Password geklaut?

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Und worauf speicherst du dein gesamtes digitales Leben?
Wie ich bereits schrieb: Da wo es hin gehört: Im Kopf.
Für Passwörter wo es um wichtiges geht (Amazon, Paypal, ö, ä.) mit eigenem Passwort nicht, bei nicht vital wichtigen Dingen darf es auch schon einmal ein Passwort für mehrere Accounts sein.
Das mit dem Papier war hoffentlich ironisch gemeint.
Nein, war es überhaupt nicht.
Will jemand an ein Stück Papier in meinen Räumen kommen, so bedingt das physischen Zugriff. Das bedeutet einen Einbruch und setzt voraus das er diesen erst einmal findet.
Im Gegensatz zu ein paar Mausklicks von irgendwo auf der Welt.
Von allen Optionen ist ein Kennwortverwalter für mich das kleinste Risiko.
Das meinst du aber nun ironisch, oder?
Und woher das nahezu blinde Vertrauen dein digitales Leben in die Hand einer kanadischen Privatfirma zu legen?
Zudem einer Firma die es offenbar nicht für notwendig erachtet ihr wundervolles Produkt einer Zertifizierung zu unterziehen um so Rechtssicherheit für den Anwender garantieren zu können?
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Wie ich bereits schrieb: Da wo es hin gehört: Im Kopf.
Für Passwörter wo es um wichtiges geht (Amazon, Paypal, ö, ä.) mit eigenem Passwort nicht, bei nicht vital wichtigen Dingen darf es auch schon einmal ein Passwort für mehrere Accounts sein.

Es ist praktisch unmöglich um sich zuverlässig seine Kennwörter zu merken. Einer nannte vierhundert Kennwörter. So weit ist es bei mir noch nicht, aber auf 120+ komme ich locker. Selbst wenn es nur 10 wären, bei der Länge die ich nun verwende, würde ich mir das nicht zutrauen um mir diese Kennwörter zu merken. Das Gehirn ist ohne Gedächtnisstützen dazu gar nicht zuverlässig in der Lage. Allein schon stress- oder altersbedingt kann das zum Problem werden.

Das meinst du aber nun ironisch, oder?
Und woher das nahezu blinde Vertrauen dein digitales Leben in die Hand einer kanadischen Privatfirma zu legen?
Zudem einer Firma die es offenbar nicht für notwendig erachtet ihr wundervolles Produkt einer Zertifizierung zu unterziehen um so Rechtssicherheit für den Anwender garantieren zu können?

Ich meinte nicht deine Kennwörter, sondern deine Daten generell. Meine Daten befinden sich auf einem Betriebssystem einer amerikanischen Firma der ich ebenfalls blindlings vertrauen muss. Meine E-Mails befinden sich ebenfalls auf einem Server einer Firma. Meine Festplatten nutzen ein ebenso proprietäres Format. Wenn man seine ‘vital wichtigen Dinge’ nicht auf solchen Geräten speichern kann, wo denn sonst? Ich nutze 1Password schon viele Jahre aus Zufriedenheit und lege auch viel wert darauf, dass die verschlüsselte Datenbank in einem Format gespeichert wird welches sich direkt im Browser öffnen lässt. Diese Datenbank kann man überall ablegen, sie ist mit dem Hauptkennwort geschützt. Wenn AgileBits morgen plötzlich verschwinden würde, wäre das für mich kein Problem. Dafür habe ich ohnehin Backups.

Außerdem gibt es durchaus OSS die etwas ähnliches kann, man ist also nicht von einer ‘kanadischen Firma’ abhängig, wenn man nicht möchte. Solange aber nichts gegenteiliges bewiesen wurde, bringe ich AgileBits mein Vertrauen entgegen. Genauso wie ich darauf vertraue, dass meine Dokumente auf meinem Computer vor Einbrüchen geschützt sind, gehe ich auch davon aus, dass meine Datenbanken ebenfalls sicher sind. Für Notfälle gibt es Backups.

Nein, war es überhaupt nicht.
Will jemand an ein Stück Papier in meinen Räumen kommen, so bedingt das physischen Zugriff. Das bedeutet einen Einbruch und setzt voraus das er diesen erst einmal findet.
Im Gegensatz zu ein paar Mausklicks von irgendwo auf der Welt.

Das wäre relevant wenn ich das Haus nie verlassen würde. Das kann ich unterwegs oder auf der Arbeit jedoch vergessen. Ich nutze 1Password auf meinem Smartphone auch ständig und bin inzwischen darauf angewiesen, dass ich auf einen Teil meiner Kennwörter zugreifen kann. Ich synchronisiere aber auch nicht alle Kennwörter auf mein Smartphone, sondern nur die nötigsten.

Nicht jeder hat dieselben Anforderungen. Ich brauche zuverlässigen Zugang zu meinen Kennwörtern und da kommt für mich nur ein Kennwortverwalter in Frage. Ich werde mir diese Kennwörter nicht merken und werde sie bestimmt auch nicht aufschreiben. Das sind für mich doch größere Risiken.
 

tiny

Westfälischer Gülderling
Registriert
15.12.11
Beiträge
4.538

Sofern keine Software wie 1Password das erledigt.

Meine Meinung zu diesem tollen Stück Software habe ich hier schon häufig kund getan.

Sorry, aber das ist und bleibt ein zusätzlicher Einfallsvektor für Angriffe. Da ist der unter den Schreibtisch geklebter Zettel mit den Passwörtern noch dramatisch ungefährlicher.

Was ist denn das Sicherheitsproblem bei 1Password?
 

smoe

Roter Winterkalvill
Registriert
13.04.09
Beiträge
11.575
Herrje, immer wieder die selbe Diskussion.

Sicherheit macht immer Kompromisse mit Komfort und Alltagstauglichkeit. Absolute Sicherheit gibt es nicht. 1PW ist 100mal besser als das was 99% der User da draußen sonst so mit ihren PWs machen. Zettel im Tresor sind ähnlich problematisch wie PW-Manager nur auf anderen Ebenen, und die wenigstens Menschen haben ein perfektes Gedächtnis. Und selbst das BSI empfiehlt mittlerweile PW-Manager.
 

tiny

Westfälischer Gülderling
Registriert
15.12.11
Beiträge
4.538
Ich könnte mir das Arbeiten am Mac und mit den iOS Geräten gar nicht mehr vorstellen ohne 1Password. Wie sollte ich mir denn über 300 komplizierte Passwörter merken? Das hätte nicht mal Einstein geschafft.
 

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Ob man es nun für möglich, unbequem oder völlig unvorstellbar hält: Passwort-Manager sind nach nahezu allen AGB grobe Fahrlässigkeit. Auch wenn dies niemand hören oder lesen will,

Für den Einsatz spricht nur ein einziges Argument: Faulheit.
Sonst rein gar nichts.

Diese ganze Diskussion zeigt aber ausschließlich eines: Das System Username/Passwort ist ein völlig überholtes Konzept.
Nur so lange der Gesetzgeber den Anbietern von Online-Dienstleistungen nicht zwingend eine sichere Zugangsvariante vorschreibt werden weiter täglich Konten gehackt und Firmen wie AgileBits sinnlos Geld in den Rachen geworfen.

Ich hoffe inständig das der Tag nicht kommen möge wo dieses System crasht und weltweit Hunderttausende ihrem Geld nachtrauern müssen. Denn Herr AgileBits wird es ganz sicher nicht zurückzahlen.
 

smoe

Roter Winterkalvill
Registriert
13.04.09
Beiträge
11.575
Ob man es nun für möglich, unbequem oder völlig unvorstellbar hält: Passwort-Manager sind nach nahezu allen AGB grobe Fahrlässigkeit. Auch wenn dies niemand hören oder lesen will,
Nach den selben AGBs sind dann aber auch Zettel im Tresor grobe Fahrlässigkeit. Und dann wirds echt eng wenn jemand kein außerordentlich gutes Gedächtnis hat. Aber zum Glück sind AGBs nicht automatisch geltendes Recht, ich kenne zumindest kein Urteil in dem der Richter die Nutzung eines PW-Managers als grobe Fahrlässigkeit durchgewunken hat.

Ich hoffe inständig das der Tag nicht kommen möge wo dieses System crasht und weltweit Hunderttausende ihrem Geld nachtrauern müssen. Denn Herr AgileBits wird es ganz sicher nicht zurückzahlen.
Kritische Dinge sichert man sowieso nicht nur per PW ab. Mein Geld kannst du allein mit meinem PW zwar einsehen, aber nicht überweisen, dafür brauchst du noch meine Karte fürs ChipTAN...

Edit: Womit du natürlich recht hast: Passwörter sind mist, ein Konzept das in den 90ern funktioniert hat, aber eigentlich längt überholt ist. Das Problem ist nur, es hat sich halt nichts tauglicheres etabliert (und es gibt auch noch keine wirklich alltagstaugliche und sicherere Alternative). Und so wie PWs mist sind, sind natürlich auch PW-Manager mist, aber eben oft ein notwendiges Übel, sofern man technisch einigermaßen in der Gegenwart leben möchte. Bankgeschäfte, Einkäufe, ect werden heute nunmal am Handy erledigt. Und ich sehe keinen echten Grund das zu verdammen, nur viele gute Gründe neue Sicherheitskonzepte dafür zu erdenken.
 
Zuletzt bearbeitet:

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.831
@Farafan Welches System könnte denn Username/Passwort in großem Stil ablösen?
 

smoe

Roter Winterkalvill
Registriert
13.04.09
Beiträge
11.575
2Fakter-Authentifizierung ist schon mal ein guter Schritt, aber halt nicht massentauglich, da sich der DAU damit zu einfach selbst aussperren kann...
 

smoe

Roter Winterkalvill
Registriert
13.04.09
Beiträge
11.575
Der "dümmste anzunehmende User" ;) Wenn ein System nicht für den DAU funktioniert kann es sich meist in der Masse nicht durchsetzen.

Ist auch gar nicht als Beleidigung gemeint, nur gibt es eben in der breiten Masse einen sehr großen Anteil an Usern die sich selbst überhaupt keine Gedanken um Technik machen und gar keine Lust haben sich damit zu beschäftigen.
 

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
@Farafan Welches System könnte denn Username/Passwort in großem Stil ablösen?
Möglichkeiten gäbe es genug.

Wir haben die digitale Signatur, Signaturkarten mit externem Kartenleser, alle biometrischen Verfahren (inklusive Touch ID).

Man müsste die Anbieter von Waren und Dienstleistungen im Internet nur per Gesetz zwingen solche sichern Methoden zumindest als Alternative mit anzubieten. Auf Basis der Freiwilligkeit wird niemand die Kosten und notwendigen Arbeiten auf sich nehmen.

Und so bleibt das volle Risiko weiterhin beim Kunden während Frau Neuland raute-formend und planlos vor solchen Themen steht.
 
  • Like
Reaktionen: rootie

rootie

Filippas Apfel
Registriert
30.06.11
Beiträge
8.831
@Farafan Gut da hast Du natürlich Recht. Ich bin absolut bei Dir, dass es faktisch unmöglich ist, ohne Gesetzesänderung hier etwas zu bewegen. Man sieht es ja schon mit Apple Pay: Der Konzern mit dem meisten Geld der Welt hat noch nicht mal die Chance, es weltweit einzuführen. Deutschland lebt im Steinzeitalter, was so etwas betrifft. Und NEIN, ich will NICHT das Bargeld abschaffen, aber sichere Alternativen einführen. Ich weiß ehrlich gesagt auch nicht, woran Apple Pay bei uns scheitert.

Ich bin aber auch bei @smoe - Mit einem Passwortmanager ist man schon mal besser als 99% der Internet-Surfer dran. Die Wahrscheinlichkeit, dass ich respektive meine Passwörter durch einen Hack-Angriff kompromittiert werde, geht gegen 0. Ehe mein digitales Leben in den Händen von Hackern ist, kommen ca. 79,5 Millionen andere Deutsche dran :D

Und was FBI/NSA betrifft - da hat man als Normalnutzer eh keine Chance. Wie schon korrekt gesagt wurde: Auch Du nutzt ein amerikanisches Betriebssystem mit einem Dateisystem, das überwiegend von Amerikanern programmiert wurde. Das Internet / ARPANet kommt auch aus Amiland. Von daher muss man ohnehin gewissen Produkten trauen, sonst kann man gleich den Stecker ziehen.

Und 1Password wurde mitnichten kompromittiert durch einen Fehler in 1Password selbst, sondern wegen einer Sicherheitslücke ganz woanders. Das ist ungefähr so als ob jemand in mein System reinkäme und mich dann beim Eintippen meines 1Password - Masterkeys durch Keylogging beobachtet. Gegen so etwas ist man theoretisch NIEMALS gefeit (außer man bleibt wie gesagt offline) und da kann man den 1Password - Jungs nun wirklich keinen Vorwurf machen.
 
  • Like
Reaktionen: KALLT

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Und 1Password wurde mitnichten kompromittiert durch einen Fehler in 1Password selbst, sondern wegen einer Sicherheitslücke ganz woanders.
Denkfehler. :)
Ich habe gleiches letzte Woche bereits in einem anderen Thread geschrieben.

Ein Software die mit existenziell wichtigen Daten hantiert und Sicherheit verspricht darf sich nicht auf die Integrität von externen Komponenten verlassen die außerhalb ihres Einflussbereiches liegen. (Vergleich: Ein Airbag muss auch auslösen wenn die Autobatterie keine Spannung mehr liefert. Es wäre fatal wenn solches System eine korrekt funktionierende externe Stromquelle voraussetzt.)

Ich habe neulich selbst erlebt wie eine Homebanking-Software auf dem iPad den Dienst komplett verweigerte weil sie einen Jailbreak entdeckte und dies als Sicherheitsrisiko einstuft.

Fakt ist: 1password ist angreifbar. So angreifbar das sich AgileBits gezwungen sah zeitweise von der Nutzung abzuraten.

Und in der Sicherheitstechnik gilt eine ungeschriebene Regel: Einmal ein dickes Ei gelegt, für immer raus aus dem Geschäft. Anders lässt sich keine strikte Sorgfalt erreichen.


Warum man nun immer noch blindlings auf eine solche Firma und ihr Produkt vertraut kann ich nicht nachvollziehen.
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Fakt ist: 1password ist angreifbar. So angreifbar das sich AgileBits gezwungen sah zeitweise von der Nutzung abzuraten.
[...]
Warum man nun immer noch blindlings auf eine solche Firma und ihr Produkt vertraut kann ich nicht nachvollziehen.

Ich lese hier ganz klar Gründe die sogar für die Integrität von AgileBits sprechen. Es gab eine kritische Sicherheitslücke im System, die aber nicht von 1Password verursacht wurde. AgileBits hat aber entsprechend darauf reagiert und seine Kunden informiert. Bei 1Password war lediglich die Kommunikation zwischen dem Verwalter und das Hilfsprogramm betroffen, die durch einen MITM-Angriff ausgelesen werden konnte (wobei es meines Wissens nach keine konkrete Ausnutzung dieser Lücke gab). Das ist für mich eine respektable Einstellung. Selten habe ich eine derartige Pressemitteilung von Apple bekommen (genau genommen sogar noch nie).

Ich finde dein Plädoyer überhaupt nicht überzeugend. Du erkennst das Problem, verteufelst aber praktisch alle Lösungsansätze. Deine Argumentation lässt sich nämlich genauso gut pauschal auf das gesamte Betriebssystem anwenden und hat in concreto nichts mit AgileBits zu tun. Angreifer können mit entsprechenden Befugnissen so ziemlich alles auslesen.

Wir haben die digitale Signatur, Signaturkarten mit externem Kartenleser, alle biometrischen Verfahren (inklusive Touch ID).

Digitale Signaturen können ebenso gestohlen werden, Fingerabdrücke trivial aus einer Vorlage nachgemacht werden.
 

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Es gab eine kritische Sicherheitslücke im System, die aber nicht von 1Password verursacht wurde.
Wo die Sicherheitslücke liegt ist mir als User vollkommen egal wenn mein Geld weg ist. Das System hat nicht funktioniert, ganz einfach.
Digitale Signaturen können ebenso gestohlen werden.....
Vorführen.

Bisher ist europaweit nicht ein einziger Missbrauchsfall bekannt beim Banking mit HBCI-Chipkarte und einem Klasse-3-Leser. Und das in knapp 10 Jahren seit der Einführung des Systems.
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Bisher ist europaweit nicht ein einziger Missbrauchsfall bekannt beim Banking mit HBCI-Chipkarte und einem Klasse-3-Leser. Und das in knapp 10 Jahren seit der Einführung des Systems.

Was meinst du denn wo die Schlüssel aufbewahrt werden? Wenn da außerdem zusätzlich noch ein Pincode oder dergleichen zur Authentifizierung verwendet wird, stehst du genau am selben Punkt. Von der praktischen Anwendung ganz zu schweigen, womit wir wieder beim Problem wären: nichts zum Transportieren und viel Aufwand für Sicherheit die man vielleicht gar nicht benötigt. Für Online-Banking und E-Government sicherlich anwendbar – und wird auch angewendet – aber für alltägliche Websitelogins und Cryptokeys ist das so ziemlich overkill. Ich halte an meiner Ansicht fest, dass ein Kennwortverwalter wie 1Password kein erhöhtes Risiko birgt welches über die Integrität des Betriebssystems selbst hinaus geht.

Was verwendest du denn in der Zwischenzeit?
 

tiny

Westfälischer Gülderling
Registriert
15.12.11
Beiträge
4.538
@404
Es würde auch mich interessieren, wie Du Deine 300 Passwörter verwaltest. Es mag ja sein, daß es Probleme mit 1Password geben kann, aber was ist die Alternative??