Passwort Management - Sinn/Unsinn & Empfehlungen - Forum - Page 47

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1090

24.12.2022 - 11:41

bitwarden kannst selbst hosten

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10952

24.12.2022 - 11:54

Zitat aus einem Post von smashIt
ihr habt alle eure passwörter einer externen bude anvertraut.
die sind gehackt worden.
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?
muss ich das verstehen?

ich wüsste sonst da keine "gscheide" Lösung. wäre aber für input e dankbar.

selbst aufm privatrechner möcht ichs nicht haben. aufm smartphone schon 2x nicht. sei es jetzt weil mir eine platte eingeht oder weil ich dann selbst gehackt werde. ist zwar noch nie passiert und mein unifi router sollt von vornherein vieles abfangen. aber sicher ist man auch da nie imo.

ich hab beim einstellen der letzten 2 tage gemerkt, dass ich meine 2 passwörter bei allen logins verwendet habe. DAS ist imo unsicher. nicht dran zu denken was da passiert wenn auch nur 1 gehackt wird. das waren zwar auch komplexe sätze in allen varianten (buchstaben groß/klein, zahlen, sonderzeichen)
aber eins war nur 11 zeichen lang.

wenn ich da nach passwortcheck.ch gehe, hätt das genau 5 monate gedauert per bruteforce.

wenn da was passiert brauch ich mal 1, 2 tage urlaub um alles wieder zu richten.

//ganz wichtig was auch TOM anführt:

Zitat
Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung.

tja...

Bearbeitet von sk/\r am 24.12.2022, 11:57

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7402

24.12.2022 - 11:54

Zitat aus einem Post von smashIt
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?

nö musst du nicht (gibt inzwischen genügend open-source/selfhosted lösungen dafür), aber ich geb dir folgenden denkansatz mit:

Diese riesen tech-unternehmen (Google & co.) und pwd-management Anbieter sind große zielscheiben für hacker wegen den wertvollen Daten.

Es ist und bleibt ein ewiges katz und maus spiel. Diese Unternehmen haben sehr sehr gute Leute und stecken sehr sehr viel Geld in die Sicherheit, da ein data-breach den Untergang für sie bedeuten könnte. Also hinsichtlich der Verfügbarkeit und zeitnahen Reaktion auf neue Lücken/Angriffsvektoren sind diese Unternehmen wohl besser aufgestellt, als eine self-hosted lösung.

Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung. (ich gehe hier pauschal davon aus, dass relativ viele den simplen weg gehen und ihren selfhosted vault am NAS laufen haben). Natürlich geht es sicherer, aber damit wird es auch aufwändiger mit öfter 'handarbeit' und ständiges reingreifen => Weniger Komfortabel

Es bleibt immer eine Abwägung von Security & Komfortabilität, soll jeder für sich entscheiden wie er es handelt... aber ich halte beide Lösungswege (selfhosted & hosted) für valide.

Es gibt PWD-Manager die durch ihren Track-Record mein Vertrauen haben (z.B. Bitwarden) und welche die mein Vertrauen verloren haben (z.B. Lastpass). Selbiges bei VPN-Anbietern etc.

btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka

Iceboy

Banned

Registered: Dec 2021
Location: Ottakring
Posts: 86

24.12.2022 - 12:55

Zitat aus einem Post von TOM
btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka

Wär nicht schlecht wenn Lastpass da mehr Auskunft geben würde. Mein Account dort wurde Jan 2021 gelöscht. Frage ist wie alt deren Backups sind.

JDK

Oberwortwart

Registered: Feb 2007
Location: /etc/graz
Posts: 2841

24.12.2022 - 18:44

Seh das wie TOM. Es ist ein Kompromiss aus Security und Komfort.
Bin mit 1Password nach wie vor zufrieden.

hynk

Super Moderator
like totally ambivalent

Registered: Apr 2003
Location: Linz
Posts: 11071

24.12.2022 - 19:25

Und die Masse verwendet heute noch Excel Listen und Post-Its...

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50169

24.12.2022 - 20:33

Zitat aus einem Post von hynk
Und die Masse verwendet heute noch Excel Listen und Post-Its...

Dass wird dank den Browsern deutlich weniger.

Wyrdsom

Komischer Kauz

Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7311

24.12.2022 - 20:47

Bin mal umgestiegen auf Enpass. Wirkt bisher ganz nice und läuft alles auch problemlos.

fresserettich

Here to stay

Registered: Jul 2002
Location: hier
Posts: 5430

26.12.2022 - 12:46

bei mir liegt die Keepass-Datei in der iCloud. Hab entsprechend langes PW gewählt.

Sicher nicht perfekt.

Muss mir das mit dem Auto-Fill für den Mac nochmal anschauen vermutlich muss ich mal umsteigen von Strongbox auf KeepassXC oder so ...

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12095

26.12.2022 - 13:12

Bei KeePass ist nicht nur die Laenge und Komplexitaet der Passphrase entscheidend, sonden auch die KDF, die man gewaehlt hat, um das Passwort zum Schluessel aufzublasen. KA, was unter KeePass 2 das Default ist, aber Argon2 sollte man sich schon goennen.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50169

26.12.2022 - 13:38

Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3554

26.12.2022 - 13:50

rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12095

26.12.2022 - 13:58

Zitat aus einem Post von UnleashThebeast
rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.

Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.

fresserettich

Here to stay

Registered: Jul 2002
Location: hier
Posts: 5430

26.12.2022 - 14:02

Zitat aus einem Post von Viper780
Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF

Danke auch von meiner Seite, da war ich noch veraltet. >Hab ich jetzt aktualisiert

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 10952

26.12.2022 - 14:04

Zitat aus einem Post von COLOSSUS
Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.

ich kenn mich da zuwenig aus.
aber wenn ich jetzt nach https://www.passwortcheck.ch/ gehe, ist mein masterpasswort 172 bit stark.
zuwenig? :eek:

Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1090	24.12.2022 - 11:41 bitwarden kannst selbst hosten
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10952	24.12.2022 - 11:54 Zitat aus einem Post von smashIt ihr habt alle eure passwörter einer externen bude anvertraut. die sind gehackt worden. und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder? muss ich das verstehen? ich wüsste sonst da keine "gscheide" Lösung. wäre aber für input e dankbar. selbst aufm privatrechner möcht ichs nicht haben. aufm smartphone schon 2x nicht. sei es jetzt weil mir eine platte eingeht oder weil ich dann selbst gehackt werde. ist zwar noch nie passiert und mein unifi router sollt von vornherein vieles abfangen. aber sicher ist man auch da nie imo. ich hab beim einstellen der letzten 2 tage gemerkt, dass ich meine 2 passwörter bei allen logins verwendet habe. DAS ist imo unsicher. nicht dran zu denken was da passiert wenn auch nur 1 gehackt wird. das waren zwar auch komplexe sätze in allen varianten (buchstaben groß/klein, zahlen, sonderzeichen) aber eins war nur 11 zeichen lang. wenn ich da nach passwortcheck.ch gehe, hätt das genau 5 monate gedauert per bruteforce. wenn da was passiert brauch ich mal 1, 2 tage urlaub um alles wieder zu richten. //ganz wichtig was auch TOM anführt: Zitat Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung. tja... Bearbeitet von sk/\r am 24.12.2022, 11:57
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7402	24.12.2022 - 11:54 Zitat aus einem Post von smashIt und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder? nö musst du nicht (gibt inzwischen genügend open-source/selfhosted lösungen dafür), aber ich geb dir folgenden denkansatz mit: Diese riesen tech-unternehmen (Google & co.) und pwd-management Anbieter sind große zielscheiben für hacker wegen den wertvollen Daten. Es ist und bleibt ein ewiges katz und maus spiel. Diese Unternehmen haben sehr sehr gute Leute und stecken sehr sehr viel Geld in die Sicherheit, da ein data-breach den Untergang für sie bedeuten könnte. Also hinsichtlich der Verfügbarkeit und zeitnahen Reaktion auf neue Lücken/Angriffsvektoren sind diese Unternehmen wohl besser aufgestellt, als eine self-hosted lösung. Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung. (ich gehe hier pauschal davon aus, dass relativ viele den simplen weg gehen und ihren selfhosted vault am NAS laufen haben). Natürlich geht es sicherer, aber damit wird es auch aufwändiger mit öfter 'handarbeit' und ständiges reingreifen => Weniger Komfortabel Es bleibt immer eine Abwägung von Security & Komfortabilität, soll jeder für sich entscheiden wie er es handelt... aber ich halte beide Lösungswege (selfhosted & hosted) für valide. Es gibt PWD-Manager die durch ihren Track-Record mein Vertrauen haben (z.B. Bitwarden) und welche die mein Vertrauen verloren haben (z.B. Lastpass). Selbiges bei VPN-Anbietern etc. btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka
Iceboy Banned Registered: Dec 2021 Location: Ottakring Posts: 86	24.12.2022 - 12:55 Zitat aus einem Post von TOM btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka Wär nicht schlecht wenn Lastpass da mehr Auskunft geben würde. Mein Account dort wurde Jan 2021 gelöscht. Frage ist wie alt deren Backups sind.
JDK Oberwortwart Registered: Feb 2007 Location: /etc/graz Posts: 2841	24.12.2022 - 18:44 Seh das wie TOM. Es ist ein Kompromiss aus Security und Komfort. Bin mit 1Password nach wie vor zufrieden.
hynk Super Moderator like totally ambivalent Registered: Apr 2003 Location: Linz Posts: 11071	24.12.2022 - 19:25 Und die Masse verwendet heute noch Excel Listen und Post-Its...
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50169	24.12.2022 - 20:33 Zitat aus einem Post von hynk Und die Masse verwendet heute noch Excel Listen und Post-Its... Dass wird dank den Browsern deutlich weniger.
Wyrdsom Komischer Kauz Registered: Mar 2012 Location: Jig-Jig Street Posts: 7311	24.12.2022 - 20:47 Bin mal umgestiegen auf Enpass. Wirkt bisher ganz nice und läuft alles auch problemlos.
fresserettich Here to stay Registered: Jul 2002 Location: hier Posts: 5430	26.12.2022 - 12:46 bei mir liegt die Keepass-Datei in der iCloud. Hab entsprechend langes PW gewählt. Sicher nicht perfekt. Muss mir das mit dem Auto-Fill für den Mac nochmal anschauen vermutlich muss ich mal umsteigen von Strongbox auf KeepassXC oder so ...
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12095	26.12.2022 - 13:12 Bei KeePass ist nicht nur die Laenge und Komplexitaet der Passphrase entscheidend, sonden auch die KDF, die man gewaehlt hat, um das Passwort zum Schluessel aufzublasen. KA, was unter KeePass 2 das Default ist, aber Argon2 sollte man sich schon goennen.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50169	26.12.2022 - 13:38 Danke Colo für die Erinnerung. Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein. Default ist aktuell noch AES-KDF
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3554	26.12.2022 - 13:50 rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12095	26.12.2022 - 13:58 Zitat aus einem Post von UnleashThebeast rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13. Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.
fresserettich Here to stay Registered: Jul 2002 Location: hier Posts: 5430	26.12.2022 - 14:02 Zitat aus einem Post von Viper780 Danke Colo für die Erinnerung. Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein. Default ist aktuell noch AES-KDF Danke auch von meiner Seite, da war ich noch veraltet. >Hab ich jetzt aktualisiert
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 10952	26.12.2022 - 14:04 Zitat aus einem Post von COLOSSUS Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen. ich kenn mich da zuwenig aus. aber wenn ich jetzt nach https://www.passwortcheck.ch/ gehe, ist mein masterpasswort 172 bit stark. zuwenig?

Passwort Management - Sinn/Unsinn & Empfehlungen

Forum Index > Software > Applications, Apps & Drivers

Snoop

sk/\r

TOM

Iceboy

JDK

hynk

Viper780

Wyrdsom

fresserettich

COLOSSUS

Viper780

UnleashThebeast

COLOSSUS

fresserettich

sk/\r