Wenn man Schadsoftware drauf hat, kann die doch aber auch von dieser mit runter kopiert werden.
Passwörter sicher verwalten mit youbico - Nutzt das jemand?
- Ersteller heiko-rech
- Erstellt am
-
- Schlagworte
- passwörter
Ich habe yubikey im Einsatz. Bitte bedenke, dass du eigentlich zwei kaufen musst, da du ein Backup brauchst, wenn er die Biege macht.
Ich habe Passwörter in Bitwarden (vault warden, self hosted), da ich hier auf unterschiedlichen Endgeräten einen Passwort-Manager habe, der sich synchronisiert. Das hat mich zuvor an KeePass gestört. Nebenbei gibt's noch ein paar andere Features, dass zb nach meinem Ableben meine Frau Zugang zum Safe bekommt (wenn ich eine Email nicht in x Wochen beantworte bekommt sie Zugang zum System). Man kann auch Passwörter allgemein für die Familie ablegen. Ich bin mit Bitwarden da sehr sehr zufrieden.
Als second Factor tut es meiner Meinung für die meisten auch eine Handy app, wie zb Google authenticator oder ähnliche, die mit OTP Standard arbeiten. Yubikey ist nett, aber eher was für IT Abteilungen und nicht für Endanwender.
Ich habe den Bitwarden Zugang per Second factor abgesichert, darüber hinaus nutze ich OTP aus Bitwarden als Second factor - das ist zwar nicht wirklich sicherer, aber eben eine weitere Hürde, ohne dass es mich viel Komfort kostet.
Tldr: lass die Finger von yubikey, die Chance dass du dich unwiderruflich irgendwo aussperrst ist > 0.
Ich habe Passwörter in Bitwarden (vault warden, self hosted), da ich hier auf unterschiedlichen Endgeräten einen Passwort-Manager habe, der sich synchronisiert. Das hat mich zuvor an KeePass gestört. Nebenbei gibt's noch ein paar andere Features, dass zb nach meinem Ableben meine Frau Zugang zum Safe bekommt (wenn ich eine Email nicht in x Wochen beantworte bekommt sie Zugang zum System). Man kann auch Passwörter allgemein für die Familie ablegen. Ich bin mit Bitwarden da sehr sehr zufrieden.
Als second Factor tut es meiner Meinung für die meisten auch eine Handy app, wie zb Google authenticator oder ähnliche, die mit OTP Standard arbeiten. Yubikey ist nett, aber eher was für IT Abteilungen und nicht für Endanwender.
Ich habe den Bitwarden Zugang per Second factor abgesichert, darüber hinaus nutze ich OTP aus Bitwarden als Second factor - das ist zwar nicht wirklich sicherer, aber eben eine weitere Hürde, ohne dass es mich viel Komfort kostet.
Tldr: lass die Finger von yubikey, die Chance dass du dich unwiderruflich irgendwo aussperrst ist > 0.
Ich nutze Lastpass, ein Masterpasswort und mit den meisten Apps kompatibel auf dem Handy. Außerdem in Firefox oder chrom implementierbar und eine eigene 2FA App.
Bin sehr zufrieden, hab auch schon mal mein Passwort vergessen und konnte es innerhalb von 5 Minuten wieder nutzen.
Man kann Passwörter teilen (nur Nutzung, oder vollständig), die Familie verwalten, Notfallzugänge einrichten und Einmalpasswörter generieren, wenn mal im Urlaub oder im Krankenhaus oder was auch immer.
Bin sehr zufrieden, hab auch schon mal mein Passwort vergessen und konnte es innerhalb von 5 Minuten wieder nutzen.
Man kann Passwörter teilen (nur Nutzung, oder vollständig), die Familie verwalten, Notfallzugänge einrichten und Einmalpasswörter generieren, wenn mal im Urlaub oder im Krankenhaus oder was auch immer.
bauherr1
ww-kirsche
Für ein Endanwender (private Nutzung) kann ich für die Haltung und manuelle Verwaltung der Passwörter KeePass empfehlen.
Es ist kostenlos und erfüllt die Standardanforderungen an die Sicherheit. Kompatibilität mit mobilen Endgeräten ist dabei aber eingeschränkt. Wichtige Passwörter sollte man aber an solchen Geräten grundsätzlich nicht angeben. Wenn man es unbedingt machen muss, ist die Lösung fast egal. Die Sicherheit bei Handys o.ä. ist so gering, dass praktisch jede Lösung ausreichend ist. Die Sicherheit der Passwörter ist dabei leider nur sehr rudimentärer.
Für automatische Verwaltung von Passwörter ist die Lösung von Cyberark heute in obere Liga. Meistens aber für kleine Firmen übertrieben/zu teuer.
Es hängt davon ab, was man erreichen möchte. Die Sicherheit der Passwörter ist selten von deren Haltung/Speicherung abhängig. Fast jedes Tool hält die Passwörter heutzutage sicher. Entscheidend ist, wie man auf sie zuzugreifen kann.
Nachtrag: Wenn Du eine Lösung für die Firma suchst, schreibt mich per PW an. Ich kenne mich in dem Gebiet gut aus.
Es hilft selten ein Superschloss in den Türen, wenn Du den Schlüssel "unter der Matte" liegen lässt.
VG, Jaro
Es ist kostenlos und erfüllt die Standardanforderungen an die Sicherheit. Kompatibilität mit mobilen Endgeräten ist dabei aber eingeschränkt. Wichtige Passwörter sollte man aber an solchen Geräten grundsätzlich nicht angeben. Wenn man es unbedingt machen muss, ist die Lösung fast egal. Die Sicherheit bei Handys o.ä. ist so gering, dass praktisch jede Lösung ausreichend ist. Die Sicherheit der Passwörter ist dabei leider nur sehr rudimentärer.
Für automatische Verwaltung von Passwörter ist die Lösung von Cyberark heute in obere Liga. Meistens aber für kleine Firmen übertrieben/zu teuer.
Es hängt davon ab, was man erreichen möchte. Die Sicherheit der Passwörter ist selten von deren Haltung/Speicherung abhängig. Fast jedes Tool hält die Passwörter heutzutage sicher. Entscheidend ist, wie man auf sie zuzugreifen kann.
Nachtrag: Wenn Du eine Lösung für die Firma suchst, schreibt mich per PW an. Ich kenne mich in dem Gebiet gut aus.
Es hilft selten ein Superschloss in den Türen, wenn Du den Schlüssel "unter der Matte" liegen lässt.
VG, Jaro
Zuletzt bearbeitet:
Oh Gott ich hoffe das ist ein Aprilscherz. Cyberquark wird bei uns gerade eingeführt und ich kann jedem nur raten weit, weit weg zu rennen. Völlig ungeeignet für das, was Heiko möchte.
bauherr1
ww-kirsche
Leider ist es kein Scherz. Es ist einfach für "normale" Firmen wenig geeignet, die normalerweise ganz andere Anforderungen haben.
Es ist vergleichbar mit einer FKS für ein Einsteiger, der noch nicht weiß, wie er mit TKS umgehen soll.
Es ist einfach ein Profitool, wenn jemanden nicht versteht warum er es einsetzten muss, kann mit Passwörter ohne hin umgehen. Dabei fehlt normalerweise einfach sehr viel Grundwissen und dieses Tool ist nur ein Kostenfaktor und wenig eine echte Sicherheitsmaßnahme.
Ich kenne nicht Deine Firma, aber solche Lösungen sind meistens "künstliche" Maßnahmen. Sie helfen zwar mal die User etwas unter Druck zu setzten, aber erhöhen eher selten die echte Sicherheit. Diese fängt meistens bei den Menschen und nicht bei den Einschränkungen. Für die Einschränkungen finden die Menschen einfach "eigene" Sonderlösungen. Damit ist diese Maßnahmen einfach nur "eine Zeile" in dem Sicherheitskonzept. Nach Außen super Ding, aber mit der echte Sicherheit eher wenig zu tun hat.
Natürlich kann man solche Lösungen sehr hart umsetzten, dass man einfach nicht vorbei kommt. Dabei wird die Arbeit aber oft stark eingeschränkt.
Wir sind aber bei Holzforum, somit macht es kein Sinn viel drüber zu sprechen
VG, Jaro
Zuletzt bearbeitet:
herumtreiber
ww-buche
- Registriert
- 8. April 2018
- Beiträge
- 263
Kannst du das Mal ein wenig ausführen?
KalterBach
ww-robinie
Dass würde mich auch mal interessieren. Und bitte Fakten und kein „Ich habe mal gehört …“
Das Thema Sicherheit, OpenSource und Schwachstellen beschäftigt mehr als nur ein paar Amateure bei großen I Firmen und Universitäten. Mögen die sich mal nicht alle irren.
bauherr1
ww-kirsche
Hallo,
ok, dann versuche ich paar Informationen mit Beispiel zu liefern, möglichst ohne zu viel in die Technik einzutauchen.
Ich versuche es möglichst allgemein zu halten, damit jeder was davon hat.
Es wird also längere Beitrag und ein Glas Wein oder ein Bier wird ihn gemütlicher machen. Sonst kann man auch zu Handy greifen und von Siri oder andere Alexa sich als Podcast vorlesen lassen
Die Geschichte der Sicherheit von Handys bzw. Smartphones ist im Vergleich zu "echten" Rechner wie PC und Server deutlich junger. Diese Geräte bzw. deren Betriebssysteme gibt es seit 2007 in dem das erste iPhone "geboren" wurden. Es sind bis heute 16 Jahre und PC/Server bzw. deren Betriebssysteme existieren über 30 Jahre. Der "Software"-Markt für heutige Handys ist zwar schon sehr weit, aber hat die Computer einfach noch nicht eingeholt.
Die Sicherheit selber ist nur ein grober Begriff. Es zählt wie und was gemessen wird, sonst vergleicht man Apfel mit Birnen. Nur weil ich die Sicherheit der Handys als "gering" bezeichne, kann es für anderen "sehr sicher" sein. Es kommt einfach darauf an, was man schützen möchte/muss und ob die Schutzfunktionen vorhanden bzw. wirksam sind.
Deswegen gibt es eben den speziellen Markt und deswegen kaufen sich die Firmen damit mehr Sicherheit, um die Insolvenz durch den Verlust oder Kompromittierung der Daten zu vermeiden.
Hier sind die Versicherungen guter Beispiel. Sie können einigermaßen gut die Risiken einschätzen. Irgendwann ist es den aber auch zu teuer und fordern, dann konkrete Sicherheitsmaßnahmen. Dies kann für jeder eine Orientierung sein.
Hier ist die typische Maßnahmen ein Backup, welches mind. ein Verlust (aber nicht unbedingt die Sicherheit der Daten) mindert.
Die Standard-Lösung für dieses Problem ist heutzutage auf die Daten über das Netz zuzugreifen. Damit löst man eben das Problem von geklauten Telefon, wo die Daten nicht mehr lokal gespeichert werden müssen (Aha-Effekt Nr 2). Dies ist alte Lösung und jeder, der E-Mail Server und E-Mail Client kennt, wird sie kennen.
Im Haus/Vorort kann man die Server mit den Daten per Firewalls/lokale Netze und andere Schutzfunktionen sehr gut abkoppeln. Das Handy hängt aber erstmals im Internet.
Um den Zugang aus dem Internet sicherer zu machen, wurde VPN, Cloud-Dienste etc. geschafft. Dabei ist der Fokus der Zugang zu diesen Diensten (nicht Zugriff zu den Servern) gut abzusichern.
Ich denke die Antworten werden klar die Schwäche von Handys bzw. deren Nutzung darstellen (Aha-Effekt Nr 4).
Hier kommen eben die speziale Lösungen, wie in vorherigen Beitrag von KeePass/Cyberark zum Einsatz. Man muss damit die komplexe Passwörter nicht kennen, um sie zu verwenden (Aha-Effekt Nr 5). Der Mensch versucht sich doch das Leben leichter zu machen und wird sich nie ein Passwort merken, den man kaum schreiben kann. Da kommt wieder der Einsatz von Bleischtift und Papier ins Einsatz. Der sogar deutlich sicherer ist als einfaches Passwort ist. Schließlich kann aus dem Internet auf den Zettel nicht zugreifen (Aha-Effekt Nr 6).
Irgendwann ist die Tendenz dazu übergegangen, dass man immer längere PINs haben muss, da 4-stellig kann es auch schnell abgeschaut werden. Wenn jemand in größeren Firmen gearbeitet hat, kennt bestimmt die passende Richtlinie. Es ist mit der Zeit also unpraktischer und man wollte es vereinfachen.
So ist auch das PIN durch Biometrie ersetzt worden. Wir haben das Handy und unsere Fingerabdruck parat. OK beim Tischler nicht unbedingt immer alle
Damit hat man doch zwei Faktoren und diese muss der Angreifer erst überwidmen. Was nur nicht jeden klar ist, dass diese Informationen oft öffentliche Informationen sind. Unser Fingerabdruck kann praktisch jeder bekommen (Aha-Effekt Nr 7). Wir lassen sie doch überall "liegen". OK, die Technik für deren Verwendung ist nicht ganz trivial, aber auch keine Wissenschaft.
Hier ein Beweis: Weißt jemand warum unsere Ex-Kanzlerin seit bestimmen Zeitpunkt die Hände/Finger immer zusammen gehalten hat? Es gab nämlich ein Fall, wo jemand mit guter Spiegelreflex-Kamera den Fingerabdruck von einen Glas, was sie in einer Konferenz genutzt hatte, abfotografiert und veröffentlicht hat.
Ähnelt es vielleicht an den Cookies bei den Webseiten, wo man weißt, dass diese Daten für ein Verhaltensprofil genutzt werden? Irgendwann hat man doch Schnauze voll oder?
Natürlich hat sich ein oder andere Hersteller dazu auch versucht eine Lösung zu überlegen. Es gibt wie bei den Maschinen für die Holzbearbeitung bessere und schlechtere "Maschinen"...
"Solche Fehler sind besonders problematisch, weil es ausreicht, eine schlichte Website zu besuchen oder Website-Inhalte in anderen Programmen anzuzeigen."
Quelle: https://www.heise.de/news/Apple-erz...Sicherheitsluecken-in-Vorversion-7523516.html
Dies hat etwas mit Malware-Schutz (Antivieren-Schutz) zu tun. Für ein PC sind sie heute schon sehr weit. Solche vergleichbare "Apps" für Handys sind leider nicht so weit.
Ketzerische Frage: Musste eine Antiviren-App nicht auf jede andere App zugreifen können, um sie zu schützen? Der Zugriff zwischen den Apps ist doch ein Super-Schutz!
Ich hoffe es hat euch etwas Spaß gemacht
Viele Grüße
Jaro
ok, dann versuche ich paar Informationen mit Beispiel zu liefern, möglichst ohne zu viel in die Technik einzutauchen.
Ich versuche es möglichst allgemein zu halten, damit jeder was davon hat.
Es wird also längere Beitrag und ein Glas Wein oder ein Bier wird ihn gemütlicher machen. Sonst kann man auch zu Handy greifen und von Siri oder andere Alexa sich als Podcast vorlesen lassen
Allgemein
Die heutige Handys sind eher vollwertige Computer, deswegen lasse ich die "alte Generation" von mobilen Telefonen einfach aus der Betrachtung.Die Geschichte der Sicherheit von Handys bzw. Smartphones ist im Vergleich zu "echten" Rechner wie PC und Server deutlich junger. Diese Geräte bzw. deren Betriebssysteme gibt es seit 2007 in dem das erste iPhone "geboren" wurden. Es sind bis heute 16 Jahre und PC/Server bzw. deren Betriebssysteme existieren über 30 Jahre. Der "Software"-Markt für heutige Handys ist zwar schon sehr weit, aber hat die Computer einfach noch nicht eingeholt.
Die Sicherheit selber ist nur ein grober Begriff. Es zählt wie und was gemessen wird, sonst vergleicht man Apfel mit Birnen. Nur weil ich die Sicherheit der Handys als "gering" bezeichne, kann es für anderen "sehr sicher" sein. Es kommt einfach darauf an, was man schützen möchte/muss und ob die Schutzfunktionen vorhanden bzw. wirksam sind.
Beispiel für Wert und Bedarf
Wenn man in der Scheune alte Hobelbank und paar alte Werkzeuge hat und die Tür einfach mit einem Riegel geschützt hat, kann es schon sicher sein. Wenn man aber schon da Maschinen stehen hat, wird es eher ungeeignet. Dies gleiche gilt für Handys. Wenn ich da nur paar private Fotos habe, mag altes Telefon ok sein, wenn ich da aber Daten habe, deren Schutzbedarf großer ist (z. B. Passwörter für Online-Banking oder zu den Systemen, die für die Firma existenziell sind), such man nach anderen (speziellen) Lösungen.Deswegen gibt es eben den speziellen Markt und deswegen kaufen sich die Firmen damit mehr Sicherheit, um die Insolvenz durch den Verlust oder Kompromittierung der Daten zu vermeiden.
Hier sind die Versicherungen guter Beispiel. Sie können einigermaßen gut die Risiken einschätzen. Irgendwann ist es den aber auch zu teuer und fordern, dann konkrete Sicherheitsmaßnahmen. Dies kann für jeder eine Orientierung sein.
Jetzt wird es etwas konkreter...
Ich denke, dass es jedem bekannt, dass viele große Rechnerzentren mit viel Server und vielen Daten gibt. Der Zutritt zu diesen Server, wo die Daten gespeichert sind, ist normalerweise sehr stark eingeschränkt und mit viel Kontrollen etc. verbunden. Es liegt einfach daran, dass da wertvolle Daten liegen. Wenn meine "wertvolle" Daten auf einem Handy liegen, zu der praktisch jeder Zugriff bekommen kann (klauen/verlieren etc.), wird es schon schwieriger. Da sind die ganze Maßnahmen mit den Kontrollen aus dem Rechnerzentrum einfach nicht geeignet (Aha-Effekt Nr 1).Hier ist die typische Maßnahmen ein Backup, welches mind. ein Verlust (aber nicht unbedingt die Sicherheit der Daten) mindert.
Die Standard-Lösung für dieses Problem ist heutzutage auf die Daten über das Netz zuzugreifen. Damit löst man eben das Problem von geklauten Telefon, wo die Daten nicht mehr lokal gespeichert werden müssen (Aha-Effekt Nr 2). Dies ist alte Lösung und jeder, der E-Mail Server und E-Mail Client kennt, wird sie kennen.
Das Problem des Internets
Das Problem mit den Handys ist aber, dass ich auch auf die Daten unterwegs zugreifen möchte. D. h. die Daten müssen aus dem Internet erreichbar werden. Wenn aber ich von einem Gerät aus Internet auf meine Daten zugreifen kann, kann es dann auch theoretisch jeder. Schließlich sind wir alle mit Internet meistes verbunden.Im Haus/Vorort kann man die Server mit den Daten per Firewalls/lokale Netze und andere Schutzfunktionen sehr gut abkoppeln. Das Handy hängt aber erstmals im Internet.
Um den Zugang aus dem Internet sicherer zu machen, wurde VPN, Cloud-Dienste etc. geschafft. Dabei ist der Fokus der Zugang zu diesen Diensten (nicht Zugriff zu den Servern) gut abzusichern.
Beispiel für sichere (?) Zugänge aus dem Internet
Die altbekannte Schutzmaßnahme ist User und Passwort zu verwenden. Dies kenne doch nur ich und nicht der Angreifer. Seit dem aber durch Ausprobieren von Passwörter bei der Anmeldung viele Angriffe gibt, hat es sich etwas geändert. Wenn jemand einfache Passwörter verwendet, ist ein erfolgreiche Angriff auf die Zugänge nur die Frage der Zeit. Deswegen wurde die Passwortrichtlinien geschafft, um das Risiko zu vermeiden (Aha-Effekt Nr 3). Meistens auch mit technische Unterstützung, dass man z. B. alle paar Tage das Passwort wechseln muss. Hat jemand schon versucht die Passwörter über das Handy zu wechseln? Kann man überhaupt komplexe Passwörter auf Handy in normalen Tempo eintippen?Ich denke die Antworten werden klar die Schwäche von Handys bzw. deren Nutzung darstellen (Aha-Effekt Nr 4).
Hier kommen eben die speziale Lösungen, wie in vorherigen Beitrag von KeePass/Cyberark zum Einsatz. Man muss damit die komplexe Passwörter nicht kennen, um sie zu verwenden (Aha-Effekt Nr 5). Der Mensch versucht sich doch das Leben leichter zu machen und wird sich nie ein Passwort merken, den man kaum schreiben kann. Da kommt wieder der Einsatz von Bleischtift und Papier ins Einsatz. Der sogar deutlich sicherer ist als einfaches Passwort ist. Schließlich kann aus dem Internet auf den Zettel nicht zugreifen (Aha-Effekt Nr 6).
Mehr-Faktor-Authentifizierung
Ok. Der Titel ist leider etwas fachlicher aber ich kenne dafür kein allgemeingültiger Begriff für nicht ITer. Zur Not muss man googelnAm Anfang war der PIN
Jeder kennt es doch. Der Schutz für den Zugriff vor Unbefugten zum geklauten Handy ist doch der PIN. Es ist doch super Sache (dies meine ich auch ernst).Irgendwann ist die Tendenz dazu übergegangen, dass man immer längere PINs haben muss, da 4-stellig kann es auch schnell abgeschaut werden. Wenn jemand in größeren Firmen gearbeitet hat, kennt bestimmt die passende Richtlinie. Es ist mit der Zeit also unpraktischer und man wollte es vereinfachen.
Dann kam die globale Erwärmung...
Die Grundsätze der Authentifizierung sind Wissen, Besitzt oder Sein. Das Wissen ist z. B. "ich kenne mein PIN/Passwort", Besitzt "ich habe doch das Handy in der Hand" und zum Schluss "Sein" d.h. Biometrie. Zu Biometrie gehören z. B. Fingerabdruck, Iris der Auge und paar andere.So ist auch das PIN durch Biometrie ersetzt worden. Wir haben das Handy und unsere Fingerabdruck parat. OK beim Tischler nicht unbedingt immer alle
Damit hat man doch zwei Faktoren und diese muss der Angreifer erst überwidmen. Was nur nicht jeden klar ist, dass diese Informationen oft öffentliche Informationen sind. Unser Fingerabdruck kann praktisch jeder bekommen (Aha-Effekt Nr 7). Wir lassen sie doch überall "liegen". OK, die Technik für deren Verwendung ist nicht ganz trivial, aber auch keine Wissenschaft.
Hier ein Beweis: Weißt jemand warum unsere Ex-Kanzlerin seit bestimmen Zeitpunkt die Hände/Finger immer zusammen gehalten hat? Es gab nämlich ein Fall, wo jemand mit guter Spiegelreflex-Kamera den Fingerabdruck von einen Glas, was sie in einer Konferenz genutzt hatte, abfotografiert und veröffentlicht hat.
Das Mensch-Problem
Die Handys haben aber heutzutage doch sehr viele Sicherheitsfunktionen. Die Abschottung zwischen den Apps ist so umgesetzt, dass eine App auf die Daten der anderen App nicht zugreifen darf. Außer man erlaubt es ausdrücklich. Diese Frage kommt meistens beim Handys, wenn der erste Zugriff passiert. Weißt jemand bei euren Handys welche Apps auf welche Apps zugreifen kann? Wem nervt, wenn diese Frage jedes mal kommt und irgendwann klickt man "immer zugreifen"?Ähnelt es vielleicht an den Cookies bei den Webseiten, wo man weißt, dass diese Daten für ein Verhaltensprofil genutzt werden? Irgendwann hat man doch Schnauze voll oder?
Beispiel für "fiktive" Sicherheit am Handy
Fast jede App möchte irgendwann auf die "Kontakte" oder vielleicht auf die "zentral gespeicherte Passwörter" zugreifen. Kann es sein, dass die andere Apps, für die man den Zugriff erlaubt auch auf die alle Daten in dieser App zugreifen können? (Aha-Effekt Nr 8).Natürlich hat sich ein oder andere Hersteller dazu auch versucht eine Lösung zu überlegen. Es gibt wie bei den Maschinen für die Holzbearbeitung bessere und schlechtere "Maschinen"...
Noch etwas konkreter...
Ich denke in die Technik tiefer einzusteigen, macht es auf diesem Forum wenig Sinn. Hier lasse ist nur ein Zitat von heise in Raum stehen:"Solche Fehler sind besonders problematisch, weil es ausreicht, eine schlichte Website zu besuchen oder Website-Inhalte in anderen Programmen anzuzeigen."
Quelle: https://www.heise.de/news/Apple-erz...Sicherheitsluecken-in-Vorversion-7523516.html
Dies hat etwas mit Malware-Schutz (Antivieren-Schutz) zu tun. Für ein PC sind sie heute schon sehr weit. Solche vergleichbare "Apps" für Handys sind leider nicht so weit.
Ketzerische Frage: Musste eine Antiviren-App nicht auf jede andere App zugreifen können, um sie zu schützen? Der Zugriff zwischen den Apps ist doch ein Super-Schutz!
Ich hoffe es hat euch etwas Spaß gemacht
Viele Grüße
Jaro
Zuletzt bearbeitet:
KaiX0
ww-robinie
Für Laien gut verständlich: Etwas haben (Handy/Zutrittskarte/Dongle...), etwas wissen (Passwort), etwas sein (Biometrie, also Stimme, Fingerprint, Iris)...Haben, Wissen und Sein sind drei FAKTOREN, kombiniert dann 2- oder Mehrfaktor- Authentifizierung.
KaiX0
ww-robinie
Shit, wird ja im Beitrag erklärt, sorry, wollten nicht alles lesen...
heiko-rech
ww-robinie
Hallo,
ich habe mich in den letzten Tagen noch ein wenig eingehender mit der Sache beschäftigt. So richtig überzeugt bin ich von keiner der Stick-Lösungen. Irgendwo gibt es immer einen Haken.
Ich werde jetzt erst einmal meine ganzen Passwörter und Zugänge ausmisten. Da sind zum Beispiel einige Onlineshops, bei denen ich nur sehr sehr selten bestelle. Da könnte ich sogar ein sehr kryptisches Passwort automatisch vorschlagen lassen, mich einloggen und einkaufen. Monate später kann ich mir ein neues Passwort zusenden lassen und wieder einkaufen. Das wäre so eine Notlösung für selten benutzte Logins.
So ganz habe ich da meine Linie aber ehrlich gesagt noch nicht gefunden. Sollte die zündende Idee kommen, lasse ich es euch wissen.
Gruß
Heiko
ich habe mich in den letzten Tagen noch ein wenig eingehender mit der Sache beschäftigt. So richtig überzeugt bin ich von keiner der Stick-Lösungen. Irgendwo gibt es immer einen Haken.
Ich werde jetzt erst einmal meine ganzen Passwörter und Zugänge ausmisten. Da sind zum Beispiel einige Onlineshops, bei denen ich nur sehr sehr selten bestelle. Da könnte ich sogar ein sehr kryptisches Passwort automatisch vorschlagen lassen, mich einloggen und einkaufen. Monate später kann ich mir ein neues Passwort zusenden lassen und wieder einkaufen. Das wäre so eine Notlösung für selten benutzte Logins.
So ganz habe ich da meine Linie aber ehrlich gesagt noch nicht gefunden. Sollte die zündende Idee kommen, lasse ich es euch wissen.
Gruß
Heiko
Warum willst du das machen? Es spielt doch keine Rolle, ob du dich ein Mal im Jahr irgendwo einloggst oder täglich 100 mal.
Die Datenbank bei Passwortmanagern ist relativ klein. Ausmisten macht mMn keinen Sinn.
Ich habe garantiert auch einige Logins, wo ich evtl. auch nie mehr was einkaufen werde etc. Mich stören sie in der Datenbank nicht.
heiko-rech
ww-robinie
Hallo,
Gruß
Heiko
Ich habe keinen Passwortmanager und möchte nach allem, was ich gelesen habe auch keinen.
Datensparsamkeit
Gruß
Heiko
KalterBach
ww-robinie
Hallo Heiko
zwei Anmerkungen von mir dazu.
Ein menschliches Gehirn kann echt vieles, aber es gibt heute vernünftige und gute Lösungen für Passwörter. Und damit meine ich nicht einen bezahlbaren „sicheren“ Online-Passwort-Manager. Wie Du Dir eine vernünftige Offline-Backup-Lösung aufbaust, damit Du im Notfall von vorne anfangen kannst, muss auch bedacht werden.
zwei Anmerkungen von mir dazu.
Ich nutze beruflich und privat in Summe mehr als 100 Passwörter. Ich wüsste jetzt nicht, wie ich mir die auch nur annähernd sinnvoll merken könnte.
Ein menschliches Gehirn kann echt vieles, aber es gibt heute vernünftige und gute Lösungen für Passwörter. Und damit meine ich nicht einen bezahlbaren „sicheren“ Online-Passwort-Manager. Wie Du Dir eine vernünftige Offline-Backup-Lösung aufbaust, damit Du im Notfall von vorne anfangen kannst, muss auch bedacht werden.
Deine Überzeugung in allen Ehren, aber wenn Du eine Sekunde Video weniger aufgenommen und auf Deiner Festplatte gespeichert hättest, dann wären das mehr gesparte Bits und Bytes, als die Größe Deiner Passwort-Safe-Datei.
heiko-rech
ww-robinie
Hallo,
https://de.wikipedia.org/wiki/Datenvermeidung_und_Datensparsamkeit
Das setzen wir auch bei uns in der Kurswerkstatt sehr konsequent um.
Auf hundert Passwörter komme ich bei weitem nicht. Vielleicht 50, eher weniger.
Gruß
Heiko
Mit Datensparsamkeit ist gemeint, dass man seine persönlichen Daten nicht unnötig breit in der virtuellen Gegend verteilt. Damit ist auf der anderen Seite auch gemeint, dass nicht mehr Daten als notwendig von irgendwelchen Anbietern gesammelt werden. Daher mache ich mir auch durchaus immer wieder mal die Mühe und lösche (oder lasse löschen) Zugänge bei Diensten und Shops, die ich nicht mehr nutze.Deine Überzeugung in allen Ehren, aber wenn Du eine Sekunde Video weniger aufgenommen und auf Deiner Festplatte gespeichert hättest, dann wären das mehr gesparte Bits und Bytes, als die Größe Deiner Passwort-Safe-Datei.
https://de.wikipedia.org/wiki/Datenvermeidung_und_Datensparsamkeit
Das setzen wir auch bei uns in der Kurswerkstatt sehr konsequent um.
Auf hundert Passwörter komme ich bei weitem nicht. Vielleicht 50, eher weniger.
Gruß
Heiko
KalterBach
ww-robinie
Das ist in allen Ehren ein gut gemeinter Ansatz, aber wie sieht denn die Praxis aus?
Wenn ich mein Konto bei der Kurswerkstatt lösche, durchforstest Du dann alle Backups und löschst alle personenbezogenen Daten unter Berücksichtigung aller juristischen Feinheiten?
Die wenigsten Leute nutzen für jeden Zugang individuelle Adressen und Passwörter. Das gemeinsame Meerkmal wie Adresse, E-Mail oder Bankverbindung/Bezahldienst ist nicht so leicht zu vermeiden.
heiko-rech
ww-robinie
Hallo,
Gruß
Heiko
Ich denke einfach ein wenig nach, bevor ich überall, wo es verlangt wird, ein Konto eröffne. "Brauche ich das wirklich", "Kann ich das woanders (offline) kaufen", "ist mir dieser Dienst wirklich wichtig" usw.
Der Kursteilnehmer selbst kann sein Konto nicht so einfach selbst löschen. Er/ Sie kann aber jederzeit eine Auswertung bekommen, welche Daten erfasst wurden. Das sind nicht viele. Das Löschen eines Nutzers geschieht durch uns. Entweder auf Wunsch eines Nutzers (kam bisher noch nicht vor) oder wenn ein Abo nicht verlängert wird. Dann werden alle Daten, außer denen, die für die Buchhaltung wichtig sind (Rechnungen als PDF) gelöscht. Forenbeiträge werden einem Gastkonto zugewiesen und dadurch anonymisiert. Geschriebene persönliche Nachrichten im Forum werden gelöscht. Das geh natürlich automatisch, beim Löschen des Nutzers. Das ist eigentlich Standard, oder sollte es zumindest sein.
Man kann es aber zumindest versuchen zu minimieren und nicht für alles die gleichen Daten verwenden.
Gruß
Heiko
Neben der eMail Adresse wechsle ich in der Tat auch die Adresse und den Namen bei Onlinekonten, die nicht wichtig sind.
Da reicht meist schon Hein Meier-Woodworker, um automatischen Abgleich ins Leere laufen zu lassen. Den Postboten stört's nicht, eventuelle Post kommt dennoch an. Falls jemand mal Post sendet. Z.B. Dictum penetrant Werbung an Hein Meier-Dictum in der Hauptstrasse 1D.
Da reicht meist schon Hein Meier-Woodworker, um automatischen Abgleich ins Leere laufen zu lassen. Den Postboten stört's nicht, eventuelle Post kommt dennoch an. Falls jemand mal Post sendet. Z.B. Dictum penetrant Werbung an Hein Meier-Dictum in der Hauptstrasse 1D.
KalterBach
ww-robinie
Nennt sich auf den meisten Webseiten „Als Gast bestellen“ - nutze ich bevorzugt.
eigentlich Standard und sollte so sein. Die Frage nach den persönlichen Daten im Backup bleibt bestehen. Und es gibt halt genügend Webseiten-Betreiber, die löschen einfach keine alten Backups.
Das ist uns beiden ja klar. Aber damit hat man Aufwand und wieder mehr Dinge um die man sich kümmern muss.
Ich denke, dass wir generell einer Meinung sind. Meist liegt der Unterschied aber im „aber“ und dem jeweiligen persönlichen Anforderungsprofil.
Der beste Passwortmanager, den viele benutzen, sind kleine Zettel auf der Rückseite der Tastatur.
Wenn nicht dort, dann Zettel auf dem Monitor geklebt. Ist aber nicht ganz so sicher.
Das sind zumindest so meine praktischen Erfahrungen. Aber einige konnte ich überzeugen, mal einen Passwortmanager zu nutzen. Wobei bei der Hälfte habe ich nach 2-3 Jahren gemerkt, dass die den eingerichteten Manager nie genutzt haben. Der Mensch ist halt ein Gewohnheitstier und in solchen Sachen faul.
Wenn nicht dort, dann Zettel auf dem Monitor geklebt. Ist aber nicht ganz so sicher.
Das sind zumindest so meine praktischen Erfahrungen. Aber einige konnte ich überzeugen, mal einen Passwortmanager zu nutzen. Wobei bei der Hälfte habe ich nach 2-3 Jahren gemerkt, dass die den eingerichteten Manager nie genutzt haben. Der Mensch ist halt ein Gewohnheitstier und in solchen Sachen faul.
Der beste Passwortmanager, den viele benutzen, sind kleine Zettel auf der Rückseite der Tastatur.
Wenn nicht dort, dann Zettel auf dem Monitor geklebt. Ist aber nicht ganz so sicher.
Das sind zumindest so meine praktischen Erfahrungen. Aber einige konnte ich überzeugen, mal einen Passwortmanager zu nutzen. Wobei bei der Hälfte habe ich nach 2-3 Jahren gemerkt, dass die den eingerichteten Manager nie genutzt haben. Der Mensch ist halt ein Gewohnheitstier und in solchen Sachen faul.
Das mit dem Gewohnheitstier kannst du ganz einfach umgehen. Du machst bei den Zugängen die Passwörter neu z.B. 20-Stellig mit allen Sonderzeichen usw. Dann kommen sie gar nicht drumrum den zu verwenden. Denn sie wissen die Passwörter nicht und das Abtippen von einem Zettel dauert ewig.
Was ist der Grund dafür? Wichtig ist ja das die Passwörter lange und komplex sind. Und das für jeden Zugang ein eigenes besteht. Also wenn jetzt auch mal jemand eines knacken kann. Hat er genau zugang für einen Shop. Alle anderen beleiben ihm verschlossen.
Du kanst eines ändern und vobei ist der Spuck.
Du sagst du hast unter 50 Passwörter. Also Wenn diese gut sind, kannst du dir da ja maximal 1-2 Merken. Hast du den alle anderen auf nem Zettel notiert? Oder wie hast du da die Übersicht?
HausBaumHundKatze mit A=4 usw ist doch ausreichend, wurde eingangs erwähnt. Ich kann mir so einige hundert Kennwörter merken.
Und auch wenn ich es für eine leider gute Hintertür halte: Kennwortvergessenemail als Plan B.
Ich verstehe Kennwortmanager, vermisse sie selten, und nutze kein Kennwort doppelt.
Und auch wenn ich es für eine leider gute Hintertür halte: Kennwortvergessenemail als Plan B.
Ich verstehe Kennwortmanager, vermisse sie selten, und nutze kein Kennwort doppelt.
Du Kannst dir hunderte Passwörter wie H4usB4umHundK4tze merken, und auch noch den richtigen Loggins zuordnen? Respekt. Ich könnte das nicht.
Abgesehen davon ist dass Passwort aber auch nicht gerade sicher. Aber für einen Onlineshop zugang reichts sicherlich. Bei mir sehen die Passwörter eher so aus: x~h~5zM!'s4oXqKvW/oo|'GX<C$vZr
Und da merkt man sich halt dann nichts mehr. Also zumindest ich nicht. Dafür ist das Passwort auch ein vielfaches sicherer als die Wortfolge.
Aber schlussendlich muss man auch immer abschätzen wo verwendet man welches Passwort. Bei einem Onlineshop bei dem man was bestellt, ist der Schaden ja eigentlich klein wenn da jemand das Passwort herausfindet. Ist es aber das Passwort vom Server sieht es anders aus.
