Page 1 of 1

Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 11th, 2012, 1:29 am
by at-biker
Hallo zusammen,

ich führe die Passwörter Datei *.psw sowie die Backup Dateien *.bck zusammen mit dem Hauptprogramm auf einem USB-Stick mit mir. Außerdem sind die Dateien und das Hauptprogramm auf meinem Notebook gespeichert.

Wie sicher sind die Daten, sollte ich den USB-Stick verlieren oder das Notebook geklaut werden ? Von was hängt die Daten-Sicherheit bei diesen Dateien ab und was kann/muss ich dazu beitragen ? Muss ich damit rechnen, dass es grundsätzlich jemandem gelingen könnte, Zugang zu den Passwörtern zu bekommen ?

Immerhin sind meine sämtlichen Bankzugänge dort gespeichert, sowie weitere ca. 200 Datensätze Email-/Cloud-/Firmen-/Foren-/Netzwerk-/usw.-Zugänge. Der Schaden und Aufwand für mich wäre immens, wenn da jemand Zugriff erhielte.

Gemäß Angabe auf der AceBIT Homepage sind die Daten mit "doppelter Verschlüsselung mit AES (Rijndael 256)" gespeichert. Heute erhalte ich Werbung von Paragon für eine Software "Handy safe Pro" mit einer "448-Bit Blowfish-Verschlüsselung". Ist das jetzt noch sicherer als die Verschlüsselung von Password Depot ?

Viele Fragen - hoffentlich auch Antworten ?

Viele Grüße
Reinhold

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 11th, 2012, 10:23 am
by M
die sicherheit hängt von deinem gewähltem masterpasswort ab.

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 11th, 2012, 5:23 pm
by at-biker
Hallo "M", hallo zusammen,

danke - aber das mit dem Master-Passwort ist schon klar, aber eben nicht alles. Es soll ja auch eine sich verlängernde Wartezeit geben, sofern jemand Passwörter ausprobiert. Aber die Sicherheit hängt auch von der Software-Gestaltung ab, z. B. wie verschlüsselt wird, Bugs, usw..

Meine Frage richtet sich eher an "AceBIT" oder andere Insider zu diesem Thema, auch bezüglich der Art der Verschlüsselung und deren Sicherheit aktuell.

Aus der Antwort von "M" ergibt sich bei mir noch eine Zusatzfrage:
Wenn man Passwort Depot jeden Tag benutzt, eventuell das Programm mehrmals am Tag starten muss, weil das Notebook zwischenzeitlich abgeschaltet wurde, kann man ja keinen "Roman" oder Spruch oder sonst ein langes oder kompliziertes Master-Passwort verwenden. Was empfiehlt AceBIT hinsichtlich der Auswahl eines Passworts ?
Für Gelegenheitsdiebe ist das Herumprobieren mit Passswörtern durch die Wartezeit erschwert; ist es falsch, daraus zu schließen, dass das Master-Passwort auch ein einfacheres Passwort sein kann, z. B. "nautic78#", also 9 Zeichen aus 3 Zeichengruppen ?

Bitte um qualifizierte Stellungnahme (sorry), da ich, wie im ersten Beitrag schon erwähnt, wichtige Daten mit Passwort Depot verschlüsselt habe, und mich unbedingt auf die Software verlassen muss, wie auch auf die Antworten zu meinen Fragen.

Viele Grüße
Reinhold

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 14th, 2012, 5:56 pm
by AceBIT
Hallo Reinhold,

Password Depot verschlüsselt die Kennwörterdateien mit dem Algorithmus Advanced Encryption Standard (AES, auch Rijndael genannt), 256 Bit. Dieser Algorithmus ist beispielsweise in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.

AES wurde bislang noch nie geknackt, somit können Sie beruhigt sein, dass es nicht möglich ist, die Daten ohne das Master-Kennwort "auszulesen".

Auch ist das "Versuchen" von Master-Kennwörtern eine völlig hoffnungsloses Unterfangen, sofern diese komplex und nicht leicht zu erraten ist.

Verwenden Sie beispielsweise Ihr Geburtsdatum und Vornamen, oder sonstige häufig verwendete Kennwörter wie "qwert", ist der ganze Schutz und Verschlüsselung nichts wert. Lesen Sie dazu bitte auch http://www.password-depot.de/know-how/t ... oerter.htm

Verwenden Sie jedoch ein Master-Kennwort wie

002-KoZ-789-!d

sieht die Sache wie folgt aus:

Dieses Kennwort verwendet 14 Zeichen. Diese setzen sich aus Zahlen (10 mögliche Zeichen), Sonderzeichen (32 mögliche Zeichen), Groß- und Kleinbuchstaben (52 mögliche Zeichen) zusammen.

Insgesamt muss das "Erraten" dieses Kennwort also aus einem Pool von 94 Zeichen die 14 Zeichen finden. Die Anzahl der Kombinationen beträgt hierzu

94^14 oder als Zahl 4.205.231.901.698.742.834.534.301.696!

Wenn der Computer des Angreifers pro Sekunde 3.000.000.000 Kennwörter erraten kann, würde das Knacken des von Ihnen genannten Kennworts 1401743967232914278 Sekunden dauern. Sie können nun ausrechnen, wie viele Jahre das sind.

Um Ihre ursprüngliche Frage zu beantworten: Mit einem starken Master-Kennwort brauchen Sie sich um Ihre Kennwörter keine Sorgen machen. Wenn Sie den USB-Stick verlieren, dürfte Ihre einzige Sorge die Frage sein, ob Sie Sicherungskopien vorliegen haben.

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 14th, 2012, 7:48 pm
by at-biker
Hallo AceBIT,

danke für die Antworten auf einige meiner Fragen.

Was das Master-Passwort betrifft, so ist Ihr Beispiel (002-KoZ-789-!d) etwas abschreckend, wenn man bedenkt, dass man es mehrmals am Tag händisch eingeben muss. Der Sinn ist aber verstanden.

Laut Homepage Password Depot wird beim Ausprobieren von Passwörtern eine Zeitverzögerung von 3 Sekunden aktiviert. Kann ein Hacker diesen Schutz umgehen ? Wenn nicht, wäre ja pro 3 Sekunden nur ein Versuch möglich (statt dem Beispiel mit 3.000.000.000 Versuchen pro Sekunde), und damit ein Hacken des Master-Passworts quasi ausgeschlossen, oder ist das ein Denkfehler ?

Zusatzfrage zum Betrieb des Password-Depots mit Kennwortdatei in einem Cloud-Laufwerke, z. B. Dropbox.

Ich nutze die Dropbox zum Datenaustausch/Synchronisieren zwischen meinen PC's und Notebooks. Das soll absolut sicher sein und funktioniert excellent, und so bin ich versucht, die Kennwortdatei und die Sicherungsdateien auch in die Dropbox zu kopieren und Password Depot darauf zugreifen zu lassen. Bis heute kopiere ich diese Dateien per USB-Stick von meinem Desktop auf mein Notebook, "synchronisiere also von Hand.
Bestehen Sicherheitsbedenken, wenn Password Depot diese Datei in der Dropbox übers INet öffnet und liest oder beschreibt ?

Viele Grüße
Reinhold

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 14th, 2012, 8:07 pm
by AceBIT
at-biker wrote:
Laut Homepage Password Depot wird beim Ausprobieren von Passwörtern eine Zeitverzögerung von 3 Sekunden aktiviert. Kann ein Hacker diesen Schutz umgehen ? Wenn nicht, wäre ja pro 3 Sekunden nur ein Versuch möglich (statt dem Beispiel mit 3.000.000.000 Versuchen pro Sekunde), und damit ein Hacken des Master-Passworts quasi ausgeschlossen, oder ist das ein Denkfehler ?
Wir haben Ihnen das Beispiel ohne Verzögerung der 3 Sekunden genannt, um deutlich zu machen, wie sicher Ihre Kennwörter bei einem sehr starken Master-Kennwort sind. Also selbst wenn jemand die Quellcodes von Password Depot "klauen" würde und diese 3 Sekunden Verzögerung entfernen würde, ist es ihm nicht möglich Ihre Kennwörterdateien zu "knacken" oder sonstwie zu lesen.
at-biker wrote:
Zusatzfrage zum Betrieb des Password-Depots mit Kennwortdatei in einem Cloud-Laufwerke, z. B. Dropbox.

Ich nutze die Dropbox zum Datenaustausch/Synchronisieren zwischen meinen PC's und Notebooks. Das soll absolut sicher sein und funktioniert excellent, und so bin ich versucht, die Kennwortdatei und die Sicherungsdateien auch in die Dropbox zu kopieren und Password Depot darauf zugreifen zu lassen. Bis heute kopiere ich diese Dateien per USB-Stick von meinem Desktop auf mein Notebook, "synchronisiere also von Hand.
Bestehen Sicherheitsbedenken, wenn Password Depot diese Datei in der Dropbox übers INet öffnet und liest oder beschreibt ?
Offensichtlich war unser Beispiel nicht deutlich genug, sonst hätte sich diese Frage von selbst beantwortet :)

Wenn Sie ein starkes Master-Kennwort einsetzen, das lang genug ist und den hier http://www.password-depot.de/know-how/t ... oerter.htm aufgezählten Anforderungen entspricht, können Sie Ihre Kennwortdatei auch bedenkenlos öffentlich auf Ihrer Website zum Download anbieten. Entscheidend für die Sicherheit Ihrer Kennwörter ist die Qualität des Master-Kennworts.

Sie können Ihr Master-Kennwort zu Testzwecken in Password Depot als Kennworteintrag einfügen, um sich eine Schätzung der Qualität anzeigen zu lassen.

Re: Verschlüsselung / Sicherheit beim Password Depot 6

Posted: February 15th, 2012, 12:35 pm
by at-biker
Hallo AceBIT,

vielen Dank für Ihre Mühen mit meinen Fragen.

Ich bin jetzt beruhigt, was die Sicherheit meiner Daten in Password Depot betrifft, werde mein Master-Passwort nun noch etwas "bearbeiten" und künftig über die Software-Tastatur eingeben.

Bezüglich der Frage des Verlagerns der Passwort-Datei in die Dropbox, haben Sie es bei mir leider mit einem Software-Laien zu tun.
Mir war mittlerweile aus Ihren vorherigen Antworten zu den anderen Fragen schon klar, dass die in der Dropbox befindliche Passwort-Datei geschützt ist, genau wie beim Verlust des USB-Sticks mit dieser Datei dauf.
Ich kann mir nur nicht genau vorstellen, wie der "laufende" Betrieb zwischen dem Programm des Password Depots und der Passwort-Datei übers Internet zu jedem Zeitpunkt durch das Master-Passwort verschlüsselt abläuft, z.B. beim Ändern oder Hinzufügen von Einträgen. Es wird doch jede Änderung an den Passwörtern oder Hinzufügen / Löschen von Einträgen sofort abgespeichert (Auswahl "Speichern bei jeder Änderung" eingestellt). Wird da jedes Mal die komplette und verschlüsselte Passwort-Datei abgespeichert und damit die "alte" Passwort-Datei überschrieben ? Oder wird die gespeicherte Passwort-Datei vom Hauptprogramm geöffnet und geändert ? Den letzten Fall hatte ich bei der Frage wegen der Dropbox unterstellt und mich gefragt, wie das sicher über das Internet funktionieren könne.

Sorry für die vielen Fragen - ich war einfach unsicher, welches Risiko ich mit dem elektronischen Speichern und Handling meiner Passwörter eingehe, nachdem Datenklau ja anscheinend an der Tagesordnung und nicht sicher vermeidbar ist. Wenn man der Presse glaubt, ist trotz teurer Internet-Suite, ständigen Aktualisierungen der Software (MS-Patchday usw.), Vorsicht bei Emails und Anhängen sowie bei Besuchen bestimmter Internet-Seiten, hohen Sicherheitseinstellungen beim Browser, nicht auszuschließen, dass Schadsoftware unbemerkt in den PC eindringt.

Nochmals Danke und viele Grüße,
Reinhold