Passwortmanager, Sicherheit der Daten

[h4nk]

Hallo Leute, ich programmiere momentan einen Passwortmanager (Hobby – muss also nicht unknackbar sein, aber aktueller Stand der Technik wäre schon nett).

Wie würde man sowas (sicher) aufbauen?

Meine Idee:
Login mit Benutzername und Passwort als erste Abfrage.

Zur Überprüfung und für die gespeicherten Daten schriebe ich eine Textdatei mit Java. Darin befindet sich der Username und das Passwort für den Login (beides mit BCrypt gehasht). Der User gibt also seine Daten ein, sie werden ebenfalls gehasht und mit den "Lösungen" aus der Datei überprüft.

In der Datei sind auch alle inhaltlichen Daten gespeichert, also die zu managenden Passwörter mit Beschreibung und Usernamen.

Um die Inhalte zu schützen, würde ich die Datei bei jedem Zugriff entschlüsseln und danach direkt wieder verschlüsseln (mit dem Cipher aus dem Java-Crypto-Package).

Ist das in Ordnung, die Datei wäre ja immer noch recht anfällig während der Lese/Schreibprozesse? Könnte auch kompletter Quatsch sein.

Danke schonmal. Schönen Gruß

 

[h4nk]

Update: nach etwas Recherche, bin ich zum Entschluss gekommen, dass es Unsinn ist, zu versuchen die Passwörter lokal und gleichzeitig sicher abzuspeichern.

Ich versuche jetzt die Variante mit einer Datenbank (MySQL). Das ist komplett neu für mich, aber es kann nicht schaden das zu lernen!

Tipps zum Umgang? Was sollte ich alles in der Datenbank speichern, nur das "Masterpasswort mit Username", also die Login-Daten und dann die zu managenden Passwörter lokal oder alles in der Datenbank?

 

[mrBrown]

Update: nach etwas Recherche, bin ich zum Entschluss gekommen, dass es Unsinn ist, zu versuchen die Passwörter lokal und gleichzeitig sicher abzuspeichern.

Nö, ists nicht.

Ich versuche jetzt die Variante mit einer Datenbank (MySQL)

Die liegt dann irgendwo genauso "lokal".

 

[Dukel]

Reichen die vorhandenen Passwortmanager nicht? Keepass? Teampass?

Die Daten werden immer eine gewisse Zeit irgendwo unverschlüsselt liegen und wenn es nur im RAM ist.
Wenn du eine Datenbank nutzen willst kannst du ja eine embedded Datenbank nutzen (SQLLite, h2, derby,...).
Bei einer DB kannst du auch die DB Verschlüsslungsmethoden nutzen und als Passwort die Passphrase für das entschlüsseln nutzen.

Aber wie immer: Definiere die Anforderungen.

 

[h4nk]

Doch, die vorhandenen reichen natürlich. Mir gehts um den Lerneffekt beim Programmieren. Grundsätzlich gehts um Spaß, wenn ich noch was über Datenbanken lerne, nehme ich das sehr gerne mit!

Ich möchte einen simplen Passwortmanager programmieren, bei dem nach dem Master-LogIn die Sammlung von Passwörtern und zugehörigen Usernamen angezeigt wird. Außerdem sollen neue Einträge erstellt werden und dafür sichere Passwörter generiert werden (erstmal ein anderes Thema).

Ich habe mir SQLite angeguckt, das sieht schonmal ganz interessant aus.

Wie würdet ihr das Projekt angehen, so dass es sicher und somit am Ende auch brauchbar wäre? Ist der Weg über SQLite einer, der gängig ist?

Danke für die Antworten.

 

[Xyz1]

Na ja, Passwörter verschlüsseln und auf dem Server sichern sollte nicht das Problem sein. Die Passwörter in allen gängigen Browsern eintragen (denn da werden sie ja gebraucht) sehe ich als Herausforderung an + auf allen Schmierphones.
Kleine Herausforderung könnte auch sein die Passwörter zu serialisieren. Java tut sich schwer damit.

Solls denn eine Business Lösung sein - oder irgendetwas, was du hinterher tatsächlich nicht mehr brauchst?

 

[mrBrown]

Kleine Herausforderung könnte auch sein die Passwörter zu serialisieren. Java tut sich schwer damit.

Ach tut es das?

 

[Xyz1]

Ach tut es das

Tu uns doch einen Gefallen und nehme dir ein paar Tage eine Kleine Auszeit. Deine Halbwissenheit ist für uns alle schwer zu ertragen.
Ich sehe in deinem Fall keinen guten Ausgang der Situation.

 

[mrBrown]

Tu uns doch einen Gefallen und nehme dir ein paar Tage eine Kleine Auszeit. Deine Halbwissenheit ist für uns alle schwer zu ertragen.
Ich sehe in deinem Fall keinen guten Ausgang der Situation.

Ich dachte, der Wissende kann mir bei meiner Halbwissenheit vielleicht ein kleines bisschen helfen

 

[Dukel]

Wenn es "nur" zum lernen ist und du es nachher nicht produktiv nutzt dann fang einfach an.
Wenn du es später nutzen willst, überlege dir die Anforderungen, die das Programm haben soll.
Portabel? Clients / Server? Anbindung an Clients (Browser, Smartfones)? Browser / GUI? Auf welchem OS soll es laufen?

Ich würde schauen, wenn ich eine DB nutze, dass ich integrierte Verschlüsslungsmechanismen nutze (https://docs.microsoft.com/en-us/sq...ty/encryption/transparent-data-encryption-tde https://www.mysql.com/de/products/enterprise/tde.html https://www.postgresql.org/docs/8.1/static/encryption-options.html https://www.sqlite.org/see/doc/trunk/www/index.wiki). Dies ist evtl. nur in Kommerziellen Varianten verfügbar.

EDIT: Weitere Links
https://dev.mysql.com/doc/refman/5.5/en/encryption-functions.html
https://mariadb.com/kb/en/mariadb/data-at-rest-encryption/#specifying-what-tables-to-encrypt
https://dev.mysql.com/doc/refman/5.7/en/innodb-tablespace-encryption.html

 

[tommysenf]

ist für uns alle schwer zu ertragen

Pluralis Majestatis?

 

[Xyz1]

Pluralis Majestatis

Wieso nicht? Manchmal weiß man noch nicht, dass etwas nervt, bis man weiß, dass etwas nervt. Dann ist es gut, wenn @DerWissende die anderen betreut.

 

[mrBrown]

Wieso nicht? Manchmal weiß man noch nicht, dass etwas nervt, bis man weiß, dass etwas nervt. Dann ist es gut, wenn @DerWissende die anderen betreut.

Falls du es nicht weißt: du nervst.

Warum antwortest du nicht einfach mal auf fachliche Fragen, anstatt in irgendwelches Geschwurbel abzudriften?