Passwörter zwischengespeichert in txt-Datei in TrueCrypt-Container
 

Hallo an die Profis,

ich würde gerne einmal eure Meinung einholen zu folgendem Szenario:

Da ich gerade einige sehr umfängliche Umstrukturierungen in meiner privaten Computerlandschaft vornehme und vorrübergehend nicht an meine Keepass-Datenbank herankomme um weitere PW-Einträge zu speichern/zu aktualisieren und dennoch Passwörter ändern musste, habe ich diese in einem schnell erstellten TrueCrypt-Container in einer txt-Datei (also im Klartext) zwischengespeichert. Ab und zu öffne ich dann den Container und mache Änderungen an den Dateien oder zeige diese nur an (Editor).

Mein PC ist frei von Viren oder Schadsoftware, C ist nochmal extra verschlüsselt und außer mir hat keiner Zugriff auf diesen PC und es gibt keine Netzwerkfreigaben oder ähnliches.

Kann hier grundsätzlich etwas passieren? Betreibe diese Zwischenlösung aktuell seit ca. 2 Monaten (da ich kaum weiter komme aus Zeitgründen) und mache mir da gerade Gedanken drüber.

Das PW des Routers ist dort z. B. auch im Klartext gespeichert + einige Konten.

Früher oder später sollen die Passwörter natürlich in die Keepass-Datenbank, keine Frage.

Danke euch.

Also das verstehe ich nicht. Umstrukturierungen shön und gut, die hindern dich daran Keepass auszuführen, aber mit TrueCrypt hast du keine Probleme? :wtf:

Warum geht TrueCrypt aber kein Keepass? Das ergibt doch so keinen Sinn.

Geht solange der Rechner keine Spyware enthält. Mache ich hier ähnlich, Karten PINs und zig Passwörter in einer Textdatei.

Allerdings wäre eine Veracrypt Datei noch besser da Veracrypt gegen ein paar Szenarien bei denen Truecrypt angreifbar war abgesichert ist.

Wichtig dabei: sicheres Passwort, keine Schadsoftware auf dem Rechner und auch niemand der technisch fit und an dir genügend interessiert ist um deine Monitor HF Signale abzugreifen.


Wenn das alles stimmt ist deine Methode sicher.

Keepass geht genauso wie TrueCrypt, nur war meine Absicht zu Anfang, dass die Dateien mit den Passwörtern nur ein paar Tage in Form von Txt-Files im TC-Container liegen (den Container hatte ich schon, daher keinen Aufwand eigentlich) und nicht mehrere Monate. Eine weitere neue Keepass-Datenbank wollte ich nicht anlegen, da ich eben dachte, dass ist nicht von langer Dauer. Aber wie das halt so ist sind temporär gedachte Zwischenlösungen oft doch von längerer Dauer. Dadurch haben sich die Txt-Files angehäuft und irgendwann hab ich drüber nachgedacht und dann sind wir auch schon hier :-) Das nur zum "Werdegang", aber eigentlich interessiert mich ja eure Meinung, da ich die Situation in der Vergangenheit schlecht ändern kann.

Was denkt ihr?

:dankeschoen:

Du bist ein bisschen verwirrt oder? :confused:

Wenn dein PC unzugänglich ist für andere Personen, warum so ein Aufwand für diese speicherart von deinen Passwörtern?
Zudem speichert man eh sein Routerpasswort nicht auf dem PC, Cloud egal in welcher Form.
Wenn der Container nicht 50GB hat ist es ein leichtes auch diesen Container zb von 1MB zu entwenden und ihn von diversen mächtigen Maschinen zu knacken. Aber wer soll sich denn diesen Aufwand machen ?
Vor was, wen willst du dich denn eigentlich schützen?

Warum? :confused:

Welchen Aufwand meinst du jetzt genau? KeePass?

Das weiß ich auch, mein Post ist doch aber eindeutig beschrieben, warum das so ist aktuell und das es eine temp. Situation ist, die eigentlich nur für wenige Tage, wenn nicht Stunden angedacht war.

Hier geht es mir um keine Belehrung, denn das hilft mir nicht weiter. Mir geht es um eine Einschätzung von Sicherheitsexperten zu der geschilderten Situation. Nicht mehr und nicht weniger.

Entweder man zieht ein Sicherheitskonzept richtig durch oder garnicht.
Da gibt es kein Temporär.
Temporär ist ein Sicherheitsrisiko.
Ich will auch niemanden belehren, du hast um Meinungsäusserungen gebeten.
Versteh mich richtig. Wenn du immer deine Sicherheit auf sehr hoch bzw paranoid gesetzt hast, kann / darf man niemals seine Liste auf einem PC als Klartext im Word,Excel,Notepad,Editor schreiben und sie in einen Container kopieren. Nicht mal 1 sek.
Da können so viele Sicherheitslücken auftauchen.

Wir handhaben es sogar so, wenn jemand eine Textdatei erstellt mit Passwörtern, dass wir diese einkassieren und sie neu erstellt werden müssen auf einem einzigen autaken PC ohne Netztwerk mit Drucker.

Fatal ist auch Strg C und Strg V. Da ist auch nach Stunden das Passwort auslesbar, wenn man nichts weiter in die Zwischenablage kopiert.

Um welche Sicherheit soll es denn gehen?
Private und dienstliche Passwörter und Zugänge auf dem PC ?

Beispiel2
Jemand hat seine Passwörter in ein kleines Notizbuch geschrieben. Bei Gebrauch immer rausgeholt und dann wieder weggeschlossen.
3 Personen kamen ins Büro und füllten paar Formulare zusammen aus. Der Mitarbeiter war nur kurz aus dem Raum zum kopieren und bemerkte danach, dass das Passwortheftchen auf dem Schreibtisch noch rumlag.
Er meldete uns diese Sache und es mussten ALLE Passwörter neu erstellt werden.
Es hätte ja jemand mit dem Handy abfotografieren können. Das Risiko war zu gross. Also alles NEU.
Somit lag das Passwortbuch nur paar Min temoprär offen da.
Bin überzeugt das es nicht geknipst wurde, aber es Könnte sein.........

Um welche Mengen geht es hier eigentlich?

Die Zugangsdaten von 10-20 Seiten kann man auch einfach auf einen Zettel schreiben.

Und in seiner Kinder-Geheimsprache verschlüsseln?

Es geht um ca. 20-30 Passwörter.

Eigentlich wollte ich hier auch keine Grundsatzdiskussion hervorrufen (hätte das nochmal dazu schreiben sollen), sondern lediglich indirekt die Fragestellung klären, ob ich mir da jetzt Sorgen machen muss, dass hier jmd/etwas meine Passwörter entwendet haben könnte (wie gesagt ohne Malware usw. auf dem PC) oder ob ich beruhigt sein kann und diese jetzt einfach in Keepass reinhacken kann und gut ist (ohne die PW nochmal ändern zu müssen).

Ich denk da z. B. auch an Antiviren-Programme. Die Scannen immer schön alles (hab Kaspersky AV drauf) und das würde ich nicht mal mitbekommen, wenn die txt-Datei da mal "mitgewandert" ist. Kann mir sowas zwar eigentlich nicht vorstellen, aber naja...

Zudem gehe ich "nur" davon aus, dass ich keine Malware auf dem PC habe, da:
- Kasperksy AV
- ADWCleaner
- MWBytes Anti-Malware
- ESET Online Scanner

nichts gefunden haben. Ich denke, das sollte ausreichen, um Viren/Malwarefrei zu "bescheinigen"?

Ich versteh diese ganze Diskussion nicht. Warum muss eine temporäre halbherzige Lösung genommen werden, wenn doch eh KeePass installierbar und nutzbar ist? Welchen Sinn ergibt das?

1. wenn du TrueCrypt nutzt sind die Files verschlüsselt d.h. ohne Schlüssel/Kennwort kann niemand dein TC-Volume mounten - isses gemountet liegt deine Klartext Datei aber so vor wie in jedem anderen filesystem auch

2. wenn du TrueCrypt installieren kannst, kannst du auch gleich wie es wohl vorgesehen ist KeePass installieren und nutzen => Diskussion überflüssig


Schon davon gehört, dass es keine 100 % Sicherheit gibt? Es gibt keine Methode, die Nichtexistenz von Malware zu beweisen. Das jetzt aber nur btw, wenn du dich noch verrückter machst bekommste noch ein Herzinfarkt :balla: :blabla:

Sobald du die Passwörter über deine Tastatur eingiebst und das brav als .txt speicherst, hast du schon mal 2 Sicherheitslöcher.
Wenn du Schadsoftware drauf hast/hattest ist die txt sowas von weg.

Wenn du Sicherheit willst die an Paranoia anlehnt, dann schreib dir die Passwörter in ein A6 Heft und schliess es in einen Möbeltresor für 39€.
Vermeide 0,O,IilL somit ist das auch in Handschrift lesbar.
Da kommt nix weg auf dem PC und bei einer Party mit 30 Leuten auch nicht.

Problem ist nur ein Befall deines PC. So können schon die Passwörter beim ändern in den Onlinediensten abhanden kommen, oder beim anmelden.

Ich habe jetzt schon zweimal geschrieben, dass ich es halt einfach nicht getan habe. Wieso wird hier permanent in der Vergangenheit gebohrt? Ich kann diese schlecht ändern und könnte ich es, würde die Fragestellung nach dem Risiko nicht existieren oder? Ja ich hätte Keepass verwenden können, Situation ist aber nun einmal wie im Eröffnungsthread + folgend beschrieben.

Ja. Dann halt anders gefragt bei solch einer bekommen Antwort: Wie hoch ist denn die Sicherheit (gefühlt, Erfahrungen von Experten, wie auch immer) bei den genannten Programmen (alle ohne Funde durchgelaufen)?

Schade, dass das hier irgendwie "ausartet", hatte gehofft hier an die beschriebene Situation angelehnte Antworten zu bekommen und keine, die weit hergeholt sind. Da interessieren nun wirklich keine "Paranoia-Szenarien" wie "jmd. hat auf mein PC geschaut und abgeschrieben" oder irgendwelche Notizhefte. Das kommt sogar eher ziemlich verhöhnend rüber und muss nicht sein!

Security - KeePass

Auf einem infizierten System ist Keypass auch nicht mehr 100% sicher. Es ist sicherer als die Truecrypt Textdatei.

=> Don't worry, be happy. Klopf deine Passwörter in Keypass rein und mach dir keine Sorgen.

Auch die Befürchtung dass Kaspersky dir deine Textdatei mopst und an den FSB weitergibt dürfte eher unter "Paranoia" fallen als eine echte Sicherheitslücke zu sein, auch wenn das Hochladen von Nutzerdaten ohne Nachfrage beim Kunden (wie es Kaspersky laut AGB tut) aus meiner Sicht ein echtes Problem ist.

Ich verstehe deine Reaktion nicht.
Paranoider Modus, gab es bei SUSELINUX. Alles abgeschottet.
Diese Ausdrucksweise verwenden wir bei uns oft. Stufe Sicher oder Paranoid.
Ich bin für Paranoid.
Das hat mit verhöhnen nix zu tun.
Siehst du in meinen Antworten irgendwas, was dich provoziert? Ich glaube nicht.

Notizbuch wird oft und gern verwendet. Auch dieses wegschliessen zu Hause im Möbeltresor ist nicht selten.
Das hat einen Grund, der Partner kann so immer an die Passwörter ran.
Das ist oft notwendig, um zb nach einem schlimmen Ereignis wie Unfall oder Tod noch an die Passwörter zu gelangen. Sei es Accounts zu löschen oder weiterzuführen.
Ich denke du hast noch nie eine Person versucht aus den sozialen Netzwerken und Onlineshops zu nehmen nach einem ableben. Ohne Passwörter.

Ich persönlich halte von den PASSWORT SAVE auf dem heimischen PC nichts.
Wenn alles Schadsoftwarefrei ist, ist alles ok, aber wehe es schleicht sich doch mal was ein, dann sind alle Passwörter futsch.

Sicher---> Büchlein auf Schreibtisch
Paranoid----> Büchlein in Möbeltresor.

Mal eine Frage am Rande, hast du ein Masterpasswort für Thunderbird, falls du es benutzt?

Mit Paranoia warst nicht du gemeint, und deinen Vorschlag mit dem weggeschlossenen Notizbuch hat soweit ich sehe niemand widersprochen.

Ich verwende Linux, d.h. Schadsoftware ist bei mir extrem unwahrscheinlich, AV Scanner gibt es nicht auf dem System. Daher verwende ich gar kein Passwort für Thunderbird- die Passwörter für meine Mailkonten sind dort eingespeichert.

Die Platte des Tower PC ist auch nicht verschlüsselt, dass hier jemand einbricht und meinen Uralt PC klaut ist unwahrscheinlich genug.

Dass hier jemand der bei mir zu Gast ist den PC knackt auch, zumal er sich erstmal mit Linux auskennen müsste um die interssanten Daten überhaupt zu finden.

Das klingt in deinem ersten Post aber ein bisschen anders. :rolleyes:
Warum verwendest du eine Methode mit der Klartext-Datei wenn du

a) eh KeePass nehmen konntest
b) auch wusstest, dass Die Methode mit KeePass sicherer ist?

Also. Obwohl du es besser wusstest und auch in dieser Situation auch konntest hast du trotzdem zuwidergehandelt und startest nun ne Diskussion dadrüber. Das ist das was ich einfach nicht kapier an diesem/deinen Thread! :balla:


Was bitte willste denn da jetzt noch hören? Du weißt doch selbst dass die Variante mit der Textdatei unsicherer war. NIEMAND kann dir jetzt im Nachhinein mit 100%iger Sicherheit sagen, ob deine Textdatei in falsche Hände gekommen ist! Da du aber keinen Malwarebefall hattest dürfte die Wahrscheinlichkeit aber auch gering sein. Geringer wär sie wohl wenn du statt Textdatei gleich KeePass genommen hättest.

SInd wir jetzt mal endlich fertig? :blabla:

Fertig

Thunderbird benutze ich nicht, bin auf die reinen Web-Interfaces umgestiegen irgendwann vor Jahren. Wieso die Frage?

Das ist jetzt keine ernsthafte Frage oder? :stirn:
Cosinus .... ich habe es vergessen, mir ist es nicht in den Sinn gekommen, zu Anfang war nur 1 PW für nen Tag in der txt-Datei, dann sollte alles in Keepass, aber .... es ist eben nicht passiert :headbang: , verschleppt, aus dem Sinn geraten, whatever, irgendwie kam ich dann auf den Container, keine Ahnung warum, TC war installiert, Keepass nicht, keine Zeit, ich weiß es einfach nicht :eek: Wollen wir uns beide in der Zeit zurückbeemen und das ganze analysieren? :knuddel:-> haben wir das jetzt endlich geklärt? :rofl:

Manchmal macht man eben solche "unüberlegten" Dinge. :headbang:

Ich starte auch keine Diskussion, ich fragte eher nach einer Gefahreneinschätzung, um dann geeignete Maßnahmen zu ergreifen. Ging aber irgendwie nach hinten los.

Eigentlich hatte ich dir eine Frage gestellt, die mich sehr interessieren würde. Das hattest du irgendwie missverstanden.
-> Ich hatte durch KAV, MWAM, ADWCleaner, ESET Online Scanner (4 Tools) eine vermeintliche 100%-Sicherheit angenommen, was natürlich nur der Theorie entspricht (schon klar, ich Dummerchen)...Darauf hast du mich ja nochmal dezent hingewiesen. :zunge:
Dann habe ich nur die Frage umgedreht und offen an dich gestellt und wollte ich wissen, welche prozentuale Sicherheit du bei den 4 Tools denn zugestehst als Experte? Und bevor du mir wieder sagst, von was das alles abhängt, habe ich nach Bauchgefühl, Expertenwissen, Erfahrungen usw. klassifiziert :rofl:

Ich dank euch aber trotzdem für die Antworten, auch mit ein wenig Schmunzeln :heilig:

Hättest das nicht gleich sagen können :p
Du kannst das Thema so oder so abhaken:

1. da ist nix passiert, in Zukunft einfach nur noch ein aktuelles KeePass verwenden
2. vorsichtshalber ALLE Passwörter änderst, die in der Klartextdatei standen und dann auch nur noch KeePass verwenden