it-swarm.com.de

KeePass gegen OneNote

In meinem Privatleben verwende ich KeePassX, um alle meine Passwörter zu generieren/zu speichern. Ich habe gesehen, dass einige Leute einen passwortgeschützten OneNote-Bereich verwenden.

Bietet der passwortgeschützte OneNote-Bereich ein vergleichbares Sicherheitsniveau wie KeePass? Oder ist der Passwortschutz eine Farce?

20
pat

In Bezug auf die Speicherung denke ich, dass jede korrekt verschlüsselte Datei dieselbe Sicherheitsstufe hat. Das Problem ist, dass Passwörter verwendet werden sollen und dedizierte Passwort-Tresore mehr Funktionen haben:

  • die Möglichkeit, Tastendrücke zu simulieren, um das Speichern des Kennworts in der Zwischenablage zu vermeiden. Außerdem können sie auf schlecht gestalteten Websites verwendet werden, die nicht in das Kennwortfeld eingefügt werden dürfen
  • selbst wenn die Zwischenablage verwendet wird, wird sie nach kurzer Zeit bereinigt, um zu verhindern, dass das Kennwort versehentlich an einer falschen Stelle eingefügt wird
  • einige Passwortmanager verfügen über einen Passwortgenerator (über die Tastatur), der zufällige Passwörter mit hoher Entropie generieren kann - resistent gegen Wörterbuchangriffe

Aus all diesen Gründen denke ich, dass ein guter Passwort-Manager besser ist als eine einfache verschlüsselte Datei, selbst wenn die Krypto-Engines gleichwertig sind.

43
Serge Ballesta

Ein kurzer Blick da draußen zeigt, dass es AES verwendet, das robust ist und die Exploit-Tools, die ich sehe, so aussehen, als würden sie Wörterbuch- und Brute-Force-Angriffe ausführen, anstatt etwas systematisch kaputtes anzugreifen.

KeePass/LastPass/ähnliche Tools wurden jedoch speziell für die jeweilige Situation entwickelt. Sie unterstützen die Multi-Faktor/2-Faktor-Authentifizierung, was ein Bonus ist. Ich würde diese Tools immer noch über den OneNote-Passwortschutz empfehlen, nur wegen der netten Integration und der Benutzerfreundlichkeit, aber ich sehe dort kein Sicherheitsproblem.

17
crovers

Abgesehen von den von @Serge Ballesta in seiner Antwort erwähnten Usability-Bedenken treten die folgenden Sicherheitsprobleme auf:

  • KeePass verfügt über eine gut dokumentierte Sicherheit. Sie dokumentieren die von ihnen verwendete Schlüsselableitungsfunktion und die verwendete Verschlüsselungstechnologie
  • KeePass ist Open Source-Software. Dies bedeutet, dass Sie überprüfen können, ob die Software keine Hintertür enthält
  • Eine KeePass-Datenbank verbleibt auf Ihrem lokalen Laufwerk, es sei denn, Sie speichern sie aktiv in einem Cloud-Speicher. Eine automatische Synchronisierung ist für sehr vertrauliche Daten wie Kennwörter möglicherweise nicht wünschenswert.
9
mat

Ein Passwort-Manager und eine einfache verschlüsselte Datenbank/Textdatei/was auch immer ist ungefähr gleichwertig für Bedrohungen, die für den durchschnittlichen Benutzer am relevantesten sind (vorausgesetzt, die Verschlüsselung wurde anständig durchgeführt, z. B. mit einer ausreichend langsamen Methode): Angriffe basierend auf der Wiederverwendung von Passwörtern (dh jemand richtet eine Honeypot-Website ein oder bricht eine schwach geschützte Website und testet die gesammelten Benutzernamen + Passwörter gegen Google Mail) und die geringe Passwort-Begeisterung (dh das Passwort kann erraten werden, indem eine große Liste passwortähnlicher Zeichenfolgen erstellt und alle versucht werden). .

Der große Unterschied besteht in Bedrohungen, bei denen Ihr Computer teilweise gefährdet ist: Beispielsweise installiert jemand einen Keylogger (gute Kennwortmanager können mithilfe einer Mischung aus Aktionen zum Kopieren und Einfügen und simulierten Tastendrücken, die die Protokollierung erschweren, automatisch tippen), oder sie - Sprühen Sie flüssigen Stickstoff auf Ihren Computer und reißen Sie die Speicherchips heraus während Sie auf der Toilette sind (gute Passwortmanager vermeiden es, unverschlüsselte Kopien der Passwörter im Speicher zu behalten).

Alles in allem sollten Sie einen geeigneten Passwort-Manager wie KeePass (oder OnePass oder LastPass) verwenden, wenn es keinen starken Grund dafür gibt. Wenn Sie feststellen, dass eine andere zufällige Kennwortgenerierung + verschlüsselte Speichermethode besser zu Ihrem Workflow passt/Ihrer Oma leichter zu erklären ist, verwenden Sie diese und sorgen Sie sich nicht zu sehr darum. Wenn Sie Ihr Passwort von einer Site stehlen und auf einer anderen wiederverwenden, ist die Wahrscheinlichkeit sehr hoch, dass Sie sich mit einem Keylogger infizieren, wenn Sie ein Antivirenprogramm und einen gesunden Menschenverstand verwenden (und wenn Sie sich infizieren, werden Passwörter nicht infiziert) Ihr größtes Problem - es wird Kreditkarten oder Identitätsdiebstahl sein).

2
Tgr

Ich würde vorschlagen, einen eigenen Passwortgenerator zu erstellen. Wenn Sie also wissen, wie eine einfache Access-Datenbank erstellt wird, habe ich dies getan. Ich kann die Anzahl der einzelnen Arten von Zeichen oder Zahlen oder erweiterten Zeichen auswählen und dann durcheinander bringen. Ordnen Sie sie neu an, möglicherweise mehr als einmal, wenn Sie möchten, und speichern Sie sie dann in Ihrer Datenbank für jede Site, die Sie erstellen möchten. Sie müssen diese Datenbank jedoch sichern, damit niemand sie auf Ihrer Festplatte finden oder auf einem Flash-Laufwerk speichern kann. Grüße.

0
Jegajothy