AceBIT

Hallo Acebit Team,
in der aktuellen PC Professionell (07/06) hat euer Programm "nur" mit dem 2. Platz abgeschnitten, die Hauptgründe:
a) Importbug: Anstatt dass bei der CSV-Datei, in der sich 100 Datensätze befanden das ganze fehlerfrei importiert wurde, wurden die Daten zeilenweise statt spaltenweise importiert.
b) der Programmstart ist durch keine Schlüsseldatei geschützt.
c) der Programmstart ist nicht durch Hardware (Smart Card, USB-Schlüssel o.ä.) geschützt.
d) Der Keylogger-Test mit dem Programm "XP Advanced Keylogger 2.5" wurde nicht bestanden.
e) Eine Synchronisierung mit anderen Geräten (Palm, Pocket PX etc.) ist nicht möglich.
Der Wichtigste dieser Punkte ist d), bei Punkt b) verstehe ich nicht, was eine Schlüsseldatei ist, den Sinn von Punkt c) verstehe ich nicht, Punkt a) ist mir irrelevant, weil ich sowieso nur .psw Dateien verwende und zu Punkt e): Wäre vielleicht interessant, im Moment nutze ich jedoch keinen Palm.

Bitte lesen Sie den Artikel in der PC Pro Ausgabe selbst, gehen Sie die Punkte durch, leiten Sie sie an das Entwicklerteam weiter und geben Sie mir Stellung dazu,
danke!
Cyril

Guten Tag nochmal,

ich weiß, dieser Satz am Schluss klang vielleicht etwas zu unhöflich, befehlshaft, unsinnig, weil sie das ja auch ohne diese Aufforderung machen würden.

Trotzdem würde es mich schon interessieren, ob Sie an diesen Punkten arbeiten
cyril

Guten Tag,

wir haben Ihre Anfrage natürlich bereits an das Entwicklerteam weitergeleitet, allerdings bis jetzt noch keine Antwort erhalten. Vielleicht können wir Ihnen hier ja aber schon ein wenig mehr Klarheit verschaffen:

zu b) beim PasswordDepot (PD) müssen Sie um in Ihre Password Datei zu gelangen ein Masterpasswort eingeben. Andere Programme bieten hier zusätzlich die Option eine bestimmte beliebige Datei auf Ihrem Rechner als Schlüssel zu akzeptieren. Beim Programmstart geben Sie dann den Pfad und den Dateinamen dieser Datei an, und Sie können ins Programm ohne ein Kennwort einzugeben. Das Password Depot bietet diese Möglichkeit (noch) nicht.

zu c) Smart Cards und USB-Schlüssel sind Hardwareteile die an den Rechner angeschlossen werden müssen. Dies kann man auch für die Identifizierung bei Password Managern nutzen. Besitzt der Benutzer nicht die nötige Hardware, kriegt er keinen Zugang zum Programm. Ähnlich wie es sich mit einer normalen Haustür und dem passenden Schlüssel (der "Hardware") verhält.

zu d) Hier wurde getestet, ob z.B. ein eingegebenes Masterpassword mit einem Programm, das im Hintergrund Tastatureingaben mitschneidet (Key-Logger), abgefangen werden kann. Wie die PC-Pro allerdings selber schreibt : "In der Praxis bringt dies aber wenig : Selbst wenn der String lesbar ist, kann man Ihn noch lange nicht als Password identifizieren oder gar einem bestimmten Dienst zuordnen".
Ohnehin ist es sehr bedenklich, wenn ein Angreifer bereits soweit die Kontrolle über Ihren Rechner übernommen hat, dass es ihm möglich ist Programme auszuführen.
Natürlich nehmen wir diesen Punkt aber trotzdem ernst und arbeiten an einer Lösung des Ganzen.

Wir hoffen Ihnen hiermit schon ein wenig weitergeholfen zu haben.
_____________________
Mit freundlichen Grüßen
AceBIT - Support -

Hallo,

ah ok danke, jetzt versteh ich auch b) und c)...

Ja und zu d)...stimmt schon, bloß wenn ich den PW-Manager z.B. "am Arbeitsplatz" benutze, wo ja "jeder böse Angreifer" eher "leichtes Spiel" hat, könnte ich mir vielleicht schon den Nutzen davon vorstellen...

oder wäre ich Milliardär (lol) und hätte meine Kreditkartennummern darin abgespeichert und irgendwelche guten Hacker, die den mitgeschriebenen Code dem Programm zuordnen können und wissen, dass das das Passwort ist, könnten so an das Masterpasswort gelangen, um die Kreditkartennummern zu bekommen......... in diesem Falle wäre ich ihnen auch für eine Lösung des Problems dankbar

na ja...man kann die Sicherheit immer erhöhen, stimmt schon, aber 100% wird es nie geben (brauch man auch nicht unbedingt)...nur wollte ich dass das Programm bei der PC Pro den 1. Platz belegt ^^
bye

Guten Tag,

jetzt erreichte uns auch die Antwort unserer Entwickler, die wir Ihnen natürlich nicht vorenthalten möchten.


a) Importbug: Anstatt dass bei der CSV-Datei, in der sich 100 Datensätze befanden das ganze fehlerfrei importiert wurde, wurden die Daten zeilenweise statt spaltenweise importiert.

Dies ist kein korrekter Test. Wir wissen leider nicht mit welchem Programm die .CSV Datei generiert wurde. Wenn man aus dem Password Depot heraus in eine .CSV Datei exportiert, so importiert das Programm diese später auch wieder korrekt. Die Frage ist, welches .CSV Format ist nun korrekt?
Im allgemeinen gilt das .CSV Format als überholt oder veraltet, weil es sich kaum dafür eignet komplexe hierarchische Strukturen zu importieren/exportieren. Das empfohlene Format für diese Art von Daten ist XML, welches auch komplett von Password Depod 2 unterstützt wird.


b) der Programmstart ist durch keine Schlüsseldatei geschützt.
c) der Programmstart ist nicht durch Hardware (Smart Card, USB-Schlüssel o.ä.) geschützt.

Diese beiden Punkte sehen wir nicht unbedingt als negativ an, sondern vielmehr als ein Fehlen von zusätzlichen Möglichkeiten zur Zugangsgewährung - das Programm wird dadurch nicht weniger sicher.
Mit dem Masterpasswort ist der Zugang zu Ihren Daten bereits sehr gut geschützt, zumal es auch einen integrierten Schutz gegen Brute-Force Attacken gibt, der verhindert, dass ein Angreifer alle möglichen Passwörter der Reihe nach ausprobiert.


d) Der Keylogger-Test mit dem Programm "XP Advanced Keylogger 2.5" wurde nicht bestanden.

Wir verstehen, dass dies vermutlich die größte Sorge eines Benutzers ist. Natürlich arbeiten wir konstant an der Sicherheit des Programms und wollen Ihnen noch einmal versichern, dass Password Depot 2 eines der sichersten Password Manager auf dem Markt ist. Es sind bereits viele Sicherheitsfunktionen gegen verschiedenste Typen von Spyware Programmen integriert. So verhindert Password Depot 2, im Gegensatz zu vielen Mitbewerbern, z.B. das Auslesen von mit dem *-Zeichen unkenntlich gemachten Passwörtern und hat bereits einen Schutz gegen eine Vielzahl von bestimmten Keyloggern. Auch erlaubt es keinen Diebstahl von Passwörtern über die Windows Messaging Funktionen - ein von Spywareprogrammen oft genutzter Weg.
Wie auch immer kann Password Depot 2 natürlich keine vollwertige Antispyware- oder Antivirenprogramme mit regelmäßig aktualisierten Schädlingsdatenbanken ersetzen.
Zur Zeit untersuchen wir die Arbeitsweise des "XP Advanced Keylogger 2.5" um auch gegen dieses Tool den bestmöglichen Schutz zu bieten. Zudem werden wir in naher Zukunft noch einige zusätzliche neue Techniken im Programm integrieren um die Sicherheit weiter zu erhöhen.


e) Eine Synchronisierung mit anderen Geräten (Palm, Pocket PX etc.) ist nicht möglich.

Es ist bereits geplant eine Pocket PC Version des Programms in der Zukunft anzubieten.

Wir hoffen damit all Ihre Fragen beantwortet zu haben.

______________________
Mit freundlichen Grüßen
AceBIT - Support -