Passwörterverwaltung - was spricht gegen ein verschlüsselte ZIP Datei?

[BalthasarBux]

Wobei man bei Bewertungen im Store echt vorsichtig sein sollte. Einerseits werden gute Bewertungen hinzugekauft, andererseits bewerten da Menschen, die zu keinem klaren Gedanken Imstande sind. Heute erst: Apple Configurator für iOS ("Apple Configurator für das iPhone macht es einfach, deiner Organisation in Apple Business Manager oder Apple School Manager Macs mit einem T2-Sicherheitschip oder mit Apple Chips zuzuweisen, damit die automatische Geräteregistrierung genutzt werden kann." )

Was steht drunter?

(https://apps.apple.com/de/app/apple-configurator/id1588794674)
Sorry fürs leichte Abdriften ins OffTopic.

 

[KOJOTE]

Enpass würde ich nicht mehr nutzen (mach ich auch nicht mehr ). Die haben schon mehrere Bezahlmodell-Wechsel hinter sich und es ging dann immer fix, dass man erst Lifetime-Pro war, aber plötzlich gab es Premium. Da würde es mich nicht überraschen, wenn plötzlich Pro+, Premium+ oder andere Namen mit neuen Features extra kosten.

Stimmt schon. Die Update-Politik der letzten Jahre ist richtiger Mist. Hatte hierzu sogar mal einen Thread eröffnet.
Aber die App läuft auf allen Platformen sehr stabil - zumindest bei mir - und das darf man nicht ausser Acht lassen.

 

[Sharptype]

Moin zusammen,

sehr interessant, was hier geschrieben wird. Ich nutze schon viele Jahre KeePass unter Windows (das Original) und traue mich irgendwie nicht auf KeePassXC umzusteigen :-D (bin von Windows auf Mac umgestiegen).

Lese irgendwie aber nur Gutes und das keiner beim Speichern oder ähnlich bisher Probleme gehabt hat mit KeePassXC?
Nutze halt (ich weiß, ist albern) eine virtuelle Maschine nur damit darin das Original-KeePass laufen kann :-D

Denkt ihr, ich kann ohne Probleme die Datenbankdatei direkt und ausschließlic mit KeePassXC weiterspeichern und die VM mit samt Original-Keepass ein für allemal begraben?

 

[BalthasarBux]

Ja denk ich. Mach halt Datenbankbackups zur Sicherheit. Obwohl die XC glaube ich auch automatisch macht(?)

 

[bowman]

Denkt ihr, ich kann ohne Probleme die Datenbankdatei direkt und ausschließlic mit KeePassXC weiterspeichern und die VM mit samt Original-Keepass ein für allemal begraben?

…duplizier halt einfach die Datenbankdatei und importiere die in KeePassXC, wenn du ganz sicher gehen willst - Backups solltest du davon sowieso immer haben. Ich wüsste nicht, wo es da zu Problemen kommen sollte…

 

[Peacekeeper]

Zusätzlich sollten die von mir genutzten Zugänge kurz- bis mittelfristig im RAM sein, aber nicht meine komplette Datenbank. Natürlich sind nicht alle Passwortmanager so gut. Eine geöffnete ZIP ist da mit Sicherheit weniger geschützt, aber da lass ich mich gern eines besseren belehren.

In der Theorie ist das schon richtig, dass die ZIP-Datei im entschlüsselten Zustand etwas weniger Sicherheit bietet. Aber in der Praxis ist dieser Unterschied unglaublich gering. Ist dein Rechner nicht kompromittiert passiert auch mit der ZIP-Datei nichts. Ist Dein Rechner kompromittiert dann bringt dir der Passwortmanager allerhöchstens ein paar Promille mehr Sicherheit, sobald dein Masterpasswort (bspw. durch Keylogging) abgefischt wird oder der RAM überprüft wird ist es rum.

 

[Franken]

@Peacekeeper
Wie schätzt Du denn die Gefahr ein, wenn der PW-Manager als Browser-Erweiterung genutzt wird?

Das ist für mich der Grund, weshalb ich Dashlane nicht mehr nutzen möchte

 

[Peacekeeper]

Wie schätzt Du denn die Gefahr ein, wenn der PW-Manager als Browser-Erweiterung genutzt wird?

Ehrlicherweise gering. Gerade Browser haben sogar in der Regel ein sehr ausgefeiltes Sandboxing, im Zweifel läuft die Browsererweiterung sogar isolierter als eine Stand-Alone-App auf dem Rechner. Aber auch das ist in der Praxis aus den selben Gründen wie oben genannt nicht wirklich relevant.

Allerdings: Du musst dem Anbieter der Anwendung insofern vertrauen, dass er Dein Surfverhalten nicht zur weiteren Monetarisierung trackt und veräußert. 1Password tut das nicht. Dashlane kenne ich nicht so gut, da die App aber auch zu einem angemessenen Preis vertrieben wird, denke ich, dass das auch nicht getan wird. Was das Trackingverhalten betrifft ist aber 1Password nachweislich vorbildlich, die nutzen auch keinerlei Tracking in ihren Webanwendungen (nur auf ihrer Webseite). Für Dashlane müsstest Du mal recherchieren.

 

[Snow Apple]

Hallo alle innen wie außen,

bisher nutze ich Dashlane und war sehr zufrieden damit, weil es auch eine App gibt, die ich auf dem Taschentelefon und dem Tablett verwenden kann.
Ab Mitte Januar wird Dashlane seine Software abschalten und nur noch Browsererweiterungen anbieten.
Die finde ich unpraktisch weil unübersichtlich und zudem sollen solche Erweiterungen auch unsicherer sein, weil wohl man über den Browser sie hacken kann.

Jetzt suche ich nach alternativen und hab erstmal meine Passwörter heruntergeladen und in eine verschlüsselte ZIP Datei gesteckt.
Die kann ich ja in iCloud hochladen und hätte sie so auch immer dabei.

Was spricht gegen diese Möglichkeit, Passwörter in einer Tabelle, die in einer verschlüsselten ZIP Datei auf iCloud liegt, abzulegen?*



*(... ist der letzte Satz grammatikalisch richtig? - Frage für einen Freund)

Auf deren Internetseite ist nur von der Desktopanwendung die Rede. Da du schreibst, dass du auf dem Telefon und dem Tablet die App nutz: bist du überhaupt betroffen? Liest sich doch so, als wäre für dich alles wie bisher. Wenn du dann mal am Rechner sitzt, dann eben über die Webseite, oder Browser Erweiterung. Somit wäre, wenn wir von Handy/Tablet/PC ausgehen, nur 1/3 deiner Geräte betroffen. Oder stehe ich auf dem Schlauch?

https://support.dashlane.com/hc/de/articles/360017306640-Umstieg-auf-die-Web-App-FAQ#title1.3

 

[bowman]

sobald dein Masterpasswort (bspw. durch Keylogging) abgefischt wird oder der RAM überprüft wird ist es rum.

...bessere Passwortmanager erlauben Zwei-Faktor-Authentifizierung (2FA), z.B. mit einem Yubikey (ja, das funktioniert auch per NFC mit iPhones und Android). Dann reicht einfaches Keylogging nicht mehr...

 

[Peacekeeper]

...bessere Passwortmanager erlauben Zwei-Faktor-Authentifizierung (2FA), z.B. mit einem Yubikey (ja, das funktioniert auch per NFC mit iPhones und Android). Dann reicht einfaches Keylogging nicht mehr...

Das ist ein Irrglaube. Die 2FA schützt Dich ausschließlich wenn jemand deine Zugangsdaten erlangt, aber nicht an die Datenbank kommt. Also nur in Fällen wo dein Rechner nicht kompromittiert ist. Die 2FA ist - wie der Name schon sagt - eine Authentifizierung, keine Entschlüsselung. Der 2FA-Code wird für die Entschlüsselung der vorhandenen Datenbank nicht benötigt. Ggf. ist der Client so implementiert, dass er die auf dem Rechner vorhandenen Daten nicht entschlüsselt ohne 2FA Code (obwohl alle zur Entschlüsselung notwendigen Informationen vorhanden sind), das ist aber dann eher "Security Theater".

Der Yubikey ist keine klassische 2FA, der erhöht die Sicherheit tatsächlich wenn er Informationen enthält, die zur Entschlüsselung notwendig sind (zumindest wenn er für jede Entschlüsselung angesteckt werden muss, nicht nur bei der initialen Anmeldung des Clients).

 

[stpf]

Weis bin in der Richtung altmodisch, verwende tatsächlich noch Papier und Stift.
Vertrau dem ganzen Cloud usw. nicht wirklich.

 

[bowman]

Das ist ein Irrglaube. Die 2FA schützt Dich ausschließlich wenn jemand deine Zugangsdaten erlangt, aber nicht an die Datenbank kommt. Also nur in Fällen wo dein Rechner nicht kompromittiert ist.

...ist das nicht gerade der Fall, *wenn* der Rechner kompromittiert ist? Jemand hat durch Malware root-Rechte auf dem eigenen Rechner erlangt und ist in der Lage, einen Keylogger zu installieren und hat Dateisystem-Leserechte auf die verschlüsselte Datenbank-Datei, kann damit aber noch nichts anfangen. Das dürfte m.E. der häufigste (der seltenen!) Kompromittierungsfälle sein.
Bei lokalen Passwortdatenbank-Apps ohne Account bei einem Dienste-Provider (z.B. bei KeePass) geht es ja nur um Entschlüsselung - du meldest dich dort ja nicht als Benutzer an, sondern präsentierst ein Passwort und eben die Challenge-Response vom Yubikey...

 

[Peacekeeper]

...ist das nicht gerade der Fall, *wenn* der Rechner kompromittiert ist? Jemand hat durch Malware root-Rechte auf dem eigenen Rechner erlangt und ist in der Lage, einen Keylogger zu installieren und hat Dateisystem-Leserechte auf die verschlüsselte Datenbank-Datei, kann damit aber noch nichts anfangen. Das dürfte m.E. der häufigste (der seltenen!) Kompromittierungsfälle sein.

Aber genau dann schützt Dich die 2FA nicht. Der Angreifer wartet einfach bis er dein Masterpasswort erlangen kann durch die Kompromittierung. Für die Entschlüsselung der Datenbank auf deinem Rechner ist der 2FA Code nicht notwendig.

Die 2FA schützt Dich nur wenn in irgendeiner Art für die Entschlüsselung etwas mit dem Server des Anbieters ausgetauscht werden müsste, das ist aber bei Zero-Knowledge (auf Seiten des Anbieters) gar nicht möglich. Über 2FA wird nur determiniert ob Du die Dateien zum Entschlüsseln laden darfst wenn Du ein neues Gerät anmeldest (und die sonstigen Zugangsdaten kennst). Es gibt Passwortmanager, die es erlauben einzustellen, dass der 2FA bei jedem Entsperren abgefragt wird. Das ist aber lediglich "Security Theater", weil die Datenbank mit anderen Tools mit Kenntnis des Masterpassworts (und ggf. noch im Fall von bspw. 1Password dem Secret Key) entschlüsselt werden kann. Mehr als das Gefühl, dass es sicherer ist (und mehr Aufwand, weil man jedes mal den 2FA Code eingeben muss) bringt es nicht. Eine Ausnahme wäre es wenn der Passwortmanager komplett ohne Offlinecache arbeitet und keine lokale Datenbank anlegt. Das wäre mir aber zu heikel, falls ich mal Informationen aus dem PW-Manager brauche wenn ich gerade kein Internet habe oder sonstige Dienstausfälle eintreten, weil ich dann prinzipbedingt ja kein Backup hätte.

Der Yubikey wäre hier prinzipbedingt etwas besser natürlich (wenn er ein Geheimnis enthält, dass der Entschlüsselung dient), bei einem kompromittierten Rechner aber auch nur so lange bis Du ihn anschließt.

 

[bowman]

Aber genau dann schützt Dich die 2FA nicht. Der Angreifer wartet einfach bis er dein Masterpasswort erlangen kann durch die Kompromittierung. Für die Entschlüsselung der Datenbank auf deinem Rechner ist der 2FA Code nicht notwendig.

...doch! Denn...

Die 2FA schützt Dich nur wenn in irgendeiner Art für die Entschlüsselung etwas mit dem Server des Anbieters ausgetauscht werden müsste, das ist aber bei Zero-Knowledge (auf Seiten des Anbieters) gar nicht möglich.

...es gibt - zumindest von dem Fall rede ich - keinen Anbieter der irgendeinen Server und Authentifizierungsdienst betreibt, sondern nur eine lokale Passwortdatenbankverwaltungsapp, eine lokal vorliegende verschlüsselte Datenbank-Datei, ein Passwort für diese Datenbank und ein vom Yubikey bereitgestelltes Secret, das zusammen mit dem Passwort für die Entschlüsselung der Datenbank erforderlich ist.

Ich rede nicht von Anbietern, die irgendeine Accountüberprüfung bei der Nutzung der App ausführen (wie vermutlich 1Password o.Ä.) denn es gibt (z.B. bei KeePass) weder einen Anbieter noch einen Account, der zu authentifizieren wäre...

KeePass und KeePassXC verhalten sich hier unterschiedlich. In KeePassXC ist streng genommen der Beitrag vom Yubikey nur eine Passwortergänzung, die nicht über die Tastatur eingegeben wird sondern von KeePassXC direkt vom Yubikey abgefragt wird. Diese Ergänzung ändert sich nur, wenn sich der Datenbankinhalt ändert (das merkt man daran, daß die Datenbank nur aktualisiert werdenkann, wenn der Yubikey angesteckt ist oder per NFC vom iPhone erkannt wird):

https://keepassxc.org/docs/#faq-yubikey-otp

Beim 'normalen' KeePass handelt es sich tatsächlich um One-Time Passwords nach OATH HOTP Standard (RFC 4226):

https://keepass.info/help/kb/yubikey.html

 

[Peacekeeper]

ein Passwort für diese Datenbank und ein vom Yubikey bereitgestelltes Secret, das zusammen mit dem Passwort für die Entschlüsselung der Datenbank erforderlich ist.

Auch das habe ich ja in meinem letzten Satz geschrieben. Der Yubikey ist eben keine klassische 2FA sondern bietet sich eben auch als Speicherort für ein weiteres Geheimnis an. Ganz salopp simuliert der Yubikey nur eine Tastatur, die einen weiteren Teil deines Passworts eingibt. Bei einem komplett kompromittierten Rechner, wo jemand Root-Zugriff erlangt hat, schützt Dich auch der Yubikey nur bis Du ihn anschließt. Danach hast Du auch in diesem Fall verloren.

Das "zusätzliche" Geheimnis implementiert 1Password auch auf einer andere Weise (Secret Key) lowtech auf Papier. Zusätzlich kann man 1Password aber auch mit Yubikey nutzen. On top dazu bietet es auch noch 2FA mit OTP an wenn man ein neues Gerät einrichtet (als letzte Verteidigungslinie für einen sehr unwahrscheinlichen Angriffsvektor). Viele andere Passwortmanager bieten aber auch die Security Theater Variante an, wo man bei jedem Entschlüsseln der Datenbank einen 2FA Code eingeben muss ohne kryptografischen Mehrwert.

Das "A" in 2FA steht für Authentication. Genau das tust Du aber nicht wenn Du einen Yubikey als Speicherort für einen weiteren Teil deines zur Entschlüsselung dienenden Geheimnisses benutzt. Es ist dann einfach ein zweiter Faktor zum Entschlüsseln.

 

[bowman]

…du weisst worum es mir geht: Einfach nur um den zweiten Faktor zum Schutz gegen Keylogger. Und bei dem von mir genannten Beispiel klappt das einwandfrei. Was andere da (1Password u.Ä.) mit ihrer Account-Authentifizierung veranstalten interessiert mich nicht - ich finde die hier oft anzutreffende Fixierung darauf völlig unnötig…

 

[Peacekeeper]

Einfach nur um den zweiten Faktor zum Schutz gegen Keylogger. Und bei dem von mir genannten Beispiel klappt das einwandfrei…

Wenn der Yubikey eine Tastatur simuliert um etwas einzugeben (nichts anderes tut er in dem von Dir verlinkten Dokument, wo der Yubikey als HID genutzt wird), wie schützt Dich das vor einem Keyloggerangriff? Die "Eingabe" des Yubikeys kann ganz genauso mitgeschnitten werden wie deine Tastatureingabe.

 

[bowman]

Wenn der Yubikey eine Tastatur simuliert um etwas einzugeben

…wo steht das da (bei KeePassXC, um das geht es hier im Mac-Kontext ja primär)?. Falls Du das orginal KeePass für Windows meinst: Du musst schon runter bis zu dem Teil mit der der Ergänzung von "One-Time Password Mode" lesen. Da kannst Du Kommunikation mitschneiden wie du willst, da die dank Challenge-Response sowieso nur einmal gültig ist...

 

[Franken]

@Peacekeeper @Snow Apple

vielen Dank - dann überlege ich es mir nochmals und bleibe bei Dashlane.

Wie gesagt, an sich bin ich sehr zufrieden damit.

Wenn der Sicherheitsaspekt für die Browser-Erweiterung wegfällt, dann bliebe nur die Unübersichtlichkeit derselbigen als Grund zu wechseln.

Am 10.01. schalten sie ab und bis Juni geht mein Vertag noch.


@alll
das ist ja ein recht komplexes Thema.

Wäre gut, es gäbe da mal einen Standard, damit man als Nutzer weiß auf was man sich einläßt