Sicherheit/Keypass/virtuelles Keyboard

    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      Hi, wird atm viel drüber gesprochen, aber hab das gefühl ich weiß imemrnoch nix.

      Also mein system

      hab ne firewall (nicht windoof standard)
      antivirenProg
      spybot
      und nun auch keepass

      nur hierzu ne Frage, wie sicher ist das?
      hab mir dann noch das plugin mit der virtuellen Tastatur dazugepackt.
      was ursprünglich wie ne tolle idee aussah bereitet mir jetzt schon wieder Kopfzerbrechen.
      die plugins werden nicht von den KeeSafe typen gemacht/überprüft.
      hab mir den hier : http://keepass.info/plugins.html
      runtergeladen, heisst :
      On-Screen Keyboard
      Extends KeePass by an on-screen keyboard functionality.

      Hab ich jetzt was kluges gemacht oder was dummes?

      eben mein email passwort und pokerpasswort geändert und natürlich fleißig mit virtuellen Tast. eingegeben und nur noch im keepass gespeichert.

      bin ich safe oder muss ich immernoch angst haben ob die kohle auch noch da ist wenn ich mich einlogge???

      und wer hat da plan, wie sinnvoll/sicher ist keepass, wird ja hier hochgepriesen, aber taugt das auch was oder wird aus dem sicherheitstool ne sicherheitslücke?

      und bitte was zu dem plugin zu keepass sagen wenn jemand ne ahnung hat.

      würd mich sehr über eine: "wie schütze ich mich und meine BR" diskussion freuen.
      bei dem was da in letzter zeit so los ist. als paranoia typ dachte man bisher man ist bissel gagga wegen hacks, aber es scheint man kann ned genug paras haben sobald inet was mit $$ u tun hat.
  • 37 Antworten
    • Fetzi86
      Fetzi86
      Bronze
      Dabei seit: 11.09.2007 Beiträge: 501
      Ich habs mir auch geholt und mir ein random Passwort erstellen lassen. Das rauszufinden dürfte zumindest nicht so leicht sein, schließlich kenn ich es nicht einmal selbst.

      Dafür ist das Programm denk ich auch gedacht: nur noch den Masterkey kennen, alle anderen Passwörter brauchste nicht zu wissen.

      Einziges Problem: Du darfst das Database file nicht verlieren, sonst kommst du selbst nirgends mehr rein. Also Sicherheitskopie nicht vergessen!
    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      wie funktioniert das mit der datei genau?
      du meinst die pwsafe.key?

      was soll die bringen? kann man die umbenennen?
      abspeichern wo man will? weil ist doch nicht schwer so ne datei zu finden.

      entschuldige bitte falls dir hier grad extreme dummheit entgegenschießt, aber bin noch relativ planlos wie du siehst.
      war grad fast schon ne panikaktion, schnell alles ändern, da ich ja ned ganze zeit im pokerraum eingelogged bleiben kann :D

      €: ach du meinst garned die keydatei sonder database dings... ahhhhh!! muss man die verstecken oder besonders gut behandeln oder ist das teil sicher egal wo es auf de rplatte liegt?
      und wenn duw as gegen das unwissen mit dieser keydatei tun könntest ;)
    • arebew
      arebew
      Bronze
      Dabei seit: 12.01.2008 Beiträge: 879
      Kann mich meinem Vorredner nur anschließen.
      Lass dir immer schön ein random Passwort generieren, wenn möglich mit Sonderzeichen etc. Ich schau immer, dass die Passwörter mindestens 80 Bits stark sind, dann sind sie schon relativ unknackbar, soweit ich weiß. Also was heißt unknackbar, es dauert einfach verdammt lange, bis ein Hacker so ein Passwort geknackt hat.
      Das Master-Passwort sollte natürlich noch um einiges stärker sein, aber du solltest es dir auch merken können ;)

      Mit diesen OnScreen Tastaturen kenn ich mich gar nich aus, da kann ich dir nichts zu sagen.

      Ah btw., ich hab Windoof-Standard Firewall :P Noch nie nen Virus gehabt oder Ähnliches, die blockt halt einfach so ziemlich alles ab ;)

      ich häng mal noch ein edit an^^:
      ich denke, er meinte die database.kdb-Datei, die solltest du dir einfach regelmäßig an einen zweiten Ort sichern. Die Datei ist durch dein Master-Passwort geschützt, von daher brauchst die nich extra schützen.
    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      noch ne zusätzliche frage, im keepass erscheint bei mir Backup unter general, mit den email daten drin?!?!
      ist das normal oder was soll das?
    • arebew
      arebew
      Bronze
      Dabei seit: 12.01.2008 Beiträge: 879
      Das Backup steht normalerweise separat, hast du richtig geschaut? ;) Und ja, da steht quasi alles drin, was du bis jetz eingegeben hast. So isses mal zumindest bei mir.
    • BayesLaw
      BayesLaw
      Global
      Dabei seit: 09.07.2007 Beiträge: 2.626
      Original von fishkopp
      entschuldige bitte falls dir hier grad extreme dummheit entgegenschießt, aber bin noch relativ planlos wie du siehst.
      war grad fast schon ne panikaktion, schnell alles ändern, da ich ja ned ganze zeit im pokerraum eingelogged bleiben kann :D

      €: ach du meinst garned die keydatei sonder database dings... ahhhhh!! muss man die verstecken oder besonders gut behandeln oder ist das teil sicher egal wo es auf de rplatte liegt?
      und wenn duw as gegen das unwissen mit dieser keydatei tun könntest ;)
      Das ist wie ein zweites Passwort. Nur kann die Datei wesentlich länger sein, da man sich die nicht merken kann. Und ja die datei kann irgendwo sein und irgendwie heissen.
      Der Vorteil ist, wenn jemand deine Keystrokes loggt fehlt ihm noch immer die Datei. Er braucht noch immer die Datei.
      Und man kann auch so ein System aufbauen wo immer zwei anwesend sein müssen mit ihren Keyfiles (via USBstick z.b.)
    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      k das klingt schonmal cool, danke für eure hilfe!
      jetzt hoff ich nur noch das mir irgendwer entwarnung geben kann für das bildschirmtastatur plugin, weil sonst war aller guter wille fürn arsch....
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Also ich würde mal behaupten, dass die virtuelle Tastatur gar nichts bringt, da normalerweise die Eingaben über die gleiche Schnittstelle laufen, wie bei einer normalen Tastatureingabe. Dementsprechend wird sie jeder Keylogger genau so abfangen.

      Wenn das bei der Keypass Tastatur irgendwie anders funktioniert, bitte ich um Aufklärung
    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      ich wäre für den beginn schonmal froh wenn mir jemand sagt das plugin ist selbst kein keylogger/trojaner etc ... omg sicke welt.

      kann dich leider nicht uafklären, alle ham immer von virtuellen tastaturen gelabert und der bauer(das bin in dem fall wohl ich) schnappt das auf und will den käse...
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Hihi, solang der Käse mundet.....

      Lass doch die Datei einfach von nem Virenscanner checken. Denke schon, dass nen aktuelles Update in dem Ding nen Trojaner erkennen würde, wenn es denn einer ist. Ansonsten wäre ich mir persönlich ziemlich sicher, dass es mit dem Plugin keine Probleme gibt, da du es scheinbar von der Keypass Seite runterladen kannst. Selbst wenn die ihre Plugins nicht selbst überprüfen, wäre es sicher schon mal jemand anderem aufgefallen..

      Aber wie gesagt, nen Keylogger fängt die Eingaben der Tastatur nicht "an der USB Schnittstelle" ab, sondern irgendwo janz anders im System. Habe vergessen, wie dat Dingen heißt. Eine Eingabe von einer Bildschirmtastatur ist dann halt fürs Betriebssystem irgendwann wie eine normale Tastatureingabe. Und da greift der Keylogger ab...

      Im Normalfall bringt so eine Bildschirmtastatur gar nichts. Ich kenne auch keine Ausnahme.
    • fishkopp
      fishkopp
      Bronze
      Dabei seit: 16.02.2008 Beiträge: 1.578
      jow hier steht was anderes, soll scheinbar doch schützen... http://de.wikipedia.org/wiki/Keylogger
      naja bin a ber für jede info dankbar, weil das eintippen über virt. keyb. nervt extremst. wenns dann auch noch fürn arsch wär. omg...

      €: LOL

      k bringt doch nix, habs zwar gelesen aber wohl doch ned.....
      schützt nur vor HW keylogger.
      frag mich warum alle immer von der scheise gelabert haben?!?!? wer hat denn bitte angst vor HW keylogger... narf
      und ich hock hier und tipp mir einen mit dem scheis ab. zum kotzen
      aber meine akute leseschwäche spricht gegen das wach sein, erklärt vllt warum ich grad übelst im CG $$ verdonkt hab. mus snun penne hoffen meine br is morgen noch da.
      adios und nochmals merci
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Ja, spiele gerade auch nicht das große Poker der Zukunft. Hatte schon bessere Tage... ^^

      Das Problem ist leider, dass hier ziemlich viele Möchtegern Experten rumrennen. Die Diskussion um die virtuelle Tastatur gab es schon ein paar mal. Und viele Leute haben es immer noch nicht begriffen, dass es nichts bringt...

      Sinnvoller ist da wohl das direkte Einfügen des Passwortes von Keypass über die Zwischenablage. Keylogger können zwar auch die Zwischenablage ausspähen, aber das macht wohl nicht jeder. Außerdem bietet wohl Keypass irgendeinen Zwischenablagenschutz.

      Ich habe mich allerdings noch nie damit beschäftigt, was das Ganze in der Praxis bringt und wie sicher die Zwischenablage ist. Von daher ist das eher gefährliches Halbwissen. Imo ist es aber wohl auf diesem Wege sicherer als das Passwort direkt einzugeben....
    • Lhurgoyf
      Lhurgoyf
      Bronze
      Dabei seit: 27.05.2006 Beiträge: 512
      So um dir mal deine Angst zu nehmen: Das Plugin ist mit fast 100% Sicherheit keine malware o.ä. sondern einfach nur ein gutes tool :-)
      Wenn ich mich nicht irre kann man entweder zu der virtuellen tastatur noch ein weiteres plugin runterladen, welches dem pc "vorspielt" dass mehrer tasten gleichzeitig gedrückt werden. Also dadurch werden die eigegebenen Buchstaben verschlüsselt und erst Keepass entschlüsselt das Signal wieder.

      p.s. Falls ich hier irgendeinen schwachsinn erzähle dann tut es mir sehr leid.
      (Die infos habe ich aus dem Innoko-Accounthacking threak den ich damals verfolgt hatte)
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Und bringen tut es trotzdem nichts. Einen Keylogger interessiert es nicht, ob die Hardware Tastatur benutzt wurde oder eine virtuelle. Läuft bei Windows über die gleiche Schnittstelle und ist daher nutzlos.

      Es sei denn, das Tool hat noch irgendwelche anderen abgefahrenen Schutzsysteme, die irgendeine Wirkung haben.

      Zu dem anderen Ding kann ich nichts sagen. Ich hatte noch irgendwie im Brain, dass Keypass selber mit dem Zwischenablagenschutz irgendwelche künstlichen Tastatureingaben erzeugt und nem potentiellen Keylogger vorgaukelt...
    • WuerfelRudi
      WuerfelRudi
      Black
      Dabei seit: 05.07.2005 Beiträge: 2.055
      Hallo,

      gibts es irgendwo ne deutsche Anleitung für keepass ? Werden die Loginnamen und die generierten Passwörter dann automatisch an die Webseiten bzw. Pokeranbieter übertragen oder muss ich die von Hand eintragen ?

      Rudi.
    • dye
      dye
      Bronze
      Dabei seit: 17.03.2007 Beiträge: 1.440
      Hier nen Bild von Website:


      Das Programm ist hauptsaechlich zum managen deiner Passwoerter gedacht und nicht dafuer die Uebertragung derer sicherer zu machen.
      Du klickst dann fuer gewoehnlich auf "Copy Password", und fuegst es dann in deinen Pokerclient ein.
      Merken musst du dir nur das Masterpasswort, fuer alle anderen Sachen machst einfach randompasswoerter musst dir ja eh nicht merken. Das Programm soll dir nur die Merkarbeit ersparen.


      Gibt ja Techniken um z.B. dein PS.DE Passwort beim ganz normalen surfen zu kriegen. Wenns jetzt das gleiche ist wie bei PartyPoker etc. ist das natuerlich eher dumm. Deswegen ueberall nen anderes Passwort.


      PS.DE koennte das uebrigends easy verhindern, dass man die schwachen PWs rauskriegt, indem sie die md5 Hashes salten, stattdessen nerven die einen lieber mit einer Mail.
    • MrTef1on
      MrTef1on
      Bronze
      Dabei seit: 21.05.2007 Beiträge: 1.001
      Mal angenommen man lässt sich ein möglichst kompliziertes und sicheres Passwort generieren oder denkt sich eins aus und merkt sich das (und schreibts von mir aus auf nen Zettel an den niemand dran kommt bzw. den niemand außer man selbst versteht) und gibt das jedesmal einfach normal ein. Ist das viel unsicherer als mit Keypass? Kann mir jemand wirklich bestätigen dass es beim kopieren aus Keypass fast unmöglich ist dieses herauszubekommen?

      Irgendwie wirkt die Tatsache dass ein möglicher Hacker nur das Masterpasswort braucht um an alle meine Passwörter dranzukommen auf mich doch recht unsicher...
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Original von dye



      PS.DE koennte das uebrigends easy verhindern, dass man die schwachen PWs rauskriegt, indem sie die md5 Hashes salten, stattdessen nerven die einen lieber mit einer Mail.
      Hihi, die Mail war aber scheinbar immerhin gut gemeint. Ich habe sie mir sogar durchgelesen, nur um dann festzustellen, dass ich soeben 5min. meines Lebens verschenkt habe...

      Nein, ist schon O.K. mit der Mail. Gibt ja auch einige total Planlose, die sich darüber noch nie Gedanken gemacht haben und sich dann wundern, wenn die 30€ Bankroll futsch ist. Da finde ich es schon super, dass uns PS.de so umsorgt.
    • BetPotBot
      BetPotBot
      Bronze
      Dabei seit: 28.06.2008 Beiträge: 138
      Original von MrTef1on
      Mal angenommen man lässt sich ein möglichst kompliziertes und sicheres Passwort generieren oder denkt sich eins aus und merkt sich das (und schreibts von mir aus auf nen Zettel an den niemand dran kommt bzw. den niemand außer man selbst versteht) und gibt das jedesmal einfach normal ein. Ist das viel unsicherer als mit Keypass? Kann mir jemand wirklich bestätigen dass es beim kopieren aus Keypass fast unmöglich ist dieses herauszubekommen?

      Irgendwie wirkt die Tatsache dass ein möglicher Hacker nur das Masterpasswort braucht um an alle meine Passwörter dranzukommen auf mich doch recht unsicher...
      Wenn ein Hacker durch einen Keylogger dein Masterpasswort bekommt, bringt ihm das zunächst mal nichts, da er von außerhalb nicht auf deine Keypass Datenbank zugreifen kann. Das ist nämlich wesentlich schwieriger (bzw. bei vernünftiger Konfiguration nahezu unmöglich), als ein Passwort zu sniffen.

      Das Kopieren des Passworts in die Zwischenablage bietet wohl schon einen gewissen Schutz, da nicht alle Keylogger die Zwischenablage ausspionieren. Außerdem bietet Keypass ja auch irgendeinen Zwischenablagenschutz, den man glaube ich in den Optionen aktivieren muss. Was der macht und was der taugt, kann ich leider nicht sagen.

      Generell gilt aber halt sowieso, eine Verkettung von Sicherheitsmechanismen (Antivir, Firewall, Router, lange Passwörter, usw.) bringt halt optimalen Schutz. Und das beste ist sowieso, sich keinen Keylogger einzufangen. Ich frage mich sowieso, wie die Leute das immer wieder schaffen.
    • 1
    • 2