Hallo,

ich brauch ne sichere Passwort Verwaltung und will jetzt nicht irgendein Tool zum simplen verschluesseln, hatte ne Zeit lang http://www.aescrypt.com/ verwendet, aber damit ists ja leider nicht getan. Also in nen .txt mit den PWs und verschluesseln.

Also beim PW nachschauen entschluesselt nachgeschaut und dann mit geloescht (mit dem Eraser also Sektoren nochmal ueberschreiben).

Problem ist dass die ganze Angelegenheit ja noch im Pagefile auftauchen kann oder Memory Scans da eventuell noch was finden...

Gibts da vllt ne besseres Loesung?

KeePass (http://keepass.info/) - Mit KeePass X (http://www.keepassx.org/) sogar plattformunabhängig (Linux, OS X, Windows Mobile)

KeePass (http://keepass.info/) - Mit KeePass X[url] sogar plattformunabhängig (Linux, OS X, Windows Mobile)

Und das hinterlaesst auch keine Spure im Pagefile?

RAM ist jetzt nicht so schlimm, wer nen Memoryscan auf meinem PC machen kann, kann auch nen Keylogger starten :D

EDIT: Danke hab schon genug Infos auf der Seite gefunden [url]http://keepass.info/help/base/security.html (http://www.keepassx.org/)

Für so kleine Notizen und Passwörter nehm ich gerne LockNote
https://www.steganos.com/de/produkte/privatkunden/locknote/ueberblick/

Und das hinterlaesst auch keine Spure im Pagefile?

While KeePass is running, your passwords are stored encrypted in process memory. For this, the ARC4 encryption algorithm is used, using a random, 12 bytes long key.

This means that even if you would dump the whole KeePass process memory to disk, you couldn't find the passwords (at least not in plain text). Note that this only applies to the password field, not to the user names, etc. because of performance reasons.

When you are copying a password to the clipboard for example, KeePass first decrypts the password field, copies it to the clipboard and immediately re-encrypts it using the random key.

Additionally, KeePass erases all security-critical memory when it's not needed any more, i.e. it overwrites these memory areas before releasing them (this applies to all security-critical memory, not only the passwords field).

Ich würde mal sagen: Selbst wenn, halb so schlimm.

Der einzig halbwegs sichere Ort, um Passwörter zu speichern, ist das Gehirn. Kennt jemand das Passwort deines Passwortmanagers, so hat er all deine Passwörter. Da kannst du gleich für alles das selbe verwenden.

Für den "Hausgebrauch" ist aber KeyPass brauchbar.

Der einzig halbwegs sichere Ort, um Passwörter zu speichern, ist das Gehirn. Kennt jemand das Passwort deines Passwortmanagers, so hat er all deine Passwörter. Da kannst du gleich für alles das selbe verwenden.

Für den "Hausgebrauch" ist aber KeyPass brauchbar.

Jo klar das Masterpasswort merk ich mir...

Es ist nur fast unmoeglich sich 14+ sichere Passwoerter zu merken, wenn die nicht grad ABC sind, ich zumindest hab da so meine Probleme.

Jo klar das Masterpasswort merk ich mir...

Es ist nur fast unmoeglich sich 14+ sichere Passwoerter zu merken, wenn die nicht grad ABC sind, ich zumindest hab da so meine Probleme.

Mein Password hat sich über Jahre ständig weiter entwickelt es sieht nun so aus, Zahlen etc sind natürlich andere.

Vor ca 15 Jahren hat mir mein damaliger Provider die 1729df271ik88 als Password gegeben und dann kamen immer Zahlen und Buchstaben hinzu.
So in etwa sieht es nun aus mond923.1729df271ik88.uhawulma#

Ich verwende mehrer Passwörter je nach Sicherheitslevel.
Einfaches Passwort für unwichtige Foren, Anmeldungen etc.
Komplexe Passwörter für wichtige Foren, Ebay etc.
Komplexe Passwörter für das Server, Client etc.
Root Passwörter siehe oben :-)

Jo klar das Masterpasswort merk ich mir...

Es ist nur fast unmoeglich sich 14+ sichere Passwoerter zu merken, wenn die nicht grad ABC sind, ich zumindest hab da so meine Probleme.Immernoch ;) Nimm einfach KeePass 1.10 portable (läuft auch von der Platte ;) ) und fertig.

Frauenhofer wurde vor einiger Zeit von der ComputerBild :usweet: damit beauftragt solche Tools zu testen und man fand bei KeePass keine Angriffspunkte. Es ist nichtmal etwas im RAM sichtbar, da für den Copy&Paste "Transfer" von KeePass zum Eingabefeld der Anwendung die Ablage für diese Zeit verschlüsselt wird.

Ich denke hacken kann man alles. ZB. schnell den einmaligen session key für den Transfer. Wie gesagt Frauenhofer kann es nicht :D KeePass ist nunmal samt PasswordDepot das sicherste was es momentan gibt. Mit dem Unterschied, daß KeePass freeware und open source ist.

KeePass ist sehr komfortabel, hat verdammt viele Features und sieht auch noch unverschämt cool aus :)

Sätze und Leetspeek eingnen sich super um sich Passwörter zu merken.

Wenn ich ein Elefant wäre, hätte ich 1 Rüssel und 4 Stampfer.
WieEw,hi1Ru4S.

Ja. Das taugt wunderbar um sich ein gutes Masterpasswort zu merken. Mit "14+" Passwörtern wirds aber langsam schwierig. Auch mit ihrer Zuordnung.

Sätze und Leetspeek eingnen sich super um sich Passwörter zu merken.

Wenn ich ein Elefant wäre, hätte ich 1 Rüssel und 4 Stampfer.
WieEw,hi1Ru4S.

Jo so hab ich mir die damals auch immer gemerkt, aber mit Sonderzeichen wirds dann schwer etc.

Hab jetzt nen 14stelliges Randompasswort mit Sonderzeichen Grosz und kleinschreibung und die restlichen in KeePass, echt sehr nettes Programm, vielen Dank fuer den Tip!

Um noch ne Alternative zu nennen: Password Safe (http://passwordsafe.sourceforge.net), (ursprünglich) von Bruce Schneier. Funktioniert auch in Zukunft ohne das tut-net-Framework.

Wenn ich ein Elefant wäre, hätte ich 1 Rüssel und 4 Stampfer.
WieEw,hi1Ru4S.
Wenn du nicht tippfaul bist, kannst du auch gleich "Wenn ich ein Elefant wäre, hätte ich 1 Rüssel und 4 Stampfer." als Passwort nehmen :)

Um noch ne Alternative zu nennen: Password Safe (http://passwordsafe.sourceforge.net), (ursprünglich) von Bruce Schneier. Funktioniert auch in Zukunft ohne das tut-net-Framework.Das wird KeePass 1.x ebenfalls immer tun ;)

Notepad(ASCII) + Truecrypt (http://www.computerbase.de/downloads/software/truecrypt/)

ist nicht möglich.

in diesem sinne. gebt euch eurem glauben hin.

Für Masterpasswörte kann man auch welche nehmen, die Muster auf der Tastatur ergeben.

z.B.

$%&zhnBVFrtg

Ergibt nen Wirbel wie beim Schneckengehäuse. Probleme macht das dann anderen Tastauren mit bspw. englischem Layout oder Natural Keyboards etc. ^^

Der sicherste Speicher ist Dein Kopf.
Bei mir ist der manchmal so sicher, dass ich selbst nicht mal an die Pwds ran komme.

Für Masterpasswörte kann man auch welche nehmen, die Muster auf der Tastatur ergeben.

z.B.

$%&zhnBVFrtg

Ergibt nen Wirbel wie beim Schneckengehäuse. Probleme macht das dann anderen Tastauren mit bspw. englischem Layout oder Natural Keyboards etc. ^^
Blödsinn. Solche Muster sind genauso sicher wie Wörter aus dem Duden, da solche primitiven Spielchen genauos zu einer besseren Wörterbuchattacke gehören.
Leetspeak ist immer stärker und auf jeden Fall besser zu merken.

NaturalKeyboard hat genauso eine Zeichenanordnung wie jede andere normale Tastatur :|

Blödsinn. Solche Muster sind genauso sicher wie Wörter aus dem Duden, da solche primitiven Spielchen genauos zu einer besseren Wörterbuchattacke gehören.
Leetspeak ist immer stärker und auf jeden Fall besser zu merken.

NaturalKeyboard hat genauso eine Zeichenanordnung wie jede andere normale Tastatur :|
Quatsch. Das Muster kann ja was ergeben, dass du mit irgendwas verbindest. Die Schnecke war nur als Anschauung gedacht. ;)
Ich meinte die Keyboards, die in der Mitte geteilt sind in 2 Felder von Buchstaben.

P.S.: Leetspeak ist für CS kinder. ^^

Also wenn jemand "unsaubere" Sachen auf dem Rechner hat wären die IMO in einer mit Verschlüsselung arbeitenden VM am besten aufgehoben. Vor dem öffnen der Tür bei unangemeldetem Besuch generell die VM beenden und schon kommen sie an nichts ran. Hätte halt den Vorteil, dass die normale Arbeit nicht bei jedem Klingeln unterbrochen werden müsste.



Und wie soll er dann seine Pornos gucken?
In der VM ruckelt doch alles.

P.S.: Leetspeak ist für CS kinder. ^^Ja klar.

Und wie soll er dann seine Pornos gucken?
In der VM ruckelt doch alles.
Hää? warum zitierst du hier Aussagen, die ich in nem völlig anderen Thread gepostet habe? Und um dich zu beruhigen - moderne VMs lassen es zu, dass das Host-System auf die Daten der VM zugreift - natürlich erst wenn man angemeldet ist. Also bleibt die Sicherheit bestehen und du kannst deine Pornos auch so weiter genießen.

@ Anderer Gast

Leetspeak ist viel zu gebräuchlich als, dass ich so mein Passwort anlegen würde. Ein Paar Buchstaben durch Zahlen ersetzen wird sicher niemanden auf Dauer abhalten. Klar gibt es auch Sonderzeichen durch die man Buchstaben ersetzen kann. Aber bei den ganzen Möglichkeiten könnte man denn selbst vergessen welche Zuordnungen man getroffen hat.
Bspw. kann ich S durch 3, $, §, ß ersetzen um mal nur die intuitivsten zu nennen. Bei sagen wir mal 20 Stellen wirds dann auch schon wieder haarig und alternierende Kleinschreibung hab ich dann auch noch nicht mit drin.

Soll heißen, dass alle Varianten sowohl ihrer Vor- als auch Nachteile haben. Der persönliche Geschmack und ein ordentlicher Verstand sollte da entscheiden was für einen am besten ist. Ein paar Zahlen + Buchstaben werden (am besten Initialen + geburtsdatum) werden niemanden hindern dein PW zu knacken. ^^

Mit zufälligen Zahlen und Buchstaben sowie groß und klein schreibung hat man mehr als genug um selbst superrechner jahrelange bruteforcen zu lassen.

Mit zufälligen Zahlen und Buchstaben sowie groß und klein schreibung hat man mehr als genug um selbst superrechner jahrelange bruteforcen zu lassen.
Dieses Kind nervt mich langsam :usweet:

@Nasenbaer
Ich hab mich täuschen lassen ;) Damit war eher das mit den Elefanten und ihren 4 Stampfern gemeint als CS-leetspeak.

@Gast über mir

Naja "Kind" hat nicht unrecht, wenn man einen reinen Bruteforce machen müsste also die Zahlen-Buchstaben-Kombination rein zufällig ist und Dictionary Zeugs also unütz ist (es sei denn es gibt bessere Techniken für sowas als nur reinen Bruteforce). Denn:

Kleinbuchstaben + Großbuchstaben + Zahlen = 62 Zeichen pro Stelle des Passwortes. Bei 10 stelligem Passwort:

62^10 = 839'299'365'868'340'224 (also ca. 840 Billiarden) Kombinationen

Reagiert das System mit einer Sekunden Verzögerung auf die Falscheingabe des Passwortes und lässt sofort eine Neueingabe zu, dann bräuchte man

9'714'113'030'884 Billionen Tage oder ca. 26,6 Milliarden Jahre um alle Kombinationen durchzutesten.

In dem Beispiel schlägt natürlich fast ausschließlich die hohe Antwortzeit zu Buche. Für einen Einzelplatzrechner aber durchaus realistisch. Wenn sich mehrere gleichzeitig einloggen dürfen, dann wäre die Sache natürlich quasi beliebig parallelisierbar. Hier kommt es wohl sehr konkret auf das Szenario an. Denn jedes DoS System würde bei derartigen Anfragen sofort dicht machen - sollte es jedenfalls. ^^

7za könnte eine Textdatei, die die Passwörter enthält leicht rel. sicher mit AES verschlüsseln.

schreibst einfach zum anschauen zB.:
H:\tmp>c:\Programme\7-Zip\7z.exe x -so -pq1w2e3r4t5 passwords.7z | c:\UnxUtils\bin\cat -

7-Zip 4.57 Copyright (c) 1999-2007 Igor Pavlov 2007-12-06

Processing archive: passwords.7z

Extracting passwd.txt

Everything is Ok

Size: 18
Compressed: 167
UserX 1u3m,ciu2

---
wenn ein neues Passwort hinzufügst, müsstest halt zwischenzeitlich entpacken.

7za könnte eine Textdatei, die die Passwörter enthält leicht rel. sicher mit AES verschlüsseln.Man kann eine Datei die Passwörter enthält noch einfacher verschlüsseln wie auch erst erstellen. Mit KeePass ;)

naja, etwas schlankes einfaches für die commandozeile wäre halt schön.

Passwörter aus der Konsole? :) Zu KeePass kommt ja noch das Handing. Einfach sicher verschlüsseln kann man eine Textdatei mit Passwörtern mit etlichen Tools.

naja, etwas schlankes einfaches für die commandozeile wäre halt schön.
Deine Variante kann aber im Speicher und viel schlimmer u.U. auch was in der Pagefile hinterlassen.
Ok Pagefile kann man beim runterfahren löschen lassen - liese sich dann aber wiederherstellen da die üblichen Mechnismen die nicht "wipen".

Und im Speicher hinterlegtes nach Ausschalten des PCs drin zu behalten ist nur mit starker Kühlung möglich. Für Otto-Normal-Verdächtigen viel zu aufwendig.

@Gast über mir

Naja "Kind" hat nicht unrecht, wenn man einen reinen Bruteforce machen müsste also die Zahlen-Buchstaben-Kombination rein zufällig ist und Dictionary Zeugs also unütz ist (es sei denn es gibt bessere Techniken für sowas als nur reinen Bruteforce). Denn:

Kleinbuchstaben + Großbuchstaben + Zahlen = 62 Zeichen pro Stelle des Passwortes. Bei 10 stelligem Passwort:

62^10 = 839'299'365'868'340'224 (also ca. 840 Billiarden) Kombinationen

Reagiert das System mit einer Sekunden Verzögerung auf die Falscheingabe des Passwortes und lässt sofort eine Neueingabe zu, dann bräuchte man

9'714'113'030'884 Billionen Tage oder ca. 26,6 Milliarden Jahre um alle Kombinationen durchzutesten.


Also zu dem Thema, der Angreifer kann die Daten ja einfach kopieren und auf seinem System Bruteforcen...

Und 840 Billiarden Kombinationen ist nicht wirklich sicher, wir haben hier an der Uni Bochum das Geraet stehen http://de.wikipedia.org/wiki/Copacobana. Kostet grad mal ~10k Euro und packt 65 Mrd. DES Verschluesselungen pro Sekunde. AES laeuft auf Hardware sicher vergleichbar schnell (war ja eines der Kriterien damit es von der NIST als Standard etabliert wird). Deine 840 Billiarden Kombinationen wuerde das Geraet in etwa 215 Minuten durch haben. Klar vllt sinds mehr weil der nicht soviel AES Operationen packt aber es ist in einer realistischen Zeit machbar.

Ist sicher nicht das typische Angriffsszenario um an deine privaten Daten zu gelangen, aber wuerd schaetz ich moeglich sein die Maschine fuer paar Tage zu mieten unter falschem Vorwand.

So auf den ersten Blick dachte ich auch klingt sicher, aber wenn man dann mal bisschen genauer nachrechnet...
Also nicht von so scheinbar irre groszen Zahlen beeindrucken lassen, so irre grosz sind die eigentlich gar nicht.

EDIT: Aeh sry hab mich hier glatt um paar Tausenderstellen vertippt sorry waeren doch gut 149 Tage mit der Maschine :)
215 Minuten wuerd bei etwa 840 Billionen Kombinationen dauern, naja ich lass den Post mal stehen ist vllt trotzdem interessant.

Also zu dem Thema, der Angreifer kann die Daten ja einfach kopieren und auf seinem System Bruteforcen...

Und 840 Billiarden Kombinationen ist nicht wirklich sicher, wir haben hier an der Uni Bochum das Geraet stehen http://de.wikipedia.org/wiki/Copacobana. Kostet grad mal ~10k Euro und packt 65 Mrd. DES Verschluesselungen pro Sekunde. AES laeuft auf Hardware sicher vergleichbar schnell (war ja eines der Kriterien damit es von der NIST als Standard etabliert wird). Deine 840 Billiarden Kombinationen wuerde das Geraet in etwa 215 Minuten durch haben. Klar vllt sinds mehr weil der nicht soviel AES Operationen packt aber es ist in einer realistischen Zeit machbar.

Ist sicher nicht das typische Angriffsszenario um an deine privaten Daten zu gelangen, aber wuerd schaetz ich moeglich sein die Maschine fuer paar Tage zu mieten unter falschem Vorwand.

So auf den ersten Blick dachte ich auch klingt sicher, aber wenn man dann mal bisschen genauer nachrechnet...
Also nicht von so scheinbar irre groszen Zahlen beeindrucken lassen, so irre grosz sind die eigentlich gar nicht.

EDIT: Aeh sry hab mich hier glatt um paar Tausenderstellen vertippt sorry waeren doch gut 149 Tage mit der Maschine :)
215 Minuten wuerd bei etwa 840 Billionen Kombinationen dauern, naja ich lass den Post mal stehen ist vllt trotzdem interessant.
Naja wenn die Daten super wichtig wären und man die Möglichkeit hat ein Abbild zu erstellen, dann ist aber auch 149 Tage viel zu wenig. Ein Geheimdienst könnte ohne weiteres das zehnfache an Kohle locker machen. Und mit 10 solcher Geräte bist du dann in 15 Tagen fertig und das ist dann wieder lachhaft wenig.
Wobei man DES mit 56 Bit großen Schlüsseln sowieso nicht nutzen würde. Da gibt es bessere Verfahren, die nie knackbar sind solange P != NP gilt.;D

Wobei die Entschlüsselungsrate/sec nur theoretisch ist und in der Praxis nicht Machbar ist. Bei einer Kombination mehrer Algorithmen hilft Dir der genannte Superdecrypt wenig. Zumal bei jedem erzeugten Anfrage key auf das gecryptete Material eine Anfrage erfolgt, dass kostet Latenzen und wird die Leistung noch mehr in den Keller fahren.

Wobei die Entschlüsselungsrate/sec nur theoretisch ist und in der Praxis nicht Machbar ist. Bei einer Kombination mehrer Algorithmen hilft Dir der genannte Superdecrypt wenig. Zumal bei jedem erzeugten Anfrage key auf das gecryptete Material eine Anfrage erfolgt, dass kostet Latenzen und wird die Leistung noch mehr in den Keller fahren.

Das stimmt so nicht, DES ist jetzt besonders "simpel" weils ja 64Bit gecryptetes Material sind und 56 Bit Schluessel, das passt locker auf jeden einzelnen Prozessor drauf von daher hast du genau die gleiche Latenz wie beim verschluesseln, wenn du die S-Boxen etc. zugegriffen wird.

Die meisten Verschluesselungsverfahren haben ja vergleichsweise kleine Blocklaengen und Keylaengen, sodass du die Sachen fast immer solche FPGA's kriegst.

http://www.copacobana.org/index.html
Ist mittlerweile anscheinnd sogar noch schneller als 64 Mrd. DES-Operationen pro Sek.

Aber gut klar 128 Bit sind da nicht machbar.

EDIT: Aeh sry hab mich hier glatt um paar Tausenderstellen vertippt sorry waeren doch gut 149 Tage mit der Maschine :)
215 Minuten wuerd bei etwa 840 Billionen Kombinationen dauern, naja ich lass den Post mal stehen ist vllt trotzdem interessant.Darf ich mir die vielleicht dumme Frage erlauben, ob bei dieser Rechnung rainbow table attacks WIE AUCH Iterationen des Passwords berücksichtigt wurden oder sie eine Rolle spielen?

Härten die Iterationen nur gegen die erwähnten oder auch gegen brute force?

Darf ich mir die vielleicht dumme Frage erlauben, ob bei dieser Rechnung rainbow table attacks WIE AUCH Iterationen des Passwords berücksichtigt wurden oder sie eine Rolle spielen?

Härten die Iterationen nur gegen die erwähnten oder auch gegen brute force?

Rainbowtables? Rainbowtables machen doch nur bei Hashverfahren Sinn? Ich bin jetzt auch kein Experte, aber was das Geraet macht ist eine simple Bruteforce.

Was meinst du mit Iteration des Passwords? Den Schluesselfahrplan im Verschluesselungsalgorithmus?

Es gibt etwas neues:
1Password für Windows
http://www.golem.de/1004/74717.html

Es gibt etwas neues:
1Password für Windows
http://www.golem.de/1004/74717.html
Ist nun wirklich nichts neues - KeePass leistet ähnliches.

Ist nun wirklich nichts neues - KeePass leistet ähnliches.
Klar. Aber das Programm ist neu (für Windows).

Eine Beta würde ich nicht umbedingt z.Z nutzen^^

Eine Beta würde ich nicht umbedingt z.Z nutzen^^
Schon klar.
Programm genießt auf dem Mac einen guten Ruf.
Jetzt wo es für Windows erscheint, wird man evtl. mal genauer auf die Finger schauen, ob es den guten Ruf auch zu Recht verdient.

Schon klar.
Programm genießt auf dem Mac einen guten Ruf.
Jetzt wo es für Windows erscheint, wird man evtl. mal genauer auf die Finger schauen, ob es den guten Ruf auch zu Recht verdient.
Toyota hatte auch immer einen guten Ruf bzgl. Sicherheit. ^^
Aber darum geht es doch gar nicht. Sondern Programmfehler können ja auch Sicherheitslücken bedeuten durch die man ohne Master-PW an die gespeicherten Daten kommen kann - bei ner Portierung kann sowas auch vorkommen.
Außerdem halte ich von solchen Programmen ohnehin nichts - leider alle am gleichen prinzipiellen Problem: Single point of failure. Knackt man das eine PW so sind alle PWs unsicher - IMO viel zu riskant. Bspw. speichere ich im Firefox auch nur "unwichtige" Passwörter. Daten für Onlineeinkäufe oder gar Bank-Pins haben da aus meiner Sicht nichts verloren.

Klar. Aber das Programm ist neu (für Windows).Genau deswegen wird es jahrelang noch schlecht sein.

Das Teil steht bis auf die fragwürdige Optik gegenüber KeePass wie OS/2 1.0 gegenüber Win7.

Und nicht vergeßen hier vorbeizuschauen :D
https://agilewebsolutions.com/store

Das stimmt so nicht, DES ist jetzt besonders "simpel" weils ja 64Bit gecryptetes Material sind und 56 Bit Schluessel, das passt locker auf jeden einzelnen Prozessor drauf von daher hast du genau die gleiche Latenz wie beim verschluesseln, wenn du die S-Boxen etc. zugegriffen wird.
Da wäre ich mir nichtmal so sicher. DES hat eine ziemlich komplexe Struktur. AES z.B. ist erheblich einfacher aufgebaut.

Außerdem halte ich von solchen Programmen ohnehin nichts - leider alle am gleichen prinzipiellen Problem: Single point of failure. Knackt man das eine PW so sind alle PWs unsicher - IMO viel zu riskant.Soll das heißen du schliesst abends nicht nur die Eingangstür ab, sondern auch die von allen Räumen?

Wenn ich mir hier die glorreichen Alternativvorschläge anschaue, dann bietet KeePass schon alleine durch die Sicherheit beim Handling eine um Größenordnungen größere Sicherheit.

Im kompromitierten System holt sich der Späher bei deinen Bedenken nicht alle Passwörter auf einen Schlag, sondern sobald sie benutzt wurden. Das ist real gesehen Jacke wie Hose.
Wer so bekloppt ist seine Schlüsseldatenbank mit "Stuhl" abzusichern der hat sowieso keine Ahnung und hat bereits 100 andere Fehler begangen bei welchen, wenn er angegriffen wird, dieses Thema vernachlässigbar ist.

Soll das heißen du schliesst abends nicht nur die Eingangstür ab, sondern auch die von allen Räumen?

Wenn ich mir hier die glorreichen Alternativvorschläge anschaue, dann bietet KeePass schon alleine durch die Sicherheit beim Handling eine um Größenordnungen größere Sicherheit.

Im kompromitierten System holt sich der Späher bei deinen Bedenken nicht alle Passwörter auf einen Schlag, sondern sobald sie benutzt wurden. Das ist real gesehen Jacke wie Hose.
Wer so bekloppt ist seine Schlüsseldatenbank mit "Stuhl" abzusichern der hat sowieso keine Ahnung und hat bereits 100 andere Fehler begangen bei welchen, wenn er angegriffen wird, dieses Thema vernachlässigbar ist.
Wenn ich mir alle meine Passwörter merke, dann ist das sicherer als alle in einer DB zu speichern. Muss ja nur mal sein, dass ein Bug dafür sorgt, dass die PWs ohne Verschlüsselung gespeichert werden oder irgendwie anders die Abfrage der Passwörter erleichtert wird. Man muss da nunmal ziwschen Bequemlichkeit und Sicherheit abwägen. Die Master-Passwortfunktion beim Firefox nutze ich ja bspw. auch aber darin sind nur "unwichtige" Foren-Zugänge gespeichert, Bankdaten lege ich da ganz sicher nicht ab.

Sich mehr als 4-5 sichere Passwörter zu merken ist für ein durchschnittliches menschliches Gehirn nicht möglich.

Bzw. eher 2-3.

Immer diese Gäste die richtig liegen ;)

Davon ab, wenn du erfolgreich angegriffen wurdest - und nur da spielt es eine Rolle - ist es egal auf welche Art du die Passwörter in das Stringfield bekommst. Man hat sie.

Ob ich die Datenbank sauge, weil sie fehlerhaft implementiert ist und ich ran kann oder Keylogger oder Clipboardspyhole installiere ist der gleiche Aufwand.

Wenn dir direkter Zugriff Sorgen macht hast du bestimmt eh schon TrueCrypt am laufen, womit wir zum Anfang des Beitrags übergehen können.

Immer diese Gäste die richtig liegen ;)

Davon ab, wenn du erfolgreich angegriffen wurdest - und nur da spielt es eine Rolle - ist es egal auf welche Art du die Passwörter in das Stringfield bekommst. Man hat sie.

Ob ich die Datenbank sauge, weil sie fehlerhaft implementiert ist und ich ran kann oder Keylogger oder Clipboardspyhole installiere ist der gleiche Aufwand.

Wenn dir direkter Zugriff Sorgen macht hast du bestimmt eh schon TrueCrypt am laufen, womit wir zum Anfang des Beitrags übergehen können.
Also dann habt ihr wohl ein Problem. Ich kann mir Passphrases mit 40 Zeichen merken - ja natürlich keine zufälligen Zeichen aber ich behaupte dennoch, dass sie nicht über die üblichen Beschleunigungsverfahren für BruteForce-Angriffe knackbar sind.

Man benötigt außerdem nicht immer alle Passwröter sofort. Wenn er die DB knackt, dann hat der Angreifer gleich alle. Wenn mein Schadsoftwarescanner das Ding aber nach 2 Tagen vom Rechner killt (bspw. weil erst die aktualisierte Viren-Def. den Schädling erkennt) und ich nur 2-3 PWs genutzt habe in der Zeit, dann kann ich die entsprechenden Accounts versuchen zu retten und muss nicht gleich alle prüfen.

Und ja bei mir läuft TrueCrypt. So ein Notebook wird auch gerne mal geklaut und dir sollte bewusst sein, dass immer mehr Leute mobile Rechner nutzen und damit direkte Zugriffe warscheinlicher sind als vielleicht noch vor 10 Jahren.

Also dann habt ihr wohl ein Problem. Ich kann mir Passphrases mit 40 Zeichen merkenIn so einem Fall würde ich eher sagen, daß du ein Problem hast :)

In so einem Fall würde ich eher sagen, daß du ein Problem hast :)

Naja, mein Truecrypt-PW hat auch über 40 Stellen und ist kryptischer als nen CD-Key... Das tippt man 10-20 mal ein und kann das doch auswendig.

Naja, mein Truecrypt-PW hat auch über 40 Stellen und ist kryptischer als nen CD-Key... Das tippt man 10-20 mal ein und kann das doch auswendig.
Genau so sieht das aus. Ist halt ein Passphrase und kein Passwort.

Naja, mein Truecrypt-PW hat auch über 40 Stellen und ist kryptischer als nen CD-Key... Das tippt man 10-20 mal ein und kann das doch auswendig.Wir hatten hier schon fast alles, aber überzeugte Authisten?

Und ja bei mir läuft TrueCrypt. So ein Notebook wird auch gerne mal geklaut

Wo ist das Problem?

Du kannst doch deine Festplatte einfach mit nem Schlüssel versehen und niemand kommt mehr auf einfache Weise an die Daten ran.

Wo ist das Problem?

Du kannst doch deine Festplatte einfach mit nem Schlüssel versehen und niemand kommt mehr auf einfache Weise an die Daten ran.
Ja ich habs doch mit TrueCrypt verschlüsselt?!

Ja ich habs doch mit TrueCrypt verschlüsselt?!

Nein, ich meine den Passwortschutz den es bei ATA gibt:
http://de.wikipedia.org/wiki/ATA_%28Schnittstelle%29#Passwortschutz

Keepass ist das Beste Tool!

Es gibt etwas neues:
1Password für Windows
http://www.golem.de/1004/74717.html

Closed Source und Bezahlsoftware, da bleib ich lieber bei KeePass

KeePass 1.19 ist raus. Und auch mal die Sprachdatei erneuert.
http://keepass.info/news/n110403_1.19.html