Keypass

    • Mephisto89
      Mephisto89
      Black
      Dabei seit: 15.08.2007 Beiträge: 4.860
      hi,

      da sich ja die "mein acc wurde gehackt" threads in letzter zeit so häufen, wollte ich mir mal keypass für meine ganzen passwörter zulegen, nur hab ich jetzt noch ne frage ;)

      also ich weiß ja, dass es damit deutlich sicherer ist (stichword keylogger), aber ist es für einen potentiellen hacker nicht genau so einfach mir die pw zu "stehlen"? er müsste doch nur iwie (zb eben mit keyloggern) an mein master pw kommen und mir dann die database, auf der die pw gespeichert sind klauen. schon hat er alle ?(
      also diese keypass database einfach auf nen usb stick geben, oder wie für höchstmöglichen schutz vorgehen?
  • 88 Antworten
    • SmokinC
      SmokinC
      Bronze
      Dabei seit: 17.12.2006 Beiträge: 1.353
      Du kannst noch eine Schluessel-Datei anlegen welche vor Oeffnen der PW-DB geladen werden muss. Wenn du diese auf einen USB Stick packst ist es IMO recht schwer die DB zu hacken.
    • Mephisto89
      Mephisto89
      Black
      Dabei seit: 15.08.2007 Beiträge: 4.860
      k, danke für die schnelle antwort ;)
    • elbarto132
      elbarto132
      Bronze
      Dabei seit: 24.03.2008 Beiträge: 4.622
      keepass bringt ungefähr genauso viel wie ne software firewall, also garnix

      das is nur dafür da wenn du zu doof bist dir deine pws zu merken
    • Mephisto89
      Mephisto89
      Black
      Dabei seit: 15.08.2007 Beiträge: 4.860
      Original von elbarto132
      keepass bringt ungefähr genauso viel wie ne software firewall, also garnix

      das is nur dafür da wenn du zu doof bist dir deine pws zu merken
      sogar ich weiß, dass deine aussage völliger quatsch ist
    • SmokinC
      SmokinC
      Bronze
      Dabei seit: 17.12.2006 Beiträge: 1.353
      Ne das ist Unsinn, es macht sehr wohl einen Unterscheid ob mein Passwort jetzt Heinzgerd1967 lautet oder 3Gh%%/-jTF58!!ßigTpp$ und letzteres ist ohne Keypass einfach unmoeglich zu handhaben ;)

      *edit bezeiht sich natuerlich auf elbarto nicht aus Mephistos neue Antwort ;)
    • elbarto132
      elbarto132
      Bronze
      Dabei seit: 24.03.2008 Beiträge: 4.622
      Original von Mephisto89
      sogar ich weiß, dass deine aussage völliger quatsch ist
      wissen oder glauben?


      Original von SmokinC
      Ne das ist Unsinn, es macht sehr wohl einen Unterscheid ob mein Passwort jetzt Heinzgerd1967 lautet oder 3Gh%%/-jTF58!!ßigTpp$
      und wo liegt da jetzt fuer nen keylogger genau der unterschied? erklaer mal
    • SmokinC
      SmokinC
      Bronze
      Dabei seit: 17.12.2006 Beiträge: 1.353
      Weil ich das PW nie ueber die Tastatur also Standard-System.in eingebe!!!
      Ich kopiere das PW ja aus Keypass heraus. Und normalerweise werde ich mein Master PW auch nicht ueber dei Tastatur sondern via Mauskeyboard eingeben, Selbst wenn deises PW aufgezeichnet werden sollte, so brauche ich immernoch die SchluesselDatei!
    • Mephisto89
      Mephisto89
      Black
      Dabei seit: 15.08.2007 Beiträge: 4.860
      außerdem gehts hier nicht nur um keylogger, sondern auch um andere sachen, wie zb bruteforce attacken und was weiß ich, was es in dieser richtung noch gibt.
    • elbarto132
      elbarto132
      Bronze
      Dabei seit: 24.03.2008 Beiträge: 4.622
      Standard-System.in.... hoert sich ja interessant an... sowas gibts aber net

      die ganze kommunikation in windows laeuft ihr ueber das tolle windows messaging, abgekuerzt WM. da laufen die keepass passwoerter die in die programme eingegeben werden drueber, alles was du mit der tollen bildschirm tastatur eingibst usw....
      und alles was darueber lauft kann man abfangen
    • DaBonzo
      DaBonzo
      Bronze
      Dabei seit: 25.05.2006 Beiträge: 878
      Jetzt schieb mal keine Panik. Dann gibt es ja gar keine Sicherheit und wir sind den Script-Kiddies ausgeliefert.. So arg ist es auch nicht wenn man ein paar Grundregeln befolgt. Und was hast du davon wenn du dir dein PW merkst? Irgendwie musst du es ja eingeben. Oder ist für dich die sicherste Variante gleich das Passwort gespeichert zu lassen? Dann kannst du nichts eingeben und somit nichts loggen. Aber ja, dann ist ja noch WM. Wie auch bei der Firewall, so eine Sicherheit ist besser als gar keine. Ohne FW bin ich innerhalb 15 min verseucht(mit nem löchrigen System). Also lass die Leute ihr System so gut wie möglich sichern und nicht gleich alle niedermachen weil ja eh alles nichts nützt.
      Zu Kepass: Am besten Kombination Master-PW und Keyfile. So kann er nicht gleich rein wenn er zufällig dein keyfile hat und das PW nicht und umgekehrt.
      Keepass hat eigene SecureEditControls wo das WM nichts nützt. Die Scwachstelle ist die Übertragung in die Felder ( nehme ich jetzt an, genaue Infos am besten im keepass Forum nachfragen) . Auch während die Pw im Speicher sind , sind diese nicht sichtbar. Sie werden dann Über Clipboard in die Eingabefelder kopiert. Das löst Keepas das es nur eine Operation zulässt. Danach wirs Clipboard gelöscht und in dieser Session ist kein Clipboarboperation mit diesem Speicherelement mehr möglich.
      Also scützt ruhig eure Rechner. Es bringt auf jeden Fall mehr als gar nichts zu machen weil es laut elbarto ja eh keinen Sinn macht
    • elbarto132
      elbarto132
      Bronze
      Dabei seit: 24.03.2008 Beiträge: 4.622
      ja, auto login ftw, definitiv das bequemste
      wenn man nen keylogger oder trojaner drauf hat kommt der sowieso ans pw

      so nen programm wie keepass taeuscht einfach ne sicherheit vor die es nicht bietet, und dadurch werden die bentzer unvorsichtig
    • Lophec
      Lophec
      Bronze
      Dabei seit: 04.11.2006 Beiträge: 2.068
      Original von elbarto132
      so nen programm wie keepass taeuscht einfach ne sicherheit vor die es nicht bietet, und dadurch werden die bentzer unvorsichtig
      immer das gleiche schwachsinns-blabla..
      nur weil ich keypass/FW draufhabe werde ich deshalb sicher nicht unvorsichtiger :rolleyes:

      keypass bringt natürlich keineswegs ne ultimative sicherheit für dein passwörter, dass heißt aber noch lang nicht das es komplett unnütz ist.
    • promoe
      promoe
      Bronze
      Dabei seit: 21.04.2006 Beiträge: 1.694
      ja, auto login ftw, definitiv das bequemste
      wenn man nen keylogger oder trojaner drauf hat kommt der sowieso ans pw




      Ist schon ziemlich brutal was man hier teilweise liest.
      Mal von dem ganzen "Insidergequatsche" in den "xxx-Acc hacked" Threads abgesehen. 90% der Leute ham eh kaum nen Plan aber sabbeln dicke rum.
      Autologin ... zomg
      Am besten noch alle PWs inner unverschlüsselten Datei auf dem Rechner speichern und cracks von russischen Seiten ziehen.

      *mimimi mein acc ist gehacked worden, ka wie das passieren konnte*
    • elbarto132
      elbarto132
      Bronze
      Dabei seit: 24.03.2008 Beiträge: 4.622
      ich würde sogar sagen das auto login sicherer is als pw per hand eingeben oder keepass
      grund dafür is ganz einfach: nen keylogger liest alle pws mit die irgendwo eingegeben werden. viele keylogger sind eher für bankdaten etc gedacht, aber wenn man sowas wie keepass benutzt wird der keylogger jede passwort eingabe mit bekommen, und das wird dann halt auch mal weiter gesendet, weil kann man ja mal gebrauchen.
      wenn man nun auto login benutzt wird nen keylogger der für was anderes gedacht is davon überhaupt nix mitbekommen, es is für den keylogger so als würdet ihr z.b. word starten. also muss der keylogger speziell für poker software geschrieben sein, denn er muss ja extra die datei wo das passwort gespeichert wird auslesen.
      und die keylogger die speziell für poker software geschrieben sind machen wohl nur nen bruchteil aus
      wenn wer ne gegenteilige ansicht begründen kann nur zu, da die meisten aber nur rumheulen können wie promoe gehe ich mal nicht davon aus ;)
    • tonyhawk49
      tonyhawk49
      Bronze
      Dabei seit: 07.02.2006 Beiträge: 528
      Der unbekanntheitsgrad wirkt sich aber negativ auf die Warscheinlichkeit aus, dass dein Scanner den Schädling erkennt.
      Du musst dir nur eine Spyware einfangen (z.B. über die gehackte PT Seite) die die PWs aus den Ordnern holt. Und da die Spyware unbekannt ist hilft dir auch dein Virenscanner nicht.
    • promoe
      promoe
      Bronze
      Dabei seit: 21.04.2006 Beiträge: 1.694
      ich würde sogar sagen das auto login sicherer is als pw per hand eingeben oder keepass


      Ja und das disqualifiziert dich einfach als jemanden den man ernst nehmen sollte.
      Autologin ist einfach n übles leak. Jeder Arsch, der remote access auf deinen Rechner bekommt kann sämtliche Dateien durchgucken, oder meinste dein Autologin kommt vom kosmischen Rauschen um deine Festplatte?
      Das geile ist sogar noch, dass deine Keylogger-Theorie nahelegt, dass man sein PW selber eingeben sollte da es ja "nicht soviele Keylogger gibt, die auf pokersoftware ausgerichtet sind".
      Mann Mann

      1. protokolliert n normaler Keylogger ALLE deine Eingaben
      2. würde ich, wenn ich dir schon son Ding auf den Rechner schleuse ihn sicher so konfigurieren, dass er onlinebanking PWs, Netteller etc. nicht aufzeichnet, aber nur deine Pokersoftwaredaten (ist klar ne?)

      Fakt ist: Es ist um einiges einfacher remoteaccess auf deinen Rechner zu bekommen und Dateien durchzugucken als selber was draufzuspielen bzw. zu installieren. Aber da hier 90% der Leute sowieso standard mit Adminrechten an ihrem Rechner rumpfuschen gehts halt auch relativ easy, besonders wenn die betroffene Person dann auch noch keinen Plan von Rechnern hat.

      Es ist echt gruselig was man hier liest, vorallem wie irgendwelche Kollegen wie Du sich öffentlich hinstellen und andere Leute noch dazu ermutigen grob fahrlässig mit ihren Accounts umzugehen, und ja, das ist echt zum "Rumheulen".
    • DaBonzo
      DaBonzo
      Bronze
      Dabei seit: 25.05.2006 Beiträge: 878
      Original von elbarto132
      ja, auto login ftw, definitiv das bequemste
      wenn man nen keylogger oder trojaner drauf hat kommt der sowieso ans pw

      so nen programm wie keepass taeuscht einfach ne sicherheit vor die es nicht bietet, und dadurch werden die bentzer unvorsichtig
      Würde eher das Gegenteil behaupten. Sobald sich die Leute Gedanken machen ihr System irgendwie zu schützen, werden Sie auch weitere Infos holen und überhaupt sorgfältiger mit Ihrer Sicherhet umgehen. Ultimativ ist nichts, aber Autologin , na ja ;)
    • Shore
      Shore
      Bronze
      Dabei seit: 11.11.2007 Beiträge: 4.086
      Ich verstehe gar nicht, wie man opfer eines Keyloggers werden kann, wenn man Keypass benutzt. Man gibt die Passwörter nicht mehr über Tastertur ein, sondern lässt sie per Autotype ausführen. Selbst bei der Erstellung eines neuen Passworts kann man das über den Generator erstellen und rauskopieren. Einzig und allein das Masterpasswort muss per Tastertur eingegeben werden. Aber, wenn man gleichzeitig ein Keyfile benutzt, dass nicht auf dem Rechner liegt und z.B. per USB-Stick eingespeist wird, erhöht sich auch diesbezüglich die Sicherheit.
    • DaBonzo
      DaBonzo
      Bronze
      Dabei seit: 25.05.2006 Beiträge: 878
      @shore
      An sich ist Keepass sicher als Programm. Hat die SecureEditControls und Verschlüsselung der PW im Speicher. Da hat WM und Speicher auslesen keine Chance. Die Schwachstelle könnte aber das Übertragen der PW auf die Eingabefelder wqerden da dass über Clipboard geht und eigentlich sichtbar sein muss. Vermute ich aber nur.Da es mich interessiert werde ich mich mal im Forum bei denen nachschauen