-
Wer so einen Dienst benutzt...
Autor: NeoCronos 16.06.15 - 09:20
Wer so blöd ist so einen Dienst zu benutzen hat es nicht anders verdient...
Selbst sowas wie KeePass ist schon ein Risiko, sollte meine Datenbank und MasterPW irgendwie abgeschnorchelt werden, aber das Zeug direkt in die Cloud zu legen... da möchte man am liebsten Ohrfeigen verteilen, dass es nur so schallt. -
Re: Wer so einen Dienst benutzt...
Autor: rainer_zufall 16.06.15 - 10:24
wenn du dir für jeden dienst ein eigenes passwort merken kannst welches minimum 12 zeichen lang ist und einer gewissen komplexität unterliegt, dann glückwunsch.
andererseits solltest du dich mit dem dienst lastpass und deren sicherheitsvorkehrungen beschäftigen bevor man solche mainstream gedanken verteilt. -
Re: Wer so einen Dienst benutzt...
Autor: Replay 16.06.15 - 10:40
Und warum verwendet man sowas nicht offline auf dem Rechner oder dem Handy? So mache ich das. Klar, es ist umständlicher. Aber etwas Sicherheit war noch nie bequem.
Was offline gespeichert ist, läßt sich nicht durch einen Servereinbruch abschnorcheln. Hundertprozentige Sicherheit gibt es nicht, aber Paßwörter über einen Onlinedienst zu verwalten, halte ich schon für arg verwegen.
Krieg ist Frieden, Freiheit ist Sklaverei, Unwissenheit ist Stärke. Das Ministerium für Wahrheit. -
Re: Wer so einen Dienst benutzt...
Autor: BPF 16.06.15 - 10:53
Ich nutze auch Keepass und zwar in Verbindung mit Boxcryptor und Google Drive, bzw Dropbox als zweites Backup. Ich sehe da jetzt kein Problem.
Boxcryptor verschlüsselt Datei und Dateinamen und läd es in die Cloud, so hab ich Zugriff von jedem Endgerät welches Boxcryptor unterstützt. Zusätzlich könnt ich noch lokale Backups der Datei anlegen.
Jetzt zeig mir mal wie du die Datei knackst, geschweige denn ersteinmal herausfindest, welche der zich verschlüsselten Dateinamen meine Keepass-Datei ist.
Mein Boxcryptor hat ein eigenes komplexes Passwort mit Zeichen, Zahlen und Sonderzeichen. Mein Keepass genauso und meine Accounts ebenso. Schlussendlich muss ich nur zwei Passwörter auswenig können, Boxcryptor und Keepass und so schlimm ist das auch nicht, das hat man irgendwann automatisch drin.
Frage ist, wie willst du sonst ein sicheres und einzigartiges Passwort je Account nutzen ohne immer das selbe Passwort nach Schema "OmaIlse1933" zu nutzen? -
Re: Wer so einen Dienst benutzt...
Autor: phre4k 16.06.15 - 11:14
NeoCronos schrieb:
--------------------------------------------------------------------------------
> Selbst sowas wie KeePass ist schon ein Risiko, sollte meine Datenbank und
> MasterPW irgendwie abgeschnorchelt werden, aber das Zeug direkt in die
> Cloud zu legen... da möchte man am liebsten Ohrfeigen verteilen, dass es
> nur so schallt.
Wenn du Linux nutzt, wird es ohne Hardware-Keylogger schon mal schwer, an das Master-PW zu kommen – und wenn so einer eingesetzt wird, hast du andere Probleme.
Du kannst bei KeePassX zumindest ein Keyfile anlegen, was du dann nicht mit synchronisierst. Das kann auch eine Bilddatei sein oder ein NTFS-Extent oder irgendwas anderes abstruses.
Ich nutze schon seit unzähligen Jahren Passwortmanager und mir ist außer durch Nachlässigkeit der Administratoren der Dienste noch kein einziges Passwort abhanden gekommen. Nur das eine oder andere Mal hatte ich einen Verdacht und hab dann sofort alle annähernd in Verbindung stehenden Passwörter geändert.
Noobs speichern den Spaß allerdings in der Cloud und sind meiner Meinung nach selbst schuld, wenn alle ihre Passwörter im Klartext im Netz landen. Gibt genügend Informationsquellen. -
Re: Wer so einen Dienst benutzt...
Autor: S-Talker 16.06.15 - 11:19
NeoCronos schrieb:
--------------------------------------------------------------------------------
> Selbst sowas wie KeePass ist schon ein Risiko, sollte meine Datenbank und
> MasterPW irgendwie abgeschnorchelt werden, aber das Zeug direkt in die
> Cloud zu legen... da möchte man am liebsten Ohrfeigen verteilen, dass es
> nur so schallt.
"Datenbank und MasterPW irgendwie abgeschnorchelt werden" würde bedeuten, dass du sicherheitsrelevante Dinge aus einem kompromittierten System gemacht hast. Damit gelten so oder so alle deine Passwörter/Accounts, die du davon aus genutzt hast, als potentiell kompromittiert. Auch wenn du sie auf Post-its in deinem Bunker stehen hast und immer manuell eintippst.
Wenn man Tools wie KeePass richtig nutzt (z.B. passphrase + keyfiles), kann man die Passwörter durchaus in der Cloud speichern. Die Wahrscheinlichkeit, dass ein Trojaner mit Keylogger auf deinem Rechner landet und auch deine "offline gespeicherten" und von Hand eingetippten Passwörter mitschneidet, ist wohl größer als die dass der Safe geknackt wird. Auch ist es wahrscheinlicher, dass deine Accounts, welche du mit den Passwörtern schützen willst, aufgrund von Nachlässigkeit der Service-Anbieter unsicher sind. -
Re: Wer so einen Dienst benutzt...
Autor: Th3Dan 16.06.15 - 11:21
Ein Risiko hast du IMMER. Es geht auch nie darum ein Risiko auszuschließen, sondern es soweit wie möglich zu minimieren. Wenn du vor die Tür gehst besteht permanent das Risiko einer Gefahr, nur ist dieses bei einem Orkan deutlich höher wie bei schönem Wetter. Beim Thema Passwortsafes ist das Risiko mit KeePass lokal halt am geringsten und insgesamt ist das ein sehr gutes Verhältnis zwischen Aufwand und Nutzen.
Am sichersten wäre natürlich für jeden Dienst ein ausreichend komplexes Passwort sich zu merken. Aber wer schafft das bitte bei 10, 20 Accounts und mehr die man als 0815 Mensch heutzutage im Netz hat? Bei den versierteren Usern ist das noch mal eine ganz andere Baustelle, da kommen schnell 50 Stück und mehr zusammen. Zumal die Eingabe eines sagen wir mindestens 10 Zeichen langen Passwortes zusammen mit Username/Mail auch Zeit beansprucht.
Boxcryptor & co. sind eine nette Idee, das wars aber auch schon. Kein Mensch weiß was das Ding wirklich macht, selbes Problem wie LastPass auch. Wenn es um Sicherheit geht muss man in diesem Fall eine Software im Zweifelsfall als kompromittiert betrachten. In public Clouds würde ich zudem grundsätzlich nichts legen. Die Kontrolle über die Daten geht verloren und kein Mensch weiß, wie es um die heute sichere Technologie in 5 oder 10 Jahren steht. Dass NSA & co verschlüsselte Daten aufbewahren in der Hoffnung man könne sie irgendwann mal wieder entschlüsseln sollte bekannt sein. Und als gefährlicher Extremist gilt man heutzutage auch sehr schnell, reicht schon z.B. nach Tor zu googeln. -
Re: Wer so einen Dienst benutzt...
Autor: /mecki78 16.06.15 - 12:40
Replay schrieb:
--------------------------------------------------------------------------------
> Und warum verwendet man sowas nicht offline auf dem Rechner oder dem Handy?
Weil man vielleicht 3 Rechner, ein Tablet und ein SmartPhone hat und die gleichen, wirklich langen und sicheren Passwörter überall braucht?
> Was offline gespeichert ist, läßt sich nicht durch einen Servereinbruch
> abschnorcheln.
Was verschlüsselt gespeichert ist, lässt sich auch dann nur nutzen, wenn man es schafft es zu entschlüsseln und abgeschnorchelt hat bei LastPass nach besten Wissen und Gewissen noch nie jemand etwas (auch in diesen Fall wurden nicht einmal die verschlüsselten Daten erwischt und selbst wenn muss man die immer noch knacken).
/Mecki -
Re: Wer so einen Dienst benutzt...
Autor: /mecki78 16.06.15 - 12:44
NeoCronos schrieb:
--------------------------------------------------------------------------------
> Wer so einen Dienst benutzt...
... hat in der Regel sehr lange und sehr sichere Passwörter, für jeden Dienst andere, darüber hinaus ein sehr sicheres Master Passwort (da er sich ja nur noch ein wirklich sicheres merken muss), hat auf allen seinen Geräten Zugriff auf alle seine sicheren Passwörter und darüber hinaus bislang noch nichts zu befürchten, da noch Last Pass noch nie die Passwortdaten selber abhanden gekommen sind, die darüber hinaus so verschlüsselt sind das nicht einmal LastPass selber die entschlüsseln kann (nicht einmal wenn ihr Leben davon abhinge).
Im Gegensatz dazu haben die meisten nicht-LastPass Nutzer, die ich kenne, sehr einfach Passwörter, sehr leicht zu knacken, sehr kurz, bei zig Diensten immer die gleichen und wenn sie die dann doch mal irgendwo auf dem Rechner oder online notieren, dann so unsicher, dass man gleich Einladungen an alle Hacker und Geheimdienste verschicken kann.
/Mecki -
Re: Wer so einen Dienst benutzt...
Autor: Iruwen 16.06.15 - 12:57
Th3Dan schrieb:
--------------------------------------------------------------------------------
> Am sichersten wäre natürlich für jeden Dienst ein ausreichend komplexes
> Passwort sich zu merken. Aber wer schafft das bitte bei 10, 20 Accounts und
> mehr die man als 0815 Mensch heutzutage im Netz hat? Bei den versierteren
> Usern ist das noch mal eine ganz andere Baustelle, da kommen schnell 50
> Stück und mehr zusammen.
Ich bin gerade bei 149 privaten und 255 geschäftlichen Zugängen.



