Hallo an die Profis,

ich würde gerne einmal eure Meinung einholen zu folgendem Szenario:

Da ich gerade einige sehr umfängliche Umstrukturierungen in meiner privaten Computerlandschaft vornehme und vorrübergehend nicht an meine Keepass-Datenbank herankomme um weitere PW-Einträge zu speichern/zu aktualisieren und dennoch Passwörter ändern musste, habe ich diese in einem schnell erstellten TrueCrypt-Container in einer txt-Datei (also im Klartext) zwischengespeichert. Ab und zu öffne ich dann den Container und mache Änderungen an den Dateien oder zeige diese nur an (Editor).

Mein PC ist frei von Viren oder Schadsoftware, C ist nochmal extra verschlüsselt und außer mir hat keiner Zugriff auf diesen PC und es gibt keine Netzwerkfreigaben oder ähnliches.

Kann hier grundsätzlich etwas passieren? Betreibe diese Zwischenlösung aktuell seit ca. 2 Monaten (da ich kaum weiter komme aus Zeitgründen) und mache mir da gerade Gedanken drüber.

Das PW des Routers ist dort z. B. auch im Klartext gespeichert + einige Konten.

Früher oder später sollen die Passwörter natürlich in die Keepass-Datenbank, keine Frage.

Danke euch.

Also das verstehe ich nicht. Umstrukturierungen shön und gut, die hindern dich daran Keepass auszuführen, aber mit TrueCrypt hast du keine Probleme?

Warum geht TrueCrypt aber kein Keepass? Das ergibt doch so keinen Sinn.

Geht solange der Rechner keine Spyware enthält. Mache ich hier ähnlich, Karten PINs und zig Passwörter in einer Textdatei.

Allerdings wäre eine Veracrypt Datei noch besser da Veracrypt gegen ein paar Szenarien bei denen Truecrypt angreifbar war abgesichert ist.

Wichtig dabei: sicheres Passwort, keine Schadsoftware auf dem Rechner und auch niemand der technisch fit und an dir genügend interessiert ist um deine Monitor HF Signale abzugreifen.


Wenn das alles stimmt ist deine Methode sicher.

Zitat:

Zitat von cosinus

Also das verstehe ich nicht. Umstrukturierungen shön und gut, die hindern dich daran Keepass auszuführen, aber mit TrueCrypt hast du keine Probleme?

Warum geht TrueCrypt aber kein Keepass? Das ergibt doch so keinen Sinn.

Keepass geht genauso wie TrueCrypt, nur war meine Absicht zu Anfang, dass die Dateien mit den Passwörtern nur ein paar Tage in Form von Txt-Files im TC-Container liegen (den Container hatte ich schon, daher keinen Aufwand eigentlich) und nicht mehrere Monate. Eine weitere neue Keepass-Datenbank wollte ich nicht anlegen, da ich eben dachte, dass ist nicht von langer Dauer. Aber wie das halt so ist sind temporär gedachte Zwischenlösungen oft doch von längerer Dauer. Dadurch haben sich die Txt-Files angehäuft und irgendwann hab ich drüber nachgedacht und dann sind wir auch schon hier :-) Das nur zum "Werdegang", aber eigentlich interessiert mich ja eure Meinung, da ich die Situation in der Vergangenheit schlecht ändern kann.

Was denkt ihr?

Zitat:

Was denkt ihr?

Du bist ein bisschen verwirrt oder?

Wenn dein PC unzugänglich ist für andere Personen, warum so ein Aufwand für diese speicherart von deinen Passwörtern?
Zudem speichert man eh sein Routerpasswort nicht auf dem PC, Cloud egal in welcher Form.
Wenn der Container nicht 50GB hat ist es ein leichtes auch diesen Container zb von 1MB zu entwenden und ihn von diversen mächtigen Maschinen zu knacken. Aber wer soll sich denn diesen Aufwand machen ?
Vor was, wen willst du dich denn eigentlich schützen?

Zitat:

Zitat von cosinus

Du bist ein bisschen verwirrt oder?

Warum?

Zitat:

Wenn dein PC unzugänglich ist für andere Personen, warum so ein Aufwand für diese speicherart von deinen Passwörtern?

Welchen Aufwand meinst du jetzt genau? KeePass?

Zitat:

Zudem speichert man eh sein Routerpasswort nicht auf dem PC, Cloud egal in welcher Form.

Das weiß ich auch, mein Post ist doch aber eindeutig beschrieben, warum das so ist aktuell und das es eine temp. Situation ist, die eigentlich nur für wenige Tage, wenn nicht Stunden angedacht war.

Hier geht es mir um keine Belehrung, denn das hilft mir nicht weiter. Mir geht es um eine Einschätzung von Sicherheitsexperten zu der geschilderten Situation. Nicht mehr und nicht weniger.

Entweder man zieht ein Sicherheitskonzept richtig durch oder garnicht.
Da gibt es kein Temporär.
Temporär ist ein Sicherheitsrisiko.
Ich will auch niemanden belehren, du hast um Meinungsäusserungen gebeten.
Versteh mich richtig. Wenn du immer deine Sicherheit auf sehr hoch bzw paranoid gesetzt hast, kann / darf man niemals seine Liste auf einem PC als Klartext im Word,Excel,Notepad,Editor schreiben und sie in einen Container kopieren. Nicht mal 1 sek.
Da können so viele Sicherheitslücken auftauchen.

Wir handhaben es sogar so, wenn jemand eine Textdatei erstellt mit Passwörtern, dass wir diese einkassieren und sie neu erstellt werden müssen auf einem einzigen autaken PC ohne Netztwerk mit Drucker.

Fatal ist auch Strg C und Strg V. Da ist auch nach Stunden das Passwort auslesbar, wenn man nichts weiter in die Zwischenablage kopiert.

Um welche Sicherheit soll es denn gehen?
Private und dienstliche Passwörter und Zugänge auf dem PC ?

Beispiel2
Jemand hat seine Passwörter in ein kleines Notizbuch geschrieben. Bei Gebrauch immer rausgeholt und dann wieder weggeschlossen.
3 Personen kamen ins Büro und füllten paar Formulare zusammen aus. Der Mitarbeiter war nur kurz aus dem Raum zum kopieren und bemerkte danach, dass das Passwortheftchen auf dem Schreibtisch noch rumlag.
Er meldete uns diese Sache und es mussten ALLE Passwörter neu erstellt werden.
Es hätte ja jemand mit dem Handy abfotografieren können. Das Risiko war zu gross. Also alles NEU.
Somit lag das Passwortbuch nur paar Min temoprär offen da.
Bin überzeugt das es nicht geknipst wurde, aber es Könnte sein.........

Um welche Mengen geht es hier eigentlich?

Die Zugangsdaten von 10-20 Seiten kann man auch einfach auf einen Zettel schreiben.

Und in seiner Kinder-Geheimsprache verschlüsseln?

Es geht um ca. 20-30 Passwörter.

Eigentlich wollte ich hier auch keine Grundsatzdiskussion hervorrufen (hätte das nochmal dazu schreiben sollen), sondern lediglich indirekt die Fragestellung klären, ob ich mir da jetzt Sorgen machen muss, dass hier jmd/etwas meine Passwörter entwendet haben könnte (wie gesagt ohne Malware usw. auf dem PC) oder ob ich beruhigt sein kann und diese jetzt einfach in Keepass reinhacken kann und gut ist (ohne die PW nochmal ändern zu müssen).

Ich denk da z. B. auch an Antiviren-Programme. Die Scannen immer schön alles (hab Kaspersky AV drauf) und das würde ich nicht mal mitbekommen, wenn die txt-Datei da mal "mitgewandert" ist. Kann mir sowas zwar eigentlich nicht vorstellen, aber naja...

Zudem gehe ich "nur" davon aus, dass ich keine Malware auf dem PC habe, da:
- Kasperksy AV
- ADWCleaner
- MWBytes Anti-Malware
- ESET Online Scanner

nichts gefunden haben. Ich denke, das sollte ausreichen, um Viren/Malwarefrei zu "bescheinigen"?

Ich versteh diese ganze Diskussion nicht. Warum muss eine temporäre halbherzige Lösung genommen werden, wenn doch eh KeePass installierbar und nutzbar ist? Welchen Sinn ergibt das?

1. wenn du TrueCrypt nutzt sind die Files verschlüsselt d.h. ohne Schlüssel/Kennwort kann niemand dein TC-Volume mounten - isses gemountet liegt deine Klartext Datei aber so vor wie in jedem anderen filesystem auch

2. wenn du TrueCrypt installieren kannst, kannst du auch gleich wie es wohl vorgesehen ist KeePass installieren und nutzen => Diskussion überflüssig

Zitat:

Ich denke, das sollte ausreichen, um Viren/Malwarefrei zu "bescheinigen"?

Schon davon gehört, dass es keine 100 % Sicherheit gibt? Es gibt keine Methode, die Nichtexistenz von Malware zu beweisen. Das jetzt aber nur btw, wenn du dich noch verrückter machst bekommste noch ein Herzinfarkt

Sobald du die Passwörter über deine Tastatur eingiebst und das brav als .txt speicherst, hast du schon mal 2 Sicherheitslöcher.
Wenn du Schadsoftware drauf hast/hattest ist die txt sowas von weg.

Wenn du Sicherheit willst die an Paranoia anlehnt, dann schreib dir die Passwörter in ein A6 Heft und schliess es in einen Möbeltresor für 39€.
Vermeide 0,O,IilL somit ist das auch in Handschrift lesbar.
Da kommt nix weg auf dem PC und bei einer Party mit 30 Leuten auch nicht.

Problem ist nur ein Befall deines PC. So können schon die Passwörter beim ändern in den Onlinediensten abhanden kommen, oder beim anmelden.

Zitat:

Ich versteh diese ganze Diskussion nicht. Warum muss eine temporäre halbherzige Lösung genommen werden, wenn doch eh KeePass installierbar und nutzbar ist? Welchen Sinn ergibt das?

Ich habe jetzt schon zweimal geschrieben, dass ich es halt einfach nicht getan habe. Wieso wird hier permanent in der Vergangenheit gebohrt? Ich kann diese schlecht ändern und könnte ich es, würde die Fragestellung nach dem Risiko nicht existieren oder? Ja ich hätte Keepass verwenden können, Situation ist aber nun einmal wie im Eröffnungsthread + folgend beschrieben.

Zitat:

Schon davon gehört, dass es keine 100 % Sicherheit gibt?

Ja. Dann halt anders gefragt bei solch einer bekommen Antwort: Wie hoch ist denn die Sicherheit (gefühlt, Erfahrungen von Experten, wie auch immer) bei den genannten Programmen (alle ohne Funde durchgelaufen)?

Schade, dass das hier irgendwie "ausartet", hatte gehofft hier an die beschriebene Situation angelehnte Antworten zu bekommen und keine, die weit hergeholt sind. Da interessieren nun wirklich keine "Paranoia-Szenarien" wie "jmd. hat auf mein PC geschaut und abgeschrieben" oder irgendwelche Notizhefte. Das kommt sogar eher ziemlich verhöhnend rüber und muss nicht sein!

Security - KeePass

Zitat:

However in all the questions above we're assuming that there's a spyware program running on the system that's specialized on attacking KeePass.

In this situation, the best security features will fail.

Auf einem infizierten System ist Keypass auch nicht mehr 100% sicher. Es ist sicherer als die Truecrypt Textdatei.

=> Don't worry, be happy. Klopf deine Passwörter in Keypass rein und mach dir keine Sorgen.

Auch die Befürchtung dass Kaspersky dir deine Textdatei mopst und an den FSB weitergibt dürfte eher unter "Paranoia" fallen als eine echte Sicherheitslücke zu sein, auch wenn das Hochladen von Nutzerdaten ohne Nachfrage beim Kunden (wie es Kaspersky laut AGB tut) aus meiner Sicht ein echtes Problem ist.