schizo
Produkt der Gesellschaft
|
Solange die Developer Tools aktiviert sind bringt dir das Setting aber auch nichts gegen User, die Passwörter auslesen wollen.
|
Smut
takeover & ether
|
Das ist halt auch kein brauchbarer Schutz, solange das Eingabefeld manipuliert werden kann. Vor einfachen screen captures schon. viele Trojaner machen Screenshots und keystroke logging, einfach so. Wenigere sind dann auf keyfiles spezialisiert. Hab selbst schon zero days gesehen die aus chrome heraus die keypass files stehlen, das ist aber eine andere Liga. wer sich davor schützen will arbeitet mit copy&Paste von einem Smartphone + MFA. für apple User BTW. Relativ gut möglich aufgrund von clipboard sharing (geht auch mit der Watch). Windows/linux umständlicher bzw nicht möglich.
|
schizo
Produkt der Gesellschaft
|
Mir gings da eher darum die Berechtigungen als wirksamen Schutz gegen das Auslesen der Passwörter von Mitarbeitern zu propagieren.
|
Smut
takeover & ether
|
Mir gings da eher darum die Berechtigungen als wirksamen Schutz gegen das Auslesen der Passwörter von Mitarbeitern zu propagieren. Achso. Da diese ohnehin Zugriff haben eher als Hürde zu sehen. Ultimativen Schutz kannst sobald die Passwortfile ausgehändigt wird nicht erreichen.
|
mr.nice.
differential image maker
|
Solange die Developer Tools aktiviert sind bringt dir das Setting aber auch nichts gegen User, die Passwörter auslesen wollen. Richtig, auch die developer tools kann man über ein setting ausschalten. Ich will jetzt nicht zu viel Werbung machen, aber über das Enterprise Portal kann man in Myki echt viel machen. Du kannst Sicherheitsrichtlinien erstellen ob ein Login erlaubt ist oder nicht aufgrund von Standortinformationen, IP-Adressen und zeitbasiert. Es gibt auch ein Echtzeit-Dashboard wann, welche credentials von wem verwendet wurden. Gegebenenfalls kann man User aus den Enterprise-Zugängen aussperren, dann haben sie nur noch Zugriff auf ihre private vault.
Bearbeitet von mr.nice. am 30.12.2021, 11:00
|
JDK
Oberwortwart
|
Vor einfachen screen captures schon.
viele Trojaner machen Screenshots und keystroke logging, einfach so. Wenigere sind dann auf keyfiles spezialisiert. Hab selbst schon zero days gesehen die aus chrome heraus die keypass files stehlen, das ist aber eine andere Liga.
wer sich davor schützen will arbeitet mit copy&Paste von einem Smartphone + MFA. für apple User BTW. Relativ gut möglich aufgrund von clipboard sharing (geht auch mit der Watch). Windows/linux umständlicher bzw nicht möglich. Geht‘s da nur ums Clipboard Sharing? Android und Linux können das mit KDE Connect bequem. Das geht mir bei der Kombo iPhone + Linux momentan leider auch ab.
Bearbeitet von JDK am 30.12.2021, 12:27
|
JDK
Oberwortwart
|
doppelpost. pls del
Bearbeitet von JDK am 30.12.2021, 12:27
|
Smut
takeover & ether
|
im wesentlichen um clipboard sharing, genau. dadurch kannst mit einem mac setup gerade die sicherheit stark erhöhen ohne wirklich umbauen zu müssen. für die, die es haben ein nice to have.
wird sicher auch bald passwort manager implementierunge geben, die das so handhaben. plugin auf der OS-seite/browser-seite und dann wird aus der smartphone app das passwort requested. dadurch muss einfach die file nicht dauerhaft zugänglich am pc vorhanden sein. ist natürlich nix für 0815 websites da die authentication dadurch schon länger benötigt, aber für alles heiklere imho the way to go.
|
Viper780
ElderEr ist tot, Jim!
|
Wir setzen den Pleasant Password Server ein.
Funktioniert recht gut, hat ein nettes Webinterface und als Client eine angepasste Keepass Version weshalb ich mich gleich zu Hause gefühlt hab.
|
schizo
Produkt der Gesellschaft
|
Richtig, auch die developer tools kann man über ein setting ausschalten. Und dann musst du noch aufpassen, dass Autocomplete nicht auf die falschen Header geht. Bei Keepass ist es - insofern nicht auf URLs eigegrenzt wird - etwa möglich, einen Editor zu öffnen und ein File mit dem Namen overclockers.at.txt zu erstellen und dort rein das Autocomplete die Credentials pasten zu lassen. Weiters gäbe es noch die Möglichkeit, Portable Browserversionen zu verwenden, um deine Limitierungen zu umgehen. So gerne ich Passwortmanager gerne selbst verwende, das Bereitstellen von Passwörtern ohne diese einsehen zu können sehe ich kritisch und sollte wenn möglich an diverse Server mittels SSO ausgelagert werden. Bei gesharten Zugängen muss einem eben bewusst sein, dass die Passwörter nach Mitarbeiterabgängen geändert werden sollten und sich nicht in Sicherheit gewiegt werden, dass diese eh keinen Zugriff auf die Cleartext Passwörter hatten.
|
Bogus
C64 Generation
|
Und dann musst du noch aufpassen, dass Autocomplete nicht auf die falschen Header geht.
Bei Keepass ist es - insofern nicht auf URLs eigegrenzt wird - etwa möglich, einen Editor zu öffnen und ein File mit dem Namen overclockers.at.txt zu erstellen und dort rein das Autocomplete die Credentials pasten zu lassen.
Weiters gäbe es noch die Möglichkeit, Portable Browserversionen zu verwenden, um deine Limitierungen zu umgehen.
So gerne ich Passwortmanager gerne selbst verwende, das Bereitstellen von Passwörtern ohne diese einsehen zu können sehe ich kritisch und sollte wenn möglich an diverse Server mittels SSO ausgelagert werden.
Bei gesharten Zugängen muss einem eben bewusst sein, dass die Passwörter nach Mitarbeiterabgängen geändert werden sollten und sich nicht in Sicherheit gewiegt werden, dass diese eh keinen Zugriff auf die Cleartext Passwörter hatten. mir gefällt deine einstellung. dazu muss ich dann aber fragen, wie du selbst mit den 100tausend seiten und diensten umgehst, für die man nun mal passwörter braucht. aus meiner sicht betrachtet: ca im jahr 2000 hatte ich schon 'krasse' passwörter die man seinerzeit mit bruteforce nicht erraten hätte. davon hatte ich aber nur 2-3 insgesamt. ich war damals aber auch nicht bei 100k seiten registriert. irgendwann fand ich es dann besser überall ein random passwort zu haben. diese hatte ich alle in meinem email-konto gespeichert. auch keine lösung. mittlerweile bin ich der meinung das an einem pw-manager so gut wie kein weg vorbei führt. perfekt wird das aktuell gerade dadurch das 2fa fast überall angekommen ist. und damit hat man aber zwangläufig das problem, dass man selbst kompromitiert ist, sobald einer der genutzten dienste kompromitiert wurde. egal ob ein webmail-dienst wie gmx oder gmail, 1pass oder lastpass, google auth, etc. natürlich vertraue ich den großen dienste in vielerlei hinsicht eher als meinen proriäteren lösungen. aber dadurch wird auch das interesse größer eben diese dienste zu hacken, und nicht mein privates 08/15 system. man denke aktuell nur an log4j. eigentlich ein wahnsinn das sowas passieren kann. und für alle absoluten freaks hier: es ist für mich nicht praktikabel einen usb-stick mitzutragen um zu arbeiten. das ist über meiner lohnstufe
|
mr.nice.
differential image maker
|
Schizo, ich seh das eh ähnlich wie du, aber man muss nicht alles einsehen können, z.B. was Kreditkarten oder Bankzugänge von Firmen betrifft. Auch als Selbstschutz bzw. Psychohygiene, ich weiß z.B. heute noch den Win XP MAK Schlüssel meines ersten Arbeitgebers in der IT. Sinnloses Wissen von sich fernzuhalten ist auch wertvoll.
|
schizo
Produkt der Gesellschaft
|
mir gefällt deine einstellung. dazu muss ich dann aber fragen, wie du selbst mit den 100tausend seiten und diensten umgehst, für die man nun mal passwörter braucht. Ich verwende selbst eh auch Keepass und generiere für jede Seite ein eigenes >=20 stelliges Passwort. Schizo, ich seh das eh ähnlich wie du, aber man muss nicht alles einsehen können, z.B. was Kreditkarten oder Bankzugänge von Firmen betrifft. Auch als Selbstschutz bzw. Psychohygiene, ich weiß z.B. heute noch den Win XP MAK Schlüssel meines ersten Arbeitgebers in der IT. Sinnloses Wissen von sich fernzuhalten ist auch wertvoll. Sehe ich auch so, besser Informationen nicht einsehen zu können als darauf zu vertrauen, dass diese durch eine proprietäre Software eh versteckt werden, während Zugriff auf die Passwörter eben doch möglich ist. Da sollen die Anwender eben nichtmal Zugriff auf die entsprechende Passwort DB haben, bzw. der Zugriff Serverseitig auf kritische Informationen unterbunden werden. Es sollte eben nicht darauf vertraut werden müssen, dass etwaige Personen eh keinen Schindluder mit Informationen treiben. Und dazu gehört eben auch eine realistische herangehensweise an die verwendeten Tools.
|
daisho
VereinsmitgliedSHODAN
|
Die größten Challenges sind imho die eigene Faulheit und schlechte Implementierungen. Nutze selbst immer noch das klassische KeePass (nicht XC) ohne Plugins und Username/Password via Clipboard > Copy & Paste bzw. Drag&Drop. Habe noch nicht einmal über Autofill o.Ä. nachgedacht, wobei der Komfort schon gut wäre. Was mich noch etwas stört ist das Master Passwort das ich doch recht lang gewählt habe - ein SSO dafür wäre sicher nicht schlecht, da sollte ich mir mal etwas einrichten. Das andere große Problem sind imho viele Services/Websites die shitty Passwort-Implementationen haben. Entweder sehr limitierte Zeichenanzahl aber noch schlimmer finde ich wenn Passwörter akzeptiert werden aber dann nicht richtig eingelesen bzw. abgespeichert werden (falsche Zeichen oder truncated z.B.) und dann ein Login plötzlich nicht möglich  Auch das jeder sein eigenes Süppchen kocht mit keine / oder " oder oder oder weil sie nicht richtig escapen und ihre eigentlichen Code-Probleme nur verbergen indem sie die Zeichen nicht zulassen und dann bleiben am Ende manchmal fast nur noch Alphanumerische Character übrig. Meine Frau verweigert bislang immer noch Passwort-Manager weil sie bei mir sieht wie umständlich das ist und weil ich unterwegs keine Passwörter abrufen kann (ist aber halt meine eigene Entscheidung und muss ja nicht so sein ...) 
|
JDK
Oberwortwart
|
Ich hab meine relativ rasch von 1Password überzeugen können, was zum Großteil einfach an Plattform-übergreifenden Sync liegt und der Rest am Bedienkomfort.
|
Anmeldung