Passwort Management - Sinn/Unsinn & Empfehlungen - Druckansicht - Seite 54

URL: https://www.overclockers.at/applications/passwort-management-sinn-unsinn-empfehlungen_223245/page_54 - zur Vollversion wechseln!

War vor ein paar jahren in einer IT bude (800+ MA) auditieren in Boston, da war das auch Usus.
Die byod policy regelte da die security maßnahmen der eigenen rechner.
Vielleicht ein amerikanisches Ding?

@Rogaahl
Welche Alternativen kannst empfehlen?
Persönlich greif ich zu Anydesk, weils doch verbreiteter ist und die Kunden es ja auch annehmen müssen.

Über AnyDesk kann ich nichts negatives berichten und habe ich selbst lange verwendet.

Inzwischen bin ich bei RustDesk (github) gelandet, läuft default wie AnyDesk einfach über ihre Server. Man kann es aber auch ganz easy self hosten und würde ich auf jeden Fall empfehlen, wenn du es professionell verwendest.

Ich benötige remote desktop nicht so oft, aber für mich hat es bis jetzt immer einwandfrei funktioniert.

KeePassXC Audit Report – KeePassXC

Summary

KeePassXC provides sufficient cryptographic protection (confidentiality, integrity and authenticity) to the confidential information the user is storing in the database, given that the user selects a strong authentication method, e.g. a strong passphrase and a confidential random key file, and that the user will use KeePassXC with its latest secure file format.

The application is capable of reading and writing older and less secure KeePass file formats. Ideally, the application should warn on the use of insecure formats, suggest ways to migrate to the newest format. Should an attacker be able to replace the user’s database with a database of an older format featuring the same authentication (this is a difficult for the attacker precondition), the user would loose authenticity and integrity of the information in the database. This is discovered by previous research, in the paper by Gasti and Rasmussen.

The password manager could also advise the user on improving protections, like selecting stronger KDF parameters once time passes by or by using protected attributes more often. The latter is relevant for a scenario, where a user might use a less secure password manager for the same database regularly. KeePassXC could store which latest version of the database was used by the user as well, and spot an undesired substitutions.

KeePassXC is written well and exercises defensive coding sufficiently. The memory deallocation could be improved to not to contain secrets after the database is locked though.

The key files must stay inaccessible to a potential attacker, as their authenticity is not checked, and digesting a key file might include complicated XML parsing, which has historically proven highly attackable.

I have reviewed the core features of KeePassXC focusing mainly on its database reading and writing features and the cryptography use. I could discover no major problems. This review, however, features a number of recommendations, that the development team could implement at their preference to keep raising security bar of the software.

As KeePassXC is a relatively complex program and the review effort was limited, I did not review all of the code base. Some helper features stay not reviewed, for example: TOTP, SSH agent, browser plug-in communication, auto-type, KeeShare password sharing mechanism, freedesktop integration, HIBP support, database statistics feature. Maybe these features could be a subject to a next review version.

To the best of my knowledge, disclaiming warranties and/or liability, I can recommend the use of core KeePassXC 2.7.4 functionality as of December 2022: reading and writing the database files with confidential user information.

Link: keepassxc.org

Hab jetzt nichts extriges gefunden für Gmail, daher deponier ich das mal hier rein:

Google accounts can now be passwordless

Passkey support allows users to sign in directly using their devices.

Link: www.theverge.com

Proton Pass: Open Source Password Manager App | Proton

Proton Pass is an open source, end-to-end encrypted password manager app. Create and store passwords, email aliases, 2FA codes, and notes on all your devices

Link: proton.me

bin schon länger bei pm.me und zahl da auch gern ein.
pw manager hab ich noch nie benutzt. langsam wirds mir aber zu viel. ich glaub das kennt hier jeder.
10 emails und überall andere pws. teils auch die gleichen. aber zu viel xD

also wenn ich das richtig seh, gibts keine "ordner" wie bei keepass. da ich fast immer nur die suche verwendet hab, stört mich das nicht so sehr. und wenn man bei den einträgen auch brav die URL gespeichert hat, muss man gar nicht erst suchen - die browser extension zeigt gleich die entsprechenden einträge für die aktuelle url an. sehr fein!

mit pro gibts mehrere "vaults", damit könnte man zumindest a bissl separieren.

aber automation gibts halt keine, bzw nur im browser bei login-formularen. externe apps (sftp, putty, rdp, ...) kann man damit keine befüllen/starten - eh klar.

Danke für die info, dann steig ich von 1password um. Wozu dafür noch zahlen wenns bei meinem Proton abo dabei ist.

https://krebsonsecurity.com/2023/09...astpass-breach/

Nur so als reminder, falls jemand von Euch noch immer nicht von Lastpass weg sein sollte... die Migration auf ein anderes Services dauert via Export/Import wenige Sekunden. Die wichtigsten Passwörter sollte man aber ändern, vor allem wenn man schon lange Lastpass Kunde war (schwache settings des Vaults & confirmed hack)

Passwort Management - Sinn/Unsinn & Empfehlungen - Seite 54

Seite 54 von 56 - Forum: Applications, Apps & Drivers auf overclockers.at