[HaBo]

Julian F.

Anzeige

Hallo allerseits! :)

Ich weiß nicht genau, ob ich hier auf Anhieb das richtige Unterforum erwischt habe, allerdings treiben sich hier vielleicht die passenderen Leute rum als unten im Programmierbereich, deshalb steht's nun hier.

Ich habe da ein Konzept (welches sogar schon fast fertig umgesetzt ist) und würde das gerne von ein paar Leuten, die sich mit Passwortsicherheit auskennen, absegnen lassen bevor ich es endgültig benutze bzw. veröffentliche. Ich setze hier mal voraus, dass allgemeine Richtlinien für sichere Passwörter hinlänglich bekannt sind.

Das Problem
In der Interaktion mit dem PC (und insbesondere auch mit verschiedenen Internetdiensten) hat man mit einer ständig wachsenden Anzahl von Authentifizierungsvorgängen zu tun, die meist über Passwörter abgewickelt werden. Dabei ist (neben Problemen wie unverschlüsselter Übertragung) ein schwaches Passwort nicht selten das "schwächste Glied der Kette" - besonders häufig im Bereich der Kryptographie.

Desweiteren ist es ein beträchtliches Sicherheitsrisiko, für mehrere (oder gar alle) Dienste das gleiche Passwort zu benutzen. Dadurch ergibt sich das Problem, dass man unzählige sichere Passwörter verwalten muss. Hierfür gibt es einige Programme, die Passwörter unter Verwendung von hinreichend starker Verschlüsselung irgendwo abspeichern und nur mit einem "Master"-Passwort den Zugriff erlauben.

Die Alternative
Warum sollte es keine Software geben, die eine Liste von Verschiedenen Diensten (Applikationen, Webseiten, ...) entgegennimmt, sowie weiteren Input vom User ("Master"-Passwort) und daraus für jeden Dienst deterministisch, aber irreversibel ein Passwort generiert? Das setzt natürlich voraus, dass der Benutzer für jeden Dienst sein Passwort selbst wählen kann.

Mit Blick auf die Sicherheit hat dieses Verfahren einen Vorteil und einen Nachteil gegenüber den diversen Passwort-Safes, Schlüsselbunden oder wie sie alle heißen:

Vorteil: Die einzelnen Passwörter sind nirgends gespeichert. Das heißt, dass keine Passwort-Datenbank existiert, die hypothetisch geknackt werden könnte. Noch interessanter dürfte allerdings sein, dass die Passwörter mit diesem Verfahren auch nicht bei einem Datenverlust (Headcrash, Hausdurchsuchung, ...) verlorengehen können.

Nachteil: Dadurch, dass keine Passwort-Datenbank existiert, muss ein Angreifer nur das Master-Passwort in Erfahrung bringen (-> Social Engineering) und verfügt sofort über alle Passwörter des Users ohne weiteren Datenklau betreiben zu müssen.

Die Zielgruppe für mein Konzept wäre also eher die Sorte Benutzer, für die ein Headcrash ein größeres Risiko darstellt als die durchschnittliche Phishing-Mail. ;)

Bisherige Umsetzung
Ich entwickle gerade ein kleines Programm (auf der Basis von Lazarus/FreePascal) das genau dies leistet. Es speichert eine Liste von Diensten, die als Namen jedwede Bezeichnung haben können, sowie zu jedem dieser Dienste eine gewünschte Passwortlänge. Der Benutzer muss seinen Namen sowie sein Master-Passwort eingeben. Damit wird für jeden Dienst ein String konkateniert:

Name + Master-Passwort + Dienst + Passwort-Länge

Von diesem String wird der SHA512 gebildet. Das ergibt 64 Bytes an pseudozufälligen Daten für jeden Dienst. Ich unterstelle, dass SHA512 hinreichend "zufällig" und kollisionsfrei ist. Je nachdem, wie viele Zeichen für das Passwort gewünscht sind, werden dann aus dem Hash Zeichen des Ausgabealphabets gewählt. Dieses kann frei gewählt werden und umfasst alle Zeichen, die in den generierten Passwörtern enthalten sein dürfen (Standard: Ziffern, Groß-/Kleinbuchstaben, per Tastatur schnell erreichbare Sonderzeichen). Das Resultat ist dann für jeden Dienst ein (bei Standardeinstellung des Programms) sicheres Passwort.

---

Nun frage ich mich natürlich, warum das noch niemand vor mir gemacht hat, oder warum ich dazu im Netz nichts finde. ;) Außerdem hätte ich gerne etwas Rückmeldung, ob ein generelles Interesse an diesem Programm bestünde (wäre natürlich Open Source). Falls ja, würde ich gerne mit ein paar Leuten, die sich vielleicht besser damit auskennen, Details des Algorithmus und der Implementierung ausarbeiten bzw. Fragen klären.

Also erstmal her mit Nachfragen, konstruktiver Kritik und Geflame. ;)

Elderan

Hallo,
mal vorweg: Password-Safes gibt es wie Sand am Meer mit den unterschiedlichsten Verfahren. Durchgesetzt hat sich bisher noch keins wirklich.

Hab ich dein Konzept nun richtig verstanden:
Das Programm speichert Name, Dienst und PW-Länge in irgend eine Passwortdatei, z.B. im XML Format, ab.
Der User startet das Programm, gibt das Master-Passwort ein und daraus kann dann das Programm die entsprechenden Passwörter berechnen?

Ein Problem welches man betrachten sollte, ist dass man wenn man die Datei im Klartext abspeichert, ein Angreifer analysieren kann bei welchen Diensten der User angemeldet ist, deswegen sollte diese Datei auch verschlüsselt sein, mit einem Key abgeleitet vom Masterpasswort.

Ansonsten sollte dies soweit eigentlich sichern sein, natürlich vorrausgesetzt das Masterpasswort ist sicher.


Warum sich sowas nicht durchgesetzt hat?
Dafür gibt es mehrere Gründe. Zuerst ist dort die Unwissenheit der User. Selbst Leute die Fit sind erkennen nicht die Gefahr die hinter der Wiederverwendung von PWs steckt.
Ich sprach mal mit einem Webdesigner der darüber erstaunt war, dass wenn man eine Software kostenlos gegen Registeriung (Email-Addy + PW) vertreibt, welches auch große Firmen einen oft aufzwingen, ja eigentlich rasend schnell an gültige Logins für Email-Addressen kommt.
Viele Leute gehen davon aus, dass ihr eingegebenes Passwort in guten Händen ist, wenn man sich z.B. in irgendwelchen Supportforen, Freemailern o.ä. anmeldet.

Das andere Problem in Verbindung mit PW-Safes ist die Umständlichkeit. Ich geh auf z.B. ebay.de => Login, muss dann das Programm aufrufen, evt. leidigerweise sogar noch das Masterpasswort angeben, dann ebay.de aus den Diensten raussuchen, Passwort kopieren und im ebay Login Feld eingeben.
Deswegen wäre es in meinen Augen eine gute Idee, den Passwordsafe in den Browser zu integrieren.
Schreibe z.B. ein Plugin für Firefox, so dass wenn der User die Loginseite von ebay aufruft automatisch das entsprechende Passwort generiert/rausgesucht wird und ins Loginfeld eingetragen wird.
Das ganze klappt natürlich erst nachdem man das Masterpasswort angeben hat.

Wobei diese Idee auch nicht wirklich neu ist und z.B. im Password Safe scheinbar schon umgesetzt wurde, wenn auch evt. recht umständlich (nach dem einem Screenshot zu urteilen).
Ein entsprechendes kostenloses Plugin für die Firefox wäre aber bestimmt sinnvoll. Firefox selber bietet ja Passwort-Vervollständigung schon an, dieses muss man evt. einfach nur Anzapfen so dass dann dein Prog. die Passwörter liefert.

Naja, anderes Problem ist, dass Passwordsafes oft auf einen Computer beschränkt sind. Sprich, zur Zeit sitze ich nicht an meinem gewöhnlichem Desktop-PC sonder bin Gast auf einen anderen (aber vertrauenswürdigem) System. Hier kann ich dennoch im Habo schreiben, eben weil ich mein Passwort im Kopf habe.
Bei den Passwörter die ausschließlich im Safe hinterlegt sind, ist dies soeinfach nicht möglich. Ich müsste zusehen, dass ich auf allen System meinen Safe dabei habe.

Aber wie gesagt, das größte Problem ist die Unwissenheit bzw. Bequemlichkeit der Nutzer, evt. aber auch weil noch kein Prog. den gewünschten Komfort liefern konnte (ich hab die alle noch als recht umständlich im Gedächtnis, keine Ahnung wie so die heutige Genration aussieht).
Einem transparenten Passwortsafe, der sich z.B. perfekt in den Firefox eingliedert und die Passwort-Speichern Funkt. von diesem übernimmt, dem würde ich evt. sogar ne Chance einräumen.

Allerdings, persönlich verwende ich auch keinen PW-Safe sondern habe ein paar Masterpasswörter, je nachdem wie vetraulich ich die Seite einschätze und wie wichtig die Daten dort sind, und verwende eine einfache Regel um daraus dann Passwörter für die Seiten zu 'generieren'. Ich hoffe das ich damit ganz gut fahre.

PS: Eine andere Gefahr von PW-Safes ist, dass ein Virus/Wurm alle Passwörter auslesen kann, wenn die Passwortliste geöffnet ist, inkl. Dienstname usw.
Deswegen sollte man die PW Liste möglichst lange unter verschlüsselt hinterlegt haben, was dann zur Folge hat, dass man recht oft sein Master-PW angeben muss.
Deswegen sollte das Plugin nicht irgendwie störend beim Login wirken, wenn es nach dem Masterpw verlangt

Gute Nacht

Julian F.

Hallo und vielen Dank für dein Interesse! Ich erlaube mir mal, deinen Beitrag ein bisschen passend zusammen zu sortieren und zusammenfassend zu antworten.

Zunächst mal hierzu: Es geht mir prinzipiell nicht darum, DAUs von der Verwendung meines Programms zu überzeugen. Was das Prinzip der Nutzung angeht, gibt es derzeit zwischen meinem Programm und gängigen Passwort-Safes keinen Unterschied. Ver Vorteil liegt darin, dass ich mir keine Sorgen um irgendeine Passwort-Datenbank machen muss, da keine existiert (s.u.).

Was natürlich nicht heißt, dass ich an der Usability nicht noch arbeiten kann. Aber zunächst mal geht es mir darum, ob der Algorithmus überhaupt sicher ist, damit ich anfangen kann, das Tool zu benutzen. Der Rest der Welt kann dann kommen.

Du hast das Prinzip anscheinend richtig verstanden, aber zuletzt hast du einen Denkfehler: Der Vorteil meines Programms gegenüber einem Passwort-Safe ist ja gerade, dass du keine Daten mitführen musst. Du kannst auf jedem PC das Programm (sozusagen "Vanilla") herunterladen und ausführen, deinen Namen, den Namen des "mal eben schnell" gewünschten Dienstes sowie die Länge des Passworts (sofern sie von der Standardeinstellung abweicht) und halt dein Master-Passwort eingeben, und du erhältst dein Passwort, da es ja "on the fly" generiert wird.

Das ist in der Tat eine sehr gute Idee. Das werde ich dann vielleicht weiter verfolgen. Ich danke dir, das ist auf jeden Fall eine Überlegung wert.

Das klingt sinnvoll genug. Im Moment handhabe ich das ähnlich, allerdings ergeben sich für mich da auch schon gewisse Probleme, z.B. dass ich einige Online-Shops mit dem gleichen oder nur leicht abgewandelten Passwort "beehre". Das Problem würde eben komplett wegfallen.

An lokale Sicherheit verschwende ich Gedanken, wenn der Algorithmus und das grundsätzliche Framework steht. Enigmail macht es so, dass eine eingegebene OpenPGP-Passphrase für 5 Minuten gecachet werden kann. Vielleicht gehe ich dann in die Richtung, mal sehen.

dito

t3rr0r.bYt3

Es gibt den Password Maker, auch als Offline-Plugin für den Firefox. Das Tool generiert die Passwörter aus dem Master-Password und der Domain (oder URL? ka). der jeweiligen Seite, der Benutzer hat also überall ein anderes Passwort. Merken kann er sich es aber sowieso nicht, ist ja nur ne chaotische Aneinanderreihung von Zeichen.

Nachteil wie bereits gesagt, man muss das Tool immer greifbar haben, um sich irgendwo einzuloggen. Vielleicht macht mal jemand ne Java-version fürs Handy, dann wär das Problem zumindest eingegrenzt.

Meine größte Sorge ist jedoch, dass das Proekt irgendwann stirbt / man kein lauffähiges Backup hat usw, und dann dasteht und keine Passwörter mehr hat (besonders problematisch, wenn man noch Fake-Mailadressen zur Anmeldung verwendet hat..)

Julian F.

Hey, das sieht gut aus. Der zusätzliche Nachteil, den ich bei dem Programm sehe, ist nur der Konfigurations-Overkill. Also wenn man irgendwo von der Standardkonfiguration abweicht (einen anderen Hash-Algo wählt oder irgendwas in der Art), dann muss man sich das auch ganz genau merken. Aber sonst scheint das so ziemlich das zu sein, wonach ich gesucht habe. Da hab ich wohl nicht gründlich genug gesucht.

Ich betrachte dann mein Projekt mal als hinfällig. Mal schauen, ob ich mich bei denen einklinken kann...

Danke für den Hinweis!

P.S.: Die Gefahr, dass gleichzeitig das Projekt stirbt und nirgends mehr verfügbar ist (unwahrscheinlich, da LGPL etc.) und alle lokalen Versionen aufhören zu laufen, halte ich für ziemlich gering. Für den Fall kann man ja dann vielleicht immer noch eine Passwortliste ausdrucken und im Portemonnaie herumtragen... solange sie nicht am Bildschirm klebt sollte das ja passen. Vielleicht noch trivial kodieren (ROT13 oder so), das ist dann sogar mir wieder sicher genug.

t3rr0r.bYt3

Ach, ich kann mir gut vorstellen, dass ich mal irgendwas re-installiere und dann die Website offline ist oder sowas. Ärgerlich wär sowas.
Ich merks grad bei BNR2 (Binary News Reaper), die Website ist schon lange tot und man findet nirgends mehr die Binary für Windows (immerhin ist das unter Linux noch in einigen Distributions-Repositories).

Mr.Yeah

Ich kenne eine Lösung für all die Probleme: PwdHash.
Das Firefox Add-on hat mich von Anfang an überzeugt. Nach der Installation sind keine Einstellungen nötig (und auch nicht möglich), sodass es idiotensicher ist. Es benutzt die selbe Idee wie PasswordMaker. Wenn das Add-on das Passwort verschlüsseln soll, muss man nur einfach entweder @@ oder F2 vor der Eingabe des Passworts drücken.
Für den Fall, dass man nicht am heimischen PC ist, geht man auf die Homepage und gibt die Internetseite und Passwort ein.
Ich habe lange Erfahrungen mit PwdHash gesammelt und kann es jedem Empfehlen.

Harry Boeck

Die Idee ist vollkommen OK. Aber auch lange schon unter Beschuß.

Letztlich mache ich seit ein paar Jahren nichts anderes mehr als Zufallszeichenketten zu verwenden und von Passwortsaves speichern zu lassen. Schon die Standard-Passwortverwaltung im Firefox stellt ja Unterstützung für genau das zur Verfügung (ist nur nicht Script-sicher und erzeugt nicht selbst Zufallszahlen). Und beim Nachdenken über diesen Beitrag fällt mir auf: Ja, eigentlich interessiere ich mich schon lange nicht mehr für die Passworte. Ich habe einfach nur ne Liste von zufallsgenerierten Schlüsseln. Der einzige Grund für die manuelle Verwaltung ist noch, daß unterschiedliche Seiten unterschiedliche Anforderungen an die verwendbaren Zeichen und Passwortlängen stellen. Sobald ein Passwortsave dies konfigurierbar mitbringt und sich nahtlos integrieren läßt, ist das eine sinnvolle Alternative.

Im Auslaufen einer Weiterentwicklung kann ich kein Problem erkennen: Wenn das Programm dasselbe bleibt, ist seine Anwendung ja nicht unmöglich geworden. Eher im Gegenteil. Was anderes wäre es, wenn ne Firma wie Microsoft sich entschließen sollte, ganz schlimme Sachen mit seinen APIs zu machen, so daß plötzlich die halbe Welt ihre einfachsten Dialog-getriebenen Programme nicht mehr ausführen könnte. Das halte ich aber eher für unwahrscheinlich. Schließlich geht die GUI-Programmierung heutzutage unter Vista immer noch mit den gleichen Systemaufrufen abzuwickeln wie unter dem seligen Windows 3.

Mr.Yeah

Es wäre eine richtig gute Idee, deine Methode in ein Add-on zu verwirklichen. Das Passwort, welches man in das Feld der Seite eingibt, ist das Master-Passwort und das Add-on sucht sich aus dem Save das richtige Passwort und ersetzt es im Feld. Wenn keins existiert, wird eins zufällig erstellt.
Das generelle Problem von Passwortsaves ist, dass man nur über das eigene PC zugreifen kann. Und wenn es kein Laptop ist, ist es ziemlich unpraktisch.

Ich sehe darin kein Problem. Die einzige Schwachstelle ist der Algorithmus, welches eine sichere "Einbahnfunktion" sein muss. Jedoch muss bei Passwortsaves der Algorithmus auch sicher sein. Ehrlich gesagt sieht für mich PwdHash nach der optimalen Lösung aus, solange man den Programmierern vertaut.


PS: Mir ist aufgefallen, dass (oder soll ich lieber daß schreiben) du Befürworter der alten Rechtschreibung bist. Wann willst du den Upgrade wagen?