News AutoSpill: Passwortmanager legen unter Android Zugangsdaten offen
- Ersteller coffee4free
- Erstellt am
- Zur News: AutoSpill: Passwortmanager legen unter Android Zugangsdaten offen
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.472
Damien White schrieb:
Aua, die 80er haben angerufen und wollen ihr "sicheres" Passwortsystem zurück... 😩
Da reicht eine gehackte Userdatenbank aus und man hat Dein System und kann das Login + Passwort auf jeder beliebigen anderen Webseite durchspielen.
Sätze, garniert mit Sonderzeichen und Zahlen, finde ich immer noch am Besten und einfachsten zu merken. Aber dann bitte an der Stelle auch nicht wieder direkt mit den URL Namen arbeiten wie "DasIstMeinTollesComputerbasePasswort1!", "DasIstMeinTollesGooglePasswort1!", usw...
Simonsworld
Lt. Junior Grade
- Registriert
- Aug. 2011
- Beiträge
- 386
Interessant, wie einige kreativ werden bei der Passwort Erstellung. Bei all diesen Methoden muss man jedoch bedenken, dass bei potenziellen Brute Force angriffen unter Umständen gezielt nach derartigen Mustern gesucht wird.
Es ist schon beunruhigend, wenn eine solche Lücke bei einem derart großen Betriebssystem existiert. Obwohl sie erst jetzt publik gemacht wurde, gibt es sie wohl schon länger und keiner weiß genau, welcher Schabernack damit schon getrieben worden ist.
Ich versuche grundsätzlich zu vermeiden, Passwörter im Handy zu hinterlegen. Meistens eher unwichtige Sachen wie Payback. Ich verwende Keepass nur auf dem PC und habe das File in einer eigenen Cloud liegen. Für alle wichtigen Logins ist meistens eine Bestätigung per E-Mail bei einem neuen Login notwendig oder 2FA.
Ich nutze auf dem PC allerdings das Komfort Feature von Firefox, dass ich Passwörter im Browser speichere. Vielleicht sollte ich mir das für die Zukunft überlegen.
Eine 100 prozentige Sicherheit gibt es leider niemals. Aber man kann es potenziellen Eindringlingen schwer machen.
Letztich ist und bleibt das größte potenzielle Problem der Nutzer.
Es ist schon beunruhigend, wenn eine solche Lücke bei einem derart großen Betriebssystem existiert. Obwohl sie erst jetzt publik gemacht wurde, gibt es sie wohl schon länger und keiner weiß genau, welcher Schabernack damit schon getrieben worden ist.
Ich versuche grundsätzlich zu vermeiden, Passwörter im Handy zu hinterlegen. Meistens eher unwichtige Sachen wie Payback. Ich verwende Keepass nur auf dem PC und habe das File in einer eigenen Cloud liegen. Für alle wichtigen Logins ist meistens eine Bestätigung per E-Mail bei einem neuen Login notwendig oder 2FA.
Ich nutze auf dem PC allerdings das Komfort Feature von Firefox, dass ich Passwörter im Browser speichere. Vielleicht sollte ich mir das für die Zukunft überlegen.
Eine 100 prozentige Sicherheit gibt es leider niemals. Aber man kann es potenziellen Eindringlingen schwer machen.
Letztich ist und bleibt das größte potenzielle Problem der Nutzer.
- Registriert
- Okt. 2015
- Beiträge
- 269
Haldi
Admiral
- Registriert
- Feb. 2009
- Beiträge
- 9.102
Wieso?Simonsworld schrieb:
KeepassXC hat doch ganz brauchbaren Browser Addons mit AutoInput.
BTW an alle die tollen sätzenutzer.
Was macht ihr wenn die Webseit Sagt "Das Passwort muss zwischen 8 und 20 Zeichen lang sein!"?
Rege mich jedes mal drüber auf wenn mein 32 Zeichen Random Passwort nicht akzeptiert wurde.
Aber ja BTT.
Sind eigentlich Eingaben eines Passworts in der App sicher?
Wenn die App mir einfach nur *** Anzeigt aber im hintergrund das Passwort speichert merkt Google bei ihren App Prüfungen sowas?
Wird Zeit das sich Passkeys endlich weiter durchsetzen.
Bin schon gespannt wann dort die erste kritische Sicherheitslücke auftaucht.
Hansdampf12345
Commodore
- Registriert
- Nov. 2005
- Beiträge
- 4.142
bAssI23 schrieb:
Das Problem ist aber ja, dass die Daten eventuell in falsche Felder eingetragen werden und somit abgreifbar sind.
Da geht es nicht darum, dass das ohne dein Zutun passiert, sondern dass die Daten automatisch (egal ob du das Ausfüllen erst per FaceID oder ähnliches freigeben musst) in die Felder "Benutzer" und "Passwort" eingetragen werden.
Wer also die Daten aus der Passwortapp nicht händisch kopiert und manuell in die jeweiligen Felder einträgt, läuft Gefahr, dass die Daten abgegriffen werden, weil sie dann versehentlich in ein Klartextfeld (was man bei Ausnutzen der Lücke einfach auf der Webseite anlegt) eingetragen werden und dann eben auch unverschlüsselt übermittelt werden.
Conqi
Rear Admiral
- Registriert
- Dez. 2011
- Beiträge
- 5.656
Und nun melde ich mich auf einer Seite an, die kein @ akzeptiert. Und eine, die maximal 16 Zeichen zulässt. Und eine ändert ihren Namen wie Twitter zu X. Und für die andere habe ich zwei Accounts. Das kann man nahezu beliebig weiterführen.Damien White schrieb:
Selbst abseits von den absolut legitimen Sicherheitsbedenken ist dieses System kaum durchzuhalten. Ein Passwortmanager ist einfach absolut sinnvoll in der heutigen Zeit selbst mit Schwachstellen wie dieser. Auch für PINs, Steuernummer, Bankvebrindungen etc.
- Registriert
- Okt. 2015
- Beiträge
- 269
Fixed, danke!
Für mich wäre das unmöglich. Alleine schon, um Überblick über meine Accounts zu halten wäre das unmöglich, meine PW Datenbank hat über 200 Einträge und ich deaktiviere von Zeit zu Zeit auch Accounts und lösche die Einträge.Conqi schrieb:
Ich nutze auch unterschiedliche E-Mail Adressen für Accounts, getrennt nach normal/wichtig/sehr wichtig.
Noch besser wäre, eine individuelle E-Mail für jeden Account zu vergeben, geht ja bei manchen Anbietern.
Entweder man nutzt wirklich nur eine Handvoll Dienste, die man sich merken kann (1xE-Mail, 1xAmazon, 1xSteam, 1xComputerbase, 1xKatzenforum") oder man verliert irgendwann den Überblick und wird nachlässig oder man ist ein Kandidat für World of Records Buch.
Alle anderen brauchen einen Passwort Manager, entweder als Notizbuch oder deutlich komfortabler als Programm/App.
Simonsworld
Lt. Junior Grade
- Registriert
- Aug. 2011
- Beiträge
- 386
Haldi schrieb:
Ich habe das klassische Keypass schon seit über 10 Jahren und bin bisher immer gut damit gefahren. Bisher habe ich noch nicht über einen Wechsel nachgedacht.
CDLABSRadonP...
Captain
- Registriert
- Feb. 2021
- Beiträge
- 3.200
Hat echt noch niemand hier den absolut super Namen Autospill gelobt?
Also ich zumindest finde den Wortwitz von Autofill → Autospill, also automatisch ausfüllen → automatisch verschütten, super.
h00bi
Fleet Admiral
- Registriert
- Aug. 2006
- Beiträge
- 20.288
Und wenn das Passwort von CB irgendwo geleaked wird und ein Hacker das sieht, dann kennt er alle deine Passwörter. Super.Damien White schrieb:
Wenn dir einmal jemand zuschaut beim Tippen oder du versehentlich das Kennwort sichtbar machst, kennen anwesende Personen alle deine Passwörter.
Super Idee.
Wir kann so ein schmu auch noch 5 Likes bekommen?
Zugegeben, bei CB ist das Passwort vermutlich anständig gesichert, aber es gibt viele Shops o.ä. wo das eben nicht so ist. Und durch das einheitliche Passwortschema bist du gegen brute force robots geschützt, die Zugangsdaten aus leaks automatisch durchtesten, aber sobald ein Mensch das Passwort sieht ist die kacke am dampfen.
Vermutlich ist dein Posteo Email Account Passwort dann @bcDposteo1234, dann kann man auch gleich alle deine Konten resetten.
Also nein, dieses System ich keine gute Wahl mehr. Ich hatte das früher selbst benutzt, allerdings ohne Vokale, damit es nicht ganz so auffällig ist.
@bcDcmptrbs1234
statt
@bcDcomputerbase1234
Zuletzt bearbeitet:
![c[A]rm[A]](https://pics.computerbase.de/forum/avatars/m/4/4429.jpg?1531926676){kind=avatar}
Gordon-1979
Lt. Commander
- Registriert
- Aug. 2009
- Beiträge
- 1.148
Zum Glück bei Keepass ist das nicht möglich, der funktioniert anders.
X79
Ensign
- Registriert
- Juli 2012
- Beiträge
- 189
Am Ende zählt hauptsächlich die Anzahl an Zeichen, die möglichst hoch sein sollte.
Es braucht nur möglichst lange Sätze und innerhalb von einigen Wörtern ein par wenige, unlogische Sonderzeichen. Schon ist das PW nahezu Bruteforce sicher. Das kann man auch überall so anwenden, weils quasi ein System ohne System ist.
Am besten man verwendet auch so komische, typisch deutsche, unlogische Wörter wie "Doppelhaushälfte", die es selbst in der Schweiz oder Österreich nicht gibt (da ist sogar schon ein sehr spezielles Sonderzeichen enthalten, allerdings wiederum Wörterbuchkonform). Also Regionalspezifisch. Das machts Bruteforceattacken auch schon extrem schwer, weil die meist erstmal hauptsächlich nach englischem Vokabular arbeiten und erst später regionsspezifisch werden. Halt mit dem beginnen, was am warscheinlichsten ist. Aber wie gesagt, bereits ein Sonderzeichen innerhalb eines Wortes, macht den gesamten Satz bzw. Passwort absolut unberechenbar, was das Erraten betrifft.
So schwer ist das nicht. Viele denken nur viel zu kompliziert.
Sätze kann man milliarden bilden, kurze, lange. Wenn dann noch Wörter aus verschiedenen Sprachen gemischt werden oder gar irgendwo ein Sonderzeichen oder zwei oder gar 3 reingemischt werden, ist das Passwort so extrem unberechenbar, wie wenn es komplett kryptisch wäre. Einfach zu merken, für Bruteforce nahezu nicht zu knacken. Auch nicht mit AI und auch nicht, wenn bereits ähnliche Passwörter bekannt sind (sofern für alles ein eigener Satz gebildet wird).
Cryptowallets werden auch meist nur mit aneinander gereiten Wörtern gesichert. Und das ist bereits wesentlich sicherer als der Quatsch, den Banken lange Jahre mit ihren dämlichen, extrem kurzen Pins gemacht haben, bevor dann die Offline Tan-Geräte kamen, die immmernoch am sichersten sind.
Passwörter werden so häufig geknackt, weil die Menschen auch heute noch zu 90% Phrasen wie 1234 oder "ficken" (auf Platz 3 in Deutschland!) verwenden. Das hörte ich zumindest aus einer Cyber-Securityschulung 2022.
Es braucht nur möglichst lange Sätze und innerhalb von einigen Wörtern ein par wenige, unlogische Sonderzeichen. Schon ist das PW nahezu Bruteforce sicher. Das kann man auch überall so anwenden, weils quasi ein System ohne System ist.
Am besten man verwendet auch so komische, typisch deutsche, unlogische Wörter wie "Doppelhaushälfte", die es selbst in der Schweiz oder Österreich nicht gibt (da ist sogar schon ein sehr spezielles Sonderzeichen enthalten, allerdings wiederum Wörterbuchkonform). Also Regionalspezifisch. Das machts Bruteforceattacken auch schon extrem schwer, weil die meist erstmal hauptsächlich nach englischem Vokabular arbeiten und erst später regionsspezifisch werden. Halt mit dem beginnen, was am warscheinlichsten ist. Aber wie gesagt, bereits ein Sonderzeichen innerhalb eines Wortes, macht den gesamten Satz bzw. Passwort absolut unberechenbar, was das Erraten betrifft.
So schwer ist das nicht. Viele denken nur viel zu kompliziert.
Sätze kann man milliarden bilden, kurze, lange. Wenn dann noch Wörter aus verschiedenen Sprachen gemischt werden oder gar irgendwo ein Sonderzeichen oder zwei oder gar 3 reingemischt werden, ist das Passwort so extrem unberechenbar, wie wenn es komplett kryptisch wäre. Einfach zu merken, für Bruteforce nahezu nicht zu knacken. Auch nicht mit AI und auch nicht, wenn bereits ähnliche Passwörter bekannt sind (sofern für alles ein eigener Satz gebildet wird).
Cryptowallets werden auch meist nur mit aneinander gereiten Wörtern gesichert. Und das ist bereits wesentlich sicherer als der Quatsch, den Banken lange Jahre mit ihren dämlichen, extrem kurzen Pins gemacht haben, bevor dann die Offline Tan-Geräte kamen, die immmernoch am sichersten sind.
Passwörter werden so häufig geknackt, weil die Menschen auch heute noch zu 90% Phrasen wie 1234 oder "ficken" (auf Platz 3 in Deutschland!) verwenden. Das hörte ich zumindest aus einer Cyber-Securityschulung 2022.
Zuletzt bearbeitet:
Gedankenpolizei
Cadet 4th Year
- Registriert
- März 2021
- Beiträge
- 100
Haldi schrieb:
Ein Passwort in der Cloud von Unternehmen wie Google, welche durch Daten Geld verdienen und nachweislich Passwörter ausgelesen bzw. gesammelt haben?
Und das Ganze an ein (teures) Gerät gebunden?
Ich bleibe lieber bei Passwörtern in meinem Kopf, solange es kein Gerät zum Auslesen von Gedanken gibt.
Passkeys sind noch unsicherer als Biometrie.
Ähnliche Themen
- Geschlossen
