Software testen

spm

New member
Hallo Community,

ich suche Mitglieder, die Lust haben, unsere Software zu testen.

Es handelt sich um einen Passwort Manager, der die Verwaltung der verwendeten Passwörter ermöglicht. Nur das Master Passwort muss man sich merken. Die Tester erhalten Lizenzen natürlich kostenlos. Die Software kann auf unserer Webseite Seguro Passwort Manager - Seguro Passwort Manager heruntergeladen werden.

Die Software erlaubt, Passwörter bequem über eine vorher festgelegte Tastenkombination in die Passwortfelder einzugeben, ohne diese dabei über die Tastatur eingeben zu müssen. Beispiel: Man gibt ALT+SHIFT+E ein, um das Passwort für das Email Konto einzutragen oder ALT+SHIFT+P um das Passwort für Paypal einzutragen.

Auf diese Weise ist das Abfangen Ihrer Tastatureingaben und damit Ihrer Passwörter für Spionageprogramme wie Keylogger unmöglich. Auch der Arbeitsspeicher kann nicht abgehört werden, da Seguro Passwort Manager keine Tastatureingaben simuliert, sondern einen internen Zwischenspeicher verwendet. Seguro Passwort Manager lässt sich sehr einfach auch auf einem USB Stick einrichten, so sind Ihre Passwörter auch unterwegs auf fremden Rechnern dank der verwendeten Sicherheitsvorkehrungen vor Spionage-Programmen sicher.

Wer Interesse hat, schreibt mir gerne eine Email an seguro.passwortmanager@gmail.com

Viele Grüße
 
Zuletzt bearbeitet:

Thursen

New member
Was interessant wäre, besonders in einem Board wie diesem:

- wie werden die Passwörter gespeichert? (Datenbank, Textdatei..)
- wie werden sie verschlüsselt? (Algorithmus, Hash..)
- wie greift das Programm auf die Passwörter zu?
- der "interne Zwischenspeicher" liegt also nicht im Arbeitsspeicher? Wo dann? Wie ist er gesichert?
- wo wird das Masterpasswort hinterlegt und hat die Eingabemaske einen BruteForce-Schutz?
- wenn jemand das Masterpasswort mit einem Keylogger mitschneidet und mir dann die Datenbank klaut, hat er alle meine Passwörter auf einem Silbertablett?
- was sind die angeprisenden Sicherheitsvorkehrungen?
- woher weiß ich, dass ihr meine Passwörter nicht an einen eurer Server schickt? bzw. Wieso sollte ich euch meine geheimsten digitalen Dinge anvertrauen? Open Source?

Grüße
 

spm

New member
Hallo Thursen,

vielen Dank für deine Fragen, ich werde sie gerne beantworten. Eure Anmerkungen werden wir in die nächste Version einarbeiten.

- wie werden die Passwörter gespeichert? (Datenbank, Textdatei..)

Die Passwörter werden in eine Textdatei gespeichert. Der Passwort Manager erstellt einen Ordner namens "data" und dort werden alle Dateien gespeichert. Außerhalb dieses Ordners kopiert bzw. erstellt die Software keine Dateien.

Die Passwörter werden in diese Textdatei verschlüsselt gespeichert. Der Schlüssel wird von dem Programm selbst erstellt auf Basis des Master Passworts und auf Basis der Hardware ID.

- wie werden sie verschlüsselt? (Algorithmus, Hash..)

Die Passwörter werden mit einem vom Programm erzeugten Schlüssel verschlüsselt. Dieser Schlüssel wird auf Basis des Master Passworts und der Hardware ID erzeugt. Der verwendete Verschlüsselungsalgorithmuss ist die Vernamverschlüsselung (One-Time-Pad – Wikipedia , Kodierung: Vernam (Einmalschlüssel, One-Time-Pad) , Unknackbare Verschlüsselung mit Onetime Pads)

- wie greift das Programm auf die Passwörter zu?

Der Passwort Manager liest die Passwort Datei und entschlüsselt diese. Die Passwörter werden verschlüsselt in Variablen gesetzt. Bei betätigen einer Tasten-Kombination (z.B. ALT+SHIFT+P) wird das Passwort entschlüsselt und in die Eingabemaske eingelesen.

- der "interne Zwischenspeicher" liegt also nicht im Arbeitsspeicher? Wo dann? Wie ist er gesichert?

Die Passwörter werden verschlüsselt in programminterne Variablen gespeichert, nicht im Clipboard. Gerne anhand von Überwachungsprogrammen/Keylogger usw. testen, die Kennwörter können nicht ausgelesen werden.

- wo wird das Masterpasswort hinterlegt und hat die Eingabemaske einen BruteForce-Schutz?

Das Masterpasswort wird nirgendwo hingelegt. Man gibt es lediglich ein. Die Software erzeugt dann aus diesem Masterpasswort in Kombination mit der Hardware ID einen Schlüssel. Mit diesem wird versucht, die Daten zu entschlüsseln. Ist es das falsche Masterpasswort oder die falsche Hardware ID kann die Passwortdatei nicht entschlüsselt werden.

Ein Bruteforce Schutz ist nicht extra eingebaut. Guter Hinweis. Dieser wird in die nächste Version dabei sein. Danke für den Hinweis. Allerdings benötigt man beides: MasterPasswort und das richtige Gerät.

- wenn jemand das Masterpasswort mit einem Keylogger mitschneidet und mir dann die Datenbank klaut, hat er alle meine Passwörter auf einem Silbertablett?

Nein. Grund: Der Schlüssel, welcher die Passwörter verschlüsselt, wird auf Basis des Masterpassworts und der Hardware ID erstellt. Nur wenn jemand das Programm auf dem USB Stick öffnet, auf welchem die Software liegt, und das richtige MasterPasswort eingibt, kann er Zugang erhalten. Ein Dieb muss also sowohl das MasterPasswort sowie den USB Stick (bzw. den PC, man kann es ja auch auf dem PC liegen haben) klaut.

- was sind die angeprisenden Sicherheitsvorkehrungen?

Das Verschlüsselungsverfahren, welches abhängig von Hardware ID verschlüsselt. Zudem: die Art, die Passwörter zu speichern (interne Variablen, nicht Clipboard). Schließlich: virtuelle Tastatur zum Eintragen der Passwörter. Wenn ich was vergessen habe reiche ich es nach. Sollte etwas fehlen, werden wir es einbauen.

- woher weiß ich, dass ihr meine Passwörter nicht an einen eurer Server schickt? bzw. Wieso sollte ich euch meine geheimsten digitalen Dinge anvertrauen? Open Source?

Die Passwörter werden nicht an einen Server gesendet. Wäre dies der Fall, dürften wir den Download nicht bei Chip Online zur Verfügung stellen. Man darf keine Software dort hochladen, die Daten mit einem Server austauscht. (Bitte gerne nachprüfen).

Die aktuelle Version kann auf unsere Webseite heruntergeladen werden und ist die v1.1. Bitte gerne testen. Auch unter Einsatz von Spionage-Tools wie Keylogger.

Weitere Fragen werde ich gerne beantworten.

Beste Grüße
 

CDW

Moderator
Mitarbeiter
webseite hat gesagt.:
Ein Beispiel für ein solches Programm ist die Überwachungssoftware Wolfeye Keylogger: sie gehört zu den häufigsten und beliebtesten Downloads auf Chip Online und wird gerade auch von Leihen gerne benutzt, um Personen im näheren Umfeld (Freund, Partner) auszuspionieren.

Um sich vor solchen Programmen zu schützen empfiehlt sich der Einsatz des Seguro Passwort Managers.
whois windows-keylogger.com|grepi registrant
Kontakt - Seguro Passwort Manager

Köstlich. Einen Trojaner/Keylogger "Schutz gegen unerlaubte PC-Benutzung" verkaufen und hinterher einen Schutz gegen diesen :rolleyes:
HardwareID-Bindung heißt im übrigen: ist der Stick oder die Platte/Hardwareteil hin, sind die Passwörter nicht mehr zugänglich. Backups bringen nichts.

Danke, aber keepassx2 (oder für Puristen eine Kombination aus gnupg, pwgen und tree => "pass" Pass: The Standard Unix Password Manager) scheinen irgendwie genehmer :rolleyes:
 

Thunder11

Stammuser
49€ für 2 Lizenzen? Ist aber eine recht hohe Deppensteuer :p

Bin eigentlich mit CDW einer Meinung. Und möchte hinzufügen: Wenn ich einem Programm meine Passwörter anvertraue, dann sollte es lieber open source sein. Benutze selber KeePassX.

Übrigens ist diese Verschlüsselung nicht "unknackbar". Ein One-Time-Pad ist nur dann unknackbar, wenn das OTP das Passwort ist. Bei dir wird es aber aus Master-PW und "Hardware-ID" generiert, d.h. es ist theoretisch so stark wie die Entropie aus diesen beiden Quellen.

Und wenn du bei der Implementierung dieses OTP irgendwie patzt, dann schießt du dir wahrscheinlich ins Knie, wenn du wirklich nur Werte addierst zum Kodieren (wie im ersten deiner Links).

Für solche Zwecke wäre AES oder andere erprobte Block-Chiffre (oder eventuell ChaCha20) vermutlich sinnvoller.

Aber ich denke, der beste Schutz für dein Programm ist der hohe Preis. Denn für 49€ werden das die wenigsten kaufen (dafür bekommt man zwei Windows 10 Lizenzen) und damit ist es auch sehr unwahrscheinlich, dass jemand es unbedingt knacken müsste.
 

spm

New member
Hallo zusammen,

also vielen Dank für die bisherigen Beiträge.

Ich habe einiges eurer Anmerkungen schon umgesetzt. Ihr könnt die aktuelle Version auf Chip herunterladen unter:
Seguro Passwort Manager - Download - CHIP

Wer eine Lizenz haben möchte, einfach bescheid geben, ist wie schon mehrfach gesagt natürlich kostenlos.

Kleine Anleitung:

1. Master Passwort

Als erstes wählt man das Master Passwort. Auf Basis des Master Passworts und der Hardware ID erzeugt die Software einen Schlüssel. Die Passwörter werden mit diesem Schlüssel verschlüsselt und in eine Textdatei gespeichert, die sich im Ordner data befindet. Der verwendete Verschlüsselungsalgorithmuss ist die Vernamverschlüsselung. Den Code für die Verschlüsselung füge ich am Ende des Beitrags unten an.

masterpass-v3_orig.png


2. Passwort anlegen

über das grüne Kreuz gelangt man in die Maske zum Anlegen eines neuen Passworts:

hotkey-v3_orig.png


Man gibt dann das Passwort ein, das Konto für dieses Passwort und schließlich eine Tastenkombination (Hotkey). Bei betätigen dieser Tastenkombination wird das Passwort in die Anmeldemaske automatisch eingetragen:

add-v3_orig.png


3. Passwort Manager benutzen

Wenn dieses Fenster offen ist, wird das Passwort in die Anmeldemaske eingetragen, sobald die Tastenkombination (Hotkey) betätigt wird.

hotkey-v3_orig.png


Quellcode zum Ver- und Entschlüsseln:

Das Passwort zum ver-entschlüsseln wird vom Programm aus Masterpasswort und Hardware ID erzeugt. Bevor die Funtion benutzt wird, wird im Programmcode sichergestellt, dass die Länge der Zeichenkette und des Passworts gleichlang sind (also bevor diese Funktion aufgerufen wird). Nach dem Verschlüsseln werden die Passwörter nochmal gehext.

Code:
' Sicherer Textverschlüsselung
Public Function VernamCode(sOriginal As String, _
  sPassword As String) As String
 
  Dim i As Long
  Dim aktpos As Long
  Dim bAkt As Byte
  Dim bCode As Byte
 
  VernamCode = ""
 
  ' Passwort auf die Länge des Klartextes bringen
  ' Dazu wird z.B. aus "Geheim" dann "GeheimGeheimGehe...."
  aktpos = 1
  For i = Len(sPassword) + 1 To Len(sOriginal)
    sPassword = sPassword & Mid(sPassword, aktpos, 1)
    aktpos = aktpos + 1
    If aktpos > Len(sPassword) Then aktpos = 1
  Next i
 
  For i = 1 To Len(sOriginal)
    bAkt = Asc(Mid(sOriginal, i, 1))
    bCode = Asc(Mid(sPassword, i, 1))
 
    VernamCode = VernamCode & Chr(bAkt Xor bCode)
  Next i
End Function

Beispiel für den Inhalt der Passwort Datei:

pwd-datei_orig.png


Ich freue mich über weitere Anmerkungen und Beiträge!

Grüße
 

Gr1mwalk3r

Stammuser
Der Nachteil deiner One-Time-Pad Wahl ist, dass der Schlüssel genauso lang wie der Klartext sein muss.

Also muss der Schlüssel eine echte Zufallsfolge sein und jeder Schlüssel darf nur ein einziges Mal verwendet werden, ansonsten wäre eine known-plaintext-attack möglich. Daher ist das Verfahren für die Praxis eher nicht geeignet.

Du versuchst mit kurzen Schlüsseln auszukommen, aus denen auf systematische Weise längere Schlüssel gewonnen werden. Das geht auf Kosten der Sicherheit des Verfahrens.

Eine Entropie aus MasterPW und HardwareID bringt dabei keine Punkte.

CDW hat es bereits auf den Punkt gebracht: Durch die HardwareID sind deine Passwörter irgendwann unzugänglich.

Aber trotzdem ein schönes Trial and Error Projekt! ;)
 

spm

New member
Hallo bazzd,

vielen vielen Dank für deinen Beitrag.

Also ich finde es besser, dass das Passwort abhängig von der Hardware ID ist, weil das ein höheres Maß an Sicherheit bietet.

Dein Hinweis mit dem One Time Pad werde ich allerdings berücksichtigen. Hier wurden ja schon einige alternative Verschlüsselungsverfahren genannt, ggf baue ich das dann ein.

Danke nochmal bazzd.

Bin auf weitere Hinweise/Anmerkungen gespannt!

Gruß
 

spm

New member
Hallo zusammen,

ich habe nun den Einwand von bazzd folgendermaßen berücksichtigt:

1. Für jeden Nutzer wird eine Passwort Datei erstellt, in welche die angelegten Passwörter verschlüsselt gespeichert werden.
2. Für jeden Nutzer werden zusätzlich aber auch noch eine Datei angelegt mit einer Zufallszahl.
3. Das durch Masterpasswort/HardwareID erzeugte Passwort wird benutzt, um aus dieser Zufallszahl durch Verschlüsselung das für die Vernamverschlüsselung benutzte Passwort zu erzeugen. Damit wird die Datei verschlüsselt, und jede Passwort Datei wird dabei mit einer anderen Zufallszahl verschlüsselt.
4. Die verschlüsselte Passwortdatei wird am Ende nochmal gehext.

Konnte ich das verständlich beschreiben? Ich kann auch gerne nochmal den Code zeigen. Also die Verschlüsselung ist sehr sicher und war auch vorher sehr schwer und nur mit größtem Aufwand und Know How zu knacken.

Zu allen von euch hier genannten Passwort Managern ist mir aber etwas aufgefallen:

Zum Beispiel bei KeePass (aber auch bei allen anderen) werden die Passwörter in die Anmeldemaske dadurch eingetragen, dass diese erst in die Zwischenablage, also in den Arbeitsspeicher, gelegt werden. Also dass nenne ich mal eine Sicherheitslücke. Mit jedem Clipboard Sniffer können damit die in die Anmeldemaske eingegebenen Passwörter ausgelesen werden. Ihr könnt das mal mit den Passwort Managern testen. Z.B. mit dem KeePass.

Hier ist ein solcher "Zwischenablage-Ausleser": Clipboard Reader - Seguro Passwort Manager . Testet das doch bitte mal. Ihr könnt die Datei auch selbst kompilieren: VB 5/6-Tipp 0348: Zwischenablage überwachen, Clipboard-Viewer - ActiveVB

Ihr werdet sehen, dass die Software das Passwort anzeigt, wenn ihr mit Hilfe von KeePass das Passwort in die Anmeldemaske eingeben möchtet. Und glaubt mir: solche Funktionalitäten beherrschen Programme wie Keylogger...

Seguro Passwort Manager soll aber gerade vor dem Passwort Klau durch Keylogger Trojaner usw. schützen. Es ist weniger für Menschen gedacht, die sich keine Passwörter merken können (weil sie sehr komplizierte wählen).

Jetzt probiert mal den Einsatz eines solchen Sniffers bei Seguro: nichts wird aufgezeichnet. Grund: Die Passwörter werden verschlüsselt in programminterne Variablen gespeichert. Beim Auslösen der Tastenkombination wird die Variable entschlüsselt, das Passwort in das Feld ohne Verwendung der Zwischenablage eingegeben und die Variable wieder verschlüsselt. Hier kann nichts gesnifft werden!

Der Seguro Passwort Manager ist gerade dafür optimiert, dass er vor Hackern schützt. Es ist für Situationen gedacht, wenn man sich mal bei einem Freund/Freundin oder im Internetkaffee oder in der Uni am Rechner anmelden muss. Und dann schützt er effektiv vor dem Passwort Klau.

Könnt ihr das mal bitte testen?

Viele Grüße
 

Chakky

Member of Honour
Wie kommen denn deine Daten in die Anmeldemaske? Irgendwo musst du sie ja zwischenspeichern und "eingeben"....
 

spm

New member
Lieber Chakky,

die Passwörter werden in der Variable entschlüsselt und im Anschluß in das Passwortfeld hineingeschrieben, ich vermute auf die gleiche Weise wie bei Keepass zB.Danach wird das Passwort in der Variable wieder verschlüsselt.

Aber ich bin mir nicht sicher ob du mich verstanden hast: der Unterschied liegt darin wo das Passwort gespeichert wird: bei Seguro wird das Passwort 1. verschlüsselt und 2. nicht im Clipboard gespeichert. Bei Keepass und PasswordSafe wird das Passwort 1. unverschlüsselt und 2. in das Clipboard (also die Zwischenablage) gespeichert.

Und den Clipboard kann man sehr einfach auslesen. Ich habe euch einen solchen Clipboard Leser in meinem letzten Beitrag gepostet. Das Programm erhält sofort eine Nachricht, sobald etwas in die Zwischenablage kopiert wird. Und ihr werdet sehen, dass die mit Keepass eingetragenen Passwörter problemlos gespeichert werden. Diese Funktionalität besitzen viele Überwachungsprogramme das könnt ihr mir glauben. Wer glaubt, dass er mit KeePass sicher vor dem Datenklau ist, wenn auf dem PC eine Software wie Wolfeye Keylogger läuft, der irrt sich. Mit Seguro kann das nicht passieren.

Also aber an alle Danke nochmal für die hilfreichen Beiträge. Ich konnte die Verschlüsselung nun deutlich optimieren. Ich habe mich für die Vernamverschlüsselung entschieden: Unter der Annahme, dass jedes Passwort-Zeichen echt zufällig gewählt wurde, das Passwort genauso lang ist wie der Klartext und das Passwort nur einmal verwendet wird, ist dieses Verfahren sogar nachgewiesenermaßen das einzig bekannte absolut sichere Verfahren.
Dies wurde so nun mit eurer Hilfe so umgesetzt: für jeden Nutzer wird eine Datei erzeugt, in welche für jedes angelegtes Passwort eine Zufallszahl erzeugt wird. Diese Zufallszahl wird verschlüsselt mit dem Master Passwort und der Hardware ID. Daraus errechnet sich eine "verschlüsselte Zufallszahl", die nirgendwo gespeichert wird und nur aus den beiden Werten Masterpass und Hardware ID errechnet werden kann. Diese verschlüsselte Zufallszahl wird verwendet, um mit der Vernamverschlüsselung (One Time Pad) das Passwort zu verschlüsseln. Dabei wir für jedes Passwort eine andere Zufallszahl erzeugt. Im Anschluß an diese Verschlüsselung werden die verschlüsselten Passwörter nochmal gehext.

Damit wird sichergestellt, dass jeder Nutzer und jedes Passwort mit einer anderen Zufallszahl verschlüsselt wird, die nur errechnet werden kann. So gibt es keine Möglichkeit, herauszufinden, ob ein Schlüssel richtig erraten wurde oder nicht. Würde man den Schlüssel nicht, wie oben vorausgesetzt, zufällig wählen, dann wäre diese Eigenschaft nicht gegeben.

Eure Anmerkungen bzw. Anpassungswünsche werde ich einarbeiten. Z.B. hat mir schon jemand signalisiert, es wäre hilfreich, wenn man durch doppelklick auch das Passwort sehen könnte. Und ein weiterer hat darum gebeten, auch den Anmeldenamen mit anlegen zu können. Das werde ich alles noch umsetzen. Ich freue mich auf weitere Rückmeldung.

Beste Grüße!
 

CDW

Moderator
Mitarbeiter
Der Thread liest sich wie eine Werbebroschüre.
Zum Beispiel bei KeePass (aber auch bei allen anderen) werden die Passwörter in die Anmeldemaske dadurch eingetragen, dass diese erst in die Zwischenablage, also in den Arbeitsspeicher,
Ich versuche es mal zu erraten:
Bei Seguro werden nur Register und der Cache benutzt. Ferner, dank der sorgfältigen Benutzung der entsprechenden Security-APIs und dem Verzicht auf den Einsatz eines Garbage Collectors samt Standardbibliothekfunktionen, landen nie und niemals einige Dutzend entschlüsselte Passwortkopien im Heap, auf dem Stack und im Swap :rolleyes:
spm hat gesagt.:
Also dass nenne ich mal eine Sicherheitslücke. Mit jedem Clipboard Sniffer können damit die in die Anmeldemaske eingegebenen Passwörter ausgelesen werden. Ihr könnt das mal mit den Passwort Managern testen. Z.B. mit dem KeePass.
...
Aber ich bin mir nicht sicher ob du mich verstanden hast: der Unterschied liegt darin wo das Passwort gespeichert wird: bei Seguro wird das Passwort 1. verschlüsselt und 2. nicht im Clipboard gespeichert. Bei Keepass und PasswordSafe wird das Passwort 1. unverschlüsselt und 2. in das Clipboard (also die Zwischenablage) gespeichert.

Das ist schlichtweg falsch. Schwerwiegender finde ich, dass diese Behauptung auch noch auf der offiziellen Seite für Werbung eingesetzt wird: "Wenn Sie KeePass oder PasswordSafe oder andere benutzen, um sich in ihr Konto (Email, Facebook usw.) anzumelden, wird diese Software das Passwort anzeigen. "

Zum einen gibt bei Keepass "AutoType".

4295-software-testen-screen.png

Auto-Type - KeePass
Standardmäßig mit Ctrl-V verknüpft, verzichtet auf die Benutzung der Zwischenablage und konnte bei meinen Tests nicht mit einem einfachen Demo-Keylogger (xspy) abgegriffen werden.

Zum anderen ist man sich da schon seit mindestens 10 Jahren der Llücke bewusst und hat sich Gedanken darüber gemacht:
Two-Channel Auto-Type Obfuscation - KeePass
Two-Channel Auto-Type Obfuscation - KeePass


spm hat gesagt.:
Und den Clipboard kann man sehr einfach auslesen. Ich habe euch einen solchen Clipboard Leser in meinem letzten Beitrag gepostet. Das Programm erhält sofort eine Nachricht, sobald etwas in die Zwischenablage kopiert wird. Und ihr werdet sehen, dass die mit Keepass eingetragenen Passwörter problemlos gespeichert werden. Diese Funktionalität besitzen viele Überwachungsprogramme das könnt ihr mir glauben. Wer glaubt, dass er mit KeePass sicher vor dem Datenklau ist, wenn auf dem PC eine Software wie Wolfeye Keylogger läuft, der irrt sich. Mit Seguro kann das nicht passieren.
...
ist dieses Verfahren sogar nachgewiesenermaßen das einzig bekannte absolut sichere Verfahren.
...
Seguro Passwort Manager soll aber gerade vor dem Passwort Klau durch Keylogger Trojaner usw. schützen. Es ist weniger für Menschen gedacht, die sich keine Passwörter merken können (weil sie sehr komplizierte wählen).
...
Der Seguro Passwort Manager ist gerade dafür optimiert, dass er vor Hackern schützt.
Die Behauptungen werden nicht wahr(er) (bzw. nachvollziebar(er)), wenn sie in jedem Posting 3-4 mal wiederholt werden, daher würde ich doch bitten auf die exzessive (Be)Werbung in der Diskussion zu verzichten und bei den Tatsachen (und Thema) zu bleiben.
 
Oben