Online Verschlüsselungs-Dienst

[chp]

Hallo zusammen,

wie kann man Eurer Meinung nach das Vertrauen in einen Online-Dienst erhöhen.

Ich habe vor einiger Zeit ein Tool geschrieben, der meine Loginpasswörter verschlüsselt in einer Datenbank abspeichert und bin zur Zeit am überlegen ob man so etwas nicht für die Allgemeinheit anbieten sollte. http://www.passkeeper.de

Mir ist natürlich bewusst, dass die Bereitschaft Passwörter einem Online-Dienst anzuvertrauen sehr heikel ist (Es werden sich sicherlich auch einige Leute melden, die absolut dagegen sind - Das ist mir bewusst und es wird ja niemand dazu gezwungen. Also bitte nehmt mich nicht gleich auseinander. )

Also was haltet ihr davon und wie könnte man das Vertrauen der Benutzer gewinnen bzw. ein gewisses Mindestvertrauen schaffen.


Mit PassKeeper kann man auch verschlüsselte Mails versenden. Alle die es interessiert können sich das ganze gern mal angucken (alle anderen können den Beitrag ja einfach ignorieren).
Für den E-Mail-Versand muss man sich nicht registrieren, anmelden....

Ich freue mich über jegliche Anregungen und erwarte natürlich auch zerstörerische Beitrage...

Grüße,
chp

 

[emmert]

Erstmal willkommen beim Winboard!

Entweder man hat Vertrauen in solche Dienste oder nicht. Was mich betrifft könntest Du "nackig auf der Straße tanzen", mich aber nicht von einem solchen Dienst überzeugen.

Anderen wird es anders gehen. Denke, dass das eine reine Gefühlssache ist.

Gruss emmert

 

[schnydra]

Für irgendwelche weniger kritischen Passwörter wie für ein paar Foren ist es vertretbar einen Onlinedienst zu nutzen. Ansonsten muss schon ein begründetes Vertrauen bestehen, weil wer versichert dem Nutzer, dass der Betreiber dieses Dienstes seriös ist und sicher? Das gilt jetzt für alle Dienste dieser Art, nicht nur für passkeeper.de
Es ist ja nicht einmal sicher, dass die kommerziellen Festplattenverschlüsselungsprogramme keine Hintertüren für den Staat eingebaut haben.

 

[Bullayer]

Für irgendwelche weniger kritischen Passwörter wie für ein paar Foren ist es vertretbar einen Onlinedienst zu nutzen....

Wozu gibts KeyPass ??

 

[chp]

Wozu gibts KeyPass ??

Es ist mir klar, dass es schon einige Client-Tools gibt. Diese muss man aber entweder auf einem USB-Stick mit sich herumschleppen oder man hat die Daten einfach nicht immer dabei.

Mit dem Dienst hat man seine Logindaten also immer dabei. Die Frage ist jetzt nur, was man tun muss, damit der Benutzer dem Service auch vertraut.

Gruß,
chp

 

[APFEL 2c]

Wenn du hörst was überall an Server-Datenklau los ist, dann kannst du deine Idee gleich in eine "Holzschachtel" legen! (Pardon )

Im Firefox 2 und Thunderbird 2 kannst du deine verschlüsselten Passwörter über das PlugIn Passwort Exporter verschlüsselt oder unverschlüsselt in andere Ordner kopieren und diese Passwort-Datei dann noch einmal in einem Passwort geschützten ZIP-Archiv sichern und für noch besser verschlüsselte Mails (bis 4096 Bit) gibt es seit eh und je das gute PGP!

Passwörter Online ablegen macht keiner weil keiner dafür nach aktuellem Stand der Technik die Garantie dafür übernehmen kann!

Wenn ich einmal pro Woche in meinen umfangreichen Firewall-Log hineinsehe, dann kann ich dir 1000 Gründe nennen, warum System-Passwörter mit Sicherheit nicht auf einen extern Internet-Server gehören!

MfG

 

[chp]

Wenn du hörst was überall an Server-Datenklau los ist, dann kannst du deine Idee gleich in eine "Holzschachtel" legen! (Pardon )

Das hab ich mir auch schon gedacht. Will aber so viele Anregungen, Ideen, etc. sammeln wie möglich.

Im Firefox 2 und Thunderbird 2 kannst du deine verschlüsselten Passwörter über das PlugIn Passwort Exporter verschlüsselt oder unverschlüsselt in andere Ordner kopieren und diese Passwort-Datei dann noch einmal in einem Passwort geschützten ZIP-Archiv sichern und für noch besser verschlüsselte Mails (bis 4096 Bit) gibt es seit eh und je das gute PGP!

Klar, für alle die PGP benutzen kommt der Dienst sicherlich nicht in Frage. Aber es gibt so viele Benutzer die sensible Daten per E-Mail verschicken, dass ich gedacht habe, dass so ein Dienst nützlich sein könnte.

Wenn ich einmal pro Woche in meinen umfangreichen Firewall-Log hineinsehe, dann kann ich dir 1000 Gründe nennen, warum System-Passwörter mit Sicherheit nicht auf einen extern Internet-Server gehören!

Kann ich mir vorstellen. Der Dienst ist aber auch nicht für Online-Banking Passwörter und Administrator-Passwörter ausgelegt.
Er soll aber die Passwörter für jegliche Foren, Blogs, etc. sichern.
Ich weiß nicht wie es bei dir aussieht, aber ich habe unzählige Foren-Zugänge. Die Anzahl steigt monatlich. Man hat doch andauernd neue Fragen, die man dann in Spezial-Foren beantwortet haben möchte. Ich bin mir ziemlich sicher, dass meine Foren-Passwörter sicherer sind, seitdem ich PassKeeper benutze, da sich alle unterscheiden und ich nicht für jedes Forum das gleiche PW benutze.

Grüße,
chp

 

[APFEL 2c]

...
Ich bin mir ziemlich sicher, dass meine Foren-Passwörter sicherer sind, seitdem ich PassKeeper benutze, da sich alle unterscheiden und ich nicht für jedes Forum das gleiche PW benutze.

Grüße,
chp

Hi chp!

Wie du schon so treffend bemerkt hast!

Deine Foren-Passwörter sind so lange sicher wie sie in deinem aktuell möglich sicheren System liegen und dein sicheres als auch stabiles System von einer guten Firewall-Komponetenkontrolle überwacht wird um nicht erlaubte Zugriffe von vorn herein zu blockieren.

Wenn du dir vorstellst das Update-Server (System und Anwendersoftware) löchrig sind und Trojaner mit UpdatePacks/Patchen versenden und diese installieren könn(t)en, das gekaperte Webseiten- und Download-Server dein System scannen und nach Lücken suchen u.a.m. dann ist all das was an "Sicherheit" wie persönliche Passwörter aus dem System herausgeht nur ein weiterer Unsicherheitsfaktor!

Ein gutes sicheres und stabiles System und dazu kann man sich dann die aktuellen Passwörter im System ablegen aber keinesfalls persönliche Passwörter auf einem Server im Internet.

MfG

 

[chp]

Wenn du dir vorstellst das Update-Server (System und Anwendersoftware) löchrig sind und Trojaner mit UpdatePacks/Patchen versenden und diese installieren könn(t)en, das gekaperte Webseiten- und Download-Server dein System scannen und nach Lücken suchen u.a.m. dann ist all das was an "Sicherheit" wie persönliche Passwörter aus dem System herausgeht nur ein weiterer Unsicherheitsfaktor!

OK, selbst wenn der Server geknackt werden sollte, so sind die Passwörter immer noch verschlüsselt in der Datenbank abgelegt. Also für den Hacker nicht brauchbar.

Ein gutes sicheres und stabiles System und dazu kann man sich dann die aktuellen Passwörter im System ablegen aber keinesfalls persönliche Passwörter auf einem Server im Internet.

Wie gesagt, ist der Service auch gar nicht für Online-Banking-Benutzerdaten gedacht, sondern eher für Foren-Passwörter, etc.
Es ist mir klar, dass es ein Sicherheitsrisiko darstellt. Genauso wie eine Client-Software auch Risiken in sich birgt (Ich schätze, dass die Server einen weitaus höheren Sicherheitsstandard entsprechen, als viele WinXP-Clients ). Das sicherste ist natürlich sich alle Passwörter zu merken und keines aufzuschreiben.
Es muss also der Nutzen, den man aus dem Dienst ziehen kann, der relativen Sicherheit gegenüber gestellt werden. Und ich bin immer noch der Meinung, dass ich da etwas Positives herausbekomme.
Soll heißen, dass der Nutzen den ich aus dem Service ziehe so groß ist, dass ich die Sicherheits-Risiken in Kauf nehme. Das gilt jetzt natürlich erstmal nur für mich (zur Zeit habe ich 94 Datensätze in PassKeeper gespeichert, stetig steigend) und ich muss es irgendwie schaffen, dass es andere Leute genau so sehen.

Gruß,
chp

 

[Bullayer]

Ich sehe in deinem Vorhaben einen weiteren Nachteil. Wie komme ich an ein Passwort, wenn dein Server aus irgendeinem Grund nicht erreichbar sein sollte?

 

[chp]

Ich sehe in deinem Vorhaben einen weiteren Nachteil. Wie komme ich an ein Passwort, wenn dein Server aus irgendeinem Grund nicht erreichbar sein sollte?

Da hast du Recht! Die meisten Server garantieren ja heute eine 99,99%ige Verfügbarkeit. Darauf muss man sich dann verlassen.

Es ist auch noch eine Exportfunktion der Datensätze geplant. Man könnte sich dann die Datensätze für den Notfall auf den Rechner ziehen und in einem TrueCrypt-Volume oder Ähnlichem ablegen.

 

[APFEL 2c]

OK, selbst wenn der Server geknackt werden sollte, so sind die Passwörter immer noch verschlüsselt in der Datenbank abgelegt. Also für den Hacker nicht brauchbar.

Bisher ist noch jedes Passwort geknackt worden und Sicherheit auf dem Server kannst du nicht garantieren!

Wie gesagt, ist der Service auch gar nicht für Online-Banking-Benutzerdaten gedacht, sondern eher für Foren-Passwörter, etc.

Welche Passwörter du auf einem Server speichern willst ist unwichtig, denn auch mit gestohlenen Foren-Passwörter können Dritte allein schon durch übles Auftreten (übelste Beschimpfungen, Verleumdungen u.a.) in den Foren ebenfalls den Rechtsanwalt und Klagen herbeiführen!

Es ist mir klar, dass es ein Sicherheitsrisiko darstellt. Genauso wie eine Client-Software auch Risiken in sich birgt (Ich schätze, dass die Server einen weitaus höheren Sicherheitsstandard entsprechen, als viele WinXP-Clients ). Das sicherste ist natürlich sich alle Passwörter zu merken und keines aufzuschreiben.

Wenn du den PassKeeper 1.2 (32-bit, Freeware) von Brad Greenlee kennst, dann weist du das man diesen ohne Installation (hat komplett 285KB) auf einem USB-Stick speichern und nutzen kann, man kann ihn ebenfalls auf einer 3,5" Diskette nutzen oder wer zum Beispiel PGP (mit PGP Disk) im System hat kann sich den PaasKeeper 1.2 in ein z.B. 4096 Bit verschlüsseltes PGP Laufwerk speichern u.a.m.!

Aber am sichersten ist selbstverständlich der nur für das Posten in den Foren eingesteckte USB Stick oder eben die gute alte Diskette und vom verschlüsselten Passwort-Datensatz macht man sich ein immer aktuelles ZIP-Archiv als Datensicherung/Backup (selbstverständlich mit Passwort)!

Es muss also der Nutzen, den man aus dem Dienst ziehen kann, der relativen Sicherheit gegenüber gestellt werden. Und ich bin immer noch der Meinung, dass ich da etwas Positives herausbekomme.
Soll heißen, dass der Nutzen den ich aus dem Service ziehe so groß ist, dass ich die Sicherheits-Risiken in Kauf nehme. Das gilt jetzt natürlich erstmal nur für mich (zur Zeit habe ich 94 Datensätze in PassKeeper gespeichert, stetig steigend) und ich muss es irgendwie schaffen, dass es andere Leute genau so sehen.

Eine nur relative Sicherheit die du NICHT gewährleisten kannst ist keine Sicherheit und wer aus Bequemlichkeit unübersehbare Sicherheitsrisiken in Kauf nimmt, der sollte sich in Internet-Foren gleich mit komplettem Namen, Anschrift, PIN, TAN und allem anderen an aktuellen Bankverbindungen anmelden, damit er/sie sich am Monatsende nicht fragen muss weshalb kein Geld mehr auf dem Konto ist oder unzählige Klagen von Unbekannten in Haus flattern!

MfG

 

[chp]

Bisher ist noch jedes Passwort geknackt worden und Sicherheit auf dem Server kannst du nicht garantieren!

Da sind wir uns einig! Also sind auch die beschriebenen Alternativen mit PassKeeper 1.2 und PGP theoretisch irgendwann knackbar. Zur Zeit "kostet" allerdings ein Angriff auf eine AES-Verschlüsslung noch einfach zu viel (dauert also viel zu lange).

Aber am sichersten ist selbstverständlich der nur für das Posten in den Foren eingesteckte USB Stick oder eben die gute alte Diskette und vom verschlüsselten Passwort-Datensatz macht man sich ein immer aktuelles ZIP-Archiv als Datensicherung/Backup (selbstverständlich mit Passwort)!

Sicher... Für alle die Ihren USB-Stick immer mit sich rumschleppen, ist die Varianten sicherlich am Besten.
Ich selber habe das eine Zeit lang so probiert und habe festgestellt, dass ich andauernd meine Daten synchronisieren muss. Das habe ich ca. 3 Wochen gemacht, dann habe ich es teilweise vergessen oder keine Lust mehr gehabt.
Nach diesem Test habe ich angefangen passkeeper.de zu schreiben.

Eine nur relative Sicherheit die du NICHT gewährleisten kannst ist keine Sicherheit und wer aus Bequemlichkeit unübersehbare Sicherheitsrisiken in Kauf nimmt, der sollte sich in Internet-Foren gleich mit komplettem Namen, Anschrift, PIN, TAN und allem anderen an aktuellen Bankverbindungen anmelden, damit er/sie sich am Monatsende nicht fragen muss weshalb kein Geld mehr auf dem Konto ist!
MfG

Wie gesagt, es wird sicherlich Menschen geben, die den Dienst nutzen (nach einer Nutzen/Sicherheits/Bequemlichkeits-Analyse)

Danke für deine Beiträge...

Gruß,
chp

 

[APFEL 2c]

...
Sicher... Für alle die Ihren USB-Stick immer mit sich rumschleppen, ist die Varianten sicherlich am Besten.
...

Hi!

Läuft dein USB-Stick (Eingenbau?), die Speicherzellen a´la ZUSE also, etwa auf Röhren- oder Relais-Technik das du ihn herumschleppen musst!

Im PassKeeper 1.2 kannst du dir alle Kennwörter und Zugangspasswörter (Foren, Mail, Homepages) ablegen und ... die ganze Geschichte läuft unabhängig auf USB Stick und selbstverständlich auch auf Diskette, CD-R(W), Speicherkarte (u.a.)!

Das ist Daten-Sicherheit und der User, und nur der User, hat jederzeit Zugriff auf seine persönlichen Kenn- und Passwörter.

Besser, sicherer als auch einfacher geht es nicht!

MfG

PS: Ein >128MB USB Stick (kosten die Dinger überhaupt noch etwas??) wiegt etwa 20 Gramm und passt in jede Tasche!
(PassKeeper 1.2 belegt knapp 300KB und wenn dann 100 Passwörter verschlüsselt angelegt sind, dann wird das Programm mit der verschlüsselten Passwort-Datei etwa 1MB belegen!)

 

[crus4der]

Du solltest vielleicht auf die Sicherheit in deinen FAQs etwas eingehen. (Wie ist der Server geschützt, in welcher Serverfarm steht er...welche Anbindung, OS etc.)
Wie sieht denn die Rechtslage für dich aus? Nicht das ein user dich drann kriegen kann wenn der server dochmal geknackt werden sollte

Gruss

 

[APFEL 2c]

Überleg dir auch eine gute Antwort für BKA und BND (u.a.) und deine DIR vertrauenden User, denn wenn offizielle Stellen deinen Server-LOG und alle in den letzten Jahren gespeicherten Passwort-Dateien (eventuell werden Intern über JAVA und COOKIE User-Passwörter für einen eventuellen Passwort-Datei Reparatur-Service mit aufgezeichnet oder als Hilfe wenn der User sein Passwort vergessen hat) sehen möchten, dann kommst du mit deinem gut gemeinten Passwort-Service in arge Erklärungsnöte dem User gegenüber!

Von offiziellen Seiten gibt es immer Begehrlichkeiten (siehe Reportagen a´la FRONTAL, MONITOR, REPORT, FAKT, PLUSMINUS u.a.) wenn in Foren zu offen über so manchem neureichen und am Tropf des Systems hängendem elitären Nichtsnutz (aber eine Wählerstimme ) "gesprochen" wird!

Und ... wenn Foren-User irgendwelche bitterbösen Kommentare unter ihrem Namen in Foren lesen, die sie selbst nie geschrieben haben und auch aus nachweislicher Gesinnung nie verfasst haben könnten und dafür von irgendwelchen Anwälten verklagt werden ... dann brauchst du sehr gute und ausführliche AGB und eventuell auch gute Anwälte.

MfG

PS: Bau dir lieber eine Homepage wo du den guten PassKeeper 1.2 anpreist und dazu gleich noch billige USB-Sticks und Speicherkarten (und meinetwegen auch Disketten) anbietest!

 

[chp]

Du solltest vielleicht auf die Sicherheit in deinen FAQs etwas eingehen. (Wie ist der Server geschützt, in welcher Serverfarm steht er...welche Anbindung, OS etc.)

Die Idee ist gut. Das werde ich in Angriff nehmen. Danke!

Wie sieht denn die Rechtslage für dich aus? Nicht das ein user dich drann kriegen kann wenn der server dochmal geknackt werden sollte

Ich habe jegliche Haftung in den AGBs ausgeschlossen. Wenn das Projekt aus dem Betatest herauskommen sollte, werde ich die Sachlage aber noch genau prüfen bzw. prüfen lassen.

Gruß,
chp

 

[chp]

Überleg dir auch eine gute Antwort für BKA und BND (u.a.) und deine DIR vertrauenden User, denn wenn offizielle Stellen deinen Server-LOG...

Das muss ich auch nochmal genau prüfen. Aber den Punkt hat schon einmal jemand angesprochen. Da muss ich mich nochmal gründlich schlau machen.
Wenn die Behörden (warum auch immer) die Daten anfordern können sie ohne den Benutzer eh nichts damit anfangen (es sei denn die Behörden haben Algo's um AES zu knacken).

... und alle in den letzten Jahren gespeicherten Passwort-Dateien (eventuell werden Intern über JAVA und COOKIE User-Passwörter für einen eventuellen Passwort-Datei Reparatur-Service mit aufgezeichnet oder als Hilfe wenn der User sein Passwort vergessen hat) sehen möchten, dann kommst du mit deinem gut gemeinten Passwort-Service in arge Erklärungsnöte dem User gegenüber!

Wie meinst du das? Meinst du jetzt, dass ich Passwörter mitschneide oder der Hoster?

Und ... wenn Foren-User irgendwelche bitterbösen Kommentare unter ihrem Namen in Foren lesen, die sie selbst nie geschrieben haben und auch aus nachweislicher Gesinnung nie verfasst haben könnten und dafür von irgendwelchen Anwälten verklagt werden ... dann brauchst du sehr gute und ausführliche AGB und eventuell auch gute Anwälte.

Falls sowas passieren sollte hast du Recht, dass ich sehr gut abgesichert sein müsste.
Ich kann nachts aber sehr gut schlafen. Das System ist gut abgesichert und selbst wenn jemand an die Daten gelangen sollte, so sind sie immer noch verschlüsselt.

Gruß,
chp

 

[Bullayer]

...Ich habe jegliche Haftung in den AGBs ausgeschlossen. Wenn das Projekt aus dem Betatest herauskommen sollte, werde ich die Sachlage aber noch genau prüfen bzw. prüfen lassen....

Das solltest du auf jeden Fall vorher machen, nicht erst nach dem Betatest.

 

[chp]

Das solltest du auf jeden Fall vorher machen, nicht erst nach dem Betatest.

Ich weiß ja gar nicht ob das Ding wirklich anläuft und möchte nicht wirklich Geld reinstecken.
Muss ich mal gucken. Vielleicht kann ich in irgendwelchen Rechts-Foren um Rat fragen.

Gruß,
chp