Zitat:
@Hagen:
Hast du eigentlich mit dem
DEC selbst mal Freeware geschrieben? Wäre schön, wenn du mir - sofern vorhanden - ein paar Links oder so dazu geben könntest
Nein, nur kommerzielle Projekte. In diesen habe ich auch meine math. Library benutzt um zB. ein Elliptic Curve Diffie Hellman zu integrieren, u.ä.
Zitat:
Zum Thema Passwort hab ich mal noch ein paar kleine Fragen an euch:
Ich hab da einen Passwortmanager gefunden, der aber erst gerade vor 4 Tagen veröffentlicht wurde. Mach auf mich einen sehr guten Eindruck (Funktionalität), ich weiß bloß nicht, ob man dem wirklich vertrauen kann.
http://www.bagus-software.de Ich würde niemals solchen Tools trauen.
Auszug aus deren Seite:
Zitat:
The concept of a password safer is to store all this data in a single file which can be accessed with one single password. Want to use a very long password with characters and numbers for best security? No Problem, it's the only password you need to memorize.
Dies bedeutet das wenn man 100 Passwörter in eine Datei speichert und nun nur eines dieser Passwörter extrahieren will, denoch die komplette Datei entschlüsselt wird. Ein Angreifer mit Spysoftware erlangt also somit in einem Rutsch alle 100 Passwörter.
Dies ist ein grober Konzeptfehler !! Jedes Passwort muß separat auf sichere Weise verschlüsselt werden. Will man ein einzigste Passwort extrahieren so werden die restlichen 99 Passwörter überhaupt nicht aus der Datei geladen. Somit könnte, bei sicherer Masterpasswort-Abfrage, eine Spysoftware nur dieses eine Passwort ausspionieren.
Wenn diese Datei nur mit einem Masterpasswort verschlüsselt wurd so heisst das auch das alle 100 Passwörter bei Verlust dieses Masterkeys kompromitiert sind. Würde man jedes Passwort separat verschlüsselt in dieser Datei speichern, so könnte der Benutzer eben verschiedene Masterkeys dafür benutzen. Meine Freundin z.B. könnte in der gleichen Datei mit anderem Masterkey ihre Passwörter zusätzlich zu meinen verwalten. Wie gesagt: Sicherheitskonzept ist schlecht.
Am besten testeste mal den Master-Passwort-Abfrage-Dialog ob man die Eingaben des Benutzers sniffen kann. Falls ja, schon Mist.
Man sollte sowieso nur selbst compiliertem und verstandenen Source vertrauen.
Gruß Hagen