Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern
Ein Browserplugin dürfte das Masterpasswort noch den abgeleiteten Schlüssel je zu Gesicht bekommen. Die Plugins sollten nur die gerade angefragten Logindaten im Klartext bekommen.
Allerdings verbindest du dich vom Plugin (Nutzer und Kennwort) aus mit deiner Datenbank bzw. dem Bitwarden Dienst. Von daher kommt das Plugin damit doch in Berührung oder verstehe ich da was falsch - ähnlich wie bei Lastpass.
Würde ich so nicht unterschreiben - eine Verschlüsslung, die mathematisch nicht knackbar ist und wo ein Bruteforce selbst in weit über 10 Jahren bei exponentiell steigender Rechenleistung nicht aufgeht ist effektiv als Sicher einzustufen.
Deine Brain.exe hingegen - mit ein bisschen "Schmerz" dürften die meisten wohl anfangen zu plappern. Das klappt seit tausenden von Jahren schon.
Axendo schrieb:
Meine Passwörter sind als PDF in einem 7z-Archiv mit 16 stelligen AES-256 PW mit Zahlen und Sonderzeichen. Dürfte ähnlich sicher sein...
Nicht wirklich... Je nach Programm landet der Spaß 1:1 im Klartext im RAM des PCs und ist von dort auch abholbar. Schlimmer noch, es wäre denkbar, dass bei "Abstürzen" der PDF Software Dumps des Speicherinhalts geschrieben werden oder ne Art Telemetriefunktion an den Hersteller reportet.
Passwörter in ein File zu schreiben ist mMn absolut das blödste was man tun kann... Es sei denn du speicherst die für die Nachwelt, weil du sie nie nie niemals nie wieder ansehen willst.
iGameKudan schrieb:
Ist das eine Master-Passwort vom PW-Manager weg sind alle Accounts hin.
Das PW für den PW-Manager bringt dir doch nix, wenn du die PW-Datenbank nicht auch hast?
Piktogramm schrieb:
Passwortdatenbanken sollten nur verschlüsselt in der Cloud sein. Die Verschlüsselung und Passwort müssen dann derart gut sein, dass Angriffe realistisch nicht möglich sind. Da sich der Rahmen der realistischen Angriffe ständig verschiebt sollte man in angemessenen Zeitrahmen entsprechend Passwörter und Verfahren ändern.
Damit du nicht nur auf ein Masterpasswort angewiesen bist gibt es ja 2-Faktorauthentifizierung.
Das Problem ist, dass das Internet nicht vergisst. Du kannst zwar mit der Zeit gehen und die PW-Datenbank irgendwann auf neuere Standards und mit anderen PWs versehen -> macht aber das File, was einmal im Netz ist, nicht sicherer.
Sprich wenn man das ins INet kippt, sollte man im selben Wechselzyklus wie bei der PW-Datenbank auch ALLE! PWs/Accounts in dieser Wechseln/Ändern.
Im Generellen ist es auch eh nicht verkehrt, PW Änderungen irgendwann durchzuführen, vor allem dann, wenn man eh PW-Manager nutzt um den Spaß zu speichern.
@luckysh0t
Gibst du dein Masterpasswort dem Browserplugin oder aber dem eigentlichem Passwortmanager?
@fdsonne
So habe ich es auch gemeint. Aller Zeiteinheit ein kompletter Wechsel aller Passwörter und gegebenenfalls unter Verwendung neuer Verfahren. Damit alte Datenbanken bevor sie knackbar werden keine validen Daten mehr enthalten.
Wurde ja schon viel geschrieben, sicher richtig und wichtig. Aber wie geil ist denn die Berufsbezeichnung Chief Defender Against the Dark Arts, da ist wohl einer ein HP Fan. Zur Lücke, sobald der Angreifer Adminrechte hat ist der Krieg eh schon verloren.
Man gibt es im Plugin ein und dann ist sein Tresor geöffnet - und hat vom Plugin aus zugriff und kann ihn verwalten. Von daher würde ich schon so sehen das ich es dem Plugin gebe.
Ist jetzt nicht so, das ich meinen Tresor erst in einem extra Programm öffne und dann erst das Plugin zugriff hat.
Seit 20 Jahren benutze ich Stift und Karteikarte um Passwörter zu "speichern". Warum? Weil ich in all den Jahren die Sicherheit, bei den immer so hochgelobten und überall empfohlenen Passwortmanagern, als ernsthaftes Problem sehe. Ein Passwort wurde mir bis heute nicht geklaut und erraten hat auch noch keines eines.
Die Chance, dass diese Karteikarten von Einbrechern mitgenommen werden, geht fast gegen Null, die gucken primär nach anderem. Außerdem könnte man sie auch noch verschlüsseln..
@luckysh0t
Uhhhhh interessant!
Halbwissen: Die Browserplugins lassen ja nur noch Javascript zu. Als JS Programmierer hat man jedoch meines Wissens nach keine Möglichkeit gezielt Speicher zu verwalten. Da wäre echt interessant wie die das machen und sicher stellen, dass sensible Informationen überschrieben werden bevor das Element mittels delete dereferenziert wird und der Speicher von der GarbageCollection "irgendwann" freiggegeben wird.
Edit: Halbwissen erweitern auf StackOverflow -> Überschreiben von Variablen garantiert wohl nicht, dass etwaige Inhalte im Speicher überschrieben werden.
Ich habe diesen Dingern noch nie getraut. Bei mir kommen alle Passwörter in eine ordentlich verschlüsselte ZIP Datei und die ist auf einem USB-Stick den ich nur bei Bedarf anstöpsele. Zu mehr reicht mein Vertrauen da nicht!
Haben schon etliche erläutert. dass dies wesentlich unsicherer ist als ein PW-Manager, da hier eben die Passwörter dann auch auf deiner HDD/SSD im temp-Ordner gespeichert werden und die Datei muss auch irgendwohin entpackt werden.
Es geht hier darum das die Passwörter mit Admin-Rechten im Arbeitsspeicher auszulesen sind. Also wenn du deinen PC ausschaltest liegt da nix mehr im RAM.
Besser wär's du würdest den ganzen USB-Stick verschlüsseln und deine Keyfiles dort drauf speichern, nur hoffe das nie jemand den Stick in die Hände bekommt.
Ergänzung ()
Chismon schrieb:
Dass Passwortmanager unnuetz/unsicher sind, hatte ich schon immer angenommen.
Wer sich auf Internet-/Cybersecurity verlaesst, der ist wohl verlassen ... richtig sensitive Daten haben auf einem (internetvernetzten) PC bei mir schon immer nichts verloren gehabt und bisher fahre ich damit ganz gut.
Und auf welchem Rechner logge ich mich dann beim online-banking ein wenn auf PCs mit Internetverbindung nichts sensibles drauf sein darf?
Schrammler schrieb:
Seit 20 Jahren benutze ich Stift und Karteikarte um Passwörter zu "speichern". Warum? Weil ich in all den Jahren die Sicherheit, bei den immer so hochgelobten und überall empfohlenen Passwortmanagern, als ernsthaftes Problem sehe. Ein Passwort wurde mir bis heute nicht geklaut und erraten hat auch noch keines eines.
Die Chance, dass diese Karteikarten von Einbrechern mitgenommen werden, geht fast gegen Null, die gucken primär nach anderem. Außerdem könnte man sie auch noch verschlüsseln..
Irgendwann kommt der Typ der behauptet "Ich verwende seit 20 Jahren PW-Manager und mir ist noch keines geklaut worden". Die Chance das mein PC infiziert wird ist auch gering, wenn ich aufpasse aus welchen Quellen ich mir Dateien besorge.
Nur weil etwas schon lange so ist, wie es ist, heißt nicht dass es automatisch gut ist. Der Mensch hat auch mehrere Jahrzehnte in Höhlen gewohnt.
----------------------------------
Und an alle die noch Papier verwenden: Habt ihr auch Passwörter die länger als 40 Zeichen sind oder gar 100+? Und zwar wirklich Pseudozufällge? Ich meine jetzt nicht Diceware.
Passwörter kann man immer knacken/klauen spätestens bei der Eingabe, jeder der hier meint Passwortmanager seien grundsätzlich unsicher sollte sich doch etwas mit dem Thema auseinandersetzen.
Ich denk da grad noch an eine tolle Sache:
Ihr habt doch auch nicht euer Geld zuhause versteckt sondern die Meisten lagern es vermutlich bei EINER Bank und fürchten sich auch nicht dauernd davor, dass jemand das Konto leerräumt.
Ergänzung ()
fdsonne schrieb:
Das PW für den PW-Manager bringt dir doch nix, wenn du die PW-Datenbank nicht auch hast?
Kommt auf den Passwortmanager an. Es gibt einen, mir fällt leider gerade nicht der Name ein, der generiert die Passwörter je nach Masterpasswort. Somit gibt es zwar keine keyfile die man klauen könnte, allerdings auch nicht möglich hier das Master-PW zu ändern, ohne dass alle PWs geändert werden müssen. Tolle Idee - Miese Umsetzung
Kommt auf den Passwortmanager an. Es gibt einen, mir fällt leider gerade nicht der Name ein, der generiert die Passwörter je nach Masterpasswort. Somit gibt es zwar keine keyfile die man klauen könnte, allerdings auch nicht möglich hier das Master-PW zu ändern, ohne dass alle PWs geändert werden müssen. Tolle Idee - Miese Umsetzung
Möchte man ein langes Passwort, welches leicht zu merken ist, aber dennoch schwer zu knacken dann empfiehlt sich Diceware evtl. noch ein paar Sonderzeichen zwischen den Wörtern einbauen. Und wer jetzt meint ohne Sonderzeichen/Zahlen ist das unsicher: Bei einem wirklich zufallsgenerierten PW kann das halt auch leicht passieren.
Vielleicht eine neue Marktlücke... Es gibt sicher wohlhabende Leute, die für einen Nachbau einer Enigma-Maschine oder sowas ähnliches viel Geld zahlen, um ihre Passwörter unabhängig und halbwegs sicher in Papierform speichern zu können.
Alternativ könnte man sich einen eigenen Code ausdenken und in Papierform aufbewahren und die Passwörter Codiert in einer TXT- oder CSV- Datei verschüsselt abpseichern. Die Daten sind dann natürlich nicht sicher, weil sie bestimmt jemand irgendwie von meinem Rechner saugen kann, oder anschauen kann. Aber ob er sich die Mühe macht, die Daten auch zu entschlüsseln?
Und gleich mehrere Jahrzehnte! :-)
Dann hat aber Bayern ebenfalls den Anschluss an den Wohlstand einer Industrienation geschafft. :-)
shinXdxd schrieb:
Ihr habt doch auch nicht euer Geld zuhause versteckt sondern die Meisten lagern es vermutlich bei EINER Bank und fürchten sich auch nicht dauernd davor, dass jemand das Konto leerräumt.
Ja. Ist schon nicht unproblematisch. Ich gehe aber jede Woche zur Bank und lasse mir mein Geld geben zum nachzählen. Nicht das sich die Kassenmietze mal nen Fünfer unter Nagel reißt. Personal kann man ja heutzutage nicht mehr trauen. :-)
Ich mag dann mal Werbung für meine Fast-Nachbarn (Neusäß bei Augsburg). Wobei eher im Unternehmensbereich anzutreffen, gibts aber auch für die private Verwendung:
Und an alle die noch Papier verwenden: Habt ihr auch Passwörter die länger als 40 Zeichen sind oder gar 100+? Und zwar wirklich Pseudozufällge? Ich meine jetzt nicht Diceware.
Länger als 40, sehr viele. Über 100 ist nichts.
Abgesehen von einigen weitgehend Unbedeutenden sind sie (pseudo)zufällig.
shinXdxd schrieb:
Ihr habt doch auch nicht euer Geld zuhause versteckt sondern die Meisten lagern es vermutlich bei EINER Bank und fürchten sich auch nicht dauernd davor, dass jemand das Konto leerräumt.
