Moin Männer!

Ich bin gerade dabei nach einem guten Passwordmanager zu suchen (`ala Keepass) und als ich da so etwas herumgetestet habe, ist mir aufgefallen das man hinterlegte Passwörter ja wieder sichtbar machen kann (duh, ist ja auch der sinn hinter einem Passwort Manager)
Nun habe ich leider absolut keine Ahnung wie sowas funktioniert, kennt sich jemand damit aus, und könnte es mir anhand einem VB.NET beispiel erklären.
Denn soweit ich weis gibt es ja kein zurück mehr, nachdem man ein Password gehasht abgelegt hat, oder?
Oder wie legen Passwort Manager die Passwörter sicher ab?
Danke schonmal im vorraus.

*Topic verschoben*

Die Passwörter werden verschlüsselt abgelegt, die kann man dann entschlüsseln.

ah okay dann ist das der punkt den ich durcheinander gebracht habe.
Also nicht gehasht sonder verschlüsselt, danke!

Ja weil Hash keine Verschlüsselung ist. Das würde bei einer solchen Anwendung keinen Sinn machen.
Das gespeicherte Masterpasswort, könnte allerdings gehasht sein.

Hi,
also bei meinem pasgen hab ich es so gemacht:
beim ersten start wird ein Masterpassword verlangt, mit dem eingegebenen Kennwort verschlüssele ich einen String aus den Einstellungen.
Wenn man nun das Programm erneut startet und das Masterpassword eingibt, wird damit versucht der String wieder zu entschlüsseln.
Stimmt der entschlüsselte string mit dem original string überein, ist das Passwort richtig, ansonsten falsch.
Das Masterpasswort selbst wird nirgends abgelegt....

MichaHo schrieb:

Wenn man nun das Programm erneut startet und das Masterpassword eingibt, wird damit versucht der String wieder zu entschlüsseln.
Stimmt der entschlüsselte string mit dem original string überein, ist das Passwort richtig, ansonsten falsch.
Das Masterpasswort selbst wird nirgends abgelegt....

Sollte man nicht das Masterpassword mit Verfahren XY hashen/verschlüsseln und diesen Hash ablegen? Beim Login dann die Eingabe mit dem selben Verfahren hashen/verschlüsseln und die gehashten Werte vergleichen?
Macht mit meinem Berufsschulwissen aus meiner Sicht am meisten Sinn


LG, Acr0most

Ist beides OK.
Ich sehe aber keine Vorteil darin das MasterPasswort irgentwo zu speichern.
Das kann wärend der Sitzung verwendet werden und ist anschließend weg.
Das ist doch perfekt.

und wie legst du vor jeder Verwendung fest, ob der Benutzer überhaupt berechtigt ist?
Zudem wird atm ja mit diesem Masterpw verschlüsselt... denke ich

Hi,
mit dem Masterpasswort, was beim allerersten Start vergeben wird, werden alle künftigen Kennwörter verschlüsselt.
Masterpasswort weg = Passwortdatenbank unbrauchbar
das mit dem Berechtigt hab ich nicht verstanden.
Wer das Masterpasswort hat, hat Zugriff auf die Kennwörter.
ob ich nun das Passwort hashe und ablege, oder irgendeinen String verschlüßel und ablege kommt aufs selbe raus. Denke ich.

Gelöschter Benutzer schrieb:

Nun habe ich leider absolut keine Ahnung wie sowas funktioniert

Das ist kein guter Anfang, wenn Du mit sensitiven Daten hantierst.
Wie Verschlüsselung prinzipiell in .NET funktioniert, ist hier gezeigt: AES Verschlüsselung
Und hier ein Beispiel, wie man sowas in Code gießt: PasswordList v2.2

Dabei stellen sich dann einige wichtige Fragen:
Was tut man, um die Längen der verschlüsselten Passwörter zu schützen?
Behält man das Masterpasswort für die Dauer der Sitzung im RAM oder gibt man es bei jeder Verwendung ein?
Macht man jeden Eintrag separat entschlüsselbar oder entschlüsselt man eine große Datenbank aufeinmal?
Macht man sicht die Mühe, überall mit SecureString zu arbeiten oder verwendet man einfach normale Strings?

@Niko Ortner das Zitat bezog sich nur darauf, dass ich nicht wusste wie man da am besten heran geht wenn man Passwörter wieder sichtbar machen will, denn bis zu dem zeitpunkt dachte ich noch diese werden gehasht.
Aber vielen dank für die anderen anregungen!