News AutoSpill: Passwortmanager legen unter Android Zugangsdaten offen

PaulFaul schrieb:
So schlecht ist das System nicht. Du darfst nur nicht die Webseite im Klartext nennen, sondern nimmst immer z.B.den 2., letzten und 1. Buchstaben und dann noch die Anzahl der Buchstaben und bekommst dann: @bcDoec121234. Google wäre: @bcDoeg61234. Und das ist dann schon Recht sicher und universell anwendbar.
Ich hoffe da ist irgendwo Sarkasmus untergebracht. Die Komplexität ist so hoch, das kann doch nicht praktikabel sein!?
 
Damien White schrieb:
Denkt euch einfach ein Passwort aus das alle Anforderungen an ein sicheres Passwort erfüllt zum Beispiel:

@bcD1234

Und packt irgendwo dazwischen den Namen der Webseite oder des Dienstes. Also beispielsweise:

@bcDcomputerbase1234

Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.

Aua, die 80er haben angerufen und wollen ihr "sicheres" Passwortsystem zurück... 😩

Da reicht eine gehackte Userdatenbank aus und man hat Dein System und kann das Login + Passwort auf jeder beliebigen anderen Webseite durchspielen.

Sätze, garniert mit Sonderzeichen und Zahlen, finde ich immer noch am Besten und einfachsten zu merken. Aber dann bitte an der Stelle auch nicht wieder direkt mit den URL Namen arbeiten wie "DasIstMeinTollesComputerbasePasswort1!", "DasIstMeinTollesGooglePasswort1!", usw...
 
  • Gefällt mir
Reaktionen: frazzlerunning, Rehtsch, Reglohln und eine weitere Person
Interessant, wie einige kreativ werden bei der Passwort Erstellung. Bei all diesen Methoden muss man jedoch bedenken, dass bei potenziellen Brute Force angriffen unter Umständen gezielt nach derartigen Mustern gesucht wird.

Es ist schon beunruhigend, wenn eine solche Lücke bei einem derart großen Betriebssystem existiert. Obwohl sie erst jetzt publik gemacht wurde, gibt es sie wohl schon länger und keiner weiß genau, welcher Schabernack damit schon getrieben worden ist.
Ich versuche grundsätzlich zu vermeiden, Passwörter im Handy zu hinterlegen. Meistens eher unwichtige Sachen wie Payback. Ich verwende Keepass nur auf dem PC und habe das File in einer eigenen Cloud liegen. Für alle wichtigen Logins ist meistens eine Bestätigung per E-Mail bei einem neuen Login notwendig oder 2FA.
Ich nutze auf dem PC allerdings das Komfort Feature von Firefox, dass ich Passwörter im Browser speichere. Vielleicht sollte ich mir das für die Zukunft überlegen.

Eine 100 prozentige Sicherheit gibt es leider niemals. Aber man kann es potenziellen Eindringlingen schwer machen.
Letztich ist und bleibt das größte potenzielle Problem der Nutzer.
 
  • Gefällt mir
Reaktionen: notnitro
Simonsworld schrieb:
Ich verwende Keepass nur auf dem PC .....
Ich nutze auf dem PC allerdings das Komfort Feature von Firefox, dass ich Passwörter im Browser speichere. Vielleicht sollte ich mir das für die Zukunft überlegen.
Wieso?
KeepassXC hat doch ganz brauchbaren Browser Addons mit AutoInput.

BTW an alle die tollen sätzenutzer.
Was macht ihr wenn die Webseit Sagt "Das Passwort muss zwischen 8 und 20 Zeichen lang sein!"?
Rege mich jedes mal drüber auf wenn mein 32 Zeichen Random Passwort nicht akzeptiert wurde.


Aber ja BTT.
Sind eigentlich Eingaben eines Passworts in der App sicher?
Wenn die App mir einfach nur *** Anzeigt aber im hintergrund das Passwort speichert merkt Google bei ihren App Prüfungen sowas?


Wird Zeit das sich Passkeys endlich weiter durchsetzen.
Bin schon gespannt wann dort die erste kritische Sicherheitslücke auftaucht.
 
bAssI23 schrieb:
Zum Thema ob es unter iOS auch möglich sein könnte.
Unter iOS und bei Verwendung von Bitwarden kann ich mir das nicht vorstellen. Hab Bitwarden unter iOS noch nicht dazu überreden können, irgendwas automatisch/ohne mein Zutun auszufüllen. Dh ich muss immer erst auf das Feld für die Zugangsdaten klicken, dann Bitwarden oder Schlüsselbund auswählen und per FaceID dazu auffordern Daten einzutragen.

Aber auf Desktops ist das Thema ja auch nicht neu. Hab mir dort abgewöhnt, es automatisch füllen zu lassen.

Das Problem ist aber ja, dass die Daten eventuell in falsche Felder eingetragen werden und somit abgreifbar sind.
Da geht es nicht darum, dass das ohne dein Zutun passiert, sondern dass die Daten automatisch (egal ob du das Ausfüllen erst per FaceID oder ähnliches freigeben musst) in die Felder "Benutzer" und "Passwort" eingetragen werden.

Wer also die Daten aus der Passwortapp nicht händisch kopiert und manuell in die jeweiligen Felder einträgt, läuft Gefahr, dass die Daten abgegriffen werden, weil sie dann versehentlich in ein Klartextfeld (was man bei Ausnutzen der Lücke einfach auf der Webseite anlegt) eingetragen werden und dann eben auch unverschlüsselt übermittelt werden.
 
  • Gefällt mir
Reaktionen: wrglsgrft und Conqi
Damien White schrieb:
@bcD1234

Und packt irgendwo dazwischen den Namen der Webseite oder des Dienstes. Also beispielsweise:

@bcDcomputerbase1234

Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.
Und nun melde ich mich auf einer Seite an, die kein @ akzeptiert. Und eine, die maximal 16 Zeichen zulässt. Und eine ändert ihren Namen wie Twitter zu X. Und für die andere habe ich zwei Accounts. Das kann man nahezu beliebig weiterführen.

Selbst abseits von den absolut legitimen Sicherheitsbedenken ist dieses System kaum durchzuhalten. Ein Passwortmanager ist einfach absolut sinnvoll in der heutigen Zeit selbst mit Schwachstellen wie dieser. Auch für PINs, Steuernummer, Bankvebrindungen etc.
 
  • Gefällt mir
Reaktionen: Haldi, M@tze und calippo
Conqi schrieb:
Selbst abseits von den absolut legitimen Sicherheitsbedenken ist dieses System kaum durchzuhalten.
Für mich wäre das unmöglich. Alleine schon, um Überblick über meine Accounts zu halten wäre das unmöglich, meine PW Datenbank hat über 200 Einträge und ich deaktiviere von Zeit zu Zeit auch Accounts und lösche die Einträge.
Ich nutze auch unterschiedliche E-Mail Adressen für Accounts, getrennt nach normal/wichtig/sehr wichtig.
Noch besser wäre, eine individuelle E-Mail für jeden Account zu vergeben, geht ja bei manchen Anbietern.

Entweder man nutzt wirklich nur eine Handvoll Dienste, die man sich merken kann (1xE-Mail, 1xAmazon, 1xSteam, 1xComputerbase, 1xKatzenforum") oder man verliert irgendwann den Überblick und wird nachlässig oder man ist ein Kandidat für World of Records Buch.
Alle anderen brauchen einen Passwort Manager, entweder als Notizbuch oder deutlich komfortabler als Programm/App.
 
  • Gefällt mir
Reaktionen: Hellyeah
Auch nicht schlecht wäre, wenn global FIDO2 und Hardwaredongel, bei Anmeldung unterstützt würden.
 
Haldi schrieb:
Wieso?
KeepassXC hat doch ganz brauchbaren Browser Addons mit AutoInput.

Ich habe das klassische Keypass schon seit über 10 Jahren und bin bisher immer gut damit gefahren. Bisher habe ich noch nicht über einen Wechsel nachgedacht.
 
Hat echt noch niemand hier den absolut super Namen Autospill gelobt?
Also ich zumindest finde den Wortwitz von Autofill → Autospill, also automatisch ausfüllen → automatisch verschütten, super.
 
  • Gefällt mir
Reaktionen: KillX, Knatschsack, Hellyeah und 2 andere
Damien White schrieb:
@bcDcomputerbase1234

Und schwupp hat man ein für jeden Login einzigartiges Passwort, dass man sich ohne Probleme merken kann und mehr als ausreichend Zeichen besitzt um quasi unknackbar zu sein.

Und das alles ohne Passwortmanager oder Speichern von Passwörtern im Browser.
Und wenn das Passwort von CB irgendwo geleaked wird und ein Hacker das sieht, dann kennt er alle deine Passwörter. Super.
Wenn dir einmal jemand zuschaut beim Tippen oder du versehentlich das Kennwort sichtbar machst, kennen anwesende Personen alle deine Passwörter.
Super Idee.

Wir kann so ein schmu auch noch 5 Likes bekommen?

Zugegeben, bei CB ist das Passwort vermutlich anständig gesichert, aber es gibt viele Shops o.ä. wo das eben nicht so ist. Und durch das einheitliche Passwortschema bist du gegen brute force robots geschützt, die Zugangsdaten aus leaks automatisch durchtesten, aber sobald ein Mensch das Passwort sieht ist die kacke am dampfen.

Vermutlich ist dein Posteo Email Account Passwort dann @bcDposteo1234, dann kann man auch gleich alle deine Konten resetten.

Also nein, dieses System ich keine gute Wahl mehr. Ich hatte das früher selbst benutzt, allerdings ohne Vokale, damit es nicht ganz so auffällig ist.

@bcDcmptrbs1234
statt
@bcDcomputerbase1234
 
Zuletzt bearbeitet:
Haldi schrieb:
Wird Zeit das sich Passkeys endlich weiter durchsetzen.
Bin schon gespannt wann dort die erste kritische Sicherheitslücke auftaucht.
Bisher dank Implementierung durch Apple und Google schon per Design eine Sicherheitslücke. Auf der einen Seite eine Starke Methode die dann wieder durch Komfort aufgeweicht wird.
 
Zum Glück bei Keepass ist das nicht möglich, der funktioniert anders.
 
Am Ende zählt hauptsächlich die Anzahl an Zeichen, die möglichst hoch sein sollte.

Es braucht nur möglichst lange Sätze und innerhalb von einigen Wörtern ein par wenige, unlogische Sonderzeichen. Schon ist das PW nahezu Bruteforce sicher. Das kann man auch überall so anwenden, weils quasi ein System ohne System ist.
Am besten man verwendet auch so komische, typisch deutsche, unlogische Wörter wie "Doppelhaushälfte", die es selbst in der Schweiz oder Österreich nicht gibt (da ist sogar schon ein sehr spezielles Sonderzeichen enthalten, allerdings wiederum Wörterbuchkonform). Also Regionalspezifisch. Das machts Bruteforceattacken auch schon extrem schwer, weil die meist erstmal hauptsächlich nach englischem Vokabular arbeiten und erst später regionsspezifisch werden. Halt mit dem beginnen, was am warscheinlichsten ist. Aber wie gesagt, bereits ein Sonderzeichen innerhalb eines Wortes, macht den gesamten Satz bzw. Passwort absolut unberechenbar, was das Erraten betrifft.

So schwer ist das nicht. Viele denken nur viel zu kompliziert.

Sätze kann man milliarden bilden, kurze, lange. Wenn dann noch Wörter aus verschiedenen Sprachen gemischt werden oder gar irgendwo ein Sonderzeichen oder zwei oder gar 3 reingemischt werden, ist das Passwort so extrem unberechenbar, wie wenn es komplett kryptisch wäre. Einfach zu merken, für Bruteforce nahezu nicht zu knacken. Auch nicht mit AI und auch nicht, wenn bereits ähnliche Passwörter bekannt sind (sofern für alles ein eigener Satz gebildet wird).

Cryptowallets werden auch meist nur mit aneinander gereiten Wörtern gesichert. Und das ist bereits wesentlich sicherer als der Quatsch, den Banken lange Jahre mit ihren dämlichen, extrem kurzen Pins gemacht haben, bevor dann die Offline Tan-Geräte kamen, die immmernoch am sichersten sind.

Passwörter werden so häufig geknackt, weil die Menschen auch heute noch zu 90% Phrasen wie 1234 oder "ficken" (auf Platz 3 in Deutschland!) verwenden. Das hörte ich zumindest aus einer Cyber-Securityschulung 2022.
 
Zuletzt bearbeitet:
Haldi schrieb:
Wird Zeit das sich Passkeys endlich weiter durchsetzen.
Bin schon gespannt wann dort die erste kritische Sicherheitslücke auftaucht.

Ein Passwort in der Cloud von Unternehmen wie Google, welche durch Daten Geld verdienen und nachweislich Passwörter ausgelesen bzw. gesammelt haben?
Und das Ganze an ein (teures) Gerät gebunden?

Ich bleibe lieber bei Passwörtern in meinem Kopf, solange es kein Gerät zum Auslesen von Gedanken gibt.

Passkeys sind noch unsicherer als Biometrie.
 
Zurück
Oben