Passwort Management - Sinn/Unsinn & Empfehlungen - Forum - Page 54

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2076

11.03.2023 - 15:15

Zitat aus einem Post von xtrm
Ein schlechter Vergleich mMn, es ist schon noch ein großer Unterschied zwischen "wir be*******en bei Abgastests, weil wir es nicht besser hinbekommen (wollen)" und "alle eure Usernames/Passwörter sind potenziell geklaut worden, wodurch sich Fremde Zugang zu all euren Daten, Geldern, etc. verschaffen könnten".

Schau dir an wie oft man noch TeamViewer auf Business Rechner findet…

Zitat aus einem Post von Elbart
LastPass says employee’s home computer was hacked and corporate vault taken

Already smarting from a breach that stole customer vaults, LastPass has more bad news.

Link: arstechnica.com
Alte Schwedin...

Angeblich eine 2 Jahre veralteter Plex Server.

Luki

bierernst

Registered: Nov 2003
Location: gradec
Posts: 2960

11.03.2023 - 21:00

Zitat aus einem Post von Rogaahl
Schau dir an wie oft man noch TeamViewer auf Business Rechner findet, und das sind "experten"...

Angeblich eine 2 Jahre veralteter Plex Server.

Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler

eXe

Little Overclocker

Registered: Apr 2003
Location: Wien
Posts: 104

11.03.2023 - 21:33

Zitat aus einem Post von Elbart
LastPass says employee’s home computer was hacked and corporate vault taken

Already smarting from a breach that stole customer vaults, LastPass has more bad news.

Link: arstechnica.com
Alte Schwedin...

die mitarbeiter eines it unternehmens mit 2800 MA dürfen ihre privatrechner zum arbeiten verwenden? no comment

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2076

11.03.2023 - 21:35

Zitat aus einem Post von __Luki__
Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler

Ich habe probiert gute quellen zu finden, leider alles sehr schwach um zu posten.

Zitat
TeamViewer issued a statement at the time, saying that it had detected "a very sophisticated attack on our systems" and that it was taking all necessary measures to prevent further damage. The company also urged its users to change their passwords and enable two-factor authentication.

Die Sache ist, dass es in der Szene das erste Mal iirc. ~ 2014 bereits die ersten berichte gab. Nicht nur zugriff aufs TV Netzwerk, sondern auch zugriff auf Rechner von Clients.

TeamViewer hat sich erst 2 Jahre danach (2016), nachdem es einen Aufschrei von Usern gegeben hat, eine Pressemitteilung herausgegeben und den ganzen Vorfall stark verharmlost. Zuerst hatten sie es komplett abgestritten und User beschuldigt, wie man hier lesen kann, aber auch da berichten schon einige Posts das es bs sein muss.

Auf jeden Fall tue ich mir allgemein schwer in 2023 gute Informationen zu finden, meine Meinung hat sich damals gebildet und habe dabei klar entschlossen der Firma nie wieder zu trauen.

Es gibt schon lange exzellente alternativen.

Edit: Wirklich zugegeben haben sie es anscheinend erst 2019.. https://www.securityweek.com/teamvi...as-hacked-2016/

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12386

11.03.2023 - 21:37

War vor ein paar jahren in einer IT bude (800+ MA) auditieren in Boston, da war das auch Usus.
Die byod policy regelte da die security maßnahmen der eigenen rechner.
Vielleicht ein amerikanisches Ding?

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10908

12.03.2023 - 02:20

@Rogaahl
Welche Alternativen kannst empfehlen?
Persönlich greif ich zu Anydesk, weils doch verbreiteter ist und die Kunden es ja auch annehmen müssen.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2076

12.03.2023 - 02:58

Über AnyDesk kann ich nichts negatives berichten und habe ich selbst lange verwendet.

Inzwischen bin ich bei RustDesk (github) gelandet, läuft default wie AnyDesk einfach über ihre Server. Man kann es aber auch ganz easy self hosten und würde ich auf jeden Fall empfehlen, wenn du es professionell verwendest.

Ich benötige remote desktop nicht so oft, aber für mich hat es bis jetzt immer einwandfrei funktioniert.

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 10908

12.03.2023 - 16:28

Danke.
Selfhosted klingt jedenfalls reizvoll.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2076

17.04.2023 - 02:03

KeePassXC Audit Report – KeePassXC

Summary

KeePassXC provides sufficient cryptographic protection (confidentiality, integrity and authenticity) to the confidential information the user is storing in the database, given that the user selects a strong authentication method, e.g. a strong passphrase and a confidential random key file, and that the user will use KeePassXC with its latest secure file format.

The application is capable of reading and writing older and less secure KeePass file formats. Ideally, the application should warn on the use of insecure formats, suggest ways to migrate to the newest format. Should an attacker be able to replace the user’s database with a database of an older format featuring the same authentication (this is a difficult for the attacker precondition), the user would loose authenticity and integrity of the information in the database. This is discovered by previous research, in the paper by Gasti and Rasmussen.

The password manager could also advise the user on improving protections, like selecting stronger KDF parameters once time passes by or by using protected attributes more often. The latter is relevant for a scenario, where a user might use a less secure password manager for the same database regularly. KeePassXC could store which latest version of the database was used by the user as well, and spot an undesired substitutions.

KeePassXC is written well and exercises defensive coding sufficiently. The memory deallocation could be improved to not to contain secrets after the database is locked though.

The key files must stay inaccessible to a potential attacker, as their authenticity is not checked, and digesting a key file might include complicated XML parsing, which has historically proven highly attackable.

I have reviewed the core features of KeePassXC focusing mainly on its database reading and writing features and the cryptography use. I could discover no major problems. This review, however, features a number of recommendations, that the development team could implement at their preference to keep raising security bar of the software.

As KeePassXC is a relatively complex program and the review effort was limited, I did not review all of the code base. Some helper features stay not reviewed, for example: TOTP, SSH agent, browser plug-in communication, auto-type, KeeShare password sharing mechanism, freedesktop integration, HIBP support, database statistics feature. Maybe these features could be a subject to a next review version.

To the best of my knowledge, disclaiming warranties and/or liability, I can recommend the use of core KeePassXC 2.7.4 functionality as of December 2022: reading and writing the database files with confidential user information.

Link: keepassxc.org

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7135

03.05.2023 - 14:41

Hab jetzt nichts extriges gefunden für Gmail, daher deponier ich das mal hier rein:

Google accounts can now be passwordless

Passkey support allows users to sign in directly using their devices.

Link: www.theverge.com

Daeda

Here to stay

Registered: Aug 2007
Location: Solzburg
Posts: 1486

29.08.2023 - 14:46

Proton hat jetzt auch einen pw manager inkl email-alias funktion im portfolio:

Proton Pass: Open Source Password Manager App | Proton

Proton Pass is an open source, end-to-end encrypted password manager app. Create and store passwords, email aliases, 2FA codes, and notes on all your devices

Link: proton.me

verwendets schon wer? ich würd von keepass umsteigen

/edit beim "plus" is sogar eine 2fa app dabei, aktuell für lifelong 1€/monat statt 4,99€/monat

Bearbeitet von Daeda am 29.08.2023, 14:54

Kirby

0x19

Registered: Jun 2017
Location: Lesachtal/Villac..
Posts: 829

29.08.2023 - 16:04

bin schon länger bei pm.me und zahl da auch gern ein.
pw manager hab ich noch nie benutzt. langsam wirds mir aber zu viel. ich glaub das kennt hier jeder.
10 emails und überall andere pws. teils auch die gleichen. aber zu viel xD

Daeda

Here to stay

Registered: Aug 2007
Location: Solzburg
Posts: 1486

29.08.2023 - 18:45

also wenn ich das richtig seh, gibts keine "ordner" wie bei keepass. da ich fast immer nur die suche verwendet hab, stört mich das nicht so sehr. und wenn man bei den einträgen auch brav die URL gespeichert hat, muss man gar nicht erst suchen - die browser extension zeigt gleich die entsprechenden einträge für die aktuelle url an. sehr fein!

mit pro gibts mehrere "vaults", damit könnte man zumindest a bissl separieren.

aber automation gibts halt keine, bzw nur im browser bei login-formularen. externe apps (sftp, putty, rdp, ...) kann man damit keine befüllen/starten - eh klar.

Ovaron

AT LAST SIR TERRY ...

Registered: Jan 2004
Location: Linz
Posts: 4179

30.08.2023 - 23:00

Danke für die info, dann steig ich von 1password um. Wozu dafür noch zahlen wenns bei meinem Proton abo dabei ist.

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7250

12.09.2023 - 08:17

https://krebsonsecurity.com/2023/09...astpass-breach/

Nur so als reminder, falls jemand von Euch noch immer nicht von Lastpass weg sein sollte... die Migration auf ein anderes Services dauert via Export/Import wenige Sekunden. Die wichtigsten Passwörter sollte man aber ändern, vor allem wenn man schon lange Lastpass Kunde war (schwache settings des Vaults & confirmed hack)

Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2076	11.03.2023 - 15:15 Zitat aus einem Post von xtrm Ein schlechter Vergleich mMn, es ist schon noch ein großer Unterschied zwischen "wir be******en bei Abgastests, weil wir es nicht besser hinbekommen (wollen)" und "alle eure Usernames/Passwörter sind potenziell geklaut worden, wodurch sich Fremde Zugang zu all euren Daten, Geldern, etc. verschaffen könnten". Schau dir an wie oft man noch TeamViewer auf Business Rechner findet… Zitat aus einem Post von Elbart* LastPass says employee’s home computer was hacked and corporate vault taken Already smarting from a breach that stole customer vaults, LastPass has more bad news. Link: arstechnica.com Alte Schwedin... Angeblich eine 2 Jahre veralteter Plex Server.
__Luki__ bierernst Registered: Nov 2003 Location: gradec Posts: 2960	11.03.2023 - 21:00 Zitat aus einem Post von Rogaahl Schau dir an wie oft man noch TeamViewer auf Business Rechner findet, und das sind "experten"... Angeblich eine 2 Jahre veralteter Plex Server. Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler
eXe Little Overclocker Registered: Apr 2003 Location: Wien Posts: 104	11.03.2023 - 21:33 Zitat aus einem Post von Elbart LastPass says employee’s home computer was hacked and corporate vault taken Already smarting from a breach that stole customer vaults, LastPass has more bad news. Link: arstechnica.com Alte Schwedin... die mitarbeiter eines it unternehmens mit 2800 MA dürfen ihre privatrechner zum arbeiten verwenden? no comment
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2076	11.03.2023 - 21:35 Zitat aus einem Post von __Luki__ Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler Ich habe probiert gute quellen zu finden, leider alles sehr schwach um zu posten. Zitat TeamViewer issued a statement at the time, saying that it had detected "a very sophisticated attack on our systems" and that it was taking all necessary measures to prevent further damage. The company also urged its users to change their passwords and enable two-factor authentication. Die Sache ist, dass es in der Szene das erste Mal iirc. ~ 2014 bereits die ersten berichte gab. Nicht nur zugriff aufs TV Netzwerk, sondern auch zugriff auf Rechner von Clients. TeamViewer hat sich erst 2 Jahre danach (2016), nachdem es einen Aufschrei von Usern gegeben hat, eine Pressemitteilung herausgegeben und den ganzen Vorfall stark verharmlost. Zuerst hatten sie es komplett abgestritten und User beschuldigt, wie man hier lesen kann, aber auch da berichten schon einige Posts das es bs sein muss. Auf jeden Fall tue ich mir allgemein schwer in 2023 gute Informationen zu finden, meine Meinung hat sich damals gebildet und habe dabei klar entschlossen der Firma nie wieder zu trauen. Es gibt schon lange exzellente alternativen. Edit: Wirklich zugegeben haben sie es anscheinend erst 2019.. https://www.securityweek.com/teamvi...as-hacked-2016/
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12386	11.03.2023 - 21:37 War vor ein paar jahren in einer IT bude (800+ MA) auditieren in Boston, da war das auch Usus. Die byod policy regelte da die security maßnahmen der eigenen rechner. Vielleicht ein amerikanisches Ding?
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10908	12.03.2023 - 02:20 @Rogaahl Welche Alternativen kannst empfehlen? Persönlich greif ich zu Anydesk, weils doch verbreiteter ist und die Kunden es ja auch annehmen müssen.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2076	12.03.2023 - 02:58 Über AnyDesk kann ich nichts negatives berichten und habe ich selbst lange verwendet. Inzwischen bin ich bei RustDesk (github) gelandet, läuft default wie AnyDesk einfach über ihre Server. Man kann es aber auch ganz easy self hosten und würde ich auf jeden Fall empfehlen, wenn du es professionell verwendest. Ich benötige remote desktop nicht so oft, aber für mich hat es bis jetzt immer einwandfrei funktioniert.
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 10908	12.03.2023 - 16:28 Danke. Selfhosted klingt jedenfalls reizvoll.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2076	17.04.2023 - 02:03 KeePassXC Audit Report – KeePassXC Summary KeePassXC provides sufficient cryptographic protection (confidentiality, integrity and authenticity) to the confidential information the user is storing in the database, given that the user selects a strong authentication method, e.g. a strong passphrase and a confidential random key file, and that the user will use KeePassXC with its latest secure file format. The application is capable of reading and writing older and less secure KeePass file formats. Ideally, the application should warn on the use of insecure formats, suggest ways to migrate to the newest format. Should an attacker be able to replace the user’s database with a database of an older format featuring the same authentication (this is a difficult for the attacker precondition), the user would loose authenticity and integrity of the information in the database. This is discovered by previous research, in the paper by Gasti and Rasmussen. The password manager could also advise the user on improving protections, like selecting stronger KDF parameters once time passes by or by using protected attributes more often. The latter is relevant for a scenario, where a user might use a less secure password manager for the same database regularly. KeePassXC could store which latest version of the database was used by the user as well, and spot an undesired substitutions. KeePassXC is written well and exercises defensive coding sufficiently. The memory deallocation could be improved to not to contain secrets after the database is locked though. The key files must stay inaccessible to a potential attacker, as their authenticity is not checked, and digesting a key file might include complicated XML parsing, which has historically proven highly attackable. I have reviewed the core features of KeePassXC focusing mainly on its database reading and writing features and the cryptography use. I could discover no major problems. This review, however, features a number of recommendations, that the development team could implement at their preference to keep raising security bar of the software. As KeePassXC is a relatively complex program and the review effort was limited, I did not review all of the code base. Some helper features stay not reviewed, for example: TOTP, SSH agent, browser plug-in communication, auto-type, KeeShare password sharing mechanism, freedesktop integration, HIBP support, database statistics feature. Maybe these features could be a subject to a next review version. To the best of my knowledge, disclaiming warranties and/or liability, I can recommend the use of core KeePassXC 2.7.4 functionality as of December 2022: reading and writing the database files with confidential user information. Link: keepassxc.org
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7135	03.05.2023 - 14:41 Hab jetzt nichts extriges gefunden für Gmail, daher deponier ich das mal hier rein: Google accounts can now be passwordless Passkey support allows users to sign in directly using their devices. Link: www.theverge.com
Daeda Here to stay Registered: Aug 2007 Location: Solzburg Posts: 1486	29.08.2023 - 14:46 Proton hat jetzt auch einen pw manager inkl email-alias funktion im portfolio: Proton Pass: Open Source Password Manager App \| Proton Proton Pass is an open source, end-to-end encrypted password manager app. Create and store passwords, email aliases, 2FA codes, and notes on all your devices Link: proton.me verwendets schon wer? ich würd von keepass umsteigen /edit beim "plus" is sogar eine 2fa app dabei, aktuell für lifelong 1€/monat statt 4,99€/monat Bearbeitet von Daeda am 29.08.2023, 14:54
Kirby 0x19 Registered: Jun 2017 Location: Lesachtal/Villac.. Posts: 829	29.08.2023 - 16:04 bin schon länger bei pm.me und zahl da auch gern ein. pw manager hab ich noch nie benutzt. langsam wirds mir aber zu viel. ich glaub das kennt hier jeder. 10 emails und überall andere pws. teils auch die gleichen. aber zu viel xD
Daeda Here to stay Registered: Aug 2007 Location: Solzburg Posts: 1486	29.08.2023 - 18:45 also wenn ich das richtig seh, gibts keine "ordner" wie bei keepass. da ich fast immer nur die suche verwendet hab, stört mich das nicht so sehr. und wenn man bei den einträgen auch brav die URL gespeichert hat, muss man gar nicht erst suchen - die browser extension zeigt gleich die entsprechenden einträge für die aktuelle url an. sehr fein! mit pro gibts mehrere "vaults", damit könnte man zumindest a bissl separieren. aber automation gibts halt keine, bzw nur im browser bei login-formularen. externe apps (sftp, putty, rdp, ...) kann man damit keine befüllen/starten - eh klar.
Ovaron AT LAST SIR TERRY ... Registered: Jan 2004 Location: Linz Posts: 4179	30.08.2023 - 23:00 Danke für die info, dann steig ich von 1password um. Wozu dafür noch zahlen wenns bei meinem Proton abo dabei ist.
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7250	12.09.2023 - 08:17 https://krebsonsecurity.com/2023/09...astpass-breach/ Nur so als reminder, falls jemand von Euch noch immer nicht von Lastpass weg sein sollte... die Migration auf ein anderes Services dauert via Export/Import wenige Sekunden. Die wichtigsten Passwörter sollte man aber ändern, vor allem wenn man schon lange Lastpass Kunde war (schwache settings des Vaults & confirmed hack)

Passwort Management - Sinn/Unsinn & Empfehlungen

Forum Index > Software > Applications, Apps & Drivers

Rogaahl

__Luki__

eXe

Rogaahl

rad1oactive

hynk

Rogaahl

hynk

Rogaahl

Wyrdsom

Daeda

Kirby

Daeda

Ovaron

TOM

Luki