PWD7: Funktionsweise hinsichtlich Sicherheit

Forum für den Passwort-Manager "Password Depot".
Post Reply
at-biker
Expert
Expert
Posts: 51
Joined: December 10th, 2011, 1:46 am
Location: Südhessen/Odenwald

PWD7: Funktionsweise hinsichtlich Sicherheit

Post by at-biker » March 18th, 2014, 12:49 pm

Guten Tag an das Password Depot Forums - Team,

schon lange benutze ich das Password Depot in den jeweils aktuellen Versionen. Da und dort habe ich hier im Forum auch schon Fragen zur Sicherheit gestellt und diese, soweit ich mich erinnere, für mich zufriedenstellend beantwortet bekommen.

Aufgeschreckt durch die aktuellen Pressemeldungen, z. B. dass mittlerweile TrueCrypt Verschlüsselungen schnell geknackt werden können, auch bei kryptischen und langen Passwörtern, stelle ich mir erneut Fragen hinsichtlich der Sicherheit meiner gut 400 Passwörter im Password Depot, davon auch viele Bankzugänge.

Die Suche im Forum ist mühsam und oft nicht von Erfolg gekrönt, wenn die Schlüsselbegriffe nicht genau treffen, oder es kommen Unmengen von Treffern. Ich will auch nicht unbedingt mit meinen vielen Fragen das Forum "belasten". Daher frage ich zunächst mal nur Folgendes:

Gibt es eine Quelle, wo die bei Password Depot eingesetzten Verfahren zur Sicherstellung der Datensicherheit aller eingegebenen Daten beschrieben werden?

Hier einige der Fragestellungen beispielhaft:
Werden alle Angaben eines Eintrags verschlüsselt, z. B. auch das Feld "Anmerkungen"; wenn nicht, welche genau?
Sind die Backup-Dateien gleichermaßen sicher wie die Original-Datenbankdateien?
Wann genau ist die Datenbankdatei ungeschützt (z. B. wenn die Kopfleiste aktiviert ist und im Systray das blau-weiße Symbol gezeigt wird oder nur, wenn im Systray das gelbe Schlosssymbol gezeigt wird?
Wo genau befindet sich eine geöffnete Datenbankdatei im Fall der Ablage in der Cloud oder auf dem USB-Stick? (Wird die Datenbankdatei in den PC geladen und dort geöffnet oder ist die Datei über die Cloud bzw. den USB-Stick geöffnet?)
usw.
Und auch die Frage, ob man den Verschlüsselungsalgorithmus ändern kann, drängt sich auf. Die beunruhigenden Meldungen zu TrueCrypt betreffen den als noch unknackbar geglaubten AES-256 Algorithmus und es wird dort geraten, zunächst auf die bei TrueCrypt wählbaren Algorithmen Twofish oder Serpent auszuweichen, bis weitere Informationen folgen (das Tool oclHashcat-plus wurde anscheinend bisher nur für das Knacken der AES - Verschlüsselung bei TrueCrypt und anderen Verschlüsselungsprogrammen erfolgreich eingesetzt).

Viele Grüße,
Reinhold

User avatar
Stefan (AceBIT Team)
Guru
Guru
Posts: 423
Joined: June 4th, 2013, 5:19 pm

Re: PWD7: Funktionsweise hinsichtlich Sicherheit

Post by Stefan (AceBIT Team) » March 21st, 2014, 1:56 pm

Hallo at-biker,
at-biker wrote:Werden alle Angaben eines Eintrags verschlüsselt, z. B. auch das Feld "Anmerkungen"; wenn nicht, welche genau?
Der komplette Inhalt der Datei wird mit Ihrem Master-Kennwort verschlüsselt. Keine Information wird unverschlüsselt gespeichert.
at-biker wrote:Sind die Backup-Dateien gleichermaßen sicher wie die Original-Datenbankdateien?
Ja! Es handelt sich dabei nur um eine Kopie der verschlüsselten Kennwörterdatei. Deswegen können Backup-Dateien auch nur mit Ihrem Master-Kennwort geöffnet werden.
at-biker wrote:Wann genau ist die Datenbankdatei ungeschützt (z. B. wenn die Kopfleiste aktiviert ist und im Systray das blau-weiße Symbol gezeigt wird oder nur, wenn im Systray das gelbe Schlosssymbol gezeigt wird?
Die Datei an sich ist immer geschützt. Wenn Sie jedoch in Password Depot geöffnet und entsperrt ist, können Personen mit Vollzugriff auf Ihren Rechner (z.B. wenn Sie in die Mittagspause gehen) die Informationen in der Datei sehen. Das lässt sich verhindern, indem Sie die Datei manuell sperren oder eine automatische Sperrung einstellen.
Wenn das gelbe Schloßsymbol in der Taskleiste angezeigt wird, wurde die Datei geschloßen und Password Depot gesperrt (d.h. um an die Informationen in der Datei zu gelangen, wird erneut das Master-Kennwort benötigt).
at-biker wrote:Wird die Datenbankdatei in den PC geladen und dort geöffnet oder ist die Datei über die Cloud bzw. den USB-Stick geöffnet?
Im Fall der Cloud wird eine lokale Kopie der verschlüsselten Datei heruntergeladen und diese anschließend in Password Depot entschlüsselt. Im Fall des USB-Sticks ist das Verfahren dasselbe, wie wenn Sie eine lokale Datei öffnen.
at-biker wrote:Und auch die Frage, ob man den Verschlüsselungsalgorithmus ändern kann, drängt sich auf. (...) das Tool oclHashcat-plus wurde anscheinend bisher nur für das Knacken der AES - Verschlüsselung bei TrueCrypt und anderen Verschlüsselungsprogrammen erfolgreich eingesetzt.
Hiermit beziehen Sie sich vermutlich auf diese Meldung. Dabei geht es nicht um eine vermeintliche Schwachstelle in AES, sondern darum, dass oclHashCat-plus erstmal nur für AES ausgelegt wurde und dort die maximale Knack-Geschwindigkeit erreicht hat.

Diese Meldung kann so nicht direkt auf Password Depot übertragen werden. Bei OpenSource Programmen wie TrueCrypt liegt der Quellcode offen, was dazu führt, dass Tools wie Hashcat optimal angesetzt werden können, um die maximale Anzahl an Versuchen pro Sekunde zu erzielen. Password Depot Kennwörterdateien werden zusätzlich zu Ihrem Master-Kennwort noch mit einem zusätzlichen Schlüssel verschlüsselt. Das verhindert, dass Kennwörterdateien ohne weiteres in anderen Programmen geöffnet werden können. Selbst wenn das jemandem gelingen sollte, muss er dann immer noch Ihr Master-Kennwort knacken. Und wie wahrscheinlich das ist, können Sie hier lesen:

http://www.password-depot.de/know-how/b ... griffe.htm

at-biker
Expert
Expert
Posts: 51
Joined: December 10th, 2011, 1:46 am
Location: Südhessen/Odenwald

Re: PWD7: Sicherheit + Verhalten Topleiste

Post by at-biker » March 27th, 2014, 12:43 pm

Hallo Stefan vom AceBit Team,

vielen Dank für die ausführliche und vor allem vom Ergebnis her sehr beruhigende Antwort. Leider habe ich sie erst heute gefunden, da ich annahm, wie bei vielen Foren per Email von einer Antwort informiert zu werden. Ich habe eher zufällig mal rein geschaut und wollte nochmals die Suche bemühen.

Was das Thema AES und Knacken von TrueCrypt betrifft, so ist die Sache jetzt klar. Trotzdem wäre es schön, noch die Info zu bekommen, ob man die Verschlüsselung in Password Depot auch ändern kann und ggf. wie. Gefunden habe ich erst mal keine Möglichkeit hierzu, aber gelegentlich gibt es ja noch Kommandozeilen-Befehle bzw. Parameter . . . .

Ich war übrigens auch derjenige, der vor etwas 2 Jahren auf das Zucken der Topleiste hinwies (Beiträge von at-biker aufrufen), was man dann bei AceBit auch nachvollziehen konnte und wo man mir versicherte, auf Abhilfe zu sinnen. Es ist sogar so, dass oft nach Aufruf der betreffenden Internetseite, z. B. einer Bank, nach dem Zucken die Gruppe und damit auch der Eintrag geändert sind und neu ausgewählt werden müssen.

Heute ist es immer noch so, dass das massiv geschieht, auf allen unserer 3 Notebooks und 2 Tower-PCs mit unterschiedlichen Windows 7 Versionen (Home/32Bit und Prof./64 Bit). Alle sind mit allen Updates und Patches versorgt. Und wir haben ja seit meinen Beiträgen zu diesem Thema einige PWD-Überarbeitungen gehabt. Ich bleibe ja beim PWD, weil es für mich die momentan sicherste Variante solcher Programme ist, aber es interessiert mich, ob das Thema aktiv verfolgt wird und einst einmal Abhilfe erfolgt.

Viele Grüße
Reinhold

User avatar
Stefan (AceBIT Team)
Guru
Guru
Posts: 423
Joined: June 4th, 2013, 5:19 pm

Re: PWD7: Funktionsweise hinsichtlich Sicherheit

Post by Stefan (AceBIT Team) » March 28th, 2014, 11:04 am

Hallo Reinhold,

es gibt eine Option für das automatische Benachrichtigen per E-Mail über neue Beiträge, jedoch muss diese Option manuell aktiviert werden (unter Optionen, wenn Sie auf Vollständiger Editor geklickt haben). Da solche Benachrichtigungen oft unerwünscht sind, ist diese Option standardmäßig deaktiviert.

Die Verschlüsselung kann in Password Depot 7 nicht geändert werden, es wird alles mit AES-256 verschlüsselt.

Bezüglich der Top-Leiste müssen wir nochmal bei unserer QS nachfragen, welches der aktuelle Stand ist.

Post Reply