KeePass 0.97a - Passwort-Manager Free

Software Dieses Tool ist ein Open-Source Passwort-Verwaltungstool, das sich zunehmender Beliebtheit erfreut. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Liegt aber durch OpenSource nicht auch der Verschlüsselungsalgorithmus offen und kann somit leicht geknackt werden? Das Programm verwendet die Verschlüsselungsverfahren Twofish (abgewandelte Form des meines Wissens bis jetzt noch nicht geknackten Blowfish) und AES. Der Passwort Hash wird mit bis zu 512 bit mit SHA-2 verschlüsselt. Wenn also nicht das oben genannte Problem wäre, würde das entschlüsseln mehrere tausend Jahre dauern ^^.
 
@-=imp@ct=-: "Verschlüsselungsalgorithmus offen und kann somit leicht geknackt werden?" Nein eben nicht, das genau unterscheidet einen richtigen Versachlüsselungsalgorithmus von irgendwelchen Buchstabendreherprogrämmchen :-)
 
@-=imp@ct=-: Man spricht hier von dem Sprichwort "Security by Obscurity", welches fälschlicherweise vermitteln soll, dass geheimgehaltene Algorithmen sicherer als offen zugängliche sind. Jeder Algorithmus, welcher heutzutage als sicher gilt (es gibt keine effektive Attacke, welche nur unwesentlich effektiver ist als Brute Force) , liegt offen und konnte somit von Experten aus der ganzen Welt überprüft werden. AES z.B. wurde nach seiner Veröffentlichung während 4 Jahre von unabhängigen Experten weltweit analysiert, bevor er von der NIST als Standard aufgenommen wurde. Noch etwas zu SHA 2: SHA ist nicht ein Verschlüsselungsalgorithmus, sondern eine Hash-Funktion. Wenn du ein Passwort verschlüsseln willst, brauchst du logischerweise wieder ein Passwort, welches wieder nur duch Geheimhaltung gespeichert werden kann, was dem Open Source Konzept einen Strich durch die Rechnung macht. Eine Hash-Funktion hingegen berechnet einen Hash, einen Fingerabdruck, des Passwortes und berechnet und vergleicht diesen dann bei jeder Passworteingabe von neuem, womit die Sicherheit gewährleistet ist. Aus diesem Hash kann ebenfalls nur durch Brute Force Attacke das Passwort zurück errechnet werden.
 
soweit ich weiß, liegen sehr viele Verschlüsselungsalgorihmen frei im Internet zur Verfügung. Sei es Blowfish oder MD5. Das liegt daran, dass man sie nicht knacken kann,, außer durch eine Brutforce Attacke (also ausprobieren). Und das kann, wie du schon gesagt hast, bei langen Passwörtern, schon seine Zeit brauchen...womöglich Jahre
 
@Witi: Die Begriffe "frei im Internet zur Verfügung" und "Algorithmus offen einsehbar" darfst du nicht vergleichen. Ein frei verfügbarer Algorithmus muss deshalb nicht sicher sein, ein Algorithmus hingegen, welcher von Experten vollständig überprüft werden konnte, gilt hingegen als sicher. MD5 ist kein Verschlüsselungsalgorithmus, sondern wie SHA auch, ein Hash-Algorithmus, welcher aus einer beliebigen Zeichenfolge, sei es ein Passwort oder eine Datei, einen Fingerabruck errechnet.
 
Könnte man nicht mit einem Trojaner die Passworteingabe aufzeichnen, wenn ein derartiges Programm aufgerufen wird.
Und die Ausgabe evtl. über eine Grafikanalyse des (Monitor)Ausgabebildes herausbekommen?
 
@modelcaster: ja das wäre möglich :) ... oder per tastenspionen die in die tastatur eingebaut werden => aber solche fälle sind gering, ich merke mir meine passwörter immer noch selbst, und nich so wichtige passes stehen auf einem gut verstauten notizzettel...
 
@modelcaster: Mit einem ganz normalen Keylogger ist das kein Problem. Aber da ist es egal, ob man so ein Passwort-Tool benutzt oder nicht. Da hilft nur ein guter Virenscanner und eine Firewall.
@du ciel: Notizzettel tztz ^^. Aber bei uns in der Firma sehe ich sowas dauernd. Aber andere Firmen sind da noch viel besser: Die hälfte der Mitarbeiter hatte das selbe Passwort - nämlich den Namen der Firma im Haus gegnüber (war ein riesiges Transparent mit dem Firmennamen drauf am Haus befestigt). Dann hat die Firma konkurs gemacht und keiner wusste mehr sein Passwort. =)
 
Ich verstehe zwar nicht, was du mit einer Grafikanalyse meinst, aber normalerweise dürfte so ein Trojaner nix machen können, weil die Sachen ja verschlüsselt werden. Es sei denn, du hattest den Trojaner schon drauf, bevor du das Prog installiert hast
 
@Witi: Der Trojaner könnte auch den Datenverkehr loggen. Das Log wird dann über eine SMTP-Routine zum Hacker geschickt. Dann müsste das nur noch analysiert werden und schon hat er das PW.
 
Ich meine das in der Art als wenn nach dem Start des Programmes z.B. im Sekundentakt Screenshots gemacht werden
Anhand von statischen Merkmalen des Fensters können die Felder
identifiziert werden, und dann die Grafik ähnlich einer Texterkennung auf die Passwörter analysiert werden.
Auch von diesen Passwort und Kreditkartennummersicherungsfuntionen in Firewalls, wo man diese direkt eingeben soll halte ich nichts.
 
Schleppe das Programm auf'm USB-Stick mit mir rum, um meine Passwörter nicht auf allen möglichen Rechnern lokal speichern zu müssen. Super Sache das. Und apropos Keylogger: Passes, die ich vom Notizzettel 'zu Fuß' in ein Formular einhacke, kann ich nicht aufzeichnen ?? Hä ?? Guten Morgen !!
 
@z@pp@: Erkläre mir das bitte. Ich verstehe deine Einwände irgendwie nicht.
 
@=imp@ct=: Wenn Du Dir wirklich'n Keylogger eingefangen hast, bist Du mit Notizzettel und manueller Eingabe von Passwörtern gefährdet, da Deine Eingabe aufgezeichnet und ggf. submitted wird. Mit KeePass bist Du sicherer, da die Eingabe über das Clipboard erfolgt, und das wird von Keepass nach der Eintragung gelöscht. Allerdings darfst Du kein Tool im Hintergrund laufen haben, das das Clipboard loggt (YC o.ä.).
 
@z@pp@: Das war verständlich. Ich wars aber nicht, der mit dem Notizzettel angefangen hat. Ich hab nur gesagt, dass das viele Leute leider noch nicht verstanden haben. Und ich hab das mit dem Keyloggern auch weiter oben schon mal erwähnt. So ein PW-Tool nutze ich privat auch. Hab mich also schlecht ausgedrückt. sry
 
@=imp@ct=: Ich meinte mit meinem comment ja auch nicht speziell Dein re, sondern den gesamten thread darüber /*gut verstaute Notizzettel...*/
 
Das ist OpenSource und gerade deshalb enorm sicher. Es stimmt, der Verschlüsselungsalgo ist öffentlich, aber du musst imemr noch das Masterpass eingeben um an die Daten zu kommen. Selbst mit der Datenbank und den Sourcen kommst du nich an die Daten.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen