Hallo,
bei ebay.de musste ich schon mal vor ca. 10 Jahren das Passwort wechseln, weil damals bei ebay Massenhaft Zugangsdaten geklaut worden sind. Jetzt musste ich das PW wieder wechseln, weil wiederholt Zugang zu meinem ebay-Konto von einem PC in einem anderen Bundesland erfolgte... Habe am letzten Freitag Brief gen ebay losgeschickt und ebay um schriftliche Stellungnahme gebeten, ob es bei ebay.de eine zeitliche Einlogg-Versuchs-Begrenzung i.V. mit einer Anzahlbezogenen Grenze von Passworteingaben gibt. Mal schauen was ebay antwortet... Da mein geknacktes PW relativ "sicher" und lang und mit Kleinbuchstaben, Sonderzeichen, keine Verwendung von zusammenhängenden Worten etc. festgelegt war, vermute ich im Moment, dass es bei ebay i.M. noch keine PW-Anzahlbegrenzung innerhalb einer definierten Zeitspanne gibt und das mein PW vermutlich mittels einem KI-Programmes gehackt wurde... Denn KI Programme können ja mittlerweile selbst komplizierte Passworte (je nachdem wie lang und kompliziert) innerhalb von Sekunden/Minuten/Stunden knacken... Trotz dass ich das o.g. alles vermute, kann ich natürlich nichts beweisen, da das auch für mich alles unsichtbar ist bzw. für mich nicht Rekonstruierbar ist. Was mich hier in ein neues Passwort "gerettet" hat, war der Umstand, dass ebay eine 2FA nutzt, d.h. dem Passwortdieb hat das Passwort allein dann doch nix genutzt und ich konnte hier in Ruhe eingreifend korrigieren.
Trotz glimpflichen Ausgang des Ganzen denke ich immer stärker über eine Verwendung eines PW-Managers nach und möchte hiermit nach euren Erfahrungen fragen.
1. Kann man Online-PW-Managern deiner Meinung nach trauen? (sie verweisen ja i.d.R. darauf, dass sie selbst auf die Daten keinen Zugriff haben, weil alles verschlüsselt sei... 2. Wenn du einem Online-PW-Managern traust, welchen würdest du empfehlen?
3. Falls du Online-PW-Managern eher nicht über den Weg trauen solltest, welchen Offline-Passwort-Manager würdest du dann empfehlen?
4. Ist es bei Nutzung eines PW-Managers sinnvoll den Zugang zu diesen (falls möglich...und Softwaretechnisch auch nicht sehr kompliziert...) mit einer 2FA Zugangssicherung abzusichern oder wäre das eher zuviel des Guten (in Bezug auf eine relativ gute private PW-Sicherheit) ?
Viele Grüße Steffen
Hallo Olav, hallo an die Flugies zum Thema Passwort-Manager,
eine erste Zwischenmeldung von mir als Fragesteller. Ich werde Arbeits- und Zeitbedingt vorauss. erst ab ko. Samstag/Sonntag dazu kommen mich in alle hier geposteten Infos reinzuarbeiten. Vielen Dank (!!!) für eure Posts zum Thema! ich brauch noch etwas Zeit um mich damit tiefergehend beschäftigen und reinarbeiten zu können... Allein wenn ich mir die umfangreiche Info von dir Olav anschaue (ebenso Vielen Dank!!!) fühl ich mich i.M. schon etwas erschlagen von der Vielzahl von Dingen die da offensichtlich eine zu beachtende Rolle spielen. Auch vielen Dank für den Hinweis, dass ein PWM eher nicht zur Sicherheit meines z.B. ebay-Accounts beitragen wird? Das muss ich jetzt erstmal verdauen... Bei mir kamen ja mehrere eMails seitens ebay, dass es auf meinem Account wiederholt Zugriffe von einem PC in Nordrhein-Westfalen bzw. in Düsseldorf gegeben hat. Ich nutz(t)e in den letzten Monaten keine VPN. Im Moment bin ich jedoch bei der Annahme, dass diese Zugangsmeldung sich auf meinen PC und mich bezieht, denn die gleichen Mitteilungen kamen auch noch nach der PW-Änderung! Zudem kann ich die letzten ebay-Mitteilungen zeitlich mir selbst zuordnen. Der Netzbezogenen Zusammenhang ohne VPN Nutzung bei tatsächlicher Nutzung im südlichen Baden-Württemberg hin zu Düsseldorf ist mir i.M. immer noch schleierhaft... Also ebay ist mal im Moment in meinem (aktuellen) Problemfall raus, jedoch bleibt das Thema PWM weiterhin im Fokus bei mir.
Und nein ich bezog mich in meiner Anfrage nicht nur rein auf Online-PWM (Bitwarden wäre i.M. bei den Onlinern auch mein Favorit...), sondern in Bezug auf Offline PWM interessieren mich Erfahrungswerte ebenso.
Danke mal fürs erste. Wie schon geschrieben lese ich mir da noch alle Mitteilungen zur eigenen Klärung und zum eigenen Verständnis noch genau durch und möchte mich hiermit mit einem kurzem "Zwischenlebenszeichen" melden.
Viele Grüße Steffen
Am 09.12.2024 23:06 schrieb Olav Seyfarth:
On Mon, Dec 09, 2024 at 08:42:30PM +0000, heartbeat@posteo.de wrote:
[...]
Wie schon Olav sagt: Dein Passwort-Manager managt die Passwörter.
Nützlich, wenn Du viele davon hast (s.u.) oder wenn Du sie regelmässig erneuern willst (s.u.).
Wähle zufällige Passwörter. Nein "KI" kann nicht Passwörter knacken (allenfalls kann es, wenn es mehr "über Dich" weiss [0], die Wörterbücher zum Ausprobieren ein wenig optimieren: deshalb: zufällig).
Ich benutze dafür "pwgen", für wichtige 16 Buchstaben, für weniger wichtige 8 oder 12. Hintergrund ist: die meisten Dienste speichern (hoffentlich!) Hashes der Passwörter, die müssen durch ausprobieren (brute force) geknackt werden. Das wird gerne u.a. mit sog. Dictionaries beschleunigt, und da steht "lolcat" vorne und "ooKeo6" ein wenig weiter hinten.
Wichtig ist: möglichst nicht dasselbe Passwort überall benutzen. Wenn ein Dienst Dein Passwort leakt (die sind so), dann bleibt der Schaden eher begrenzt.
Die Empfehlung, das Passwort regelmässig zu wechseln ist nur in ganz besonderen Umständen sinnvoll: wenn Du einen konkreten Grund zur Annahme hast, dass die Leak-Wahrscheinlichkeit signifikant ist. Das NIST (der Goldstandard hier) rät dagegen [1].
lg
[0] Z.B. Deine Sprachen, ob Du Katzen magst... [1] https://pages.nist.gov/800-63-3/sp800-63b.html
On Tue, Dec 10, 2024 at 10:47:02AM +0100, js-priv@online.de wrote:
Eine schöne Möglichkeit.
Passwörter sind etwas persönliches. Für etwas maschinelles sollte mensch eigentlich (kryptografische) Schlüssel benutzen.
Deshalb werdet Ihr ganz viele unterschiedliche Passwort-Policies finden, weil Hirne unterschiedlich ticken :-)
Wenn es mich umhaut und ich dahinrotte, dann ist es OK (und erwünscht!), wenn meine Passwörter weg sind (was bleiben soll, schreibe ich auf einen Zettel und drücke es den entsprechenden Menschen meines Vertrauens in die Hand.
Deshalb halte ich nur sehr bedingt was von diesen vielen 2FA-Schemata: sie versuchen den menschlichen Faktor als schwächstes Glied zu "brandmarken" und möglichst aus der Gleichung zu haben.
Für Institutionen, die uns als Rinder oder Schafe betrachten (Google, Facebook et al) macht das viel Sinn. Für mich (meistens!) nicht.
lg
On 12/10/24 12:21, tomas@tuxteam.de wrote:
Ich verstehe Deine Argumentation nicht. 2FA ist dafür gut, dass es einem Angreifer, der sich über Deine rechtmäßigen Login-Daten Zugriff auf irgendwas verschaffen will, nicht reicht, nur eine Information von Dir zu bekommen. Ich sehe nicht, wie das schlecht sein soll.
So genügt es nicht, mir bei der Passworteingabe über die Schulter zu schauen, weil ich noch ein TOTP-Token oder einen Yubikey zum Einloggen brauche.
Für Institutionen, die uns als Rinder oder Schafe betrachten (Google, Facebook et al) macht das viel Sinn. Für mich (meistens!) nicht.
Ich sehe nicht, was Google 2FA bringt um mich einfacher oder besser als Rind oder Schaf zu betrachten? Was verstehe ich nicht?
Liebe Grüße Uwe
Hallo!
Eh, ich DANKE euch wirklich sehr für eure ausführlichen und vielseitigen Antworten zum Thema Passwort-Manager!!!
Ich habe mir jetzt zunächst mal alle eure Antworten in eine Datei reinkopiert und arbeite mich die nächsten Wochen zu meinem besseren (Entscheidungs-) Verständnis durch dieses Thema. Super, dass es mit euch allen diese vielseitige und intelligente Computer-Linux-Profigruppe zur gegenseitigen Hilfestellung und Weiterentwicklung hier gibt!!!
Gruß Steffen
This is the way: https://de.m.wikipedia.org/wiki/KeePass
Der große Vorteil eines Passwortmanagers ist aus meiner Sicht, dass es sehr einfach ist für diverse Seiten und Anwendungen jeweils ein isoliertes Passwort haben zu können, ohne dass man sich was merken muss oder die Passwörter irgendwas miteinander zu tun haben. Mein Workflow bei Registrierung bei einer neuen Webseite/Onlineshop: 1. Registrierungsseite des Shops öffnen 2. KeePass (Datei) öffnen, aufschließen 3. Neuen Eintrag in KeePass erzeugen mit Bezeichnung, URL, Benutzername -> Zufallspasswort wird automatisch erzeugt 4. Kopieren der Angaben von KeePass in die Registrierungsseite der Internetseite
Fertig. Das Passwort sehe ich dabei nie im Klartext
Am 9. Dezember 2024 21:42:30 MEZ schrieb heartbeat@posteo.de:
Hallo Steffen, Zu Deinen Fragen:
0. Online-Dienste tun tolle online Dinge…
1. nein, keine Klaut! - privat niemals, beruflich hast du evtl. andere Zwänge - ausführliche Antwort, leider in Englisch: [You Can't Control Your Data in the Cloud](https://karl-voit.at/cloud/)
2. KeepassXC.org - deckt m.E. alle Aufgaben eines PW-Manager ab, freie Software, läuft nativ unter Linux - siehe Vortrag Anfang 2021: https://lug-freiburg.de/vortraege/FLUG-VDI_Kee-Pass-phrase-7f.pdf - Handhabung wie Marco, s.u. - eben, wenn man die Loginseite mit abspeichert, ist man ziemlich Phishing-sicher (Ziel von Passkey) - der Web-Login ist nach dem Öffnen des PW-Tresors meist mit 3 Kurztasten erledigt: Strg-u, Strg-b, Strg-c - https://keepassxc.org/docs/KeePassXC_UserGuide
3. Hängt von Priorität (evtl. beruflichem Kontext) und Nervenstärke ab: https://www.explainxkcd.com/wiki/index.php/538:_Security - und ja, KeepassXC lässt sich so einrichten, dass ein 2. Faktor zum Öffnen notwendig ist - der Aufwand für ein Backup des 2. Faktors ist zu klären
@js-priv: https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength ja, die bessere Passphrase ist - zufällig, wirklich ganz zufällig (maschinell) "gewürfelt" - lang, gerne sehr lang - leicht zu merken: 7000 Wörter als "Zeichenvorrat" ist für Angreifer deutlich aufwändiger/teurer durch zu probieren, als die 60 erlaubten Zeichen der Tastatur oder die 0…9 Möglichkeiten einer "PIN"
@Tomas: bin bei Dir, die Haftung für Online-Schäden auf den Kunden abzuwälzen scheint einfacher, als für echte IT-Sicherheit zu sorgen. ich spoiler hier mal: am Mi 05.02.2025 19°° beim AKIS-72 werden wir von kompetenter Seite etwas zu "Passkey-Grundlagen" hören
Beste Grüße, Ctux
PGP-Key: https://keys.openpgp.org/search?q=ctux%40dismail.de Fingerprint: 1A31E01554A83F6A3AD80D66E241C1EB3638931 Matrix-Messenger: @ctux:freiburg.social
Am 10.12.24 um 07:39 schrieb Marco Lechner:
Hallo Steffen,
On 12/9/24 21:42, heartbeat@posteo.de wrote:
Ich verwende pass und bin glücklich damit. Die Datenbank ist einfach im Dateisystem abgelegt[1], es gibt ein git backend und Backup/Sync ist damit einfach. (Man muss sich aber selbst kümmern.)
Das Backend ist gpg. Damit hat das bezüglich Sicherheit auch mein Vertrauen.
Wer darauf Wert legt: Es gibt auch ein Browserplugin und eine gui. Verwende ich aber beides nicht, deswegen hier nur eine wertfreie Erwähnung.
Passwörter für eine Gruppe verwalten geht damit auch, man muss halt die Einträge für alle relevanten Keys verschlüsseln.
Ich würde einen zweiten Faktor dringend empfehlen. Bei mir hat gpg einen zweiten Faktor (einen Yubikey) und somit pass auch.
Liebe Grüße Uwe
[1] Je nach Paranoialevel ist das schlecht, weil man auch ohne Entschlüsselung sehen kann, wo ich überall Accounts habe.
Hallo,
ich glaube, das hat gar nichts mit dem Passwortmanager zu tun:
Ich habe auch eine Meldung von Ebay bekommen: "Ihr Konto wird mit einem neuen Gerät genutzt" mit ca Standort-Angabe. Ich hatte schon eine Vermutung, habe aber doch das Passwort gewechselt. - und bekam die gleiche Nachricht! - Der angegebene Standort ist der Sitz des Servers, in meinem Fall von Inexio.
Viele Grüße
Ludwig
Am 09.12.24 um 21:42 schrieb heartbeat@posteo.de: