Passwörter und Zugangsdaten im Googlekonto speichern: Sicherheitsrisiko ?
- Ersteller Ralfii
- Erstellt am
|Moppel|
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.612
Aber zuerst muss dein System ja korrumpiert sein.
Logisch ist dann alles was darauf läuft nicht mehr sicher.
Hat nichts mit KeePass zu tun.
Wenn du nur meinen USB-Stick mit Datenbank und KeePass portable findest kannst du damit nichts anfangen.
Logisch ist dann alles was darauf läuft nicht mehr sicher.
Hat nichts mit KeePass zu tun.
Wenn du nur meinen USB-Stick mit Datenbank und KeePass portable findest kannst du damit nichts anfangen.
|Moppel|
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.612
Ich glaube du hast den Artikel missverstanden.
Es reicht nicht wenn du meinen USB Stick findest und die korrumpierte Datei drauf ziehst.
Es wird logischerweise immer noch das Passwort benötigt.
Die Verschlüsselung der Datenbank lässt sich nicht umgehen.
D.h. es müsste so laufen:
Du findest meinen Stick -> spielst die korrumpierte Datei auf -> gibts ihn mir wieder -> ich entsperre -> es werden die Passwörter im Klartext angelegt -> du klaust mir meinen Stick wieder.
Logischerweise muss ein Stick neu gemacht werden nachdem man ihn verloren hat und jeder Dödel damit was auch immer angestellt hat.
Es reicht nicht wenn du meinen USB Stick findest und die korrumpierte Datei drauf ziehst.
Es wird logischerweise immer noch das Passwort benötigt.
Die Verschlüsselung der Datenbank lässt sich nicht umgehen.
D.h. es müsste so laufen:
Du findest meinen Stick -> spielst die korrumpierte Datei auf -> gibts ihn mir wieder -> ich entsperre -> es werden die Passwörter im Klartext angelegt -> du klaust mir meinen Stick wieder.
Logischerweise muss ein Stick neu gemacht werden nachdem man ihn verloren hat und jeder Dödel damit was auch immer angestellt hat.
Ich hab ja damals als komplett Unwissender den Thread gestartet und kann dir kurz schildern was ich jetzt seit einigen Monate mache:
ich fahr mehrgleisig:
Sprich, für Seiten, wo ich außer meinen Account nichts verlieren kann (sprich keine finanz. Angaben oder sonst. wichtige geheime Daten), benutze ich die jeweiligen inbuilt Passwort Manager von Chrome, Firefox, Safari und co.
Es macht keinen Spaß, das 20-stellige Masterpassword und dann auf Windows auch noch die PC-Passwort-Abfrage mehrmals stündlich einzutippen, für Seiten, die jetzt nicht wirklich groß schädigend wären, wenn man sie verliert.
Aber alle andere Seiten insepzifisch, Email Accounts, Bank Accounts, etc. wird und ist mit einer Software von Keepass generiert und dort gespeichert.
Auf Windows benutz ich KeepassXC aber bin eig nur mehr kaum auf WIndows, und auf den anderen OS heißt es ähnlich, bei MacOS/iOS heißt es zB Strongbox.
Das funktioniert soweit gut, gibt ab und zu synchronisierungsprobleme. Bei mir ist die Datenbank auf Google Drive, bin aber nach wie vor im Unklaren, ob die so ganz allein hochgeladen irgendwie gefährdet ist. Sie ist ja nur mit dem Master-PW entschlüsselbar und ist somit mit dieser Codierung stark verschlüsselt.
Es gibt noch extra Schutz mit so keyFiles, die auch zusätzlich lokal auf dem jeweiligen Gerät verfügbar sein müssen oder sogar externe Hardware-Tools, die dann zusammen mit dem Master-PW funktionieren, aber das scheint mir overkill und eher zeitraubend als nützlich zu sein.
Zumindest für die "normalen" Accounts.
ich fahr mehrgleisig:
Sprich, für Seiten, wo ich außer meinen Account nichts verlieren kann (sprich keine finanz. Angaben oder sonst. wichtige geheime Daten), benutze ich die jeweiligen inbuilt Passwort Manager von Chrome, Firefox, Safari und co.
Es macht keinen Spaß, das 20-stellige Masterpassword und dann auf Windows auch noch die PC-Passwort-Abfrage mehrmals stündlich einzutippen, für Seiten, die jetzt nicht wirklich groß schädigend wären, wenn man sie verliert.
Aber alle andere Seiten insepzifisch, Email Accounts, Bank Accounts, etc. wird und ist mit einer Software von Keepass generiert und dort gespeichert.
Auf Windows benutz ich KeepassXC aber bin eig nur mehr kaum auf WIndows, und auf den anderen OS heißt es ähnlich, bei MacOS/iOS heißt es zB Strongbox.
Das funktioniert soweit gut, gibt ab und zu synchronisierungsprobleme. Bei mir ist die Datenbank auf Google Drive, bin aber nach wie vor im Unklaren, ob die so ganz allein hochgeladen irgendwie gefährdet ist. Sie ist ja nur mit dem Master-PW entschlüsselbar und ist somit mit dieser Codierung stark verschlüsselt.
Es gibt noch extra Schutz mit so keyFiles, die auch zusätzlich lokal auf dem jeweiligen Gerät verfügbar sein müssen oder sogar externe Hardware-Tools, die dann zusammen mit dem Master-PW funktionieren, aber das scheint mir overkill und eher zeitraubend als nützlich zu sein.
Zumindest für die "normalen" Accounts.
|Moppel|
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.612
phl92 schrieb:
Nein, denn wie du sagst:
phl92 schrieb:
Ist natürlich ein Paradebeispiel dafür, wie man eine Datenbank in der Cloud sicherer machen kann.phl92 schrieb:
Wenn man folgende Fragen mit "Ja" beantworten kann, sollte ein starkes Passwort für die Datenbank ausreichend sein:
- nur ich kenne das Passwort bzw. es liegt an einem geschützen Ort (Safe, Bankschließfach)
- ich gehöre nicht folgenden Gruppen an:
- TerroristInnen
- JournalistInnen mit Tätigkeiten im Bereich organisierte Kriminalität, totalitäre Regime / korrupte Staaten
- Personen mit Wissen und/oder Zugriff zu potentiell Staatsgefährdenden Informationen (WissenschaftlerInnen mit entsprechender Tätigkeit / Militär)
- hochrangige PolitikerInnen
Gut, dass der Thread gerade aufgefrischt wurde, weil eig gibts jetzt bei mir, seitdem ich Linux als Haupt OS am Desktop benutze (Mint), ein kleines Problem mit der Synchronisierung.
Auf Win 11 habe ich meinen Drive cloud Speicher als virtuelles Laufwerk im Explorer angehängt, und meine keepass Datei wird beim Speichern direkt auf Google aktualisiert.
Bei Linux ist das nicht der Fall. Geht das hinzufügen von Google Drive Laufwerken überhaupt? Wobei ich das vlt gar nicht will, weil da Google sicher wieder 1000 Zugriffe auf alles mögliche will.
Demnach bleibt nur das manuelle hinaufladen der Datei in die Cloud?
Auf Win 11 habe ich meinen Drive cloud Speicher als virtuelles Laufwerk im Explorer angehängt, und meine keepass Datei wird beim Speichern direkt auf Google aktualisiert.
Bei Linux ist das nicht der Fall. Geht das hinzufügen von Google Drive Laufwerken überhaupt? Wobei ich das vlt gar nicht will, weil da Google sicher wieder 1000 Zugriffe auf alles mögliche will.
Demnach bleibt nur das manuelle hinaufladen der Datei in die Cloud?
Oli_P
Commodore
- Registriert
- Mai 2006
- Beiträge
- 4.858
Man kann alles irgendwie automatisieren. Schön, wenn Programme da gewisse Freiheiten gebenphl92 schrieb:
Mach mir da deutlich mehr Mühe, da ich partout meine Zugangsdaten nicht in der Cloud haben will. Aber ja, ist dann umständlicher immer alles synchron zu halten. Nur so erspar ich mir dann auch Probleme, weil irgend ein Online-Passwort-Dienst gehackt wurde. Und hinterher wird dann gesagt, dass glücklicherweise "nur" Zugriff auf weniger sensible Daten erlangt wurde. Alles halb so schlimm... Kein Cloud-Dienst (zumindest für solche Dinge), weniger Sorgen. Passwörter haben nix in der Cloud verloren Für mich aber ein kleiner Widerspruch.
1. Hacks bei großen Cloud Services passieren wohl deutlich weniger oft, als dass du versehentlich vergisst etwas manuell zu synchronisieren (will nicht pauschalisieren, wenn ich du schreibe meine ich natürlich mich selber
).
Wär für mich aber blöd, wenn ich irgendwo am Flughafen stehe und dann kurz vor Checkin mit dem handy nicht ins Portal komme, weil ich das PW zuhause mit Keepass erstellt habe und dann das File nicht aktualsiert habe.
2. und das ist für mich der eigentliche Widerspruch für mich hierbei. Wenn du sozusagen der eigentlichen Verschlüsselung an sich nicht vertraust, weil das tust du ja nicht, wenn du sagst eine verschlüsselte Datei hat auf Clouds nicht zu suchen, dann kannst du ja das ganze Passwort Management ja generell nicht vertrauen. Basiert ja alles darauf.
1. Hacks bei großen Cloud Services passieren wohl deutlich weniger oft, als dass du versehentlich vergisst etwas manuell zu synchronisieren (will nicht pauschalisieren, wenn ich du schreibe meine ich natürlich mich selber
).Wär für mich aber blöd, wenn ich irgendwo am Flughafen stehe und dann kurz vor Checkin mit dem handy nicht ins Portal komme, weil ich das PW zuhause mit Keepass erstellt habe und dann das File nicht aktualsiert habe.
2. und das ist für mich der eigentliche Widerspruch für mich hierbei. Wenn du sozusagen der eigentlichen Verschlüsselung an sich nicht vertraust, weil das tust du ja nicht, wenn du sagst eine verschlüsselte Datei hat auf Clouds nicht zu suchen, dann kannst du ja das ganze Passwort Management ja generell nicht vertrauen. Basiert ja alles darauf.
PC295
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.542
Das hat nichts mit veralteten Halbwissen zu tun, sondern mit der Tatsache, dass auch Passwort-Manager immerwieder Sicherheitslücken haben und haben können!
Und hier geht es nicht um mehr oder weniger irrelevante Daten, sondern um Zugangsdaten, mit denen viel Schaden angerichtet werden kann.
Und hier geht es nicht um mehr oder weniger irrelevante Daten, sondern um Zugangsdaten, mit denen viel Schaden angerichtet werden kann.
Ich habe jetzt Keepas und Bitwarden etwas getestet und möchte aber final doch den Chrome PW Manager verwenden, einfach weil die Nutzung und Synchronisation zw. allen Geräten so super einfach sind. Sichere Passwörter abseits von Browsern gibt's zumindest bei mir nicht.
Bei den beiden anderen Lösungen hatte ich immer wieder Probleme, vor allem auf Android.
Zum Thema Sicherheit habe ich folgende Überlegungen:
Das Google selbst gehackt wird oder gar die Daten missbraucht, halte ich für unwahrscheinlicher wie dass das die anderen Anbieter machen.
Um an die PWs von Google zu kommen benötigt man entweder Google Mail/PW sowie 2FA, was sehr schwer zu bekommen sein dürfte. Wenn es möglich ist, würde man genauso an Bitwarden oä kommen.
Oder Zugang zu meinem lokalen Gerät. Wenn man aber Bitlocker/Filevault verwendet, sollte die Umgehung des OS PWs ebenfalls nahezu unmöglich sein? Auch hier wieder: Wenn das mit komplett verseuchtem PC möglich wäre, sollte man auch an die anderen Tresore durch Keylogger/Fernsteuerung etc. kommen.
Gibt es hier noch Sicherheitsbedenken bzw. Lücken, die ich übersehe?
Bei den beiden anderen Lösungen hatte ich immer wieder Probleme, vor allem auf Android.
Zum Thema Sicherheit habe ich folgende Überlegungen:
Das Google selbst gehackt wird oder gar die Daten missbraucht, halte ich für unwahrscheinlicher wie dass das die anderen Anbieter machen.
Um an die PWs von Google zu kommen benötigt man entweder Google Mail/PW sowie 2FA, was sehr schwer zu bekommen sein dürfte. Wenn es möglich ist, würde man genauso an Bitwarden oä kommen.
Oder Zugang zu meinem lokalen Gerät. Wenn man aber Bitlocker/Filevault verwendet, sollte die Umgehung des OS PWs ebenfalls nahezu unmöglich sein? Auch hier wieder: Wenn das mit komplett verseuchtem PC möglich wäre, sollte man auch an die anderen Tresore durch Keylogger/Fernsteuerung etc. kommen.
Gibt es hier noch Sicherheitsbedenken bzw. Lücken, die ich übersehe?
GutGilliganHyde
Banned
- Registriert
- März 2022
- Beiträge
- 816
Eiegene Nextcloud, Keepass Datenbank über Nextcloud synchron, Passwort UND Schlüsseldatei verwenden.
Wenn dein Passwortmanager dich nervt oder behindert, machst du was falsch.
Durch keepass ist bei mir ALLES einfacher.
Addon im Browser füllt automatisch.
Dank Schlüsseldatei muss das Entsperrkennwort auch nicht so extrem aufwendig sein.
Dank Festplattenverschlüsselung ist das auch aufm Laptop kein Problem.
Datenbanksperrung bei logout/bildschirmsperre reicht dicke, besonders zu haus.
Mobil ist es sowieso entspannt, dank Fingerabdruck.
phl92 schrieb:
Wenn dein Passwortmanager dich nervt oder behindert, machst du was falsch.
Durch keepass ist bei mir ALLES einfacher.
Addon im Browser füllt automatisch.
Dank Schlüsseldatei muss das Entsperrkennwort auch nicht so extrem aufwendig sein.
Dank Festplattenverschlüsselung ist das auch aufm Laptop kein Problem.
Datenbanksperrung bei logout/bildschirmsperre reicht dicke, besonders zu haus.
Mobil ist es sowieso entspannt, dank Fingerabdruck.
crashbandicot
Captain
- Registriert
- Dez. 2013
- Beiträge
- 3.074
Und damit schaffst du schon das erste Loch in deiner Festung. Einfach ohne Browser Addon arbeiten, ist (noch) sicherer.GutGilliganHyde schrieb:
GutGilliganHyde
Banned
- Registriert
- März 2022
- Beiträge
- 816
nicht wenn man es richtig benutzt.
Ausfüllen erst durch Klick und so auch immer sicher, dass man nicht auf der falschen Seite oder über HTTP unterwegs ist, weil dann kommt kein Vorschlag.
Ausfüllen erst durch Klick und so auch immer sicher, dass man nicht auf der falschen Seite oder über HTTP unterwegs ist, weil dann kommt kein Vorschlag.
Interessant, also damit schaffst du wieder gesprächsstoff.
Ich glaub da könnten wir jetzt erstmal anfangen mit welchem Browser man Keepass Addons benutzen kann/soll und was man dann alles beachten sollte.
Mir wurde das zu heiß und zu undurchsichtig, zumal alle Browser ständig Update bekommen.
Glaub da geb ich lieber 2-3 / Tag mein langes Master PW ein, als dann doch wieder Gefahr zu laufen mir mit einem Addon alles zu versauen.
Ich glaub da könnten wir jetzt erstmal anfangen mit welchem Browser man Keepass Addons benutzen kann/soll und was man dann alles beachten sollte.
Mir wurde das zu heiß und zu undurchsichtig, zumal alle Browser ständig Update bekommen.
Glaub da geb ich lieber 2-3 / Tag mein langes Master PW ein, als dann doch wieder Gefahr zu laufen mir mit einem Addon alles zu versauen.
IchBins237
Cadet 2nd Year
- Registriert
- Nov. 2006
- Beiträge
- 28
tz1986 schrieb:
Ich nutz mittlerweile Keepass in ner Cloud. Für meine Frau bin ich aber noch sehr am überlegen, ob ich sie auch umstelle.
Wir haben vorher beide MS Edge/Authenticator benutzt (sie jetzt immer noch), das hat schon etwas Arbeit gekostet sie davon zu überzeugen und sich davon auch sichere Passwörter generieren zu lassen.
Ich vermute, mit Keepass würde die Akzeptanz sinken, was am Ende dazu führt, dass sie zu einfache und immer gleiche Passwörter benutzt. Da kann man diskutieren wie man will, aber PW Manager in Chrome und Edge sind einfach nochmal komfortabler als Lösungen wie Keepass und das ist gerade für technisch Uninteressierte ein riesen Pluspunkt.
Ich vermute die Passwortmanager in Chrome / Edge zu nutzen ist sicherer, als jeden tollen PW Manager zu installieren und dann nicht zu nutzen.
GutGilliganHyde
Banned
- Registriert
- März 2022
- Beiträge
- 816
Ich benutze keepassxc.phl92 schrieb:
Das Addon ist komplett neu geschrieben und basiert nicht auf den alten keepass Implementierungen.
KA was du da sonst noch beachten willst?
Das Addon reagiert nur auf Trigger, die man selbst anlegt.
Kommunikation ist verschlüsselt.
Addon funktioniert in jedem Browser.
Ich nutze hauptsächlich Vivaldi und Firefox.
Wenn du deinem Browser nicht vertraust, dann bringt auch der Verzicht auf das Addon nichts mehr...
