Keepass ist ganz nett, kommt aber noch nicht ans Passwort Depot ran.

also ich war gerade auf der Suche nach einer Alternative zu Password Depot, da ich jetzt auf meinem System Win Xp und Ubuntu installiert habe, stellt sich mir die frage ob ich die Passwörter von password depot auch in Keepass importieren kann.

Gruß
David

guter Artikel, jedoch habe ich keine so guten Erfahrungen mit Keepass. Ich verwende Password Depot, kennst du das? War in der letzten PC Pro auch Testsieger.

Gruß
Jürgen

Ich benutzte den KeePass Manager auf USB Stick. Aber nur zum “VERWALTEN” meiner Passwörter. Es gibt da so viele Möglichkeiten die Passwörter zu gestalten in Form des Generators. Bei Homebanking, Ebay, oder bessergesagt, alle “mir” wichtigen Adressen, ist es mir wichtig “sichere” Passwörter zu haben. Das ermöglicht der Generator. Habe z.B. bei Ebay und bei Home banking ein 20-stelliges Passwort, das aus Zeichen, Buchstaben und Zahlen besteht. Dieses wird wiederum nach 30-60 Tagen, oder wer will kann es ja auch wöchentlich;-) ändern, geändert. Ich denke mal das man privat nicht mehr tun kann um es den Hackern schwerer zu machen. Wie es sich mit der Sicherheit verhält wenn man den Stick in ein Online Cafe mitnimmt und verwendet kann ich leider nichts dazu sagen. Ob es was hilft wenn man die Temporären Internet Files löscht, wäre schön zu erfahren ob das was bringt. Aber wer macht schon seine Finanziellen Geschäfte im Internet Cafe!
Fazit: Für “MICH” gibt es zur Zeit nicht`s besseres wie den Kee Pass!!
Und den USB versteck ich, wenn ich fertig bin, vor meiner Frau in meiner Unterhose!!

Hang loose

braui

Das ist doch bei jeder Verschlüsselung so

Sicherer wäre es Apache vom Rest (PHP & Daten) zu trennen und dann auch unterschiedlichen Rechnern mit einer Firewall dazwischen laufenzulassen.

Jedenfalls finde ich es mutig, einen derart sensiblen Service als Privatperson anzubieten.

Die können wir gerne geschlossen lassen

“Also wäre die spannende Frage, was ein Hacker anstellen könnte, wenn er sich tatsächlich root Rechte auf dem Web-Server verschaffen könnte.”

Die Daten werden u.a. mit dem eigenen Benutzer-Kennwort verschlüsselt. D.h. wenn jemand sowohl die verschlüsselten Daten als auch den PHP-Code in die Hände bekommt, kann er damit noch lange nicht auf die Benutzerdaten zugreifen. Auch der Loginname / Emailadresse sind verschlüsselt gespeichert. Sollte jemand die gespeicherten Daten in die Hände bekommen, dann hat er nur den verschlüsselten Text und keinerlei Benutzerinformationen.

“Machst Du savr eigentlich als Privatperson?”

Welche Antwort wäre dir denn am liebsten? ja, ich mache savr als Privatperson.

Ohne die Windows vs. Linux Kiste aufzumachen, ist ein Web-Server erstmal Angriffen aus potentiell dem gesamten Internet ausgesetzt, während der Desktop PC meist relativ geschützt hinter einer Firewall ist. Also wäre die spannende Frage, was ein Hacker anstellen könnte, wenn er sich tatsächlich root Rechte auf dem Web-Server verschaffen könnte.

Die Verschlüsselung ist ein Aspekt, aber damit ist ein System noch lange nicht sicher.

Machst Du savr eigentlich als Privatperson?

Natürlich sind deine Bedenken gerecht, aber ehrlich gesagt würde ich einem Linux-Webserver wesentlich mehr trauen als einem Windows Desktop-PC.

Die Verschlüsselung ist auch ziemlich sicher, siehe z.B. die Informationen im Bereich Sicherheit bzw. den Artikel bei Wikipedia zu AES: “AES wird u. a. vom Verschlüsselungsstandard 802.11i für Wireless LAN und seinem Wi-Fi-Äquivalent WPA2 sowie bei SSH und bei IPsec genutzt. Außerdem wird der Algorithmus zur Verschlüsselung diverser komprimierter Dateiarchive verwendet, z.B. bei 7-Zip und RAR. Des Weiteren nutzt Skype laut eigenen Angaben AES. In PGP und GnuPG findet AES ebenfalls einen großen Anwendungsbereich.“.

D.h. jeder der sein WLan mit WPA2 absichert, der kann auch der Verschlüsselung von savr.de vertrauen

Ich persönlich habe lieber meine Passwörter bei mir auf dem Rechner oder bei Bedarf auch auf dem Memory Stick. Damit bin ich selbst verantwortlich für Aufbewahrung und muss nicht auf Dritte vertrauen. Bedenklich finde ich auch, dass sich ein derartiger Service geradezu nach Hackerangriffen schreit. Jedenfalls wenn die Ver- und Entschlüsselung nicht vollständig auf dem Client stattfindet.