Seite 1 von 1
Verfasst: 12.02.2006, 14:20
von reinhardlange
hi, zum Thema und Vergleich Homebanking Software:
kann nur jedem empfehlen (falls die Bank das unterstützt) das HBCI-Verfahren mit zusätzlicher Karte und PIN/TAN.
Nutze ich seit 1 Jahr.
Aber wo gibt es schon 100% Sicherheit
Gruss Reinhard
Verfasst: 12.02.2006, 14:18
von bernhard_x3
Zwischenspeicher beim Herunterfahren löschen: ja (standardmäßig so bei mir im Firefox eingestellt)
Aber eigentlich geht es ja hier um AMP und um die Problematik, ob potentiell die Gefahr besteht, ob man einem Virus *all sein Passwörter* auf einen Schlag auf dem Präsentierteller reicht (und das ist m. E. immer noch was anderes, wenn ein Virus im Cache herumschnüffelt, ohne genau zu wissen, wonach er eigentlich suchen muss, wenn er denn da was finden kann ...)
Sei\'s drum, letztendlich ist es eine Vertrauensfrage, welchem Programm man seine Passwörter anvertraut. Bin jetzt auf einen Open-source Password manager umgestiegen, der hebt in seiner Dokumentation ausdrücklich darauf ab, dass er die Password-Datenbank auch im Speicher verschlüsselt.
Bernhard
Verfasst: 12.02.2006, 13:53
von DALI
Zitat:
[c=green]Der Vergleich mit der Homebanking-Software ist, denke ich, normalerweise nicht treffend.
Dort brauche ich üblicherweise TANs, die normalerweise eben *NICHT* auf dem Rechner gespeichert werden - oder eine Key-Diskette, die ich nur dann in den Rechner schiebe, wenn ich wirklich Homebanking mache. Und auch die Pin wird \"normalerweise\" vom Browser nicht irgendwo gespeichert, sondern einfach per https an den Server übertragen.[/color]
...da solltest Du auch mal prüfen, inwieweit beim I.E. unter Extras->Internetoptionen->Sicherheit die Option \"Verschlüsselte Seiten nicht auf der Festplatte speichern\" aktiviert ist und Du außerdem auch regelmäßig Deinen Zwischenspeicher löscht.
Verfasst: 12.02.2006, 12:50
von bernhard_x3
Ich denke, in Zeiten von Spyware, Viren und Trojaner geht das schneller als man denkt. Es reicht (wenn ich Deine Antwort richtig verstanden habe), dass man sich irgendeinen Trojaner/Rootkit mit Admin-Rechten einfängt (zugebenermaßen arbeite ich auch standardmäßig mit Adminrechten), der schaut einfach im Speicher nach einem Prozess AMP.EXE und sieht dann die Passworte im Klartext. Dann muss er nur noch nach Hause telefonieren (was die Standard-XP-Firewall nicht unterbindet)
und das wars. In diesem Trojaner-Szenario ist es fast sicherer, irgendwo auf der Festplatte eine unverschlüsselte Text-Datei mit allen meinen Passwörten zu halten, wenn man mal davon ausgeht, dass ein Trojaner einfach automatisch \"auf die Pirsch\" geht (soviele Passwort-Manager auf dem Markt gibt\'s ja nicht, aber es gibt potentiell \"unendlich\" viele Stellen, seine Passwörter unverschlüsselt auf der Festplatte abzulegen ...).
Der Vergleich mit der Homebanking-Software ist, denke ich, normalerweise nicht treffend.
Dort brauche ich üblicherweise TANs, die normalerweise eben *NICHT* auf dem Rechner gespeichert werden - oder eine Key-Diskette, die ich nur dann in den Rechner schiebe, wenn ich wirklich Homebanking mache. Und auch die Pin wird \"normalerweise\" vom Browser nicht irgendwo gespeichert, sondern einfach per https an den Server übertragen.
Deswegen mein Verbesserungsvorschlag: Die Daten auch im Speicher verschlüsselt ablegen und nur unmittelbar vor der Anzeige entschlüsseln (und dann gleich wieder \"Nullen\"). Dann hätte Viren keine einfach automatisierbaren Angriffspunkte (Viren sind ja letztendlich auch nur Programme und damit \"dumm\")
Oder - bin ich doch paranoid ..
!?
Bernhard
Verfasst: 08.06.2005, 12:02
von mirko
Naja man kann es mit der Verschlüsselung auch übertreiben. So wie du schon sagst, man muss erstmal Zugriff auf den eigenen PC bekommen und dann noch den Speicher des fremden Programms auslesen. Die Dumps sind natürlich ein Problem, die sollte man gut wegtun bzw. gleich löschen. Aber die Sache mit den Dumps betrifft auch andere Programme, z.b. Online-Banking-Programme.
Verfasst: 07.06.2005, 12:31
von miles
Hallo,
natürlich möchte ich mich zunächst den lobenden Worten der anderen AMP User anschließen. In Sachen Bedienung und Komfort gibt es wohl keinen Passwortmanager der AMP auch nur annähernd das Wasser reichen kann - besonders nicht unter den kostenlosen -
Allerdings hat das Programm doch einen \"Schönheitsfehler\" für mich. Die unverschlüsselte Ablage sämtlicher Passworte im virtuellen Speicher und dies unabhängig davon, ob der Zugriff auf das Programm ent- oder gesperrt ist. Dieser läßt sich ziemlich einfach mit Shareware Programmen durchsuchen und hebelt so die Funktion \"Zugriff sperren\" mehr oder weniger aus.
Das wäre auch noch nicht das Problem an sich, da ein Angreifer zunächst Zugang zu meinem Rechner benötigen würde. Aber sollte der Rechner mit laufendem AMP abstürzen und ein Abbild des virtuellen Speichers auf die Festplatte geschrieben werden (Cache Dump) wird dies, besonders auf einem fremden Rechner, zu einem mehr oder weniger schwerwiegendem Sicherheitsrisiko.
Daher auch gleich noch eine Frage. Ist so eine Art \"In-Memory Passwortverschlüsselung\" derzeit für AMP geplant?
Vielen Dank für Eure Bemühungen
Gruß
-miles-