Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Ist das hier wirklich so schwer zu verstehen? Ich sehe hier keine "verschwurbelte Andeutung".
foo_1337 schrieb:
Wenn's schon nix kosten soll, nimmt man entweder Keepass mit 2fa enabled cloud-sync oder self-hosted bitwarden-rs mit duo oder authy (Bei letzterem sollte man jedoch wissen, was man tut).
Hier gibt es eine Excel-Datei, auf der alle Passwörter zu Diensten alleweil aktualisiert werden.
Der ganze Schmarrn mit Passwort-Managern (außer vll. Keepass) kann eingespart werden.
Du solltest deine Hausaufgaben nochmals machen. Es geht nicht um AES256 per se, sondern wie es implementiert ist. Einfach zu sagen "Es ist sicher, weil AES256" ist quatsch. Es kommt vor allem auf die jeweilige Implementierung an. Aber wir können das ganze mal elaborieren:
Wie funktioniert die ganze Chose denn normalerweise? Du vergibst ein Master Passwort für deine Passwort DB. Nun kommen wir schon zur ersten Challenge. Du brauchst alleine für AES128 eine Entropie von 20 zufälligen Zeichen. Alleine das merkt sich schon kein Mensch. Was wird also gemacht? PBKDF!
Password-Based Key Derivation Function -> Eine wundersame magie konvertiert das Master Passwort in einen langen, zufälligen String, der dann für die AES256 Verschlüsselung verwendet wird.
Super, oder? Aber wie geht das nun genau? PBKDF verwendet einen zufällig generierten Salt aus (hoffentlich) echter Entropie und berechnet zusammen mit dem eingegebenen Master Passwort diesen neuen key.
key = Hash(Master Passwort, Salt). Man sollte hier PBKDF2 nutzen. Manche nutzen auch bcrypt oder scrypt.
Alleine bei diesem Prozess kann man schon viel falsch machen. Ich kann gerne weiter machen, aber wenn kein Interesse besteht, spare ich es mir.
Das Problem bei solchen Excel-Listen ist halt, das wenn die Datei (durch Schadsoftware etc.) in falsche Hände gerät, hast Du ein Problem. Klar kann man die Exceldatei auch verschlüsseln. Das schützt Dich aber nicht vor Informationsleaks, also das zum Beispiel durch RAM-Auslagerung oder temporäre Dateien dann Deine Daten plötzlich doch im Klartext auf der Platte liegen.
Dazu kommt der mangelnde Komfort. Du musst händisch die Zugangsdaten raussuchen und eintragen. Was auch fehleranfällig sein kann (so das auch dann wieder Dein Passwort irgendwo landet, wo Du es eigentlich gar nicht haben wolltest).
Deine Excel-Tabelle ist also von der Sicherheit und dem Komfort nem Passwortmanager unterlegen.
Aber bei Excel hat es ja schon ne längere Tradition das es für Sachen verwendet wird, für die es eigentlich nicht geeignet ist. :-)
Das Kunststück ist ja Komfort mit Sicherheit zu verbinden. Die Excel-Variante ist für mich keine Option.
Ich beschäftige mich auch mittlerweile mit Keepass im professionellen Leben. Der Wahnsinn mit den verschiedenen Logins für verschiedene Dienste wird immer krasser und Leute legen sich Passwörter an, die nun gar nicht sicher sind. Einfach nur weil man sich zuviele merken muss. Und man soll Passwörter ja auch regelmäßig ändern... Da ist ein Passwort-Manager eigentlich eine gute Lösung, denn man kann fürs Team Passwörter anlegen, ändern und löschen. Also dass jeder immer die neuesten Daten hat. Ich bins für mich selber am testen im Moment. Habe 2 Datenbanken angelegt, die per Trigger automatisch beim Programmstart geladen werden. Eine Datenbank für gemeinsam genutzte Logins und eine Datenbank für persönliche Logins. Die Datenbank mit den gemeinsamen Logins liegt auf einem Netzlaufwerk und die Datenbank mit den persönlichen Logins liegt lokal auf meinem Rechner. Beide Datenbanken sich abgesichert durch Schlüsseldateien. Die öffentliche Datenbank braucht nur diese Schlüsseldatei, meine persönliche ist zusätzlich noch an meinem Windows-Konto gebunden und hier kenne nur ich das Passwort. Also Master-Passwort für Keepass ist komplett deaktiviert. Und im Trigger hab ich auch aktiviert, dass die Schlüsseldatei und/oder Windows-Benutzerkonto automatisch genutzt werden, wenn ich Keepass starte und der Trigger automatisch ausgeführt wird. Das funktionierte für mich selber schon ganz gut und ich nutze Autotype auf verschiedenen Seiten. Natürlich wird der Zwischenspeicher regelmäßig automatisch geleert. Aber bevor ich sowas am Kollegen gebe muss ich noch weiter testen und im Zweifelsfall professionellen Rat fragen. Denn ich bin kein IT-Sicherheitsspezialist Auf jeden Fall will ich Keepass auch im Autostart von Windows. Aber als einfacher User kann ich keine Autostarts einstellen.
Das braucht auch kein Mensch mehr. Auch wenn es immer noch viele so machen.
Mittlerweile gibt es DICE.
Du nutzt einen öffentlichen Pool von sagen wir 84.000 Wörtern. Von denen suchst Du Dir 5 bis 8 Stück aus. Fertig. Solange Quantencomputer nicht einsatzreif sind, wird dieses PW niemals geknackt werden.
Und wenn Du noch das Extra-Salz reinpacken willst, dann streust Du noch ein paar Zahlen oder gar ein Wort aus einer anderen Sprache rein, dass nicht im Katalog steht.
Aber egal wie, die Entropie ist enorm.
Das stimmt. Ich gebe auch gerne mal ein Beispiel. Unser Professor kam auf die tolle Idee, seine Vorlesungsunterlagen als PDF zu verschlüsseln (was ich an sich schon besch*** finde, weil man diese für die Vor- und Nachbearbeitung braucht...). Das Passwort erhielt nur, wer in der Vorlesung anwesend war. Ich war ein paar mal nicht anwesend und hatte das Passwort natürlich nicht. Also habe ich versucht, diese PDFs, die mit "AES algorithm with Cipher Block Chaining encryption mode" verschlüsselt waren, zu entschlüsseln bzw. zu cracken. Ihr könnt euch denken, was dabei herauskam => Es gelang mir nicht! Und das, obwohl das Passwort, wie ich später erfuhr, nur ca. 10 Zeichen hatte und aus zwei zusammengesetzten Wörtern bestand.
Was ich damit sagen möchte, Passwörter (nicht gerade solche wie hallo5, etc.) sind oft sicherer als man denkt, wenn sie nicht zu einfach gewählt werden - und wenn sie mit sicheren und sicher implementierten Verfahren (hashing, salting, encryption...) hinterlegt werden.
Du hättest dir halt 4 Monate Zeit nehmen müssen
Das Hauptproblem bei Passwörtern sind logins. Und selbst wenn du ein gutes PW wählst, hast du halt das Problem, dass du nicht weißt, was die Gegenstelle damit so veranstaltet. Daher mitigiert man das etwas, wenn man für jeden Service ein anderes PW nutzt (PW Manager) und zum anderen über einen zweiten Faktor.
Bei dem PDF hilft schon ein gutes Passwort. 10 Zeichen sind zu wenig. Denn je nach Content nimmt man sich halt auch 4 Monate Zeit um das Ding zu bruteforcen. 11 Zeichen wären schon 10 Jahre.
Das praktische an Passwortmanagern ist halt, das ich weil ich mir das Passwort nicht mehr merken muss gar keine Gedanken drum machen muss, wie lang es ist und ob 10 oder 11 Zeichen ausreichen.
Ich nehm' halt pauschal irgendwie was mit über 20 Zeichen und gut ist.
Auch die Geschichte mit diesen leicht zu merkenden Passwörtern hilft mir nur begrenzt weiter. Das klappt gibt bei wenigen Passwörtern. Aber wenn man mehr Passwörter hat wird es schon schwieriger. Vor allem dann auch immer zu wissen welches Passwort jetzt für welchen Dienst da ist. Klar kann man sich da auch wieder Eselsbrücken bauen. Aber allein an solchen Überlegungen sieht man ja schon, das das auch keine wirklich gute Lösung ist.
Klar haben auch Passwortmanager ihre Tücken. Schon allein die Tatsache das wertvolle Daten alle gebündet in einer Datei liegen ist nicht wirklich optimal.
Letztlich nützt mir aber kein Konzept was, wo ich lediglich alte Probleme gegen Neue tausche. Klar kann das dann im Einzelfall trotzdem besser sein aber pauschal ist es dann halt nicht zwangsläufig die bessere Lösung.
Mein Passwortmanager ist ein Blatt Papier und ein Stift. Dazu müsste schon jemand einbrechen und exakt an DIESER Stelle in meinem Haus suchen. Die Wahrscheinlichkeit, dass es einen Backdoor in einem PW-Manager gibt der irgendwann alle Passwörter leakt schätze ich da als höher ein.
So kann man das natürlich machen und hoffen, dass man nicht mal nen Wasser- oder Feuerschaden im Haus hat und der wertvolle Zettel Schaden annimmt. Für den Fall dann Backup-Zettel an anderer geheimen Stelle im Haus aufbewahren Aber Spass beseite, macht jeder wie er will. Ich will ein bisschen Komfort haben, denn ich mag nicht mehr andauernd meine Passwörter eintippen müssen. Denn es sind recht viele
So geheim, das die weder Feuer noch Wasser kennt. :-)
Hm. Wasser läuft tendenziell nach unten. Feuer breitet sich tendenziell nach oben aus. Könnte schwierig sein ein passenden Platz zu finden. :-)
Vielleicht einen Safe anschaffen? Okay, dann musste dir Zahlenkombination merken und niemals vergessen. Das ist ein Teufelskreis Man könnte den Backup-Zettel aber auch irgendwo ausserhalb seines Hauses an einem geheimen Ort aufbewahren? Es gibt da jetzt sehr viele Möglichkeiten.
Zettel nehmen kann man natürlich grundsätzlich machen (Achtung bei Homeoffice und Videokonferenzen ).
Das Blöde ist halt das abtippen. Es besteht dann halt die Gefahr, das Du Dir (bewusst oder unbewusst) ein Passwort aussuchst, was leicht zu tippen ist. Das sind dummerweise auch häufig eher schlechte Passwörter.
Wenn man sich intensiv mit dem Thema beschäftigt, sollte man eigtl. vermeiden, Passwörter und Login Informationen im Browser zu hinterlegen und man sollte eigtl bestenfalls auch keine Addons nutzen.
Vorteil von AutoType, wie es z.B. bei Keepass und KeepassXC unterstützt wird.
Zudem unterstützt auch nicht jede Webseite 2FA. Aber ja, wenn du bei den Logins dann immer 2FA bestenfalls als TOTP nutzt, dann sollte das noch okay sein. Aber ich würde es nicht empfehlen. 😉
kommt halt auch immer noch darauf an was für Passwörter man dem Passwortmanager anvertraut.
Onlinebanking natürlich nicht... aber beim Motorrad Club oder Blumenzüchterverein... da kann glaub wenig schaden angerichtet werden :-D
Das Problem ist doch, da über die Zeit eine Konsistenz und Logik beizubehalten. Was ist sehr wichtig, was weniger wichtig, wo besteht das größte Schadenspotential? Insbesondere wenn man für Onlinebanking noch ein weiteres Gerät nutzt?
Ich habe alles im Passwortmanager, allerdings ohne Browserintegration und ich nutze wo möglich noch 2FA. Anders kann ich das nicht sinnvoll abbilden
Vollkommend ausreichend, auch von der Sicherheit.
Ob du jetzt einen internen oder externen Passwortmanager verwendet, ändert ja nichts daran, dass du den Browser Passwörter anvertraust um dich auf bestimmten Webseiten einzuloggen.
Ich verwende seit gut 4 Jahren Keepass 2 und meine Erfahrungen sind sehr positiv. Die Einarbeitung ist etwas fummelig und das UI ist sicherlich nicht mehr so frisch, aber von den gebotenen Funktionen her muss sich Keepass 2 nicht hinter Anderen verstecken.
Vor allem funktioniert Autotype hervorragend und mit einem TOTP Plugin brauche ich auch keine Authenticator App auf meinem Handy.
Eine 100%. Sicherheit gibt es wohl nie. Jedoch kann man den Speicherort der Datenbank und des Keyfiles selber bestimmen und ist an keine Server oder Clouds gebunden.
Auf jeden Fall will ich Keepass auch im Autostart von Windows. Aber als einfacher User kann ich keine Autostarts einstellen.
