1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Studie: Passwortmanager hinterlassen…

Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: Dwezel 21.02.19 - 14:25

    Wenn man bei einem PW Manager die Daten per Copy&Paste einfügen muss, dann ist das Auslesen der Daten aus dem Arbeitsspeicher doch völlig uninteressant - und der PW Manager sicherheitstechnisch eine Katastrophe.

    Die Zwischenablage auslesen ist noch einfacher als Tastendrücke mitlesen. Dazu den Titel des Programms auslesen wo eingefügt wird (was auch recht einfach ist), schon weiss man auch wofür die Logindaten benutzt werden - und alles ohne Adminrechten.

    Da wird sich wohl kaum einer die Mühe machen den Arbeitsspeicher zu scannen.

  2. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: crackhawk 21.02.19 - 14:31

    Deshalb leeren die meißten Passwortmanager die zwischenablage nach ein Paar Sekunden. Das wiederherzustellen geht sicher auch, dann sind wir aber wieder beim Arbeisspeicher auslesen.

  3. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: Dwezel 21.02.19 - 14:49

    Na ja, nach ein paar Sekunden die Zwischenablage löschen bringt ja nix.
    Man braucht z.B. nur alle 500 ms die Zwischenablage prüfen, oder aber mit ein wenig Aufwand sich (also z.B. ein Spy-Programm) benachrichtigen lassen; sobald was in die Zwischenablage kopiert wird.

  4. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: Walter Plinge 21.02.19 - 15:07

    Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu der Computer infiziert sein muss. Und ein infizierter Rechner ist ohnehin nicht und niemals vertrauenswürdig.

    Siehe auch:
    https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords

    Hingegen ist es deutlich gefährlicher Browserextensions mit/von Passwortmanagern zu verwenden. Eben weil im Zweifel hier Programmierfehler (sowohl in der Extension, als auch im Browser selbst) dazu führen können, dass die eigene Datenbank abhanden kommt, und zwar sogar ohne das man das unbedingt mitbekommt. Im Zweifel würde ich hier sogar die eingebauten Passwortsafes der Browser selbst vor solch einer Browserextension vorziehen.



    1 mal bearbeitet, zuletzt am 21.02.19 15:09 durch Walter Plinge.

  5. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: Dwezel 21.02.19 - 15:31

    Klar, ein Rechner muss infiziert sein, damit Passwörter abgegriffen werden können, ganz egal ob per Keylogger, Zwischenablage auslesen oder gar per Speicher auslesen, oder anders.

    Ich meine halt, dass das Auslesen aus der Zwischenablage das einfachste überhaupt ist. Das geht mit z.B. nem kleinem vba script.
    Was ist daran bitte albern?
    Den Speicher auslesen ist da und ein vieeelfaches aufwändiger und man benötigt dafür vor allem Adminrechte.

    Und ja, Browserextensions, die Passwörter speichern/einsetzen sind auch nicht das sicherste, aber das war nicht mein Thema.

  6. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: Dwezel 21.02.19 - 16:12

    und im Artikel auf
    https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords
    steht ja auch dass Copy & Paste ein Sicherheitsrisiko ist.

    Sonst sagt der Artikel, dass das Verbieten von Copy & Paste dazu führt, dass Leute kurze und leicht merkbare Passwörter oder immer das gleiche verwenden. Und das ist eher schlecht.

  7. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: dummzeuch 21.02.19 - 17:47

    Walter Plinge schrieb:
    --------------------------------------------------------------------------------
    > Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu
    > der Computer infiziert sein muss. Und ein infizierter Rechner ist ohnehin
    > nicht und niemals vertrauenswürdig.

    Infiziert? Nein, es gibt ja auch Tools, die eine Historie des Clipboards vorhalten (ist das nicht sogar eine neue Funktion in Windows 10?). Ich selbst pflege eines davon (GExperts).

    Ist so ein Tool installiert, kann man jegliche jemals im Clipboard abgelegten Passworte nachträglich auslesen.

  8. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: gaym0r 21.02.19 - 18:42

    dummzeuch schrieb:
    --------------------------------------------------------------------------------
    > Walter Plinge schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu
    > > der Computer infiziert sein muss. Und ein infizierter Rechner ist
    > ohnehin
    > > nicht und niemals vertrauenswürdig.
    >
    > Infiziert? Nein, es gibt ja auch Tools, die eine Historie des Clipboards
    > vorhalten (ist das nicht sogar eine neue Funktion in Windows 10?). Ich
    > selbst pflege eines davon (GExperts).
    >
    > Ist so ein Tool installiert, kann man jegliche jemals im Clipboard
    > abgelegten Passworte nachträglich auslesen.

    Hä? ja und? Also weil ICH als user BEWUSST so ein Programm installiere, mit dem ICH meine EIGENEN Passwörter aus der Zwischenablage fischen könnte, muss ein PC nicht mehr infiziert sein, um diese Daten abzugreifen?
    Denk nochmal drüber nach...
    Also entweder diese Programme werden bewusst vom User installiert und es ist nichts weiter dabei oder sie werden ohne das Wissen des Users heimlich durch Schadsoftware installiert, wobei der Rechner hierfür erstmal wieder infiziert sein müsste...

  9. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: derh0ns 21.02.19 - 19:35

    Keyloggen kann man ohne Root, beliebigen Speicher lesen nicht

  10. Re: Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

    Autor: dummzeuch 25.02.19 - 13:58

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > dummzeuch schrieb:
    > ---------------------------------------------------------------------------
    > > Walter Plinge schrieb:
    > >
    > ---------------------------------------------------------------------------
    > > Ist so ein Tool installiert, kann man jegliche jemals im Clipboard
    > > abgelegten Passworte nachträglich auslesen.

    > Hä? ja und? Also weil ICH als user BEWUSST so ein Programm installiere, mit
    > dem ICH meine EIGENEN Passwörter aus der Zwischenablage fischen könnte,
    > muss ein PC nicht mehr infiziert sein, um diese Daten abzugreifen?
    > Denk nochmal drüber nach...

    Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer gesperrt werden, wenn der User den Raum verlässt. (Schon mal z.B. von Großraumbüros gehört?)
    Denk nochmal drüber nach...

    twm

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. UnternehmerTUM GmbH, Garching / München
  2. Bundeskriminalamt, Wiesbaden
  3. OKV-Ostdeutsche Kommunalversicherung a.G., Berlin
  4. Hottgenroth Software GmbH & Co. KG / ETU Software GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Gigabyte Radeon RX 6800 Gaming OC 16G für 878,87€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Razer Book 13 im Test: Razer wird erwachsen
    Razer Book 13 im Test
    Razer wird erwachsen

    Nicht Lenovo, Dell oder HP: Anfang 2021 baut Razer das zunächst beste Notebook fürs Büro. Wer hätte das gedacht? Wir nicht.
    Ein Test von Oliver Nickel

    1. True Wireless Razer bringt drahtlose Kopfhörer mit ANC für 210 Euro
    2. Razer Book 13 Laptop für Produktive
    3. Razer Ein Stuhl für Gamer - aber nicht für alle

    Laschet, Merz, Röttgen: Mit digitalem Bullshit-Bingo zum CDU-Vorsitz
    Laschet, Merz, Röttgen
    Mit digitalem Bullshit-Bingo zum CDU-Vorsitz

    Die CDU wählt am Wochenende einen neuen Vorsitzenden. Merz, Laschet und Röttgens Chefstrategin Demuth haben bei Netzpolitik noch einiges aufzuholen.
    Ein IMHO von Friedhelm Greis

    1. Digitale Abstimmung Armin Laschet ist neuer CDU-Vorsitzender
    2. Netzpolitik Rechte Community-Webseite Voat macht Schluss