Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Und du meinst dass ein böser Hacker nicht auf die Idee kommt aus "Masterpasswort_Amazon" "Masterpasswort_Steam" oder "Masterpasswort_Paypal" zu machen und so Stück für Stück deine Konten übernimmt?
Deswegen nutze ich mehr als ein Masterpasswort. Zudem muss man ja oft Sonderzeichen+GroßKlein nutzen. Dies kann ich in meinen Passwörtern auch noch variieren. Und die Endungen sind natürlich etwas komplizierter als _amazon
Jetzt bin ich am überlegen es umgedreht zu machen - Datenbank, die ja eh verschlüsselt ist, aufs Onedrive und Keyfile auf die SD Karte... mal sehen ob das funktioniert.
Das ist Best Practise und mache ich auch so seit Jahren.
Homoioteleuton schrieb:
Deswegen nutze ich mehr als ein Masterpasswort. Zudem muss man ja oft Sonderzeichen+GroßKlein nutzen. Dies kann ich in meinen Passwörtern auch noch variieren. Und die Endungen sind natürlich etwas komplizierter als _amazon
Falls nicht kann immerhin bald ein bisschen EU-Geld fließen. Will heißen:
Keepass gehört zum sogenannten EU-FOSSA-Projekt. Mit einem einzigen Bug, kannst du bis zu 25.000 Euro bekommen (höchster wert aller aktuellen Projekte), insgesamt werden 71.000 Euro für das finden von Bugs in Keepass ausgelobt.
Netter Anreiz würde ich sagen, um eventuelle Fehler im Programm an sich zu finden.
Alles auf Papier. Die nicht ganz so selten benötigten PW habe ich im Kopf.
Ein Äquivalent dieser Sicherheit, abgesehen von physischem Diebstahl, mit einem Programm/PW-Manager zu erreichen ist schon gewaltiger Aufwand der bei meiner Anwendung in keinem Verhältnis zum Nutzen stehen würde.
Der-Orden-Xar schrieb:
Mit einem einzigen Bug, kannst du bis zu 25.000 Euro bekommen (höchster wert aller aktuellen Projekte), insgesamt werden 71.000 Euro für das finden von Bugs in Keepass ausgelobt.
Netter Anreiz würde ich sagen, um eventuelle Fehler im Programm an sich zu finden.
Die meisten im Kopf, alle einzigartig, aber mit System. Nach und nach wechsle ich aber immer mehr zu KeePassXC - mit Masterpasswort und Key. Und wegen deinen Nachfragen: KeePass ist eines der sichersten Lösungen (offline gesichert, Open-Source-Software, finanzielle Unterstützung durch die EU usw.).
Ich nutze seit Jahren KeePass. Die DB liegt im Google Drive.
Ich kenne nur ein einziges, komplexes Passwort, welches für die DB ist. Alle weiteren Passwörter sind generiert.
Auf dem PC easy nutzbar, unter iOS mit ein paar weiteren Schritten auch.
Unter iOS benötige ich den DB Zugriff ohnehin selten.
Jetzt bin ich am überlegen es umgedreht zu machen - Datenbank, die ja eh verschlüsselt ist, aufs Onedrive und Keyfile auf die SD Karte... mal sehen ob das funktioniert.
Ja natürlich macht man das anders herum!
Eine Schlüsseldatei gehört auf die Endgeräte und auf die Endgeräte only!
Man kann die Datenbank auch noch mal in einem verschlüsselten Container in die Cloud packen.
relativ leichtes Kennwort + Keyfile - dazu Keepass (KeepassXC) und Keepass2android.
Passwortmanager sind aber nicht Ziel einer Phishing Attacke, die Mühe sowas zu knacken macht sich keiner.
Opfer wird man, wenn man überall das selbe Passwort nutzt (oder glaubt die eigene Passwort Merk-Technik wäre so genial, dass ein PC da nicht hinter kommen kann) und ein Dienst Mist baut und die Daten geleaked werden oder man wird Opfer von Social engineering/Phishing (Zugang zur Mail und damit die Möglichkeit viele Kennwörter zu ändern und Konten zu übernehmen).
Alles auf Papier. Die nicht ganz so selten benötigten PW habe ich im Kopf.
Ein Äquivalent dieser Sicherheit, abgesehen von physischem Diebstahl, mit einem Programm/PW-Manager zu erreichen ist schon gewaltiger Aufwand
Was? Weißt du wie Passwort-Manager funktionieren? Warum sollte es einfach sein diese auf Papier zu dokumentieren statt in einem Programm? Wie fügst du denn deine Passwörter ein, die auf deinem Papier stehen? Tippst du das dann jedes Mal ab...?
Abgesehen von Diebstahl oder Brand. Oder Neffe der den neuen Papierschredder ausprobieren will. Oder Frau hat den Schreibtisch spontan umgeräumt.
Also abgesehen von Diebstahl und der Tatsache, dass man kein Backup hat.
Finde ich jetzt gar nicht. Wobei ich KeePass2Android nicht fürs Autofill nutze sondern nur um Passwörter nachschauen zu können.
Mal eine Frage an die Keepass nutzer. Weiss jemand wo Keepass die eingerichteten Trigger speichert? Würde Keepass gerne auf einem zweiten Rechner haben und wäre genial wenn man da einfach den Ordner von A nach B kopieren könnte. Natürlich nachdem auf B zuerst Keepass installiert wurde.
Oder sind die mit in der Datenbank, dann wäre es ja easy
Ja. Weißt Du es?
Hatte vor einiger Zeit in Teilen schon das Konzept für einen einigermaßen sicheren programmiert, der kam meinem gewünschten Level recht nahe aber das letzte Stück zum produktiven Einsatz zu erreichen ist enormer Aufwand der das Papier viel bequemer erscheinen lässt.
War gedacht als ein per USB angeschlossenen uC der nach Eingabe eines Master-Passworts auf ihm plus Einlegen einer SD Karte mit Key seine PW-Datenbank entschlüsselt und dann das gewünschte PW als USB Tastatur am PC "eingibt".
Weitere Gegenfragen, weißt Du was unterhalb Deines OS so läuft bzw. was eben jenes überhaupt an sich so treibt? Wie groß der Schritt von funktionellem zu verifiziert sicherem Code ist? Wie vielen Audits hast Du denn deinen PW Manager unterzogen?
gaym0r schrieb:
Wie fügst du denn deine Passwörter ein, die auf deinem Papier stehen? Tippst du das dann jedes Mal ab...?
Die oft genutzten weiß ich auswendig, die selten verwendeten werden eben abgetippt. Dauert z.B. bei einem PW aus 32 völlig zufälligen Zeichen um die 5-10 Sekunden und tritt pro Woche keine fünf mal ein.
gaym0r schrieb:
Warum sollte es einfach sein diese auf Papier zu dokumentieren statt in einem Programm?
Sie einfach nur zu dokumentieren ist in einem Programm schon einfacher, das wirklich sicher zu tun dagegen nicht und genau darum geht es mir bei einem PW Manager.
BeBur schrieb:
Also abgesehen von Diebstahl und der Tatsache, dass man kein Backup hat.
Wenn man es nicht schafft einen Zettel zwei mal zu schreiben oder zu kopieren ist das natürlich wahr. Ob in dem Fall die Wahl der PW Verwaltung wirklich das größte Problem ist sei dahingestellt.
Wer große Angst vor Diebstahl hat legt den Zettel halt in einen Safe. Bei wem diese Angst hinsichtlich Datendiebstahls tatsächlich berechtigt ist sollte auch seine HW dorthin verfrachten denn der Einbrecher könnte sie ja manipulieren.
Ja, was anderes bleibt einem ja nicht übrig, da das Autofill nur aktiv wird, wenn man den passenden EIntrag manuell öffnet - dann kann mans gleich lassen.
