Hallo,
ich möchte meine Passwörter in einer App zbsp.Passwort Saver, speichern.
Wie sicher schätzt ihr die ein.
Ein sicheres Passwort natürlich vorraus gesetzt.
Vielen Dank
Hi …
Hallo,
ich möchte meine Passwörter in einer App zbsp.Passwort Saver,
speichern.
Wie sicher schätzt ihr die ein.
Was willst Du hören? Meiner Meinung nach ist das wie alles was bequem ist:
- unsicherer als wie wenn Du Die alle Passwörter merken würdest
- Unter Umständen unsicherer wie ein Postit in der Schreibtischschublade (die kann man übers Netz nicht aufmachen)
Ein sicheres Passwort natürlich vorraus gesetzt.
Das nützt Dich wenig, wenn Du den Angreifer per Keylogger bereits am PC hast, im Gegenteil, Du servierst ihm dann alle Passwörter auf dem Silberteller.
Abgesehen davon weißt Du nicht, ob Du dem Autor des Programms vertrauen kannst, und - sofern er den Komfort automatischer Updates bietet - ob Du ihm in alle Zukunft vertrauen kannst --> Open Source, und selber compilieren.
Ich selbst muss mir meine 1000 Passwörter auch aufschreiben, aber ich habe mich bewusst gegen ein spezialisiertes Tool entschieden - weil sonst jedem kundigen Angreifer sofort klar ist, wo er ansetzen muss. Ich verwende einen USB Stick mit PIN Sicherung (Imation Nano, das Aufsperren erfolgt über ein installationsfreies Progrämmchen das in einem unverschlüsselten Teil des Sticks immer mit dabei ist), und speichere die Passwörter da drauf in einer ganz gewöhnlichen Textdatei.
Die Lösung hat auch ihre Schwächen, aber unterm Strich bin ich damit, denke ich, halbwegs sicher unterwegs. Sie hat unbestreitbar den Vorteil, dass ich darauf nicht nur Passwörter speichern kann (sondern auch, z.B. die Private Keys meiner Zertifikate, die Keydateien meiner Telebanking Software, usw), und den Nachteil dass der Komfort der automatischen Eingabe in diverse Login-Masken nicht gegeben ist.
Das würden Andere allerdings bereits als Sicherheitsrisiko sehen, weil der automatische Passworteingabeknecht wahrscheinlich leicht dazu zu bewegen ist, die Passwörter an gefakte Seiten herauszurücken.
Und für eine Handvoll Dollarscheine gäbs auch Sticks mit integrierter PIN Eingabe, wo man nicht von einem Programm abhängig ist (welches z.B. unter Linux und OSX nicht läuft), letzhin hat mir jemand geflüstert, dass man diese Sticks „C3 Sticks“ nennt. Hab ich bisher nicht in die Hand genommen.
Armin.
Die Sicherheit ergibt sich aus dem mathematischen Produkt (jeweils in %, 100% ist das theoretisch erreichbare Maximum) der Sicherheit des verwendeten Verschlüsselungsverfahrens mal der Sauberkeit der Umsetzung mal der methodischen Sicherheit (Abgreifbarkeit während der Entschlüsselung) mal der Sicherheit des Bezugsverfahrens (Download) mal der anwenderspezifischen Faktoren. Das Produkt ist immer kleiner, als der kleinste der einbezogenen Faktoren.
Daraus ergibt sich, dass du nur Produkte verwenden solltest, die
- nachprüfbar ein offengelegtes und als sicher bekanntes Verfahren verwenden
- deren Umsetzung nachprüfbar ist (Quellcode offengelegt oder Quellcode von vertrauenswürdiger dritter Seite geprüft
- die du über sichere bzw. vertrauenswürdige Quellen beziehen kannst
- dir Gedanken machen solltest, welche Angriffsvektoren sich daraus ergeben, wie der Passwortsafe das Passwort an eine Anwendung übergibt
Bei Produkten, die diese Kriterien erfüllen, kannst du von einem hohen Maß an Sicherheit ausgehen. Keine 100%, aber mit hoher Wahrscheinlichkeit weit sicherer, als es deinem Sicherheitsbedarf entspricht.
Ich persönlich würde entweder den Passwort-Gorilla oder Bruce Schneiers Password Safe verwenden - wenn ich sowas verwendete. Wobei der Passwort-Gorilla die Passwörter über die Zwischenablage übergibt. Und die kann erstens jeder auslesen, zweitens fügt man die Zwischenablage gelegentlich auch an Stellen ein, wo man das Passwort eher nicht sehen will…
HTH