Hallo,
warum soll das eine Masterpasswort für einen Passwortsafe wie z.B. KeyPass die ganze Sache sicherer machen? kann das Masterpasswort nicht durch einen Trojaner oder Keylogger genauso ausgespäht werden wie ein anderes Passwort auch? Und wenn das gelingt, dann hat der gleich Zugang zu allem! Selbst wenn ich die Daten nur auf einem USB-Stick habe, könnte einer doch theoretisch dann an die Daten kommen, wenn der Stick eingesteckt ist, oder?
Gruß Ernesto
Hallo,
ein Passwort-Safe mit Masterpasswort bringt in der Regel keine höhere, sondern - wie du richtig erkannt hast - eine geringe Sicherheit.
Das ganze dient ausschließlich der Bequemlichkeit, da sich der Nutzer nur ein Passwort merken muß.
Als einzige Argument für so etwas könnte man z.B. die sichere Verschlüsselung (Blowfish usw.) der Passworte im Safe anführen.
Ist aber das Masterpasswort kompromitiert bzw. schlecht gewählt, bringt dieses auch nichts mehr.
mfg, tf
Hi.
warum soll das eine Masterpasswort für einen Passwortsafe wie
z.B. KeyPass die ganze Sache sicherer machen?
Welche Sache? Ein Masterpasswort in Firefox dient z.B. zur Verschlusselung der gespeicherten Passwörter, die sonst (ohne Massterkennwort) fast im Klartext liegen (base64 kodiert glaube ich). Diese Sache macht ein Masterkennwort natürlich deutlich sicherer. Ob KeyPass die Passwörter ohne Masterkennwort ebenfalls im Klartext ablegt, weiß ich nicht.
kann das
Masterpasswort nicht durch einen Trojaner oder Keylogger
genauso ausgespäht werden wie ein anderes Passwort auch?
Jain. Bzw. ja, klar, Masterpasswort schon. Aber wenn die anderen Passwörter nicht mehr getippt werden, können sie durch einen Keylogger u.U. auch nicht mitgehört werden. Der Angreifer mit dem Keylogger hat dann zwar das Masterpasswort mitgehört, kann damit aber nichts anfangen, er braucht ja die echten Kennwörter.
Gegen einen Trojaner, der sowohl das Masterpasswort als auch die gespeicherten Daten aus den Safe mitholt, hilft es natürlich nichts.
Gruß,
Andreas
Kompensation
Natürlich ist das Masterpasswort wesentlich kritischer als ein Einzelpasswort. Der Vorteil ergibt sich aber aus der praktischen Anwendung. Denn ein Masterpasswort darf wesentlich komplizierter sein.
Meines ist beispielsweise rund 20 Stellen lang, enthält Groß/kleinschreibung und einige Sonderzeichen.
Und das kann ich mir besser merken als verschiedene Passworte für jeden einzelnen Anwendungsfall. Demnächst werde ich auch noch meine Foren-Nicks und -Passworte ändern, da ich bei unkritischen Anwendungen eine Standardkombination eingesetzt habe.
Da ich über einen Passwortsafe nicht mehr manuell eingeben muss, sind inzwischen alle Passworte komplizierter und unterschiedlicher. Und ich kann mich unterschiedlichen Anforderungen (min./max. Länge, Zeichensatz, Mindestkomplexität) anpassen.
Und das alles gleicht das größere Risiko bezüglich des Masterpasswortes aus.
Ciao, Allesquatsch
Ich arbeite auch mit Keypass. Meine Theorie: Wenn ich z.B. in einem Internetcafe sitze und dort meine Kreditkarteninfos oder Email pw’s eingebe, dann ist es sicher sinnvoller diese per copy/paste bzw. „Autotype“ aus meinem Keypass (welches ich auf einem USB Stick habe) in das Onlineformular einzugeben als zu tippen (Keylogger). Und selbst WENN ein Keylogger meinen Masterkey mitloggt nuetzt es ja nichts, da ich ja meinen Stick wieder mitnehme und somit der Auswerter drei Stunden spaeter keinen Zugriff mehr auf die Daten hat. Soweit ich weiss verschluesselt KP sogar den Kopiervorgang in die Zwischenablage und loescht voreingestellt alle 10 Sekunden diese Informationen in der Zwischenablage. Ausserdem ein gutes Gefuehl seine Passwoerter immer bei sich zu haben fuer den Fall dass einem eines partout nicht einfallen will. Und selbst wenn der Stick mal verloren geht: Bei einem 21 stelligen Masterkey (alphanumerisch, Gross/Klein, Sonderzeichen) habe ich nach heutigem Stand ca. ein paar tausend Jahre Zeit meine PW’s zu aendern. Denn eine Kopie der KP Datenbank habe ich ja zuhause auf dem PC.
Man korrigiere mich wenn ich da falsch liege.
K