easyPW - ein Passwortsave

[RalfP]

Hallo,

Bei möglichst jedem Portal im Internet ein anderes Passwort verwenden und sich diese Passworte dann alle merken, das kann kaum jemand leisten. Einige schreiben die Passworte deshalb in ein Notizbuch und bewahren es sicher auf. Andere schreiben die Passworte in eine Datei, die sich unter irgendeinem nichtssagenden Namen in einem möglichst tiefen Verzeichnis auf den Rechner versteckt. Und dann gibt es Leute, die sichern alle ihre Internet-Passworte mit einem einzigen Passwort in einem Passwortsave. Hier ist so ein Passwortsave. Er ist sicher, minimalistisch und kostenlos.

Solche Programme gibt es zwar schon, es hat mir aber Spaß gemacht, es selbst zu schreiben.

Das Programm easyPW für Windows 64 Bit muss nicht installiert werden. Es genügt die Datei 'easyPW.exe' in ein Verzeichnis mit Schreib- und Leserechten zu kopieren (das kann auch ein USB-Stick sein). Bei jedem Start öffnet sich erst ein Fenster zur Passworteingabe. Beim ersten Start muss hier ein sicheres Passwort eingegeben werden, das bei zukünftigen Starts von easyPW genutzt werden soll. Dabei wird die mit AES 256 verschlüsselte Daten-Datei 'easyPW.dat' erzeugt. Danach öffnet sich das Hauptfenster (s.u.).



Das Zip-Archiv (unten) enthält das Programm und eine Schnellstartanleitung als PDF. Die Funktionen von easyPW sind dort beschrieben.

https://www.ralf-pagel.de/dnld/easyPW.zip

Ein sicherheitsrelevantes Programm ist nur dann sicher, wenn jeder den Sourcecode einsehen kann.
Hier ist er, veröffentlicht unter der GPLv3-Lizenz:

https://www.ralf-pagel.de/dnld/easyPW_Source.zip

Ich konnte easyPW bisher nur unter Win8.1 und Win10 testen. Es sollte aber auch unter anderen 64-Bit-Windows-Versionen laufen. Falls das mal einer ausprobiert wäre ich für eine Rückmeldung dankbar.

Grüße
Ralf

[jacdelad]

Hi,

sorry, dass ich der bin, der gleich was zu meckern hat. Nimm es mir bitte nicht krumm.

1. Safe, nicht Save. Es sei denn der Fehler ist Absicht.
2. Wie werden die Passwörter im Hauptspeicher verwaltet, wenn die Anwendung einmal gestartet ist? Liegen sie decodiert im RAM? Das ist ein häufiger Fehler und würde das ganze Konzept ad absurdum führen.

Es wäre schon interessant, mehr über die Funktionsweise zu erfahren. Ich würde meine Passwörter nicht einem Produkt anvertrauen, bei dem ich nicht ansatzweise weiß, wie es funktioniert (außer, dass die Daten auf der Festplatte mit AES-256 verschlüsselt sind).

[NicTheQuick]

Ich bin da bei jacdelad.
Ohne zu wissen wie sicher mit den Daten zur Laufzeit umgegangen wird und wie das Speichern der Daten tatsächlich abläuft und ob sauber mit Salts und IVs gearbeitet wird, vertraue ich sowas auch nicht. Da ich kein Windows habe, kann ich es eh nicht testen. OpenSource wäre es natürlich besser.

Und die Sache mit dem fehlenden HTTPS solltest du auch mal fixen. Das ist wirklich eine komische Fehlermeldung, die Firefox da zeigt. Ein gültiges Zertifikat für Webseiten kostet Dank Let's Encrypt heute ja nichts mehr.

[RalfP]

Hallo jacdelad,

meckern ist gut, nur dadurch kann ich dazulernen. Ich danke dir für die Responds.

Zur Funktionsweise:
Die Daten werden nach der Entschlüsselung der Datei im RAM gehalten und auch in Klartext im Fenster angezeigt, damit Du sie über die Zwischenablage in die entsprechenden Zeilen der Webseite kopieren kannst. Alle RAM-Speicher werden überschrieben, bevor sie wieder frei gegeben werden (falls Du das Programm auf einem USB-Stick auf einem fremden Rechner verwendest).

Kennst Du einen Weg den RAM-Speicher auszulesen, solange ich den benutze? - Dann wäre ich sehr dankbar dafür, von dir zu erfahren, wie das geht. Ja, Anwendungen kann man fernsteuern, und dabei vielleicht auch die Zeile auslesen, in der das Passwort bereit gestellt wird, aber dazu müssen die Rechner schon mit Viren oder Trojanern verseucht sein, an denen Du arbeitest. Dann kann auch das Passwort ausgelesen werden, das Du bei einer Webseite eingibst ohne mein Programm dafür zu benutzen. Dann helfen nur Passwörter, die so geheim sind, dass Du sie nicht einmal selbst kennst. Aber damit kommst Du bei Internetportalen leider nirgenwo rein. Wenn das der Fehler ist, den Du unter (1.) erwähnt hast, dann ist er Absicht, sonst weiß ich nicht, was Du mit 'Fehler' meinst.

Oder hast Du dir ein völlig revolutionäres, neues Konzept dafür ausgedacht, das klingt jedenfalls so, dann würde ich gerne davon hören.

Grüße
Ralf

[RalfP]

Hallo NicTheQuick,

die https-Sache ist in Arbeit. Es hat mich völlig überrasch, dass nur http möglich war. Ich dachte beim Web-Space ist heute automatisch https eingeschaltet wenn man den anmietet. (Ich habe die letzte Webseite vor 20 Jahren eingerichtet. Wer braucht jetzt noch http wenn die Browser dabei so'n Radau machen?)

Über OpenSource habe ich auch schon nachgedacht. Es wäre für jeden natürlich ein unschlagbares Argument easyPW zu nutzen, andererseits gebe ich das Programm damit auch völlig aus der Hand. Ich muss darüber noch mal nachdenken. Vielleicht mache ich das.

Grüße
Ralf

[NicTheQuick]

Falls du OpenSource werden willst, pack eine entsprechende Lizenz dazu um dich so abzusichern. Damit kannst du z.B. kommerzielle Vermarktung verbieten und bei Änderungen am Code kannst du auch forcieren, dass die Änderungen auch OpenSource bleiben müssen und sowas.

[RalfP]

Ich schau mir das mit der Lizenz mal genau an.

Der Link oben funktioniert jetzt mit https (das war gar nicht so schwer, man muss es nur einschalten).

Grüße
Ralf

[NicTheQuick]

Da ich die Software nicht testen kann und nur den Screenshot sehe, hier noch ein paar Ideen zur Funktionalität:

• Anstatt den Link zu kopieren, lass den User ihn direkt im Browser öffnen. Das sollte mir `RunProgram()` funktionieren.
• Bau einen Shortcut zum Kopieren des Nutzernamens und Passworts ein. Aus KeepassXC kenne ich STRG+B für den User und STRG+C für das Passwort.
• Behalte Werte nur für kurze Zeit in der Zwischenablage. Typische Zeiten sind 10 bis 15 Sekunden. Mache es notfalls einstellbar.
• Spendier den Einträgen noch einen Titel, falls man mal mehrere Accounts auf der selben Seite hat, damit man es unterscheiden kann.
• Mach das Fenster maximierbar. Zumindest finde ich persönlich es immer schlimm, wenn man Fenster nicht vergrößern kann, obwohl sie eine riesige Liste an Einträgen beinhalten können.
• Bau eine Echtzeitsuchfunktion ein und setze den Fokus per default auf das Suchfeld, damit man direkt lostippen kann, wenn man das Programm öffnet.

[Axolotl]

Moin,
es ist immer gut seine Gegner (Wettbewerber) zu kennen. Schau dir mal z.B. KeePass an.
Ist ewig am Start, Open Source, und verwendet einige trickreiche "Einfüge" Modi.
Viel Glück.
BTW: Die Zwischenablage ist unter Windows heute sehr redselig. (Wenn man nicht aufpasst.....)
Habe ich schon erwähnt, dass mir diese dauernde Nachhausetelefoniererei auf den Sa... geht?

[RalfP]

@ NicTheQuick:

Ich danke dir für die Anregung bezgl. der z.T. sehr nützlichen Features. Nun brauche ich aber erst einmal eine Pause von dem Programm. Vielleicht mache ich später mal damit weiter.

Ich habe den Sourcecode jetzt unter der GPLv3-Lizenz veröffentlicht (oben im Eröffnungsbeitrag).

@ Axolotl:

Ich will KeePass nicht nachbauen, schau mir aber gerne mal an, ob ich einiges davon übernehmen kann.
Bzgl. der Zwischenablage bin ich nicht paranoid. Wie soll jemand unterscheiden zwischen den, für ihn interessanten und den uninteressanten Inhalten. Wenn er das nicht kann, wird er mit Text zugestopft. (Das schließt natürlich nicht aus, dass jemand gezielt einen Trojaner dafür schreibt. Der erkennt wenn easyPW läuft und kopiert nur dann die Zwischenablage. Dann hilft tatsächlich nur das gute alte Notizbuch und abtippen.)