Hallo Roland,
ich weiß das es ein Problem ist aber genau deshalb gibt es ja auch die Warnung es nicht zu speichern. Anderseits so viele nutzen AmP nicht, ich weiß nicht wie viele da Freeware, aber es sind zu wenige. Es wird sich also kaum einer hinsetzen und ein Progrämmchen schreiben, dass dies Daten ausliest und verwendet. Das ist wie bei meinem \"geliebten\" Browser Firefox, am Anfang hat den keiner verwendet, damit war er sicher und wurde immer gelobt \"sehr sicher\", \"besser als IE\". Aber langsam zeigt sich OpenSource ist nicht besser als ClosedSource, es treten genau die gleichen Probleme auf, je mehr dieser Browser Verbreitung findet.
Ich denke aber auf jeden Fall mal nach es irgendwie anhand der Hardware zu verschlüsseln, wobei ich erstmal schauen muss ob jeder Nutzer Zugriff auf bestimmte Schlüssel in der Windows-Registrierung hat, denn direkter Zugriff auf die Hardware selbst, ist natürlich ausgeschlossen.
Autologin bei AmA und AmP
-
roland_beck
- Beiträge: 3
- Registriert: 09.07.2005, 10:12
Hallo Mirko,
das Autologin-Passwort wird zwar in der Registry verschlüsselt gespeichert, es ist jedoch benutzer- und maschinenunabhängig.
Ein Angreifer liest den Schlüssel per Malware aus der Registry und lässt sich ihn zusammen mit der Daten-Datei schicken. Dies lässt sich wesentlich einfacher realisieren als die Daten eines gestarteten Programms auszulesen.
Weiterer Vorteil: Ab sofort braucht er nur noch die aktuelle .AmP- bzw. .AmA-Datei kopieren, um Zugriff auf die dort gespeicherten (und aktualisierten) Daten zu haben. Die Daten-Datei liegt evtl. auf einem frei zugänglichen Internet-Server, da der Benutzer ja davon ausgeht, dass niemand sein Passwort hat und folglich auch niemand Zugriff auf die Daten nehmen kann. (Das Passwort weiß der Angreifer ja auch nicht, aber er hat trotzdem Zugriff auf die Daten!)
Verschlüssle doch einfach einigen benutzer- und hardwareabhängige Daten (Login, Computername, Windows-Seriennummer, Prozessor, Mainboard, ...) mit in den Passwort-String. (Ok, wer täglich alle möglichen Komponenten an seinem PC austauscht, hat dann evtl. wenig Freude am Autologin, aber das machen wohl die wenigsten. Und im Gegensatz zu Windows XP muss ich ja nicht beim Hersteller anrufen sondern nur mein Passwort eingeben.
Tschau
Roland
das Autologin-Passwort wird zwar in der Registry verschlüsselt gespeichert, es ist jedoch benutzer- und maschinenunabhängig.
Ein Angreifer liest den Schlüssel per Malware aus der Registry und lässt sich ihn zusammen mit der Daten-Datei schicken. Dies lässt sich wesentlich einfacher realisieren als die Daten eines gestarteten Programms auszulesen.
Weiterer Vorteil: Ab sofort braucht er nur noch die aktuelle .AmP- bzw. .AmA-Datei kopieren, um Zugriff auf die dort gespeicherten (und aktualisierten) Daten zu haben. Die Daten-Datei liegt evtl. auf einem frei zugänglichen Internet-Server, da der Benutzer ja davon ausgeht, dass niemand sein Passwort hat und folglich auch niemand Zugriff auf die Daten nehmen kann. (Das Passwort weiß der Angreifer ja auch nicht, aber er hat trotzdem Zugriff auf die Daten!)
Verschlüssle doch einfach einigen benutzer- und hardwareabhängige Daten (Login, Computername, Windows-Seriennummer, Prozessor, Mainboard, ...) mit in den Passwort-String. (Ok, wer täglich alle möglichen Komponenten an seinem PC austauscht, hat dann evtl. wenig Freude am Autologin, aber das machen wohl die wenigsten. Und im Gegensatz zu Windows XP muss ich ja nicht beim Hersteller anrufen sondern nur mein Passwort eingeben.
Tschau
Roland