Passwort Management - Sinn/Unsinn & Empfehlungen - Seite 54
URL: https://www.overclockers.at/applications/passwort-management-sinn-unsinn-empfehlungen_223245/page_54 - zur Vollversion wechseln!
Rogaahl schrieb am 11.03.2023 um 15:15
Ein schlechter Vergleich mMn, es ist schon noch ein großer Unterschied zwischen "wir be*******en bei Abgastests, weil wir es nicht besser hinbekommen (wollen)" und "alle eure Usernames/Passwörter sind potenziell geklaut worden, wodurch sich Fremde Zugang zu all euren Daten, Geldern, etc. verschaffen könnten".
Schau dir an wie oft man noch TeamViewer auf Business Rechner findet…
LastPass says employee’s home computer was hacked and corporate vault takenAlready smarting from a breach that stole customer vaults, LastPass has more bad news.
Link: arstechnica.com Alte Schwedin...
Angeblich eine 2 Jahre veralteter Plex Server.
__Luki__ schrieb am 11.03.2023 um 21:00
Schau dir an wie oft man noch TeamViewer auf Business Rechner findet, und das sind "experten"...
Angeblich eine 2 Jahre veralteter Plex Server.
Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler
eXe schrieb am 11.03.2023 um 21:33
LastPass says employee’s home computer was hacked and corporate vault takenAlready smarting from a breach that stole customer vaults, LastPass has more bad news.
Link: arstechnica.com Alte Schwedin...
die mitarbeiter eines it unternehmens mit 2800 MA dürfen ihre privatrechner zum arbeiten verwenden? no comment
Rogaahl schrieb am 11.03.2023 um 21:35
Was ist leicht das problem bei teamviewer? Iirc verwenden das unsere supportler
Ich habe probiert gute quellen zu finden, leider alles sehr schwach um zu posten.
TeamViewer issued a statement at the time, saying that it had detected "a very sophisticated attack on our systems" and that it was taking all necessary measures to prevent further damage. The company also urged its users to change their passwords and enable two-factor authentication.
Die Sache ist, dass es in der Szene das erste Mal iirc. ~ 2014 bereits die ersten berichte gab. Nicht nur zugriff aufs TV Netzwerk, sondern auch zugriff auf Rechner von Clients.
TeamViewer hat sich erst 2 Jahre danach (2016), nachdem es einen Aufschrei von Usern gegeben hat, eine Pressemitteilung herausgegeben und den ganzen Vorfall stark verharmlost. Zuerst hatten sie es komplett abgestritten und User beschuldigt, wie man hier lesen kann, aber auch da berichten schon einige Posts das es bs sein muss.
Auf jeden Fall tue ich mir allgemein schwer in 2023 gute Informationen zu finden, meine Meinung hat sich damals gebildet und habe dabei klar entschlossen der Firma nie wieder zu trauen.
Es gibt schon lange exzellente alternativen.
Edit: Wirklich zugegeben haben sie es anscheinend erst 2019.. https://www.securityweek.com/teamvi...as-hacked-2016/
rad1oactive schrieb am 11.03.2023 um 21:37
War vor ein paar jahren in einer IT bude (800+ MA) auditieren in Boston, da war das auch Usus.
Die byod policy regelte da die security maßnahmen der eigenen rechner.
Vielleicht ein amerikanisches Ding?
hynk schrieb am 12.03.2023 um 02:20
@Rogaahl
Welche Alternativen kannst empfehlen?
Persönlich greif ich zu Anydesk, weils doch verbreiteter ist und die Kunden es ja auch annehmen müssen.
Rogaahl schrieb am 12.03.2023 um 02:58
Über AnyDesk kann ich nichts negatives berichten und habe ich selbst lange verwendet.
Inzwischen bin ich bei RustDesk (github) gelandet, läuft default wie AnyDesk einfach über ihre Server. Man kann es aber auch ganz easy self hosten und würde ich auf jeden Fall empfehlen, wenn du es professionell verwendest.
Ich benötige remote desktop nicht so oft, aber für mich hat es bis jetzt immer einwandfrei funktioniert.
hynk schrieb am 12.03.2023 um 16:28
Danke.
Selfhosted klingt jedenfalls reizvoll.
Rogaahl schrieb am 17.04.2023 um 02:03
KeePassXC Audit Report – KeePassXCSummary
KeePassXC provides sufficient cryptographic protection (confidentiality, integrity and authenticity) to the confidential information the user is storing in the database, given that the user selects a strong authentication method, e.g. a strong passphrase and a confidential random key file, and that the user will use KeePassXC with its latest secure file format.
The application is capable of reading and writing older and less secure KeePass file formats. Ideally, the application should warn on the use of insecure formats, suggest ways to migrate to the newest format. Should an attacker be able to replace the user’s database with a database of an older format featuring the same authentication (this is a difficult for the attacker precondition), the user would loose authenticity and integrity of the information in the database. This is discovered by previous research, in the paper by Gasti and Rasmussen.
The password manager could also advise the user on improving protections, like selecting stronger KDF parameters once time passes by or by using protected attributes more often. The latter is relevant for a scenario, where a user might use a less secure password manager for the same database regularly. KeePassXC could store which latest version of the database was used by the user as well, and spot an undesired substitutions.
KeePassXC is written well and exercises defensive coding sufficiently. The memory deallocation could be improved to not to contain secrets after the database is locked though.
The key files must stay inaccessible to a potential attacker, as their authenticity is not checked, and digesting a key file might include complicated XML parsing, which has historically proven highly attackable.
I have reviewed the core features of KeePassXC focusing mainly on its database reading and writing features and the cryptography use. I could discover no major problems. This review, however, features a number of recommendations, that the development team could implement at their preference to keep raising security bar of the software.
As KeePassXC is a relatively complex program and the review effort was limited, I did not review all of the code base. Some helper features stay not reviewed, for example: TOTP, SSH agent, browser plug-in communication, auto-type, KeeShare password sharing mechanism, freedesktop integration, HIBP support, database statistics feature. Maybe these features could be a subject to a next review version.
To the best of my knowledge, disclaiming warranties and/or liability, I can recommend the use of core KeePassXC 2.7.4 functionality as of December 2022: reading and writing the database files with confidential user information.
Link: keepassxc.org
Wyrdsom schrieb am 03.05.2023 um 14:41
Hab jetzt nichts extriges gefunden für Gmail, daher deponier ich das mal hier rein:
Google accounts can now be passwordlessPasskey support allows users to sign in directly using their devices.
Link: www.theverge.com
Daeda schrieb am 29.08.2023 um 14:46
Proton hat jetzt auch einen pw manager inkl email-alias funktion im portfolio:
Proton Pass: Open Source Password Manager App | ProtonProton Pass is an open source, end-to-end encrypted password manager app. Create and store passwords, email aliases, 2FA codes, and notes on all your devices
Link: proton.me
verwendets schon wer? ich würd von keepass umsteigen
/edit beim "plus" is sogar eine 2fa app dabei, aktuell für lifelong 1€/monat statt 4,99€/monat
Kirby schrieb am 29.08.2023 um 16:04
bin schon länger bei pm.me und zahl da auch gern ein.
pw manager hab ich noch nie benutzt. langsam wirds mir aber zu viel. ich glaub das kennt hier jeder.
10 emails und überall andere pws. teils auch die gleichen. aber zu viel xD
Daeda schrieb am 29.08.2023 um 18:45
also wenn ich das richtig seh, gibts keine "ordner" wie bei keepass. da ich fast immer nur die suche verwendet hab, stört mich das nicht so sehr. und wenn man bei den einträgen auch brav die URL gespeichert hat, muss man gar nicht erst suchen - die browser extension zeigt gleich die entsprechenden einträge für die aktuelle url an. sehr fein!
mit pro gibts mehrere "vaults", damit könnte man zumindest a bissl separieren.
aber automation gibts halt keine, bzw nur im browser bei login-formularen. externe apps (sftp, putty, rdp, ...) kann man damit keine befüllen/starten - eh klar.
Ovaron schrieb am 30.08.2023 um 23:00
Danke für die info, dann steig ich von 1password um. Wozu dafür noch zahlen wenns bei meinem Proton abo dabei ist.
TOM schrieb am 12.09.2023 um 08:17
https://krebsonsecurity.com/2023/09...astpass-breach/
Nur so als reminder, falls jemand von Euch noch immer nicht von Lastpass weg sein sollte... die Migration auf ein anderes Services dauert via Export/Import wenige Sekunden. Die wichtigsten Passwörter sollte man aber ändern, vor allem wenn man schon lange Lastpass Kunde war (schwache settings des Vaults & confirmed hack)
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2024