Name:
PasswordList v2.2

Kurze Beschreibung:
Das Programm speichert Passwörter, damit man sie nicht vergisst.
Die Passwörter werden mit einem Master-Passwort verschlüsselt, welches man sich merken muss. Deshalb "Safe". (Nach einem Hinweis von Marcus in Post #9 habe ich das Programm umbenannt. Es hieß früher "PasswordSafe".)

Screenshots:


Ausführliche Beschreibung:
Das Programm führt eine Liste von Passwörtern und Hinweisen, wo diese verwendet werden. Die Passwörter werden mit dem Master-Passwort verschlüsselt. Dieses muss beim Programmstart (oder beim Klick auf "Laden") und beim Speichern angegeben werden.
Beim ersten Programmstart muss das Master-Passwort nicht eingegeben werden, weil es noch keine gespeicherten Passwörter gibt.
Mit einem Klick auf das Passwort wird dieses in die Zwischenablage kopiert.
Passwörter können mit unterschiedlichen Zeichengruppen und Längen generiert oder von Hand eingetippt werden.

Details zum Wie und Wo:
Passwörter werden unter %AppData%\Local\PasswordSafe\Passwords.xml gespeichert. Jeder Eintrag hat ein Password, UserName und Description Attribut. Password steht für das Passwort, welches vom Programm immer mit Sternchen (*) maskiert wird. Description steht für den Klartext, der erklären soll, wo das Passwort verwendet wird. UserName beinhaltet einen Benutzername, zu dem das Passwort gehört. Alle Texte werden wie folgt behandelt, bevor sie in die Datei geschrieben werden:

• Encoding.GetBytes mit UTF8-Encoding ohne BOM.
  
• 2.0:
  Die Daten werden auf das nächste oder übernächste (zufällig, 50% Wahrscheinlichkeit) vielfache von 64 (512 ab 2.2) Bytes erweitert. Die ersten 4 Bytes des resultierenden Byte-Arrays geben an, wie viele Bytes angehängt wurden.
  Beispiel: Das Passwort "123456" ergibt die Bytes {49, 50, 51, 52, 53, 54}. Zufällig wird ausgewählt, ob 64 - 6 = 58 oder 128 - 6 = 122 zufällige Bytes angehängt werden (sagen wir mal 58). Die zufälligen Bytes sind hier zur Veranschaulichung aufsteigend von 1 gewählt. Voran steht die Anzahl an angehängten Bytes. {0, 0, 0, 58, 49, 50, 51, 52, 53, 54, 1, 2, 3, 4, ..., 56, 57, 58}
  1.0 und 1.1:
  Vorne und hinten werden zufällige Bytes zufälliger Länge angehängt, damit von den verschlüsselten Daten nicht auf die Länge des Passwortes geschlossen werden kann. Die ersten 8 Bytes geben die Längen der zufälligen Daten an.
  
• Mit AES256 (CBC) verschlüsselt. Dazu wird aus einem mithilfe von RNGCryptoServiceProvider zufällig erstellten Salt (welcher ebenfalls in der Xml-Datei gespeichert wird) und dem Passwort mit Rfc2898DeriveBytes ein Schlüssel und IV errechnet. Das Padding ist PKCS7.
  
• Convert.ToBase64String

Das Programm hält die Passwörter in Strings. Das könnte unter Umständen ein Problem sein, aber wie das die Sicherheit in der Praxis beeinträchtigt, kann ich nicht genau sagen. Ich vermute, dass sich der Aufwand nicht lohnt, mit SecureString zu hantieren. Vorallem, weil beim Kopieren in die Zwischenablage sowieso wieder ein String draus gemacht werden muss.
Seit Version 2.0 werden Dateien älterer Versionen mit der Methode eingelesen, die durch die Versionsangabe in der Passwords.xml-Datei angegeben ist, aber anschließend mit der neuesten gespeichert.

Verwendete Programmiersprache und IDE:
Visual Basic .NET (Visual Basic 2010 Express)

Systemanforderungen:
.Net Framework 4.0

Systemveränderungen:
Ein Ordner wird unter %AppData%\Local erstellt und darin wird eine Datei mit dem Namen Passwords.xml erstellt.

Download:
Ausführbar:
PasswordList v2.2 Assembly.zip (96 kiB gepackt, 171 kiB entpackt)
VB-Projekt:
PasswordList v2.2 Source.zip (45 kiB gepackt, 169 kiB entpackt)

Lizenz/Weitergabe:
Das Programm darf beliebig weitergegeben werden, solange dafür kein Geld verlangt wird.
Einkompilieren erlaubt (Erwähnung wäre nett).
Dekompilieren erlaubt, ich beantworte Fragen zum Code wie immer auch gerne selbst

@GimpTutWorks
Jo, ich bin kein guter Designer. Wie Nikx erwähnt hat: Es tut was es soll.
Zu Punkt 1: Das ist mir noch garnicht aufgefallen. Ich hab ein ItemsControl (anstelle einer ListBox) verwendet, weil ich die Auswahl-Funktion nicht brauche. Hab jetzt einen ScrollViewer drumherum gepackt.
Punkt 2: Jeder Benutzer auf dem Computer hat eine eigene Liste. Das liegt am Speicherort der Xml-Datei. Der ist zum Beispiel bei mir C:\Users\Niko\AppData\Local\PasswordSafe\Passwords.xml (also unter SpecialFolder.LocalApplicationData). Bei anderen Benutzern steht ein anderer Name im Pfad.

KeePass kenne ich, aber ich wollte was ganz einfaches. Ich habe nämlich Verwandschaft, die erhebliche Schwierigkeiten hat, sich Passwörter zu merken, und mit Computern... sagen wir "nicht sehr bewandert ist".

@GimpTutWorks
Ok, ich verstehe was Du meinst. Wenn das bei Dir (oder jemand anderem) der Fall ist, dann bau ich das noch ein.

Und ja, ich bin kein guter Designer. Ich baue meine Programme immer so, dass sie für mich gut funktionieren und das tun, was ich will.
Auf Optik leg ich nur dann wirklich Wert, wenn ich das Programm veröffentliche oder wenn es zweckmäßig ist, dass es ordentlich aussieht.

@Marcus Gräfe
Danke für den Hinweis. Werde ich machen.

Hat jemand eine Idee für einen Namen?
PasswordList vielleicht?

Update 2.0:
Hab's jetzt umbenannt auf PasswordList.

Eine mögliche Sicherheitslücke behoben:

Bei AES (und bei den meisten Verschlüsselungen generell) sind die Daten, die am Ende herauskommen, gleich lang, wie die Daten, die man hineinschmeißt (bis auf das Padding, aber das kann man ja problemlos entfernen). Das ist besonders bei Passwörtern problematisch, denn für einen Angreifer ist es sehr hilfreich, zu wissen, wie lang das Passwort genau ist.
Bis Version 1.1 wurde den Bytes vor dem Verschlüsseln vorne und hinten je 20 bis 80 (also 40 bis 160) zufällige Bytes angehängt. Das Problem dabei ist: wenn man ein sehr kurzes Passwort hat und wenig Bytes angehängt werden, kann man die mögliche Länge des Passwortes bereits weit einschränken.
Beispiel:
Die verschlüsselten Daten sind 50 Bytes lang. Davon sind 8 die Größenangaben der hinzugefügten Bytes, also bleiben noch 42. Da mindestens 40 zufällige Bytes hinzugefügt werden, gibt es nur noch 3 2 Möglichkeiten:
40 zufällige Bytes: Das Passwort ist 2 Bytes und damit wahrscheinlich 2 Zeichen lang.
41 zufällige Bytes: Das Passwort ist 1 Byte / 1 Zeichen lang.
42 zufällige Bytes: Das Passwort ist leer, aber das wird vom Programm nicht zugelassen, also kann das nie passieren.

In der neuen Version werden die Daten immer auf ein Vielfaches von 64 Bytes (+ 4 Bytes für die Anzahl an hinzugefügten Bytes) erweitert. Dadurch kann man das Passwort nie genauer als 64 Zeichen eingrenzen.
Weil die meisten Passwörter kürzer als 64 Zeichen sein werden, hab ich noch eingebaut, dass in 50% der Fälle auf das übernächste Vielfache von 64 erweitert wird. Dadurch sind Passwörter < 64 Zeichen nicht mehr so leicht von Passwörtern >= 64 Zeichen zu unterscheiden.

@Ruerte
Ziel ist es nicht, die Länge des Master-Passwortes zu verschleiern, sondern die Längen der gespeicherten Passwörter.
Nachdem verschlüsselt wurde kann man sowieso nicht mehr auf die Länge des Passwortes schließen, denn eine moderne Verschlüsselung (insbesondere die hier verwendete) verwendet einen Schlüssel fester Größe (in diesem Fall 256 Bits).
Dafür ist auch Rfc2898DeriveBytes da.

@DragonSlayerMarc
Vielleicht
Nö. Das tolle an Open Source ist, dass Du selbs nachsehen kannst, was das Programm so macht. Ich könnte natürlich gemein sein, sodass der Quellcode gar nicht zur Exe passt. Aber Du kannst 1. den Quellcode selbst kompilieren und 2. die Exe dekompilieren.
Aber ja. Spaß angekommen