1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Passwortverwaltung: Lastpass…

Lieber KeePassX...

  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Lieber KeePassX...

    Autor: katzenpisse 16.06.15 - 09:03

    ... als zentrale Passwortverwaltung in der Cloud. So etwas zieht doch Hacker förmlich an.

  2. Re: Lieber KeePassX...

    Autor: jaybus56 16.06.15 - 09:49

    war auch mein Gedanke. So ein Dienst ist (auch ungewollt) ein "Honey Pot". Lokale Password Safes sind aber auch nicht sicher - nur vielleicht sicherer...

  3. Re: Lieber KeePassX...

    Autor: Anonymer Nutzer 16.06.15 - 09:59

    jaybus56 schrieb:
    --------------------------------------------------------------------------------
    > war auch mein Gedanke. So ein Dienst ist (auch ungewollt) ein "Honey Pot".
    > Lokale Password Safes sind aber auch nicht sicher - nur vielleicht
    > sicherer...

    Sofern es keine Fehler in der Implementierung (Spruch die Anwendung verschlüsselt ordentlich) gibt ist eine lokale Passwortapp genau so sicher wie das Master Passwort.

    Auf einem BlackBerry werden die Passwörter zum Beispiel nach 10 falschen Eingabe gelöscht.
    -> soweit ich weiß ist keine Exploit bekannt.

    Einfach dadurch dass es verteilt ist lohnt sich ein Angriff schon nicht es sei denn das Ziel ist wirklich wertvoll - da wird dann aber auch lieber auf Social Engineering zurückgegriffen.
    Wenn Passwörter und nutzendes Gerät getrennt sind (z.B. PC und Handy) erhöht dies die Sicherheit weiter da die Passwörter nicht nebenbei ausgelesen werden können.

    Am Ende ist eine (gute) lokale Passwortapp genauso sicher wie ein Blatt Papier in einem Safe - 100-prozentige Sicherheit gibt es nicht, aber man kann es schon ziemlich sicher machen.

  4. Re: Lieber KeePassX...

    Autor: phre4k 16.06.15 - 11:10

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > [Lieber KeePassX] als zentrale Passwortverwaltung in der Cloud. So etwas zieht doch
    > Hacker förmlich an.

    Spende mal für die Entwicklung von 2.0, ich hab langsam kein Geld mehr :D

  5. Re: Lieber KeePassX...

    Autor: nicoledos 16.06.15 - 11:25

    Nutze KeePassX in einem per encfs verschlüsselten Ordner. Das Ding wird nur geladen, wenn es wirklich benötigt wird.

  6. Re: Lieber KeePassX...

    Autor: Didatus 16.06.15 - 11:37

    KeePassX läuft in den meisten Fällen auch auf Rechnern, die im Internet sind. Von daher auch nicht wirklich viel sicherer. Ich verwende für sensible Passwörter (Passwort zum OnlineBanking, Server Zugangsdaten, etc.) MooltiPass. Damit habe ich die Daten auf einem externen portablen Gerät, welches nicht mit dem Internet verbunden ist und über eine simulierte USB Tastatur eingegeben werden können. Kein Zugriff vom Computer auf das Gerät möglich und immer alle Passwörter sicher dabei.

  7. Re: Lieber KeePassX...

    Autor: /mecki78 16.06.15 - 12:56

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > ... als zentrale Passwortverwaltung in der Cloud.

    Und inwiefern sind deine KeePassX Daten in irgend einer Cloud (die am Ende noch die NSA selber betreibt) sichere als bei LastPass auf dem Server? Weil deine Cloud unhackbar ist? Welche Firma betreibt die gleich nochmal?

    /Mecki

  8. Re: Lieber KeePassX...

    Autor: Iruwen 16.06.15 - 13:00

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > katzenpisse schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... als zentrale Passwortverwaltung in der Cloud.
    >
    > Und inwiefern sind deine KeePassX Daten in irgend einer Cloud (die am Ende
    > noch die NSA selber betreibt) sichere als bei LastPass auf dem Server? Weil
    > deine Cloud unhackbar ist? Welche Firma betreibt die gleich nochmal?

    Wenn die NSA in der Lage wäre erst Boxcryptor (das kleinere Hindernis) und dann das Masterkennwort (am besten kombiniert mit einem Keyfile) der KeePass Datenbank zu knacken könnte man jede Hoffnung auf irgendeine Form von Datensicherheit getrost aufgeben.
    Sind sie aber nicht.

  9. Re: Lieber KeePassX...

    Autor: mawa 16.06.15 - 14:01

    Mhm, recht einfach.

    1.) Da nicht immer der Zugang zu allen Diensten von jedem Gerät notwendig ist, Passwörter in verschiedenen Datenbanken organisieren und nur die mit den notwendigen allerwelts Diensten syncen. KeePass unterstützt mehrere Datenbanken.

    2.) Jeden Zugang mit einem eigenen >20 Zufallskennwort schützen. KeePass generiert dir gerne solche Passwörter.

    3.) Die zu synchronisierende Datenbank über das eigene WEBDAV, ownCloud ode Seafile System verteilen.

    4.) Für den Zugriff auf die Datenbank Zweifaktor-Auth. verwenden. Ich nutze hierfür dieses kleine Teil, das dank NFC auch auf Android funktioniert.

    *****



    1 mal bearbeitet, zuletzt am 16.06.15 14:43 durch ap (Golem.de).

  10. Re: Lieber KeePassX...

    Autor: ploedman 16.06.15 - 14:51

    Benutze auch seit Jahren zufrieden KeePass.

    Man sollte trotzdem bei KeePass für zusätzliche Sicherheit sorgen.
    Keyfile extern Speichern und nur extern Laden. Langes und Komplexes Master Passwort.

  11. Re: Lieber KeePassX...

    Autor: katzenpisse 16.06.15 - 15:46

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > katzenpisse schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ... als zentrale Passwortverwaltung in der Cloud.
    >
    > Und inwiefern sind deine KeePassX Daten in irgend einer Cloud (die am Ende
    > noch die NSA selber betreibt) sichere als bei LastPass auf dem Server? Weil
    > deine Cloud unhackbar ist? Welche Firma betreibt die gleich nochmal?

    Die sind nicht in der Cloud, sondern daheim auf der Festplatte. Zugriff per VPN.

  12. Re: Lieber KeePassX...

    Autor: /mecki78 16.06.15 - 16:01

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > Die sind nicht in der Cloud, sondern daheim auf der Festplatte. Zugriff per
    > VPN.

    Achso, du möchtest also die NSA dazu einladen, lieber dein Netz daheim zu hacken. Über welchen Router/VPN Gateway ist das gleich noch mal mit dem Internet verbunden?

    /Mecki

  13. Re: Lieber KeePassX...

    Autor: /mecki78 16.06.15 - 16:20

    mawa schrieb:
    --------------------------------------------------------------------------------
    > ... Passwörter in verschiedenen Datenbanken organisieren ...
    >
    > ... Jeden Zugang mit einem eigenen >20 Zufallskennwort schützen ...
    >
    > ... Datenbank über das eigene WEBDAV, ... verteilen.
    >
    > ... Für den Zugriff auf die Datenbank Zweifaktor-Auth. verwenden. ...

    Das ist höchstens ein Grund aber kein Hindernis. Den Zugang zu LastPass kannst du auch mit einem Zufallskennwort sichern, LastPass kann auch Zweifaktor-Auth, du kannst dir auch mehrere LastPass Konten mit verschieden Passwörtern zulegen. Aber LastPass hat seine Server sicher besser abgesichert als du deinen WebDAV Server oder deine Own Cloud, sie habe bessere Firewall- und Überwachungssoftware, ihre Amins stehen immer parat und reagieren sofort wenn das Alarmsystem zuschlägt und sie wissen was sie tun. 90% aller Sicherheitsprobleme basieren darauf, das Leute ohne passendes Wissen und Erfahrung sich Systeme ausdenken, von denen sie glauben die müssen unglaublich sicher sein, da sie ja soooo komplex sind, bis dann ein Experte kommt und ihr System in 5 Minuten total auseinander nimmt. Derartige Experten haben LastPass auch schon begutachtet, konnten dort aber nichts finden.

    /Mecki

  14. Re: Lieber KeePassX...

    Autor: /mecki78 16.06.15 - 16:23

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > Sind sie aber nicht.

    Wenn sie das nicht sind, dann sind sie aber auch nicht in der Lage ein MasterPasswort eines LastPass Users zu knacken, was in etwa einen vergleichbaren Aufwand darstellt und schon gleich doppelt nicht, wenn sie es nicht einmal geschafft haben an die verschlüsselten Daten zu kommen.

    /Mecki

  15. Re: Lieber KeePassX...

    Autor: shyps 16.06.15 - 16:34

    aber.. die hashes sind doch jetzt abhanden gekommen, jetzt kann nen geheimdienst sich 20 interessante personen aussuchen, braucht für 1 passwort 100.000 sha256 iterationen, wie lange brauchen die dann für ein passwort? und wenn sie das haben, wissen sie, wie derjenige sich sein passwort bastelt

    und was mich irritiert ist die aussage, dass hashes geleakt werden, verschlüsselte passwörter aber nicht. wieso? die verwendungshäufigkeit beider dieser "kryptologischen datentypen" müsste gleich hoch sein, da der client ja jedes mal (zumindest nach ner neu installation?) dieses futter zum entschlüsseln brauch, um das ergebnis in die sub-dienste einzugeben. wie genau sollte *dieser server *bessser abgesichert sein als der mit den hashes?..

    irgendwie ist das alles etwas komisch, und ich probiere das erst mal nicht aus. kannte diesen dienst bis heute nicht

  16. Re: Lieber KeePassX...

    Autor: Iruwen 16.06.15 - 16:37

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > Aber LastPass hat seine Server sicher besser
    > abgesichert als du deinen WebDAV Server oder deine Own Cloud, sie habe
    > bessere Firewall- und Überwachungssoftware, ihre Amins stehen immer parat
    > und reagieren sofort wenn das Alarmsystem zuschlägt und sie wissen was sie
    > tun.

    So wie jetzt gerade, nachdem sie einen erheblichen Teil ihrer sensiblen Daten verloren haben? ;)

  17. Re: Lieber KeePassX...

    Autor: Anonymer Nutzer 16.06.15 - 16:58

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > /mecki78 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Aber LastPass hat seine Server sicher besser
    > > abgesichert als du deinen WebDAV Server oder deine Own Cloud, sie habe
    > > bessere Firewall- und Überwachungssoftware, ihre Amins stehen immer
    > parat
    > > und reagieren sofort wenn das Alarmsystem zuschlägt und sie wissen was
    > sie
    > > tun.
    >
    > So wie jetzt gerade, nachdem sie einen erheblichen Teil ihrer sensiblen
    > Daten verloren haben? ;)

    Privat hätten es die wenigsten bemerkt.

  18. Re: Lieber KeePassX...

    Autor: nicoledos 16.06.15 - 19:56

    Wenn die Freunde an dir Interesse haben, dann kommen die sowieso zu Besuch und hast ganz andere Probleme. Als Zielgruppe solltest du sowieso mit entsprechenden Profis zusammen arbeiten.

    Zum einen muss ich den Anbieter selbst vertrauen, das fällt mir relativ schwer. Des weiteren Dienste wie Lastpass ziehen Angreifer an wie Motten vom Licht angezogen werden. Das Problem ist nicht, dass etwa ein Geheimdienst die Daten bekommt. Viel problematischer ist, wenn die Daten in Untergrundforen landen. Die Wahrscheinlichkeit, dass eine persönliche Cloud hinter einem VPN angegriffen wird ist doch um einiges geringer.

  19. Re: Lieber KeePassX...

    Autor: M. 17.06.15 - 10:28

    > KeePassX läuft in den meisten Fällen auch auf Rechnern, die im Internet
    > sind. Von daher auch nicht wirklich viel sicherer.
    Kommt aufs Szenario an. Wenn du davon ausgehst, dass dein Rechner nicht kompromittiert ist, ist es sicher. Wenn nicht ...
    > Ich verwende für
    > sensible Passwörter (Passwort zum OnlineBanking, Server Zugangsdaten, etc.)
    > MooltiPass. Damit habe ich die Daten auf einem externen portablen Gerät,
    > welches nicht mit dem Internet verbunden ist und über eine simulierte USB
    > Tastatur eingegeben werden können.
    ... sind auch diese Passwörter spätestens bei der nächsten Benutzung weg. Und da du meist nicht genau einschränken kannst, wann dein System verseucht wurde, musst du auch die alle ändern.

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  20. Re: Lieber KeePassX...

    Autor: /mecki78 17.06.15 - 14:52

    Iruwen schrieb:
    --------------------------------------------------------------------------------
    > So wie jetzt gerade, nachdem sie einen erheblichen Teil ihrer sensiblen
    > Daten verloren haben? ;)

    Und du glaubst du merkst es, wenn ein Geheimdienst deinen Cloud Speicher kopiert hat? Du merkst es nicht, es berichtet auch niemand darüber und anders als bei LastPass, wo sie ja nicht an die Passwortdaten selber gekommen sind, hätten sie dann bei deinem Cloud Speicher alles. LastPass könnte auch einfach die Klappe halten und nichts sagen, würde auch keiner merken; machen sie aber nicht.

    /Mecki

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT Workplace Administrator (w/m/d)
    RHI Magnesita GmbH, Mainzlar bei Staufenberg
  2. Systemingenieur*in für den Bereich IT-Security (w/m/d)
    Hensoldt, Ulm
  3. Entwicklungsingenieur Bildverarbeitung Python/C/C++ (m/w/d)
    pro-beam GmbH & Co. KGaA, Gilching (bei München),
  4. Anwendungsbetreuer*in Campus Management System (m/w/d)
    Humboldt-Universität zu Berlin, Berlin

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. basierend auf Verkaufszahlen
  2. basierend auf Verkaufszahlen


Haben wir etwas übersehen?

E-Mail an news@golem.de


Gesundheit: Achtsamkeit - alles Esoterik, oder was?
Gesundheit
Achtsamkeit - alles Esoterik, oder was?

Achtsamkeitsmeditation verspricht mehr Gelassenheit und Zufriedenheit in Beruf und Alltag. Eine neue Superkraft? Und wie gelingt der Einstieg?
Von Marc Favre

  1. Mathematik & Neurologie Unser Gehirn verarbeitet die Zahlen unterschiedlich
  2. Augen Besser sehen bei der Bildschirmarbeit
  3. Longevity Am Jungbrunnen wird nicht nur getüftelt, sondern geforscht

Science-Fiction-Film Enemy: Liebe in Zeiten der Übertechnologisierung
Science-Fiction-Film Enemy
Liebe in Zeiten der Übertechnologisierung

Wenn man einen Menschen durch ein Roboter-Duplikat ersetzt, was passiert dann mit demjenigen, der ihn liebt? Interessante Frage, leider macht der Film einige Denkfehler.
Eine Rezension von Peter Osteried

  1. Doctor Who Christmas Special eröffnet ein neues Mysterium
  2. Lola Könnte die Vergangenheit unsere Gegenwart verhindern?
  3. Rebel Moon Director's Cut soll "gänzlich anderer Film" sein

Hewlett Packard Enterprise: Was die Übernahme von Juniper Networks durch HPE bedeutet
Hewlett Packard Enterprise
Was die Übernahme von Juniper Networks durch HPE bedeutet

Juniper-Vorstandschef Rami Rahim wird den gemeinsamen Bereich HPE-Network leiten. Dazu gehört auch Aruba Networks.
Von Achim Sawall

  1. Hewlett Packard Enterprise HPE will offenbar Juniper Networks kaufen

  1. Stromautobahn: Bahnstromnetz soll bei Energiewende helfen
    Stromautobahn
    Bahnstromnetz soll bei Energiewende helfen

    Der Ausbau der Übertragungsnetze in den Süden hängt dem Aufbau von Windkraft im Norden hinterher. Entlastung soll das Bahnstromnetz liefern.

  2. Windows 11: Microsoft testet Copilot im Autostart
    Windows 11
    Microsoft testet Copilot im Autostart

    Die KI-App könnte künftig automatisch starten, wenn Windows 11 lädt. Standardmäßig ist das Feature aktiviert, kann aber abgewählt werden.

  3. Astronomie: Die Lavalandschaft eines doppelgesichtigen Exoplaneten
    Astronomie
    Die Lavalandschaft eines doppelgesichtigen Exoplaneten

    Auf der einen Seite eine Lavawelt, auf der anderen tiefe Finsternis - so soll ein kürzlich entdeckter Exoplanet aussehen. Zudem ist HD 63433 d relativ jung - im Vergleich zur Erde.


  1. 16:20

  2. 16:02

  3. 15:45

  4. 15:15

  5. 15:00

  6. 14:23

  7. 14:08

  8. 13:28