No video
Ich habe einen PASSWORT MANAGER programmiert!
Рет қаралды 7,766
Күн бұрын► Hacking mit Python amzn.to/3pxVnmh (*)
► Mein Python-Buch amzn.to/3ARMbw8 (*)
► Ethical Hacking mit ChatGPT amzn.to/3Qf9mID (*)
Als Amazon-Partner verdiene ich an qualifizierten Verkäufen. Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Inhalt 📚
Ich habe einen Passwortmanager programmiert. In diesem Video zeige ich dir, wie man einen Passwortmanager programmieren kann.
#Passwort #Python #Passwortmanager
SOCIAL MEDIA
💡 Website: www.florian-da...
📱 TikTok: / florian.dalwigk
🤳 Instagram: / florian.dalwigk
🐦 Twitter: / florian_dalwigk
📧 E-Mail: mailto:info@florian-dalwigk.de
@Florian.Dalwigk 4 күн бұрын
► Python für Einsteiger florian-dalwigk.com/python4einsteiger?v=m00klm (*) ► Hacking mit Python florian-dalwigk.com/hacking_mit_python?v=m00klm (*) ► Ethical Hacking mit ChatGPT florian-dalwigk.com/hacking_mit_chatgpt?v=m00klm (*) (*) Werbung
@lukasxlama Ай бұрын
Der Passwort Manager sieht schon richtig gut aus! :D Ein Vorschlag meinerseits wäre noch, dass du das Passwort aus der Zwischenablage nach kurzer Zeit wieder löscht. Generell ist der Ansatz mit der Zwischenablage anfällig für Clipboard-Hijacking, aber wie du schon gesagt hast, wenn sowas auf dem PC ist, hat man andere Probleme... ^^ Edit: Vielleicht möchtest du das Programm auf GitHub veröffentlichen? Ich würde es jedenfalls benutzen :)
@Florian.Dalwigk Ай бұрын
Das mit dem Löschen aus dem Zwischenspeicher ist eine gute Idee ;)
@LukasLindner Ай бұрын
@@Florian.Dalwigk Du könntest auch überlegen, eine komplementäre Browser-Erweiterung zu schreiben, die die Passwörter direkt in entsprechende password inputs schreibt. Dann hast du die Passwörter gar nicht mehr im Clipboard, wenn du sie innerhalb des Browsers verwenden möchtest. Dazu müsstest du dann natürlich auch die entsprechenden URLs mit in der Datenbank ablegen.
@dragonminz602 Ай бұрын
Ich hab auch schon überlegt mir einen eigenen Passwort manager zu schreiben, und eine verschlüsselte Datenbank für alle meine Dokumente anzulegen. Wär also intressant zu sehn wie du das komplett implementiert hast.
@c0d1n6_4p3 Ай бұрын
Klasse Video 👍🏻 Man könnte es sogar ein wenig umwandeln um darin Zugangsdaten mit API-Keys zu speichern. Somit bräuchte man nur ein Passwort beim Start des Programs eingeben und vermeidet, dass Zugangsdaten im Klartext im Python- Script stehen.
@WitzigLustigKomisch_TG Ай бұрын
"Google wurde erfolgreich gelöscht" 😂😂😂 richtig so!
@Florian.Dalwigk Ай бұрын
Dann wäre dein Kanal aber auch weg, denn KZfaq gehört zu Google.
@nullptr_t-m Ай бұрын
@@Florian.Dalwigk Und Android auch, im Falle dass er auf Android schaut.
@JontheRippa Ай бұрын
Super Video. Ja währe gut etwas detaillierter das Programm zu zeigen. Habe auch so etwas programmiert nur mit dem Programm veracypt zusammen. Dachte mir das veracrypt Container sicher ist, deswegen.Bei mir generiert er noch ein Passwort und speichert es ab, das man beliebig lang wählen kann. Nur es gibt einen Zeitpunkt da ist alles entschlüsselt und es ist sehr einfach zu programmieren. 😄
@LukasLindner Ай бұрын
Was ist denn deine Meinung zu Bitwarden? 😊
@Florian.Dalwigk Ай бұрын
Ich nutze es nicht und kann daher auch keine Empfehlung geben.
@ArizeOW Ай бұрын
Kann man definitiv empfehlen. Wenn du ein wenig technikbegeistert bist, und noch mehr Sicherheit wünscht, kannst du es auch selbst auf deinem Server hosten.
@LukasLindner Ай бұрын
@@ArizeOW Ja, ich nutze Bitwarden jetzt seit 2,5 Jahren. Aber noch nicht selbstgehostet, das wäre ein nächster Schritt für mich. Aber weiß noch nicht ob es besser wäre das auf meinem VPS zu hosten wo auch meine Website drauf liegt etc. oder lieber doch auf meinem NAS das nur über VPN erreichbar ist. Was würdest du da empfehlen? Die self-hosting Variante heißt doch dann Vaultwarden, oder?
@kernel0verflow919 Ай бұрын
Ich hab Bitwarden auf meinem VPS über einen Docker Container gehosted. Dazu downloade ich regelmäßig das Passwort Archiv als Datei, verschlüssle es asymmetrisch und speichere es auf zwei VeraCrypt verschlüsselten externen Festplatten. Zusätzlich würde ich einen YubiKey empfehlen. LG.
@philippd5743 Ай бұрын
@@ArizeOW "mehr Sicherheit" nur wenn du weißt wie du deinen Server sicher hältst...
@Alex5Seenland Ай бұрын
Wieder mal ein Klasse Video, an der Stelle ein kleiner Verbesserungsvorschlag: Bau doch mal eine Option ein um sich anzeigen zu lassen, welche Einträge es überhaupt gibt 😉
@anastassogoldschmied Ай бұрын
Wie würdest du verhindern dass das Passwort durch Swaping (AuslagerungsDatei) , unverschlüsselt auf der Festplatte landet?
@derpenz5376 Ай бұрын
Gute Frage, dass habe ich mich auch gefragt. Ich glaube nicht das man da direkt irgendwas dagegen machen kann da das OS das Swaping regelt.
@philskz Ай бұрын
Echt ne coole Sache! Ich würde aber nie meinen selbst programmierten Passwortmanager benutzen sondern eher auf etablierte open source Lösungen zurückgreifen. Der klassiker hier z.B. KeePass. Es gibt zwar in jedem open source programm Sicherheitslücken aber dort sind zumindest die gängigsten Sicherheitspraktiken angewandt. Privat müsste man sich damit auch erstmal auseinandersetzen.
@Florian.Dalwigk Ай бұрын
Das kann ich nachvollziehen. ;)
@WitzigLustigKomisch_TG Ай бұрын
Das hatte ich auch vor. Leider bin ich gescheitert. Super gemacht. 👍
@Florian.Dalwigk Ай бұрын
Danke dir :)
@WitzigLustigKomisch_TG Ай бұрын
@@Florian.Dalwigk du könntest noch benutzrnamen hinzufügen. Und eine Option um sich alle Dienste mit Benutzer (ohne PW) anzeigen zu lassen. Kann ich das python Script irgendwo runterladen?
@ptl5585 Ай бұрын
Ziemlich interessant. Vielleicht kannst du uns mal erzählen, wie man eine sichere GUI für so ein Programm am besten machen kann? Und wie kann man so ein Programm, dann auf das Handy übertragen? Das würde mich interessieren.
@BufferTheHutt Ай бұрын
unter Python gibt es die TKinter Bibliothek. Also die Toolkit-Interface Sprachanbindung für Python erleichtert das erstellen von GUI unter Python.
@Florian.Dalwigk Ай бұрын
Zum Übertragen aufs Handy: Da müsstest du dir eine eigene App bauen oder versuchen, über verschiedene Tools aus dem Python-Script eine .apk zu machen.
@pascal8045 Ай бұрын
Ich habe auch mal einen programmiert (für Windows Forms... Darüber lässt sich definitiv streiten). Meiner speichert allerdings kein Passwort, sondern nur einen Key (der ein Hash Wert der Ticks der Zeit der ersten Passworterstellung ist). Dort gibt man dann den entsprechen App Namen ein, die Länge des Passwortes und ein einfaches Passwort. Alle Eingaben werden gehasht (auch die Länge) und dann wird daraus ein Passwort Manager. Ich wollte allerdings auch noch verschiedene Arrays von Zeichensätzen machen, da nicht jede App jedes typische Zeichen unterstützt. Allerdings war die Eingabe dann über das Abtippen oder Zwischenablage, weswegen ich diesen auch eher weniger nutze, da wie bei Dir die Zwischenablage auch Angriffspotential bietet. Trotzdem bietet er in der Theorie mehr Sicherheit, da man mit Bruteforce nicht leicht weiterkommt, guessing unmöglich ist und es selbst schwierig ist, wenn man Zugriff zu dem Rechner hat, an die Anmeldedaten zu kommen
@user-xu3so2ug1f Ай бұрын
also für mich spielt bei Passwort Managern das grafische eine wichtige rolle. und auch sync. also am pc ist zwar schön und gut, aber ich benutze einfach mehrere geräte und das ist es einfach unpraktisch, wenns sich nicht einfach automatisch synced
@Florian.Dalwigk Ай бұрын
Das kann man alles noch einbauen ;)
@judanji2234 Ай бұрын
KeePassXC Datenbank einfach in die eigene Nextcloud syncen lassen ist bis jetzt die beste Option die ich gefunden habe.
@user-xu3so2ug1f Ай бұрын
@@Florian.Dalwigk ist aber vml aufwendig xD
@philippd5743 Ай бұрын
Proton Pass ;)
@Florian.Dalwigk Ай бұрын
Richtig, deshalb habe ich es hier nicht getan ;)
@optischTV Ай бұрын
Würde es Sinn machen die Datenbank nicht lokal zu haben? Also irgendwo hosten. Weil angenommen Festplatte kaputt oder sonst was, dann wären ja alle Passwörter weg.
@Florian.Dalwigk Ай бұрын
Durchaus! Damit öffnet man aber natürlich weitere Sicherheitslücken. Aber wenn man nur die _verschlüsselte_ Datenbank hochlädt, sollte es erstmal kein Problem geben.
@marcoxp1690 Ай бұрын
Sehr schönes Programm. Was mir gerade auffällt ist, es fehlt ist eine Übersicht der Dienste. Wenn ich mich beim Dienst anlegen im Namen vertippe und oder einen Dienst lange nicht genutzt habe, dann bekomme ich das Passwort nicht mehr zurück. Oder liege ich da falsch.
@Florian.Dalwigk Ай бұрын
Die habe ich aus Sicherheitsgründen bewusst weggelassen
@cz2217 Ай бұрын
vllt kann man noch implementieren, das man sich die in der Datenbank befindlichen Einträge (Google, E-Mail, Steam, etc) alle auflisten kann. Falls man mal nicht weiß, wie was geschrieben wird oder welche Einträge man schon vorgenommen hat
@Florian.Dalwigk Ай бұрын
Das hatte ich anfangs, habe es aber aus Sicherheitsgründen rausgenommen.
@SLINIcraftet204 Ай бұрын
Hey Flo, was ist denn deine Meinung zu bestimmten Webseiten die eine maximale Passwort Länge von 8 Zeichen voraussetzen? Ich persönlich bin ja eher der Freund von mindestens 16 bis 32 Zeichen langen Passwörtern. Vielleicht kannst Du mich ja auch noch aufklären warum manche nur 8 Zeichen als maximallänge erlauben.
@Florian.Dalwigk Ай бұрын
Dazu habe ich schon ein eigenständiges Video gedreht (Ihr Passwort ist ZU LANG?)
@philippmitterrutzner667 Ай бұрын
Hey Florian, ich habe auch ein Passwordmanager in Python erstellt. Ich habe eine PBKDF2- Verschlüsselung für das Masterpassword um eine Zeichenfolge (Masterkey) zu erhalten, mit welcher ich die einzelnen Passwörter ver-und entschlüssle. Ist das gut? Wie hast du das gemacht?
@Florian.Dalwigk Ай бұрын
Ich hab das auch genutzt.
@philippmitterrutzner667 Ай бұрын
Könntest du mal ein Video machen wie in Detail PBKDF2 und Scrypt funktioniert. :)
@markuszeller_official Ай бұрын
Was ist denn, wenn das Betriebssystem den entschlüsselten Speicher auf die Festplatte auslagert (Paging)? Kann man das auch verhindern?
@Florian.Dalwigk Ай бұрын
Das wird schwierig.
@dislikepineapples Ай бұрын
Mit viel RAM kann man das paging file natürlich ausstellen
@dislikepineapples Ай бұрын
und pagefile encryption könnte auch einen Blick wert sein
@X-razcal-X Ай бұрын
Sehr geil.
@PapaSchlumpff Ай бұрын
Was passiert wenn man die Festplatte löscht oder kaputt geht, dann ist ja der schlüssel auch weg oder?
@Florian.Dalwigk Ай бұрын
Richtig
@TheCelebreties Ай бұрын
Sehr interessant. Zuallererst: Ich bin in diesem Bereich unwissend, daher könnte ein Denkfehler vorliegen. :D Unter Linux gibt es die SWAP-Partition (auch wenn diese heute bei der Menge an Arbeitsspeicher nicht mehr so notwendig ist). Wenn ich nun den Hibernation-Modus aktiviert habe, dann wird der Inhalt des RAM auf die Festplatte ausgelagert. Dadurch ist es z. B. durch Forensik möglich, die Daten zu erhalten. Kann man das auch verhindern, sodass sich das Programm eher beendet, als ausgelagert zu werden? Edit: Nicht deine Frage, aber ich würde anders vorgehen: 48 Bytes / 8 Bytes = 6 (Zeichen) -> abc123 72^6 = 139.314.069.504 mögliche Passwörter (Groß- Kleinbuchstaben, Ziffern & 10 gängige Sonderzeichen) Wäre definitiv machbar, das Passwort zu erhalten. Durch Salting hätte ich ein Problem... :D
@BufferTheHutt Ай бұрын
die Swap Partition ist optional und muss nicht angelegt werden. Da es nur eine Partition ist, kann diese auch entfernt oder gar nicht erst bei der Einrichtung des OS angelegt werden. Eine sichere Methode ist es, diesen PasswortManager in einer Hidden VM in einer versteckten verschlüsselten Partition (z.B. mit VeraCrypt) unter der Verwendung von TailsOS zu nutzen. Das hinterlässt zwar auch Spuren, aber nur auf einem versteckten, verschlüsselten Bereich.
@2dark4noir Ай бұрын
Zum swap: Swap gibt es auch unter Windows, dort regulär in einer Datei anstatt in einer partition. Swap wird auch bei heutigen Arbeitsspeichern noch oft genug benötigt, meist im Zusammenspiel mit Paging. Arbeitsspeicher kann auch ohne hibernation in den swap geschoben werden, etwa bei Überlauf. Ja, das kann dann forensisch ausgelesen werden. Dagegen gibt es auch nicht wirklich Gegenmaßnahmen, man kann die wichtigen Daten nur verteilen und möglichst unauffällig machen, damit Reverse engineering schwerer wird. Wer aber genau weiß wie ein Programm funktioniert, kann sich so immer auch alle Daten zusammen sammeln. Deswegen sollten Security relevante Daten auch im Arbeitsspeicher immer nur möglichst kurz vorliegen und danach auch explizit überschrieben werden. In der Praxis heißt das: Programm starten, Passwort kopieren, Passwort benutzen, Programm schließen. Im idealfall bereinigt der Manager dabei dann auch den Zwischenspeicher. Solange das Programm offen ist könnte ja letztlich auch jeder, der remote oder direkt an deinen PC kommt alles auslesen. Zur Rechnung: Da hast du einiges durcheinander gebracht. 8 bit = 1 byte. 1 byte = 1 char (ASCII, UTF-8 base...) 48Byte durch 8 zu teilen ergibt hier also nie viel Sinn. Entweder du möchtest die Zeichen bestimmen (möchtest du nicht, siehe unten), dann wären es direkt einfach 48. Oder du möchtest die Bit berechnen, dann musst du aber *mal* 8 rechnen. Es geht außerdem um den Schlüssel, nicht um das Passwort. Das Passwort als solches kann eine mehr oder minder beliebige Länge haben und hat mit dem Schlüssel erst mal nichts zu tun. Der Schlüssel liegt auch nicht als Text vor sondern als Bit Daten. Die 48 Bytes des Schlüssels entsprechen also 48×8 = 384 Bit. Jedes bit hat zwei Zustände, es gibt also 2^384 Möglichkeiten für den Schlüssel. Das sind etwa 394 Möglichkeiten aber mit 113 Nullen dahinter! Ein Salt würde dieses Problem, wenn es denn so wäre wie von dir beschreiben, übrigens auch nicht lösen. Ein Salt vergrößert nicht den Raum möglicher Passwörter und härten ein System damit auch nicht gegen bruteforce. Ein Salt verhindert die Rückschließbarkeit auf Passwörter für bekannte Cyphern. Wenn 1000 Leute das gleiche Passwort benutzen haben sie dank Salt dann nicht alle die gleiche Cypher. Das Passwort abc123 bleibt dabei genau so schlecht wie es vorher war.
@Florian.Dalwigk Ай бұрын
Denn (guten) Antworten meiner Vorredner ist nichts hinzuzufügen :)
@TheCelebreties Ай бұрын
@@2dark4noir Vielen Dank für die ausführliche Antwort. Aus diesem Grund gibt es auch eine Mittagspause, damit das Gehirn danach wieder arbeiten kann. Läuft Paging ausschließlich mit Swap unter Linux oder falls die Partition vorhanden ist, wird diese bevorzugt? Soweit ich es noch von der Uni kenne, wird doch allgemein auf die Festplatte ausgelagert. Das mit dem Überlauf, wollte ich mit dem Vermerk anspielen, da heutzutage jeder 16 bzw. 32 GB RAM besitzt und daher, zumindest im privaten Bereich, grundsätzlich kein Überlauf stattfindet. Zum zweiten Teil gebe ich dir natürlich Recht. Da war mein Gehirn auf Hibernation-Modus... :D Dennoch kurz zu meinem Gedankengang zu Salting: Es wird eine zufällige Zeichenketten zu einem Klartext angehängt (natürlich besitzt der Hash am Ende die selbe Länge), aber ich bin in diesen Moment gar nicht davon ausgegangen, dass er das Passwort hasht, obwohl er es gesagt hat. Vielleicht habe ich aber auch nicht richtig zugehört, da die key-Datei ein bin sein soll und ich einfach mit 48 Bit gerechnet habe (daher auch durch 8 dividiert).
@TheCelebreties Ай бұрын
@@BufferTheHutt Danke für deine Antwort. Sehr interessant, aber ich denke, dass hier auch eher das KISS-Prinzip gilt und man ein "bisschen" auf Sicherheit verzichtet.
@PapaSchlumpff Ай бұрын
Was hälst du davon Passwörter in eine Textdatei zu speichern auf ein USB Stick das verschlüsselt ist bzw. die Textdatei verschlüsselt ist?
@pascal8045 Ай бұрын
Theoretisch auch eine Option, würde da aber mehrere Sticks verwenden, da der eine gerne mal kaputt oder verloren gehen kann
@pascal8045 Ай бұрын
Aber generell kann man da direkt nen Hardware Schlüssel verwenden
@Florian.Dalwigk Ай бұрын
Kann man machen.
@WonderworldCraft Ай бұрын
Wie sieht es mit einem "mach mir ein sicheres Passwort" Feature aus? Man könnte z.B.: eine Datei anlegen mit Einstellungen. Diese beinhaltet alle Zeichen die man Verwenden möchte.
@Florian.Dalwigk Ай бұрын
Einen Passwortgenerator habe ich bereits programmiert und der wird auch in meinen Büchern referenziert.
@Hilfe Ай бұрын
Wie er halt einfach mal einen PW Manager programmiert 😂 eine Sache von der Großteil der Bevölkerung leider noch nicht einmal die Notwendigkeit versteht…
@Florian.Dalwigk Ай бұрын
😁
@joeljs9778 Ай бұрын
Ganz nebenbei, mehr Gesicht ist besser, bau das gern mehr ein.
@OrigamiwithRobin Ай бұрын
Erster
@Fooseful Ай бұрын
moin, tolles Video, würdest du deinen PW Manager zum Download zur Verfügung stellen dass wäre Klasse ich würde da sogar etwas für zahlen.
@don6160 Ай бұрын
Passwörter sollten nie im Klartext gespeichert werden in einer Datenbank. Sonder gehasht am Besten mit Salt 🧂😅
@Florian.Dalwigk Ай бұрын
Aber in einer Datenbank, die dazu da ist, im Passwörter zu speichern, die man dann verwenden möchte. Was bringen einem da die Hashes? 😅
@emilschlampp Ай бұрын
Ist es nicht auch Kritisch wenn die Passwörter unverschlüsselt im RAM gespeichert werden, wenn der Passwortmanager geöffnet ist?
@Florian.Dalwigk Ай бұрын
Das sage ich auch im Video.
@derpunkt Ай бұрын
Ist ein Passwortmanager nicht super gefährlich? Wenn jemand meine Tastatureingabe des Masterpasswortest verfolgt / beobachtet, könnte er an alle Passwörter kommen. Oder ist das unwahrscheinlich? Ich kenne mich da nicht aus, aber ich denke das es eine besonders große Gefahr ist. Ich würde sehr gerne einen Passwortmanager vertrauen. :)
@Florian.Dalwigk Ай бұрын
Wenn du einen Keylogger auf dem Rechner hast, dann ist der Passwortmanager dein geringstes Problem ...
@derpunkt Ай бұрын
@@Florian.Dalwigk Aber so jemand hätte nicht direkt alle Passwörter, weil ich mich z.B. nicht ständig und immer wieder in allen Accounts einlogge. So jemand würde dann die aktuellen Zugangsdaten haben, aber nicht von den alten Accounts, die ich nur selten nutze. Oder? Was ich noch nicht ganz verstehe, - falls du noch Zeit und Lust zu antworten hast, - warum ist der Passwortmanager dann mein geringstes Problem, wenn ich ein Keylogger habe? Jemand könnte sich auf meinem PC breit machen, was nicht schlimm wäre, wenn keine sensiblen Daten auf diesem PC wären, aber er hätte dann nicht alle Zugangsdaten. ?
@Florian.Dalwigk Ай бұрын
Wenn jemand einen Keylogger auf deinem Rechner hat, hat er in der Regel weitreichende Kontrolle und da ist der Weg zum Abfangen der Passwörter nicht weit. Du brauchst dich ja nur irgendwo anmelden und schon hat er auch die Information.
@derpunkt Ай бұрын
@@Florian.Dalwigk Ja, das ist mir klar. Aber ich meinte, er hätte dann nicht all die anderen Passwörter, die ich nur selten nutze. Ich hätte somit vielleicht eher die Chance den Beobachter zu entdecken (Wohl unwahrscheinlich mit normaler Virensoftare oder?) - Aber vielleicht bei Neuinstallation des Betriebsystem wäre vielleicht der Beobachter nicht mehr auf dem PC??? :)) ?? Vielleicht ist der Beobachter auch nicht durchgehend wachsam oder geht alle geloggten Dateien durch, so das er nicht ständig alle Passwörter oder Eingaben abfängt?? Ansonsten braucht er nur einmal die Eingabe abfangen, die immer die Gleiche ist und er hat alle Passwörter. :(((
Finanzfluss
Рет қаралды 179 М.