Fragen zur Passwortsicherheit

  • Du hast mal irgendwo deine Domain hier im Forum geschrieben ;)

    What?! Ne... Echt? Ich bin da eigentlich seeeehr vorsichtig...
    Weißt du noch wo? Gerne per PN.

    [RS] 2000 G9 | Cyber Quack

    [VPS] 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • Ich nutze 1Password auf den Servern des Anbieters, allerdings den EU Ableger davon.


    Argumente gegen Self Hosting einer Passwortlösung:

    - Sicherheit: Ich habe nicht die Zeit, mich asap 24/7 um die Sicherheit des Servers / Docker Containers zu kümmern. Ich mache absolut "normale Serversicherheit", gehe aber davon aus, dass 1 Password da vieeeeel mehr Aufwand betreibt und Maßnahmen ergreift

    - Erreichbarkeit: Wenn meine Umgebungen down / nicht erreichbar sein sollten, brauche ich vielleicht gerade genau dann das Passwortmanagement, um die Umgebungen wiederherzustellen (z.B. Zugang zum Netcup Interface wenn die Lösung auf einem NC Server gehostet wäre. Daher soll meine Passwortmanagementlösung unabhängig von jeglicher meiner Infrastrukturen sein.

    - Bequemlichkeit: Ich brauche mich nicht um das Hosting, etc. kümmern, der Sync auch mobil funktioniert immer und überall reibungslos.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Gefällt mir 1
  • Ich nutze 1Password auf den Servern des Anbieters, allerdings den EU Ableger davon.


    Argumente gegen Self Hosting einer Passwortlösung:

    - Sicherheit: Ich habe nicht die Zeit, mich asap 24/7 um die Sicherheit des Servers / Docker Containers zu kümmern. Ich mache absolut "normale Serversicherheit", gehe aber davon aus, dass 1 Password da vieeeeel mehr Aufwand betreibt und Maßnahmen ergreift

    das haben dis Kunden von LastPass auch gedacht

  • TBT dann kannste genauso einfach nen offline Passwortmanager verwenden wie KeepassXC und z.b. via syncthing syncron halten oder die verschlüsselte datei via nextcloud/gdrive/dropbox/onedrive/box whatever synchronisieren.


    - viel sicherer

    - immer erreichbar, selbst wenn es nur eine lokale cache kopie ist - 1password braucht ja auch internet

    - genauso bequem und bessere software :D

  • das mag für 1Password richtig sein.

    Es ging mir nur darum um dass das Pauschale, das ist ne große Firma die tun viel mehr für die Sicherheit, trügerisch ist.

    Denn erstens ist es natürlich reizvoller ein Ziel zu hacken wo mehr zu holen ist und zweitens benötigen die auch eine Infrastruktur

    die deutlich mehr Schwachstellen aufweisen kann als ein einzelner Server.

    Letzenendes sollte es aber an Sicherheit auslangen, wenn der Dienstleister die Daten selbst nicht entschlüsseln kann.

    Dann kann zwar ein einzelnes Konto fallen aber nicht alle Konten auf einmal

  • Letzenendes sollte es aber an Sicherheit auslangen, wenn der Dienstleister die Daten selbst nicht entschlüsseln kann.

    Und das weiß man eben einfach nicht auch nicht wie und vor allem wann dann wie Verschlüsselung passiert.

    Genauso verspricht jeder VPN Anbieter nur RAM Server mit "zero log policy" zu verwenden -.-


    Insbesondere 1Password hat Jahre lang eine lokale Speicherung ermöglicht - hab das selber verwendet - vor weit über 10 Jahren.

    Aber der Cloud zwang ist einfach witzlos in meinen Augen.


    PS: Wenn man sich mal hier die Einträge mit Quellen so ansieht, schaut das nicht so unglaublich Sicher aus rundum 1Password

    https://password-managers.bestreviews.net/faq/which-password-managers-have-been-hacked/

    Und das sind nur Sachen die dort gelistet sind, fraglich ob das wirklich vollständig ist ;D

  • TBT dann kannste genauso einfach nen offline Passwortmanager verwenden wie KeepassXC und z.b. via syncthing syncron halten oder die verschlüsselte datei via nextcloud/gdrive/dropbox/onedrive/box whatever synchronisieren.


    - viel sicherer

    - immer erreichbar, selbst wenn es nur eine lokale cache kopie ist - 1password braucht ja auch internet

    - genauso bequem und bessere software :D

    Was ist denn an dieser oft propagierten, aber dennoch sauber umständlichen Geschichte "viel sicherer"? Dann liegt der Tresor halt nicht bei 1Password sondern auf einer anderen Cloud, die nicht speziell für Passworttresore konzipiert ist.


    Ich brauche keine "lokale Kopie", wenn die Daten, die ich auf einem anderen Gerät gesichert habe, nicht in der lokalen Kopie sind, weil der Sync nicht tut. Und bei "gdrive/dropbox/onedrive/box" speichert man den Tresor auch in den USA, was ist da besser als LastPass? Bei 1Password kann man immerhin einen europäischen Server wählen. Bei 1Password ist in der Tat der Secret Key noch nötig um ein neues Gerät hinzuzufügen. D.h. selbst mit den kompletten Zugangsdaten kann ein Angreifer nichts anfangen.


    Bequem? Ist eine solche Sache ja wohl mal gar nicht. Auf mobilen Endgeräten ist KeepassXC gar nicht vertreten. Irgendwelche Non-Open Source Drittanbieterapps für KeePass auf mobilen Endgeräten disqualifizieren sich aus Sicherheitsgründen von selbst. Damit ist ein solcher Passwortmanager nur auf Computern einsetzbar. Und wo ist das dann "die bessere Software"? Ein Passwortmanager muss eine Software sein, die überall verfügbar ist: Windows, Mac, Linux, iOS, Android und Plugins für alle verbreiteten Browser hat. Der Sync muss reibungslos und quasi in Real Time funktionieren.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • PS: Wenn man sich mal hier die Einträge mit Quellen so ansieht, schaut das nicht so unglaublich Sicher aus rundum 1Password

    https://password-managers.best…anagers-have-been-hacked/

    Und das sind nur Sachen die dort gelistet sind, fraglich ob das wirklich vollständig ist ;D

    Naja, das ist jetzt nicht gerade eine Network Security Website... Trotzdem landet da 1Password übrigens auf Rang 3 der besten PW Manager. Und wenn man hinschaut, heißen die meisten Einträge dort nicht, dass die Passwortmanager "gehackt" und Daten abgezogen wurden, sondern nur, dass man mit einer lokalen eingeloggten Installation was anstellen kann. Das ist aber nicht, was ich unter "gehackt" im Sinne von "jemand anderes kann übers Internet auf meinen Tresor zugreifen" verstehen würde.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • TBT du scheinst nicht begriffen zu haben worum es mir ging. Vollkommen egal in welcher cloud deine - eigens und lokal verschlüsselte Datei - gespeichert wird. Sie ist nunmal geschützt

    Bei einem cloud Passwort Manager weist du rein garnichts darüber wie und ob eine Datenbank geschützt, gesichert, verschlüsselt etc wird.


    Ob eine - durch mich selbst auf eigener Hardware - sicher verschlüsselte Datei nun auf meiner eigenen Festplatte, auf meiner eigenen Nextcloud oder auf einen beliebigen Cloud Provider liegt, ist relativ egal da niemand an die klar Daten kommt.


    Es gibt genügend ausgezeichnete Open Source Android Apps (iOS mäßig kenne ich mich nicht aus), z. B. Keepass2Android (github) und KeePassDX (ebenfalls Github) - mit Fingerabdruck unterstütztung, yubikey, lokalen Cache falls keine internetverbindung besteht etc pp........



    Und nein, das ist wohl keine bekannte Seite, aber sie liefern Belege für Behauptungen und ja 1Password ist dort auf Platz 3 (von 5 oder so ^^) , aber die besten Passwort Manager, also Open Source Lösungen, werden dort garnicht behandelt.


    PS: Eben mal gesucht nach iOS, gibt genügend (kostenlose) Open Source Programme, insofern...

  • TBT du scheinst nicht begriffen zu haben worum es mir ging. Vollkommen egal in welcher cloud deine - eigens und lokal verschlüsselte Datei - gespeichert wird. Sie ist nunmal geschützt

    Bei einem cloud Passwort Manager weist du rein garnichts darüber wie und ob eine Datenbank geschützt, gesichert, verschlüsselt etc wird.

    Bei eigentlich allen "Cloud" Passwort Managern, die ich kenne, funktioniert die Ver- und Entschlüsselung ausschließlich lokal, nur verschlüsselte Daten werden synchronisiert. Von daher absolut gleich wie die umständliche lokale PW Manager und irgendwas als Sync Lösung.


    Ob eine - durch mich selbst auf eigener Hardware - sicher verschlüsselte Datei nun auf meiner eigenen Festplatte, auf meiner eigenen Nextcloud oder auf einen beliebigen Cloud Provider liegt, ist relativ egal da niemand an die klar Daten kommt.

    Und genau das gilt auch für Cloud PW Provider.

    Und nein, das ist wohl keine bekannte Seite, aber sie liefern Belege für Behauptungen

    "Belege für Behauptungen" findet man für so ziemlich alles, inklusive dass die Erde flach sei.


    PS: Eben mal gesucht nach iOS, gibt genügend (kostenlose) Open Source Programme, insofern...

    Z. B.? Und es reicht nicht, dass diese irgendwie den Tresor aufbekommen, die müssen sich natürlich auch in den iOS Systempasswortdialog einklinken, sonst gibts Copy&Paste und das ist mobil extrem lästig.


    Hey, btw: ich will niemanden bekehren oder sonstwas. Ich möchte nur sagen, dass Cloud Passwortmanager nicht so schlecht sind wie behauptet. Und ich denke wir können uns alle darauf einigen, dass "überhaupt ein Manager" besser ist als keiner.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

  • Macht keinen Sinn mit dir zu diskutieren, weil du nur versuchst zu diskreditieren und nicht zu argumentieren und auch tatsächlich einfach nicht verstehst von was du eigentlich redest - passt exakt in das Bild welches du von dir vermittelt hast in der gender Diskussion - dort hast du genau das gleiche Spiel getrieben.


    Bei Cloud Passwort Managern sind die Datenbanken nicht lokal - was damit geschieht wirst du niemals wissen. Alleine der Fakt, dass sehr viele Tresore auf deren Servern liegen, macht so einen Anbieter viel attraktiver für Angreifer, da potentiell um ein vielfaches mehr zu holen ist.

    Bei deinem Cloud Provider weißt du auch niemals wie genau deine Passwörter verschlüsselt sind.

    Gerade so ein "Secret Key" bringt dir halt gleich mal überhaupt nichts. Kann schon sein, dass du ohne so etwas kein neues Gerät verwenden kannst, aber was soll das bringen wenn ein Angreifer die Datenbank abgreift?


    Wenn so ein Cloud PW Manager einen "Secret Key", "2FA" und Passwort zur Absicherung deiner Datenbank hat aber den Secret Key lediglich dafür verwendet um ein Endgerät zu genehmigen und den 2FA nur dazu verwendet um dich zur Stufe der Passworteingabe kommen zu lassen und hinter diesen 2 Türen dann deine lediglich mit Passwort verschlüsselte Datenbank liegt, bringt dir das ganze Prozedere nichts mehr wenn deren Server gehackt werden und via Brute-force die Datenbanken geknackt werden - dann kannst dir das 2FA und den Secret Key gleich sparen.


    PS: Nein, ich bin nicht der Meinung dass irgendein PW Manager besser ist als kein PW Manager - ganz im Gegenteil. Wenn dort alle meine Passwörter, Notizen etc. gespeichert werden sollte es meine einzigste und höchste Priorität sein diese Datenbank best möglich zu schützen und bevor ich das irgendeinen x beliebigen Cloud Provider mit proprietärer Software übergebe, schreib ich die Passwörter etc. lieber in ein Notizbuch oder speichere dort nur unwichtige Dinge, die mein Leben leichter machen aber nicht arg viel schwerer wenn es mit dem Anbieter in die Hose geht.

  • Bei deinem Cloud Provider weißt du auch niemals wie genau deine Passwörter verschlüsselt sind.

    Gerade so ein "Secret Key" bringt dir halt gleich mal überhaupt nichts. Kann schon sein, dass du ohne so etwas kein neues Gerät verwenden kannst, aber was soll das bringen wenn ein Angreifer die Datenbank abgreift?

    Doch, das weiß ich. Bitte lies die vorhandenen Whitepaper von 1Password. Ebenfalls wird der Secret Key dort nicht nur für die Genehmigung des Endgerätes verwendet, sondern fließt direkt in die Verschlüsselung ein. Ein Entschlüsseln der Datenbank ist ohne die Kombination aus Secret Key und Masterpasswort nicht möglich. Der Secret Key ist (sehr laienhaft ausgedrückt) quasi eine Verlängerung meines Passwortes.

  • Man sollte sich in die Sache auch nicht zu sehr rein steigern. Am Ende des Tages ist der Komfort meist am wichtigsten. Die entscheidende Frage ist ja auch immer: Wer ist der Angreifer? Vor wem will man sich eigentlich schützen? Im Zweifel klopft der einfach an deine Tür und bringt dir etwas Demokratie vorbei. Dann gibt man im Zweifel jedes Passwort "freiwillig" raus - unabhängig von der eingesetzten Verschlüsselungsmethode.


    Nutzt einfach den Passwortmanager, der euch am besten gefällt. Ob der jetzt über die Cloud synchronisiert oder lokal ist am Ende auch egal. Die meisten machen ihren Job ja ganz gut. Sobald man einen nutzt, macht man sich wenigstens etwas Gedanken über das Thema. Meist reicht das dann auch schon.

  • Doch, das weiß ich. Bitte lies die vorhandenen Whitepaper von 1Password. Ebenfalls wird der Secret Key dort nicht nur für die Genehmigung des Endgerätes verwendet, sondern fließt direkt in die Verschlüsselung ein. Ein Entschlüsseln der Datenbank ist ohne die Kombination aus Secret Key und Masterpasswort nicht möglich. Der Secret Key ist (sehr laienhaft ausgedrückt) quasi eine Verlängerung meines Passwortes.

    Ja, kannst dir ja mal auf archive.org anschauen was LastPass so versprochen hat in der Vergangenheit und dann wurden sie gehackt und endlos viele Datenbanken ergaunert.

    Demnach kann ich auch jeden X beliebigen VPN Anbieter nehmen, weil sie schreiben ja alle "zero log" "only RAM" etc - gibt Angebote für 15€ lifetime.


    Cloud ist cloud. Meine Haustür und mein Auto sperr ich auch selber zu und meine home automation mit Garage etc lasse ich auch nicht über irgendeinen China Server steuern sondern betreibe es lokal, genau aus diesem Grund.


    Jedem das seine.

    Aber dadurch dass es Alternativen gibt die mindestens genauso konfortabel sind, sehe ich gerade wenn man in diesem Kontext halbwegs bewandert ist (wir sind hier ja im netcup forum) absolut keinen Sinn darin nicht auf wirklich sichere open source Lösungen zu setzten - ein valides Argument dies nicht zu tun ist mir noch nie über den Weg gelaufen.

  • Ich persönlich nutze auch keinen Cloud-Passwortmanager und vertraue der Cloud zum Synchronisieren nur meine selbst verschlüsselten Passwortdateien an. (Sei es manuell oder in einem offline-Passwortmanager)

  • OpenSource hat 2 Seiten.

    Gut: Ich sehe was passiert.

    Schlecht: Jeder kann sehen was passiert.

    OS macht es also mitunter einfacher Lücken zu finden und es zu hacken.

    Vor- und Nachteile sind überall. Ich nutze Bitwarden, gehostet in deren Cloud. Was genau die machen weiß ich natürlich nicht. Ich traue mir aber auch nicht zu das sicher selbst zu hosten. Von daher muss ich halt vertrauen. Da ich davon ausgehe das dort Leute arbeiten die Ahnung von ihren Sachen haben, wird das besser sein als wenn das einer ohne Ahnung (Ich) macht.

  • Macht keinen Sinn mit dir zu diskutieren, weil du nur versuchst zu diskreditieren und nicht zu argumentieren und auch tatsächlich einfach nicht verstehst von was du eigentlich redest - passt exakt in das Bild welches du von dir vermittelt hast in der gender Diskussion - dort hast du genau das gleiche Spiel getrieben.

    Wo diskreditiere ich denn bitte? Ich habe ne andere Ansicht. Müssen wir jetzt wirklich auf eine ad hominem Ebene gehen?

    Bei Cloud Passwort Managern sind die Datenbanken nicht lokal - was damit geschieht wirst du niemals wissen.

    Doch, sie sind auch lokal (offline verfügbar) und werden mit dem Passwort und dem Secret Key entsperrt und verschlüsselt. Wenn die App / Browsererweiterung online ist, wird die Datenbank verschlüsselt synchronisiert.

    Der Kernpunkt der Diskussion ist doch: ich (also Cloud PW Manager Benutzer) muss dem Anbieter vertrauen, dass er seine Implementation richtig gemacht hat, weil sowohl Verschlüsselung/Passworttresor als auch Sync/Onlinedatenbank vom gleichen Anbieter kommen und nicht zwei unterschiedliche Einrichtungen sind. Das sehe ich und dazu bin ich bei 1Password bereit, da die Firma einen tadellosen Track Record und eine für mich vernünftige Herangehensweise hat. Ich war sogar auch mal bei LastPass, habe mich dort aber schon vor vielen Jahren verabschiedet, von der Firma LogMeIn halte ich allgemein nichts.

    dann kannst dir das 2FA und den Secret Key gleich sparen.

    Der o.g. Link sagt einiges zur Technik.

    PS: Nein, ich bin nicht der Meinung dass irgendein PW Manager besser ist als kein PW Manager - ganz im Gegenteil. Wenn dort alle meine Passwörter, Notizen etc. gespeichert werden sollte es meine einzigste und höchste Priorität sein diese Datenbank best möglich zu schützen und bevor ich das irgendeinen x beliebigen Cloud Provider mit proprietärer Software übergebe, schreib ich die Passwörter etc. lieber in ein Notizbuch oder speichere dort nur unwichtige Dinge, die mein Leben leichter machen aber nicht arg viel schwerer wenn es mit dem Anbieter in die Hose geht.

    Sehe ich halt anders, wenn ich mir angucke, wie viele Leute für tausend verschiedene Accounts das gleiche Passwort (und die gleiche Mailadresse) verwenden und über cross account hacking schon z.B. bei Facebook oder anderen kompromittiert wurden.


    Wenn der PW Manager kein Sicherheitsproblem hat (und da sind Open Source und Cloud Anbieter gleichermaßen gemeint) sollte es zu nichts führen, wenn eine angreifende Partei die verschlüsselte Datenbank hat. Das kann bei Cloud PW Manager Providern passieren (siehe LastPass), aber genauso können auch Google oder Dropboxkonten gehackt werden und der Tresor von dort entwendet. Der einzige Unterschied ist (s.o.), ob Tresorhersteller und Syncdienst die gleichen sind oder nicht.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)