Hi,

wie wärs mit nem Autoupdater?

Mal ne andere Idee

Hi Captnemo,

erstmal Congratulations !!! Sehr geniales Tool, ich nutze es gerade Testweise auf der Arbeit - ein kleines Manko allerdings, ich habe das Tool zu Hause installiert (V 2.0.2.1) und dort habe ich keinen USB-Stick angeschlossen - dein Programm zeigt mir allerdings in der Schnellinfo an das auf meinem USB-Stick 82 GB (!!!) Frei sind - das wäre zwar superschön )) es handelt sich aber leider um meine Festplatte D:

Ich benutze W2k / SP4

das tool muss auf dem USB Stick liegen
das ist kein manko sondern klar wie kloss brühe wie willst du es sonst an anderen rechnern nutzen?


axo habe noch eine Idee
wie wäre es mit verschlüsseltem speichern der Passworter in der mail.ini
ist mir gerade beim ornder durchstöbern aufgefallen.

Hi,

das wär wirklich ne Idee, angesichts der Tatsache das man mit dem Stick ja unterwegs ist, sollte das PW schon sicher sein

Und der AutoUpdater

Hab ich doch glatt im Eifer des Programmierens vergessen

Hol ich gleich nach.

aber da kommt mir eine Idee, was haltet ihr den von einer Password-Speicher-Funktion. Jede muß sich doch immer eine Menge an Kennwörtern merken (ich denke da an Supporter oder Administratoren).
Wenn ich jetzt noch einen Reiter "Kennwörtter" einbaue. Dann braucht man sich nur ein Kennwort zu merken

So'n Stick will ich auch

Hm. Hab ich noch nie gemacht.

Aber könnte ich mir vorstellen.

- Also mit USB-Secure2 prüfen, ob ein Update vorhanden ist.
- mittels MessageDlg fragen, ob es heruntergeladen werden soll.
- Wenn ja, dann erstmal in Temp-Pfad runterladen.
- Dann USB-Secure2 beenden.
- Dann neue Verions aus Temp verschieben auf den Stick.

So würds ja klappen. Aber wie würde man die beiden letzten Punkte realisieren?

Grundsätzlich nichts. Es kommt nun darauf an wie und mit was du die Passwörter verschlüsselst. Trotzdem ist es ein enormes Sicherheitsrisiko Passwörter auf frei zugänglichen Medien wie einem USB Stick zu speichern. Wenn dann sollte man diese Kennwörter auf einer einbruchsicheren SmartCard sichern. Wird das Masterkennwort geknackt sind alle Passwörter geknackt. Die Sicherheit besteht aber darin das bei 10 unterschiedlichen Passwörtern 10 voneinander unabhängige Sicherheiten entstehen. Z.b. du sicherst eine Tür mit 10 unterschiedlichen Schlössern. Man muß nun alle 10 Schlösser knacken um die Tür öffnen zu können. Hängst du einen Tresor mit einem Schloss neben die Tür in dem alle 10 Schlüssel enthalten sind dann ist die Tür nur so sicher wie mit einem einzigsten Schloss. Die Sicherheit wird also auf 10% reduziert. Da du bei deiner Software nirgendsowo angegeben hast auf welchen Verfahren deine Sicherheit beruht, sollte man deiner USB Stick Software eigentlich nicht vertrauen. Dafür besteht nicht der geringste Grund da man nicht verifizieren kann ob die Qualität der Sicherheitsverfahren deiner Software gut oder schlecht ist.

Gruß Hagen

Da hast du allerdings recht.
@negaH:

Doch wenn ich das mache, dann werde ich auch das Verfahren darlegen.
Es war auch erstmal eine Idee.

Wer wann, wo und welche Kennwörter hinterlegt, muß er natürlich selbst entscheiden. Und dabei soweit zu gehen, auch das die Geheimzahl der EC-Karte zu speichern, würde ich dann auch nicht gehen.

Mein USB-Stick behandele ich mit sehr viel vorsicht. D.h. er hängt an meinem Schlüsselbund, und ist somit nur solange an einem Rechner, wie ich auch dort bin. Wenn ich mit von dem Rechner entferne, dann nehme ich den Stick IMMER mit.

Grundsätzlich ist jede Sicherheit nur so sicher, wie man damit umgeht. Wenn ich meine Haustür abschließe, und den Schlüssel unter die Fußmatte lege, dann kann meine Tür noch so Einbruchsicher sein.

Aber ich werde mir mal darüber Gedanken machen.
Welches Verschl.Verfahren würdest du denn vorschlagen?

Aber vielleicht sollte ich diese Funktion doch weglassen.

Hi,

das Tool kann sich selbst beenden. Und das verschieben macht ne Batch-Datei
Wird folgender maßen aufgerufen

Das ist jetzt naürlich nur die simple Lösung, sprich es wird nicht geguckt obs nen Schreibschutz gibt und ob das kopieren erfolgreich war oder so

Ich hoffe ich konnte meinen Teil dazu beitragen

Hi,


ich würde die Passwörter haschen ( lol also MD5 Hashes erstellen) und dann evl. Noch mal mit RSA verschlüsseln. Das sollte also definitiv sicher sein.
Eine RSA DLL gibt es Hier (Link zu www.luckie-online.de)

Nochmal den Link hier : http://www.luckie-online.de/download...terwrapper.zip


Und so ne Unit zum hashen gibt es bei Torry.net .. einfach mal MD5 eingeben.

P.S.: @Luckie -> Is doch ok oder?

Grundsätzlich eine Kombination aus Symmetischer und Asymmertischer Verschlüsselung. Sprich per Public Key Verfahren wird ein Zufallsschlüssel gesichert. Dieser Zufallsschlüssel wird benutzt um z.B. im AES-Rijndael die Daten zu verschlüsseln. Vorteil bei dieser Sache ist das beim Verschlüsseln von Daten keinerlei Passwortabfrage notwendig ist, halt wie bei PublicKey üblich. Erst zur Entschlüsslung muß der Benutzer den Key zur Nutzung des Privaten Public Keys eingeben. Mithilfe dessen wird dann der zur Verschlüsselung der Daten benutzte Zufallsschlüssel extrahiert und man kann nun per Rijndael die Daten wieder entschlüsseln. Da der Zufallskey groß dimensioniert werden kann und dessen Erzeugung technisch sicher realisierbar ist, wird die eigentliche Verschlüsselung mit Rijndael enorm sicher gegen alle möglichen Angriffe. Der PublicKey wiederrum besteht aus zwei Teilen, dem öffentlichen Schlüssel der nur zur Verschlüsselung dient und dem Privaten Schlüssel mit dem man alles was mit dem öffnetlichen Schlüssel kodiert wurde auch wieder dekodieren kann. D.h. man könnte den öffentlichen Key auf dem USB-Stick und an jeder beleibigen Stelle speichern. Man kann also überall Daten verschlüsseln. Aber den privaten Schlüssel könnte man nur Zuhause auf dem PC speichern, und somit auch nur Zuhause die Daten entschlüsseln.

Als Publickey Verfahren würde ich Elliptische Kurven Kryptographie benutzen. RSA ist zwar sicher, aber ohne die Sourcen der verwendeten RSA Verschl. gesehen zu haben kann man RSA niemals vertrauen.

Nicht unbedingt, man muß alles relativiert betrachten. Ein schlechter Passwortsafe ist öfters sicherer als der objektive Umgang der Menschen mit ihren Passwörtern ! Statt also für verschiedene Zugänge jeweils komplett andere Passwörter zu nehmen macht es sich der Mensch einfach und benutzt im schlechtesten Falle überall das gleiche Passwort. Ein Passwortsafe der autom. Passwörter erzeugt und unter einem Namen speichert würde demnach viel sicherer sein. Denn nun wird es, mit einem GUI-freundliche Safe, zum Hobby des Menschens für jeden Zugang ein eigenes und entsprechend sicheres/langes Passwort zu benutzen. Der Passwortsafe übernimmt diese Aufgabe. Sogesehen ist ein USB-Stick der transportabel ist ideal um seine Passwörter zu speichern und autom. erzeugen zu lassen.

Entscheidend ist es dafür aber (bei kritischen Leuten wie mich), das die Sicherheit des Safes transparent sichtbar wird. D.h. das GUI muß so konstruiert sein das es flexibel, enorm einfach und denoch sicher erscheint. In den Dokus muß haargenau erklärt werden wie das Verfahren arbeitet, am besten mit Source. Das API sollte Überprüfungsfunktionen bereitstellen damit ein kritischer Zeitgenosse überprüfen kann ob alles rechtens ist. Das Problem dabei sind Backdoors die durch den Entwickler eingebaut wurden.

Als Passwortsafe-Schlüssel empfehle ich dir ein PIN basiertes System. D.h. über ein graphisches GUI und einem Ziffernpad gibt der Anwender seinen PIN ein (4 Stellig). Zu dieser PIN existiert ein Publickey Paar und der PIN dient als Schlüssel zum Privaten Key dieses Keypairs.
Gibt der User 3 mal nacheinander die falsche PIN ein wird die Schlüsseldatei sofort vom Stick gelöscht. Zuhause auf dem PC existiert eine Kopie dieser Datei die mit einem zusätzlichen Schlüssel gesichert wurde. Der Anwender muß nun diese Datei zurückspielen und dafür das richtige Passwort eingeben. Somit merkt man sich nur 2 verschiende Schlüssel, einmal ein PIN aus Ziffern und einmal ein richtig langes Passwort. Wichtig ist das die PIN Abfrage NICHT per Keyboard arbeitet, denn der USB-Stick wird an fremde System rangehangen. Ein böser Mitarbeiter in der Firma könnte einen Keylogger installieren um den PIN herauszubekommen. Deswegen ein GUI mit 12 Buttons, und das Fenster zur PIN Abfrage erscheint auf dem Desktop jedesmal woanders. Der Fenstertitel und Klassennamen wird per Zufall erzeugt. Somit kann ein Mauslogger sich nicht auf dieses Fenster einschießen. Die Buttons selber sinf TSpeedButtons und KEINE TButtons, denn TSpeedbuttons haben kein Fensterhandle. Das Panel auf dem diese Buttons liegen muss ebenfalls ein Zufallsklassennamen bekommen.

Jedes im Safe gespeicherte Passwort wird SEPARAT mit einem Publickey + Zufallskey verschlüsselt. Zwar ist das Passwort zu entschlüsselung eine Safe-Passwortes immer das gleiche, aber trotzdem erhöht sich die Socherheit. Also, niemals eine Liste von Passwörtern verschlüsseln. Das würde bedeuten das wenn man ein Passwort aus dem Safe benötigt autom. immer alle Passwörter des Safes entschlüsselt vorlägen. Eine Memoryspy Software hat damit alle Schlüssel in der Hand. Verschlüsselt man jeden Key separat würde man nur die Schlüssel spyen die auch am System entschlüsselt wurden. Zudem wäre der symmetrische Key ja ein Zufallskey der für jeden Safe-Key individuell ist.

Zur Erzeugung eines neuen Passwortes im Safe benötigt man durch die Verschl. mit einem Asymmetrischen Verfahren keinerlei PIN Abfragen. Erst, und nur beim Öffenen des Safes wird eine PIN fällig.

Gruß Hagen