1. Viele Türchen aus dem Chip Kalender nochmal offen – Steganos Passwort Manager 2012 kostenlos

    43 mydealz 25. Dezember, 2012

    UPDATE 1

    Lurchi123 hat darauf hingewiesen, dass es bei der Chip nochmal einen Rückblick auf den Adventskalender gibt und fast alles bis auf die Spiele nochmal downloadbar ist. So auch Steganos Passwort-Manager.

    Wie Search85 gerade gemeldet hat, gibt es im Rahmen des Chip Adventskalenders heute den:

    Um den entsprechenden Download-Link zu bekommen müsst ihr eure Email Adresse eingeben. Ihr bekommt anschliessend den Link für die .exe Datei und die entsprechende Seriennummer zugeschickt. Steganos ist mit allen Computern, welche auf Windows XP mit Service Pack 2 oder neuer, Windows Vista oder Windows 7 basieren, kompatibel.  Es spielt dabei keine Rolle, ob Windows mit 32-Bit oder mit 64-Bit installiert ist. Zudem sollen Windows Phones mittlerweile eingebunden sein. Die Funktionen sind schnell zusammengefasst: Passwortmanagement. Wer darüber hinaus seine wichtigsten Daten (Bank & Kreditkarten PINs, Kontakte) einer Software anvertrauen möchte, der kann zusätzlich diese ebenfalls mit dem Tool verwalten.

    Als Basis aller Verschlüsselungen dient der 256 Bit Advanced Encryption Standard (AES). Ein Standard der unter anderem von staatlichen Organisationen der USA für absolut geheime Dokumente verwendet wird. Zwar gibt es  bezüglich der Sicherheit geteilte Meinungen – wie immer – gegenüber AES 256, dennoch gilt es gegenwärtig als einer der sichersten Standards überhaupt. Zudem kann man verschiedene Profile anlegen (für Bankdaten/Kreditkarte/etc.), so dass im Fall der (unwahrscheinlichen) Fälle, nicht gleich alle Daten den Besitzer wechseln. Zusätzlich nimmt eine virtuelle Tastatur die Eingaben auf, somit soll kein Keylogger die Tastaturbewegungen mitschneiden können. Außerdem am Start: Zeichenmischfunktion, die Mausklick-Rekorder austrickst. Einen Schutz gegen Aufnahmen direkt vom Bildschirm gibt es derzeit allerdings nicht. Also immer schön gucken, wer gerade hinter einem steht. Trotz alledem, nennt mich altmodisch, aber ich lasse zumindest die Kartendaten lieber in meinem Kopf (und im Geheimfach meiner Brieftasche) :). Das Konkurrenz Produkt in diesem Fall ist übrigens “1Password” von AgileBits. Dessen Vorteil ist die systemübergreifende Kompatibilität (Windows, Mac OS X, Android, iOS). Interessant also für alle jene  User, die neben dem PC, auch MACs und Smartphones in Betrieb haben. Nachteil: Neben dem hohen Anschaffungspreis von knapp 26€ (Single User Lizenz), bedarf es für jedes System einen eigenen Lizenzschlüssel, der wiederum – ihr ahnt es bereits – Geld kostet. Das schliesst es zumindest im heutigen Preis-/Leistungverhältnis aus.

    Alternativ bietet sich das OpenSource Programm KeePass  an, dass ebenfalls kostenlos zu haben ist. Allerdings mit weniger Funktionen als das Steganos Tool.

  2. 43 Kommentare

  3. Mein Favorit: KeePass. Freeware.

  4. Ist auch als Alterantive erwähnt. Falls ihr noch andere gute Programme kennt, gerne in die Kommentare damit.

  5. Ich würde heute kein Programm mehr nutzen, dass keinen mobilen Zugriff gestattet – womit wir wieder bei KeePass wären … ;-)

  6. Welche App ist denn empfehlenswert um zumindest mobil die Daten sicher zu speichern, im besten Fall als Kombiapp iPhone/iPad? Ist es dann nicht am sichersten wenn die Daten verschlüsselt auf dem Phone gespeichert werden, oder lieber zentral um sie auch von PC abrufen zu können, bin Neuling in diesen Fragen.
    Finde die Idee von 1Password gut, ist mir bloß zu teuer.

  7. ist ne veraltete und abgespeckte Version. die aktuelle Vollversion heißt Steganos Passwortmanager 14. für den Schrott gebe ich nicht meine Email her

  8. Du musst gar nichts hergeben, funktioniert auch mit Mailinator und Co.

  9. Keepass hat auch einige Funktionen die Steganos nicht hat, gleicht sich also aus. Wichtiger aber die Seite BSI verweist auf Keepass als Passwortmanager!

  10. Ich habe sehr gute Erfahrungen mit Password Depot von AceBit gemacht. Tests – in denen Password Depot als Testsieger hervorgeht – sowie diverse namhafte Referenzkunden bestätigen meine Erfahrung.

    Die Server-Komponente kann mit bis zu 3 Benutzern kann die Server-Komponente sogar umsonst installiert werden. Alternativ arbeitet Password Depot auch via HTTP/(S)FTP in verteilten Umgebungen.

  11. markussascha: Welche App ist denn empfehlenswert um zumindest mobil die Daten sicher zu speichern, im besten Fall als Kombiapp iPhone/iPad? Ist es dann nicht am sichersten wenn die Daten verschlüsselt auf dem Phone gespeichert werden, oder lieber zentral um sie auch von PC abrufen zu können, bin Neuling in diesen Fragen.Finde die Idee von 1Password gut, ist mir bloß zu teuer.

    Ich hab zwar kein Iphone, nutze aber Keepass in Verbindung mit Dropbox. Das Masterpasswort von Keepass sollte natürlich recht stark gewählt werden (am Besten 4-5 Wörter als Satz, z.B. “DeineMutterschwitztbeimKacken” oder so, das kann kein Programm der Welt in annehmbarer Zeit knacken ;) In Keepass habe ich dann für meine wichtigeren Netzaccounts schöne random Passwörter mit mindestens 128bit gespeichert, wenn ich mich mal irgendwo einloggen muss, rufe ich es halt kurz auf. Über Dropbox habe ich überall Zugriff und kann zudem sicher sein, dass die Datei immer aktuell und synchronisiert ist..

    Gibt aber bestimmt auch noch andere schöne Methoden.. ;)

  12. Keepass ist optimal für den Einsatz am PC mit Windows oder Linux, für Mac OS, Android und iOS – Safe, transportabel, unabhängig vom verwendeten OS und einfach zu bedienen && [!]Freeware[!] => Optimal

  13. Eigenwerbung:
    Ich entwickle einen eigenen Passwortmanager. Sehe hierzu: http://marcel-carle.de/software/cryptonify/

    Ist OS unabhängig (durch impl. in java) und komplett Freeware :-)
    In diesem Monat (voraussichtlich) wird eine neue Version veröffentlicht (mit mehr Funktionalität und verbesserter Darstellung).

    Würde mich freuen wenn ihr den mal ausprobieren würdet :)

  14. Wem vertraut ihr mehr eure sensiblen Daten an, einem Hersteller mit einer geschlossenen Software oder einer Open Source Software bei der jeder selbst den Quelltext kontrollieren kann und ggf. auch die Verschlüsselung kontrollieren kann? Siehste, niemand. Geschlossene Software ist im Sicherheitsbereich einfach nur bescheiden, ich rate nur davon ab.

  15. “Zudem sollen Windows Phones mittlerweile eingebunden sein.”
    Verstehe den Satz nicht ganz. Heisst das, dass es für WP 7 da ne App gibt, mit der ich dann von unterwegs auf meine Passwörter zugreifen kann? Muss da nen Server irgendwo laufen oder sind die Daten in der Cloud?

  16. Das Masterpasswort von Keepass sollte natürlich recht stark gewählt werden (am Besten 4-5 Wörter als Satz, z.B. “DeineMutterschwitztbeimKacken” oder so, das kann kein Programm der Welt in annehmbarer Zeit knacken

    Ich hoffe das meinst du nicht ernst…

  17. typ: Ich hoffe das meinst du nicht ernst…

    .. warum soll er das nicht ernst meinen? Vom Prinzip her hat er recht. Ich kombiniere so einen Satz noch mit Zahlen und Sonderzeichen, dann ist es wirklich sicher.

  18. Wenn man die Anfangsbuchstaben eines langen Satzes nimmt, okay. Aber nicht die kompletten Wörter. Wenn doch, sollten es schon mehr als 4 oder 5 sein. Bei einem Wörterbuchangriff zählt dann jedes Wort/Zeichenkette als ein Zeichen. Macht dann ein 4-5 stelliges Passwort.

  19. Lastpass fällt mir noch ein. Habs selbst aber nicht benutzt.

  20. Lastpass fällt mir noch ein. Habs selbst aber nicht benutzt. Und weil der Kommentar so nicht gepostet werden konnte, laber ich noch ein wenig mehr.

  21. typ:
    Wenn man die Anfangsbuchstaben eines langen Satzes nimmt, okay. Aber nicht die kompletten Wörter. Wenn doch, sollten es schon mehr als 4 oder 5 sein. Bei einem Wörterbuchangriff zählt dann jedes Wort/Zeichenkette als ein Zeichen. Macht dann ein 4-5 stelliges Passwort.

    Dazu fällt mir nur http://xkcd.com/936/ ein…

  22. Ich nutze auch KeePass und für mich ist das eigentliche K.O.-Kriterium, dass es (scheinbar) für das Steganos-Tool keine Browser-Plugins gibt. Und da man sich heute fast auf jeder Seite einloggen muss, sollten Passwortfelder automatisch befüllt werden.

    Ich habe meine KeePass-DB in auf einem Netzwerklaufwerk eines Servers in einem TrueCrypt-Container. Wenn eines meiner Systeme startet wird per Skript automatisch das Netzwerklaufwerk gemountet, dann der TC-Container mit einer Keyfile, die lokal auf den Clients liegt, geöffnet und anschließend die KeePass-db gestartet (mit manueller Masterpassworteingabe). So habe ich relativ sicher auf allen meinen PCs die Passwörter synchron.

  23. Über die Sicherheit von AES256 zu diskutieren ist natürlich auch ein lustiger Artikelfüller ;) Wenn man’s richtig macht — und diese Information veröffentlichen die Leute von Steganos ja schon gar nicht — ist AES sicher genug, da normalerweise niemand einen Geheimdienst-Cluster auf eure Passwörter ansetzt. Ist also die Frage, ob das Tool ECB oder was anderes einsetzt. ECB wäre quasi der Super-GAU, ist aber deutlich einfacher zu implementieren als andere Modi. Solange ich das nicht weiß, würde ich dem Tool nicht zu viel Sicherheit zuschreiben.

    Ansonsten gibt’s natürlich noch bessere Verfahren als AES, zu nennen wäre hier bspw. Twofish, der gegen eine ganze Reihe Angriffsverfahren auf AES-ähnliche Algorithmen immun ist. Oder gleich eine Kombination AES-Twofish, wie es mit Truecrypt bspw. problemlos machbar ist. Aber das wäre ja zu viel Implementationsaufwand und viel zu sicher für die Nutzer des Tools ;)

  24. Wollte ich auch gerade sagen. Benutze ich seit Jahren und war bisher immer zufrieden.

    Peter13:
    Mein Favorit: KeePass. Freeware.

  25. Ph3n1x: Ich entwickle einen eigenen Passwortmanager. Sehe hierzu: http://marcel-carle.de/software/cryptonify/

    Dein lustiger Java-Test (ok, von Oralce) behauptet, ich hätte kein Java aufm Rechner … schon lustig, was Leute aus dem Vorhandensein eines Browserplugins schließen.

    Abgesehen davon ist dein Tool ein Java-Swing-Tool, was generell schon mal ein Zeichen für Unproduktivität ist, und den Quellcode finde ich leider auch nicht zum Download (was ein Ausschlusskriterium ist). Ok, Java kann man relativ leicht decompilieren, aber trotzdem ;)

  26. Ph3n1x: Ich entwickle einen eigenen Passwortmanager.

    Btw: Auch die Länge des Passwortes anzuzeigen ist schon eine Sicherheitslücke. Das schafft doch schon mal richtig Vertrauen!

  27. typ:
    Wenn man die Anfangsbuchstaben eines langen Satzes nimmt, okay. Aber nicht die kompletten Wörter. Wenn doch, sollten es schon mehr als 4 oder 5 sein. Bei einem Wörterbuchangriff zählt dann jedes Wort/Zeichenkette als ein Zeichen. Macht dann ein 4-5 stelliges Passwort.

    Bullshit

    Was gibts mehr: Wörter oder Buchstaben? Wörter oder Zeichen?
    Wegen nen par BankLOGINS wo 10k € drauf liegen muss man auch nicht gleich übertreiben mit der Sicherheit.

  28. Hab mich falsch ausgedrückt. Ein Wort entspricht nicht einem Zeichen, aber dadurch, dass Wörter gewisse Häufigkeiten besitzen und somit ganze Teile des Passworts anstatt einzelner Zeichen geraten werden können, geht einiges an Entropie verloren.

    Im erwähnten xkcd wird noch die Einschränkung gemacht, dass die Wörter unabhängig voneinander gewählt werden sollten, was das ganze entschärft, aber nicht aus der Welt schafft.

    Bei KeePass gehts auch nicht um ein paar Banklogins, sondern um das Master-Passwort zu allen Passwörtern. Und Schlüsseltext, einmal verloren, kann man schlecht neu verschlüsseln, wenn man merkt dass das ganze unsicher war. Also im Zweifelsfall doch lieber ein wenig übertreiben ;)

  29. typ:
    …dass Wörter gewisse Häufigkeiten…

    Teilwörter mein ich.

  30. Kohloe:
    typ:
    Wenn man die Anfangsbuchstaben eines langen Satzes nimmt, okay. Aber nicht die kompletten Wörter. Wenn doch, sollten es schon mehr als 4 oder 5 sein. Bei einem Wörterbuchangriff zählt dann jedes Wort/Zeichenkette als ein Zeichen. Macht dann ein 4-5 stelliges Passwort.

    Dem ist nicht so. Nehmen wir mal an, es werden nur Wörter aus dem Duden genommen, die Groß-/Kleinschreibung soll auch dem Duden entsprechend sein und wir benutzen keine Sonderzeichen oder Zahlen als Trennzeichen oder an einer anderen Stelle, um gezielt gegen Wörterbuchangriffe zu reagieren. Der Duden schätzt den “zentralen Wortschatz” der deutschen Sprache auf rund 70k Wörter stehen (Wikipedia). Dann haben wir bei 5 Wörter als Passwort schon 70k^5 (~1,7 × 10^24) Möglichkeiten, wenn wir eine Optimierung für sinnvolle Satzsyntax weglassen. Aktuelle GPU-Cluster schaffen so um die 60 Millionen (6 * 10^7) ==> (((((70 000^5) / 60 000 000) / 60) / 60) / 24) / 356 = 910 699 733 ==> wir sind bei gut 910 Millionen Jahre um das Passwort zu knacken. Klar ist dies eine seeehr wage Hochrechnung, doch wenn man noch abwägt, dass man das Passwort noch bisschen mit Sonderzeichen salzt und im Gegenzug die Wortwahl stark optimiert, wird man trotzdem sicher über der Lebenserwartung eines Menschen landen ;)

    Klar wäre ein Passwort der selben Länge mit zufälligen Zeichen sicherer, doch wenn ich Tot bin, ist mir das wohl ziemlich egal ;D

  31. Ich verwende Password Gorilla, der läuft auf allen möglichen Plattformen und arbeitet mit ‘nem offenen Dateiformat (psafe3):
    https://github.com/zdia/gorilla/wiki

    Hier ist ein kompatibler Android-Client
    http://sourceforge.net/apps/mediawiki/passwdsafe/index.php?title=Main_Page

    “The password is SHA256 protected and the database contents are encrypted with Bruce Schneier’s Twofish algorithm. Brute force attacks are prevented by key stretching.” <– sollte ausreichen

  32. wollt nur kurz Bescheid geben geht immer noch. Also bei mir hats zumindest vor 2 Minuten geklappt

  33. Ph3n1x:
    Eigenwerbung:
    Ich entwickle einen eigenen Passwortmanager. Sehe hierzu: http://marcel-carle.de/software/cryptonify/

    Ist OS unabhängig (durch impl. in java) und komplett Freeware
    In diesem Monat (voraussichtlich) wird eine neue Version veröffentlicht (mit mehr Funktionalität und verbesserter Darstellung).

    Würde mich freuen wenn ihr den mal ausprobieren würdet

    Sicherheit und JAVA – wtf, evtl daran gedacht die Swing GUI durch eine localhost FlashGUI zu tauschen?

  34. Das Teil kannste vergessen da steckste eine Proxy Dll in das Programm und kannst alles pws direkt auslesen ohne zu bruteforcen. Von daher ist das Programm einfach sinnlos. Macht euch am besten ein Notizbuch.

  35. ich habe ein text file in einem truecrypt container. geht auch.

  36. Zwar noch downloadbar, aber die Registrierungsseite des Herstellers ist down. Somit sinn- und zwecklos !

  37. LastPass + XMarks 4tw

  38. ashampoo, photomizer, chip wlan handbuch der rest wird nicht benötigt

  39. die letzten jahre waren die chip kalender so langweilig und unnötig, dass ich dieses jahr nicht mal ansatzweise mir etwas angucke. hatte vor paar jahren software von dort draufgehauen und die ganze registry von win war danach am ***. die software wird nicht umsonst verschenkt.

  40. Also ich komme nicht mehr auf die Seite von Steganos um die Email einzutragen

    Dear Steganos user!

    This link is not valid anymore.

    Your Steganos Team

    Somit “abgelaufen” ?

  41. muslera:
    die letzten jahre waren die chip kalender so langweilig und unnötig, dass ich dieses jahr nicht mal ansatzweise mir etwas angucke.

    ich habe es mir trotzdem angeguckt und es war das nicht wert. nur müll und mehrmals system-optimierer, die kein schwein braucht. wer so ein zeug braucht, hat von anfang an etwas falsch gemacht.

  42. This link is not valid anymore.

    Your Steganos Team

    :(

  43. Peter13: KeePass

    +1

  44. Sag was dazu

    Schon registriert? Einloggen