Also wenn man die Bitwarden Datenbank hat - kann man relativ leicht versuchen sie zu Brutforcen - John verfügt da über einen entsprechen Modus.
Ich schrieb ja, 100%ige Sicherheit wird es nie geben.
Die Schwierigkeit kann man erhöhen. Nicht mehr, nicht weniger.
Alles anzeigenDer Versuch ist einfach, der Erfolg bei sicherem Passwort schon deutlich schwieriger.
Nehmen wir 12 Zeichen (Klein-, Großbuchstaben und Zahlen).
Also 62^12 mögliche Passwörter.
Laut schneller Suche im Internet könnten mit einem sehr schnellen Computer 2 Mrd. Passwörter pro Sekunde getestet werden. Nehmen wir 50 davon. Also 100 Mrd./Sekunde.
62^12 / (100 * 10^9) = 3,23 * 10^10 [Sekunden]
Das entspricht etwa 1024 Jahren.
Je mehr Zeichen, desto länger. Das Risiko mit einem sicheren Passwort sollte wohl doch eher sehr gering sein.
Klar wollte damit nur sagen: Passwörter auf Wordlist vermeiden (auch umgestellt vgl. John Rules), mindesten 12 besser 16 Zeichen (Botnetzte oder optimierte PCs können da sehr viel Hashes hin bekommen) und 2FA
Aber ist alles richtig was hier geschrieben wurden ist.
Und besser als gar kein 2FA im Excel Dokument ist 2FA im Passwortmanager alle mal noch.
Nein und Ja
Nein, wenn der 2FA davon losgelöst ist, ist es das Optimum;
(genau so verwende ich 2FA, einfach nur die FreeOTP-App)
Ja, bevor man gar kein 2FA hat, aber fragwürdig ist es so allemal;
dies entspricht bei einer Wohnungstüre mit einem Zusatzschloß¹ der Variante,
dass der selbe Schlüssel nicht nur den Türzylinder sondern auch den Zylinder des Zusatzschlosses sperrt;
das Optimum ist hier, wenn jeder der beiden Zylinder seinen eigenen Schlüssel hat;
(das Feature bzw. den Sicherheitsgewinn, welches so ein Zusatzschloss aus der Sicht von innen hat, bleibt hier unbewertet)
¹ hier ein Bild von so einer Tür mit Zusatzschloß
Alles anzeigenNein und Ja
Nein, wenn der 2FA davon losgelöst ist, ist es das Optimum;
(genau so verwende ich 2FA, einfach nur die FreeOTP-App)
Ja, bevor man gar kein 2FA hat, aber fragwürdig ist es so allemal;
dies entspricht bei einer Wohnungstüre mit einem Zusatzschloß¹ der Variante,
dass der selbe Schlüssel nicht nur den Türzylinder sondern auch den Zylinder des Zusatzschlosses sperrt;
das Optimum ist hier, wenn jeder der beiden Zylinder seinen eigenen Schlüssel hat;
(das Feature bzw. den Sicherheitsgewinn, welches so ein Zusatzschloss aus der Sicht von innen hat, bleibt hier unbewertet)
¹ hier ein Bild von so einer Tür mit Zusatzschloß
FreeOTP sollte man nicht verwende: https://play.google.com/store/…com.beemdevelopment.aegis
Ist da klar die besser Wahl
FreeOTP sollte man nicht verwende: https://play.google.com/store/…com.beemdevelopment.aegis
Ist da klar die besser Wahl
das ist eine Geschmacksfrage, mir gings nur darum das losgelöst von irgendwelchen Passwort-Managern/-Safes zu sehen;
das ist eine Geschmacksfrage, mir gings nur darum das losgelöst von irgendwelchen Passwort-Managern/-Safes zu sehen;
Es ändert sich quasi fast nichts mehr aber eine App auf mein Handy zu haben, die das letzte mal 2016 geupadte würde mich schon stören (vor allem wenn es eine gute Open Source alternative gibt)
FreeOTP sollte man nicht verwende:
Warum?
Warum?
Hab ich ja oben erklärt seid 2016 kein Updates mehr uns soweit ich weiss nicht mehr in entwicklung d.h. eventuell Sicherheits Lücken werden nicht mehr geffixt.
Daher ist aegis die besser Wahl, Open Source, Verschlüsslung und IM/Ex-Port.
Ich würde keine Sofware mehr verwenden die seid 6 Jahren nicht mehr geffixt wird (oder irgendwie supportet Github ist seid 2017 tot)
Muss ich übersehen haben. Sorry!
Aegis sieht interessant aus. Wenn ich nur nicht so faul wäre und mit dem Google Authenticator bisher keine Probleme gehabt hätte…
aber eine App auf mein Handy zu haben, die das letzte mal 2016 geupadte würde mich schon stören (vor allem wenn es eine gute Open Source alternative gibt)
FreeOTP ist doch OpenSource 
ist "Sicherheitslücken" jetzt der neue Angstmacher? 
mich stört der Plunder, den man nicht wegbekommt viel mehr ... 
Daher ist aegis die besser Wahl, Open Source, Verschlüsslung und IM/Ex-Port.
nicht wirklich; wie ich schon sagte, es ist Geschmacksache; mir gefällt der aegis einfach nicht;
Loxley schau Dir den FreeOTP+ mal an;
Gerade ältere Software, die lange nicht mehr verändert wurde, sollte ja sicher sein. 
Wenn über Jahre hinweg kein Schlupfloch gefunden wurde, ist wahrscheinlich auch keins da.
Und da die Software nicht mehr weiterentwickelt wurde, wurden auch keine neuen Lücken eingebaut. 
Alles anzeigenNein und Ja
Nein, wenn der 2FA davon losgelöst ist, ist es das Optimum;
dies entspricht bei einer Wohnungstüre mit einem Zusatzschloß¹ der Variante,
dass der selbe Schlüssel nicht nur den Türzylinder sondern auch den Zylinder des Zusatzschlosses sperrt;
¹ hier ein Bild von so einer Tür mit Zusatzschloß
Ja, mag sein. Trotzdem bleibts dabei: besser als ein Excel File und gar keinem 2FA. Die Frage ist immer, wovor man sich mit welcher Maßnahme schützen will. Ich denke dass es deutlich häufiger vorkommt, dass Dienste gehackt und dann in Form von Massenklaus um ihre Benutzerdatenbank erleichtert werden. Davor schützt auch 2FA, das in einem PW Manager integriert ist. Deutlich seltener wird es vorkommen, dass Angreifer Zugriff auf die Passwortmanager einzelner Nutzer erhalten (passiert aber trotzdem, siehe LastPass). In dem Fall wäre 2FA außerhalb des Passwortmanagers sicherer. Auf der anderen Seite gilt aber auch: wenn ein Dieb in ein biometrisch geschütztes Smartphone eindringen kann (keine geringe Hürde), dann ist auch der Zugriff auf die separate OTP Anwendung da.
Ein Argument für 2FA im Passwortmanager integriert und von mir bei der Umsetzung auch berücksichtigt: die 2FA ist auf allen angeschlossenen Geräten / Anwendungen etc. verfügbar und es gibt keinen single point of failure (z.B. Smartphone defekt, verloren, geklaut), der eine Wiederherstellung von sehr sehr vielen 2FA Accounts sehr komplex machen würde.
P.S.: Dein "Tür mit Zusatzschloß" Link geht nicht. Kann mir aber schon vorstellen was gemeint ist.
Deutlich seltener wird es vorkommen, dass Angreifer Zugriff auf die Passwortmanager einzelner Nutzer erhalten (passiert aber trotzdem, siehe LastPass). In dem Fall wäre 2FA außerhalb des Passwortmanagers sicherer. Auf der anderen Seite gilt aber auch: wenn ein Dieb in ein biometrisch geschütztes Smartphone eindringen kann (keine geringe Hürde), dann ist auch der Zugriff auf die separate OTP Anwendung da.
Hier hast 2 Möglichkeiten eines Angriffs skizziert, die 3te aber wahrscheinlichere ist einfach die, dass sich jemand auf dem Phone was einfängt, davor schützen weder ein biometrischer Schutz noch sonst was; klar egal ob 2FA in eine eigene OTP-App ausgelagert ist od. nicht ist dabei dann auch unerheblich;
aber wenn der "Passwortsafe" - was auch immer das dann ist - wirklich mit dem 2FA-Device nichts zu tun hat, dann muss schon wirklich viel schief gehen ...
darum ist der Gedanke von aRaphael z.B. bei allen im Passwortsafe gesicherten Passworten eine geheime Zeichenfolge hinzuzufügen, fast schon ein Muss;
die Zeichenfolge kann überall die selbe sein und braucht auch nicht komplex sein, 4 Ziffern z.B. '4174' genügen hier vollkommen;
Warum?
ein Angriffsszenario wurde hier noch nicht erwähnt, wenn es gelingt die Passwortdatenbank zu entwenden; auch wenn es dann deutlich schwieriger ist diese auch zu öffnen, ist diese dann f. den "Finder" wertlos; weil die erwähnten 4 Ziffern kennt er nicht, noch weiß davon etwas;
hier etwas Mathematik
angenommen, bei den Passworten im Safe ist folgende Komplexität
- Großbuchstaben
- Kleinbuchstaben
- Ziffern
- ein paar Sonderzeichen, angenommen es sind 13 verschiedene;
dann gilt f. jedes Zeichen eines Passwortes 75 Möglichkeiten
hat man davon z.B. 16 Zeichen, dann sind das klarerweise 7516
wegen der Geschichte mit den 4 geheimen Zeichen aber 7520
rund 2125 Möglichkeiten könnt dann ein schwierriges Unterfangen werden, des zu knacken
was bei dem ganzen nicht zu unterschätzen ist, wenn jemand 'einfache' merkbare Passworte verwendet,
und so die Erfordernis eines Passwortsafes nicht hat, und nur um die SIcherheit zu erhöhen, 2FA mit einem OTP-Generator zum Einsatz kommt,
dabei z.B. "M1ChefausMadagaskar#007" plus 4 'geheime' Zeichen als Passwort verwendet;
wie würde man bei so jemanden es darauf anlegen das Passwort zu knacken?
es weiß ja niemand dass es Worte aus dem Lexikon sind ...
ergo es ist nicht weniger und nicht mehr sicher wie die Geschichte mit den kryptischen Passworten und der Notwendigkeit eines Passwort-Safes;
Falls hier jetzt der Einwand kommt, wenn der Passwort-Safe das Login samt Passwort ins Webformular sendet, kann das ein Keylogger doch nicht abfangen;
man muss dem einfach vertrauen, dass hier nichts in die Quere kommt;
für einen Keylogger braucht es keine Rechte und sämtliche Screen-Keyboards, sobald diese über den Tastaturbuffer des OS werken, sind ebenfalls Quark;
macht man aber selbst Copy&Paste aus dem Passwort-Safe heraus ist man auf einer sichereren Ebene;
wie gesagt: jede Form an Bequemlichkeit welche gewonnen wird, bedeutet automatisch eine Abnahme an Sicherheit;
ergo es ist nicht weniger und nicht mehr sicher wie die Geschichte mit den kryptischen Passworten und der Notwendigkeit eines Passwort-Safes;
Ja. Und deshalb setze ich wohl auch weiterhin, statt auf einen Passwortgenerator, auf meine selbstgebastelten Passwörter plus Zusatz.
Die sind genauso sicher, aber ich kann sie mir viel leichter merken und überall selbst eingeben.
Was nicht heißt, dass ich andere Ansätze nicht sinnvoll finde. Das ist halt auch, bis zu einem gewissen Grad, einfach Geschmacksache.
wie gesagt: jede Form an Bequemlichkeit welche gewonnen wird, bedeutet automatisch eine Abnahme an Sicherheit;
Egal was man macht, darauf läuft es immer hinaus. True. Insofern kann und wird jede(r) selbst entscheiden, wieviel Sicherheit gewünscht ist und wie viel weniger Bequemlichkeit man damit hat.
Ich denke da sind wir uns auch einig: alles, wirklich alles, ist besser als überall die gleiche Mailadresse / den gleichen Benutzernamen und das gleiche Passwort zu verwenden. Ob das nun Passwortmanager mit/ohne Cloud Sync, eigene Passwortschemata oder etwas anderes ist, ist persönlicher Geschmack.
Für Laien wäre zumindest schon mal irgendein Passwortmanager besser als gar nichts (= gleiche Mailadresse / gleichen Benutzernamen und gleiches Passwort), einen Account kann man sich in Minuten holen und die eigene Situation verbessern. Trotzdem machen das viel zu wenig Leute. Laut Statista nutzen nur 31% Passwortmanager.
darum ist der Gedanke von aRaphael z.B. bei allen im Passwortsafe gesicherten Passworten eine geheime Zeichenfolge hinzuzufügen, fast schon ein Muss;
Für mich läuft das dem Sinn eines Passwortmanagers zuwider und überschreitet meinen "Bequemlichkeitsthreshold".
Eine kurze Ergänzung zu Bitwarden: Bisher war der Server eher schwergewichtig, wodurch Vaultwarden interessant wurde. Inzwischen gibt es aber auch von Bitwarden eine Beta mit nur einem Container - läuft neben Docker auch mit Podman stabil: https://bitwarden.com/de-DE/he…-and-deploy-unified-beta/
Ist immer eine Frage der Abwägung:
- Vaultwarden: Ressourcenschonender, Premiumfunktionen for free, ggf. zeitweise Inkompatibilität mit den offiziellen Apps
- Bitwarden: Premium nicht kostenlos (aber erschwinglich), mehrere Security Audits durchlaufen, volle Kompatibilität mit den Apps, Business-Funktionen
Wie ist das eigentlich bei einer normalen Bitwarden Installation mit dem MSSQL Server? Kann man den einfach so betreiben - ohne kostenpflichtige Lizenz? Das war eigentlich immer einer der Gründe, warum ich das selbst nie mal aufgesetzt und immer links liegen gelassen habe. MSSQL findet man ja normalerweise im OpenSource Umfeld eher weniger. Zumindest ist mir vorher noch nie ein Projekt über den Weg gelaufen, wo man das zwingend gebraucht hätte.
Wie ist das eigentlich bei einer normalen Bitwarden Installation mit dem MSSQL Server? Kann man den einfach so betreiben - ohne kostenpflichtige Lizenz? Das war eigentlich immer einer der Gründe, warum ich das selbst nie mal aufgesetzt und immer links liegen gelassen habe. MSSQL findet man ja normalerweise im OpenSource Umfeld eher weniger. Zumindest ist mir vorher noch nie ein Projekt über den Weg gelaufen, wo man das zwingend gebraucht hätte.
Die neue Variante läuft mit allen DBs (Mysql, Postgres etc).
Vaultwarden standardmässig mit SQLITE
OK. Also das ist definitiv ein zu kurzes Passwort:
ZitatGuten Tag ...
die Neuinstallation Ihres Servers v22....ist abgeschlossen.
Das neue Root Passwort lautet: n/a
OK. Also das ist definitiv ein zu kurzes Passwort:
NetCup wird wohl die -jahrelang kritisierte- Übermittlung des Passworts via Klartext-eMail nicht abgeschafft haben?
