Frage:
Können Benutzer einen Passwort-Manager verwenden, wenn Banken ihnen sagen, dass sie niemals Passwörter aufschreiben sollen?
paj28
2014-06-04 01:15:23 UTC
view on stackexchange narkive permalink

Stellen Sie sich einen Benutzer vor, der einen Kennwortmanager für seine Bankkennwörter verwenden möchte. Ratschläge von Banken besagen normalerweise, dass sie ihr Passwort niemals aufschreiben sollten. Der Benutzer wäre besorgt, gegen diesen Rat zu verstoßen, da dies bedeuten könnte, dass seine Bank die Haftung für Betrug auf seinem Konto ablehnen würde.

Können sie also einen Passwort-Manager verwenden? Gilt das Speichern des verschlüsselten Passworts als Aufschreiben?

Dies ist eine rechtliche und politische Frage. Ich bin mir bereits der technischen Risiken und Vorteile der Verwendung eines Passwort-Managers bewusst. Die Antworten können länderspezifisch (und sogar bankspezifisch) sein. Ich bin in Großbritannien, aber ich interessiere mich für Antworten von überall auf der Welt.

Ich frage mich, ob die Leute eines Tages fragen werden, ob es in Ordnung ist, ihre Authentifizierungsinformationen in ihrem Gehirnfleisch zu speichern, anstatt eine sichere elektronische Aufzeichnung zu verwenden.
Können Sie genau das zitieren, was die Bank sagt? Haben Sie sich die Nutzungsbedingungen und den Rest der vertraglichen Vereinbarung angesehen? (wo viele Banken das Kleingedruckte darüber geben, welche Versprechen sie machen und welche Aufgaben Sie haben) Dies klingt nach einem Fall, in dem ein vages oder ungenaues "Telefonspiel" leicht dazu führen kann, dass die Anforderung missverstanden wird. Daher ist es wichtig, dies zu prüfen Besonderheiten.
@d-w unterscheidet sich von dem, was ich gesehen habe, aber einige Beispiele dafür, worüber paj spricht, finden Sie unter http://www.halifax.co.uk/aboutonline/security/protect-yourself/. "Lassen Sie Ihre Passwörter niemals jemandem bekannt werden und ziehen Sie sie an schreibe sie nicht auf ". Von http://www.santander.co.uk/csgs/Satellite?c=Page&canal=CABBEYCOM&cid=1237899888304&empr=Abbeycom&leng=de_GB&pagename=Abbeycom%2FPage%2FWC_ACOM_TemplateA1 "Vermeiden Sie das Schreiben Ihres persönlichen Passes
Warum überhaupt einen Passwort-Manager verwenden, wenn er auf Maschinen basiert? Papier benötigt keine Batterien. Selbst wenn Sie sie aufschreiben, können Sie die Namen der Websites verschleiern. Wenn jemand sie stehlen würde, würde er nur Benutzernamen und Passwörter sehen. Ich denke, Papier und Aufbewahrung in einem Safe sind in dieser Hinsicht wahrscheinlich die besten.
Banken begrenzen die Länge Ihres Passworts auf 16 Zeichen, wenn sie Lust dazu haben, und verwenden weiterhin 4-stellige PINs für wichtige Vorgänge. Sie sind nicht das Wort Gottes in Sicherheitsfragen.
Welche Klausel, die Sie gesehen haben, verbietet es dem Benutzer, das Bankpasswort aufzuschreiben? Schließt es auch die Website der Bank selbst aus? Wenn nicht, müssen wir die Klausel sehen, um sie zu interpretieren.
@Mehrdad - Eine Reihe solcher Klauseln ist mit anderen Antworten und Kommentaren verknüpft. Ich habe keine bestimmte Bank im Sinn - dies ist eine allgemeine Frage.
Neun antworten:
Williham Totland
2014-06-04 01:26:22 UTC
view on stackexchange narkive permalink

Ich bin kein Laie, aber ein ordnungsgemäß aufgebauter Passwortmanager speichert Passwörter ungefähr so ​​sicher wie jedes moderne Bankensystem.

Ich kann nicht mit der Rechtmäßigkeit der Verwendung eines Passwortmanagers sprechen, aber ich kann Sagen Sie, dass auf philosophischer Ebene überall dort, wo ein persönlich bereitgestelltes Passwort als Identifikation akzeptabel ist, ein (ordnungsgemäß konstruiertes) Passwort für den Passwort-Manager akzeptabel ist.

( Bearbeiten: Das Hinzufügen eines Kennworts zu einem ordnungsgemäß erstellten Kennwortmanager entspricht nicht dem einfachen Aufschreiben.)

Ein Passwort-Manager ist keineswegs so sicher wie das Bankensystem. Eine Schlüsselfunktion für einen Passwort-Manager besteht darin, dass er in irgendeiner Weise das ursprüngliche Passwort wiederherstellen kann. Ein richtig entworfenes Passwort-Hashing-System ist ** nicht in der Lage **, * jemals * das erforderliche Passwort wiederherzustellen, ohne dass der Rechenaufwand so enorm ist, dass es funktional unmöglich ist.
@FakeName, das völlig irrelevant ist, da der Passwort-Manager selbst durch ein reines Hash-Passwort geschützt ist, das auch niemals überarbeitet werden kann. Es ist also genauso sicher wie jedes andere Anmeldesystem.
@FakeName Ich habe Beratungsarbeit für einige große Banken geleistet. Ich würde sagen, dass ihre Systeme normalerweise etwas weniger sicher sind als die besten Passwortmanager. Die Banken verwenden häufig ältere Systeme mit leicht veralteten Algorithmen - ich habe noch nie gesehen, dass sie beispielsweise PBKDF2 verwenden.
"[...] speichert Passwörter [...] sicher wie jedes moderne Bankensystem." - außer dass die Bank das Passwort nicht speichert?
@VolkerSiegel: In einer idealen Welt ist dies wahr. Die Welt, in der wir leben, ist nicht ideal; und die Welt des Bankwesens ist es noch weniger.
@WillihamTotland das ist so wahr ... aber als Optimist hoffe ich immer noch, dass Banken keine Klartext-Passwörter speichern.
@VolkerSiegel: Auf jeden Fall habe ich deshalb das Wort "ungefähr" verwendet: Die meisten Banken haben wahrscheinlich das Passwort gehasht und den Hash gespeichert, was (theoretisch) sicherer ist als der Passwortmanager, einige Banken nicht, was weitaus weniger sicher ist und einige Banken tun dies, verwenden jedoch schlechte Hashes, was etwas weniger sicher ist. Im Durchschnitt ungefähr so ​​sicher.
@VolkerSiegel siehe http://security.stackexchange.com/questions/10938/is-my-bank-storing-my-password-in-plain-text - dies ist in Großbritannien üblich, meine Bank wird mich nach dem dritten und fragen fünfte Buchstaben meines Passworts (zum Beispiel), wenn ich sie am Telefon anrufe, was stark impliziert, dass sie Verschlüsselung anstelle von Hashing verwenden.
Warten Sie, haben Sie gerade gesagt, dass eine Bank die Leute am Telefon offen * auffordert *, ihr Online-Banking-Passwort zu buchstabieren **? (auch wenn nicht alle auf einmal)
@VolkerSiegel, Es gibt normalerweise einen Unterschied zwischen den Online-Passwörtern und den Telefon-Passwörtern für den Kundenservice. Kein einzelner Servicemitarbeiter (oder wie auch immer er genannt wird) kann Ihr vollständiges Telefonpasswort hören. Die Banken verwenden mehrschichtige Sicherheiten unterschiedlicher Qualität und zahlen (die meisten) Fehler aus. Die Verwendung eines Passwort-Managers durch eine Person sollte auch Teil ihrer mehrschichtigen Sicherheit sein, damit Sie nicht alle Eier in einem Korb haben. Meine Arbeit verbietet aus diesem Grund Passwort-Manager, erlaubt / schlägt jedoch die Verwendung von Erinnerungsphrasen vor.
@PhilipOakley Das ist in der Tat viel besser! Ja, ich habe so etwas gesehen - sie haben explizit ein zusätzliches Passwort für diese Identifikation am Telefon verwendet. Der interessante Teil war, dass sie sehr lange gebraucht haben, um den Kunden nicht als "das andere Passwort" für "eine andere Art von Sicherheit" zu sehen - eher wie "Übrigens ist diese Zeile des Formulars für das ID-Wort von Die Hotline kann etwas Einfaches wie Rot oder so sein. " Ich gehe davon aus, dass sie es wirklich geschafft haben, die nicht technophilen Kunden nicht zu verwirren. (Es hängt etwas davon ab, dass Brute-Force-Hacking-Passwörter über einen Angestellten schwierig sind.)
Vielleicht speichert die Bank Anmeldeinformationen in einer nicht wiederherstellbaren Form, aber das macht sie als End-to-End-System * nicht sicherer. Sie müssen überlegen, was dieser Kennwort-Hash tatsächlich schützt - im Allgemeinen handelt es sich dabei um unverschlüsselte, abfragbare Transaktionsdaten. Die Bank verfügt also über unverschlüsselte Transaktionsdaten, die durch einen Hash geschützt sind. Wenn Sie einen Passwort-Manager einsetzen, wird das System zu unverschlüsselten Transaktionsdaten, die durch ein wiederherstellbares Passwort geschützt sind, das durch einen wahrscheinlich stärkeren Hash (Master-Passwort) geschützt ist. Das letztere Szenario bietet normalerweise den gleichen, wenn nicht stärkeren Schutz.
@VolkerSiegel Ich habe für eine Bank gearbeitet, die die Passwörter ihrer Kunden vollständig reversibel gespeichert hat (unter Verwendung eines hausgemachten Verschlüsselungsalgorithmus). Sie wurden einmal gehackt und die Benutzerpasswortdatenbank ist durchgesickert. Glücklicherweise nahmen sie diese Art von Problem vorweg und handelten präventiv, indem sie viele Pressefirmen kauften, um sicherzustellen, dass die Informationen nie veröffentlicht wurden.
Interessant - diese Strategie zur Minderung des Sicherheitsrisikos schafft so etwas wie ein umgekehrtes Monopol (!) - vorausgesetzt, man braucht mehr als die Hälfte der Pressefirmen, die gekauft werden können, um es zu unterdrücken. Zumindest nicht alle können es verwenden - einige müssen verschlüsseln! (Habe ich gesagt, ich bin ein Optimist?)
-1
Ich fragte Santander (UK) und erhielt: "Unsere Allgemeinen Geschäftsbedingungen empfehlen, dass Sie Ihre Passwörter nicht aufschreiben sollten. Wenn Sie jedoch einen Passwort-Manager verwenden möchten, muss dies Ihre eigene Wahl sein, und Sie können dies tun, wenn Sie dies wünschen erfolgt auf eigenes Risiko. " Sie können also eine verwenden, aber ...
Keks Dose
2014-06-04 17:07:56 UTC
view on stackexchange narkive permalink

Ich bin Anwalt in Deutschland. Hier sind die besonderen Bedingungen zwischen Kunde und Bank Bestandteil des Vertrages. Wir sprechen also von einer Klausel in diesen Sonderbedingungen, die die Verwendung eines Passwort-Managers verbietet.

Ich bin auf die Website meiner Bank gegangen, habe die Bedingungen gezeichnet und es heißt, der Kunde darf das nicht Speichern Sie das Passwort auf seinem PC.

Diese Klausel verbietet es also, mein pw auf dem PC zu speichern. Die Frage ist, speichere ich das Passwort wirklich im Passwort-Manager oder "speichere" ich so etwas wie 23 %% 4l5ksa0ß90ßv9w6&! ? Und ist dies eine rechtliche Klausel?

Ich freue mich über Ihre Frage!

Bearbeiten: Wie kann das Problem gelöst werden? - Wie pai28 fragt. Ich bin mir nicht einmal sicher, ob die Leute, die diese Bedingungen geschrieben haben, sich der Fortschritte bewusst sind, die wir als Benutzer in den letzten Jahren gemacht haben. Wir verwenden pw-Manager, weil eine Online-Existenz ohne nicht möglich ist.

Daher sollte die Klausel geändert werden: Der Kunde darf das Passwort nicht unverschlüsselt auf einem IT-Gerät speichern. Oder so ähnlich.

Ich schreibe an den Verband meiner Bank und frage. Wenn ich jemals eine ernsthafte Antwort bekomme (nicht blabla, lieber Kunde, den wir sehr schätzen, aber viel komplizierter ...), werde ich über das Ergebnis berichten.

Endlich! Das Speichern verschlüsselter Passwörter ist in Ordnung (2019!)

Im Juni 2019 erhielt ich von meiner Bank neue Bedingungen für & und eine der Klauseln besagt, dass der Kunde der Bank (= ich) dies nicht darf Speichern Sie die Authentifizierungsgeheimnisse ungesichert auf meinem Computer. Das Speichern von Passwörtern, Transaktionsnummern und der Verwendung eines Passwort-Managers oder einer Verschlüsselung ist also in Ordnung!

Die Bank (eine »Volksbank« in Deutschland) kümmert sich nachweislich um die Verschlüsselungsseite des Kunden. Sie boten sogar gpg-verschlüsselte E-Mails an, was ich sehr schätzte. Es ist eine lokale Bank und ich werde sie nicht gegen eine internetbasierte Bank tauschen.

Kann ein Kunde argumentieren, dass von der Bank erzwungene Beschränkungen (z. B. mindestens 6, maximal 8 Buchstaben, keine Sonderzeichen, mindestens ein Großbuchstabe, ein Kleinbuchstabe und eine Ziffer) ihn daran hindern, ein Passwort zu verwenden, das sowohl sicher als auch leicht zu merken ist? ?
-1
Ja, aber das ist es, was Clients dazu zwingt, den Passwort-Manager zu verwenden.
Gute Punkte ... haben Sie eine Idee, wie Sie (und wenn Sie ein Anwalt sind) die Fragen in Ihrem dritten Absatz lösen würden? Gibt es dafür einen Präzedenzfall?
Was ist, wenn ich ein Passwort bis auf ein letztes Symbol speichere?
Ich weiß, es sind drei Jahre vergangen, aber haben Sie jemals eine ernsthafte Antwort bekommen?
Meinten Sie _ pgp-verschlüsselt _?
TTT
2014-06-04 02:19:31 UTC
view on stackexchange narkive permalink

Ich habe noch nie davon gehört, daher kann ich nicht sicher sagen, aber ich würde vermuten, dass die ursprüngliche Prämisse fehlerhaft ist: Ich glaube nicht, dass eine Bank eine Richtlinie hätte, die besagt, dass sie Ihr Konto nicht gegen Betrug versichern wird, wenn Sie speichern Ihr Passwort irgendwo außerhalb Ihres eigenen Kopfes. Um diese Regel durchzusetzen, müssten Kennwörter leicht zu merken und folglich leicht zu erraten sein. Die sichersten Passwörter sind lange zufällige Zeichenfolgen, die die meisten Menschen notieren oder irgendwo speichern müssten. Die Bank kann Ihnen "raten", Ihr Passwort nicht auf ein Blatt Papier zu schreiben, auf dem andere es sehen können. Wenn Sie jedoch aufgefordert werden, es nirgendwo aufzuzeichnen, wird die Sicherheit verringert und nicht verbessert. Natürlich müsste ich die Bedingungen der jeweiligen Bank lesen, um sicher zu sein.

Außerdem scheint es für eine Bank sinnlos, eine solche Regel zu haben, weil man immer lügen und sagen kann, dass man es nicht getan hat Bewahren Sie es überall auf. Es wäre eine fast nicht durchsetzbare Regel.

Bearbeiten: Trotz allem, was ich denke, ist hier eine Bank, die die Regel hat, auf die Sie sich beziehen, obwohl sie etwas vage ist: http: //www.amp .com.au / accountacessandoperatingconditions (Siehe Seite 7). Das kurze daran ist: "Memory Aids" sind erlaubt, aber Sie müssen "angemessene" Maßnahmen ergreifen, um sicherzustellen, dass sie nicht beeinträchtigt werden. Ich würde das so interpretieren, dass ein verschlüsselter Passwort-Manager mehr als ausreichend ist.

"Die sichersten Passwörter sind lange zufällige Zeichenfolgen, die die meisten Menschen notieren oder irgendwo speichern müssten." - Stimmt, aber Banken sind nicht immer mit der Zeit in diesen Dingen. Meine Bank (eine der vier größten in Australien) hatte bis vor einigen Jahren eine maximale Passwortlänge von 8 Zeichen ...
Der Rat meiner Bank lautet: "Schreiben Sie Ihre Passwörter niemals auf - oder speichern Sie sie auf Ihrem Computer" (http://www.natwest.com/global/security/security-advice/protect-yourself/stay-safe/passwords.ashx). . OTOH, das ist nur der Rat des Benutzers. Ihre tatsächlichen rechtlichen Bestimmungen unterscheiden sich: "Sie dürfen Ihre Sicherheitsdaten keiner anderen Person offenlegen oder Ihre Sicherheitsdaten auf eine Weise aufzeichnen, die dazu führen kann, dass sie einer anderen Person bekannt werden." Dieses "Mai" ist beunruhigend. Alles, was Sie mit Ihrem Passwort tun, kann dazu führen, dass jemand anderes es weiß, zumindest auf theoretischer Ebene.
@sapi - Sie haben mich gerade an meine Lieblingsantwort für den Stapelaustausch aller Zeiten erinnert: http://security.stackexchange.com/questions/33470/what-technical-reasons-are-there-to-have-low-maximum-password -Längen
@jules - Ich stimme zu. "May" lässt die Tür für die Anwälte offen. Wenn Sie zum Beispiel mit vorgehaltener Waffe festgehalten werden und Ihr Passwort preisgeben, haben Sie nur "Ihre Sicherheitsdaten an eine andere Person weitergegeben" und das ist nicht erlaubt! Ich hoffe, dass Vernunft und Vernunft sich durchsetzen werden.
@TTT: * nicht erlaubt * ist nicht genau richtig. Die Bank wird ihre Kunden nicht verklagen, die sowieso ihr Geld verloren haben. Sie * werden * jedoch ihr Bestes geben, um den Schaden nicht decken zu müssen ...
user41341
2014-06-04 04:51:29 UTC
view on stackexchange narkive permalink

Nun, in diesem Rat geht es eigentlich eher um "Geben Sie Ihr Passwort nirgendwo ein". Wie anders angegeben, handelt es sich hierbei um eine rechtliche Erklärung, die die Ärsche der Bank abdecken soll, falls das Passwort gestohlen wird.

Im Sinne eines Passwort-Managers ist es eigentlich nichts anderes, als Ihr Passwort in ein Buch zu schreiben und zu speichern es in einem Safe.

Wenn jemand den Schlüssel für Ihren Safe finden, ihn öffnen, Ihr Passwort im Buch finden und damit Ihr Bankkonto leeren würde, könnte die Bank nicht haftbar gemacht werden Zu diesem Zeitpunkt, weil Sie daran schuld waren, dass es verfügbar war.
In demselben Sinne ist Ihr Passwort-Manager der Safe. Für den Fall, dass es jemandem gelingt, die Sicherheit Ihres Passwort-Managers zu verletzen, haften alle Informationen, die dieser Passwort-Manager erhalten kann, weiterhin für die Person , die die Informationen dort abgelegt hat .

tl; dr: Ich muss nein sagen, im rechtlichen Sinne spielt es keine Rolle, welche Art von abergläubischem Schutz Sie verwenden, Sie haben Ihr Passwort immer noch so aufgeschrieben eine Möglichkeit, wie es abgerufen werden kann.

Es gibt viele Arten von Passwort-Managern. Einige verwenden beispielsweise die URL der Website UND das eingegebene Passwort, um einen Hash zu erstellen, der als Passwort an die Bank gesendet wird. In diesem Fall wird das Passwort nur im Speicher des Benutzers gespeichert. (Es wird jedoch von einem potenziell böswilligen Drittanbieter-Tool verarbeitet.)
Unabhängig davon ist dies immer noch ein Zugangspunkt zum Bankkonto, den eine potenziell böswillige Person ausnutzen könnte. In diesem Fall kann die Bank weiterhin behaupten, dass sie nicht haftet, wenn dies als Angriffsvektor verwendet wurde.
Ich bin damit einverstanden, dass dies eine Frage der Haftung ist. Es ist möglich, einen Brute-Force-Angriff auf einen Passwort-Manager zu starten. In fast allen Fällen ist es jedoch unmöglich, einen vier- bis achtstelligen Stift auf einer Bankkarte auf die gleiche Weise anzugreifen, da die Karte nach +/- drei Versuchen gesperrt wird.
GdD
2014-06-04 01:39:37 UTC
view on stackexchange narkive permalink

In vielen Fällen ist es kein Ratschlag, dass Banken in ihren Allgemeinen Geschäftsbedingungen festlegen, dass Benutzer ihre Passwörter nicht aufschreiben oder in irgendeiner Weise preisgeben oder jeglichen Kredit- und Zahlungsschutz verlieren. Das Eingestehen eines Passwort-Managers wäre daher eine schlechte Idee, da Banken dies als Ausrede benutzen könnten, um nicht zu helfen.

Können Benutzer weiterhin Kennwortmanager verwenden? Sicher, solange sie daran denken, es nicht zu erwähnen, wenn das Schlimmste passiert. Die Sache ist, die meisten Leute haben nur eine Bank, also ein Passwort - warum sollten sie dafür einen Passwort-Manager benötigen?

Könnten Sie einen Link zu den Geschäftsbedingungen einer Bank bereitstellen, in denen dies angegeben ist? Ich würde gerne versuchen, es zu sezieren, weil es mir wie ein schlechter Präzedenzfall erscheint ...
Ich habe einen gefunden - ich habe einen Link in meine Antwort eingefügt.
Eine andere ist hier und etwas weniger vernünftig als die, die Sie gefunden haben: https://www.nwolb.com/TermsAndConditions.aspx
_ "Die Sache ist, die meisten Leute haben nur eine Bank, also ein Passwort - warum sollten sie dafür einen Passwortmanager benötigen?" _ - Ich habe bereits Dutzende / Hunderte ** andere Passwörter ** in einem Passwortmanager gespeichert - warum sollte Ich mache eine Ausnahme und speichere diese woanders?
@user11153,, da das Speichern Ihres Bankkennworts möglicherweise gegen die AGB der Bank verstößt und Sie einer Haftung aussetzt.
* "eine Bank" *? Diese Annahme ist genau das, eine Annahme. Die meisten Leute, die ich kenne, benutzen mehr als eine Bank. Die Gründe variieren von früheren Arbeitgebern, die eine andere Bank nutzen, bis zu Personen, die ein Darlehen, eine Versicherung oder ein Bankprogramm zu besseren Konditionen gewählt haben. Ganz zu schweigen davon, dass Sie sich auch für Produkte einer Bank eine Reihe verschiedener Passwörter und PIN-Nummern merken müssen ...
Ich fühle mich nicht wohl, wenn ich Leuten rate, zu lügen oder einfach nur durch Unterlassung zu lügen. Wenn ich Leuten raten möchte, einen Passwort-Manager zu verwenden, möchte ich, dass sie sich sicher fühlen, dass dies eine gute Sache ist.
JagdCrab
2014-06-04 02:02:28 UTC
view on stackexchange narkive permalink

Banken raten davon ab, Ihr Passwort aufzuschreiben, da es jedem zugänglich wäre, der in der Lage ist, das Notizbuch / Papier / die Notiz in die Hände zu bekommen, mit dem Sie es aufgeschrieben und gelesen haben. In Analogie würde die Verwendung des Passwort-Managers das Passwort für jeden zugänglich machen, der in der Lage ist, das Gerät mit dem Passwort-Manager zu verwenden und zu wissen, wie man es verwendet (was ich als zugängliche Fähigkeit wie Lesen bezeichnen würde).

Sollten Sie ein Passwort verwenden Manager und wie sicher ist es? Nun, es kommt hauptsächlich auf Ihre persönliche Kultur an, den Zugriff auf Ihren Computer und die allgemeine Sicherheit des Systems zu regeln. Wenn Sie nicht zulassen, dass Fremde Ihren Computer verwenden, ein Benutzerkontokennwort und ein Hauptkennwort für den Kennwortmanager haben, sehe ich kein Problem bei der Verwendung des Kennwortmanagers. Es ist nicht sicherer, als sich Ihr Passwort auf irgendeine Weise zu merken, aber falls ein unbefugter Zugriff auf Ihr Konto aufgrund einer Person erfolgen sollte, die den Passwort-Manager ausnutzt, werden die meisten Banken (oder zumindest diejenigen, mit denen ich zufällig zusammengearbeitet habe) nicht einfach ganz setzen Schuld an Ihnen und würde helfen, Schaden zu beheben, insbesondere wenn Sie nachweisen könnten, dass Ihr Passwort nicht leicht zugänglich ist und Sie die erforderlichen Vorsichtsmaßnahmen getroffen haben.

Der Zweck eines Passwort-Managers besteht darin, Passwörter in einem verschlüsselten Format zu sichern, für dessen Zugriff ein starkes "Hauptkennwort" erforderlich ist. "Andere Personen" können keine Kennwörter lesen, selbst wenn sie wissen, wie man den Kennwortmanager verwendet oder kryptografische Angriffe auf den Kennwortspeicher ausführt. Store wurde entwickelt, um allen vernünftigerweise plausiblen kryptografischen Angriffen zu widerstehen.
@ThomasW: außer wenn Ihr Computer kompromittiert ist, kann das Hauptkennwort leicht über den Keylogger abgerufen werden. Ich würde argumentieren, dass es in der Praxis viel weniger sicher ist als das Klartext-Passwort, das auf ein Stück Papier geschrieben ist, das Sie zu Hause aufbewahren.
@ThomasW: Viele, viele Passwort-Manager (insbesondere solche, die in Browsern wie dem beliebten LastPass integriert sind) geben bei Bedarf standardmäßig ein Passwort für Sie ein, ohne dass ein Hauptkennwort angegeben werden muss. Dann müssen Sie am Ende eines Tages nicht einmal das Passwort kennen, um Zugriff auf die Webanwendung der Bank zu erhalten.
@Michael Borgwardt: Einige Passwortmanager wie KeePass verfügen über Sicherheitsfunktionen zum Schutz vor Keyloggern. Das Hauptkennwort kann auf dem [sicheren Desktop] (http://keepass.info/help/kb/sec_desk.html) eingegeben werden, und die gespeicherten Kennwörter können die [zweikanalige automatische Verschleierung] (http: // keepass) verwenden .info / help / v2 / autotype_obfuscation.html). Ich werde nicht behaupten, dass diese Maßnahmen gegen alle Keylogger funktionieren, aber das Eingeben des Klartextkennworts von einem Blatt Papier, während auf Ihrem System ein Key Logger ausgeführt wird, ist sicherlich weniger sicher.
Ich würde argumentieren, dass es irrelevant ist, ob das Passwort von einem Passwort-Manager kopiert / eingefügt oder vom Benutzer aus dem Speicher eingegeben wird, wenn der Computer kompromittiert wird ...
Es scheint, dass mit einem _good_ Passwort-Manager der Benutzer auf einem gefährdeten Computer, der den Passwort-Manager verwendet, sicherer ist als die direkte Eingabe. Danke @mgronber.
kasperd
2014-06-05 14:59:48 UTC
view on stackexchange narkive permalink

Das Speichern des Kennworts in einem anständigen Kennwortmanager ist wahrscheinlich sicherer als die Methode, die die meisten Personen, die die Richtlinie einhalten, verwenden.

Es kann sein, dass ein typischer Kennwortmanager das Wort von verletzt Richtlinie, aber wahrscheinlich nicht der Geist der Richtlinie, da der Passwort-Manager sicherer ist. Was dies im tatsächlichen Fall bedeutet, ist eine Frage für einen Anwalt - nicht für einen Sicherheitsexperten.

Das Speichern einer verschlüsselten Version des Kennworts ist der naheliegendste Weg, um einen Kennwortmanager zu implementieren, ist es aber nicht der einzige Weg. Ein Passwort-Manager muss das Passwort nicht unbedingt speichern.

Ein Passwort-Manager kann Passwörter basierend auf den folgenden Eingaben generieren:

  • Hauptkennwort
  • Name der Site, für die das Passwort bestimmt ist
  • Für welchen Monat wurde das Passwort generiert
  • Wie lautet die Passwortrichtlinie der Site?

Wenn Sie Geben Sie alle oben genannten Informationen als Startwert an ein PRNG weiter und generieren Sie damit ein einheitlich zufälliges Kennwort unter allen von der Richtlinie zugelassenen Kennwörtern. Dann sollte das Kennwort genauso sicher sein. Die einzigen Informationen, die Sie speichern müssen, sind die Zeit, als das Kennwort erstellt wurde, sowie einige Informationen, die nicht geheim sind.

Der eigentliche Zweck eines solchen Ansatzes besteht darin, den Verlust von Kennwörtern aufgrund fehlender Sicherungen zu vermeiden. Als Nebeneffekt würde es jedoch Richtlinien umgehen, die das Speichern des Kennworts nicht zulassen.

Guter Punkt. Ich habe allgemein das Gefühl, dass das Speichern eines Satzes verschlüsselter Kennwörter ein besserer Ansatz für einen Kennwortmanager ist, da Sie damit das Hauptkennwort ändern können und einzelne Websites Ihr Hauptkennwort brutal erzwingen können. Sie haben jedoch Recht, dass der Hashing-Ansatz das Speichern von Daten vermeidet!
Jdahern
2014-06-06 05:16:28 UTC
view on stackexchange narkive permalink

Es ist eine technische Angelegenheit, aber wenn ich mein Passwort in eine Website eingebe, kann der Browser ein Passwort-Manager sein. Wenn Sie daher aufgefordert werden, Ihr Passwort niemals aufzuschreiben und einen Passwort-Manager einzuschließen, verstößt die Eingabe in einen Browser gegen die Bestimmungen. Da Sie nun die "Website" verwenden müssen, deren primäres Zugriffsmittel ein Browser ist, werden Sie gezwungen, gegen die Nutzungsbedingungen zu verstoßen.

An diesem Punkt stellt sich wirklich die Frage, ob Sie gezwungen sind, einen Passwort-Manager zu verwenden. Können sie sagen, dass Sie gegen die Nutzungsbedingungen verstoßen haben?

Nur weil etwas in den Nutzungsbedingungen enthalten ist, bedeutet dies nicht, dass es aufrechterhalten werden kann, wenn es nicht angemessen ist. siehe hier und hier

Alle Online-Banking-Systeme, die ich gesehen habe, haben aus genau diesem Grund im Anmeldeformular die automatische Vervollständigung = deaktiviert. +1 wegen deines letzten Absatzes, was ein guter Punkt ist!
@paj28 autocomplete = off ist ein falsches Sicherheitsgefühl. Mit Current Chrome, FF, Safari, IE10 und unten ist das fair. IE11 hat aus irgendeinem seltsamen Grund alles verändert. laut msdn.microsoft.com/en-us/library/ms533486%28VS.85%29.aspx "Ab Internet Explorer 11 wird die Eigenschaft für die automatische Vervollständigung für Felder vom Eingabetyp = Kennwort nicht mehr unterstützt." Es gibt jedoch ein einziges Beispiel für die Verwendung der automatischen Vervollständigung: "". Für mich macht das keinen Sinn, und dafür gibt es auch keine gute Rechtfertigung. aber es zeigt, dass man einem Browser nicht vertrauen kann.
MrWonderful
2014-06-05 04:42:12 UTC
view on stackexchange narkive permalink

Nach meiner Erfahrung übernehmen Banken in den USA kaum oder gar keine Verantwortung für Betrug aufgrund eines gestohlenen Passworts. In den Nutzungsbedingungen ist es in der Regel richtig, dass Sie für jeden verantwortlich sind, der mit Ihren Anmeldeinformationen auf Ihr Konto zugreift. Deshalb raten sie Ihnen, sie nicht aufzuschreiben. Sie können Sie je nach den Umständen unterstützen, aber ich bin mir ziemlich sicher, dass sie nicht dazu verpflichtet sind.

Davon abgesehen verwende ich ein Passwortspeicher-Tool ( 1Password) die ganze Zeit und bin ziemlich zufrieden mit dem Sicherheitsniveau, das es mir bietet, um meine über 800 Passwörter sicher zu verwahren. (Offensichtlich sind das nicht alle Bankkennwörter ... ;-) Außerdem wird jeder Eintrag in einer eigenen Datei gespeichert, um eine einfache und schnelle Synchronisierung mit Dropbox oder ähnlichen Cloud-Sharing-Diensten zu ermöglichen.

Normalerweise die einzigen Schutzbanken Die Garantie gilt für Kreditkartenbetrug (oder natürlich für direkten Diebstahl, wie bei einem Banküberfall).

Ich wusste das nicht (und ich bin nicht überzeugt, dass Sie Recht haben), aber in Europa ist es völlig anders, zumindest für die Verbraucher. Ihre Bank deckt Betrug unter fast allen Umständen ab, es sei denn, Sie haben fahrlässig gehandelt.
@paj28 - Als Antwort auf Ihren Kommentar habe ich die Nutzungsbedingungen meiner Bank (Chase) auf Schutzgarantien überprüft und keine gefunden. Sie erwähnen Dinge wie "Sie sollten uns bei Verdacht auf Betrug unverzüglich benachrichtigen", damit sie "beurteilen können, wie sie Ihnen am besten helfen können". Viele solche Dinge, aber keine Haftung für irgendetwas. Sie können nach eigenem Ermessen mit Ihnen zusammenarbeiten, um Ihr Guthaben wiederherzustellen, aber meiner Meinung nach wäre dies höchstwahrscheinlich, wenn sie die unangemessen entfernten Gelder zurückerhalten können. Oder vielleicht, wenn Sie ein langfristiger / bevorzugter / äußerst begehrenswerter Kunde sind.
@paj28 - Ich habe meine Antwort auch entsprechend aktualisiert. Vielen Dank!
@MrWonderful, Zum Glück ersetzen in den USA die Bundesgesetze (und die Gesetze der Bundesstaaten) immer noch die eigenen Nutzungsbedingungen einer Bank und das eigene Urteil einer Bank. Zum Beispiel haben das Fair Credit Billing Act (FCBA) und das Electronic Fund Transfer Act (EFTA) genaue Anforderungen an die Begrenzung der Haftung einer Bank gegenüber der Haftung eines Kunden für Betrug, sie erwähnen jedoch keine gestohlenen Passwörter oder gestohlenen Pins. http://www.consumer.ftc.gov/articles/0219-disputing-credit-card-charges http://www.consumer.ftc.gov/articles/0218-electronic-banking
Schauen Sie sich bei Debitkarten den zweiten Link an, den ich zum Electronic Fund Transfer Act (EFTA) angegeben habe. Dieses Gesetz ist für Debitkarten relevanter als das andere Gesetz. Und solange Sie den Betrug unverzüglich melden, spielt es keine Rolle, ob jemand Ihre PIN mit einem Fotoobjektiv / Schulter-Surfen erfasst hat oder ob Sie einen böswilligen Keylogger auf Ihrem Computer installiert haben, Ihre Haftung ist abhängig davon, wie viel Zeit, die Sie benötigen, um den Betrug angemessen aufzudecken und Ihrer Bank zu melden.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...