iCloud Schlüsselbund mit generierten Passwörtern von Apple sicher genug?

littleapple1

Erdapfel
Registriert
05.12.22
Beiträge
3
Ich benutzte ausschließlich Apple Geräte und verwende daher den iCloud Schlüsselbund.
Allerdings frage ich mich ob dieser sicher genug ist?
Sollte ich in meinem iCloud Schlüsselbund Passwörter speichern, welche ich selbst ausgedacht habe oder die die Apple mir vorschlägt mit den Bindestrichen oder sollte ich ein Passwort Generator verwenden, welcher Passwörter mit mehr Zeichen und Sonderziechen generiert ?
 

Bob___

Schweizer Glockenapfel
Registriert
18.04.17
Beiträge
1.382
Ich würde mal sagen, es hängt von deinen Schutzbedarf ab. Wenn Du z.B. die Abschuss-Codes deiner nuklearen Raketen speichern möchtest, so würde ich vielleicht sagen, verschlüssel die am besten doppelt. Ansonsten sollte es für Dich eigentlich passen!
 

flobey311

Allington Pepping
Registriert
07.01.14
Beiträge
188
Zumindest ist die Abfolge wahrscheinlicher länger, als jedes selbst sich ausgedachte Passwort
 

snowman78

Hildesheimer Goldrenette
Registriert
15.12.10
Beiträge
688
Die Frage, die ich mir stelle, ist eher, ob die von Apple generierten Passwörter sicher genug sind.

Ich denke der iCloud-Schlüsselbund ist auch nur so sicher wie dein iCloud-Passwort bzw. die PIN deines iPhone/iPad und/oder das Passwort deines Mac...die Daten an sich sind denke ich stark genug verschlüsselt auf den iCloud-Servern. Aber das bringt Alles nix, wenn deine Apple-ID oder deine Geräte schwache PINs und Passwörter haben.
 

snowman78

Hildesheimer Goldrenette
Registriert
15.12.10
Beiträge
688
@dtp : Das hat aber sicherlich immer noch nicht Jeder aktiviert...
 

dtp

Geheimrat Dr. Oldenburg
Registriert
04.06.20
Beiträge
10.503
Das frage ich mich auch!

Ich sag's mal so. Ich nutze seitdem es das Internet und den Passwortschutz gibt, ausschließlich selbst erzeugte Passwörter, die ich auch mal manuell eingeben kann (z.B., weil ich meine persönlichen Geräte nicht mit meinem Geschäftsrechner synchronisieren darf, diesen aber trotzdem auch für private Dinge im Netz nutzen kann). Ich hatte noch nie ein Problem damit, dass eines dieser Passwörter gehackt wurde. Mittlerweile erhält man ja auch auf den meisten Seiten und Portalen E-Mail-Mitteilungen, wenn der Zugang von einem fremden Rechner erfolgte. Und beim Online-Banking muss man sich ja eh mit einem separaten Gerät authentifizieren. Meine Bedenken hinsichtlich der Sicherheit der von Apple generierten Passwörter würde sich daher in Grenzen halten.

Ich persönlich nutze übrigens bevorzugt Bitwarden. Das funktioniert auch sehr gut unter Windows (sowohl als App als auch als Browser-Plugin). Und es bietet mir eine gute Übersicht über alle genutzten Zugangsdaten. Zudem kann ich darin auch PINs von Bezahlkarten und andere Dokumente ablegen.
 

snowman78

Hildesheimer Goldrenette
Registriert
15.12.10
Beiträge
688
Aber bei diesem ist dann die Frage, ob schlüsselbundgenerierte Passwörter sicher oder unsicher sind, nicht das Hauptproblem.
Da stimme ich dir grundsätzlich zu...allerdings würde mich interessieren, wie lange "man" bräuchte, um ein von Apple generiertes Passwort zu knacken?!? So rein optisch sind die Passwörter eher "einfach" gehalten 🤷 Mag sein, dass durch die vielen Bindestriche und die eigentliche Länge die Stärke gesichert ist 🤷
 

Bob___

Schweizer Glockenapfel
Registriert
18.04.17
Beiträge
1.382
Da stimme ich dir grundsätzlich zu...allerdings würde mich interessieren, wie lange "man" bräuchte, um ein von Apple generiertes Passwort zu knacken?!? So rein optisch sind die Passwörter eher "einfach" gehalten 🤷 Mag sein, dass durch die vielen Bindestriche und die eigentliche Länge die Stärke gesichert ist 🤷
Da hasse: Klick

Einfache Frage, komplizierte Antwort :p
 

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Ich verstehe nicht so recht wie man darauf kommt, das die vom Schlüsselbund generierten PWs "zu einfach" wären... man kann doch die Komplexität selbst bestimmen oder ggf die komplexesten PWs des Schlüsselbundes selbst erweitern.

Bsp: JG[NUM;3,p24E4acqzC-wW*nM,o#;_?

31 Zeichen Groß, Klein, Zahlen, Sonderzeichen

edit: Wenn die Eingabe mehr erlaubt, könnte man davon 2 PWs generieren und aneinander reihen...
 
  • Like
Reaktionen: matze_de und Bob___

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.375
allerdings würde mich interessieren, wie lange "man" bräuchte, um ein von Apple generiertes Passwort zu knacken?

Ganz grob 23 Mio. Jahre, wenn man 18 Kleinbuchstaben nutzt. :D

Wenn du zusätzlich Zahlen und Großbuchstaben nutzt 100 Trillionen Jahre.

Das sind aber nur Beispiele für bestimmte Voraussetzungen.


Mag sein, dass durch die vielen Bindestriche
Da die Bindestriche immer an der selben Stelle sind, tragen sie nichts zur Sicherheit bei.
 
Zuletzt bearbeitet:

Bob___

Schweizer Glockenapfel
Registriert
18.04.17
Beiträge
1.382
Ganz grob 23 Mio. Jahre, wenn man 18 Kleinbuchstaben nutzt. :D

Wenn du zusätzlich Zahlen und Großbuchstaben nutzt 100 Trillionen Jahre.

Wobei bei einem Brute-Force wird die Zeitmenge, die benötigt wird um alle Möglichkeiten durchzutesten, angegeben. Theoretisch könnte also auch der erste Versuch das richtige Passwort bringen ;)
 
  • Like
Reaktionen: ottomane

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.375
So ist das halt im Leben. Dir könnte auch ein Meteorit auf den Kopf fallen.
 
  • Like
Reaktionen: Bob___

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
Wobei bei einem Brute-Force wird die Zeitmenge, die benötigt wird um alle Möglichkeiten durchzutesten, angegeben. Theoretisch könnte also auch der erste Versuch das richtige Passwort bringen ;)
Also wenn ein Quantencomputer dazu verwendet wird, dann... :p :eek:
 

SomeUser

Ingol
Registriert
09.02.11
Beiträge
2.070
Ich verstehe nicht so recht wie man darauf kommt, das die vom Schlüsselbund generierten PWs "zu einfach" wären... man kann doch die Komplexität selbst bestimmen oder ggf die komplexesten PWs des Schlüsselbundes selbst erweitern.

Bsp: JG[NUM;3,p24E4acqzC-wW*nM,o#;_?

31 Zeichen Groß, Klein, Zahlen, Sonderzeichen

edit: Wenn die Eingabe mehr erlaubt, könnte man davon 2 PWs generieren und aneinander reihen...

... weil die Frage z.B. ist, nach welchem Verfahren die Passwörter generiert werden. Mal ein, zwei ganz einfache Beispiele dazu:
Das von dir genannte Passwort erscheint ziemlich sicher: Recht lang, verschiedenste Komponenten (Zahlen, Groß-/Kleinbuchstaben etc. pp.). Deswegen ist es aber nicht per se sicher. Was wäre, wenn z.B. letztlich immer nur "ein Zeichen hochgezählt" würde? Also z.B. das "?" am Ende einfach durch das nächste Zeichen in der Zeichentabelle ersetzt würde. Und dann durch das nächste. Etc. pp.
Oder, wie wäre es, wenn die erzeugten Passwörter einfach ganz einfachen Schema folgen: Hash des Rechenrnamens, plus umgewandeltes Datum?
Oder oder oder...

Kurzum: Ein langes Kennzeichen erscheint zwar erst mal sicher, muss es aber nicht sein, wenn das Verfahren zur Erzeugung nicht sicher ist oder ein sicheres Verfahren nicht korrekt implementiert wurde.

Deswegen muss man auch bei bestimmten "Passworttipps" aufpassen. Sagen wir, du generierst deine Passwörter nach dem Schema: "Merksatz + Servicename + Streichen von Konsonanten + Ersetzen von Zeichen durch Sonderzeichen". Dein Merksatz ist:
"Mein geheimes Passwort ist immer sicher bei [Servicename]"
Daraus wird:
"MeinGeheimesPasswortIstImmerSicherBeiApfeltalk"
Woraus dann wird
MnGhmsPsswrtstmmrSchrBpfltlk"
und dann z.B. durch Ersetzung (m/M -> "_" und s/S -> "$")
"_nGh_$P$$wrtst__r$chrBpfltlk"
Toll und sicher, oder?

Nicht, wenn mir das System bekannt ist - dann ist es fast genau so sicher, wie ein "Plaintext-Passwort" auf einem Zettel.

Über das Apple-Verfahren ist, soweit ich weiß, nichts bekannt - damit ist es per se auch nicht vertrauenswürdig.

Darauf zu vertrauen, dass das schon "Apple sei" und daher bestimmt sicher ist... nun ja... Security through obscurity ist kein tragfähiges Sicherheitskonzept.
 

Bob___

Schweizer Glockenapfel
Registriert
18.04.17
Beiträge
1.382
So ist das halt im Leben. Dir könnte auch ein Meteorit auf den Kopf fallen.
Genau so ist es. Es ist ja auch gut, dass man das weiß. Manchmal habe ich nur den Eindruck, dass es user gibt die sich dann "Blind" auf solche Aussagen verlassen und denken, dass das eine Art von garantie ist, wo man immer drauf pochen kann, fall es doch einmal so einen Fall gibt.
 
  • Like
Reaktionen: ottomane

_macminimal

Melrose
Registriert
11.11.14
Beiträge
2.489
... weil die Frage z.B. ist, nach welchem Verfahren die Passwörter generiert werden. Mal ein, zwei ganz einfache Beispiele dazu:
Das von dir genannte Passwort erscheint ziemlich sicher: Recht lang, verschiedenste Komponenten (Zahlen, Groß-/Kleinbuchstaben etc. pp.). Deswegen ist es aber nicht per se sicher. Was wäre, wenn z.B. letztlich immer nur "ein Zeichen hochgezählt" würde? Also z.B. das "?" am Ende einfach durch das nächste Zeichen in der Zeichentabelle ersetzt würde. Und dann durch das nächste. Etc. pp.
Oder, wie wäre es, wenn die erzeugten Passwörter einfach ganz einfachen Schema folgen: Hash des Rechenrnamens, plus umgewandeltes Datum?
Oder oder oder...
Ich gehe ehrlicherweise nicht davon aus das Apple so ein System, oder ein ähnlich (einfaches/dummes) zur Anwendung bringt. Mir erscheint dieses konstruierte Szenario (oder ähnliche) deutlich unwahrscheinlicher, als das Apple gängige/übliche/zuverlässige Techniken zum Generieren von PWs nutzt.

Du könntest dein Szenario mit Meldungen (a la "von Apple generierte PWs sind unsicher weil...") untermalen.

[...]


Nicht, wenn mir das System bekannt ist - dann ist es fast genau so sicher, wie ein "Plaintext-Passwort" auf einem Zettel.

Über das Apple-Verfahren ist, soweit ich weiß, nichts bekannt - damit ist es per se auch nicht vertrauenswürdig.

Darauf zu vertrauen, dass das schon "Apple sei" und daher bestimmt sicher ist... nun ja... Security through obscurity ist kein tragfähiges Sicherheitskonzept.

Ok, wenn das "kein tragfähiges Sicherheitskonzept" ist... dasnn hilf uns (bzw dem TE) doch weiter und nenne bitte ein solches und warum dies den (welchen?) Sicherheitsanforderungen gerecht wird.
 

SomeUser

Ingol
Registriert
09.02.11
Beiträge
2.070
Ich gehe ehrlicherweise nicht davon aus das Apple so ein System, oder ein ähnlich (einfaches/dummes) zur Anwendung bringt. Mir erscheint dieses konstruierte Szenario (oder ähnliche) deutlich unwahrscheinlicher, als das Apple gängige/übliche/zuverlässige Techniken zum Generieren von PWs nutzt.

Die Beispiele waren natürlich mit Absicht simpel gewählt, um das Problem aufzuzeigen - das ändert aber nichts am Problem: Ich würde bei einem externen Anbieter, egal wie groß, lieb und allumsorgend sich dieser gibt, niemals von irgendwas ausgehen, was nicht geprüft/prüfbar ist. Ich verstehe ehrlich gesagt nicht, warum man irgendwelchen kommerziellen Unternehmen, Vereinen oder sonstigen fremden Dritten die eben NICHT alle relevanten Informationen liefern, überhaupt irgendeinen Vertrauensvorschuss gewährt. Am Ende ist Apple nicht vertrauenswürdiger, als der Typ im Bahnhofsviertel, der dir was anbieten will.

Du könntest dein Szenario mit Meldungen (a la "von Apple generierte PWs sind unsicher weil...") untermalen.
Warum sollte ICH das tun? Es ist an Apple die Sicherheit einer Funktion End-to-end zu belegen. In sicherheitsrelevanten Themen gilt es alle Informationen offen zu legen, um eine Prüfung zu ermöglichen. Passiert dies nicht, kann man per se nicht von einem sicheren System ausgehen.
Damit kannst du dir einen Teil des "unsicher, weil..." übrigens ableiten: Vertrauen, Hoffnung, "von etwas ausgehen" stellen keine Form von Sicherheit dar.

Ok, wenn das "kein tragfähiges Sicherheitskonzept" ist... dasnn hilf uns (bzw dem TE) doch weiter und nenne bitte ein solches und warum dies den (welchen?) Sicherheitsanforderungen gerecht wird.

Muss und will ich nicht. Das ist auch irgendwie so eine alberne Mär, dass jeder der zu Recht irgendwelche Fehler, Schwachstellen, Probleme oder was auch immer anspricht/aufwirft, auch eine Lösung präsentieren muss. Wenn dir dein Sicherheitstechniker des Vertrauens sagt, dass dein Wohnungsschloss in 2 Minuten zu knacken ist, muss er dir dennoch nicht auch ein besseres oder gar unknackbares Schloss anbieten können. Übrigens sieht das selbst der CCC so: Der deckt regelmäßig Schwachstellen in Systemen auf - und statt bei vielen Dingen dann eine Lösung zu präsentieren, rät er sogar grundsätzlich an vielen Stellen überhaupt vom Einsatz entsprechender Systeme ab, statt an den Symptomen rumzudoktern.

Es obliegt jedem selbst aus den bekannten Informationen für sich eine entsprechende Handlungsableitung vorzunehmen. Wenn man sich der potenziellen(!) Risiken bewusst ist und dennoch für den Einsatz entscheidet, ist das vollkommen ok. Alternativ kann man auch sagen, dass man zwar Passwörter generieren lässt und diese dann noch modifiziert. Oder, dass man einfach händisch welche erzeugt.
Egal, welchen Weg man wählt: Macht man das in voller Kenntnis und wägt die Risiken für sich ab, ist das ok. Wer Apple da blind vertraut, wird zu einem anderen Ergebnis kommen, als jemand der allen kommerziellen Unternehmen da nur so weit traut, wie er sie werfen kann.
Problematisch ist es, wenn jemand die möglichen Risiken NICHT kennt und sicher daher in (ggf. falscher) Sicherheit wähnt. Darauf habe ich hingewiesen - nicht mehr, nicht weniger.