[sage] Und da war es weg, das Passwort

[Andreas Jellinghaus]

Am Dienstag, 2. September 2008 17:51:22 schrieb Christoph Wegener:
> ...und eine der wenigen sinnvollen Varianten für einen Passwortsafe,
> denn: Was nützt der, wenn die Malware -da der Safe auch auf meinem PC
> läuft- direkten Zugriff bekommen kann?
>
> Wenn, dann muss man definitv ein vom PC physikalisch getrenntes Device
> einsetzen, was auch immer das sein mag; alles andere ist kalter Kaffee.

Für Mich: lieber ein langes zufallspasswort nutzen - und das im PC 
Passwortsafe speichern, als ein kurzes dingerl, das dann dauernd
abgetippt werde muss.

Den Passwort Safe auf ein externes Gerät verlagern ist fein. Den RSA Key
auf eine Smart Card verlagern (bzw. gleich da zu erzeugen) auch. Beides
aber deutlich besser, als die einfache Passwörter ohne Safe.

"physikalisch getrenntes Device" - einen Palm oder ein Handy? Die 
synchronisieren doch, haben bluetooth, wlan oder GSM/UMTS. Da ist
die Sicherheit eher, das es so viel verschiedene gibt, und hoffentlich
kein Hacker sich mit dem Gerät der eigenen Wahl beschäftigt, oder?

OTP dongles von RSA wären natürlich auch physikalisch getrennte Devices.
Die hat Peter Koch aber als cryptische Uhren entlarvt - Algorithmus
bekannt, das Geheimnis nicht einstellbar, dafür aber auf allerhand
Papier wie Lieferscheinen gedruckt, und muss auch noch auf Servern im
Klartext hinterlegt werden, soweit ich das verstanden habe (weis nicht,
ob RSA da nachgebessert hat).

Kurz: Nutzlos ist der Passwort Safe auf dem PC nicht, die alternative
sind besser, Probleme bleiben aber immer. :(

Andreas