Passwortverwaltung mit verschlüsseltem USB-Stick IronKey

    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      Hallo,

      was haltet ihr von dem USB-Stick IronKey (die Personal Version) und hat schonmal wer den Passwortmanager daraug getestet?
      https://www.ironkey.com/demo

      - USB-Stick mit Hardware-Verschlüsselung für Windows, Linux und Mac.
      - Für Windows ist auch ein Passwortmanager enthalten.
      - Bei mehrmaliger Passwortfehleingabe zerstört sich der Stick selber
      - Über den integrierten Firefox, kann man angeblich sicher surfen:
      Eine auf dem Stick vorinstallierte Version von Firefox ermöglicht sicheres surfen im Internet über "secure sessions". Dabei wird zwischen dem Anwender und den Servern von Ironkey ein sicherer, verschlüsselter Tunnel aufgebaut. Sodann werden die Daten über ein modifiziertes TOR Netzwerk von den Ironkey Servern weitergeleitet. Dies gewährt ein höchstmass an Sicherheit und Anonymität.


      Und über die Verschlüsselung steht folgendes, mit dem ich nicht allzu viel anfangen kann:
      Hardware Encryption

      Data: AES Cipher-Block Chained mode
      Encryption Keys: 128 Hardware DRNG
      PKI: 2048-bit RSA
      Hashing: 256-bit SHA
      FIPS Validations: 140-2 Level 2, 186-2, 197



      Die Frage, die ich mir vor allem stelle, ist halt, wie gut der Passwortmanager ist, und ob der eventuell sicherer als Keepass oder Password Depot ist.
  • 27 Antworten
    • Zeus79
      Zeus79
      Bronze
      Dabei seit: 29.07.2007 Beiträge: 12
      Welche Sicherheitsbedenken hast du bei der Verwendung von KeePass? Ich benutze das Tool schon seit über einem Jahr und mir sind bis jetzt noch keine Probleme zu Ohren gekommen.
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      ich habe auch keine Bedenken gegen KeePass oder Pasword Depot (ich benutze bisher Password Depot). Aber 100%-tige Sicherheit gibt es nicht, deshalb kann es auch bei sehr sicheren Produkten noch sicherere Produkte geben.

      Außerdem weiß ich nicht, wie die Passwortdatei beim IronKey gespeichert wird. Bei normalen Passwortmanagern könnte ja theoretisch ein Keylogger das Masterpasswort mitloggen und die Passwortdatei kopieren. Ob das beim Ironkey auch möglich ist, weiß ich nicht.

      Außerdem hat er halt nette Zusatzfunktionen^^.
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      dann guck Dir mal auch "Roboform2go" an

      edit: für 10 pw´s kostenlos; dürfte fürs pokern & banking ausreichend sein
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      Roboform2go ist doch nur ein ganz normaler USB-Stick, wo halt eine Passwortverwaltung drauf ist, oder? Oder findest du die Passwortverwaltung besser als Passwort Depot oder KeePass? (hab nur die Beschreibung gelesen)
    • Zeus79
      Zeus79
      Bronze
      Dabei seit: 29.07.2007 Beiträge: 12
      Ich kenne dein Sicherheitsbedürfnis nicht, aber ich denke mit dem Teil schießt du übers Ziel hinaus. Gegen einen Keylogger hilft es dir meiner Meinung nach nicht und die restlichen Features sind wohl eher was für Mr. 007 ;)

      Wenn du auf deinem PC eine vernünftige Firewall und einen guten Virenscanner hast, dann reichen KeePass oder Password Depot sicher aus.
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      offtopic:
      Original von Zeus79
      Wenn du auf deinem PC eine vernünftige Firewall und einen guten Virenscanner hast, dann reichen KeePass oder Password Depot sicher aus.
      P.S.: das eine (FW+VC) hat mit dem anderen (KP+PD) jedoch nichts zu tun (Kausalität)
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      klar ist so ein Tool sicher nicht unbedingt notwendig. Aber da immer mehr Accounts gehackt werden, kann maximal mögliche Sicherheit ja nicht schaden.

      Ich habe jetzt übrigens gefunden, dass die Passwortdatei nicht kopiert werden kann, angeblich. Also dürfte es ja doch auch nichts machen, wenn ein Keylogger das Masterpasswort mitloggt, oder?

      How is IronKey's Password Manager more secure than using a password manager software program on a regular USB flash drive?

      The IronKey Password Manager is more secure than using password manager software on a regular USB flash drive for several reasons:

      * The IronKey dual-encrypts your passwords with software and hardware encryption using different keys.
      * The IronKey architecture prevents brute-force password guessing attacks in hardware, protecting your passwords in case your IronKey is lost or stolen. Regular USB flash drives, and even USB flash drives with software encryption do not offer this protection.
      * The IronKey Password Manager does not store your passwords in a file on the file system of the flash drive. Regular USB flash drives, and even flash drives with software encryption, can allow the password database or file system to be copied off the flash drive where hackers can use brute-force password guessing attacks to break the cryptography and obtain your passwords.
      * The IronKey has a secure online backup service, allowing you to recover your passwords in case you lose your IronKey device. This means you don't have to have multiple copies of your password database floating around.
      * It is hard to trust the myriad of password manager software tools that you can download off the Internet, as you typically cannot even find out the name of the companies that created them. Although somewhat unlikely, it would be difficult to ensure that some of these tools were not written by identity thieves for stealing your passwords. In contrast, the IronKey was developed by a team of well-known security professionals. IronKey is a California company backed by major Silicon Valley venture capitalists, and has partnerships with some of the largest security and electronics companies in the world.
      * The IronKey system was designed with security and privacy as the number one goals. Other password manager tools are designed by programmers who are focused on convenience, and who may add some encryption as an afterthought. IronKey goes far beyond simple software encryption to protect your passwords.
      (https://learn.ironkey.com/faqs/16#disp)

      und:
      How does this protect me against keystroke-logging spyware?

      If you plug your IronKey into a computer that has keystroke logging software on it, or if your computer becomes infected with a keystroke logger, you will be protected because the IronKey Password Manager enters your passwords for you into your web pages, instead of you typing them in.
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von klausschreiber
      klar ist so ein Tool sicher nicht unbedingt notwendig. Aber da immer mehr Accounts gehackt werden, kann maximal mögliche Sicherheit ja nicht schaden.

      Ich habe jetzt übrigens gefunden, dass die Passwortdatei nicht kopiert werden kann, angeblich. Also dürfte es ja doch auch nichts machen, wenn ein Keylogger das Masterpasswort mitloggt, oder?
      z.b. bei "roboform" ist dieses grundsätzlich nicht möglich; ich würde auf diesen Punkt nochmals
      intensiver "draufgucken" bzw. prüfen, vor Produktivsetzung.
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      Danke für deine Antwort.
      Was ist bei roboform2go prinzipiell nicht möglich? Das Kopieren der Passwortdatei? Sorry, hab irgendwie nicht verstanden, wie du den letzten Post meinst^^.
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Das die PW-Datei nicht kopiert werden kann sollte bei allen Scecure-USB obv sein;
      ich habe das im Zusammnehang mit "Masterpassword -> Keylogger" gemeint.
      Hier wäre imo das Verfahren bzw. der techn. "Weg" zur Eingabe zu prüfen.

      Verstehst was ich meine ?

      P.S.: sorry, kenne ´Iron-key´ nicht und habe heute leider keiner Zeit mich da intensiver "reinzulesen"
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      also das Masterpasswort gibt man glaub ganz normal über Tastatur ein. Aber bringt einem Hacker das Masterpasswort etwas, wenn er nicht an die Passwortdatei kommt?
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von klausschreiber
      also das Masterpasswort gibt man glaub ganz normal über Tastatur ein. Aber bringt einem Hacker das Masterpasswort etwas, wenn er nicht an die Passwortdatei kommt?
      also - DAS wäre für mich (!) ein NO-GO; ......na klar bringt das für den Hacker etwas.
      (ein ´keylogger´ hebelt somit das Sicherheitsszenario (welches Du implementierst bzw. ...-en möchtest) kompl. aus !)
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      ja, aber ohne dass er an die Passwortdatei kommt, bringt ihm das Masterpasswort doch nichts, oder? Oder kann er problemos auf meinem Computer, ohne dass ich es merken würde, die USB-Software starten, das Passwort eingeben, den Passwortmamager öffnen und die Passwörter auslesen?
    • Zweery
      Zweery
      Global
      Dabei seit: 07.10.2006 Beiträge: 1.970
      Original von klausschreiber
      ja, aber ohne dass er an die Passwortdatei kommt, bringt ihm das Masterpasswort doch nichts, oder? Oder kann er problemos auf meinem Computer, ohne dass ich es merken würde, die USB-Software starten, das Passwort eingeben, den Passwortmamager öffnen und die Passwörter auslesen?
      This is the Question !!!
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      naja, das Starten des Programms usw. müsste ja doch eigentlich sichtbar sein, oder? Der Hacker müsste ja praktisch wie mit RemoteDesktop, VNC, Teamview oder ähnlichem den PC fernsteuern und die Passwörter per Copy&Paste kopieren.

      Wobei ich mir gar nicht sicher bin, ob das überhaupt möglich ist:
      When you wish to log back into one of your accounts, the Password Manager compares the website that you are visiting with the website where you originally entered your password. If they match, the Password Manager enters your password for you without you having to type it in. If they do not match, then you may be on a phishing site, and the Password Manager will not enter the password for you.

      Wobei es dann fraglich ist, ob es Login-Fenster bei Pokerseiten überhaupt erkennt.
    • pryce99
      pryce99
      Bronze
      Dabei seit: 31.03.2006 Beiträge: 11.109
      Original von klausschreiber
      klar ist so ein Tool sicher nicht unbedingt notwendig. Aber da immer mehr Accounts gehackt werden, kann maximal mögliche Sicherheit ja nicht schaden.

      Ich habe jetzt übrigens gefunden, dass die Passwortdatei nicht kopiert werden kann, angeblich. Also dürfte es ja doch auch nichts machen, wenn ein Keylogger das Masterpasswort mitloggt, oder?
      Das Masterpasswort gibst du eh (wenn du auf Sicherheit wert legst) über die Bildschirm-Tastatur ein. Dann können ~90% der Keylogger eh nichts auslesen.


      Original von klausschreiber
      Wobei es dann fraglich ist, ob es Login-Fenster bei Pokerseiten überhaupt erkennt.
      Meinst du damit, ob dein Key-Manager die Login-Fenster erkennt? Keepass kann bei mir alle Pokerseiten erkennen und füllt die Felder sehr sicher autom. aus ...
    • pryce99
      pryce99
      Bronze
      Dabei seit: 31.03.2006 Beiträge: 11.109
      ... doppelpost
    • klausschreiber
      klausschreiber
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 5.773
      ja, ob der Passwortmanager vom IronKey die Pokerseiten erkennt, ist fraglich, weil der anscheinend nur Firefox2 und InternetExplorer unterstützt. Der Passwortmanager auf dem IronKey scheint insgesamt noch recht funktionsarm zu sein.
      Aber anscheind ist zur Zeit ein komplett neuer bzw. stark erweiterter Passwortmanager in der Mache bzw. schon in der Betaphase.
      Dann warte ich vielleicht erstmal, was dadraus wird. Weil von den Funktionen her scheint der IronKey Passwort-Manager bisher noch nicht mit Passwort Depot oder Keepass mithalten zu können, aber der neue "Identity Manager" soll wohl dann um einiges funktionsreicher sein.
    • Zeus79
      Zeus79
      Bronze
      Dabei seit: 29.07.2007 Beiträge: 12
      Original von Zweery
      offtopic:
      Original von Zeus79
      Wenn du auf deinem PC eine vernünftige Firewall und einen guten Virenscanner hast, dann reichen KeePass oder Password Depot sicher aus.
      P.S.: das eine (FW+VC) hat mit dem anderen (KP+PD) jedoch nichts zu tun (Kausalität)
      Wenn ich eine vernünftige FW laufen habe wird es für eine Keylogger schwierig die Daten zu versende … da kann er loggen was er will. Oder sehe ich das Falsch?
    • 1
    • 2