Hallo, wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC wirklich? Würdet ihr diese Datei in einer Clowd rumliegen lassen? Wie wahrscheinlich ist eine Sicherheitslücke, sodass Unbefugte an meine Passwörter kommen?
Ich würde NIEMALS irgendeiner Verschlüsselung trauen. Besonders nicht seit ich gelesen habe das es ein USA-Gesetz gibt was Geheimdiensten grundsätzlich Hintertürchen offen lassen muss. Damit das klar ist. Ich glaube nicht an Verschwörungsgeschichten, aber ich glaube fest an die Neugierde der Menschheit besonders der der Geheimdienste. Ergo lautet die Antwort : Finger weg von den Wölkchen. Das kann zu bösen sauren Regen führen.
fritz schrieb: > Hallo, > wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC > wirklich? Würdet ihr diese Datei in einer Clowd rumliegen lassen? Wie > wahrscheinlich ist eine Sicherheitslücke, sodass Unbefugte an meine > Passwörter kommen? Du kannst sie doch zusätzlich noch mit einer Schlüsseldatei und mit einem Hardwareschlüssel absichern. Das dürfte sogar für die X-Akten genügen :-)
Wenn es nicht 256Bit-Vollbitverschlüsselung ist, würde ich dem nicht trauen. ;-)
fritz schrieb: > wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC > wirklich? So sicher, dass ebendieses Programm in der aktuellen Version nach ein paar Wochen anfing, seine eigenen Files nicht mehr lesen zu können. KeePass2 konnte es aber, in die ältere Version aus dem normalen Repo statt Ubuntus Snap konnte auch.
Schlaumaier schrieb: > Ich würde NIEMALS irgendeiner Verschlüsselung trauen ... und deshalb lieber gleich alles unverschlüsselt rumliegen lassen, und unverschlüsselt übers Internet zu übertragen. ;-)
Nun ja, das ist alles Open source, und damit einsehbar. Da können auch Gesetze nichts dran ändern. Die Dateien sind nach menschlichem Ermessen aktuell sicher und nicht entschlüsselbar. Und trotzdem bleiben die auch bei mir schön zu Hause, und gehen nicht in die Cloud. Oliver
Schlaumaier schrieb: > Besonders nicht > seit ich gelesen habe das es ein USA-Gesetz gibt was Geheimdiensten > grundsätzlich Hintertürchen offen lassen muss. Deshalb kommt für mich zur Verschlüsselung nur OpenSource in Frage.
Oliver S. schrieb: > Und trotzdem bleiben die auch bei mir schön zu Hause, und gehen nicht in > die Cloud. Völlig richtig. Gilt auch für keine Dateien.
Wenn ich was verschlüsseln will benutzt ich eine digitale Version einer Enigma-Verschlüsselung. Die knackt für die nächsten 100 Jahre kein Supercomputer selbst wenn er den Code hat. Und der Code ist kinderleicht. ;( Ein ca. 100 Zeilen Basic-Code. ;)
Oliver S. schrieb: > Und trotzdem bleiben die auch bei mir schön zu Hause, und gehen nicht in > die Cloud. Naja, wenn die Datei immer zu Hause bleiben soll, dann brauche ich sie auch nicht. Dann schreibe ich nämlich alle meine Passwörter auf einen Zettel Papier. Den Fall, dass bei mir eingebrochen wird und der Einbrecher den richtigen Zettel findet, halte ich jetzt für extrem unwahrscheinlich.
Schlaumaier schrieb: > Wenn ich was verschlüsseln will benutzt ich eine digitale Version einer > Enigma-Verschlüsselung. > Die knackt für die nächsten 100 Jahre kein Supercomputer selbst wenn er > den Code hat. Lächerlich. Vollbitverschlüsselung ist noch immer das Maß der Dinge!
fritz schrieb: > Dann schreibe ich nämlich alle meine Passwörter auf einen > Zettel Papier. Ich benutze ein Karteikasten von Lidl . Gabs mal mit 400 Karteikarten in schönen blau für 4 Euro. Kein Witz. Schön brav auf keiner Karteikarte ein Etikett aus meinen Ql-560 drauf geklebt mit allen notwendigen Daten. Ich hasse "sichere" Passwörter. Besonders dann wenn die Idioten von Admins nicht mal in der Lage sind ihre Server sicher zu machen. Also wenn groß und kleinschreibung mit Zahlen ein Passwort sicherer macht. Es gibt eine perfekte Methode für das sichere Passwort. 10 Einlog-Versuche = Account TOT. Aber welche Webseite macht das. Also Karteikasten. Der ist sicher. Und ich habe schon einige Leute zum "schwarzen Buch" überredet. ;)
Schlaumaier schrieb: > Also Karteikasten. Der ist sicher. Vorausgesetzt die Einträge sind nicht einwegverschlüsselt, weil man seine eigene Sauklaue nicht lesen kann. ;-)
:
Bearbeitet durch User
Schlaumaier schrieb: > Besonders dann wenn die Idioten von Admins nicht mal in der Lage sind > ihre Server sicher zu machen. Also wenn groß und kleinschreibung mit > Zahlen ein Passwort sicherer macht. Der Idiot ist eher der, der so einen Unsinn von sich gibt. Gross- und Kleinschreibung mit eingestreuten Ziffern macht aus Serversicht nichts sicherer. Damit senkt (nicht eliminiert) man bloss die Wahrscheinlichkeit, dass User Passwörter verwenden, die in jedem Wörterbuch auftauchen. Stört mich auch, wenn meine zufällig generierten Passwörter mal nicht die Anforderungen erfüllen. Aber wenn man sich anguckt, welche Passwörter bei Hacks immer weit oben stehen, ist sowas leider notwendig. Schlaumaier schrieb: > Es gibt eine perfekte Methode für das sichere Passwort. 10 > Einlog-Versuche = Account TOT. Tolle Idee, so kann Dir jeder ganz simpel den Account sperren.
Um mal technisch zu bleiben hier die offizielle Seite von der Projektseite https://keepass.info/help/base/security.html#secdictprotect mfg
(prx) A. K. schrieb: > fritz schrieb: >> wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC >> wirklich? > So sicher, dass ebendieses Programm in der aktuellen Version nach ein > paar Wochen anfing, seine eigenen Files nicht mehr lesen zu können. Ups, ich benutze KeePassXC und hatte das noch nie. Wie lang ist das denn her?
Hmmm schrieb: > Gross- und Kleinschreibung mit eingestreuten Ziffern macht aus > Serversicht nichts sicherer. Damit senkt (nicht eliminiert) man bloss > die Wahrscheinlichkeit, dass User Passwörter verwenden, die in jedem > Wörterbuch auftauchen. Könnte man auch umgehen, indem man eine ziemlich hohe Mindestlänge vorschreibt. Ein langes Passwort/Satz aus Wörtern lässt sich leichter merken als ein gnAmbl78?!P. Blöd wenn man dann ein "Passwort zu lang" um die Ohren gepfeffert bekommt...
:
Bearbeitet durch User
zop schrieb: > Wie lang ist das denn her? Ein paar Tage. Ursache unbekannt. Am File lag es nicht, auch ältere Versionen konnten auf einmal nicht mehr gelesen werden. Der PC ist erst ein paar Wochen alt, läuft völlig stabil, memtest ok. Ziemlich mysteriös und irritierend.
:
Bearbeitet durch User
Hmmm schrieb: > Der Idiot ist eher der, der so einen Unsinn von sich gibt. Ich kenne min. 3 Firmen mit Milliardenumsatz die mir in den letzten 15 Jahren geschrieben haben das sie gehackt wurden weil hoch bezahlte Admins ihren Job nicht gemacht haben. Und ALLE Fälle gingen durch die Presse. Dazu noch ca.5 - 6 Firmen die viel weniger Umsatz machen. Und das sind nur die Fälle von den ich weiß weil ich mit den Firmen Kontakt hatte. Also träume weiter mit deinen sicher schönen blauen Augen.
Hmmm schrieb: > Schlaumaier schrieb: >> Es gibt eine perfekte Methode für das sichere Passwort. 10 >> Einlog-Versuche = Account TOT. > > Tolle Idee, so kann Dir jeder ganz simpel den Account sperren. Wie will er denn z.b. mein Bankzugang beim Online-Banking sperren. ?!? Da funktioniert die Methode nämlich. Und weist du Superheld auch warum. Weil mein Username NICHT meine EMAIL o. meine Kontonummer ist, sondern etwas was ich mir selbst aussuchen konnte. Und wenn man dann die Schnauze hält und die Infos nicht bei Facebook postet ist das so Sicher wie möglich. Dazu kommt die zusätzliche Sinnvolle Methode der 2-Faktor-Autentifzierung. Man kann schon. Bloß die Firmen sind zu geizig für ein SMS-Server bzw. zu faul das einzurichten. Da sind die Kosten wegen falscher Kundendaten /Indent-Diebsthl doch viel billiger. Paypal/Amazon z.b. ist das nicht. Da komme ich ohne SMS gar nicht erst rein. Allerdings auch erst seit die EU druck gemacht hat. Ergo auch die EU hat so alle 10 Jahre mal ne brauchbare Idee.
Schlaumaier schrieb: > Ich kenne min. 3 Firmen mit Milliardenumsatz die mir in den letzten 15 > Jahren geschrieben haben das sie gehackt wurden weil hoch bezahlte > Admins ihren Job nicht gemacht haben. Ich weiss nicht wie gut die Admins vom Wasserwerk bezahlt werden, falls es überhaupt welcher gibt: "Behördlichen Berichten zufolge konnten nicht nur alle Computer der Mitarbeiter auf die Steuerung des Wasserwerks zugreifen, sie waren auch alle ohne jeglichen Schutz direkt ans Internet angeschlossen, teilten sich ein Passwort für den Fernzugriff – per TeamViewer – und liefen mit dem längst nicht mehr unterstützten Betriebssystem Windows 7." https://www.heise.de/news/Hackerangriff-auf-Trinkwasser-Nur-ein-Passwort-Windows-7-und-Teamviewer-5053320.html
Ist es nicht heute eher so, dass die Angreifer über Sicherheitslücken in der verwendeten Software an die Passwörter und UserIDs etc. kommen? Da nützt dann auch das beste Passwort nichts. Da kann nur der Admin für Sicherheit sorgen, in dem die Passwörter sicher (salt, hash) gespeichert werden.
Moin, was ist eigentlich anders/besser bei KeePassXC gegenüber dem ursprünglichen KeePass? Sorry für die dumme Frage, aber ich nutze das "Original" KeePass seit 12 Jahren und habe eigentlich keine Features vermisst. Ich habe auf die Schnelle das hier gefunden: https://qastack.com.de/superuser/878902/whats-the-difference-between-keepass-and-keepassx aber es liest sich so wie diese HoneyPot-Fake-Foren, wo dann gleich im zweiten Beitrag der Amazon-Phishing-Link vom Bot gepostet wird: "Klicke hier, da wird jeder fündig!" - Nein danke!
fritz schrieb: > Hallo, > wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC > wirklich? Welches ist die interessanteste Datei auf einem Rechner ? Die Passwort-Datei. Die bildet quasi den hobey pot für Schnüffelnasen. Wer da echte Passwörter rein tut, fällt doppelt rein: Erst ist er sie los, d.h. er gibt sieden Schnüffelnasen.. Dann ist er sie los, d.h. wenn irgendetwas an Software nicht mehr funktioniert, die Datei korrupt ist, gelöscht wurde, das Masterpasswort nicht mehr passt, kennt er alle seine Passwörter nicht mehr. Und dann noch in eine Wolke packen, dem Zugriff von Jedem preis geben Man muss irrsinnig sein, ein Passwortsafe zu benutzen. Zumindest ein Duplikat auf Zettel im Schrank.
fritz schrieb: > wie sicher ist die kdbx-Datei (passwortgeschützt) von KeePassXC > wirklich? Die Verschlüsselungsverfahren werden angezeigt und sind soweit auch recht aktuell. Der Teil ist für mich aber gar nicht so wichtig. (s.u.) fritz schrieb: > Würdet ihr diese Datei in einer Clowd rumliegen lassen? Nö, würde ich aber auch nie. fritz schrieb: Wie wahrscheinlich ist eine > Sicherheitslücke, sodass Unbefugte an meine Passwörter kommen? Was soll das für eine Lücke sein? Das Ding liegt normalerweise auf deinem Rechner? Wenn es in der Cloud ist, hätte ich mehr Bedenken welche Rechenpower der Cloud-Dieb hat, wie schwach dein Passwort ist und ob er an deinen evtl benutzten Key kommt. MaWin schrieb: > Man muss irrsinnig sein, ein Passwortsafe zu benutzen. Zumindest ein > Duplikat auf Zettel im Schrank. Falls es interessiert: - Ich finde den Aufbau mit den Gruppen ganz praktisch. - Es bietet TOTP auf dem Desktop. - Ich nutze regelmäßig die Export-Funktion (CSV) für Backups. Aber ja, ich könnte auch ganz ohne Passwort leben, das ist wohl eher etwas für die Fraktion die auch einen Not-Aus-Knopf neben der Haustür falls sie mal unerwünschten Besuch von Vater Staat bekommen. (prx) A. K. schrieb: > zop schrieb: >> Wie lang ist das denn her? > Ein paar Tage. Ursache unbekannt. Danke. Mal schauen was da so kommt.
Schlaumaier schrieb: > Ich kenne min. 3 Firmen mit Milliardenumsatz die mir in den letzten 15 > Jahren geschrieben haben das sie gehackt wurden weil hoch bezahlte > Admins ihren Job nicht gemacht haben. War klar, dass sie sich dann erstmal bei Schlaumaier/Alexander/Pucki melden, um eine professionelle Einschätzung zu bekommen. Ich wage zu behaupten, dass in den letzten Jahren die meisten erfolgreichen Angriffe den User als Schwachstelle ausgenutzt haben, insbesondere durch Malware in Mail-Attachments. Und jetzt fang nicht mit Virenscannern und ähnlichem Quatsch an. Wirklich effektiv ist nur, User keinen beliebigen Code ausführen zu lassen. Schlaumaier schrieb: > Also träume weiter Im Gegensatz zu Dir kenne ich solche Themen nicht nur vom Hörensagen. Warum bist Du eigentlich kein "hoch bezahlter Admin", wenn Du Dich so gut auskennst? Schlaumaier schrieb: > Und weist du Superheld auch warum. > Weil mein Username NICHT meine EMAIL o. meine Kontonummer ist, sondern > etwas was ich mir selbst aussuchen konnte. Mag bei Deiner Bank so sein, ist aber bei vielen (z.B. der grössten hierzulande) anders. Aber selbst dann muss Dir nur mal jemand über die Schulter geguckt haben, z.B. die rachsüchtige Ex. Schlaumaier schrieb: > Bloß die Firmen sind zu geizig für ein SMS-Server bzw. zu faul das > einzurichten. Da kostet nicht nur die Einrichtung Geld, sondern auch jede einzelne SMS. Du wirkst immer wieder wie ein Fussballfan, der mit einem Dosenbier vor dem Fernseher sitzt und seiner Mannschaft zuruft, wie sie das Spiel gewinnen könnte.
(prx) A. K. schrieb: > Ein paar Tage. Ursache unbekannt. Am File lag es nicht, auch ältere > Versionen konnten auf einmal nicht mehr gelesen werden. Der PC ist erst > ein paar Wochen alt, läuft völlig stabil, memtest ok. Ziemlich mysteriös > und irritierend. Da muss ich mal neugierig fragen: Einzelfall oder reproduzierbar? Das ist nämlich wirklich irritierend...
Matthias L. schrieb: > Da muss ich mal neugierig fragen: Einzelfall oder reproduzierbar? Das > ist nämlich wirklich irritierend... Ich werde keinen Massentest durchführen. An dem Tag war es reproduzierbar, reboot und shutdown inklusive. Seither verwende ich die alte Version aus dem klassischen Repo, nicht die aus Snap. Wichtig ist aber: Die Files waren nicht defekt und konnten z.B. von KeePass2 verarbeitet werden.
Hmmm schrieb: > Mag bei Deiner Bank so sein, ist aber bei vielen (z.B. der grössten > hierzulande) anders. Aber selbst dann muss Dir nur mal jemand über die > Schulter geguckt haben, z.B. die rachsüchtige Ex. Soll sie doch. Meine Kreditkarte bekommt sie nicht. Und ohne die Bringen ihr Username und Passwort auch nix ;) Wie gesagt 2-Faktor-Autenifizierung. Und ich bin bei der Postbank. ;) https://www.heise.de/newsticker/meldung/Adobe-7-5-Millionen-Konten-der-Creative-Cloud-offen-im-Internet-einsehbar-4569845.html <- Perfekt passend zu Thema Was zu lesen für Leute wie dich. ;) Und DAS ist nicht der einzige ;) Amazon + Ebay und Paypal schicken mir eine SMS. Und dann wundern sich alle Händler wieso die Kunden zu Amazon rennen. Vielleicht deshalb weil sie glauben (wie ich auch) das ihre Daten da noch am sichersten sind. Hmmm schrieb: > Da kostet nicht nur die Einrichtung Geld, sondern auch jede einzelne > SMS. Klor kosten die Geld. 2 Cent vermutlich bei den Verträgen die die haben. + 0.2 Cent Serverkosten-Anteil. Die dürfen die Firmen mir ruhig auf den Preis der Ware drauf schlagen. ICH kann damit ruhig und sicher schlafen. ;) Ja ich das mit den Dummschwätzer habe ich schon von 20 Jahren im IRC gehört wenn es um Datensicherheit geht. Dann kam Snowden und einige Leute meinten "Du hattest so recht". ;).
(prx) A. K. schrieb: > Wichtig ist aber: Die Files waren nicht defekt und konnten z.B. von > KeePass2 verarbeitet werden. Na, immerhin. Danke!
(prx) A. K. schrieb: > Wichtig ist aber: Die Files waren nicht defekt und konnten z.B. von > KeePass2 verarbeitet werden. Doll. Zugriffs-Fehler wegen eines Bug. Und in den AGB steht "Der Hersteller haftet für gar nix und empfiehlt ein unverschlüsseltes Backup". Ich liebe die Wirtschaft. ;))
Schlaumaier schrieb: > Was zu lesen für Leute wie dich. ;) Und DAS ist nicht der einzige ;) Und ein Einzelfall sagt was aus? Genau, wenig. Mal etwas Statistik: https://www.gdv.de/de/medien/aktuell/e-mails-sind-das-groesste-einfallstor-im-mittelstand-32684 Schlaumaier schrieb: > Ja ich das mit den Dummschwätzer habe ich schon von 20 Jahren im IRC > gehört wenn es um Datensicherheit geht. ...und nichts daraus gelernt. Schlaumaier schrieb: > Und in den AGB steht "Der > Hersteller haftet für gar nix und empfiehlt ein unverschlüsseltes > Backup". Ich liebe die Wirtschaft. ;)) Du brabbelst also fleissig in einem Thread mit, in dem es um eine Anwendung geht, von der Du nicht mal weisst, dass es sich um kostenlose Open-Source-Software handelt. Ich frage mich wirklich, ob Du das für dein Ego brauchst (dann solltest Du besser nicht die Bewertungen Deiner Beiträge sehen) oder trollen willst.
Hmmm schrieb: > Du brabbelst also fleissig in einem Thread mit, in dem es um eine > Anwendung geht, von der Du nicht mal weisst, dass es sich um kostenlose > Open-Source-Software handelt. Das heißt also entweder bei Open-Source-Software gibt es keine Garantie und Support o. sie ist Fehlerfrei (was sie ja nicht ist). Und diese Open-Source-Software kann also jeder Hinz+Kunz ohne Erfahrung kompilieren und den Code verstehen. Man mach dir mal das Konzept von Open-Source-Software klar.
Schlaumaier schrieb: > Hmmm schrieb: >> Du brabbelst also fleissig in einem Thread mit, in dem es um eine >> Anwendung geht, von der Du nicht mal weisst, dass es sich um kostenlose >> Open-Source-Software handelt. > Das heißt also entweder bei Open-Source-Software gibt es keine Garantie > und Support o. sie ist Fehlerfrei (was sie ja nicht ist). Und diese > Open-Source-Software kann also jeder Hinz+Kunz ohne Erfahrung > kompilieren und den Code verstehen. > Man mach dir mal das Konzept von Open-Source-Software klar. Klingt wie Closed-Software, oder wo bekommt der Privat-Käufer da Support? Du solltest dir mal die AGB deiner Closed-Software anschauen bzw "man, mach dir mal das Konzept von Closed-Software klar". Bei beiden: Geht man auf die Webseite seiner Wahl (Suchmaschine, Forum, Herstellerseite usw) und sucht bzw fragt nach dem Fehler. Oft ist man gar nicht der Anwender sondern der Nachbar, Freund, usw der das macht für lau macht.
fritz schrieb: > wie sicher Die aktuelle c't 13.01.2021 hat Passwortmanager getestet. Mit Rücksicht auf den Forenbetreiber lege ich den Auszug extern ab (pdf 13,5 Mb): https://cjoint.net/?mqpcxo3nl5rjgjf6xi79
ReDuckTöhr schrieb: > Die aktuelle c't 13.01.2021 hat Passwortmanager getestet. Einen Teil kann auch in dem c't uplink 36.6 angeschaut werden. https://heise.de/-5048668 https://www.youtube.com/watch?v=1NxV6Gvo150
Schlaumaier schrieb: > Amazon + Ebay und Paypal schicken mir eine SMS. Ist mir bei Amazon und Paypal noch nie passiert.
Schlaumaier schrieb: > Ergo lautet die Antwort : Finger weg von den Wölkchen. Das kann zu bösen > sauren Regen führen. Ich dachte, der Sinn von Passwortmanagern wäre, die Datenbank auf einer Cloud vorzuhalten um immer von überall darauf zugreifen zu können. Nutzt man die Passwörter nur von zu Hause, kann man diese ja auch auf einen Zettel schreiben. Die Wahrscheinlichkeit, dass eingebrochen wird und der Zettel in falsche Hände gelangt, ist ja verschwindend gering. Auch gibt es heutzutage leider immer weniger benutzerfreundliche Möglichkeiten, die Daten ohne Umweg über eine Cloud vom PC aufs Smartphone zu bringen. Einfach verbinden mit USB-Kabel und Zugriff aufs Smartphone wie auf einen USB-Stick funktioniert bei immer mehr Modellen nicht mehr.
gisto schrieb: > Auch gibt es heutzutage leider immer weniger benutzerfreundliche > Möglichkeiten, die Daten ohne Umweg über eine Cloud vom PC aufs > Smartphone zu bringen. Einfach verbinden mit USB-Kabel und Zugriff aufs > Smartphone wie auf einen USB-Stick funktioniert bei immer mehr Modellen > nicht mehr. Dazu gibt's Syncthing (Windows, Linux, div. BSDs, Mac OS, Android). https://syncthing.net/
gisto schrieb: > Einfach verbinden mit USB-Kabel und Zugriff aufs > Smartphone wie auf einen USB-Stick funktioniert bei immer mehr Modellen > nicht mehr. Das liegt an den Leuten, die die Dinger trotzdem kaufen
my2ct schrieb: > gisto schrieb: >> Einfach verbinden mit USB-Kabel und Zugriff aufs >> Smartphone wie auf einen USB-Stick funktioniert bei immer mehr Modellen >> nicht mehr. > > Das liegt an den Leuten, die die Dinger trotzdem kaufen Man hat ja keine Wahl wenn man ein aktuelles Smartphone will. Andere Sachen wie Wechselakku, Speicherkartenslot, Klinkenbuchse gibt es ja auch immer weniger.
Das Problem bei den Passwort-Managern ist, dass die Passwörter unverschlüsselt im Arbeitsspeicher landen und dort ausgespäht werden können. https://www.handelsblatt.com/technik/digitale-revolution/studie-spuren-im-arbeitsspeicher-die-achillesferse-der-passwortmanager/24024292.html?ticket=ST-3410088-zfB3wSwXsSAoZYFweRNW-ap6 Das betrifft jetzt nicht die Cloud, sondern jedes Endgerät wo der Passwort-Manager benutzt wird.
Das Problem hat die verschlüsselt abgespeicherte Tabelle der Passwörter aber auch, insbesondere wenn die Passwörter daraus per copy&paste übernommen werden... Dagegen hilft dann wohl nur die Papier-Version der Tabelle, aus der die Passwörter wirklich Zeichen für Zeichen abgetippt werden - aber wo legt man so einen Zettel nun wieder sicher ab? Irgendwas ist immer.
(prx) A. K. schrieb: > Schlaumaier schrieb: >> Ich würde NIEMALS irgendeiner Verschlüsselung trauen > > ... und deshalb lieber gleich alles unverschlüsselt rumliegen lassen, > und unverschlüsselt übers Internet zu übertragen. ;-) Das ist der beste Schutz.Wer rechnet schon damit,dass es noch Leute gibt die gar nix verschluesseln was im Schlaumeier's Fall dazu fuehrt,das die Chinesen,Russen und Amis versuchen dass, was eigentlich schon die Loesung waere verzweifelt zu entschluesseln.Unter disen falschen Ueberlegungen hilft dann den Chinesen ihr momentan schnellster Rechner "Tianhe-2" mit einer Rechenleistung von mehr als 33 Petaflops auch nicht weiter. Grundsaetzlich gilt fuer mich: 1.Daten wie Passwoerter werden verschluesselt-um es dem Emil um die Ecke etwas schwerer zu machen mir groesseren Schaden zuzufuegen 2.Haustuere schliesse ich ab - auch wenn ich weiss,dass man durch das Fenster leicht einbrechen kann 3.Mein Geldbeutel trage ich versteckt innerhalb einer Jackentasche und haenge mir das Ding nicht offen um den Hals.Das alleine reduziert schon mal die Gefahr als wandelnder Goldesel angesehen zu werden. 3.etc.... Einfach etwas gesunden Menschenverstand anwenden.Etwas verstecken oder verschluesseln ist keine Garantie komplett geschuetzt zu sein aber man kann Wegelagerer/Diebesgesindel ihr Handwerk um einiges erschweren.
Matthias L. schrieb: > Dagegen hilft dann wohl nur die Papier-Version der Tabelle, aus der die > Passwörter wirklich Zeichen für Zeichen abgetippt werden - aber wo legt > man so einen Zettel nun wieder sicher ab? Irgendwas ist immer. Der Angreifer muss dann erst in meine Wohnung einbrechen und den Zettel finden. Das ist extrem unwahrscheinlich.
Hmmm schrieb: > Gross- und Kleinschreibung mit eingestreuten Ziffern macht aus > Serversicht nichts sicherer. Das ist so nicht richtig. Denn man erhöht so die Anzahl der möglichen Kombinationen. Vor allem wenn die Großbuchstaben auch mal an einer anderen Stelle kommen, als beim ersten Zeichen.
Pete K. schrieb: > Ist es nicht heute eher so, dass die Angreifer über Sicherheitslücken in > der verwendeten Software an die Passwörter und UserIDs etc. kommen? > Da nützt dann auch das beste Passwort nichts. Da kann nur der Admin für > Sicherheit sorgen, in dem die Passwörter sicher (salt, hash) gespeichert > werden. Ja, so war das früher. Die Situation wird aber besser. Vor allem nutzen viele Webseiten inzwischen komplexe Frameworks, da wird das dann gleich mit sicheren Verfahren berücksichtigt.
Matthias L. schrieb: > Das Problem hat die verschlüsselt abgespeicherte Tabelle der Passwörter > aber auch, insbesondere wenn die Passwörter daraus per copy&paste > übernommen werden... > > Dagegen hilft dann wohl nur die Papier-Version der Tabelle, aus der die > Passwörter wirklich Zeichen für Zeichen abgetippt werden - aber wo legt > man so einen Zettel nun wieder sicher ab? Irgendwas ist immer. Na und die eingetippten Zeichen landen nicht im Arbeitsspeicher und können dort ausgespäht werden? Die ganze Problemstellung ist schon noch etwas komplizierter, und ich gebe Dir recht: Irgendwas ist immer.
Alter Sack schrieb: > Na und die eingetippten Zeichen landen nicht im Arbeitsspeicher und > können dort ausgespäht werden? Noch einfacher - da das von Harald geschilderte Problem mit den Spuren im Arbeitsspeicher einem Angreifer auch nur dann nützt, wenn er Schadsoftware auf dem auszuspähenden Rechner plaziert hat, müsste er für Papier-Passwörter gar nicht mühselig im Arbeitsspeicher herumsuchen, sondern könnte einen Keylogger nutzen... Alter Sack schrieb: > Die ganze Problemstellung ist schon noch etwas komplizierter, und ich > gebe Dir recht: Irgendwas ist immer. Tja, leider.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.