smashIt
master of disaster
|
und falls jemand zu 1Password gewechselt ist: Okta-Hack betrifft auch 1PasswordDer Anbieter des Passwortmanagers 1Password hat nach eigenen Angaben verdächtige Aktivitäten in einer internen Okta-Instanz festgestellt. Beim Anbieter des weitverbreiteten Passwortmanagers 1Password ist es kürzlich zu einem Sicherheitsvorfall gekommen, der mit dem jüngsten Cyberangriff auf den Identitätsdienst Okta in Zusammenhang steht. Wie 1Password in einem neuen Blogbeitrag erklärte, stellte das Unternehmen am 29. September verdächtige Aktivitäten in einer für die Verwaltung von mitarbeiterorientierten Anwendungen eingesetzten Okta-Instanz fest. Einem weiterführenden Bericht (PDF) zufolge war der Auslöser für die Untersuchungen wohl eine von einem Mitglied des IT-Teams von 1Password unerwarteterweise empfangene E-Mail. Diese habe den Mitarbeiter informiert, dass er einen Okta-Bericht mit einer Liste von Administratoren angefordert habe – was jedoch nicht der Fall gewesen sei. Link: www.golem.de
|
rad1oactive
knows about the birb
|
Aus dem artikel: Bei den durchgeführten Untersuchungen habe 1Password keinerlei Hinweise darauf gefunden, dass "Benutzerdaten oder andere sensible Systeme gefährdet waren, weder auf der Seite der Mitarbeiter noch auf der Seite der Benutzer". Einfallstor der Angreifer sei das gehackte Supportsystem Oktas gewesen. Aber trotzdem ungut :-/
|
COLOSSUS
AdministratorGNUltra
|
|
Daimyo
Bloody Newbie
|
Ob der vielen Hacks überlege ich jetzt auch von einer zentralen Lösung auf eine "self-hosted lite" Lösung zu wechseln. Enpass würde sich da ganz gut anbieten, da man anscheinend die Datenbank ins eigene Google Drive oder Dropbox legen kann.
Hat jemand von euch Erfahrungen damit? Funktioniert das Passwort-Sharing bei Enpass auch bei der Self-Hosted Variante?
|
Smut
takeover & ether
|
Enpass ist 1a. lifetime Lizenz haben sie auch. Verwende es mit Sync via WebDAV seit Jahren.
Passwort sharing hab ich nicht im Einsatz. Man kann sich aber einen fault jedenfalls teilen in der self hosted. Also ein vault pro Teilnehmerkreis.
|
sk/\r
i never asked for this
|
Ob der vielen Hacks überlege ich jetzt auch von einer zentralen Lösung auf eine "self-hosted lite" Lösung zu wechseln. Enpass würde sich da ganz gut anbieten, da man anscheinend die Datenbank ins eigene Google Drive oder Dropbox legen kann.
Hat jemand von euch Erfahrungen damit? Funktioniert das Passwort-Sharing bei Enpass auch bei der Self-Hosted Variante? wenn selfhosted dann ganz klar keepass.
|
Daimyo
Bloody Newbie
|
wenn selfhosted dann ganz klar keepass. Danke, hatte ich auch ins Auge gefasst. Da ists aber mit der Usability eher suboptimal. Für mich auch ein wichtiger Punkt.
|
XeroXs
doh
|
Sofern das Security Konzept von 1p wirklich so ist und nicht nur in ihren Whitepapers so steht, wäre es ja auch ziemlich egal wenn jemand die Vaults rausträgt, weil 1p ja die Keys eh nicht hat..
Traue ihnen prinzipiell schon zu dass sie mit den Daten besser umgehen als ich es jemals könnte..
|
davebastard
Vinyl-Sammler
|
selfhosted könnte man sich auch bitwarden ansehen
|
COLOSSUS
AdministratorGNUltra
|
selfhosted könnte man sich auch bitwarden ansehen Dann lieber Vaultwarden, das ist zumindest weniger fett.
|
quilty
Ich schau nur
|
Ich hab auch lange überlegt bzgl. Self-Host und mich dann dagegen und für 1p entschieden. Wenn man ordentlich hosten will ist man preislich nicht wirklich besser unterwegs und selbst dann schätze ich die Gefahr eines (Total-)Verlust bei Self-Host höher ein als bei 1p.
Auch der Integrationsvergleich (Apps/Browser/OS) fiel bei meiner Evaluierung klar zugunsten von 1p aus.
|
charmin
Super Moderator10x
|
Danke, hatte ich auch ins Auge gefasst. Da ists aber mit der Usability eher suboptimal. Für mich auch ein wichtiger Punkt. Hab auch Enpass und bin sehr zufrieden. Daheim im Netz läuft ein docker mit dem Enpass Server und der synchronisiert die Passwörter auf alle Geräte wie Handy, PC, Laptop. Ich mags
|
Daeda
Here to stay
|
hat sich passbolt mal wieder jemand angesehen? wurde hier nur 2020 und 2021 mal kurz erwähnt, aber die dürften sich inzwischen (gut?) weiterentwickelt haben. wir warten da @work eigentlich nur noch auf die native desktop app, die gerade in entwicklung ist, und werden dann vermutlich umsteigen (von keepass mit via intranet geshareter db).
privat würde mir die browser extension + mobile app von passbolt eigentlich schon reichen, bzw tut es das jetzt mit proton pass auch schon. keepass vermisse ich daweil wirklich nicht.
|
tialk
Here to stay
|
+ vaultwarden, von keepass (nach 1-2jahren jetzt keepass komplett abgelöst)
|
dio
Here to stay
|
Ich hab wirklich schon darüber nachgedacht, selbst Bitwarden am Server laufen zu lassen. Jetzt les ich hier noch viele weitere andere Programme - kann mal was einfach sein?
|