Passwörter aus Windows 8 auslesen
von caschy | 18 Kommentare
In den letzten Tagen gab es immer wieder Diskussionen um gespeicherte Passwörter in Browsern. Die einen speichern Passwörter aus Bequemlichkeit, die anderen speichern Passwörter, weil sie vielleicht über Browsergrenzen hinweg synchronisieren wollen.
Oft erwähnte Tatsache: sowohl Internet Explorer, als auch Chrome und Firefox speichern diese Passwörter so, dass ein flotter Zugriff, auch im Klartext, durch den Benutzer möglich ist. Dies ist kein Skandal, das ist einfach so. Hat jemand Zugriff auf deinen Rechner, dein Benutzerkonto, dann ist es nicht mehr „dein“ Rechner.
[werbung]
Deswegen gab ich hier schon oft den Rat, mittels BitLocker oder TrueCrypt (OS X: File Vault) zu verschlüsseln, alternativ kann man bei kurzer Abwesenheit mittels Win+L den Rechner schnell sperren. Neugierige Menschen finden heutzutage ein Dutzend Tools, um direkt Passwörter auszulesen, bei manchen Browsern sind diese sogar ohne Tools schnell einsehbar.
Einen ganzen Schwung Passwort-Tools für Browser und Co habe ich hier schon verbloggt, ein weiteres Script, welches die Wichtigkeit eines gesperrten Rechners demonstriert, stammt von Scott Hanselman, seines Zeichens Mitarbeiter bei Microsoft. Wenige Zeilen Code genügen, um die Passwörter nach Dienst und Benutzernamen aufzulisten, was die Wichtigkeit eines gesperrten oder verschlüsselten Rechners aufzeigt, alternativ sollte der Griff zu Passwort-Managern wie KeePass, 1Password, LastPass und Co getätigt werden. Scott stellt das Script als Open Source zur Verfügung, alternativ steht eine ausführbare Exe zu Demonstrationszwecken zur Verfügung.
Wird geladen ...
Wie sicher sind meine Passwörter in Thunderbird und Firefox denn wenn ich sie mit einem Masterkennwort schütze?
Ich will nicht umbedingt noch mehr externe Tools installieren dafür..
Ich warte zum Glück noch auf den ersten Kumpel mit Vollverschlüsselung vom Rechner, der sein Passwort vergessen hat und sein Gesicht, wenn ich ihm die Folgen mitteile. Man kann es mit dem Sicherheitswahn auch übertreiben.
Bei dieser ganzen Diskussion scheint man nicht zu kapieren, dass es in Chrome kein Master-Passwort gibt. Damit kann man die Passwörter immer im Klartext abgreifen. Mit einem Master-Passwort ist es so leicht nicht möglich.
Für normal User reicht das Master Passwort bei Firefox. Aber man sollte bedenken, sobald FF offen ist und das Master Pass 1 mal eingegeben wurde liegen alle Passes unverschlüsselt im Speicher und lassen sich somit wieder abgreifen.
@Wolfgang D.
Ich habe schon länger alles verschlüsselt und das Passwort ist sicher das letzte das ich vergesse, gebe ich schließlich täglich ein.
Ich hätte mal eine Frage zum Thema Verschlüsselung:
Ich verwende auf allen meinen Rechnern den aktuellen Ubuntu Daily build. Ich habe die den Benutzerordner /home/{benutzername} mit dem Standard Linuxtool (ecryptfs) verschlüsselt. Meine Daten sollten doch eigentlich vor äußerem Zugriff sicher sein, oder?
Von einer LiveCD kann ich darauf auf jeden Fall nicht zugreifen. Ich frage mich nur, wie sicher das im Gegensatz zu TrueCrypt ist.
Unglaublich schlechter Beitrag. Halbwissen, Halbwahrheiten und vor allem keine Ahnung von dem Thema!
Da muss man fast mal aufräumen:
Das ist nicht überraschend wenig Code und damit Panik zu machen würde sich nichtmal die Bild-Zeitung trauen. Die würde wenigstens recherchieren…
Die Empfehlung für BitLocker oder TrueCrypt ist absolut sinnfrei. Der Code wird kompiliert, das Ergebnis ist eine .exe-Datei. Die wird dann auf dem betreffenden Computer ausgeführt. Und was bringt jetzt eine FDE? Eine FDE setzt ja auf Filesystem Level an. Für Programme sind diese Dateien im Klartext verfügbar. Sowohl für die Browser, als auch für dieses Stück Code.
Achja, das wichtigste hast du bei Scott Hanslmans Blog überlesen.
„Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.“
Da kann man lustig drüber bloggen, über Encryption Software schreiben, LastPass und Boxcryptor einsetzen und am Ende kann man diese Regel nunmal nur auf eine Art und Weise aushebeln: Nichts speichern. Wenn ich deinen Computer habe und als dein User eingeloggt bin (Wichtig! Schlagwort: DPAPI, Recherche dürft Ihr selbst machen), kann ich alles einsehen, was dort gespeichert ist. Egal ob im Plaintext oder wie auch immer mit welchen Tools verschlüsselt. Und genau darum geht es im Blog Beitrag von Scott Hanselmann.
Im konkretten Fall, brauche ich nämlich gar keine cool klingenden Code Snippets, es geht viel einfacher: Ich öffne deinen Browser und kopier mir die Passwörter heraus.
@johnf: Panik machst du, ich bin bei dem Thema sehr entspannt. BitLocker und TC sinnfrei? Dann hast du keine Ahnung. Denk drüber nach, was bei einer standardmäßig unverschlüsselten Win-Installation ist, wenn jemand Zugriff hat. Denken -> posten. Das mit dem direkten Zugriff? Jaja, das eben schrieb ich. Hast du wohl gerne überlesen. So und nun bitte wieder den „ich bin Entwickler“-Schnack bringen.
@Jakob: Was, du benutzt immer das selbe Passwort? Dann kennen deine Kinder das bestimmt besser als du selber. Ist der Rechner wenigstens bei Nichtbenutzung im Tresor eingeschlossen?
Wenn du alleine wohnst: Wozu Verschlüsselung? Und der freundliche Geheimdienst zapft einfach den Rechner direkt an, der unfreundliche prügelt das Passwort aus dir raus. Natürlich müssen vertrauliche Dinge sicher verwahrt werden, aber zuviel davon stört nur beim Helfen bei Systemproblemen.
@Wolfgang D
Inwiefern immer das selbe Passwort? Die Festplatte ist natürlich nur mit einem einzigen Passwort verschlüsselt, geht ja wohl auch nicht anders…
Mein Rechner zapft so einfach keiner an, da hier nur (Backdoor)freie Software läuft. Und meine wichtigen Daten (Email, Owncloud etc) liegen auf meinem eigenen Server bei mir zuhause und werden ausschließlich verschlüsselt übertragen.
@johnf
Da muss man fast mal aufräumen:
Unglaublich verworrener Versuch einer Klarstellung.
@Jakob: Hast du deine backdoorfreie Software persönlich im Quellcode geprüft? Und anhand der Nachfrage erkennt man ungefähr den Grad deines Wissens.
@Wolfgang D
Troll hier mal nicht rum. Natürlich habe ich das nicht, aber normalerweise schauen sich bei größeren Projekten immer mehrere Personen die Änderungen an, sodass es schwer ist da was unterzujubeln. Ich vertraue lieber darauf dass eine Software Backdoorfrei ist, als zu wissen, dass sie das nicht ist.
Die Diskussion habe ich echt schon zu oft gelesen, wenn du meinst freie Software wäre nicht sicherer, dann versuche doch mal eine Backdoor in Linux oder ein anderes großes Projekt zu bekommen.
Ok ich bin interessiert und auf Argumente gespannt. Bisher konnte ich da nur nen Angriff gegen mich sehen. Aber gut, mein Ton war auch nicht der freundlichste.
Sorry, das mit dem Zugriff hab ich tatsächlich überlesen. Nun aber zum wesentlichen: Die schwachsinnige Empfehlung von BitLocker.
Ich fange von vorne an und erklär erstmal das Prinzip des Windows.Security.Credentials namespaces. Die Daten werden NICHT im Klartext gespeichert. Unter Windows ist jedem Benutzer Account ein zufällig generierten Tripple-DES Key zugeordnet (Stichwort DPAPI). Speichert nun ein Programm die Passwörter im PasswordVault werden die Daten mit diesem Key verschlüsselt und beim Zugriff darauf wieder entschlüsselt. Das ganze übernimmt Windows. Für alle Programme die unter dem gleichen Benutzer laufen sind diese Dateien im Klartext verfügbar.
BitLocker dagegen setzt auf Datei-System Ebene an. Die Dateien sind auf der Festplatte verschlüsselt, aber für alle Programme inkl. Windows sind sie im Klartext verfügbar. Deswegen ist BitLocker auch sinnlos, wenn du Dateien in Dropbox verschlüsseln willst. Windows stellt dem Dropbox-Client ja die Klartext Dateien bereit und deswegen wird der auch diese Klartext Dateien synchronisieren.
Der klassische Grund für BitLocker ist, dass wenn dir jemanden deinen Laptop klaut und dein Passwort nicht weißt, er nicht auf deine Dateien zugreifen kann. Das ist sinnvoll und richtig.
Auf die Daten die im PasswordVault gespeichert sind, hat er aber auch ohne BitLocker nur Zugriff, wenn er dein Passwort weiß und somit ist BitLocker hinfällig und bringt in diesem konkreten Fall keinerlei Vorteile oder Abhilfe.
Und ja ich bin Software Entwickler und ja ich verdiene mit Verschlüsselung mein Geld. Du postest hier eine Stück Programm Code, beziehst dich auf einen Blog von einem Entwickler, der für Software Entwickler geschrieben ist. Da brauch ich keinen Entwickler-Schnack bringen, das ist ein Software-Entwickler Thema, das du eröffnet hast.
BitLocker ist echt total sinnfrei – nämlich Closed Source von Microsoft (wahrscheinlich sogar mit NSA-Masterkey). Also: Security through obscurity. Keine Ahnung, warum soetwas hier immer wieder (ausgerechnet von Caschy) empfohlen wird.
TrueCrypt hingegen ist Open Source.
@Robert: NSA-Kommentare kann ich auch bald nicht mehr ernst nehmen. John Doe, der vor Mutti, Family, whatever verschlüsseln will, fährt mit TC, BL und FV auch gut.
@Caschy: John Doe, der vor Mutti, Family, whatever verschlüsseln will, kann sein Porno-Video auch als „excel.dat“ nach C:/Windows/System32 schieben und spart sich damit BitLocker und anderen Kram. Wenn Du aber hier in einem, zumindest Semi-Professionalen, Blog – und ich denke diesen Anspruch hast Du schon, oder!? – von „Verschlüsselung“ = Kryptografie sprichst, dann finde ich, sollte man schon besser die Spreu vom Weizen trennen…
Google mal „Bitlocker NSA“ und 35.200 Ergebnisse nimmst Du nicht ernst? Zumal beim Dissassembling ein völlig unötiger KEY aufgetaucht ist! Echt schade, aber die ersten, die darauf hinweisen, werden ja -u.a. von Dir- als Aluhutträger diffamiert und abgekanzelt, so bleibt das dann ein paar Jahre mehr unter Verschluss. Ok, benutzt alle BitLocker, bitte weitergehen – hier gibt es nichts zu sehen.
@Rob: ich bezeichne keinen als Aluhut-Träger, außer, sie sind zu obskur drauf. NSA und BL ist bekannt. Ernst nehmen? Vergleiche Suchergebnisse zu BT und TC hier im Blog und bilde dir deine Meinung. Krypto ist zu kompliziert, leider.