FAQ [de]

FAQ

Allgemeines

Was macht Qt-SESAM besser als ein On-the-fly-Passwortgenerator wie die Masterpassword App?

Qt-SESAM läuft unter Windows, Linux, Mac OS X. Dazu kompatible Versionen für Android und iOS sind geplant.

Qt-SESAM ist komfortabler: Statt ständig Master-Passwort, Domain-Name, Benutzername und gegebenenfalls noch weitere Einstellungen eingeben zu müssen, benötigen Sie nur noch das Master-Passwort. Alles andere kommt aus der verschlüsselten Konfigurationsdatei.

Was macht Qt-SESAM besser als ein Password-Container wie Password Safe?

Sollte es einem Angreifer gelingen, die Einstellungen zu entschlüsseln, so lägen ihm bei einem klassischen Passwort-Container die Passwörter im Klartext vor. Bei Qt-SESAM sieht er jedoch nur die Einstellungen, die erst zusammen mit dem Master-Passwort zum Dienstpasswort führen. Aber das Master-Passwort hat der Angreifer nicht. Qt-SESAM ist daher sicherer als ein klassischer Passwort-Container.

Wie auch immer: Ist der Angreifer im Besitz des Master-Passworts, dann ist Polen offen, sowohl bei klassischen Passwort-Containern, als auch bei Qt-SESAM.

Qt-SESAM generiert für jede Domain ein zufälliges Salt und speichert das in der Konfigurationsdatei. Wenn die Datei verloren geht, sind alle Passwörter hin. Wie schütze ich mich gegen den Verlust?

Qt-SESAM ist darauf optimiert, dass Einstellungen über einen Server synchronisiert werden. Da dann schon bei zwei benutzten Geräten drei Kopien der verschlüsselten Einstellungen existieren, ist die Gefahr gering, dass die Einstellungen verloren gehen. Sie können Qt-SESAM auch ohne Synchronisation nutzen, müssen dann aber besonders gut auf die Konfigurationsdaten aufpassen. Backups wichtiger Dateien sind ohnehin kein schlechte Idee.

Klassische On-the-fly-Passwortgeneratoren, die wie Qt-SESAM intern mit einem Schlüsselerweiterungsalgorithmus wie PBKDF2 arbeiten, generieren falsche Dienstpasswörter, wenn man das falsche Masterpasswort eingibt. Wie ist es möglich, dass man bei Qt-SESAM das Masterpasswort ändern kann, ohne dass sich die generierten Dienstpasswörter ändern?

Qt-SESAM benutzt das Masterpasswort, um einen internen Wert von 64 Bytes Länge (Key Generation Key, KGK) zu entschlüsseln. Dieses KGK wird bei der erstmaligen Verwendung von Qt-SESAM zufällig gewählt. Qt-SESAM generiert aus dem KGK nicht nur die Dienstpasswörter, sondern erzeugt auch einen Key, mit dem die Einstellungen verschlüsseln werden. Wird das Masterpasswort geändert, bleibt der KGK gleich und demzufolge auch die daraus generierten Dienstpasswörter.

Wenn jemand die Qt-SESAM-Konfigurationsdatei klaut, zum Beispiel aus der Cloud, kann er diese dann in aller Ruhe knacken?

Die Daten in der Konfigurationsdatei sind AES-verschlüsselt. Der 256 Bit lange Schlüssel wird aus Ihrem Masterpasswort generiert. Nur wenn das Passwort sehr kurz ist, hat der Angreifer eine realistische Chance, die Daten zu entschlüsseln. Bei langen Passwörtern (mindestens 10 Zeichen) ist ein Angriff gegen AES-256 praktisch unmöglich, auch dann, wenn der Angreifer Kenntnisse über die Struktur des gesuchten Klartextes hat. c't SESAM verwendet JSON-Daten, die ein Hacker leicht automatisiert als solche erkennen kann, während er zum Entschlüsseln der Konfigurationsdaten einen AES-Schlüssel nach dem anderen aus insgesamt 2^256 möglichen durchprobiert. Aber selbst, wenn er das geschafft haben sollte, kennt er immer noch nicht den KGK oder Masterpasswort.

Distributionen

Wird es eine Android-Version geben?

Ja, eine c't-SESAM-Android-App ist fast fertig. Sie wird vorläufig nicht ganz so umfangreich wie Qt-SESAM sein, aber kompatibel dazu.

Wird es eine Version für iOS geben?

Das c't-SESAM-Team hat derzeit nichts in der Richtung in Planung. Es hat sich allerdings jemand gemeldet, der c't SESAM aufs iPhone/iPad bringen will. Ob und wann eine iOS-Edition fertig wird, lässt sich jedoch nicht sagen.

Wie sieht es mit der Unterstützung von Mac OS X aus?

Qt-SESAM läuft dank Qt auch unter OS X. Sie finden das App-Paket als DMG-Datei unter den Releases.

Installation

Wo kann ich den Windows-Installer herunterladen?

Den aktuellen Installer finden Sie auf GitHub unter https://github.com/ola-ct/Qt-SESAM/releases.

Vergewissern Sie sich nach dem Download, dass die Prüfsumme der heruntergeladenen Datei mit der im Release-Text veröffentlichten übereinstimmt. Die Windows-Shell-Erweiterung HashCheck hilft Ihnen dabei.

Ich bin Linux-Nutzer. Gibt es kein Debian-Paket von Qt SESAM, das ich installieren könnte?

Zurzeit gibt es leider kein Debian-Paket. Es ist aber eines geplant. Bis das fertig ist, müssen Sie Qt SESAM selbst kompilieren.

Ich bin Linux-User und will immer die neueste Version von Qt-SESAM verwenden. Daher kompiliere ich die Software selbst aus den Quelltexten, die ich von GitHub mit git pull aus dem Master-Branch ziehe. Manchmal kommt es vor, dass neue Features nicht im kompilierten Binary auftauchen. Was läuft da schief?

Der Build-Mechanismus von Qt hat leider ein paar Macken: qmake und make "übersehen" manchmal geänderte Dateien. In solchen Fällen sollten Sie einen vollständigen Rebuild veranlassen. Das geht mit:

git pull
make clean
find . -type f -name Makefile -exec rm {} \;
lrelease Qt-SESAM/Qt-SESAM.pro
qmake
make

Fedora- und openSUSE-Anwender tippen qmake-qt5 statt qmake. Siehe auch [Build for Linux](../Build for Linux).

Wenn ich Qt-SESAM nach Anleitung unter Ubuntu 14.01 LTS kompilieren, bricht make mit einem Compiler-Error ab. Ist das ein Fehler im Quellcode?

Es geht vermutlich um eine Meldung wie folgende:

ui_mainwindow.h: In member function ‘void Ui_MainWindow::retranslateUi(QMainWindow*)’:
ui_mainwindow.h:829:29: error: ‘class QPlainTextEdit’ has no member named ‘setPlaceholderText’
         notesPlainTextEdit->setPlaceholderText(QApplication::translate("MainWindow", "may be empty", 0));

Die Funktion QPlainTextEdit::setPlaceholderText() wurde in Qt 5.3 eingeführt. Deshalb kompiliert Qt-SESAM nur, wenn Sie Qt 5.3 oder neuer einsetzen.

Nutzung

Wo finde ich die Datei, in der Qt-SESAM lokal seine Einstellungen speichert?

Alle Einstellungen speichert das Programm in der Datei "QtSESAM.ini" im Order "ct" unterhalb des Anwendungsdatenverzeichnisses des angemeldeten Benutzers. Unter Windows zeigt der Pfad %APPDATA%/ct dorthin (einfach %APPDATA%/ct im Explorer eintippen), unter Linux $HOME/.config/ct.

Ich habe mit der Anwendung experimentiert und habe viele Testdaten eingegeben. Nun möchte ich die Qt-SESAM produktiv einsetzen, aber nicht alle Eingaben von Hand löschen. Gibt es eine Möglichkeit, von Null anzufangen?

Ja, löschen Sie einfach die Datei mit den Einstellungen (siehe vorangehende Frage).

Wenn Sie den Synchronisationsserver verwenden, müssen Sie außerdem den Datensatz des Users löschen, mit dessen Kennung Sie sich angemeldet haben. Das geht mit der SQLite3-Kommandozeilenanwendung. Befindet sich die Datenbank beispielsweise in der Datei /var/www/sqlite/ctSESAM-server.sqlite, tippen Sie Folgendes im Terminal ein:

sqlite3 /var/www/sqlite/ctSESAM-server.sqlite

In SQLite3 führen Sie folgenden SQL-Befehl aus:

DELETE FROM domains WHERE userid = "id";

id ist durch die tatsächliche Kennung zu ersetzen, die Sie in Qt-SESAM unter "Extras/Optionen/Synchronisieren/Sync-Server/Benutzername" eingetragen haben.

Ich habe Qt-SESAM über den Prozessmanager beendet. Nun behauptet die Software beim nächsten Start, dass bereits eine Instanz davon laufe. Was kann ich tun?

Starten Sie Qt-SESAM einfach mit dem Parameter --force-start.

Alternativ können Sie die Lock-Datei "qt-sesam.lck" von Hand löschen. Unter Linux befindet sie sich im Verzeichnis /tmp, unter Windows in %USERPROFILE%\AppData\Local\Temp

Hilfe! Nach Eingabe des Masterpassworts kommt die Meldung, dass es nicht richtig sei ("Beim Entschlüsseln ist ein Fehler aufgetreten ..."). Ich bin mir aber 100%ig sicher, dass ich das korrekte Passwort eingegeben habe. Wie komme ich jetzt an meine generierten Passwörter?

In sehr seltenen Fällen, die das Entwickler-Team noch nicht reproduzieren konnte, kann es passieren, dass Qt-SESAM ungültige Daten in die Datei QtSESAM.ini mit den Einstellungen schreibt. Unter Windows finden Sie diese Datei im Verzeichnis %APPDATA%/ct (einfach %APPDATA%/ct im Explorer eintippen), unter Linux und Mac OS X im Verzeichnis ~/.config/ct.

Qt-SESAM legt bei jedem Speichern der Einstellungen eine Backup-Datei von QtSESAM.ini an, sofern Sie dieses Feature nicht unter "Extras/Optionen/Diverse/Backup der Einstellungen" deaktiviert haben. Diese Backup-Dateien befinden sich unter Windows in %USERPROFILE%\AppData\Local\ct\QtSESAM, unter Linux in ~/.local/share/ct/QtSESAM und unter Mac OS X in ~/Library/Application Support/ct/QtSESAM.

Typischerweise schrumpft die Größe der Backup-Dateien auf wenige Dutzend oder hundert Bytes, falls beim Speichern der Einstellungen etwas schiefgegangen ist. Größere Dateien enthalten typischerweise gültige Daten. Kopieren Sie die jüngste Backup-Datei mit vermeintlich gültigen Daten einfach nach %APPDATA%/ct (Windows) oder ~/.config/ct (Linux, OS X) und benennen Sie sie in QtSESAM.ini um. Sie müssen Qt-SESAM zuvor beenden.

Nach dem Kopieren sollte Qt-SESAM das Masterpasswort wieder akzeptieren.

Für den Fall, dass ich sterbe, sollen die Hinterbliebenen Zugriff auf die Dienste bekommen können, für die ich mit Qt-SESAM die Zugangsdaten verwalte. Gibt es eine Möglichkeit, sämtliche Passwörter im Klartext zu exportieren, sodass ich einen Ausdruck davon zum Beispiel im Bankschließfach oder Tresor deponieren kann?

Ja, dafür gibt es den Menüpunkte "Extras/Aktionen für Experten/Exportieren/Alle Logins im Klartext". Damit landen alle generierten und klassischen Passwörter nebst Informationen über die Domain und den Nutzernamen in einer Textdatei. Sie können diese Datei mit einem beliebigen Editor oder einer Textverarbeitung öffnen und von dort aus ausdrucken.

Aber Vorsicht: Bewahren Sie den Ausdruck wirklich sicher auf. Nach dem Ausdruck sollten Sie die Datei mit den exportierten Logins sicher löschen, zum Beispiel mit WipeFile.