Freeware Passwort Manager von WinFuture-Leser

heiksi, ein regelmäßiger WinFuture-Poster, hat ein kleines Password-Manager-Tool entwickelt und es per News-Submit Ihnen zur Verfügung gestellt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++--

cool.....Gestern noch am Boden und heute es programm vorstellen.....SUPER

[o2] am ++--

@lutz - wie gestern noch am Boden? Du sprichst in Rätseln????

[re:1] am ++--

Antwort auf den Kommentar von maltiBRD
Er meint wohl das mit dem Korb von ner Freundin gestern.

[o3] am ++--

Das ist ja alles schön und gut, finde es auch toll, wie sich die User hier engagieren, aber trotzdem wären gerade bei so einem password-wallet interessant zu erfahren in welcher Form die Daten auf dem Rechner abgelegt werden und welche Verschlüsselung angewandt wird - sonst hat das alles wenig Sinn.

[o4] am ++--

@Lutz1965: das nennt man krisenmanagement, nicht wahr ?

@ maltiBRD: ich bekam vorgestern einen korb von der hübschesten und nettesten frau der welt. aber keine sorge, spätestens in 2 jahren bin ich drüber hinweg.

@deepthought2: die daten werden so verschlüsselt, dass es absolut unmöglich ist, dort einzusehen. ich wende dabei kein herkömmliches verfahren an.

falls wer verbesserungsvorschläge oder beschwerden hat, bitte immer her damit, ich werd das tool gern noch für euch verbessern.

[o5] am ++--

@maltiBRD : Damit müßte Deine Frage beantwortet sein !!!!!

[o6] am ++--

jo dass hatte ich nicht mitbekommen - ja die bösen Frauen

[o7] am ++--

@heiksi...habe das programm mal runtergeladen und installiert......ist das programm wirklich von Dir....????

[re:1] am ++--

ich schwöre !

[o8] am ++--

Woher weiß ich, dass die Passwörter nicht zufällig an heiksis Rechner fliegen? o.o

[re:1] am ++--

ich dachte mir schon, dass sowas kommt. installier dir ne firewall, die würd sich gleich melden, wenn das tool versucht, aufs netz zuzugreifen. ansonsten, wenn du mir nicht vertraust, benütz es lieber nicht. aber ich garantiere, versichere, schwöre, bestätige, usw. dass die passwörter auf deinem rechner bleiben und nirgendwo anders hinwandern (auch nicht hinfliegen oder dergleichen).

[o9] am ++--

hehe der war gut :D

[10] am ++--

@heiksi: Es befinden sich stets Schlüssel und verschlüselte Daten auf dem Rechner - knacken ist also kein Problem. Deshalb solltest du es mal so regeln, dass man selbst ein Passwort eingeben muss - und damit wird dann die Liste der Passwörter ver- bzw. entschlüsselt. Auch gut wäre z.B. eine Datei mit dem Schlüssel, die dann auf 'ne Diskette gepackt werden kann - als gute Sparvariante von Smartcards. BTW, welche Verschlüsselung, Hash, welches Coding usw. hast du gewählt? Will ja nicht gleich alles disassemblen...

[11] am ++--

Sieht mir schon sehr Profihaft aus die Seite......Deshalb habe ich mal nachgefragt, ob das Programm wirklich von Dir ist, heiski.............

[12] am ++--

@heiksi: die tatsache, dass du kein anerkanntes verfahren wie z.B. RSA benutzt, ist bereits eine Sicherheitslücke. Um einigermaßen sicherzugehen, dass dein Verschlüsselungsverfahren "absolut unmöglich" zu knacken ist, solltest du dieses Verfahren schnellstens veröffentlichen, damit andere Leute (wie ich z.B.) die Methode auf Schwachstellen überprüfen können.
Ich nehme an, dass du einen symmetrischen Codierer benutzt und hoffe, dass es ebenfalls ein Blockchiffre mit zufälligen Werten ist.
Und selbst das ist mit relativ wenig Aufwand zu knacken, wenn der Algorithmus und die Methode unzureichend implementiert ist.
Ich habe mich einige Jahre mit Kryptographie und Kryptologie beschäftigt, und biete dir hiermit an, meinen Rat zu befolgen und die Methode zu Veröffentlichen.

[re:1] am ++--

Antwort auf den Kommentar von Cipher.....er hat es nunmal geschrieben. Und wie und in was er es gemacht hat, ist doch egal....Wer meint er muß es haben, der nimmt es sich....und wer es nicht will, läßt es bleiben.........

[13] am ++--

Sieht mir schon sehr Profihaft aus die Seite......Deshalb habe ich mal nachgefragt, ob das Programm wirklich von Dir ist, heiski.............

[re:1] am ++--

hey Lutz, hiermit ernenne ich dich zu meinem lieblings-kritiker ! :)

[re:2] am ++--

Antwort auf den Kommentar von Lutz1965......Danke, heiksi..Das ist supi nett von Dir........

[14] am ++--

ok ok, "absolut unmöglich" ist wohl etwas übertrieben. sagen wir mal unmöglich für den normalverbraucher. schließlich gibts ja auch leute, die z.b. einen keygen für windows xp rausbringen und dergleichen. die einzige chance besteht aber halt nur darin, das programm zu disassemblen und schritt für schritt durchzugehen, und das muss aber erst mal einer zambringen. ich will nicht alles verraten, ich kann nur sagen, das die verschlüsselung bei jedem user ein bisschen anders ist, da per zufall aus verschiedenen verschlüsselungsverfahren ausgewählt wird und auch mit weiteren zufallszahlen gearbeitet wird. ausserdem werden die passwort-daten bei jeder kleinsten änderung allesamt neu verschlüsselt.

[15] am ++--

schön, dass du darauf eingehst. dennoch solltest du das verfahren veröffentlichen, wenn du vertrauen gewinnen willst. es geht hier ja auch nicht darum, dass der normalverbraucher nicht an die passwörter rankommt, sondern, dass derjenige, der an die passwörter rankommen will, aber nicht darf, da nicht rankommt!
du bietest schließlich mit deinem programm an hoch-vertrauliche daten zu speichern, und an solche daten, sollten andere nicht rankommen.
der erste fehler, den man dabei immer macht ist, dass man denkt, es sei für einen Normalverbraucher nicht möglich an die Daten ranzukommen.
und wenn es tatsächlich mit einem disassembler möglich ist an die daten ranzukommen, dann hättest du dir diese verschlüsselung schonmal sparen können.
die, die ein interesse an den daten haben, werden nämlich mit sicherheit nicht das Disassembling außer acht lassen.

[re:1] am ++--

danke für deinen rat. es ist mir bewusst, dass das tool hochvertrauliche daten verwaltet und ich hab auch mein bestes versucht, um diese entsprechend zu schützen und ich vertraue darauf, dass mir das auch recht gut gelungen ist. aber ich werde mir deinen ratschlag auf jeden fall zu herzen nehmen. nochmals danke für deine kritik !

[16] am ++--

Mein Vorschlag mach ne kleine Seite mit nem Gästebuch. und entwickel das Tool weiter.
Erstens: lernt man dabei unheimlich viel.Programmierer wie tester
zweitens:schön mal was zu haben das nicht von einer Firma stammt.

[re:1] am ++--

ich hab auch schon einige ideen zur weiterentwicklung, z.b. fehlgeschlagene logins anzeigen, usw. ich meld mich, wenns soweit ist. ich arbeite aber auch schon am nächsten tool, einem maschinenschreibkurs - ebenfalls freeware.

[17] am ++--

Also ich finde dein Tool wirklich ausgezeichnet. Klein, übersichtlich und kann alles ! Ich hab Shareware-Produkte dieser Art gesehen, die waren weit nicht so gut ! Werde den Password-Manager sicher nutzen. Mach weiter so, Heiksi ...

[18] am ++--

Danke für die Mühe und den ganzen Zeitaufwand der hinter der Software steckt.
Ich finde es klasse, dass es auch heutzutage, wo jeder Furz im Web Geld kostet (Im Vergleich zu früher) noch genug nette, engagierte Menschen gibt die Software kostenlos zur Verfügung stellen.

[re:1] am ++--

meine Rede

[19] am ++--

Danke Jungs in diesem file auf eurem server war der wurm drinnen
der download löste w32blaster aus danke vielmals

[20] am ++--

@ noone.....ist klar der wurm verbreitet sich zwar nicht über Dateien...aber egal

[21] am ++--

@ heiksi: womit werden denn jetzt die daten verschlüsselt????

welcher algo?

[re:1] am ++--

naja, den genauen algo kann ich hier natürlich nicht angeben. vielleicht schaust du dir ein paar vorherige kommentare an, da hab ich ein wenig dazu geschrieben. jedenfalls sollten deine daten sicher sein. ich hab mal ein tool in java geschrieben, das speziell zum verschlüsseln von datein war, daraus hab ich meine routinen entnommen und ein wenig modifiziert.

[22] am ++--

@noone ... sorry, aber den wurm hast du dir woanders eingefangen. der download ist 100% wurm- und virusfrei.

[23] am ++--

@noone - also der Download ist astrein !!! Ich hab das Tool jetzt mal getestet und für schwer in Ordnung befunden. Ich hoffe, dass die Aktion hier auch bei anderen Winfuture-Lesern Schule macht.

[24] am ++--

wieso kannst du den genauen algo hier nicht nennen???
ist er von dir??
sorry, aber das deutet jetzt immer mehr auf 'snake-oil' hin.
sag halt welchen. nur DAS bietet wirkliche sicherheit.

[re:1] am ++--

schau mal xdestroy, wenn ich hier alles ausplauder, dann hätt ich mir die ganze arbeit ja sparen können. ich hab ein paar methoden in die verschlüsselung eingepackt, von denen ich mir denke "muahahah, viel spass beim entschlüsseln !". und das möcht ich natürlich doch irgendwie für mich behalten. wenn mir noch verbesserungen einfallen, so werd ich sie in die nächsten builds einbauen, wobei man stets die gespeicherten daten problemlos übernehmen kann. naja, aber damit ich dich nicht mit null info hier stehen lasse, was den algo betrifft, sag ich dir noch eine kleinigkeit (dann aber schluss ! :) ) jedes wort (master-pwd, account, userid, ...) wird mit einem anderen algo verschlüsselt.

[25] am ++--

achja: die seite vom heiksi is übrigens geil (und die anderen von ihm(...) auch.).
sieht schick aus.

[re:1] am ++--

dange !

[26] am ++--

habs ma installiert. welche algo isn jetz dahinter?
und: warum soll ich keine desktop-verknüpfungen machen?

[re:1] am ++--

weil ich noch was einbaun muss: ein fixes directory aus der registry auslesen, in dem die daten gespeichert werden. bzw. ich weiss noch nicht, ob ichs so machen soll, dass sich der user beim ersten start von password manager selbst ein directory aussuchen soll, in dem die daten gesichert werden. was würdest du denn bevorzugen ? derzeit ist es so, dass die daten dort gespeichert werden, von wo du das proggy startest, d.h. wenn du eine verknüpfung am desktop machst, dann werden die daten auch am desktop gespeichert, und das ist nicht recht schön. das zu ändern, ist im prinzip kein problem, nur eine frage der zeit. die nächste build kommt eh in ein paar tagen. dort kannst du wie gesagt, die bereits gespeicherten daten problemlos übernehmen.

[27] am ++--

hui. nick geändert????

achja: welche algos denn?????
denn gerade wenn es deine eigenen sind, ist es kaum sicher.
das mit den verschiedenen algos ist clever.
und welche kommen nun zum einsatz?
ich möchte nicht wissen, welcher wofür, sondern nur welche allgemein verwendet wurden. das dürfte kaum die sicherheit beeinträchtigen, wenn du einen einigermaßen sicheren algo genommen hast.

[28] am ++--

also von der vwendung muss man doch echt abraten, wenn man nicht einmal weiss, welcher algo dahinter steckt.
denn erst dann, kann man sich sicher sein.

[re:1] am ++--

naja, obs wer verwendet, muss natürlich jeder für sich entscheiden. aber weisst du denn bei anderen password-managern oder ähnlichen tools den genauen algo ?

[29] am ++--

na toll, oTool ist mein kleiner doofer bruder. hab nicht gemerkt was der hier wieder angestellt hat. sorry, werd mich gleich abmelden !

[30] am ++--

so, jetzt bin ichs wieder. das kommt davon, wenn man noch zu haus wohnt ...

[31] am ++--

^^
und welcher algo?

[re:1] am ++--

du bist nicht leicht zufrieden zu stellen, nicht wahr ? :)

[32] am ++--

übrigens: auf der seite www.bigwig.at könnt ihr mich sehen (falls das wirklich jemanden interessieren sollte), das is nämlich meine band.

[33] am ++--

nope. sicherheit ist die mutter der porzellankiste^^
jop. bei allen managern die ich kenne weiss ich den algo. damals bei meinem ersten wars DES, und bei dem danach RC4. RC ist übrigens besser als man glaubt. Ich halte ehrlich gesagt recht viel davon.
Naja. Ähm. achja: danach die meisten (ich glaub waren drei oder vier, wovon ich keinen mehr benutze, weil sie zu umständlich/langwierig zu bedienen waren) benutzen AES. Eigentlich auch klar.
Ich hab selbst mal ein encrypto proggi geschrieben, weil ich ein paar sachen ausprobiern wollte. wegen dem offenen source, nahm ich logischerweise blowfish. naja. weil deiner eben so simpel is, find ich ihn ganz interessant. da sicherheit aber bei mir stufe 10 hat, möchte ich gerne wissen, welchen du in deinem proggi verwendest. und wegen der sicherheit: wie gesagt, wenn du jetzt einen einigermaßen sicheren algo genommen hast Und davon geh ich eiigentlich jetz ma aus), dann dürfte das herausgeben solcher infos keine gefährdung der sicherheit darstellen. tun sie auch nicht. selbst die nsa könnte da im grunde nicht ran. (ab ca. 100 bit)

[re:1] am ++--

ich seh schon, du bist in der richtung gar nicht auf den kopf gefallen. schön langsam vermute ich, dass der cia hinter dir und deinen passwörtern her ist ! deine angst vor fremdzugriff ist ja schon halbwegs krass ! ich hoff du bist nicht sauer auf mich, aber mehr als ich momentan hier über die verschlüsselung gesagt hab, möcht ich nicht verraten. wenn du dich unsicher fühlst, ist es vielleicht besser, du verwendest diesen pwd-manager nicht. ich möcht jedenfalls nochmal betonen, dass sich der user von meinem tool sicher fühlen kann, und sich echt keine sorgen machen soll, dass jemand fremder in die daten einsehen kann.

[34] am ++--

nun gut. dann belassen wir es dabei, und ich folge deinem rat^^
ich denke das für mich und meine passwörter deutlich sicherer.
durch aes, dem weltweiten standard, fühle ich mich (und bin ich theo. auch) sicherer.

schließelich gehts hier um ein programm das sämliche paswörte mit sich trägt.
dahinter speicher ich bankkartennummern/pins/log-in daten. da möchte ich gewisshafte sicherheit.

[35] am ++--

@XDestroy: meine Rede!
@heiksi: Es geht hier nicht darum, dass der CIA oder NSA oder sonst wie sie alle heißen hinter einem her ist. Es geht eben darum, wie ich schon mal weiter oben gesagt habe und wie XDestroy es auch noch mal gesagt hat, dass dein Proggy dazu da ist hoch-vertrauliche Daten zu speichern, und mit solchen Daten sollte es auch hoch-vertraulich umgehen!
Gerade in der heutigen Zeit (siehe W32.Blast) ist Vorsicht angesagt. Ich hab nämlich absolut keine Lust darauf, dass sich bei mir ein Trojaner einschleicht, mir die Dateien klaut, in denen meine Passwörter stecken, und sie mit Hilfe eines Disassemblers und bisschen Tüftelei in null-komma-nix entschlüsselt und einsetzt.
Da du deinen Algo nicht preisgeben willst, bedeutet das für mich automatisch, dass dein Algo vollkommen unsicher ist. Weil du wahrscheinlich befürchtest, dass wenn man deinen Algo erstmal bis ins Detail kennt, dann kann man die Daten durch Reverse Engineering decodieren.
Wenn das so ist, dann kann ich meine Passwörter auch gleich mit Notepad speichern. Bietet mir genau so viel Sicherheit.

Mein Tipp an dich: Befasse dich mal ein bisschen mit Public Key Verfahren. Nimm eine Implementation von RSA (dafür gibt es sehr viele Informationen und Sources im Internet) und handhabe es so, dass du die Dateien mit dem Public Key des Benutzers codierst und mit dem Private Key, den der Benutzer jedes mal eintippen sollte, wenn man den Password Manager startet, werden die Daten decodiert.
Und Vorsicht beim Cachen von Private Keys! Denk auch an die Leute, die sich Computer mit anderen Teilen müssen. Und damit meine ich nicht nur innerhalb deiner Familie.

[36] am ++--

YEP! 'Ich schließe mich den Worten meines Verteidigers an' *ggg*

Aber mal im ernst: Genau so seh ich das auch. So lange du deinen Algo nicht freigibst, ist dass das unsicherste überhaupt. Es gibt genug Sources nach denen du dich richtien kannst, um dein Programm sicherer zu machen. Daher werd ich vorerst bei Steganos & co bleiben.Sry.

cu