nexus_VI
Overnumerousness!
|
Ich verwende KeePassX, läuft super auf all meinen Systemen (Debian, Win7, Android). DB File liegt momentan noch in der Dropbox, das möchte ich aber ändern.
|
Smut
takeover & ether
|
machts halt auch nicht soviel besser wenn man keepass verwendet. hat jemand zugriff auf die file, dann ist es der jackpot. wer weiß wie gut die verschlüsselung tatsächlich implementiert wurde
|
NeM
OC Addicted
|
apropos passwörter:
das ist bei mir schon längers eine baustelle und die heartbleed-angelegenheit eine gute gelegenheit das vollkommen umzustellen… hat wer einen guten link dazu wie man das im jahr 2014 am effizientesten löst? von diesen password-safe geschichten hab ich noch keine ahnung. http://xkcd.com/936/
|
schizo
Produkt der Gesellschaft
|
machts halt auch nicht soviel besser wenn man keepass verwendet. hat jemand zugriff auf die file, dann ist es der jackpot. wer weiß wie gut die verschlüsselung tatsächlich implementiert wurde Ich hab mal das Passwort vergessen und habs mittels Passwortfile gebruteforced (das ungefähre Passwort war mir bekannt). Davor hatte ich zumindest keine anderen bekannten Lösungungswege im Internet gefunden. Den Sourcecode hab ich mir aber nicht angesehn.
|
nexus_VI
Overnumerousness!
|
machts halt auch nicht soviel besser wenn man keepass verwendet. hat jemand zugriff auf die file, dann ist es der jackpot. wer weiß wie gut die verschlüsselung tatsächlich implementiert wurde Nicht soviel besser als was genau? Imho ist das sogar deutlich besser als der Status quo der meisten User.
|
Smut
takeover & ether
|
trojaner zum falschen zeitpunkt reicht halt aus und dann ist deine komplette digitale identität weg. und so wie die entwicklung in letzter zeit ist wo zeroday exploits im browser verwendet werden und sich die schadsoftware nicht mal mehr am rechner ablegt, merke ich mir für meine 10 wichtigen seiten halt das passwort.
der großteil der accounts ist dafür da, dass ich irgendwo in einen geschützen bereich komme um etwas zu lesen/downloaden oder zu bewerten. dafür brauche ich keinen password safe, ob diese accounts irgendwann hochgenommen werden ist eher für den betreiber problematisch als für den benutzer.
Bearbeitet von Smut am 16.04.2014, 00:14
|
smashIt
master of disaster
|
|
b_d
pixel imperfect
|
|
COLOSSUS
AdministratorFrickler
|
|
nexus_VI
Overnumerousness!
|
trojaner zum falschen zeitpunkt reicht halt aus und dann ist deine komplette digitale identität weg. und so wie die entwicklung in letzter zeit ist wo zeroday exploits im browser verwendet werden und sich die schadsoftware nicht mal mehr am rechner ablegt, merke ich mir für meine 10 wichtigen seiten halt das passwort.
der großteil der accounts ist dafür da, dass ich irgendwo in einen geschützen bereich komme um etwas zu lesen/downloaden oder zu bewerten. dafür brauche ich keinen password safe, ob diese accounts irgendwann hochgenommen werden ist eher für den betreiber problematisch als für den benutzer. Vor Trojaner bzw. Keylogger bist du aus meiner Sicht effektiv nicht besser geschützt, wirklich kritische Dinge wie Netbanking erledige ich sowieso ausschließlich in meinem dafür bevorzugten DebianSystem. Abgesehen davon, dass ein merkbares Passwort natürlich von Haus aus geringere Sicherheit bietet, über das Verhältnis kann man streiten. Was machst du mit den restlichen Passwörtern, oder benötigst du insgesamt nur 10? Ich führe das zur Entschlüsselung der KDB notwendige Key-File auf einem USB-Stick mit, hab mir auch schon überlegt das künftig per NFC Tag zu realisieren. Betreffend digitale Identität, bei den Diensten die es anbieten nutze ich zusätzlich die "hauseigene" 2-Factor Auth.
|
b_d
pixel imperfect
|
die bedenken sind nicht bullshit. ich lass mir einreden, dass die vorgeschlagene lösungen vom author vollkommener bullshit sind. da bin ich ganz bei "euch". aber die aufgeworfene problematik um open source bleibt, und das macht die lage erst so prekär. weil: muss ich jetzt anfangen software wie tunnelblick oder VLC misstrauisch zu betrachten? misstrauen hat man bei geschlossenen systemen, wo niemand eigentlich weiß was dahinter ist. aber genau das ist doch das "versprechen" von open source, dass alles einsehbar und somit überprüfbar ist, quasi: "uns kannst du am EHESTEN (!) vertrauen weil unsere hosen sind schon unten."
es geht mir vor allem um die dimension der bedenken, die heartbleed zumindest bei mir weckt: weltweit von zig-millionen genutzt, verantwortlich für die sicherheit von extrem (!!!) sensiblen daten, jahre lang genutzt und unendeckt. srsly? ich kann verstehn, dass irgendein open source youtube-katzenvideo-to-mp3-klingelton-maker nicht aufs ärgste überprüft wird. aber ne lib (?) für ssl? ich verstehs nicht :/
|
Smut
takeover & ether
|
Vor Trojaner bzw. Keylogger bist du aus meiner Sicht effektiv nicht besser geschützt, wirklich kritische Dinge wie Netbanking erledige ich sowieso ausschließlich in meinem dafür bevorzugten DebianSystem. Abgesehen davon, dass ein merkbares Passwort natürlich von Haus aus geringere Sicherheit bietet, über das Verhältnis kann man streiten. naja, wenn ein trojaner mitliest während du das keyfile aufmachst ist es eben der worst case - du verlierst alle zugangsdaten. wenn er mitliest und du dich bei 2-3 diensten anmeldest, dann kann eben genau auf diese dienste zugegriffen werden, nicht aber auf alles. für mich sind diese sachen eher zum komfort, die sicherheit erhöhen sie zwangsweise nicht. ein tipp wäre in das keepass file nicht das echte passwort zu schreiben sondern eine abwandlung.
|
COLOSSUS
AdministratorFrickler
|
es geht mir vor allem um die dimension der bedenken, die heartbleed zumindest bei mir weckt: weltweit von zig-millionen genutzt, verantwortlich für die sicherheit von extrem (!!!) sensiblen daten, jahre lang genutzt und unendeckt. srsly? ich kann verstehn, dass irgendein open source youtube-katzenvideo-to-mp3-klingelton-maker nicht aufs ärgste überprüft wird. aber ne lib (?) für ssl? ich verstehs nicht :/ Ich kann dir beim besten Willen nicht folgen. Der "Open Source"-Prozess funktioniert. Der Bug in OpenSSL wurde gefunden, WEIL das Projekt FOSS ist, und nicht OBWOHL es FOSS ist. Aufgrund der Tatsache, dass diese Art Bug sehr schwer zu finden ist, hat es leider eine lange Weile gedauert. Aber hast du mal geschaut, wie schnell gepatcht wurde, und wie schnell _freie_ Angebote den Patch integriert haben? Waehrenddessen haben viele jene Hersteller, die OpenSSL proprietarisiert und kommerzialisiert verwenden (z. B. VMWare) gerade mal ein Statement drauszen, "yeah, we're looking into the matter...". Diese /._posting moechte ich auch noch verlinkt wissen: http://news.slashdot.org/comments.p...mp;cid=46761181 und http://news.slashdot.org/comments.p...mp;cid=46761723Niemals hat jemand (vernuenftig Denkendes) behauptet, FOSS waere bugfrei. Wenn das dein Eindruck war, dann unterliegst du ganz einfach wohl schon seit Jahren einem bedauerlichen Irrtum.
|
b_d
pixel imperfect
|
das ist mir schon klar, dass eben WEIL es frei ist, es erst überhaupt gefunden und rasch gepatch wurde. und ich verlang auch KEINE bugfreies FOSS. wir sind alle menschen bla bla und sowas passiert yada yada. was mich erschüttert ist eben nur das, dass es sich hier um kein youtube-katzenvideo-to-mp3-klingelton-maker handelt sondern etwas erheblich essentielleres. da sollten doch mehr mechanismen greifen, dass sowas garniht erst passieren kann. du selbst hast es doch als GAU bezeichnet.
|
Hansmaulwurf
u wot m8?
|
was mich erschüttert ist eben nur das, dass es sich hier um kein youtube-katzenvideo-to-mp3-klingelton-maker handelt sondern etwas erheblich essentielleres. da sollten doch mehr mechanismen greifen, dass sowas garniht erst passieren kann. du selbst hast es doch als GAU bezeichnet. Free as in "there is no free lunch". Wenn die Leute davon ausgehen, "is eh umsonst" wird keiner spenden und keiner die Probleme sehen. Auch wenn das esentiell ist, das das gereviewed wird, heißt das nicht das es gemacht wird. Es gibt weltweit wenige Leute die _sicheren_ c-code schreiben können, geschweige denn welche die ihn bei nem review sofort entdecken. Ich glaub das eine File war 500 Zeilen lang ? (ganz zu schweigen vom ganzen openssl code, mit diversen headern und verlinkungen von a nach b) Da sitzt ein Einzelner mehrere Wochen dran wenn er das gründlich macht, und wenn dazwischen changes gemacht werden, .. Und automatische Tests sind drübergelaufen, haben es aber nicht gesehen. > Es gibt zuwenig Motivation für die wenigen dies machen können. imho.
|