machen. Also jeweils nur Teildateien auf jedem Gerät - das sowohl der Stick oder auch der Laptop/PC erst zusammen wirksam werden. Ich möchte so eine zusätzliche Sicherheit erreichen die bei einem Verlust der Hardware greift.

Sicherheit "Paarweise" sozusagen. Leider habe ich bisher noch kein Programm dafür finden können,das passt scheinbar nicht in das Schema alle Geräte und jeden Account vernetzen zu wollen,alles was ich finden kann sind Programme die für meinen Zweck viel zu aufwändig sind.