Passwortmanager sinnvoll? Einstellungen

[Jericho]

Hallo,
nutzt jemand von euch Passwortmanager wie "Sticky Passwort" oder "KeePass"? Wie bewertet ihr die Sicherheit solcher Programme? Ich habe zur Zeit einige weniger wichtige Passwörter im Passwortmanager von Firefox und überlege, ob ein Umstieg sinnvoll sein könnte.

Viele Grüße
Jericho

[fenriz]

Ich nutze LastPass
Wenn du nach einem einem Program zum installieren suchst. Probier doch mal das neue Password Manager Programm von Kaspersky

Der Beitrag wurde von fenriz bearbeitet: 20.02.2010, 01:15

[Solution-Design]

In der CB wurden Passwortmanager getestet. Sihe deren Ranking. Viele sind durchgefallen, weil die Passwörter sich (kurzzeitig) in Klartext im Arbeitsspeicher befanden und somit von schon aktiver Malware ausgelesen werden könnten.

[fenriz]

In der CB wurden Passwortmanager getestet. Sihe deren Ranking.

Hier. KLICK

[Heike]

Viele sind durchgefallen, weil die Passwörter sich (kurzzeitig) in Klartext im Arbeitsspeicher befanden und somit von schon aktiver Malware ausgelesen werden könnten.

dass so etwas wahrscheinlich ist, habe ich schon immer vermutet.
geowned ist eben geowned, ein Passwortmanager ist kein wirklicher Schutz, er erhöht allenfalls den Aufwand den der Attacker betreiben muß um an die Passwörter zu gelangen.

[Julian]

dass so etwas wahrscheinlich ist, habe ich schon immer vermutet.
geowned ist eben geowned, ein Passwortmanager ist kein wirklicher Schutz, er erhöht allenfalls den Aufwand den der Attacker betreiben muß um an die Passwörter zu gelangen.

So ein Programm schützt aber davor, wenn Browser-Exploits an im Browser gespeicherte Passwörter gelangen wollen.
Außerdem sind ja auch Programme im Test gewesen, die nicht wegen einer solchen Schwachstelle durchgefallen sind.

[Heike]

Julian, weißt Du ob diese Tools eine Hardware-ID zusätzlich zur normalen Verschlüsselung verwenden?

sonst wäre doch alles easy:
1) verschlüsseltes Passwort-File downloaden
2) Verschlüsselungsprogramm installieren
3) Passwort aus dem Log des Keyloggers raussuchen (eventuell Keylogger benutzen, der Screens in bestimmten Fenstern bei Mausklicks macht)
4) fertig

Wie gesagt, alles ne Frage des Aufwandes.

[aido]

Also ich denke dass die meisten guten Passwortmanager gegen Keylogger abgesichert sind. Ich verwende z.B. Roboform mit Bluefish-Verschlüsselung na dann viel Spaß beim Entschlüsseln.

Die Passwörter werden bei Roboform nicht in die Zwischenablage kopiert, sondern direkt aus der Datei in das Feld verschlüsselt eingetragen. Das Masterpasswort schützt zusätzlich die Passcards vor unbefugtem Zugriff.

[Stefan]

Ich benutze schon seit Jahren das Password Depot von AceBIT.
Das war damals auf einer Heft-CD und konnte mit bis zu 10 Passwörtern für unbegrenzte Zeit (jetzt leider nur noch 30 Tage) umsonst genutzt werden.
Irgendwann hatten sich allerdings so viele Passwörter angesammelt, dass eben die Kaufversion her musste.

Die Sicherheit erhöht es mMn dadurch, dass man dort mit dem Kennwort-Generator Kennwörter aus zufällig gewählten Zahlen, Buchstaben und Zeichen erzeugen kann.
Die meisten Accounts werden ja meist deshalb geknackt, weil eben unsichere Passwörter wie Namen, Geburtstage usw. benutzt werden. Das schützt einen natürlich nicht davor, dass Keylogger usw. die Passwörter bei der Eingabe auf dem Rechner, oder bei der unverschlüsselten Übertragung auf der Webseite abfangen können.

Ich benutze außerdem Operas Wand für nicht ganz so schützenswerte Anmeldungen auf ein paar Webseiten.
Leider funktioniert das immer nur so lange, bis sich mal wieder die Adresse der Webseite geändert hat.
Da ist es dann von Vorteil, wenn man diese Zugangsdaten auch in einem PW-Manager gespeichert hat. Denn wer kann sich schon die ganzen Passwörter alle merken? Ich jedenfalls schon lange nicht mehr.

Der Beitrag wurde von Stefan bearbeitet: 20.02.2010, 10:05

[SLE]

Also ich denke dass die meisten guten Passwortmanager gegen Keylogger abgesichert sind. Ich verwende z.B. Roboform mit Bluefish-Verschlüsselung na dann viel Spaß beim Entschlüsseln.

Dito. Obwohl ein genereller Schutz gegen Keylogger oft schwer ist und auch nicht zu den Kernaufgaben solcher Tools gehört. Auf jeden Fall sind sie alle sicherer als der in Firefox integrierte.

Zum CB Test - der ist lächerlich. Dort haben Roboform und KeePass "verloren" wegen einer angeblichen Speicherung der Passwörter in der Zwischenablage. Nachvollziehbar ist dies nicht, da beide Programme Passwörter verschlüsselt im Speicher halten, bei KeePass zusätzlich Optionen zur AutoType Verschleierung vorhanden sind etc.

Ich selbst verwende KeePass als kombiniertes Tool zur Passworterzeugung, Verwaltung und zum automatischen ausfüllen. Sonst würde ich Roboform nutzen, aber das hat mir nicht ganz so gefallen. StickyPassword ist ähnlich wie Roboform, der KL Passwordmanager ist derzeit ein veralteter Klon von StickyPassword.

[Stefan]

Zum CB Test - der ist lächerlich. Dort haben Roboform und KeePass "verloren" wegen einer angeblichen Speicherung der Passwörter in der Zwischenablage.

Das Einfügen des Kennwortes in die Zwischenablage ist auch als Funktion im Password Depot verfügbar.
Wurde da dann auch abgewertet?

[Gast_J4U_*]

geowned ist eben geowned

Richtig, dabei ist es aber egal, ob das PW bei der Handeingabe oder bei der Eingabe aus einem PW-Manager heraus ausgelesen wird. Deswegen

ein Passwortmanager ist kein wirklicher Schutz, er erhöht allenfalls den Aufwand den der Attacker betreiben muß um an die Passwörter zu gelangen.

ist der PW-Manager ein sehr sinnvolles Hilfsmittel - nicht mehr und nicht weniger.

J4U

[Visitor]

Ich nutze beim Firefox dessen Paswortverwaltung und zusätzlich die Erweiterung Secure Login.

[Jericho]

Ohne jetzt an der Seriosität der Computerbild zweifeln zu wollen...
Gibt es eventuell noch weitere Tests? Zu KeePass habe ich bisher beispielsweise nur positives gelesen, das sieht mit Blick auf den Test ja nicht so aus.

[Solution-Design]

Ich pers. kenne jetzt keinen weiteren Test. Die Passwortmanager werden etwas stiefmütterlich behandelt. Und da kaum ein Nutzer auf die Idee kommt, den Arbeitsspeicher zu scannen, während der Passwortmanager mit der Übergabe der Daten an zum Beispiel dem Internet-Explorer beschäftigt ist, dürften sich die Aussagen wie "tolles Programm" eher auf die Usability, Kompatibilität sowie Stabilität beziehen.

[SLE]

Das Einfügen des Kennwortes in die Zwischenablage ist auch als Funktion im Password Depot verfügbar.
Wurde da dann auch abgewertet?

Ich kenne den genauen Test nicht, sondern auch nur Auszüge aus dem Netz. M.W. wurde er sogar vom Fraunhofer Institut ausgeführt, umso mehr verwundern die Ergebnisse.
Auch KeePass bietet z.B. die Option Passwörter per Doppelklick in die Zwischenablage zu kopieren. Wenn ich diese Funktion nutze - warum soll ich mich dann wundern, dass die Passwörter dort auftauchen?

Beim Autotype hatte KeePass in Version 1 wirklich ein paar Schwächen gg. das Mitloggen, seit Version 2 gibt es jedoch die 2 Kanal Autotype Verschleierung - über die Zwischenablage läuft da nichts. Auch Roboform ist m.W. beim Autofill sicher, beim Rest gibt es z.B. hier auch andere Meinungen.

Und da kaum ein Nutzer auf die Idee kommt, den Arbeitsspeicher zu scannen, während der Passwortmanager mit der Übergabe der Daten an zum Beispiel dem Internet-Explorer beschäftigt ist,

Auch das sollte der Speicherschutz verhindern

[Solution-Design]

In denke nicht, dass die Tester so dumm sind und mit Arbeitsspeicher die Windows-Zwischenablage meinen. Allerdings das Vorhandensein dieser Funktion in den von euch genannten Programmen, Häkchen weg, keine Zwischenablage und doch kurz im Arbeitsspeicher? Wer weiß, wo sich dort beim Programmieren die Fehler eingeschlichen haben.

[Nick]

Klar ist ein Passwortmanager sinnvoll, gerade wenn man viele verschiedene Passwörter hat, die man sich nicht alle merken kann. Die einzige Gefahr ist natürlich das Hauptpasswort, aber man kann ja auch eine Schlüsseldiskette/CD zusätzlich benutzen, ohne die kann man den Manager nicht öffnen.

[Gast_OOmatrixOO_*]

ich nutze den passwortmanager bzw safe von norton internet security. reicht mir vollkommen aus.

[xri12]

Passwortmanager zum Schutz vor Keyloggern...daran habe ich nie gedacht.
Ich war der Meinung so ein Programm soll einen vor Gedächtnisverlust schützen

Achja ich benutze Keepass auf einem USB-Stick.

Der Beitrag wurde von xri12 bearbeitet: 27.02.2010, 12:54