ComputerBase Menü
Aktuelles

Kann man Keepass unbesorgt nutzen?

ace-drink

ace-drink

Lt. Commander
Registriert
Juni 2008
Beiträge
1.297
Hi

Es heisst ja immer. "Passwörter nie auf dem Computer speichern"

Tja nur leider kann ich mir meine fast 50 Passwörter die alle verschieden und ellenlang sind nicht im Kopf merken und nen Ausdruck find ich auch nicht wirklich sicher und geschweige denn praktisch.

Kann man einem Tool wie Keepass da vertrauen, dass auch im Falle eines Laptop Diebstahls niemand an die Daten kommt ( Masterkey wäre dann ca.30stellig). Auch sonst. Kann das irgendwie gehackt werden auch wenn die Datenbank "locked" ist?

Oder lieber ein kommerzielles Tool? Wenn ja, warum und welches
 
Was spricht eigentlich gegen ein vernünftiges Passwort für alles?
 
kennyalive schrieb:
Was spricht eigentlich gegen ein vernünftiges Passwort für alles?
Zum Vergrößern anklicken....
Dagegen spricht, dass so gut es auch sein mag, wenn dies weg ist, gilt das für alle Accounts etc.
Theoretisch ist es also sicherer mehrere PW zu benutzen.
 
Einfach: Wenn es aus irgendeinem Grund bekannt wird, zB durch einen Keylogger oder ein Datenleck bei einem der benutzten Dienste, hat man ein wesentlich größeres Problem als mit verschiedenen Passwörtern. Überall das gleiche zu benutzen ist eine der schlechtesten Ideen, die man haben kann, das wird dir auch jeder Datenschutzexperte sagen.

On topic: Ich wüsste nicht, warum man KeePass nicht vertrauen könnte, das Programm gibt es schon eine ganze Weile, wird von vielen benutzt (ich inklusive), ständig weiterentwickelt und ist Open Source. Wären da Lücken drin, hätte man sie längst entdeckt bzw. würden sie schnell entdeckt werden. Damit macht man nichts verkehrt.
 
benutze seit 3 jahren ein und das selbe passwort für meine email,foren, andere seiten accounts.

steam pw usw.. is nen anderes. hatte noch keine probleme
 
Scrush schrieb:
benutze seit 3 jahren ein und das selbe passwort für meine email,foren, andere seiten accounts.

steam pw usw.. is nen anderes. hatte noch keine probleme
Zum Vergrößern anklicken....

Herzlichen Glückwunsch. Dein Post ist so aussagekräftig wie: "Ich fahre seit 3 Jahren unangeschnallt Auto und lebe immernoch" :freak:
 
Grundsätzlich ist kein Passwort sicher. Es ist aber immer die Frage, in welchem Verhältnis der Aufwand zum verheißungsvollen Ziel steht.

Nur um an ein paar schwindlige Passwörter von deinem Bank- und eBay-Konto zu kommen, wird niemand ein paar Crays hintereinander binden und ein paar Tage rechnen lassen.


Programme wie KeyPass, ArchiCrypt PasswordSafe, Roboform... sorgen mit einem kompetenten Passwort für die Sicherheit die man als Privatperson benötigt und auch noch sinnvoll betreiben kann.

Hier gilt es aber auch, dass man die Passwörter, sowohl zu dem Passwortprogramm als auch innerhalb des Programmes für die einzelnen Anwendungen, von Zeit zu Zeit wechselt.

Vor allem kann der Benutzer für die vielen Konten bei Facebook, Twitter, verschiedenen Foren, Banken, Kreditkarten .... Sorgfalt walten lassen und wirklich für jede Anwendung ein anders Passwort nutzen.

Ein Passwort für alle Anwendungen, ist wie unangeschnallt gegen eine Betonwand zu fahren.


Das ist wie mit der nicht vorhandenen Datensicherung, besoffen und/oder bekifft im Auto,.... Irgendwann erwischt es jeden!


Christine
 
Nur um an ein paar schwindlige Passwörter von deinem Bank- und eBay-Konto zu kommen, wird niemand ein paar Crays hintereinander binden und ein paar Tage rechnen lassen
Zum Vergrößern anklicken....

nur das man dazu heutzutage gar keine Crays mehr braucht ... HighendGrakas im Verbund oder PS3 etc. machen das schneller, eleganter und vorallem kostengünstiger ;)

meistens braucht man auch nichtmal wirklich nen Schlüssel zu knacken, sondern setzt einfach nur an der entsprechenden Implementierung an ... und das beste Passwort bringt dir absolut nix, wenn du es mir freiwillig gibst, weil du meinst auf der richtigen Seite zu sein ...

wie mit allem im iNet gilt BRAIN2.0 benutzen ...

und auf dem Rechner haben PW Listen nunmal nix zu suchen ... auf Laptops schonmal gar nicht sind die erstmal wech hat man alle Zeit der Welt die zu knacken ...


und sind wir doch mal ehrlich wer ellenlange supersichere PW benutzt und dann Twitter StudyVZ Facebook und wie sie alle heissen und dann denkt er sei sicher ...?!&%
und PW die über die Tastatur eingegeben werden ... dazu sag ich nun mal gar nix mehr ...
 
Zuletzt bearbeitet:
die gefahr besteht wohl eher in der kompromittierung des computers mit malware auf dem du keepass benutzt, wenn diese dein Passwort mit loggt könnte ein dritter deinen Safe öffnen. Mit Antivirus + Firewall schätze ich das risiko allerdings als gering ein.

AES dürfte einem privaten Angriff standhalten, wenn das Passwort auch noch sicher ist könnte jemand alle PS3's der Welt aufkaufen und würde in seimem Leben das PW nicht bekommen (davon ausgegangen Keepass hat keine Design Schwäche in der Implementierung des AES Alogirithmus, da Open Source allerdings sehr unwahrscheinlich das es eine gibt)

Also Benutz ein sicheres Passwort (muss nicht 30 Zeichen haben, schadet aber nicht), ein Antivirus und eine Firewall. Beim Diebstahl sollte dan niemand ohne Fachwissen und Supercomputer an deine Daten kommen (wenns die CIA beschlagnahmt wirds allerdings eng :D )
 
opensource hin oder her ... bevor Sicherheitslücken wirklich bekannt werden kursieren die meistens schon Tage wochen vorher in einschlägigen Kreisen ... Open Source hat nur den Vorteil, wenn sie dann bekannt werden werden sie zügiger geschlossen ...

und wie war das nochmals mit truecrypt welches seine Key nach Benutzung unverschlüsselt im RAM ablegte ? ... oder Sicherheitslücken in Firefox ... kann mich noch gut daran erinnern wies hier immer hies ... ne Firefox ist sowas von sicherer gegenüber Explorer ... tja solange er ned weit verbreitet war ... und damit uninteressant.

die beste Firewall und Virenscanner bringt dir nix wenn dir gezielt was untergeschoben wird ... und wer verdächtigt den schon seine "Friends" bei den ganzen neuen Web2.0 Sozialdiensten ... zur dunklen Seite zu gehören? Titten.jpg wirkt in mindestens 50% der Fälle... und im Gegensatz zu Firmenvirenscannern ... braucht der normale Virenscanner bei Hinz und Kunz erstmal ne aktuelle Signaturdatei ...und selbst in Firmen funzt das immer wieder einmal ...und wenn der dödelige Benutzer selbst beim IT Support anruft und mitteilt das der automatische Filter mal wieder ne erwünschte Datei/Mail ausversehen in Quaratäne verschoben habe ...
 
Zuletzt bearbeitet:
funkyfunk schrieb:
Theoretisch ist es also sicherer mehrere PW zu benutzen.
Zum Vergrößern anklicken....
Natürlich ist das sicherer. Aber wenn man sich die 50 Passwörter, wie der TE meinte, nicht merken kann, dann bringt einem das auch nichts. Und das Masterpasswort von so einem Passwort-speicher-Programm kann man genauso auch knacken. Dann hast du dasselbe Problem.

serra.avatar schrieb:
wie mit allem im iNet gilt BRAIN2.0 benutzen ...
Zum Vergrößern anklicken....
Das ist und bleibt nunmal die sicherste Methode.
 
@serra.avatar
im grunde hast du schon recht, aber er will ja auch keine Startcodes für eine Atombombe in seinem Keepass aufbewahren. (hoffe ich zumindest *g* )

damit eine sicherheitslücke im keepass wirkung zeigen würde. müsste eine sicherheitslücke ungepatched sein, sie auch exploitet werden, und mit ihr ein angriff auf die datenbank gestartet werden, möglich, aber unwahrscheinlich.

und die sache mit dem RAM. es wird ihm bestimmt niemand unmittelbar nach herunterfahren des computers den rechner mit flüssigen stickstoff kühlen, den ram ausbauen und die daten auslesen.

und das ein "freund" eine malware schreiben wird (oder einfach nur zusammenstellen), die genau auf seine schwachstelle angepasst ist (die es erstmal im detail herauszufinden gilt), halte ich für noch unwahrscheinlicher. jedoch gibt es auch dafür heuristiken, und muss sich nicht blind auf die signaturen verlassen. ich habe mal eine malware geschrieben die ein gängiges keylogger verfahren einsetzte (als forschungsprojekt an meiner uni), antivir free edition hat es erkannt.

im grunde ist natürlich das umgehen JEDER sicherheitssoftware möglich, die verhältnismässigkeit muss allerdings stimmen, und wer sich die arbeit macht bei ihm über eines der oben genannten wege an seine keepass daten zu kommen, würde dies auf einem anderen weg deutlich schneller erlangen!

firefox mit noscript, adblock und WOT halte ich jedoch immer noch für den mit abstand sichersten browser den es gibt, aber ich lasse mich gern eines besseren belehren.
 
Zuletzt bearbeitet:
kennyalive schrieb:
Natürlich ist das sicherer. Aber wenn man sich die 50 Passwörter, wie der TE meinte, nicht merken kann, dann bringt einem das auch nichts. Und das Masterpasswort von so einem Passwort-speicher-Programm kann man genauso auch knacken. Dann hast du dasselbe Problem.
Zum Vergrößern anklicken....

Dazu braucht man aber physikalischen Zugriff auf den PC. Wie schnell Daten im Internet abhanden kommen, sieht man gerade wieder bei den Kreditkarten. Ein Kompromiss wäre, die Seiten für sich in mehrere Bedenklichkeitsstufen einzusortieren, nur für die Härtefälle verschiedene Passwörter zu nutzen und für Sachen, wo es egal ist, überall das gleiche zu nehmen.

Die Frage ist im Endeffekt nicht, was 100% sicher ist, das geht nicht. Die Frage ist, wie man unnötige Risiken vermeidet. Und ausnahmslos überall das gleiche Passwort ist ein herbes und leicht vermeidbares Risiko. Man würde ja auch nicht einen Schlüssel für alle Schlösser (Auto, Haus, xyz) benutzen.
 
Zuletzt bearbeitet:
Crabman schrieb:
Ein Kompromiss wäre, die Seiten für sich in mehrere Bedenklichkeitsstufen einzusortieren, nur für die Härtefälle verschiedene Passwörter zu nutzen und für Sachen, wo es egal ist, überall das gleiche zu nehmen.
Zum Vergrößern anklicken....
Ich wollte mit meiner Aussage auch eher in diese Richtung gehen. In Foren und ähnlichen Accounts habe ich dasselbe/ein ähnliches Passwort. Da ist's mir egal. Beim Onlinebanking, eBay, EMail und Konsorten sieht das natürlich anders aus. Ich komme aber bei weitem nicht auf 50 verschiedene Passwörter.

Ich verstehe den Zweck, bzw. die Funktionsweise solcher Passwort-Tools nicht.
 
Thx@all für die Meinungen


Also ich nutze jetzt KeepassX unter Ubuntu und Keepass 2.09 unter Win 7. Beide kompatibel.

Als Browser wie hier schon beschrieben: Firefox mit Adblock und NoScript.

Was nun so Sachen wie Coldboot Attacken angeht. Da mach ich mir eigentlich keine Sorgen und das meine Freunde mir Malware speziell für Keepass schicken= 0,0000001%

Das man jedes Passwort knacken kann via Bruteforce oder Rainbow tables ist mir schon klar. Es geht ja auch nur darum, dass Keepass im Falle eines Diebstahls meine Daten lange genug schützen kann, damit ich alle Passwörter ändern kann. ( werden sowieso alles 60Tage geändert auch das Masterpasswort). So schnell sollte kein GPU Computing oder sonstwas sein oder?

Mit nem zusätzlichen Keyfile dürfte es ja dann wirklich verdammt schwer sein da was zu reissen. Ach und das Ganze system ist mit TrueCrypt verschlüsselt.
 
Das war ne interessante Diskussion hier. KeePass gibts auch portable. Ist ne super Sache, kann man sich denken. Aber nach dieser Diskussion, frage ich mich ob es doch nicht sicherer ist, einige wenige und nicht ganz so komplizierte Passwörter für wichtige Seiten zu merken, anstatt das Risiko einzugehen, den USB Stick mit KeePass zu verlieren. Da ist ja dann nur ein PW, dass zu knacken gilt und man hat alle LoginDaten auf dem Teller.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Bitwarden oder Keepass was nutzt Ihr?
3 4 5
Antworten
93
Aufrufe
7.629
s1ave77
S
W
Keepass zentral nutzen für verschiedene Devices - wie realisieren?
Antworten
18
Aufrufe
5.403
Art Vandelay
Art Vandelay
tarifa
Keepass - wo legt ihr die DATEN ab?: auf dem Rechner / in der Cloud ?
Antworten
19
Aufrufe
10.502
calippo
C
Tom Tom
KeePass über Fritz! NAS-Sync auf dem iPhone nutzen
Antworten
17
Aufrufe
13.710
Tom Tom
Tom Tom
ABCD.
Fingerprint über Handy nutzen um Keepass (o.ä.) zeitweise am PC zu entsperren?
Antworten
2
Aufrufe
2.663
ABCD.
ABCD.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz