Hallo Steffen, Zu Deinen Fragen:
0. Online-Dienste tun tolle online Dinge…
1. nein, keine Klaut! - privat niemals, beruflich hast du evtl. andere Zwänge - ausführliche Antwort, leider in Englisch: [You Can't Control Your Data in the Cloud](https://karl-voit.at/cloud/)
2. KeepassXC.org - deckt m.E. alle Aufgaben eines PW-Manager ab, freie Software, läuft nativ unter Linux - siehe Vortrag Anfang 2021: https://lug-freiburg.de/vortraege/FLUG-VDI_Kee-Pass-phrase-7f.pdf - Handhabung wie Marco, s.u. - eben, wenn man die Loginseite mit abspeichert, ist man ziemlich Phishing-sicher (Ziel von Passkey) - der Web-Login ist nach dem Öffnen des PW-Tresors meist mit 3 Kurztasten erledigt: Strg-u, Strg-b, Strg-c - https://keepassxc.org/docs/KeePassXC_UserGuide
3. Hängt von Priorität (evtl. beruflichem Kontext) und Nervenstärke ab: https://www.explainxkcd.com/wiki/index.php/538:_Security - und ja, KeepassXC lässt sich so einrichten, dass ein 2. Faktor zum Öffnen notwendig ist - der Aufwand für ein Backup des 2. Faktors ist zu klären
@js-priv: https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength ja, die bessere Passphrase ist - zufällig, wirklich ganz zufällig (maschinell) "gewürfelt" - lang, gerne sehr lang - leicht zu merken: 7000 Wörter als "Zeichenvorrat" ist für Angreifer deutlich aufwändiger/teurer durch zu probieren, als die 60 erlaubten Zeichen der Tastatur oder die 0…9 Möglichkeiten einer "PIN"
@Tomas: bin bei Dir, die Haftung für Online-Schäden auf den Kunden abzuwälzen scheint einfacher, als für echte IT-Sicherheit zu sorgen. ich spoiler hier mal: am Mi 05.02.2025 19°° beim AKIS-72 werden wir von kompetenter Seite etwas zu "Passkey-Grundlagen" hören
Beste Grüße, Ctux
PGP-Key: https://keys.openpgp.org/search?q=ctux%40dismail.de Fingerprint: 1A31E01554A83F6A3AD80D66E241C1EB3638931 Matrix-Messenger: @ctux:freiburg.social
Am 10.12.24 um 07:39 schrieb Marco Lechner:
This is the way: https://de.m.wikipedia.org/wiki/KeePass
Der große Vorteil eines Passwortmanagers ist aus meiner Sicht, dass es sehr einfach ist für diverse Seiten und Anwendungen jeweils ein isoliertes Passwort haben zu können, ohne dass man sich was merken muss oder die Passwörter irgendwas miteinander zu tun haben. Mein Workflow bei Registrierung bei einer neuen Webseite/Onlineshop:
- Registrierungsseite des Shops öffnen
- KeePass (Datei) öffnen, aufschließen
- Neuen Eintrag in KeePass erzeugen mit Bezeichnung, URL, Benutzername -> Zufallspasswort wird automatisch erzeugt
- Kopieren der Angaben von KeePass in die Registrierungsseite der Internetseite
Fertig. Das Passwort sehe ich dabei nie im Klartext
Am 9. Dezember 2024 21:42:30 MEZ schrieb:
Hallo,
bei ebay.de musste ich schon mal vor ca. 10 Jahren das Passwort wechseln, weil damals bei ebay Massenhaft Zugangsdaten geklaut worden sind. Jetzt musste ich das PW wieder wechseln, weil wiederholt Zugang zu meinem ebay-Konto von einem PC in einem anderen Bundesland erfolgte... Habe am letzten Freitag Brief gen ebay losgeschickt und ebay um schriftliche Stellungnahme gebeten, ob es bei ebay.de eine zeitliche Einlogg-Versuchs-Begrenzung i.V. mit einer Anzahlbezogenen Grenze von Passworteingaben gibt. Mal schauen was ebay antwortet... Da mein geknacktes PW relativ "sicher" und lang und mit Kleinbuchstaben, Sonderzeichen, keine Verwendung von zusammenhängenden Worten etc. festgelegt war, vermute ich im Moment, dass es bei ebay i.M. noch keine PW-Anzahlbegrenzung innerhalb einer definierten Zeitspanne gibt und das mein PW vermutlich mittels einem KI-Programmes gehackt wurde... Denn KI Programme können ja mittlerweile selbst komplizierte Passworte (je nachdem wie lang und kompliziert) innerhalb von Sekunden/Minuten/Stunden knacken... Trotz dass ich das o.g. alles vermute, kann ich natürlich nichts beweisen, da das auch für mich alles unsichtbar ist bzw. für mich nicht Rekonstruierbar ist. Was mich hier in ein neues Passwort "gerettet" hat, war der Umstand, dass ebay eine 2FA nutzt, d.h. dem Passwortdieb hat das Passwort allein dann doch nix genutzt und ich konnte hier in Ruhe eingreifend korrigieren.
Trotz glimpflichen Ausgang des Ganzen denke ich immer stärker über eine Verwendung eines PW-Managers nach und möchte hiermit nach euren Erfahrungen fragen.
- Kann man Online-PW-Managern deiner Meinung nach trauen? (sie verweisen ja i.d.R. darauf, dass sie selbst auf die
Daten keinen Zugriff haben, weil alles verschlüsselt sei... 2. Wenn du einem Online-PW-Managern traust, welchen würdest du empfehlen?
- Falls du Online-PW-Managern eher nicht über den Weg trauen solltest, welchen Offline-Passwort-Manager würdest
du dann empfehlen?
- Ist es bei Nutzung eines PW-Managers sinnvoll den Zugang zu diesen (falls möglich...und Softwaretechnisch auch
nicht sehr kompliziert...) mit einer 2FA Zugangssicherung abzusichern oder wäre das eher zuviel des Guten (in Bezug auf eine relativ gute private PW-Sicherheit) ?
Viele Grüße Steffen