Hallo Steffen,
erlaube mir vorab die Bemerkung, dass der Einsatz eines
Passwort-Managers nichts
zur Sicherheit von deinem eBay-Konto beiträgt, denn deiner Aussage
nach hattest du
ja ein "state-of-the-art"-Passwort (lang, komplex, nicht
abgeleitet). Das einzige was
ein Passwortmanager dir erleichtert, ist, dich regelmäßig daran zu
erinnern, länger
im Einsatz befindliche Passwörter zu wechseln.
Davon halte ich aber relativ wenig, und ich glaube nicht recht
daran, dass "eine KI"
dein Passwort geknackt hat, wenn es z.B. 14 Zeichen lang ist und
mehr oder weniger
aus zufälligen Zeichen erstellt ist. Das kann eine KI nicht besser
als John. Und dass
eBay DA tatenlos zuschaut, glaube ich nicht. Wahrscheinlicher wäre
es, dass sie sich
erneut ihre Hashes haben klauen lassen. Oder dass eines der Geräte
verwanzt war,
auf dem du dein Passwort gespeichert oder eingegeben hast.
Dann sprichst du offenbar nur von (Online-) Passwortmanagern.
Bevor ich darauf
eingehe, der Hinweis, dass auch Offline-Tools wie KeePassXC daran erinnern
können,
dass ein Passwort "abgelaufen" ist. Deren Datenbank-Datei kann man
mit beliebigen
Cloud-Diensten zwischen Geräten syncen. Mit einer eigenen
Nextcloud, aber auch
mit Dropbox, Google Drive, iCoud, Syncthing oder was auch immer
du nutzt.
Online-Passwortmanager müssen betrieben und bezahlt werden. Deine
Frage nach
Vertrauen solltest du also auch damit beantworten, was die für ein
Geschäftsmodell
haben und wie sie in der Vergangenheit mit Schwachstellen
umgegangen sind:
Findest du keine Seite mit Bounties und keine Security Advisories,
ist das kein gutes
Zeichen. Und auch ob der Code offengelegt und prüfbar ist oder
wenigstens von
einer vertrauenswürdigen Instanz geprüft und der Prüfbericht
offengelegt wurde,
ist wichtig. Wenn das alles passt, kannst du dir die Technik
(Verschlüsselung, etc.)
anschauen oder Dritt-Berichte dazu lesen.
Persönlich denke ich, dass Bitwarden einen relativ guten Job
macht. Die sind mir
jedenfalls irgendwie sympatischer als z.B. 1Password. Spannend
finde ich, seinen
eigenen Passwort-Server zu betreiben: VaultWarden ist ein Nachbau
von Bitwarden
und die Maintainer betreiben auch einen öffentlichen Dienst auf
Spendenbasis.
Online-Passwort-Manager sollten immer einen zweiten Faktor
anbieten oder sogar
einfordern – das hast du ja schon bei eBay erlebt.
Zuletzt noch mal zu den Logins bei eBay: Bist du wirklich sicher,
dass jemand sich
dort mit Benutzername und Passwort erfolgreich angemeldet hatte?
Hast du das
mit dem Support geklärt, dass die Mails, die du bekommen hast,
echt sind und
genau das bedeuten was du reingelesen hast? Bist du sicher, dass
es nicht deine
eigenen Logins waren, z.B. weil dein VPN dich woanders hat
erscheinen lassen
oder weil dein Handy in einem Netz eingebucht war, was geswitcht
wird und an
einem anderen "Geo-IP"-Ort "rausfällt"? Das ist etwa der Fall,
wenn ich mit Kabel
ins Netz gehe: Da sehen mich die Geo-IP-Datenbanken als Schwaben
an, weil ich
eine IP-Adresse bekomme, die woanders geographisch zugeordnet
wird.
Gruß
Olav
#gernePerDu
-- Reinhold-Schneider-Weg 3, 79312 Emmendingen, +49 7641 9542320, +49 176 62696431 https://privat.seyfarth.de/olav/, https://datenschutz-individuell.de/