Eigenen Passwortmanager bauen - sinnvoll?

Rund um die LCL und andere Komponenten
Antworten
Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Timm Thaler »

Es wird wohl nicht weniger werden mit den zu verwaltenden Passwörtern. Also müsste eigentlich ein Passwortmanager her.

Nachdem sich inzwischen einige Software "rühmt" Keypass und Co knacken zu können und man bei diesen Programmen oft dem Wohlwollen der Hersteller ausgeliefert ist: Traut man diesen Herstellern oder sollte man sich was eigenes schreiben?

Vorteile vom selber Schreiben mit FreePascal:
- plattformübergreifend Win, Linux PC, Linux Raspberry, eventuell Android
- nach eigenen Anforderungen gestaltbar
- wird wahrscheinlich aufgrund geringer Verbreitung kaum angegriffen (jaja, security by obscurity ist nicht wirklich sicher)

Datenbanken und Verschlüsselung bringt Freepascal ja mit.

Nachteile:
- gute Chancen das zu verbocken und mit riesigen Sicherheitslücken auszustatten
- wenn Quantencomputer realisitisch laufen, haben sich heutige Verschlüsselungen eh erledigt, aber das trifft auf alle derzeit gängigen Verfahren zu

Was meint ihr, lohnt es sich einen eigenen Passwortmanager mit Freepascal umzusetzen oder ist das Unsinn?

Benutzeravatar
af0815
Lazarusforum e. V.
Beiträge: 6198
Registriert: So 7. Jan 2007, 10:20
OS, Lazarus, FPC: FPC fixes Lazarus fixes per fpcupdeluxe (win,linux,raspi)
CPU-Target: 32Bit (64Bit)
Wohnort: Burgenland
Kontaktdaten:

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von af0815 »

Man kann bei dem Projekt nur gewinnen. Erkenntnis zB. und wegg das Projekt öffentlich ist, so wird auch die Schwarmintelligenz es verbessern bzw. Viele Angriffsmöglichkeiten aufzeigen.

Genauere Definition Passwortmanager ?
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Timm Thaler »

Definition?

Ablegen von Zugangsdaten (User, Passwort, Url) für Emailkonten, FTP, Webseiten, Foren in einer mit Masterpasswort geschützten und verschlüsselten Datenbank. Idealerweise wäre die Datei so gut geschützt, dass man die in "die Cloud" packen kann und von verschiedenen Rechnern, Handy, Tablet drauf zugreifen kann.

wp_xyz
Beiträge: 4869
Registriert: Fr 8. Apr 2011, 09:01

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von wp_xyz »

Timm Thaler hat geschrieben:Nachdem sich inzwischen einige Software "rühmt" Keypass und Co knacken zu können und man bei diesen Programmen oft dem Wohlwollen der Hersteller ausgeliefert ist: Traut man diesen Herstellern oder sollte man sich was eigenes schreiben?
[...]
Nachteile:
- gute Chancen das zu verbocken und mit riesigen Sicherheitslücken auszustatten
- wenn Quantencomputer realisitisch laufen, haben sich heutige Verschlüsselungen eh erledigt, aber das trifft auf alle derzeit gängigen Verfahren zu

Der wesentliche Nachteil fehlt noch: Zeit, das Rad neu zu erfinden, während der man Sinnvolleres hätte machen können. Also wirklich, was stört dich an KeePass? Das ist gut, open source, plattformunabhängig. Und wenn jemand behauptet, KeePass knacken zu können, wird er es auch bei deiner Lösung können.

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von pluto »

Der Vorteil ist einfach: Man weiß was das Programm tut und muss sich nicht erst einarbeiten. So schwer ist das nun auch wieder nicht, sowas zu bauen.
Auch Opensoruce Projekte wie FireFox Telefonieren X mal nach Hause. Eigentlich tuen es (davon gehe ich aus) fast jedes größer Programm, egal ob OpenSoruce oder nicht OpenSoruce.

Für ein Projekt habe ich gerade eine Verschlüsslung umgesetzt, da nutzte ich eine unit von Synapse, die AES kann. Ich erzeuge ein Keyfile mit 1024 Zeichen. Noch ist dieses Keyfile nicht verschlüsselt, aber das baue ich noch ein.
Damit kann ich den Daten Transport zwischen Server und Client Verschlüsseln(zwischen Client und Server geht es auch schon). Im Prinzip würde sich das angedachte Verfahren aber auch eignen um Inhalte einer DB zu schützen.

Zum Beispiel: Ich plane meine Zugänge in Zukunft in meinem eigenen Projekt abzulegen(Ein Notizen Verwalter). Dieser soll auch die Funktion erhalten, bestimmte Inhalte zu Verschlüsseln. Ich finde das "Prinzip" von der SSH nicht schlecht: So bin ich auf die Idee mit den keyfile gekommen. D.H. ein Angreifer muss nicht nur das Password kennen sondern auch das Keyfile und zwar das richtige.
Die Idee ist hier, dass es mehrer Keyfile geben wird. Eins für den Transport, eins für besondere Inhalte z.b. Zugangsdaten und eins für Termine oder so...

Das Projekt Notizen Verwalter wird dabei auf einem Internet Server gespeichert in einer MariaDB... Das ist auch der Grund warum ich mich damit befasse.
MFG
Michael Springwald

Timm Thaler
Beiträge: 1224
Registriert: So 20. Mär 2016, 22:14
OS, Lazarus, FPC: Win7-64bit Laz1.9.0 FPC3.1.1 für Win, RPi, AVR embedded
CPU-Target: Raspberry Pi 3

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Timm Thaler »

wp_xyz hat geschrieben:Zeit, das Rad neu zu erfinden, während der man Sinnvolleres hätte machen können.


Mit diesem Argument kann man aber jede Eigeninitiative erschlagen. Wozu Elektronik basteln, wenn man fertig kaufen kann? Wozu selber kochen, wenn es McDoof gibt?

Closed Source PW Manager können immer eine Hintertür eingebaut haben. Bei Open Source muss ich drauf hoffen, dass die Community das für mich überprüft, denn ich kann es nicht überprüfen.

Benutzeravatar
kupferstecher
Beiträge: 418
Registriert: Do 17. Nov 2016, 11:52

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von kupferstecher »

Vor kurzem gabs glaub einen Thread bzgl. Komponente zur AES-Verschluesselung. Da dachte ich mir auch, ich sollte mir einen Passwortmanager basteln, bisher liegen meine Passwoerter unverschluesselt in einer Textdatei (Tü tü tüü). Den gelaeufigen Passwortmanagern traue ich einfach nicht. Auch deshalb, weil eingenistete Schadprogramme den (verbreiteten) Passwortmanager sicher leicht im System finden.

Bei einem eigenen Programm kann man nach dem Verschluesseln die Daten auch noch umstellen, z.B. Bits tauschen oder schiften. Die unerwuenschte Entschluesselung duefte dadurch noch erschwert werden. Das Verfahren ist ja nicht oeffentlich, wie bei Open Source.

Man muesste das Programm aber gut testen, nicht, dass man sich versehentlich seine Passwoerter ins Nirvana verschluesselt. Oder halt ein unverschluesseltes Backup vorhalten.

wp_xyz
Beiträge: 4869
Registriert: Fr 8. Apr 2011, 09:01

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von wp_xyz »

Timm Thaler hat geschrieben:
wp_xyz hat geschrieben:Zeit, das Rad neu zu erfinden, während der man Sinnvolleres hätte machen können.

Mit diesem Argument kann man aber jede Eigeninitiative erschlagen. Wozu Elektronik basteln, wenn man fertig kaufen kann? Wozu selber kochen, wenn es McDoof gibt?

Das verstehst du falsch. Eigeninitiative ist immer gut, auch wenn sie das Rad neu erfindet. Wichtig ist nur, dass es Spaß macht. Und wenn dir ein Passwortmanager Spaß macht, und wenn es dich herausfordert - kein Problem. Für mich persönlich würde aber speziell bei diesem Thema das Neuerfinden des Rads im Vordergrund stehen, weil es mich einfach nicht reizt. Bei anderen Themen, die auch das Rad neu erfinden, sehe ich das anders (wieder nur für mich persönlich): TAChart und fpspreadsheet finde ich motivierend, auch wenn sie das Rad neu erfinden, weil es fertige Lösungen schon gibt, die wahrscheinlich 1000x besser sind.

Timm Thaler hat geschrieben:Closed Source PW Manager können immer eine Hintertür eingebaut haben. Bei Open Source muss ich drauf hoffen, dass die Community das für mich überprüft, denn ich kann es nicht überprüfen.
Ich rede aber von KeePass, das ist OpenSource.

pluto
Lazarusforum e. V.
Beiträge: 7178
Registriert: So 19. Nov 2006, 12:06
OS, Lazarus, FPC: Linux Mint 19.3
CPU-Target: AMD
Wohnort: Oldenburg(Oldenburg)

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von pluto »

Ich rede aber von KeePass, das ist OpenSource.

und? 20 Jahre Lang wurde eine Sicherheitslücke in OpenSSL übersehen.... Opensoruce heißt nicht unbedingt sicherer.
Und wer schaut sich wirklich jede Zeile genau an und versteht dann auch noch 100% was da warum gemacht wird?
MFG
Michael Springwald

Benutzeravatar
m.fuchs
Lazarusforum e. V.
Beiträge: 2636
Registriert: Fr 22. Sep 2006, 19:32
OS, Lazarus, FPC: Winux (Lazarus 2.0.10, FPC 3.2.0)
CPU-Target: x86, x64, arm
Wohnort: Berlin
Kontaktdaten:

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von m.fuchs »

  • Eigentlich brauchst Du nur ne Kalenderfunktion,
  • aber die Groupwares taugen nichts.
  • Also musst Du eine eigene schreiben.
  • Als Du damit beginnst, stellst Du fest, dass Du ja eigentlich was zum Loggen brauchst.
  • Und dann, dass Du viele Aufgaben hast.
  • Dann brauchst Du nen Bugtracker für die Aufgaben.
  • Um den zu schreiben 'nen OR-Mapper.
  • ...
  • ...
  • ...
  • nachdem Du das Betriebsystem geschrieben hast, um Deine eigene fertige Datenbank darauf zu hosten, stellst Du fest, dass ein Papierkalender ja auch ganz OK wäre.

Es gibt keine richtige Antwort auf deine Fragen. Klar kann man sagen, dass es Zeitverschwendung ist, wenn es bereits etwas passendes gibt.
Stell dir selber einfach die Fragen:

  • Brauche ich das Programm?
  • Gibt es sowas bereits?
  • Erfüllt ein bestehendes Programm alles was ich haben möchte?
  • Möchte ich so ein Programm ganz dringend selber schreiben?

Wenn du darauf Antworten hast kommt die letzte Frage:
  • Wieviel Lernaufwand/Programmierzeit/etc. ist es mir wert?

Und dabei kann dir keiner zu- oder abraten: Ich bin beispielsweise mit KeePass zufrieden. Ich vertraue den Entwicklern auch hinreichend. Und ich habe keine Zeit um mich in so ein (sicherlich interessantes) Projekt einzuarbeiten. Aber das kann bei dir ja ganz anders sein.
Software, Bibliotheken, Vorträge und mehr: https://www.ypa-software.de

Michl
Beiträge: 2505
Registriert: Di 19. Jun 2012, 12:54

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Michl »

Lustiges Thema. Da ich auch nicht auf fremde Produkte vertraue, hatte ich mir auch mal sowas geschrieben. Die Daten, werden vorm Speichern gepackt, dann mit Rijndael verschlüsselt und letztlich noch mit einem eigenem Passwortfile und Passwort kodiert. Wen es interessiert, hier ist das Package dazu: https://sourceforge.net/p/michlpackages/svn/HEAD/tree/trunk/defacer

Als Schwachstelle sehe ich in meinem Programm, daß die Passwörter zur Laufzeit unverschlüsselt im Speicher liegen. Weiß nicht, wie das andere Programme machen?! Da es mir aber nur darum geht, daß mein Rechner möglicherweise mal auf Geschäftsreise oder zuhause gestohlen wird und dann damit niemand Unsinn machen kann, sollte dies ausreichend sicher sein.

Code: Alles auswählen

type
  TLiveSelection = (lsMoney, lsChilds, lsTime);
  TLive = Array[0..1] of TLiveSelection; 

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Warf »

Ich würde mir keinen Passwortmanager bauen, zumindest nicht vollständig.

Erstmal ist natürlich die Frage möchtest du einen Online oder Offline Passwort manager haben. Offline: Text datei benutzen (die kannst du auch mit nem eigenen Programm managen) und die einfach verschlüsselt speichern.
Veracrypt ist ein sehr nettes Verschlüsselungstool, was Volumes verschlüsselt, und diese dann als Virtuelles Dateisystem mounten. Das heißt bei jeder Lese und schreib operation werden die daten entschlüsselt, aber niemals vollständig entschlüsselt irgendwo gespeichert. Das heißt in deinem Passwortmanager kannst du davon ausgehen das du mit normalen textdateien arbeitest und musst dich um die Sicherheit nicht kümmern. Um das ganze noch sicherer zu machen kannst du einfach mit veracrypt einen USB stick verschlüsseln sodass ohne die physische hardware niemand eine chance hat an die Passwörter zu kommen.

Online: Raspi auf den man via ssh/scp zugreifen kann mit RSA key. Die authentifizierung via 1kbit RSA key ist sowieso sicherer als eine Passwort Authentifikation, außerdem gilt SSH als sicher (und wahrscheinlich sicherer als alles was ein Laie wie du oder ich bauen können). Als zusätzlichen Schutzmechanismus kann man noch einen VPN verwenden. Natürlich muss man den Raspi dann auch sicher konfigurieren (keine anderen SSH nutzer zulassen, zumindest nicht von außerhalb, und alle anderen services durch firewall blocken)

Beides ist äußerst einfach, und dennoch sehr sicher.

Langer rede kurzer Sinn, den Sicherheitstechnischen Kram willst du eventuell nicht selbst bauen (und auch keine alten komponenten verwenden, ich möchte mal daran erinnern das DCPCrypt seit 8 jahren kein Update mehr bekommen hat, und bei security würde ich mich nicht auf 8 jahre alte technologie verlassen). Den tatsächlichen Clienten kannst du dann natürlich selbstverständlich in Lazarus bauen, dafür eignet sich das echt gut (auch online via SSH lässt sich mit Indy recht praktisch machen). Das hat natürlich auch den Vorteil, wenn eine Sicherheitslücke bekannt wird, OpenSSH und Veracrypt fixen die wahrscheinlich schneller (und besser) als du es je könntest. Du musst dann lediglich ein Update der unterliegenden Software machen

Marc
Lazarusforum e. V.
Beiträge: 208
Registriert: Fr 11. Nov 2016, 14:09
OS, Lazarus, FPC: Linux Mint 20 (WinXP VBox)
CPU-Target: 64Bit
Wohnort: Schweiz

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Marc »

Das Thema Verschlüsselung ist ja hochaktuell.
So richtig viel information habe ich auch noch nicht gefunden.

Wenn man an einem Beispielprogramm sehen könnte wie man es richtig macht wäre das doch super.
Was das Program dann schlussendlich macht ist ja zweitrangig.

Habe gerade Blowfish ausprobiert, das geht ja super, aber wie ich sehe sind die verschlüselten Strings länger als die unverschlüsselten.
Also kann ich das nur für ein Log file gebrauchen (Länge egal), aber nicht in einer Datenbank?

Wie es scheint ist nur Blowfisch in der Standard installation.
Aber nicht AES oder Twofish?
Good code comes from experience, experience comes from bad code.

Warf
Beiträge: 1908
Registriert: Di 23. Sep 2014, 17:46
OS, Lazarus, FPC: Win10 | Linux
CPU-Target: x86_64

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Warf »

Marc hat geschrieben:Das Thema Verschlüsselung ist ja hochaktuell.
So richtig viel information habe ich auch noch nicht gefunden.

Wenn man an einem Beispielprogramm sehen könnte wie man es richtig macht wäre das doch super.
Was das Program dann schlussendlich macht ist ja zweitrangig.


Simples ver-und endschlüsseln ist einfach, wo die Fehler reinkommen ist bei der Anwendung. Willst du einfach nur Dateien mit einem Passwort verschlüsseln willst ist das recht einfach und sicher. Problematisch wird es erst bei komplexeren Dingen. Z.B. ein Chat der End zu End Verschlüsselung implementiert. Beide Parteien benötigen dafür einen Schlüssel für die Konversation. Wie bekommen die den Schlüssel? Am einfachsten wäre Physischer austausch (z.B. QR code vom anderen gerät scannen), was aber wenn man sich nicht treffen kann?
Anderes Beispiel Webanwendungen, die beste Verschlüsselung nutzt nichts wenn das Passwort zum entschlüsseln das selbe ist wie das zum anmelden auf der Website, welches unverschlüsselt über HTTP gesendet wird.
Daher wirst du wahrscheinlich auch nicht so viel gefunden haben, die Probleme kommen mit dem Use-Case. Allgemein kann man nur sagen, verwende einen guten aktuellen Algorithmus (z.B. AES) und stell sicher das die Passwörter gut sind.

Das wichtigste Problem ist Trust, welchen Parteien vertraust du und wie kannst du sicher stellen das diese auch die sind die sie vorgeben zu sein. Bei dem Beispiel von oben, dem Chat, es gibt sichere Schlüsseltausch verfahren (Diffie Hellman) sodass Jemand der die Konversation mithört den Schlüssel nicht rekonstruieren kann. Wenn sich der Angreifer jetzt aber für den jeweils anderen Kommunikationspartner für die beiden ausgibt, und einfach mit jedem einen eigenen Schlüsseltausch macht kann er die Nachrichten des einen entschlüsseln, lesen und an den anderen weiterleiten. Da gegen kann man sich durch Asymmetrische Verschlüsselung schützen mit der man sich vor anderen Authentifizieren kann. Implementiert wird das z.B. in TLS/SSL oder PGP.

Andere Probleme sind zum Beispiel Replay Angriffe, z.B. Zentralveriegelung in einem Auto. Auch wenn die ganze Kommunikation sicher verschlüsselt ist, was wenn ich einfach den command zum aufmachen aufnehmen kann, und dann einfach auch ohne den Schlüssel abspielen kann geht das Auto trozdem auf, auch wenn das Signal für mich nur Zufällige Bytes sind. Sowas kann man lösen indem man eine NONCE (number used once) mitsendet die entweder einem bekannten geheimen Muster folgt (z.B. eine Cryptographisch sichere Pseudozufallszahl mit festem Seed bei Empfänger und Sender), oder einfach nicht mehrfach die selbe NONCE vorkommen darf (irgendwann können einem da aber auch die Zahlen ausgehen).

Oder Längen abgleiche sind auch immer schön, sagen wir du hast eine sicher verschlüsselte Verbindung zu einer Maschine die 3 verschiedene aufgaben kann, die du über Kommandos ansprechen kannst. Ein mithörender Angreifer beobachtet jetzt die Verbindung. Die Kommandos 1 2 und 3 haben unterschiedliche Länge. Auch wenn der Angreifer die Kommandos nicht lesen kann, anhand der Länge der übertragenen Nachrichten kann der Angreifer dennoch auslesen was du machst. Das ist z.B. ein Reales Problem bei Tor, wodurch man trotz sicherer anonymisierung anhand der Paketgrößen erstaunlich akkurat ermitteln kann von welcher Seite, (bzw. welche antworten von der selben Seite) die Antwort kommt.

Langer Rede kurzer Sinn, verschlüsseln ist im Grunde super einfach, der Teufel liegt aber im Detail und es gibt kein generelles "Koch Buch" wie man sicher arbeitet. Das einzige was man da sagen kann, versuch so viel wie möglich von anderen zu verwenden, die Chancen stehen gut das die sich viel mehr Gedanken darüber gemacht haben als du. Es ist so viel einfacher einfach über einen HTTPs Webserver seine verbindung zu tunneln als selbst TLS von der openssl zu verwenden, oder gar es versuchen selbst zu implementieren. Insgesamt möchtest du dir als Entwickler am wenigsten sorgen um die Sicherheit machen. Willst du Transportverschlüsselung benutz SSL, willst du anonymisierung benutz Tor, etc. Gibt mehr als genug OpenSource möglichkeiten, da muss man nichts neu erfinden

Marc hat geschrieben:Habe gerade Blowfish ausprobiert, das geht ja super, aber wie ich sehe sind die verschlüselten Strings länger als die unverschlüsselten.
Also kann ich das nur für ein Log file gebrauchen (Länge egal), aber nicht in einer Datenbank?

Bowfish (und AES auch) sind Block-Ciphers, das bedeutet das sie die Daten in Blöcken verschlüsseln, das heißt das das Ergebnis immer mindestens so groß ist wie die kleinste anzahl an Blöcken die dafür reichen. AES verwendet 16 Bytes, also 15 Bytes Input verschlüsselt ist 16 Bytes groß, genauso wie 16 Bytes Input oder 4 Bytes Input. 17 Bytes allerdings würden dann 32 Bytes verschlüsselt ergeben.

Zum thema Block-Ciphers, Die sind zwar schön und gut, aber wenn man alle Blöcke gleich verschlüsselt (ECB modus) bleiben Relationen erhalten. Muster sind also erkennbar. Dafür kann man Chain Block Ciphers (CBC) verwenden, die jeden Block mit dem vorherigen Block verrechnen. Da gibts ein schönes bild was das erklärt (hier gefunden):
Bild

Von Blowfish gibt es glaube ich eine CBC und eine ECB variante, da solltest du auf jeden Fall die CBC variante verwenden

Marc hat geschrieben:Wie es scheint ist nur Blowfisch in der Standard installation.
Aber nicht AES oder Twofish?

Blowfish ist der Vorgänger von Twofish, und wenn du mehr (und aktuellere) Ciphers haben möchtest musst du wohl auf Bibliotheken (z.B. OpenSSH) oder externe Komponenten (z.B. DCPCrypt, eventuell Indy) zurückgreifen

Zum verschlüsseln lokaler Dateien verwende ich allerdings am liebsten VeraCrypt, das handelt verschlüsselte Dateisysteme und mounted die virtuell z.B. unter Unix mit FUSE oder unter windows als Virtueller Datenträger ins Dateisystem. So kann man solange veracrypt läuft die Dateien wie ganz normale Dateien lesen und Schreiben, ohne das die Daten einmal auf der Festplatte landen. Durch zugriffsberechtigungen auf dem virtuellen Dateisystem kannst du dann ganz genau einstellen was für nutzer und gruppen darauf zugreifen können. Damit muss ich mir in meinen Programmen auch keine sorgen um die Verschlüsselung machen, benutzt mein Programm z.B. eine SQLite Datenbank, lese und schreibe ich die einfach von einem Veracrypt volume, benutz sie wie jede andere sqlite db auch, und sobald veracrypt geschlossen ist sind die Daten sicher.

PS: Noch ein Tipp, bei sicherheitskritischer Software würde ich dir immer empfehlen freie OpenSource software zu verwenden, das verhindert nicht alle Fehler (z.B. Heartbleed) aber durch die tatsache das jeder Zugriff drauf hat gibt es viel mehr tester, damit ist ein höheres sicherheitsniveu gegeben.

Dee
Beiträge: 54
Registriert: Do 10. Jul 2014, 20:56
OS, Lazarus, FPC: Windows 10 Pro 64-bit, Lazarus 2.0.10, FPC 3.2.0
CPU-Target: Ryzen 5 2600

Re: Eigenen Passwortmanager bauen - sinnvoll?

Beitrag von Dee »

Ohne jetzt alles gelesen zu haben, möchte ich etwas dazu beitragen und eine Idee einbringen. :idea:

Ich habe mir mal vor 4 jahren mit Delphi 7 einen Passwortgenerator gebaut, der die Passwörter nicht speichert, sondern anhand von eingegebenen Daten, Passwörter generiert. Ich hatte mich damals von einem Add-On von Firefox inspirieren lassen. Den Namen weiß ich allderings leider nicht mehr.

Aus bestimmten Eingaben (z.B. Seitenkennung + Master-Passwort) wird ein eindeutiger Seed berechnet, welcher genutzt wird, um das Passwort zu generieren. Somit muss nichts gespeichert werden. Die einzigen Sachen, die man sich merken muss, sind die Werte, die man für die Generierung braucht.

Als Besonderheit - da ich es riskant finde, das Passwort in der Zwischenablage zu kopieren (siehe KeyLogger) - kann das Passwort über virtuelle Tastenanschläge (virtuals keys) in so ziemlich jedes Eingabefeld eingetragen werden. Manchmal werden Administrator-Rechte benötigt (z.B. bei VeraCrypt).
Damals habe ich 2 KeyLogger ausprobiert: beide konnten die vrituellen Tastenhiebe nicht aufzeichnen. :!:

:arrow: Hier noch eine hilfreiche Referenz, welche das oben genannte Verfahren umfassender und mit besseren Algorithmus beschreibt (in Englisch):

https://en.wikipedia.org/wiki/Master_Password

Antworten