Passwort Management - Sinn/Unsinn & Empfehlungen - Seite 47
URL: https://www.overclockers.at/applications/passwort-management-sinn-unsinn-empfehlungen_223245/page_47 - zur Vollversion wechseln!
Snoop schrieb am 24.12.2022 um 11:41
bitwarden kannst selbst hosten
sk/\r schrieb am 24.12.2022 um 11:54
ihr habt alle eure passwörter einer externen bude anvertraut.
die sind gehackt worden.
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?
muss ich das verstehen?
ich wüsste sonst da keine "gscheide" Lösung. wäre aber für input e dankbar. 
selbst aufm privatrechner möcht ichs nicht haben. aufm smartphone schon 2x nicht. sei es jetzt weil mir eine platte eingeht oder weil ich dann selbst gehackt werde. ist zwar noch nie passiert und mein unifi router sollt von vornherein vieles abfangen. aber sicher ist man auch da nie imo.
ich hab beim einstellen der letzten 2 tage gemerkt, dass ich meine 2 passwörter bei allen logins verwendet habe. DAS ist imo unsicher. nicht dran zu denken was da passiert wenn auch nur 1 gehackt wird. das waren zwar auch komplexe sätze in allen varianten (buchstaben groß/klein, zahlen, sonderzeichen)
aber eins war nur 11 zeichen lang.
wenn ich da nach passwortcheck.ch gehe, hätt das genau 5 monate gedauert per bruteforce.
wenn da was passiert brauch ich mal 1, 2 tage urlaub um alles wieder zu richten. 
//ganz wichtig was auch TOM anführt:
Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung.
tja...
TOM schrieb am 24.12.2022 um 11:54
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?
nö musst du nicht (gibt inzwischen genügend open-source/selfhosted lösungen dafür), aber ich geb dir folgenden denkansatz mit:
Diese riesen tech-unternehmen (Google & co.) und pwd-management Anbieter sind große zielscheiben für hacker wegen den wertvollen Daten.
Es ist und bleibt ein ewiges katz und maus spiel. Diese Unternehmen haben sehr sehr gute Leute und stecken sehr sehr viel Geld in die Sicherheit, da ein data-breach den Untergang für sie bedeuten könnte. Also hinsichtlich der Verfügbarkeit und zeitnahen Reaktion auf neue Lücken/Angriffsvektoren sind diese Unternehmen wohl besser aufgestellt, als eine self-hosted lösung.
Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung. (ich gehe hier pauschal davon aus, dass relativ viele den simplen weg gehen und ihren selfhosted vault am NAS laufen haben). Natürlich geht es sicherer, aber damit wird es auch aufwändiger mit öfter 'handarbeit' und ständiges reingreifen => Weniger Komfortabel
Es bleibt immer eine Abwägung von Security & Komfortabilität, soll jeder für sich entscheiden wie er es handelt... aber ich halte beide Lösungswege (selfhosted & hosted) für valide.
Es gibt PWD-Manager die durch ihren Track-Record mein Vertrauen haben (z.B. Bitwarden) und welche die mein Vertrauen verloren haben (z.B. Lastpass). Selbiges bei VPN-Anbietern etc.
btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka
Iceboy schrieb am 24.12.2022 um 12:55
btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka
Wär nicht schlecht wenn Lastpass da mehr Auskunft geben würde. Mein Account dort wurde Jan 2021 gelöscht. Frage ist wie alt deren Backups sind.
JDK schrieb am 24.12.2022 um 18:44
Seh das wie TOM. Es ist ein Kompromiss aus Security und Komfort.
Bin mit 1Password nach wie vor zufrieden.
hynk schrieb am 24.12.2022 um 19:25
Und die Masse verwendet heute noch Excel Listen und Post-Its...
Viper780 schrieb am 24.12.2022 um 20:33
Und die Masse verwendet heute noch Excel Listen und Post-Its...
Dass wird dank den Browsern deutlich weniger.
Wyrdsom schrieb am 24.12.2022 um 20:47
Bin mal umgestiegen auf Enpass. Wirkt bisher ganz nice und läuft alles auch problemlos.
fresserettich schrieb am 26.12.2022 um 12:46
bei mir liegt die Keepass-Datei in der iCloud. Hab entsprechend langes PW gewählt.
Sicher nicht perfekt.
Muss mir das mit dem Auto-Fill für den Mac nochmal anschauen vermutlich muss ich mal umsteigen von Strongbox auf KeepassXC oder so ...
COLOSSUS schrieb am 26.12.2022 um 13:12
Bei KeePass ist nicht nur die Laenge und Komplexitaet der Passphrase entscheidend, sonden auch die KDF, die man gewaehlt hat, um das Passwort zum Schluessel aufzublasen. KA, was unter KeePass 2 das Default ist, aber Argon2 sollte man sich schon goennen.
Viper780 schrieb am 26.12.2022 um 13:38
Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF
UnleashThebeast schrieb am 26.12.2022 um 13:50
rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.
COLOSSUS schrieb am 26.12.2022 um 13:58
rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.
Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.
fresserettich schrieb am 26.12.2022 um 14:02
Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF
Danke auch von meiner Seite, da war ich noch veraltet. >Hab ich jetzt aktualisiert 
sk/\r schrieb am 26.12.2022 um 14:04
Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.
ich kenn mich da zuwenig aus.
aber wenn ich jetzt nach https://www.passwortcheck.ch/ gehe, ist mein masterpasswort 172 bit stark.
zuwenig? 
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024