Online-Passwort-Tresor gehackt

PC-John

Stammgast
100-prozentige Sicherheit gibt es ohnehin nicht.

Dass aber ALLE Passwort-Tresore, welche in den USA auch nur ein kleines Büro haben, von einer NSA genötigt/gedrängt/befohlen werden, ein Backdoor einzubauen, kann als gesicherte Erkenntnis gehandelt werden.

Dass in der Cloud jeglicher Hacker (oder gesamte Regierung) sein Unwesen treiben kann, weiss man auch schon.

Wenn schon aus Reisetätigkeiten in der Cloud abgespeichert werden muss, dann nur unverfängliche Sachen, wenn möglich.

Bald schon wird in der Cloud umfassende Jagd gemacht werden können auf Musiktitel, Filme, Texte, und andere sogenannt "urhebrechtlich geschützte Inhalte", und seien diese noch so doof. Es gibt genügend Juristen, welche sich hier vergolden lassen wollen mit Abmahnungen etc.

PC-John
 

renaiolo

Stammgast
100-prozentige Sicherheit gibt es ohnehin nicht

Soweit okay! Aber wie ist Deine Einschätzung betr. lokal installierter SW? Mal abgesehen davon, dass auch hier sicherheitsbewusstes Arbeiten Pflicht ist, wäre eine solche Lösung doch wohl sicherer, oder? Halt auch unkomfortabler, weil dann nur von einem PC auf die Login-DB zugegriffen werden könnte - oder innerhalb eines hausinternen Netzwerks.

100-prozentige Sicherheit gibt es ohnehin nicht.

Dass aber ALLE Passwort-Tresore, welche in den USA auch nur ein kleines Büro haben, von einer NSA genötigt/gedrängt/befohlen werden, ein Backdoor einzubauen, kann als gesicherte Erkenntnis gehandelt werden.

Dass in der Cloud jeglicher Hacker (oder gesamte Regierung) sein Unwesen treiben kann, weiss man auch schon.

Wenn schon aus Reisetätigkeiten in der Cloud abgespeichert werden muss, dann nur unverfängliche Sachen, wenn möglich.

Bald schon wird in der Cloud umfassende Jagd gemacht werden können auf Musiktitel, Filme, Texte, und andere sogenannt "urhebrechtlich geschützte Inhalte", und seien diese noch so doof. Es gibt genügend Juristen, welche sich hier vergolden lassen wollen mit Abmahnungen etc.

PC-John
 

Telaran

Stammgast
Soweit okay! Aber wie ist Deine Einschätzung betr. lokal installierter SW? Mal abgesehen davon, dass auch hier sicherheitsbewusstes Arbeiten Pflicht ist, wäre eine solche Lösung doch wohl sicherer, oder? Halt auch unkomfortabler, weil dann nur von einem PC auf die Login-DB zugegriffen werden könnte - oder innerhalb eines hausinternen Netzwerks.
Die Frage lässt sich nicht so leicht beantworten.

Prinzipiell ist es natürlich klar, dass ein lokaler PW-Tresor besser ist, als einer, der als Online-Lösung konzipiert wurde. Es gibt auch Möglichkeiten (mit z.B. KeePas und Yubikey NFC) solche Tresore auch in einem gewissen Rahmen Mobil zu verwenden.

Aber zurück zum Thema Lokal:
Je nach dem wie Paranoid man ist, kann man auch eine lokale PW-Tresor Lösung als Unsicher einstufen. Schliesslich ist die PW-Sammlung auch in einer Datei abgelegt und wenn man keine OpenSource Lösung verwendet, könnte da ebenfalls eine Backdoor existieren. Selbst wenn man eine OpenSource Lösung verwendet, kann eine Malware geschrieben werden, welche solche Tresor-Dateien weitersendet und ein Keylogger kann wahrscheinlich das Passwort abfangen und schon ist man wieder gleich weit.

Jetzt könnte man natürlich die PW Datei in ein TrueCrypt Archiv ablegen und nur dann entschlüsseln, wenn man es braucht (somit das Risiko Minimieren). Man könnte auch eine 2 Faktor Authentifizierung verwenden (Token, FIDO Stick, etc pp) um ein Passwort Diebstahl weniger tragisch zu machen. Aber auch hier hatten wir das Problem, dass beispielsweise bei RSA die Schlüssel geklaut wurden und somit einige Hacker wohl deren Token berechnen können.

Es ist eben immer eine Frage wie weit man die Szenarien ausdenken und einrechnen möchte.
Es gibt Leute, welche ein Passwort-Schlüsselsystem verwenden. Beispielsweise Haben Sie ein Speziell-Kompliziertes PW (z.B. "0rk*faHd") dass sie sich auswendig gelernt haben und dann verwenden sie immer die ersten zwei Buchstaben und der letzte der Webseite und Domain: pcp-0rk*faHd-ch
Man kann das nun beliebig umformulieren...

Der Haken ist natürlich, dass dies auch relativ unsicher ist, sobald jemand mindestens 2-3 Dienste gehackt hat, wo du dabei bist. Das könnte reichen, dass man dann dein System erkennt.

Es gibt nun neue Ideen wie Enigmaze-Notizbuch (http://enigmaze.org/) oder halt der Klassiker als niedergeschriebene Passwörter in einem Buch versteckt.

Im Endeffekt:
Je sicherer man etwas haben will, desto mehr Komfort muss man bereit sein auf zu geben.

Nebenbei:
Ich verwende LastPass. Der Hauptgrund war für mich der Umstand, dass ich zuerst mal alle 180 Dienste das Passwort ändern muss und zu dem Zeitpunkt gab es keine gute Alternative mit Mobile-Phone Möglichkeit (3 Rechner, 1 Mobile Phone). Trotz dieser News bin ich nun nicht in Panik. Mein Master-Passwort ist kompliziert genug und lässt sich nicht mit einem Wörterbuch knacken. Somit sollt eich noch mindestens 5-10 Jahre keine Angst haben, dass jemand mein Passwort auf LastPass hat ;)

Ich bin nun aber trotzdem am evaluieren. Zumindest die eine Option mit Keepass und dem Yubikey (der via NFC auch für Handy geht) klingt interessant und ich bin am prüfen, ob ich auf die umsteigen kann. Dann würde ich wohl zwei Datenbanken führen (Mobile und Desktop-Only)
 
Oben