Frage:
KeePass gegen OneNote
pat
2016-11-03 19:05:33 UTC
view on stackexchange narkive permalink

In meinem Privatleben verwende ich KeePassX, um alle meine Passwörter zu generieren / zu speichern. Ich habe gesehen, dass einige Leute einen passwortgeschützten OneNote-Bereich verwenden.

Bietet der passwortgeschützte OneNote-Bereich ein vergleichbares Sicherheitsniveau wie KeePass? Oder ist der Passwortschutz eine Farce?

Ohne Einzelheiten zu kennen, gehe ich davon aus, dass KeyPass besser ist, da es sich um Software handelt, die aus Sicherheitsgründen geschrieben wurde, während es für OneNote nur ein Addon ist.Aber ich würde sagen, dass alles, was dem normalen Benutzer hilft, zufällige Passwörter mit hoher Entropie auszuwählen und die Wiederverwendung von Passwörtern zu stoppen, eine gute Sache ist, selbst wenn die Sicherheit nur absteigend und nicht perfekt ist.Lass das Perfekte nicht der Feind des Guten sein.
OneNote enthält (wie alle Microsoft-Produkte) eine Art Telemetrie.Es ist wahrscheinlich kein Problem für den normalen Gebrauch, aber für Passwörter kann es immer noch katastrophal sein.
Fünf antworten:
Serge Ballesta
2016-11-03 19:55:43 UTC
view on stackexchange narkive permalink

In Bezug auf die Speicherung denke ich, dass jede korrekt verschlüsselte Datei dieselbe Sicherheitsstufe hat. Das Problem ist, dass Passwörter verwendet werden sollen und dedizierte Passwort-Tresore mehr Funktionen haben:

  • Möglichkeit, Tastendrücke zu simulieren, um das Speichern des Passworts in der Zwischenablage zu vermeiden - und zusätzlich die Verwendung dieser Passwörter zu ermöglichen Auf schlecht gestalteten Websites, die das Einfügen in das Kennwortfeld
  • nicht zulassen, selbst wenn die Zwischenablage verwendet wird, wird sie nach kurzer Zeit bereinigt, um zu verhindern, dass das Kennwort versehentlich an einer falschen Stelle eingefügt wird
  • Einige Passwortmanager verfügen über einen Passwortgenerator (über die Tastatur), der zufällige Passwörter mit hoher Entropie generieren kann - resistent gegen Wörterbuchangriffe.

Aus all diesen Gründen halte ich einen guten Passwortmanager ist besser als eine einfache verschlüsselte Datei, auch wenn die Krypto-Engines gleichwertig sind.

"Passwörter sollen verwendet werden" Dies.Bis OneNote Control + Alt + A hat, das Passwörter basierend auf Programm / Website / etc automatisch generiert?Keine Konkurrenz ... Dropbox + Keepass (oder ähnliche Setups) ist leicht der Gewinn.
Einige andere Funktionen von Lastpass (nicht sicher, ob KeePass sie auch hat): * Online-Speicherung von (verschlüsselten) Passwörtern * Phishing-Schutz, indem nur Passwörter für die richtige Domain ausgefüllt werden * Automatische Aktualisierung von Passwörtern beim Ändern von Passwörtern * Zwei-Faktor-Authentifizierung * Telefon-app Unterstützung
@BlueRaja-DannyPflughoeft keepass speichert es nur in einer verschlüsselten Datei. Es ist jedoch relativ einfach, diese verschlüsselte Datei auf einer Dropbox-Freigabe für die Online-Speicherung abzulegen. Der Rest hängt davon ab, wie Sie sie konfigurieren. Der Schlüssel kann aus Daten generiert werden, die für eine bestimmte Datei eindeutig sindWindows Domain Benutzerkonto, eine zufällige Schlüsseldatei auf einem USB-Stick und Ihr Passwort geben Sie dort ein und dann, wenn Sie so weit gehen wollten.Oder Sie können einfach ein Passwort verwenden.
IMHO beantwortet dies nicht die Frage.Ist OneNote so sicher wie KeePass oder nicht?Ich sehe das nicht aus deiner Antwort.
Das Belassen eines Kennworts in der Zwischenablage ist ein Sicherheitsproblem.Wenn Sie in einer Webanwendung ein Kennwort erneut eingeben müssen, das das Einfügen verhindert, wählen normale Benutzer nicht zu komplexe Kennwörter.Der Speicher hat die gleiche Sicherheitsstufe, die Nutzung jedoch nicht.
Paranoid finde ich, dass es ein Vorteil ist, wenn KeePass keinen Onlinedienst hat.Ich * weiß *, dass meine Datei von dem von mir verwendeten Online-Sicherungsdienst (OneDrive) nicht gelesen werden kann, anstatt nur den Behauptungen von LastPass / 1Password glauben zu müssen.
Das zur Stärkung des Master-Passworts verwendete KDF kann sich in der Stärke unterscheiden.
Ich bezweifle außerdem sehr, dass OneNote über einen Speicherschutz verfügt, um zu verhindern, dass der Inhalt des Passwrond direkt aus dem RAM gelesen wird, während andere Kennwortmanager (wie Keepass) möglicherweise vor solchen Zugriffen geschützt sind.
crovers
2016-11-03 19:15:36 UTC
view on stackexchange narkive permalink

Ein kurzer Blick darauf zeigt, dass AES verwendet wird, das robust ist und die Exploit-Tools, die ich sehe, so aussehen, als würden sie Wörterbuch- und Brute-Force-Angriffe ausführen, anstatt etwas systematisch kaputtes anzugreifen.

Allerdings KeePass / LastPass / ähnliche Tools wurden speziell für die jeweilige Situation entwickelt. Sie unterstützen die Multi-Faktor / 2-Faktor-Authentifizierung, was ein Bonus ist. Ich würde diese Tools immer noch über den OneNote-Kennwortschutz empfehlen, nur weil sie gut integriert und benutzerfreundlich sind, aber ich sehe dort kein Sicherheitsproblem.

Gute Antwort!Ich fand auch heraus, dass zumindest die [2016 Mac-Version AES-128 verwendet] (https://support.office.com/en-us/article/Learn-more-about-password-protection-in-OneNote-2016-for-Mac-c899633e-0e6b-4a8b-b5ae-a517006ad1bb).Aber welche Tastendehnung wird verwendet?Das könnte ein wichtiger Unterschied sein.
* "Key Stretching" * Das ist der große.Die Schlüsselableitungsfunktion sollte idealerweise 50-500 ms (abhängig von der Hardware des Benutzers) benötigen, um das Kennwort in einen Schlüssel umzuwandeln, um Brute-Force-resistent zu sein.Es gibt jedoch keine Garantie dafür, dass sie dieses spezielle Detail ernst genommen haben.
Das ist ein guter Punkt.Ich würde hoffen, dass sie etwas Standard verwenden (PBKDF2 usw.), aber Sie wissen es nie.
AFAIK LastPass verschlüsselt nicht die gesamte Datei, sondern nur die Kennwörter. Daher werden Informationen darüber veröffentlicht, auf welcher Site Sie ein Konto und Benutzernamen registriert haben.(Zumindest war es vor einiger Zeit so).
"es benutzt AES" - was ist das?KeePass oder OneNote?
@Anders KeePass2 verwendet ein benutzerdefiniertes iteriertes KDF basierend auf AES mit einer relativ hohen Iterationszahl (AFAIR ist der Standardwert 1 Sekunde auf der Hardware, auf der Sie die Kennwortdatenbank erstellen).Ich würde es als stärker als PBKDF2-HMAC-SHA-2 bei gleicher Rechenzeit beurteilen (da es die AES-NI-Anweisungen nutzt), aber schwächer als beim Verschlüsseln mit hohem Speicherbedarf.
mat
2016-11-03 20:17:45 UTC
view on stackexchange narkive permalink

Abgesehen von den von @Serge Ballesta in seiner Antwort erwähnten Bedenken hinsichtlich der Benutzerfreundlichkeit treten die folgenden Sicherheitsprobleme auf:

  • KeePass verfügt über eine gut dokumentierte Sicherheit. Sie dokumentieren die von ihnen verwendete Schlüsselableitungsfunktion und die verwendete Verschlüsselungstechnologie.
  • KeePass ist Open Source-Software. Dies bedeutet, dass Sie überprüfen können, ob die Software keine Hintertür enthält.
  • Eine KeePass-Datenbank bleibt auf Ihrem lokalen Laufwerk, es sei denn, Sie stellen es aktiv in einen Cloud-Speicher. Eine automatische Synchronisierung ist für sehr vertrauliche Daten wie Kennwörter möglicherweise nicht wünschenswert.
"* KeePass ist Open Source-Software. Dies bedeutet, dass Sie überprüfen können, ob die Software keine Hintertür enthält. *" - Zitieren erforderlich.Abgesehen von der Tatsache, dass "Sie nichts Negatives beweisen können", nach der Regel "Sie sollten sich nicht darauf verlassen, dass Sie Ihre eigene Krypto implementieren", sollten Sie sich sicher nicht darauf verlassen, dass vorhandene Krypto überprüft wird?Die Eigenschaften, die es schwierig machen, richtig zu schreiben, implizieren, dass Sie ähnliche Fähigkeiten benötigen, um zu überprüfen, ob es richtig ist, nicht wahr?
@TessellatingHeckler: Da man etwas großzügiger ist, könnte man annehmen, dass das "Sie" das allgemeine Sie in dieser Aussage ist.Mit anderen Worten, jemand kann die Software prüfen, aber das müssen nicht unbedingt Sie sein.
@DietrichEpp Senden Sie eine E-Mail an zwei Personen über eine Aufgabe und sehen Sie, wie oft beide sagen "* Ich dachte, {andere Person} würde es tun *".Ich gehe auch gerne davon aus, dass jemand anderes die komplexe, hochqualifizierte, wenig belohnende, zeitaufwändige und undankbare Aufgabe erledigt, und es ist in Ordnung.Aber die Art und Weise, wie "* jemand könnte hypothetisch nach Problemen suchen *" verwendet wird, als ob es das Gewicht von "* jemand, der spezifisch auf Probleme überprüft hat und es in Ordnung ist *" trägt, ist für mich etwas seltsam."* Kritiker mochten dieses Buch *" ist ein überzeugendes Verkaufsargument."* Jemand, irgendwo, könnte dieses Buch hypothetisch lesen *" sollte nicht sein.
@TessellatingHeckler: Das könnte Sie interessieren: http://www.ghacks.net/2016/07/22/keepass-password-manager-icode-audit/ Die Tatsache, dass es Open Source ist, bedeutet natürlich nicht, dass es *wurde * geprüft, erleichtert jedoch die Prüfung erheblich.
Open Source bedeutet, dass das Risiko, wenn eine Hintertür eingebaut wird, viel höher ist - es ist viel einfacher, erwischt zu werden.Es ist daher anzunehmen, dass dies die Wahrscheinlichkeit verringert, dass Open-Source-Software Hintertüren hat, selbst wenn Sie nicht über die erforderlichen Fähigkeiten verfügen, dies zu überprüfen.
Der große Vorteil einer lokal gespeicherten Tastaturdatenbank besteht darin, dass Sie sie ohne Verbindung verwenden können.Ich synchronisiere meine über Dropbox, damit sie auf meinem Telefon ist.Einige der Maschinen bei der Arbeit befinden sich in einem Keller ohne Telefonsignal.Ich kann relevante Passwörter von meinem Telefon lesen und sie erneut eingeben.Ein Online-Besuch Ihres Lastpass-Kontos von einem nicht vertrauenswürdigen Computer aus wäre eine dumme Sache.
@Tgr Es sei denn, die Tatsache, dass sich jeder auf Open Source verlässt, um diese Art von Sicherheit zu bieten, macht es * weniger * wahrscheinlich, dass jemand nach einer Hintertür sucht, da es offensichtlich keine Hintertür gibt - es ist Open Source, jeder könnte sie finden.Sie wissen, das übliche "Schatten unter der Lampe" Ding.Und nach allem, was Sie im Internet sehen, könnte dies durchaus der Fall sein - warum die fruchtlose, harte Arbeit leisten, wenn Sie bereits davon ausgehen, dass es jemand anderes getan hat?: D Wohlgemerkt, es gibt * Leute *, die so etwas zum Spaß machen (oder um ihren Lebensunterhalt zu verdienen, wenn man bezahlt werden kann), aber das ist immer noch eine begrenzte Ressource.
Es ist nicht so schwer, eine Codebasis auf Hintertüren zu überprüfen.Beispiel: Ich wollte einmal eine ToDo-List-App (Android) verwenden, wollte aber sicher sein, dass sie nicht "nach Hause telefoniert".Es hatte auch einige Synchronisationsfunktionen (mit einem Flag) und ich wollte 100% sicher sein, dass es nie synchronisiert wurde.Ich war leicht in der Lage, den Quellcode abzurufen, ihn zu kompilieren und dann im Grunde genommen eine Suche im Strg-F-Stil nach Methoden durchzuführen, die sich irgendwie auf den Netzwerkverkehr beziehen, und diese Funktionalität im Grunde genommen direkt herauszureißen (indem ich alle relevanten Bereiche naiv auskommentierte).Das gleiche wäre für KeePass ganz einfach, das ...
... sollte überhaupt keinen Grund haben, Netzwerkcode zu verwenden.Suchen Sie nach "#include ", wobei xyz die Art von Funktionalität ist, an der Sie interessiert sind, und Sie erhalten eine ziemlich gute Idee, wo Sie anfangen sollen.Zugegeben, dies ist nicht kinderleicht, und ein böswilliger Open-Source-Entwickler hat sicherlich Möglichkeiten, über das Offensichtliche hinauszukommen und irgendwie immer noch durchzukommen.und Sie müssten wahrscheinlich mehr Aufwand investieren, um herauszufinden, ob sie Krypto-Backdoors haben (d. h. Dinge für Backdoor-Schlüssel verschlüsseln).Aber wenn sie es taten und jemand es bemerkte, können Sie sicher sein, dass es schnell und umfassend bekannt ist.
@AnoE KeePass bietet integrierte Unterstützung für WebDAV, sodass es tatsächlich einen Grund für Netzwerkcode gibt.Vielleicht könnte ich argumentieren, dass eine solche Funktionalität in einem Addon implementiert werden sollte, aber das ist nicht die aktuelle Situation.
@Bob, das meine ich - wenn ich nicht damit einverstanden bin, dass WebDAV unterstützt wird, bin ich frei und in der Lage, diese Funktionalität durch einen mehr oder weniger mechanischen Prozess ziemlich einfach herauszureißen.
Tgr
2016-11-04 10:17:15 UTC
view on stackexchange narkive permalink

Ein Passwort-Manager und eine einfache verschlüsselte Datenbank / Textdatei / was auch immer entspricht ungefähr den Bedrohungen, die für den durchschnittlichen Benutzer am relevantesten sind (vorausgesetzt, die Verschlüsselung wurde anständig durchgeführt, z. B. mit einer ausreichend langsamen Methode): Angriffe basierend auf der Wiederverwendung von Passwörtern ( Das heißt, jemand richtet eine Honeypot-Website ein oder bricht eine schwach geschützte Website und testet die gesammelten Benutzernamen + Passwörter gegen Google Mail.) und die geringe Passwort-Begeisterung (dh das Passwort kann erraten werden, indem eine große Liste passwortähnlicher Zeichenfolgen erstellt und alle ausprobiert werden

Der große Unterschied besteht in Bedrohungen, bei denen Ihr Computer teilweise gefährdet ist: Beispielsweise installiert jemand einen Keylogger (gute Kennwortmanager können mithilfe einer Mischung aus Aktionen zum Kopieren und Einfügen und simulierten Tastendrücken automatisch tippen Dies macht es schwierig, sich anzumelden), oder sie sprühen flüssigen Stickstoff auf Ihren Computer und reißen die Speicherchips heraus, während Sie auf der Toilette sind (gute Passwortmanager vermeiden es, unverschlüsselte Kopien der Passwörter im Speicher zu behalten).

A. Wenn es keinen triftigen Grund dafür gibt, sollten Sie einen geeigneten Passwort-Manager wie KeePass (oder OnePass oder LastPass) verwenden. Wenn Sie feststellen, dass eine andere zufällige Kennwortgenerierung + verschlüsselte Speichermethode besser zu Ihrem Workflow passt / Ihrer Oma leichter zu erklären ist, verwenden Sie diese und sorgen Sie sich nicht zu sehr darum. Wenn Sie Ihr Passwort von einer Site stehlen und auf einer anderen wiederverwenden, ist die Wahrscheinlichkeit sehr hoch, dass Sie sich mit einem Keylogger infizieren, wenn Sie ein Antivirenprogramm und einen gesunden Menschenverstand verwenden (und wenn Sie sich infizieren, werden Passwörter nicht infiziert) Ihr größtes Problem - es werden Kreditkarten oder Identitätsdiebstahl sein.

Jegajothy
2016-11-09 00:38:45 UTC
view on stackexchange narkive permalink

Ich würde vorschlagen, einen eigenen Passwortgenerator zu erstellen. Wenn Sie also wissen, wie eine einfache Access-Datenbank erstellt wird, habe ich dies getan und kann die Anzahl der einzelnen Arten von Zeichen oder Zahlen oder erweiterten Zeichen auswählen. Wirf sie dann durcheinander, vielleicht mehr als einmal, wenn du möchtest, und speichere sie dann in deiner Datenbank für jede Site, die du erstellen möchtest. Sie müssen diese Datenbank jedoch sichern, damit niemand sie auf Ihrer Festplatte finden oder auf einem Flash-Laufwerk speichern kann. Grüße.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...