Anschlag auf die Zwischenablage

Benutzer peggy schrieb:

Schon mal bei Windows versucht per copy&paste Passwörter zu kopieren ?

Benutzer fonpfutzi schrieb:

Genau hier liegt das Problem. Wenn ich ein Passwort per C&P transportiere, bleibt es danach in der Zwischenablage - so lange, bis etwas neues in den Zwischenspeicher geangt. Böswilliger Code könnte die Zwischenablage nun bspw. jede Stunde per Internet versenden.

Peggy

Benutzer peggy schrieb:

Gib doch unmittelbar nach einem Passworttransport eine beliebige Zeichengruppe in die Zwischenablage ein. Mit etwas Phantasie und Humor kannst Du Dich dann daran ergötzen, wie 'die Bösen' vergeblich versuchen, das vermeintliche Passwort zu nutzen. ;-)
mfg

Erstens werden so viele verschiedene Daten in die Zwischenablage kopiert, dass es wohl unmöglich wäre, daraus ein Passwort ausfindig zu machen. Zweitens wüssten "die Bösen" ja nicht, wo und mit welchem Benutzernamen man sich mit dem Passwort anmelden kann. Und dann wäre es ja auch ein Zufall, wenn gerade dann ein Passwort in der Zwischenablage wäre, wenn die Stunde um wäre. Darum, dass so ein Passwortklauprogramm von Microsoft in Windows integriert wurde, würde ich mir keine zu großen Sorgen machen.

Allerdings wäre es schon möglich so ein Programm zu schreiben und getarnt übers Internet zu verbreiten. Mit einer Firefox-Extension wäre es zum Beispiel sehr einfach so etwas zu bewerkstelligen, da man Zugriff auf die gerade angeschaute Seite hat und dann auch die Passwörter abgreifen kann. Der integrierte Passwort-Manager macht genau das. Es wäre ein Leichtes, diese Daten dann übers Internet zu versenden. Sowas würde sicherlich nicht lange geheim bleiben, da die Firefox-Extensions in Javascript geschrieben sind und jeder einfach die Extension auspacken und angucken kann. Für die Leute, die vorher drauf reingefallen sind, kann es aber zu spät sein. Deswegen würde ich diese Extension auch nur direkt von Mozilla Add-Ons-Portal runterladen oder mir den Code von fremden Seiten vorher angucken.

Also braucht man nicht einmal die Zwischenablage, um Passwörter abzufangen. Allerdings würde ich Passwörter sowieso nicht in die Zwischenablage kopieren. Diese kann übrigens jedes Programm mit ensprechenden Rechten problemlos überwachen. D.h. es bekommt einen Hinweis, wenn sich der Inhalt ändert, deswegen ist nicht einmal "jede Stunde nachgucken" nötig.

Tipp: ändere lieber dein Passwort auf eines, dass du dir merken und aus dem Kopf eingeben kannst. Es sollte allerdings kein Wort aus dem Wörterbuch oder ein Name sein, sondern eine Mischung aus Buchstaben (groß und klein) und Zahlen und ggf. Sonderzeichen. Zum Beispiel kann man einen einfach Satz nehmen, wie "Mein Passwort kennt Niemand außer mir!" Wenn du jetzt die Anfangsbuchstaben der Wörter nimmst, hast du "MPkNaM". Das ist schon mal recht gut. Man könnte auch ein reales Wort nehmen und es ein bisschen "anreichern": Gartenlaube -> gaR3tnL7aUBe Sowas kann man sich recht einfach merken und es ist mit einfachen Mitteln (z.B. Wörterbuch-Angriffe) praktisch nicht zu knacken. Natürlich ist kein Passwort 100% sicher, aber man muss es den "bösen Jungs" auch nicht zu einfach machen, indem man sein Passwort zu offensichtlich macht oder es aus Faulheit in die Zwischenablage (vielleicht sogar noch an einem fremden Rechner im Internetcafe) in die Zwischenablage kopiert.

Gruß
GroessterNehmer

Hallo GroessterNehmer,

danke für die vielen Hinweise und Tipps. Ich benutze grds. für jeden Account ein anderes Passwort, das je nach Sensibilität unterschiedlich lang ist und meist auch Zahlen, in Einzelfällen zusätzlich Sonderzeichen enthält.

Das mit dem Code und den Programmen, die ganz einfach die Zwischenablage ausscannen, finde ich eine echte Bedrohung. Wenn eine Art "Staatstrojaner" kommt, dann sicher so ein primitives, aber gemeines Tool. Anders wird das kaum zu "lösen" sein.

Das Problem ist, daß sich mit den Jahren mehrere Dutzend Accounts angesammelt haben. Die benutze ich zwar nicht alle ständig, aber doch eben gelegentlich. Also habe mir den Steganos PW Manager gekauft. Sollte ich dann dort die automatische Ausfüllfunktion deaktivieren und die Passwörter lieber manuell in die Box eintippen?

Gruß

Peggy

Hallo Peggy,

Benutzer peggy schrieb:
Wie merkst Du Dir die?


Aha. Steganos PW Manager.
Erzähl mal bitte, was das genau ist, ja?

GKr

Hallo GKr,

schön, sich mal wieder zu lesen. :-)


Tja, das ist schwierig. Also für das Onlinebanking habe ich die meisten Loginname-PW-Kombinationen im Kopf, bzw. sehe bestimmte "Muster" am Tastaturblock vor mir (dumm nur, wenn ich ein Notebook benutze). Schlimm ist es nach einem Urlaub. Dann ist alles weg, und ich lerne wieder von vorn. Außerdem benutze ich wie gesagt den Steganos Passwort Manager, siehe unten.



Ganz genau, ich bestätige mich an dieser Stelle selbst. ;-) Die am besten vorhersehbare und am wahrscheinlichsten eintretende Sache ist das Unvorhersehbare - also beispielsweise ein Anschlag auf die Zwischenablage. Wenn ich die Abteilung "Staatstrojaner" im Ministerium leiten würde, wäre das ein guter Ansatz. Über die IP-Adressen würde ich mit der Zeit eine Sammlung aller möglichen Passwörter anlegen (das "Passwort-Wörterbuch"), und bei einer Online-Kontrolle/Beschlagnahme des Rechners wären schwupps alle geheimen Daten lesbar. Ich kann gar nicht oft genug auf dieses Leck hinweisen.

Die Firma Steganos übrigens hielt sich bei einer Anfrage zum Thema "Vollständiges Vernichten des Inhaltes der Zwischenablage" ungewöhnlich bedeckt, obwohl die Festplatten-Tiefenreinigung, Datei-Komplett-Vernichtung und derlei Scherze mehr ansonsten sogar wahlweise nach DoD-Standard oder sogar nach der Gutmann-Methode arbeiten. Ein Schelm, wer Böses dabei denkt?


Es sind mehrere mittlerweile sogar weit über Hundert.



Der Steganos Passwort Manager ist neben anderen sehr nützlichen Tools ein wesentlicher Programmteil der "Steganos Security Suite", die man käuflich im Handel erwerben kann oder von der gleichnamigen Website www.steganos.de herunterladen kann. Der Passwort-Manager benutzt in der aktuellen Version einen 256 Bit starken AES gesicherten, live verschlüsselnden "Tresor" für Passwörter.

Riesengroßer Haken: es wird ein General-Paßwort für den Tresor benutzt. Meines ist nicht ganz 256 Bit stark (die Bitstärke wird einem bei der Einrichtung des PW Managers angezeigt, total toll!), weil ich in der Vorversion mich noch mit 128 Bit Verschlüsselung begnügen mußte, und das Passwort seitdem noch nicht verändert habe (aus Faulheit übrigens, ein neues, superkompliziertes zu merken, jaja, ich weiß).
Kommt es nun dazu, daß sich eine (Staats)-Keylogge im System einnistet, und gleichzeitig Windows per (Staats-)Microsoft-Backdoor die PW-Manager-Datei heimlich übers Netz versendet (fiele kaum auf, ist bloß 12 kB groß, selbst bei über Hundert Einträgen), ist der ganz große Crash da!

Ich weiß nicht, wie ich damit umgehen soll. Eine Lösung zur Gewährleistung höchster Sicherheit sähe vieleicht so aus, daß man einen Zweitrechner parallel laufen hat, der ausschließlich Hochsicherheitsdaten wie eben den Passwort-Manager beherbergt. Dieser Rechner bekäme dann einen separaten Bildschirm (viele Leute arbeiten ohnehin schon mit multiplen Bildschirmen am Arbeitsplatz, da schadet ein Flachbildschrim mehr oder weniger eh nichts mehr).

Paranoiker kleben außerdem 3M Lamellen-Sichtschutzfolie auf die Monitore - schützt gegen seitliches Fernrohr-Spähen aus dem Haus von gegenüber. Solche Folien sind bei Bankomaten Standard. Siehe 3M Cunsumer Website, ist etwas verschachtelt, aber ich habe den Link leider gerade nicht zur Hand.

Und Ober-Paranoiker belegen obendrein die Tastatur anders als das übliches "QWERTZ/QWERTY" bzw. errichten eine Sichtsperre aus Pappe um den Schreibtisch. *ggg*

Und warum das alles? Vielleicht für Leute, die nichts zu veröffentlichen haben. Wer geht schon gern nackt aus dem Haus, na also.

Gruß

Peggy

Ähm, noch etwas. Diese Lamellen-Sichtschutzfolie hat übrigens wirklich einen ganz konkreten Praxisnutzen, außer am Bankomaten und außer Weltverschwörungs-Paranoia. Und zwar im ICE, wenn man in einem dieser Großraumabteile sitzt, und neben sich einen allzu neugierigen Sitznachbarn.

Diese Lamellenfolie ist hauchdünn, ca. 1 oder zwei Mikron hoch, und man kann das Notebook trotzdem problemlos zuklappen. Diese Lamellen verlaufen vertikal, schützen also gegen Blicke von der Seite. Bearbeitet man nun also gerade eine Tabelle mit vertraulichen Firmen-Kennzahlen, oder guckt ins Online-Banking, sieht der Nachbar nur "schwarz".

Wogegen die Folie nicht schützt: gegen Späher von hinten. Dank der hohen Sitze im Zug und im Flugzeug ist dies aber kein so großes Problem (man achte aber durchaus übervorsorglich auch auf etwaige Sitzspalten-Späher von schräg hinten ;-))

So, genug für heute.

Gruß

Peggy

Benutzer peggy schrieb:

halloele aus princeton.
das muss ich gleich meinem alten kumpel wowi aus berlin erzaehlen.
der hat naemlich neulich herausposaunt, dass er mit diesen folien sogar am st christopher street day bedenkenlos mit dem laptop unterwegs sein kann.

Benutzer KoSo schrieb:

halloechen noch einmal.
um ganz ehrlich zu sein.
das ist mir noch nie passiert.
nur stroebi hat schon die erfahrung gemacht.
seitdem raucht er regelmaessig mit rezzo und faellt auch nicht mehr so oft vom fahrrad.

Danke für den Beistand. Princeton liegt wohl neben Trollhausen, jedenfalls dem Drogen-Turkey-Posting nach.

Gruß

Peggy

Benutzer KoSo schrieb:


Ich werde hier noch ghagha.....

Benutzer irReal1 schrieb:

halloechen aus princeton.
natuerlich nicht nur ghagha, sondern auch ein wenig handyfreakig, marilynig, eben ein bisschen bluna und noch mehr.
wenn ich mir heute noch mehr vom oeko gras reinziehe, wird sogar die peggy schoen.
und princeton ein vorort von berlin.
herzlichst
euer joseph

Benutzer Joseph-M schrieb:


Alles Roger !

Benutzer KoSo schrieb:

halloele mein lieber, natuerlich immer noch aus princeton.
bei henninger war ich schon, nach meiner ausbildung zum aushilfstaxifahrer. das hat leider nicht mit meinen rauchgewohnheiten korrespondiert.

aus dir wird noch ein richtiger

kein problem.
doch zuerst musst du an meinem tuersteher oezdemir vorbei.
der haelt immer die hand auf, weil die claudia keine kohle mehr anschafft, die traene.
und dann kannst du mir tierisch auf den wecker gehen.
den alten pedalisten aus kreuzberg lassen wir aussen vor.
der zieht bei guter tagesform die linien vom sechzehner zum elfmeterpunkt in einem zug.
bis dann.

Benutzer peggy schrieb:

Meinst du mit Accounts Email-Accounts? Wie kann man mehrere Dutzend Email-Accounts ansammeln?! Ich habe zwar auch mehrere Email-Adressen, aber die werden alle auf einen Account weiter geleitet. Vielleicht solltest du ja über Weiterleitung einige Account "zusammen fassen", so dass du nur noch einige Accounts abrufen brauchst. Ich schwöre ja auf Gmail, aber ich vermute, wer mehrere Dutzend Email-Accounts hat, wir wohl mit Gmails Privacy Statement Probleme haben.

Um deine Passwörter einzugeben, würde ich nicht die Zwischenablage nehmen, sondern das Passwort "per Hand" eingeben. Auch wenn man viele Passwörter für verschiedene Accounts hat, kann man die Passwörter mit einem gewissen, nicht zu durchschauenden System versehen, so dass man sie trotzdem noch leicht erinnern kann. Z.B. könnte man ja von dem gleichen Passwort verschiedene Permutationen nehmen: gAr2$tEnL8aub)E -> EnL8aub)EgAr2$t, aub)EgAr2$tEnL8 Oder einfach eine mathematische Funktion mit einbauen: Grundpasswort und an die sechste Stelle die letzten zwei Buchstaben des Benutzernamens + Funktion (Primzahlzerlegung der Länge des Benutzernamens oder sowas [nur für Nerds! ;-) ])

Wenn du immer von einem Rechner aus ins Internet gehst, kannst du ja auch einfach den Passwort-Manager von Firefox nehmen und ein Masterpasswort setzen. Das muss dann einmal pro Session eingegeben werden, bevor der Passwortmanager Passwörter für dich einsetzt. Vorteil: nur ein Passwort merken; keine Zwischenablage, da Daten direkt im Firefox bleiben; kostenlos

Gruß
GroessterNehmer

Nein, das meine ich nicht. Foren wie z.B. Spiegel Online, Sabine Christiansen Forum, Online-Shopping, Online-Banking, Finanz-Foren, Heise, Online-PINS, Kreditkarten-Banking, Online-Lotto, Krankenkasse, ADAC, ebay, mehrere Mobilfunkanbieter, Payback, Warentest, Micropayment-Systeme, Paypal, Börsenkurse, VPN-Login, Clubmitgliedschaften, CUGs, Kundenkonten, Happydigits, Telekom, Rechnung Online, sowie eben manchmal (leider) Zweit- und Drittanbieter von alldem - alles was sich halt so ansammelt. Das meiste wird zwar eher selten genutzt, aber dann eben doch manchmal. Kommst Du mit weniger aus?

Gruß

Peggy

Benutzer peggy schrieb:
Ich versuche es zu reduzieren, indem ich mich nur da anmelde, wo ich wirklich einen Vorteil für mich sehe. Wenn z.B. irgendwo ein bestimmter Micropayment Service verlangt wird, überlege ich mir drei Mal, ob ich das überhaupt brauche. Bei Teltarif habe ich mich nur angemeldet, weil VictorVox sich nicht an Verträge gehalten hat und ich Gleichgesinnte gesucht habe. Ich bin nicht ganz so paranoid und benutze für verschiedene Dienste auch mal das gleiche Passwort. Das verwaltet alles mein Firefox-Passwortmanager. Ich kenne nur ein paar Passwörter, wie Email, ebay und Online-Banking. Wenn ich mal von unterwegs irgendwo rein muss, lasse ich mir ein neues Passwort per Email zuschicken und rufe es über meinen Email-Account ab. Kommt aber nur ca. ein Mal im Jahr vor. Von unterwegs brauche ich eigentlich nur meinen Google Account, von dem ich auf meine Emails, Kalenderdaten und wichtigen Dokumente und Tabellen zugreifen kann. Den Rest mache ich sowieso von Zuhause und da kennt Firefox alle Passwörter.

Gruß
GroessterNehmer

Benutzer peggy schrieb:

Tja, Frau von Heute.
Und da wundern sich die Leute, daß der demographische Faktor in Deutschland immer weiter sinkt.
Hast Du noch Zeit zu leben?

Warum kümmerst Du Dich nicht um Mann, Kind und Herd und gut ist?
Ach ja, weil Frau von der Leyen Dir die Verantwortung für Deine Kinder nimmt und die lieber in staatlichen Verwahranstalten erziehen läßt. So sind die Mütter frei für.. siehe oben.

GKr

Benutzer peggy schrieb:

Das Auslesen der Zwischenablage übers Internet ist nur beim Internetexplorer möglich. Microsoft bezeichnet das als "Feature". Bei alternativen Browsern wie Firefox funktioniert es nicht. Zusätzlicher Vorteil: der Quellcode von Firefox ist *nicht* geheim ;-)

Gruß

niknuk