Passwort Manager Verständnisfrage

[Neuhier]

Hi, was übersehe ich bei den Passwort Managern (PM)? Der PM wird doch am PC abgespeichert. Darin sind sämtliche Passwörter gespeichert. Zum Öffnen wird das Passwort für den PM verwendet. Da reicht doch ein Keylogger am PC, der das eingegebene Passwort mitprotokolliert. Dann sind ja gleich sämtliche Passwörter zu den dazugehörigen Konten offengelegt. Wo liegt mein Denkfehler?

 

LG

[BTCinvestor]

Ein Angreifer bräuchte dann eben noch zugriff auf die PW Datenbank.

Ein einfacher Keylogger reicht da nicht.

[Matchbox]

Ein Offline-Gerät (altes Mobiltelefon, altes Laptop) kann man hervorragend für sensible Dinge nutzen.
2FA Authenticator, PW-Manager. Man könnte auch Private Keys stumpf als Text-File speichern. Wer Angst vor Einbrechern hat nennt das File halt "Weihnachten 2011 mit Tante Elfriede 381.jpg"
 

[Neuhier]

@BTCinvestor dachte da auch wirklich an den Worstcase. Keylogger greift Passwort ab und Hacker hat Zugriff auf Pc und krallt sich die Datenbank oder macht Screenshot oder was auch immer. Dann wäre meine Annahme also schon korrekt?!

 

@Matchbox Offline sehe ich da auch null Probleme. Dann kann ich aber die Vorteile des PM nicht nutzen. Also z.Bsp. eintragen der Anmeldedaten automatisch. Denn ein Passwort vom PM erstellt, dann händisch wieder irgendwo eintippen empfinde ich dann nicht als besonders praktisch.

 

LG

[..::. o.Z.o.n.e .::..]

vor einer Stunde schrieb Neuhier:

praktisch

versus

      sicher

Bitte immer selbst abwägen, was denn wichtiger ist. ;o))

[skunk]

vor 9 Stunden schrieb Neuhier:

Hi, was übersehe ich bei den Passwort Managern (PM)? Der PM wird doch am PC abgespeichert. Darin sind sämtliche Passwörter gespeichert. Zum Öffnen wird das Passwort für den PM verwendet. Da reicht doch ein Keylogger am PC, der das eingegebene Passwort mitprotokolliert. Dann sind ja gleich sämtliche Passwörter zu den dazugehörigen Konten offengelegt. Wo liegt mein Denkfehler?

 

LG

Die Lösung dafür lautet 2FA. Wenn es so sicher wie möglich sein soll dann in Form eines YubiKey

[Sophopt]

vor 11 Stunden schrieb skunk:

Die Lösung dafür lautet 2FA. Wenn es so sicher wie möglich sein soll dann in Form eines YubiKey

Das ist natürlich eine großartige Idee. Allerdings bin ich mir unsicher, wie genau Verschlüsselungsprogramme, die ihre Datenbank durch 2FA sichern, einen neuen Schlüssel mithilfe von 2FA berechnen könnten. Es scheint mir, dass so etwas leicht umgangen werden könnte, da bei 2FA in der Regel keine Daten übertragen werden, mit denen man einen neuen Schlüssel berechnen könnte.

[Sophopt]

Man könnte ggf. einen neuen Schlüssel aus dem Wiederherstellungscode der 2FA berechnen, der im Passwortmanager hinterlegt ist. Keine Ahnung, wie der kryptografisch gesichert werden kann, damit ihn niemand abgreifen kann.

[Neuhier]

Danke für die Antworten! Noch eine letzte Frage bzgl. 2FA. Wenn man den PM für Seiten verwendet die 2FA unterstützen, z.Bsp. Bitpanda und das 2FA getrennt über Handy läuft, müßte das ganze doch relativ sicher sein? Sollte PM Datenbank und PW gestohlen werden, fehlt ja immer noch der 2. Faktor. Sehe ich das richtig?

 

LG

[skunk]

vor einer Stunde schrieb Sophopt:

Das ist natürlich eine großartige Idee. Allerdings bin ich mir unsicher, wie genau Verschlüsselungsprogramme, die ihre Datenbank durch 2FA sichern, einen neuen Schlüssel mithilfe von 2FA berechnen könnten. Es scheint mir, dass so etwas leicht umgangen werden könnte, da bei 2FA in der Regel keine Daten übertragen werden, mit denen man einen neuen Schlüssel berechnen könnte.

Das ist im Grunde unerheblich. In der Passwortdatenbank sind zwar hoch komplexe aber sich nicht verändernde Passwörter gespeichert. Beim Login auf der Webseite würde ein erweiterter Keylogger der nicht nur die Tastatur überwacht, dass Passwort so oder so einfach kopieren. Er hat dann zwar nicht gleich Zugriff auf die komplette Passwortdatenbank aber es wäre dennoch ein zu großes Risiko. Der Spaß beginnt da wo du den YubiKey einfach überall verwendest wo es geht. Ich habe meinen Kraken Login mit dem YubiKey abgesichert und da kommt dann selbst der Keylogger nicht mehr rein.

[skunk]

vor einer Stunde schrieb Neuhier:

Danke für die Antworten! Noch eine letzte Frage bzgl. 2FA. Wenn man den PM für Seiten verwendet die 2FA unterstützen, z.Bsp. Bitpanda und das 2FA getrennt über Handy läuft, müßte das ganze doch relativ sicher sein? Sollte PM Datenbank und PW gestohlen werden, fehlt ja immer noch der 2. Faktor. Sehe ich das richtig?

 

LG

Tendenziell wäre das schon etwas sicherer aber du musst daran denken, dass dein 2FA Code kopiert werden kann. Was machst du wenn dein Handy einmal runter fällt? Richtig du besorgst dir ein neues und richtest 2FA wieder ein. Und genau das ist ein neues Sicherheitsrisiko. Ein Angreifer kann ebenfalls auf seinem Handy deine 2FA Konten einrichten. Dazu braucht er nur den Schlüssel der bei der Initialen Einrichtung angezeigt wird und den du irgendwo abspeichern musst. Beim YubiKey hast du das Problem nicht. Da ist die übliche Vorgehensweise einfach ein Doppelpack zu bestellen. Ein YubiKey kommt Zuhause in den Schrank und der andere an den Schlüsselbund. Der YubiKey am Schlüsselbund wird ein Fall auf den Boden viel besser überstehen als dein Handy. Und solltest du ihn doch mal verlieren kannst du dir einen neuen Besorgen und mit dem noch vorhandenen YubiKey aus dem Schrank bei allen deinen Accounts hinzufügen.

[Aktienspekulaant]

vor 7 Minuten schrieb skunk:

(....) Ein Angreifer kann ebenfalls auf seinem Handy deine 2FA Konten einrichten. Dazu braucht er nur den Schlüssel der bei der Initialen Einrichtung angezeigt wird und den du irgendwo abspeichern musst.

Diesen Schlüssel bei der initialen Einrichtung muss der Angreifer aber erst mal haben.

Prinzipiell finde ich den Schutz eine Kontos bei z. B. bitpanda (oder auch kraken, coinbase etc) mit starkem Passwort und 2fa auf einem eigenem Handy schon extrem sicher. Ich benutze für 2fa ein eigenes Billigeimer-Handy mit Prepaid-Card, gesichertem Zugang, das ausschließlich für 2fa und banking-apps genutzt wird. Dieses Handy hat seinen festen sicheren Platz zu Hause, wird nicht mitgenommen und da wird auch nichts weiter drauf gemacht. Kein Whatsapp, kein rumgedaddel irgendwelcher Spiele, kein Anruf wird getätigt oder entgegengenommen, es existiert auch keine Kontaktliste auf diesem Handy. Niente.

Klar, das Risiko besteht, dass z. B. die o. g. Börsen gehackt wird und alle Coins aller User auf diesen Börsen "verschwinden". Frage: Wie hoch ist das Risiko? 

 

 

[skunk]

vor 57 Minuten schrieb Aktienspekulaant:

Ich benutze für 2fa ein eigenes Billigeimer-Handy mit Prepaid-Card, gesichertem Zugang, das ausschließlich für 2fa und banking-apps genutzt wird.

So teuer ist ein YubiKey dann auch nicht  

[Sophopt]

Das ganze nützt nichts wenn man zum Beispiel Passwörter von offline Wallets sichert oder eben allgemein Passwörter für die es keine 2Fa Option gibt.

Bearbeitet 11. August von Sophopt