Adventure-Treff

Ich wollte weiter oben darauf hinaus dass, wenn ein Computer kompromittiert ist oder möglicherweise irgendwann kompromittiert wird, ein Passwortcontainer auch nicht groß Sicherheit schafft, da ja die Eingabe des von diesem Programm generierten Passworts trotzdem zumeist einzeln vorgenommen würde und dieses Passwort dann genauso abgreifbar ist wie ein aufgeschriebenes?

Oder unterlege ich da jetzt einem Denkfehler? Also gesetzt den Fall, ich denke richtig, sind wir wieder bei meinem Tipp, Passwörter besser offline zu verwalten, wie man das auch immer macht. Jedenfalls nicht auf einem ansteuerbaren Gerät oder in der Cloud.

Ich bin jetzt wahrlich keine Expertin. Aber Deine Aussage: "Ein Angreifer kann Eingaben abgreifen, aber nicht Daten" stimmt wohl auch nur im klinischen Sinn. Selbst mir ist bekannt, das Keylogger so etwas durchaus können.

Hexenjohanna hat geschrieben: ↑20.09.2020, 20:45 [..]Ich bin jetzt wahrlich keine Expertin. Aber Deine Aussage: "Ein Angreifer kann Eingaben abgreifen, aber nicht Daten" stimmt wohl auch nur im klinischen Sinn. Selbst mir ist bekannt, das Keylogger so etwas durchaus können.

Mit "Daten" waren Dateien gemeint, das war ungünstig formuliert. Und die Denkfehler liegen in der einseitigen Anwendung eines Katastrophenszenarios bzw. der falschen Erwartungshaltung.


Wenn wir beim Keylogger sind, dann schneidet der beim händischen Login alles mit. Bei einem Passwortmanager würde man vielleicht den Nutzernamen eingeben und dieser wird mitgeschnitten, aber das Passwort läuft über den Speicher. Ein ungünstiges Szenario weniger.
(Natürlich könnte man jetzt sagen, dass der Keylogger die Eingabe des Master-Passworts beim Passwortmanager mitschneidet. Damit fällt aber nicht das komplette Sicherheitskonzept, weil immer noch die Container-Datei benötigt wird.)

Ja, natürlich kann der gesamte Computer kompromittiert sein. Ja, natürlich ist der Login an sich immer die Schwachstelle, weil die Login-Daten von A nach B müssen. Beides sind aber keine Kritikpunkte am Konzept "Passwortmanager", sondern grundlegende Schwachstellen. Das Katastrophenszenario gilt immer, auch für das bisherige Sicherheitskonzept ohne Passwortmanager.

Wenn man das ignoriert, dann muss ein Passwortmanager eben plötzlich alle Probleme lösen. Muss er aber gar nicht, denn die Reduzierung der ungünstigen Szenarien ist bereits ein Gewinn. Oben drauf kommt dann noch, dass man komplexere Passwörter bequem erzeugen, bequem verwalten und schneller eingeben kann.