Fragen zur Passwortsicherheit

  • Bei dieser Entropie fehlt aber natürlich der individuelle Input wie axstet es schon geschrieben hat.

    Thats it. Ich werde auch hier - obwohl (hoffentlich) keiner weiß wie ich in echt heiße, geschweige denn wo ich wohne (evtl. Bundesland) etc. - nicht viel dazu preis geben. Wie gesagt, mein Beispiel in #2 war nur zum Verständnis für euch hier im Forum.

    Aber das "echte" Passwort ist jetzt mehr als Doppelt so lang und viel mehr random. Keine Wörter passen zusammen wie hier "Bud/netcup/Webhosting"...
    Aber vielen Dank für eure Hilfe, ich denke ich habe etwas sicheres und trotzdem leicht zu merkendes gefunden. Danke.


    BudBoss

    Endlich mal jemand der weiß was Sache is! :D

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

    2 Mal editiert, zuletzt von Bud ()

    Gefällt mir 2
  • Interessant, KeepassXC gibt mir folgende Entropie Werte:

    1. 130.84 Bit --> Passwort Qualität „ausgezeichnet“

    2. 97.81 Bit --> Passwort Qualität „gut“


    Da vertraue ich KeepassXC ehrlich gesagt dann mehr bei der Berechnung.

    Ohne genaue Analyse der jeweiligen zugrundeliegenden Algorithmen (für KeePassXC findet man schnell eine Referenz; der von KeePass2 verwendete Ansatz scheint einfacher zu sein, vgl. Abschnitt 2.3.1 in diesem Dokument) würde ich die Ergebnisse nicht überbewerten. Die Beiträge unter „Calculating entropy“ auf Reddit fassen es IMHO recht gut/kurz zusammen.

    Da ich mir dank Keyword Manager Passwörter nicht merken und nicht eintippen muss, sind diese in der Regel eh deutlich länger (sofern es das entsprechende Konto hergibt); somit kommt es mir auf ca. 40 Bits Ungenauigkeit bei den angezeigten Werten (sic!) nicht mehr an. Nur für ein paar Zertifikate habe ich ein paar Passphrasen mit Sonderzeichen auswendig gelernt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • 2FA ist halt mit das wichtigste, zumindest TOTP bei logins und für einen Passwortmanager irgendeinen Hardware Key wie Yubikey.

    Und Diceware komplett analog, mit richtigen Würfeln und nicht irgendwelchen Online Tools etc. finde ich ziemlich angenehm und selbst wenn das Passwort irgendwoher zu nem dritten kommt, fehlt halt dann noch der 2FA.

  • 2FA habe ich - wo möglich. Also auch bei Bitwarden. Ich nutze Twilio Authy.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Twilio Authy kannte ich nicht. Aber das scheint mir ja nur eine App zu sein die 2FA, also vermutlich primär TOTPs verwaltet - das kann Bitwarden ja auch selbst und Twilio Authy scheint mir nicht open source zu sein - das würde ich alleine dann aus diesem Grund irgendwie nicht benutzen.

  • Authy nutze ich auch und die App ist 10mal besser wie die von Google :)

    Ich sehe absolut keinen Sinn darin eine closed source App für Passwörter oder 2FA zu verwenden die dazu noch die Daten in der Cloud speichern und selbst die Hoheit über die Sicherheit / Verschlüsselung etc. hat. Gefühlt kann ich es mir dann auch gleich sparen. Vor allem wenn es US Unternehmen sind wie Twilio, welche die Daten dann noch auf US Servern haben -.-


    Insbesondere bei Programmen wo es so viele exzellente Open Source Lösungen gibt.

  • Ich nutze den MS Authenticator für einige wenige 2FA-Codes wie z.B. Bitwarden.

    Der Rest der TOTPs ist dank Premium feature direkt im Bitwarden gespeichert.

    Es ist unglaublich praktisch, beim Login ins Beispielsweise Netcup-Kundenportal das Passwort ausfüllen zu lassen und den 2FA Token direkt in der Zwischenablage zu haben und nur noch einfügen zu müssen.

  • Ich nutze den MS Authenticator für einige wenige 2FA-Codes wie z.B. Bitwarden.

    Der Rest der TOTPs ist dank Premium feature direkt im Bitwarden gespeichert.

    Es ist unglaublich praktisch, beim Login ins Beispielsweise Netcup-Kundenportal das Passwort ausfüllen zu lassen und den 2FA Token direkt in der Zwischenablage zu haben und nur noch einfügen zu müssen.

    Das wollte ich auch machen, aber irgendwie sträubt sich in mir was dagegen. Nämlich dies: Wird mein Bitwarden gehackt, dann hat der Angreifer wirklich gleich Zugriff auf alles. Habe ich die 2FA Codes woanders, dann hilft ihm das Passwort bei den wichtigen Accounts wenig, da er nicht die 2FA Codes aus der anderen App hat.

  • Ist aber prinzipiell nicht wirklich so.

    Wenn ich heute meinen Passwort Manager mit Passwort und 2fa absichere und die verschlüsselung tatsächlich existiert, ist jeder login mit passwort und den totp gesichert welches beides wiederum via Passwort und 2FA (im besten Fall Hardwarekey) gesichert ist.


    In einem Szenario wo ich bitwarden per Passwort und totp über einen totp safe speichere, muss ein Angreifer lediglich 2 Passwörter hacken und hat damit Zugriff auf alles.

    Bei einer closed source app kannst du dir außerdem nicht sicher sein was tatsächlich läuft, siehe LastPass.

  • Ist aber prinzipiell nicht wirklich so.

    Wenn ich heute meinen Passwort Manager mit Passwort und 2fa absichere und die verschlüsselung tatsächlich existiert, ist jeder login mit passwort und den totp gesichert welches beides wiederum via Passwort und 2FA (im besten Fall Hardwarekey) gesichert ist.


    In einem Szenario wo ich bitwarden per Passwort und totp über einen totp safe speichere, muss ein Angreifer lediglich 2 Passwörter hacken und hat damit Zugriff auf alles.

    Bei einer closed source app kannst du dir außerdem nicht sicher sein was tatsächlich läuft, siehe LastPass.

    Logisch, das weiss ich. Aber prinzipiell ist nichts in der IT zu 100% sicher, ausser das nichts 100% sicher ist.

  • Diese Argumentation ist aber trotzdem leider komplett sinnfrei - denn man arbeitet halt mit dem was man zur Verfügung hat und optimieren kann man sein Sicherheitskonzept ja trotzdem - insbesondere indem man z.b. seine etwaigen Sicherheitsrelevanten Daten keinen gewinnorientierten Amerikanischen Unternehmen (MS, Google, Authy etc. pp) anvertraut sondern lieber auf selbst gehostete (Bitwarden) oder lokale open source Software setzt und sich finanziell an der Weiterentwicklung beteiligt.

  • Diese Argumentation ist aber trotzdem leider komplett sinnfrei - denn man arbeitet halt mit dem was man zur Verfügung hat und optimieren kann man sein Sicherheitskonzept ja trotzdem - insbesondere indem man z.b. seine etwaigen Sicherheitsrelevanten Daten keinen gewinnorientierten Amerikanischen Unternehmen (MS, Google, Authy etc. pp) anvertraut sondern lieber auf selbst gehostete (Bitwarden) oder lokale open source Software setzt und sich finanziell an der Weiterentwicklung beteiligt.

    Natürlich, Bitwarden hoste ist eh selbst. Nur 2FA nutze ich bislang von Authy. Wer weiß, eventuell steige ich auch da um. Bin da ja ähnlicher Meinung wie du. Dass das Argument sinnfrei ist, mag schon sein - ein Funken Wahrheit steckt halt dennoch dahinter, dann du kannst immer von einer Lücke/Hack/whatever betroffen sein, selbst wenn du dein bestes Getan hast. Das meine ich damit.

  • Deine Aussage ist meines Erachtens komplett valide und logisch - sinnfrei ist es in der Argumentation meines Erachtens nur deshalb weil es immer eine gewisse Unsicherheit gibt und das Ziel ja nur das ist, ein Konzept zu haben das die Hürde möglichst weit nach oben setzt.

    Eine Haustür ist auch nicht 100% sicher, egal welches Schloß ich verwende - und dennoch baue ich sie deshalb nicht aus :D

    Ein Sicherheitsschlüssel ist nicht wirklich sicher, aber dennoch habe ich ein hochwertiges Schloß in dem wissen, dass die Haustür auch einfach aufgesprengt werden könnte - einfach um den 0/8/15 Einbrecher draußen zu lassen.


    Das ist auch mein Punkt bei der open source software - da schauen sehr viele Augen drüber und ich kann sie selbst kompilieren und prüfen.

  • Ich kann das Passwort tippen, nicht aber verbal aufsagen :D Mein muskuläres Gedächtnis scheint besser zu sein als mein sonstiges Hirn. Auch ne Art der Sicherheit.. xD

    DAS kenne ich nur zu gut! Besonders lustig, wenn man ein Passwort dann am Handy nicht richtig "tippen" kann, weil man die virtuelle Tastatur völlig anders bedient.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 3
  • DAS kenne ich nur zu gut! Besonders lustig, wenn man ein Passwort dann am Handy nicht richtig "tippen" kann, weil man die virtuelle Tastatur völlig anders bedient.

    Oder leicht angeschwippst ist. Pause machen beim Passwort schreiben ist bei mir nicht mehr drin nach 3-4 Bier am Abend. Da kann ich es nur noch in einem Schwung reinhauen ;D Ähnlich beim Klavier spielen - mittig wieder einsetzten ohne Noten schaffe ich meistens nicht, wenn ich im flow bin dann spielt es sich von alleine ^^

  • Das wollte ich auch machen, aber irgendwie sträubt sich in mir was dagegen. Nämlich dies: Wird mein Bitwarden gehackt, dann hat der Angreifer wirklich gleich Zugriff auf alles. Habe ich die 2FA Codes woanders, dann hilft ihm das Passwort bei den wichtigen Accounts wenig, da er nicht die 2FA Codes aus der anderen App hat.

    gebe ich dir absolut Recht.
    Dennoch fahre ich dort die Devise, lieber die komfortable Lösung zu nutzen und somit verhältnismäßig viele 2FA Tokens aktiv zu haben, als aufgrund von Umständlichkeit komplett auf 2FA zu verzichten. ^^
    Und Bequemlichkeit/Komfort ist nunmal ein großer "Gegner" der Sicherheit.

  • Natürlich, Bitwarden hoste ist eh selbst. Nur 2FA nutze ich bislang von Authy. Wer weiß, eventuell steige ich auch da um. Bin da ja ähnlicher Meinung wie du. Dass das Argument sinnfrei ist, mag schon sein - ein Funken Wahrheit steckt halt dennoch dahinter, dann du kannst immer von einer Lücke/Hack/whatever betroffen sein, selbst wenn du dein bestes Getan hast. Das meine ich damit.

    und wie sicherst du das bestmöglich ab wenn ich fragen darf?
    1. nur Zuhause onPrem und dann am Handy etc. mit dem Cache der App rumlaufen?

    2. auf einem extra VPS mit ordentlichen IPTables?
    3. oder vorm VPS wo Bitwarden läuft eine Firewall mit WAF davor?


    Das ist persönlich meine größte Krux. Ich denke/hoffe aktuell, dass Bitwarden die Infrastruktur besser absichert als ich es jemals könnte.

  • und wie sicherst du das bestmöglich ab wenn ich fragen darf?
    1. nur Zuhause onPrem und dann am Handy etc. mit dem Cache der App rumlaufen?

    2. auf einem extra VPS mit ordentlichen IPTables?
    3. oder vorm VPS wo Bitwarden läuft eine Firewall mit WAF davor?


    Das ist persönlich meine größte Krux. Ich denke/hoffe aktuell, dass Bitwarden die Infrastruktur besser absichert als ich es jemals könnte.

    3. mit deaktiviertem Adminbereich, Server selbst ist per SSH auch nur über Tailscale erreichbar und hat ausser Tailscale keine offenen Ports. Alles hinter Cloudflare mit WAF und Nginx Proxy in nem eigenen Dockernetzwerk. Ja! Aber wieso dann nicht auch Bitwarden über Tailscale? Weil andere Mitnutzer, denen will ich kein Tailscale etc eineichten.