Das mit dem Löschen aus dem Zwischenspeicher ist eine gute Idee ;)

@@Florian.Dalwigk Du könntest auch überlegen, eine komplementäre Browser-Erweiterung zu schreiben, die die Passwörter direkt in entsprechende password inputs schreibt. Dann hast du die Passwörter gar nicht mehr im Clipboard, wenn du sie innerhalb des Browsers verwenden möchtest. Dazu müsstest du dann natürlich auch die entsprechenden URLs mit in der Datenbank ablegen.

Dann wäre dein Kanal aber auch weg, denn KZbin gehört zu Google.

​​@@Florian.Dalwigk Und Android auch, im Falle dass er auf Android schaut.

Das kann ich nachvollziehen. ;)

Gute Frage, dass habe ich mich auch gefragt. Ich glaube nicht das man da direkt irgendwas dagegen machen kann da das OS das Swaping regelt.

In meinem neuen Buch 😉

@@Florian.Dalwigk Ich habe das Phyton für einsteiger das gelb blaue... finde ich es dort?

@phoenixjonglage nein, im neuen Buch "Python Projekte für die Praxis"

Ich nutze es nicht und kann daher auch keine Empfehlung geben.

Kann man definitiv empfehlen. Wenn du ein wenig technikbegeistert bist, und noch mehr Sicherheit wünscht, kannst du es auch selbst auf deinem Server hosten.

@@ArizeOW Ja, ich nutze Bitwarden jetzt seit 2,5 Jahren. Aber noch nicht selbstgehostet, das wäre ein nächster Schritt für mich. Aber weiß noch nicht ob es besser wäre das auf meinem VPS zu hosten wo auch meine Website drauf liegt etc. oder lieber doch auf meinem NAS das nur über VPN erreichbar ist. Was würdest du da empfehlen? Die self-hosting Variante heißt doch dann Vaultwarden, oder?

Ich hab Bitwarden auf meinem VPS über einen Docker Container gehosted. Dazu downloade ich regelmäßig das Passwort Archiv als Datei, verschlüssle es asymmetrisch und speichere es auf zwei VeraCrypt verschlüsselten externen Festplatten. Zusätzlich würde ich einen YubiKey empfehlen. LG.

@@ArizeOW "mehr Sicherheit" nur wenn du weißt wie du deinen Server sicher hältst...

Danke dir :)

​@@Florian.Dalwigk du könntest noch benutzrnamen hinzufügen. Und eine Option um sich alle Dienste mit Benutzer (ohne PW) anzeigen zu lassen. Kann ich das python Script irgendwo runterladen?

Ich hab das auch genutzt.

Könntest du mal ein Video machen wie in Detail PBKDF2 und Scrypt funktioniert. :)

unter Python gibt es die TKinter Bibliothek. Also die Toolkit-Interface Sprachanbindung für Python erleichtert das erstellen von GUI unter Python.

Zum Übertragen aufs Handy: Da müsstest du dir eine eigene App bauen oder versuchen, über verschiedene Tools aus dem Python-Script eine .apk zu machen.

Dazu habe ich schon ein eigenständiges Video gedreht (Ihr Passwort ist ZU LANG?)

Durchaus! Damit öffnet man aber natürlich weitere Sicherheitslücken. Aber wenn man nur die _verschlüsselte_ Datenbank hochlädt, sollte es erstmal kein Problem geben.

Die habe ich aus Sicherheitsgründen bewusst weggelassen

Das hatte ich anfangs, habe es aber aus Sicherheitsgründen rausgenommen.

Das sage ich auch im Video.

Das wird schwierig.

Mit viel RAM kann man das paging file natürlich ausstellen

und pagefile encryption könnte auch einen Blick wert sein

Richtig

die Swap Partition ist optional und muss nicht angelegt werden. Da es nur eine Partition ist, kann diese auch entfernt oder gar nicht erst bei der Einrichtung des OS angelegt werden. Eine sichere Methode ist es, diesen PasswortManager in einer Hidden VM in einer versteckten verschlüsselten Partition (z.B. mit VeraCrypt) unter der Verwendung von TailsOS zu nutzen. Das hinterlässt zwar auch Spuren, aber nur auf einem versteckten, verschlüsselten Bereich.

Zum swap: Swap gibt es auch unter Windows, dort regulär in einer Datei anstatt in einer partition. Swap wird auch bei heutigen Arbeitsspeichern noch oft genug benötigt, meist im Zusammenspiel mit Paging. Arbeitsspeicher kann auch ohne hibernation in den swap geschoben werden, etwa bei Überlauf. Ja, das kann dann forensisch ausgelesen werden. Dagegen gibt es auch nicht wirklich Gegenmaßnahmen, man kann die wichtigen Daten nur verteilen und möglichst unauffällig machen, damit Reverse engineering schwerer wird. Wer aber genau weiß wie ein Programm funktioniert, kann sich so immer auch alle Daten zusammen sammeln. Deswegen sollten Security relevante Daten auch im Arbeitsspeicher immer nur möglichst kurz vorliegen und danach auch explizit überschrieben werden. In der Praxis heißt das: Programm starten, Passwort kopieren, Passwort benutzen, Programm schließen. Im idealfall bereinigt der Manager dabei dann auch den Zwischenspeicher. Solange das Programm offen ist könnte ja letztlich auch jeder, der remote oder direkt an deinen PC kommt alles auslesen. Zur Rechnung: Da hast du einiges durcheinander gebracht. 8 bit = 1 byte. 1 byte = 1 char (ASCII, UTF-8 base...) 48Byte durch 8 zu teilen ergibt hier also nie viel Sinn. Entweder du möchtest die Zeichen bestimmen (möchtest du nicht, siehe unten), dann wären es direkt einfach 48. Oder du möchtest die Bit berechnen, dann musst du aber *mal* 8 rechnen. Es geht außerdem um den Schlüssel, nicht um das Passwort. Das Passwort als solches kann eine mehr oder minder beliebige Länge haben und hat mit dem Schlüssel erst mal nichts zu tun. Der Schlüssel liegt auch nicht als Text vor sondern als Bit Daten. Die 48 Bytes des Schlüssels entsprechen also 48×8 = 384 Bit. Jedes bit hat zwei Zustände, es gibt also 2^384 Möglichkeiten für den Schlüssel. Das sind etwa 394 Möglichkeiten aber mit 113 Nullen dahinter! Ein Salt würde dieses Problem, wenn es denn so wäre wie von dir beschreiben, übrigens auch nicht lösen. Ein Salt vergrößert nicht den Raum möglicher Passwörter und härten ein System damit auch nicht gegen bruteforce. Ein Salt verhindert die Rückschließbarkeit auf Passwörter für bekannte Cyphern. Wenn 1000 Leute das gleiche Passwort benutzen haben sie dank Salt dann nicht alle die gleiche Cypher. Das Passwort abc123 bleibt dabei genau so schlecht wie es vorher war.

Denn (guten) Antworten meiner Vorredner ist nichts hinzuzufügen :)

@@2dark4noir Vielen Dank für die ausführliche Antwort. Aus diesem Grund gibt es auch eine Mittagspause, damit das Gehirn danach wieder arbeiten kann. Läuft Paging ausschließlich mit Swap unter Linux oder falls die Partition vorhanden ist, wird diese bevorzugt? Soweit ich es noch von der Uni kenne, wird doch allgemein auf die Festplatte ausgelagert. Das mit dem Überlauf, wollte ich mit dem Vermerk anspielen, da heutzutage jeder 16 bzw. 32 GB RAM besitzt und daher, zumindest im privaten Bereich, grundsätzlich kein Überlauf stattfindet. Zum zweiten Teil gebe ich dir natürlich Recht. Da war mein Gehirn auf Hibernation-Modus... :D Dennoch kurz zu meinem Gedankengang zu Salting: Es wird eine zufällige Zeichenketten zu einem Klartext angehängt (natürlich besitzt der Hash am Ende die selbe Länge), aber ich bin in diesen Moment gar nicht davon ausgegangen, dass er das Passwort hasht, obwohl er es gesagt hat. Vielleicht habe ich aber auch nicht richtig zugehört, da die key-Datei ein bin sein soll und ich einfach mit 48 Bit gerechnet habe (daher auch durch 8 dividiert).

@@BufferTheHutt Danke für deine Antwort. Sehr interessant, aber ich denke, dass hier auch eher das KISS-Prinzip gilt und man ein "bisschen" auf Sicherheit verzichtet.

Theoretisch auch eine Option, würde da aber mehrere Sticks verwenden, da der eine gerne mal kaputt oder verloren gehen kann

Aber generell kann man da direkt nen Hardware Schlüssel verwenden

Kann man machen.

Wenn du einen Keylogger auf dem Rechner hast, dann ist der Passwortmanager dein geringstes Problem ...

@@Florian.Dalwigk Aber so jemand hätte nicht direkt alle Passwörter, weil ich mich z.B. nicht ständig und immer wieder in allen Accounts einlogge. So jemand würde dann die aktuellen Zugangsdaten haben, aber nicht von den alten Accounts, die ich nur selten nutze. Oder? Was ich noch nicht ganz verstehe, - falls du noch Zeit und Lust zu antworten hast, - warum ist der Passwortmanager dann mein geringstes Problem, wenn ich ein Keylogger habe? Jemand könnte sich auf meinem PC breit machen, was nicht schlimm wäre, wenn keine sensiblen Daten auf diesem PC wären, aber er hätte dann nicht alle Zugangsdaten. ?

Wenn jemand einen Keylogger auf deinem Rechner hat, hat er in der Regel weitreichende Kontrolle und da ist der Weg zum Abfangen der Passwörter nicht weit. Du brauchst dich ja nur irgendwo anmelden und schon hat er auch die Information.

@@Florian.Dalwigk Ja, das ist mir klar. Aber ich meinte, er hätte dann nicht all die anderen Passwörter, die ich nur selten nutze. Ich hätte somit vielleicht eher die Chance den Beobachter zu entdecken (Wohl unwahrscheinlich mit normaler Virensoftare oder?) - Aber vielleicht bei Neuinstallation des Betriebsystem wäre vielleicht der Beobachter nicht mehr auf dem PC??? :)) ?? Vielleicht ist der Beobachter auch nicht durchgehend wachsam oder geht alle geloggten Dateien durch, so das er nicht ständig alle Passwörter oder Eingaben abfängt?? Ansonsten braucht er nur einmal die Eingabe abfangen, die immer die Gleiche ist und er hat alle Passwörter. :(((

😁

Einen Passwortgenerator habe ich bereits programmiert und der wird auch in meinen Büchern referenziert.