Kafka

• 02.01.22
• 15:35
• Artikel

@BuzzT.Ion: Sehe ich fast genauso. 1password nutzt offenbar das gleiche System wie Keepass (nur dort lange geheime Zeichenkette statt Schlüsseldatei, was man aber als Textdatei speichern kann & somit automagisch eine Schlüsseldatei ist ;) ). Obwohl es von eine Five Eyes Staaten (Kanada) ist, sind sie genauso sicher. Der riesige Vorteil bei denen ist, dass Ageile Bits sich um Synchronisierung und um Apps aif vielen Systemen nachweislich sicher implementiert kümmern. Bei Keepass muss man aich erst informieren, welche Apps sicher sind und somit mehr Herstellern vertrauen. Allerdings hat man bei Keepass auf die Datenbank von mehr Betriebssystemen und Geräten Zugriff als mit 1password. Leider glauben manche, Keepass sei unsicher, weil sie es unsicher konfiguriert haben. Das ist ein Problem von OpenSource, dass dies mehr Freiheiten erlaubt, aber somit auch mehr Verantwortung verlangt.

• 02.01.22
• 15:25
• Artikel

@Talkabout: Wie schon einmal erwähnt. Keepass ist nachweislich laut vielen Tests namhafter Zeitschriften sehr sicher, WENN man es sicher konfiguriert. Bitwarden ist zwar auch OpenSource, aber wird hauptsächlich von einer Firma angetrieben und weiter entwickelt und wer überprüft schon immer wieder den SourceCode vollständig? Bitwarden hat den Vorteil, dass es Server zum Synchronisieren bereitstellt. Nutzt man sie nicht, hat man gegenüber Keepass keine Vorteile. Man hat sogar nur Nachteile gegenüber Keepass, denn auf nicht viel genutzten Netriebssystemen wie Windows Phone OS oder Windows Mobile existiert sicherlich eine App, die auf die Keepass Datenbank sicher zugreifen kann. Bei Bitwarden ist man dagegen limitiert auf die Systeme, wo Bitwarden überhaupt eine App anbietet.

• 02.01.22
• 15:09
• Artikel

@Smilleey: Wie schon einmal geschrieben, gratuliere ich dir, dass Google nun Zugriff auf alle deine Passwörter im Netz hat. Ja, theoretisch könnte es sicher implementiert sein, aber nur Naive vertrauen Google alles an.

• 29.12.21
• 20:33
• Artikel
• -2

@feinstein: Irren ist menschlich und daher sollte man eigentlich dankbar sein, wenn man auf mögliche Probleme hingewiesen wird. Dass es aber Leute gibt, die nicht wahrhaben wollen, dass sie ab und zu etwas potentiell Gefährliches benutzen und dann stur felsenfest behaupten, sie liegen nicht falsch, sondern sie hätten absolut alles richtig gemacht in einer gewissen Beziehung, ist nicht unbedingt sehr intelligent. Ich kann dir nur viel Glück wünschen, aber heule nicht, wenn dieses LastPass zu Problemen führt.

(Ja, eine meiner Eigenschaften ist Altruismus. Leider habe ich erst spät erkannt, dass sie nicht lernen wollen und mir nur dämliches unterstellen von wegen konstruierte Fälle statt dass ich dabei helfen kann auf ein besseres System zu migrieren.)

• 29.12.21
• 19:23
• Artikel
• +1-1

@feinstein: Das mit einem gewissen Kryptokind bekam ich nicht mit. Wer legt denn Zugangsdaten bei einer Pornoseite an? Derjenige muss krank sein ... :)

NSA, FBI und weiter versuchen durch infiltrierte Middle Nodes andere Middle Nodes zu finden. Wie gut das funktioniert, das weiß ich zwar nicht, aber scheint wohl nicht erfolgreich zu sein, da darüber unter den Pentestern nichts gesprochen wird. Die Exit Nodes können unmöglich immer bekannt sein. Jeder kan zum Exit Node werden, wenn er/sie möchte. Ein Exit Node kann nur ohne Ankündigung bekannt werden, wenn man den Traffic analysiert und daher dann herausfindet, hinter dieser IP müssen viele Menschen sein. Öffentlich sind sie nicht unbedingt, außer die, die dies wollen. Die werden in dieser torbulkexitlist veröffentlicht. Aber dort stehen nach meiner Ansicht nicht alle. Und das bestätigt auch der Name. Offenbar mangelt es bei ihnen an Englisch-Verständnis. Sonst würde sie diese URL nicht erwähnen, wo der Namensbestandteil "bulk" ist.

Gegen LastPass spricht, dass es anscheinend noch immer keine E2E-Verschlüsselung ohne Schlüsseldatei oder ähnliches verwendet.

Das ist eine Empfehlung! Das ist keine Forderung!

Ich rate lediglich dazu sich nicht in ein mögliches Unglück fallen zu lassen, was sie evtl. erst spät merken werden. Aber wenn sie stur weiter darauf beharren Geld für eine nicht vorhandene Sicherheit zu verschwenden, ihnen egal ist, dass NSA und andere Dreibuchstabenorganisationen ihre vermeintlich geheimen Daten in Klartext lesen können, und sich selbst vorlügen wollen, dass diese Organisation nicht evtl. aus Betrügern besteht, sondern angeblich sicher genug ist, dann werde ich sie natürlich nicht daran hindern. Aber ich möchte von ihnen nie hören, dass sie über LastPass schimpfen, weil sie wieder eine riesig klaffende ausspionierbare Sicherheitslücke haben.

Schönen Tag! Ich habe sie darauf hingewiesen. Mehr kann und will ich nicht tun.

• 29.12.21
• 18:01
• Artikel
• +1-1

@feinstein: Nein, konstruiert sind die Fälle nicht. Manches mag theoretisch klingen, weil sie praktisch nicht bekannt sind. Aber z.B. 2FA über SMS ist unsicher, wie z.B. diverse Bankvorfälle in Brasilien zeigen. Und wenn man über SS7 SMS umleiten kann, ist noch nicht einmal eine Zweit-SIM oder Erstz-SIM der Opfers nötig (siehe CCC ... Fälle mit SIM hauptsächlich in Brasilien ... informiere dich bei den Pentestern wie Xorz).

Addendum: Wenn man keine Ahnung hat, sollte man ... lieber schweigen. Es sind nicht alle TOR-Adressen bekannt. Vor allem Middle Nodes sind oft unbekannt. Wegen möglichen Problemen sollte man in DE keine Exit Nodes betreiben. Entry Nodes können versteckt sein (China hat DPI (deep packet inspection) ... dennoch kann dort TOR verwendet werden, wenn man Hidden Entry Nodes verwendet (ist oft komplizierter und ist in DE zum Glück nicht nötig)).

• 29.12.21
• 16:47
• Artikel
• +1-1

@feinstein: TOR IPs? Die können nicht alle TOR IPs kennen. Von einigen TOR Exit Nodes (und Entry Nodes, falls nicht versteckt) kann man deren IPs kennen, aber nicht von allen, weil sie ständig wechseln, neue hinzukommen und alte "verbrannte" wieder davon weg gehen.

Also dieses MFA (also speziell 2FA per SMS) ist nicht so sicher (leider). Zum einen kann deren SMS-Sender oder ein anderer Punkt streiken. Oder man klaut dein Handy. Oder (was in Brasilien häufig bei Bankkonten war) sie bestellen bei einem deiner Handyanbieter ein Zweit- oder Ersatz-SIM im schlimmsten Fall und können somit relativ leicht Zugriff erhalten. Falls der mögliche finanzielle Gewinn hoch genug ist, ist man deswegen gefährdet.

Also ich empfehle auf ein System mit Ende-zu-Ende-Verschlüsselung umzusteigen. Sogar Bitwarden wäre sicherer, obwohl ich eher Keepass mit Einschränkung empfehle (man muss sich leider um zuverlässige Synchronisation kümmern und bei Erstkonfiguration darauf achten eine hinreichend komplexes Passwort zu wählen, die Verschlüsselungsoptionen gut genug wählen, eine Schlüsseldatei erstellen, falls kein Yubikey oder anderes vorhanden, und später bei Betriebssystemen eine genug sichere App für Zugriff auf Keepass-Datenbank wählen ... aber wenn man diese Hindernisse überwindet, scheint Keepass einer der sichersten Systeme zu sein ... 1password zwar auch, aber ist leider closed source, auch wenn Überprüfungen bisher immer ergaben, dass deren Versprechen nie falsch zu sein schienen).

• 29.12.21
• 16:14
• Artikel
• +1-1

@feinstein: Da ich LastPass nicht kenne, weiß ich gar nicht genau, was für Sicherungen das sein sollen. TOR klar. Ips? I2P gemeint? MFA, z.B. 2FA? Falls 2FA mit MFA möglich ist, könnte dies sicherlich zur Sicherheit beitragen, falls es fehlerlos und gut genug implementiert wurde, weil LastPass schändlicherweise noch immer keine Ende-zu-Ende-Verschlüsselung nutzt.

Aber klar, wenn man meint nie Target zu werden und nicht wichtig ist, ob Dreibuchstabenbehörden Geheimes daraus erfahren können, dann reicht diese Sicherheit evtl. (nur 2FA sollte man wegen fehlendem E2E aktivieren, was zwar noch immer nicht so sicher wie E2E ist und etwas umständlicher, aber genug Sicherheit vor nicht vorgesehenen Angreifern bietet).

• 29.12.21
• 16:00
• Artikel
• +1-1

@feinstein: Jemand anderes meinte 300. Ich selbst habe in Keepass ca. 480 Einträge. Wie ich aus anderen Statistiken gelesen habe, sind anscheinend mind. 180 Passwörter üblich. Meine Eltern sind relativ konservativ in der Handhabung von Internetdiensten, aber haben dennoch ca. 60-80 Einträge.

• 29.12.21
• 15:55
• Artikel
• +1-1

@feinstein: Bei 300 Diensten? Dann viel Spaß! :-)