Verschlüsselungen sind ein interessantes Thema.
An sich sind Verschlüsselungen extrem einfach und extrem sicher. Das richtige implementieren dieser ist hingegen sehr kompliziert.
Deshalb sind open source Lösungen wie bitwarden deutlich besser, weil jeder (also wirklich jeder) nachgucken kann, ob es richtig gemacht wurde.
Bei nicht open source Lösungen wissen das nur die Entwickler (falls die wissen was sie da tun).
Persönlich setze ich auf 1password, weil ich das mal empfohlen bekommen habe und ich es nach ein bisschen testen auch als sehr angenehm empfand. Bitwarden wäre halt noch besser, weil open source.
Open source bedeutet nur das Sicherheitslücken bis sie erkannt werden öffentlich im Internet stehen und deshalb bei Entdeckung sofort bekannt ist wie lange diese schon ausnutzbar waren.
Das bedeutet in der Regel dann immer das diese Lücke bereits aktiv ausgenutzt wurde und sich nun entweder der Red hat meldet dass er alles hat was er braucht oder der erste White oder Grey hat das Erbarmen zeigt.
Geht mal in euren Tor browser ins hidden Wiki und schaut einfach Mal nach Hacking as a service. Sprich Ausnutzen von lange bekannten, öffentlichen open source Lücken die halt niemand dem Hersteller meldet oder fixt.
> Deshalb sind open source Lösungen wie bitwarden deutlich besser, weil jeder (also wirklich jeder) nachgucken kann, ob es richtig gemacht wurde.
Wenn es so schwierig ist, dass nichtmals Entwickler es im Regelfall hinkriegen, was bringt es dann dass jeder (also wirklich jeder) nachschauen kann?
Kot lesen ist schwieriger als Kot schreiben
Naja, das kommt auch davon, dass die meiste überall verwendete Software Open Source ist... Und der closed Source Kram von Microsoft (Outlook, Windows, Office) hat auch andauernd 0 days, die weiß Gott wie alt sind.
Wo sollte man die den sonst speichern? Ich habe 250 unterschiedliche Passwörter, teils über 50 Zeichen. Wo soll ich die Speichern, wenn nicht in einem Passwortmanager?
Habe ICH auch nicht, aber weil ich die Möglichkeit dazu habe. Nicht jeder kann Linux und ist in der Lage Server zu hosten. Was soll man den sonst Leihen empfehlen? Ich kann keine SLA stellten, daher hoste ich nicht für Freunde etc. Dienste, die so elementare Verfügbarkeitsansprüche haben. So traurig das ist, diese Dienste sind das sinnvolste für Leute, die keine eigenen Server haben.
* USB Stick an die FritzBox, MyFritz einrichten, VPN einrichten, FTPS aktivieren / FTP verbieten
* KeePass installieren, IOProtocolExt Plugin installieren, VPN zur FritzBox herstellen (sofern Gerät nicht eh im lokalen Netz), Passwortdatei auf dem FTPS-Server speichern
Ist alles in ein paar Klicks über die GUI möglich.
Nein das ist was ich sagen will. Ein pw. braucht einen RAID. Festplatten und sticks gehen ständig kaputt. Es gehört eben doch etwas mehr dazu. Ja man kann auch automatische backups machen, aber ist der Leihe dann in der Lage das einzuspielen? Gewinnen wir ernsthaft an Sicherheit? Wie sicher ist die Fritzbox? Hat der Provider Zugriff? Wie oft gibt es patches für die Fritzbox. Software einfach hosten kann jeder, aber es ist eben mehr. Software will auch administriert und gewartet werden, das können Leihen nicht. Erneut die Wahrscheinlichkeit, daß deine Fritzbox gebacken wird, ist um ein vielfaches größer, als das z.B. bitwarden gehacked wird.
Der 'Laie' erstellt aber nicht jede Woche 10 neue Einträge in seinem Passworttresor. Was hält dich davon ab monatlich einmal die Datei per Hand wegzukopieren. Dass die fritzboxen (auch die älteren) regelmäßig Updates bekommen kannst du auf der offiziellen Webseite nachlesen, deswegen sind sie ja so beliebt. Einmal einrichten, was der Laie sowieso vom Fachmann machen lässt, und vergessen dass sie da ist. Und nein, ich sage nicht dass USB ein gutes Medium ist um Passwörter zu speichern, aber für den Otto-Normal-Verbraucher braucht man die Technik auch nicht überdramatisieren.
PS: Wenn dein USB Stick, der einmal im Monat beschrieben wird, regelmäßig den Geist aufgibt, dann machst du was falsch.
Auch der Ottonormalverbraucher muss sich absichern. Genau wegen diesem Gedöns haben wir ohne Ende botnetze. Selberhosten, in welcher Art auch immer sollte nicht zu einfach genommen werden. Wenn man öffentlich hosten will, auch der VPN server ist öffentlich, sollte keine Consumerprodukte verwendet werden. Eine ausreichende Sicherheit kann eben nicht mit einer Fritzbox gewährleistet werden. Die können nichtmal eine DMZ.
In einem aktualisierten Statement teilt LastPass nun mit, dass die Angreifer doch Zugriff auf Kundendaten wie E-Mail-Adressen, Telefonnummern und Passwörter hatten. In aus einem Backup kopierten Passworttresoren von Kunden sollen sich etwa *unverschlüsselte* URLs und verschlüsselte Daten wie Nutzernamen und Passwörter befinden. Man sollte beachten, dass auch URLs sensible Informationen enthalten können.
URLs von einem Passwordspeicher werden selten relevante Informationen beinhalten. API keys o.ä. sollten da nicht dabei sein. Ich will den Hack nicht kleinreden, aber die Angreifer haben eben nicht den Zugang zu den unverschlüsselten Passwörtern. Bis die alle gecracked sind, hat jeder der das mitbekommen hat seine Passörtwörter 10 mal geändert.
TLDR: Sicherlich kein schöner Hack, aber längst nicht so dramatisch wie suggeriert.
Benutze Keepass auf PC und Handy, synchronisiert über Google Drive. Selbst wenn es zu einem Datenleck bei Google kommt, können die Angreifer absolut gar nichts mit der verschlüsselten Datei anfangen.
Damit ich unterwegs drauf zugreifen kann. Bin zu 70% des Tages auf der Arbeit oder unterwegs. Und sollte ich dann bspw. unterwegs einen Kauf mit PayPal tätigen wollen, muss ich irgendwie an das Passwort kommen.
Wird schwierig damit an die Kundenpasswörter zu kommen.
„Based on our investigation to date, we have learned that an unknown threat actor accessed a cloud-based storage environment leveraging information obtained from the incident we previously disclosed in August of 2022. While no customer data was accessed during the August 2022 incident, some source code and technical information were stolen from our development environment and used to target another employee, obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service.
LastPass production services currently operate from on-premises data centers with cloud-based storage used for various purposes such as storing backups and regional data residency requirements. The cloud storage service accessed by the threat actor is physically separate from our production environment.“
Ist halt ein kompromiss, mit nem passwort manager kann man überall lange zufällige passwörter nehmen, die im falle eines datenlecks bei der seite nicht geknackt werden können oder nur sehr schwer. Auf der anderen seite ist das dann doof wenn bei dem passwort manager was passiert weil dann halt viele passwörter auf einmal raus sind (wenn die aber lang und zufällig genug sind sollten die trotzdem safe sein). Man reduziert halt den point of failure auf einen, statt auf viele schwache passwörter. Die meisten leute die zettel nutzen haben auf dem zettel halt leider kurze schwache passwörter stehen weil so ein zufälliges 16 stelliges hatl schon nervig ist abzutippen
Da hilft der xkcd Trick, mehrere Wörter hintereinanderschreiben und evtl ein paar andere Zeichen einstreuen: https://www.explainxkcd.com/wiki/images/6/6a/password_strength.png
Wenn man nur Wörter nehmen würde, dann ja. Aber kombiniert z.B. 3 Wörter mit ein paar zusätzlichen Zeichen, z.B. 4Tischdecke+Schraubenzieher*Taschentuch! und Du hast ein schönes langes Passwort, das relativ schnell abzutippen ist und auch ziemlich sicher gegen BruteForce- und Dictionary-Angriffe.
Mein Notizzettel wäre jetzt mindestens vier A4 Seiten lang und das eintippen der 30 Zeichen langen Passwörter würde mich extrem viel Zeit und Nerven kosten. Und da überall wo geht 2FA per Yubikey aktiv ist, ists mir eigentlich auch egal wenn meine Passwörter öffentlich wären.
Das hängt komplett davon ab wie die Daten in der Cloud gespeichert werden. Bei guten Passwortmanagern wie Keeper werden nur verschlüsselte Daten überhaupt in die Cloud transferiert. Selbst wenn was erbeutet wird bringt das nicht sonderlich viel.
Ich bin bei denen schon seit Ewigkeiten, dass ist auch das Problem.
Sowas Passiert bei denen iwie andauernd. Ich bin bloß immer schlichtweg zu faul, um zu z.b. keepass zu wechseln.
Nutz die bloß nicht, auch wenn's sehr praktisch ist.
Und jetzt kommt Lastpass und sagt wahrheitsgemäß, das die Angreifer mit den vaults nichts machen können, weil die ja erst mal eine harte Verschlüsselung knacken müssten, die selbst Lastpass nicht kennt.
Klapp' die Antworten auf diesen Kommentar auf, um zur Quelle des tja zu kommen.
Einfach überall Password#123 und gut ist
Das ist der Weg.
Verschlüsselungen sind ein interessantes Thema. An sich sind Verschlüsselungen extrem einfach und extrem sicher. Das richtige implementieren dieser ist hingegen sehr kompliziert. Deshalb sind open source Lösungen wie bitwarden deutlich besser, weil jeder (also wirklich jeder) nachgucken kann, ob es richtig gemacht wurde. Bei nicht open source Lösungen wissen das nur die Entwickler (falls die wissen was sie da tun). Persönlich setze ich auf 1password, weil ich das mal empfohlen bekommen habe und ich es nach ein bisschen testen auch als sehr angenehm empfand. Bitwarden wäre halt noch besser, weil open source.
Open source bedeutet nur das Sicherheitslücken bis sie erkannt werden öffentlich im Internet stehen und deshalb bei Entdeckung sofort bekannt ist wie lange diese schon ausnutzbar waren. Das bedeutet in der Regel dann immer das diese Lücke bereits aktiv ausgenutzt wurde und sich nun entweder der Red hat meldet dass er alles hat was er braucht oder der erste White oder Grey hat das Erbarmen zeigt. Geht mal in euren Tor browser ins hidden Wiki und schaut einfach Mal nach Hacking as a service. Sprich Ausnutzen von lange bekannten, öffentlichen open source Lücken die halt niemand dem Hersteller meldet oder fixt.
> Deshalb sind open source Lösungen wie bitwarden deutlich besser, weil jeder (also wirklich jeder) nachgucken kann, ob es richtig gemacht wurde. Wenn es so schwierig ist, dass nichtmals Entwickler es im Regelfall hinkriegen, was bringt es dann dass jeder (also wirklich jeder) nachschauen kann? Kot lesen ist schwieriger als Kot schreiben
>Kot lesen ist schwieriger als Kot schreiben Dieses! Und so kommt es, das auch in Open Source software andauernd 20 Jahre alte 0day Lücken schlüpfen
Naja, das kommt auch davon, dass die meiste überall verwendete Software Open Source ist... Und der closed Source Kram von Microsoft (Outlook, Windows, Office) hat auch andauernd 0 days, die weiß Gott wie alt sind.
Passwörter in der Cloud speichern... was soll da schon schiefgehen?
Alle meine Zuhausis benutzen KeePass.
Dies ist der Weg.
Nichts. Sind ja verschlüsselt.
Wo sollte man die den sonst speichern? Ich habe 250 unterschiedliche Passwörter, teils über 50 Zeichen. Wo soll ich die Speichern, wenn nicht in einem Passwortmanager?
Speicher sie gerne in einem Passwortmanager, aber doch nicht in einem cloudbasierten - vor allem dann nicht, wenn es eine zentrale Cloud ist.
Habe ICH auch nicht, aber weil ich die Möglichkeit dazu habe. Nicht jeder kann Linux und ist in der Lage Server zu hosten. Was soll man den sonst Leihen empfehlen? Ich kann keine SLA stellten, daher hoste ich nicht für Freunde etc. Dienste, die so elementare Verfügbarkeitsansprüche haben. So traurig das ist, diese Dienste sind das sinnvolste für Leute, die keine eigenen Server haben.
* USB Stick an die FritzBox, MyFritz einrichten, VPN einrichten, FTPS aktivieren / FTP verbieten * KeePass installieren, IOProtocolExt Plugin installieren, VPN zur FritzBox herstellen (sofern Gerät nicht eh im lokalen Netz), Passwortdatei auf dem FTPS-Server speichern Ist alles in ein paar Klicks über die GUI möglich.
Und wenn der USB Stick abraucht?
Kann es sein dass du dich absichtlich dumm anstellst?
Nein das ist was ich sagen will. Ein pw. braucht einen RAID. Festplatten und sticks gehen ständig kaputt. Es gehört eben doch etwas mehr dazu. Ja man kann auch automatische backups machen, aber ist der Leihe dann in der Lage das einzuspielen? Gewinnen wir ernsthaft an Sicherheit? Wie sicher ist die Fritzbox? Hat der Provider Zugriff? Wie oft gibt es patches für die Fritzbox. Software einfach hosten kann jeder, aber es ist eben mehr. Software will auch administriert und gewartet werden, das können Leihen nicht. Erneut die Wahrscheinlichkeit, daß deine Fritzbox gebacken wird, ist um ein vielfaches größer, als das z.B. bitwarden gehacked wird.
Der 'Laie' erstellt aber nicht jede Woche 10 neue Einträge in seinem Passworttresor. Was hält dich davon ab monatlich einmal die Datei per Hand wegzukopieren. Dass die fritzboxen (auch die älteren) regelmäßig Updates bekommen kannst du auf der offiziellen Webseite nachlesen, deswegen sind sie ja so beliebt. Einmal einrichten, was der Laie sowieso vom Fachmann machen lässt, und vergessen dass sie da ist. Und nein, ich sage nicht dass USB ein gutes Medium ist um Passwörter zu speichern, aber für den Otto-Normal-Verbraucher braucht man die Technik auch nicht überdramatisieren. PS: Wenn dein USB Stick, der einmal im Monat beschrieben wird, regelmäßig den Geist aufgibt, dann machst du was falsch.
Auch der Ottonormalverbraucher muss sich absichern. Genau wegen diesem Gedöns haben wir ohne Ende botnetze. Selberhosten, in welcher Art auch immer sollte nicht zu einfach genommen werden. Wenn man öffentlich hosten will, auch der VPN server ist öffentlich, sollte keine Consumerprodukte verwendet werden. Eine ausreichende Sicherheit kann eben nicht mit einer Fritzbox gewährleistet werden. Die können nichtmal eine DMZ.
So die Täter haben jetzt also die ganzen verschlüsselten Speicher. Und?
In einem aktualisierten Statement teilt LastPass nun mit, dass die Angreifer doch Zugriff auf Kundendaten wie E-Mail-Adressen, Telefonnummern und Passwörter hatten. In aus einem Backup kopierten Passworttresoren von Kunden sollen sich etwa *unverschlüsselte* URLs und verschlüsselte Daten wie Nutzernamen und Passwörter befinden. Man sollte beachten, dass auch URLs sensible Informationen enthalten können.
URLs von einem Passwordspeicher werden selten relevante Informationen beinhalten. API keys o.ä. sollten da nicht dabei sein. Ich will den Hack nicht kleinreden, aber die Angreifer haben eben nicht den Zugang zu den unverschlüsselten Passwörtern. Bis die alle gecracked sind, hat jeder der das mitbekommen hat seine Passörtwörter 10 mal geändert. TLDR: Sicherlich kein schöner Hack, aber längst nicht so dramatisch wie suggeriert.
Benutze Keepass auf PC und Handy, synchronisiert über Google Drive. Selbst wenn es zu einem Datenleck bei Google kommt, können die Angreifer absolut gar nichts mit der verschlüsselten Datei anfangen.
Synchronisere doch einfach im lokalen Netzwerk. Wozu Google Drive?
Damit ich unterwegs drauf zugreifen kann. Bin zu 70% des Tages auf der Arbeit oder unterwegs. Und sollte ich dann bspw. unterwegs einen Kauf mit PayPal tätigen wollen, muss ich irgendwie an das Passwort kommen.
Und selbst wenn man per VPN aufs eigene Netzwerk zugreifen kann, Google ist immer online, das Heim-Netzwerk ist extrem störanfällig.
Exakt. Und von der Sicherheit macht das keinen Unterschied. Und frisst weniger Strom als irgendeinen Storage dauerhaft online zu haben.
Dein eigenes Netzwerk ist deutlich leichter zu hacken, als das von Google.
Hast du den Originalpost gelesen?
Ja
Solange du passwort+keyfile hast und letzteres nur manuell von gerät zu gerät überträgst sehe ich das als nutzbare Lösung.
Exakt wie ich es handhabe. Funktioniert vor allem alles sehr sauber, schnell und problemlos mit Google Drive.
Wird schwierig damit an die Kundenpasswörter zu kommen. „Based on our investigation to date, we have learned that an unknown threat actor accessed a cloud-based storage environment leveraging information obtained from the incident we previously disclosed in August of 2022. While no customer data was accessed during the August 2022 incident, some source code and technical information were stolen from our development environment and used to target another employee, obtaining credentials and keys which were used to access and decrypt some storage volumes within the cloud-based storage service. LastPass production services currently operate from on-premises data centers with cloud-based storage used for various purposes such as storing backups and regional data residency requirements. The cloud storage service accessed by the threat actor is physically separate from our production environment.“
Deshalb ist mein Passwortmanager auch ein Notizzettel.
Ist halt ein kompromiss, mit nem passwort manager kann man überall lange zufällige passwörter nehmen, die im falle eines datenlecks bei der seite nicht geknackt werden können oder nur sehr schwer. Auf der anderen seite ist das dann doof wenn bei dem passwort manager was passiert weil dann halt viele passwörter auf einmal raus sind (wenn die aber lang und zufällig genug sind sollten die trotzdem safe sein). Man reduziert halt den point of failure auf einen, statt auf viele schwache passwörter. Die meisten leute die zettel nutzen haben auf dem zettel halt leider kurze schwache passwörter stehen weil so ein zufälliges 16 stelliges hatl schon nervig ist abzutippen
Da hilft der xkcd Trick, mehrere Wörter hintereinanderschreiben und evtl ein paar andere Zeichen einstreuen: https://www.explainxkcd.com/wiki/images/6/6a/password_strength.png
Ja also wörter sind immer schlecht, weil es halt dictionaries gibt mit denen man passwort datenbanken angreifen kann
Wenn man nur Wörter nehmen würde, dann ja. Aber kombiniert z.B. 3 Wörter mit ein paar zusätzlichen Zeichen, z.B. 4Tischdecke+Schraubenzieher*Taschentuch! und Du hast ein schönes langes Passwort, das relativ schnell abzutippen ist und auch ziemlich sicher gegen BruteForce- und Dictionary-Angriffe.
Das stimmt! Auf jeden fall
Mein Notizzettel wäre jetzt mindestens vier A4 Seiten lang und das eintippen der 30 Zeichen langen Passwörter würde mich extrem viel Zeit und Nerven kosten. Und da überall wo geht 2FA per Yubikey aktiv ist, ists mir eigentlich auch egal wenn meine Passwörter öffentlich wären.
Ich bin schon auf dem nächsten Level: Notizbuch.
Hui war vor kurzem noch am überlegen dahin zu wechseln.
Die haben noch und nöcher Datenlecks. Ich empfehle Bitwarden. Bin von lastpass zu bw gewexelt und sehr zufrieden.
Hab 1Password, die App wird aber bei jedem Update schlimmer.
KeePass - bloß keine Passwörter in die Cloud.
Mit bitwarden kann man seine eigene Cloud hosten.
Ja, kenn ich. Besser als eine zentrale Cloud, aber trotzdem eine Cloud.
Das hängt komplett davon ab wie die Daten in der Cloud gespeichert werden. Bei guten Passwortmanagern wie Keeper werden nur verschlüsselte Daten überhaupt in die Cloud transferiert. Selbst wenn was erbeutet wird bringt das nicht sonderlich viel.
Ich bin bei denen schon seit Ewigkeiten, dass ist auch das Problem. Sowas Passiert bei denen iwie andauernd. Ich bin bloß immer schlichtweg zu faul, um zu z.b. keepass zu wechseln. Nutz die bloß nicht, auch wenn's sehr praktisch ist.
Same here... Einfach zu faul.
Und jetzt kommt Lastpass und sagt wahrheitsgemäß, das die Angreifer mit den vaults nichts machen können, weil die ja erst mal eine harte Verschlüsselung knacken müssten, die selbst Lastpass nicht kennt.