Schlüsselbund oder Passwörter App?

Benutzeravatar
kate
Administrator
Beiträge: 4250
Registriert: Do 20. Jan 2022, 18:33
Wohnort: provinz

Schlüsselbund oder Passwörter App?

#1

Beitrag von kate »

Mit Sequoia hat Apple die App Schlüsselbund durch die neue App Passwörter ersetzt.

Man sollte sich die neue App mal genauer angucken. Dennoch kann es sein, dass man den Schlüsselbund doch nochmal braucht. Apple hat die App Schlüsselbund auch nicht beseitigt, sondern lediglich nach

/System/Library/CoreServices/Applications

verschoben.
tasuke au - mein fotoblog
Benutzeravatar
Stromer
Beiträge: 3458
Registriert: Mo 7. Feb 2022, 16:10

#2

Beitrag von Stromer »

Für mich stellen sich da noch zusätzliche Fragen:
  • Bei einer thrid-party-Passwort-App (1Password, Enpass, ...), die man schon einsetzt bleiben oder zur neuen Passwörter-App von Apple wechseln?
  • Ich hab mir die neue App noch nicht eingehend angeguckt und frage daher: Ist es auch möglich die Passwörter-App auf einem eigenen Server laufen zu lassen um geräteübergreifend Zugriff auf die PWDs zu habe (so wie ich das in Enpass eingerichtet habe), oder geht das nur über die iCloud?
Ein Gehirn wäscht das andere.
Benutzeravatar
kate
Administrator
Beiträge: 4250
Registriert: Do 20. Jan 2022, 18:33
Wohnort: provinz

#3

Beitrag von kate »

zu 1: so ein Wechsel ist nicht immer problemlos, weil es kein wirklich überall vorhandenes Austauschformat für die Daten zu geben scheint

zu2: das geht nur über iCloud.

In einem corporate environment ( wie das so schön heisst ) gibt es andere Lösungen, nur nicht von Apple.
tasuke au - mein fotoblog
Benutzeravatar
Stromer
Beiträge: 3458
Registriert: Mo 7. Feb 2022, 16:10

#4

Beitrag von Stromer »

Na dann werde ich bei meiner Enpass-Installation (lifetime-Lizenz) bleiben. Obwohl Enpass auf eigenem Server manchmal etwas zickig ist.
Ein Gehirn wäscht das andere.
Benutzeravatar
HJD
Beiträge: 4263
Registriert: Mo 7. Feb 2022, 18:24

#5

Beitrag von HJD »

Wenn man eine funktionierende Passwörter-App wie 1Password nutzt, sollte man dabei bleiben, da Apples App nicht annähernd den Funktionsumfang bietet. Ich finde die Bedienung auch nicht einfacher.

Wie bereits in einem anderen Fred erwähnt, empfiehlt iFun beim Übertragen von Passwörtern von 1Password nach Apples App den Zwischenschritt über Strongbox.App, was aber auch nicht wirklich gut funktioniert. Viele Einträge werden zwar angelegt, bleiben aber ohne Inhalt. Passwörter muss man dann händisch eintragen.

Den einzigen Vorteil von Apples App sehe ich im Moment darin, nix dafür zahlen zu müssen und keinen Server eines externen Anbieters nutzen zu müssen. 1Password hat, soweit ich weiß, ab Version 7 Cloud-Zwang. Solange die Version 6 hier noch läuft, werde ich die nutzen. Vielleicht bekommt es Apple irgendwann auf die Reihe, einen gleichwertigen Funktionsumfang anzubieten.
„Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen.“

Albert Einstein
Benutzeravatar
obmat
Beiträge: 4031
Registriert: Mo 7. Feb 2022, 13:30

#6

Beitrag von obmat »

Pers. finde ich pws und clouds ein nogo - egal mit welchem Programm.
Benutzeravatar
Stromer
Beiträge: 3458
Registriert: Mo 7. Feb 2022, 16:10

#7

Beitrag von Stromer »

Hmm, wenn ich die Passwörter geräteübergreifend will, bleibt mir ja fast nix anderes übrig: Meine sind zwar auf meinem Server gespeichert, um unterwegs darauf zugreifen zu können, muss der Server aber auch aus dem großen, bösen Netz erreichbar sein. Und ob ich den Server besser zu schützen weiß als ein Anbieter solcher Apps?
Den einzigen Vorteil, den ich da haben werde ist wohl, dass sich der FSB und der Mossad wohl eher weniger für meinen Mac mini interessieren werden.

Klar: Ich könnte den Internet-Zugriff auch sperren, aber dann würden sich die PWDs auf meinen Geräten nur synchen, wenn sie in mein WLAN eingebucht sind.
Ein Gehirn wäscht das andere.
Benutzeravatar
Macci
Beiträge: 7943
Registriert: Fr 21. Jan 2022, 11:28
Wohnort: Leibzsch

#8

Beitrag von Macci »

Gerdae so ein vereinzelter Mini-Server fällt doch auf! Wenn ich was Geheimes/Bösartiges speichern wöllte, dann entweder anonym bei einem der ganz Großen (Google/Amazon) oder auf einer kleinen einzelnen Kiste, die sich gut wegducken kann. :D
Benutzeravatar
Stromer
Beiträge: 3458
Registriert: Mo 7. Feb 2022, 16:10

#9

Beitrag von Stromer »

*schnippschnappkabelab* ;)
Ein Gehirn wäscht das andere.
Benutzeravatar
HJD
Beiträge: 4263
Registriert: Mo 7. Feb 2022, 18:24

#10

Beitrag von HJD »

Ich verstehe auch nicht, warum man die Möglichkeit, seine Passwörter geräteübergreifend per WLan zu synchen, gegen Cloud-Zwang getauscht hat. 1Password 6 kann das jedenfalls noch, die nachfolgenden Versionen aber wohl nicht mehr.
„Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen.“

Albert Einstein
Benutzeravatar
Macci
Beiträge: 7943
Registriert: Fr 21. Jan 2022, 11:28
Wohnort: Leibzsch

#11

Beitrag von Macci »

Weil man an dem Cloudservice was verdient. Manchmal ist es ziemlich einfach.
Benutzeravatar
obmat
Beiträge: 4031
Registriert: Mo 7. Feb 2022, 13:30

#12

Beitrag von obmat »

Und im Notfall der user der Dumme ist... = Einfach Version 2
Benutzeravatar
kate
Administrator
Beiträge: 4250
Registriert: Do 20. Jan 2022, 18:33
Wohnort: provinz

#13

Beitrag von kate »

Die alternativen Passwortmanager sind natürlich keineswegs umsonst und benutzen ebenfalls Cloudsysteme auch wenn das so nicht unbedingt klar kommuniziert wird. Und als Nutzer ist man natürlich immer der Dumme, denn den Schaden hat man fast nur selbst. Kein Passwortmanger gibt irgendwelche Garantien und finanzielle Entschädigungen für Fälle von Einbruch, Missbrauch usw.
tasuke au - mein fotoblog
Benutzeravatar
obmat
Beiträge: 4031
Registriert: Mo 7. Feb 2022, 13:30

#14

Beitrag von obmat »

Habe nen USB-Stick, mit nem dmg, das verschlüsselt ist.
Brauche ich - was selten vorkommt ein wichtiges pw, sind stick und dmg während extrem kurzer Zeit exponiert und sonst gar nicht vorhanden. Keine cloud, niemand, auch keine app, kein Programmierer weiss, was auf dem dmg steht.

Solange Quantenprozessor die 256 bit nicht knacken können, halte ich das für sicher.

Irgendwelche Einwände?
Rotweinfreund
Beiträge: 6485
Registriert: So 6. Feb 2022, 15:45

#15

Beitrag von Rotweinfreund »

#metoo@stick
Benutzeravatar
Stromer
Beiträge: 3458
Registriert: Mo 7. Feb 2022, 16:10

#16

Beitrag von Stromer »

obmat hat geschrieben: Fr 27. Sep 2024, 20:21 Irgendwelche Einwände?
Jedes PW ist wichtig. Und jedes PW, welches man gerade benötigt ist in diesem Moment das wichtigste.
Und: Ich brauche meine PW ständig. Wie ich das unterwegs von einem USB-Stick auf meine iOS-Geräte transferieren soll ist mir auch nicht klar.
Die meisten PW gibt man ohnehin ein und sie verschwinden dann über'n Äther zum Bestimmungsserver. Also ist das Anti-Cloud-Gehabe eigentlich eh für'n Arsch.
Ein Gehirn wäscht das andere.
Rotweinfreund
Beiträge: 6485
Registriert: So 6. Feb 2022, 15:45

#17

Beitrag von Rotweinfreund »

Stromer hat geschrieben: Fr 27. Sep 2024, 21:20unterwegs
Das scheint das Zauberwort zu sein?!
Trifft für mich nicht (mehr) zu.
Anti-Cloud-Gehabe
bei mir ein Prinzip …… das man sich natürlich leisten können muss.
Benutzeravatar
obmat
Beiträge: 4031
Registriert: Mo 7. Feb 2022, 13:30

#18

Beitrag von obmat »

Stromer hat geschrieben: Fr 27. Sep 2024, 21:20
obmat hat geschrieben: Fr 27. Sep 2024, 20:21 Irgendwelche Einwände?
Jedes PW ist wichtig. Und jedes PW, welches man gerade benötigt ist in diesem Moment das wichtigste.
Und: Ich brauche meine PW ständig. Wie ich das unterwegs von einem USB-Stick auf meine iOS-Geräte transferieren soll ist mir auch nicht klar.
Die meisten PW gibt man ohnehin ein und sie verschwinden dann über'n Äther zum Bestimmungsserver. Also ist das Anti-Cloud-Gehabe eigentlich eh für'n Arsch.
nope nicht alle pws sind gleich wichtig, zumindest für mich.

Eines für ein WLAN, bei dem du dich zufälligerweise vor 10 Jahren eingeloggt hast, ist was anderes als der Zugriff auf dein Bankonto.

Und ja, es gibt sticks, wie zb ne Sandisk Xpand...

pers. sehe ich da schon nen Unterschied zw. einem pw, das 1 x Monat eingegeben wird und ner db, die ständig auf nem server rumwerkelt. U. a. auch deshalb, weil die Frage nicht lautet was gehackt wurde, sondern was nicht gehackt wurde:
Jahre nachdem 2 meiner emailadressen gepwnd wurden, notabene ist die Rede von richtigen Internetgrössen wie zB Adobe, die das vermasselt haben, werde ich nochimmer zugemüllt.
Benutzeravatar
kate
Administrator
Beiträge: 4250
Registriert: Do 20. Jan 2022, 18:33
Wohnort: provinz

#19

Beitrag von kate »

obmat hat geschrieben: Fr 27. Sep 2024, 20:21 Habe nen USB-Stick, mit nem dmg, das verschlüsselt ist.
Brauche ich - was selten vorkommt ein wichtiges pw, sind stick und dmg während extrem kurzer Zeit exponiert und sonst gar nicht vorhanden. Keine cloud, niemand, auch keine app, kein Programmierer weiss, was auf dem dmg steht.

Solange Quantenprozessor die 256 bit nicht knacken können, halte ich das für sicher.

Irgendwelche Einwände?
Ja, etliche Einwände. :)

Dass deine Passworte sicher gespeichert sind ist gut, aber das bietet lediglich eine Schutzhürde bei der Lagerung.
Passworte oder Codes durchlaufen beim Öffnen und Schliessen von Zugängen aber verschiedene Umgebungen und sie werden sowohl auf den Wegen als auch auf den Empfängerseiten Risiken ausgesetzt.

Ob die Lagerung jetzt in Form einer verschlüsselten Datei mit starker Kryptografie erfolgt oder nicht, ob diese Lagerung lokal auf'm USB Stick erfolgt oder auf einem Server, macht die Sicherheit der Lagerung nicht grossartig besser oder schlechter.

Sobald du zugreifst ist, genau wie beschrieben, der Inhalt einer grösseren Gefährdung ausgesetzt.

Die typischen Einbrüche die wir häufig mitbekommen sind in die Datenbanken von E-Mail Konten. Und dabei handelt es sich um Einbrüche, die durch Angriffe auf die Übermittlung von Passworten innerhalb des Empfängers statt finden, oder direkt Einbrüche auf dem Server in die Passwortdatei. Der Angriff erfolgt also an einer Stelle auf die man selber in der Regel keinerlei Einfluss hat.

Damit es vielleicht mal klar wird wie so ein Angriff möglich ist bastele ich mal ein Beispiel. Das Beispiel wird ein wenig technisch und es ist keineswegs die einzige Form von Angriff die möglich ist, oder vorkommt.

Grundsätzlich ist das allerschwächste Glied der Sicherheitskette der Mensch und das erstreckt sich auch auf Technik, die von Menschen schlampig benutzt wird, wie zum Beispiel offen stehende Fenster im Haus. Was ja kein Fehler der Technik ist, sondern ein menschliches Versagen bei der Sicherheit. Das Äquivalent dazu gibt es auch bei Computern, dem eigenen, oder dem Computer, der das mit den eigenen E-Mails macht.

Damit ein Einbrecher einen Hebel ansetzen kann muss er eine Lücke finden. Bildlich gesprochen, wir reden gerade über Computer. So eine Lücke wird als Sicherheitslücke bezeichnet. Die Struktur des Schlosses für dein E-Mail Konto wird durch die Art bestimmt wie überhaupt festgestellt wird ob dein Schlüssel ins Schloss passt. Dabei lasse ich mal Angriffe auf die Übertragung des Schlüssels aussen vor. Die ist nämlich ebenfalls angreifbar. Auf diversen Wegen und nicht nur einem.

Also wie passiert das nun? Ein Computer bekommt von dir deine Zugangscodes übermittelt. Wie kriegt der nun raus ob der Code stimmt und was der Code frei schaltet? Er hat dazu oft eine Datenbank in der genau die Informationen gespeichert sind. Er nimmt also dein übertragenes Passwort an und vergleicht es mit dem ursprünglich in der Datenbank abgespeicherten Original. Stimmt der Kram überein geht es weiter, wenn nicht, dann nicht.

Natürlich liegt die Datei mit den ganzen Passworten jetzt nicht irgendwo herum, so dass es möglich ist einfach mal so von Leuten darauf Zugriff zu erlangen. Nö. Jedes abgespeicherte Passwort ist selbst verschlüsselt. Und in der Datenbank liegen nicht die Passworte selbst, sondern das verschlüsselte. Wenn also jemand Zugriff auf diese Datenbank erhält, autorisiert oder nicht, dann kann der dein Passwort nicht sehen oder stehlen. Er kann lediglich das verschlüsselte Passwort sehen und stehlen.

Und genau das passiert. Leute stehlen nicht dein Passwort, sondern sie stehlen die Datei mit den verschlüsselten Passworten vom Server. Also praktisch das Schloss zu deinem Schlüssel. Ist das gelungen, meistens wegen eines offen stehen gelassenen Fensters im Klo ( das ist eine Analogie, es ist eine relativ einfache Sicherheitsmassnahme unterlassen worden soll das heissen ) .

Die Hacker besitzen nun eine Datei mit vielen verschlüsselten Passworten. Was weiter?

Als Hacker nimmt man sich die verschlüsselten Passworte und vergleicht jedes einzelne verschlüsselte Passwort mit einem selbst verschlüsselten Wort das man aus einem Wörterbuch hat.

Beispiel dafür:

Deine Datenbank verschlüsselt deine Passworte mit der Methode MD5. MD5 ist eine Klasse von kryptografischen Hashes. Dabei handelt es sich um eine Berechnungsmethode, die aus deinem Passwort "LassMichRein" eine Zahl erzeugt. In dem Fall ist es d6c08c74f83bcbf581308326f2ba7869. So eine Hash Funktion macht also aus deinem Passwort eine Zahl, hier Hexadezimal dargestellt, die nicht trivial rückwärts wieder in "LassMichRein" umwandelbar ist.

Dein Server kennt also dein Passwort selbst auch nicht und überträgt es auch nicht, was es gibt sind lediglich Hash-Werte.
Das ist dem Einbrecher aber egal. Wenn er mal im Besitz der Hash-Werte ist hat er ja alle Zeit der Welt. Er nimmt also z.B. den Duden, verschlüsselt jedes Wort darin mit MD5 und fängt an zu vergleichen. Findet er einen Hash-Wert, der einem in der gestohlenen Datenbank entspricht kennt er dein Passwort. Er weiss aus seinem Wörterbuch, dass der Hash-Wert des Wortes "123Drin!" 971b1e0d0d6a0f7396609539e17b9dac ist. Findet er diesen hash-Wert in der Datenbank hat er dein Passwort erkannt ohne die Verschlüsselung selbst zu knacken.

Hacker haben natürlich andere Wörterbücher als nur den Duden. Es gibt viele Sprachen und Begriffe usw. aber Passworte sollen leicht merkbar sein und Anwender geben sich daher mehr Mühe die für unseren Kopf verständlich zu halten. Das heisst Worte sind in der Regel kurz und in einer Sprache und bestehen bestenfalls aus einem Wort und einige Sonderzeichen. Alle diese Varianten sind keine riesige Menge an möglichen einfachen Passworten. Ein Computer hat die in wenigen Stunden alle einfach durchprobiert.

Man kann dieses Vorgehen natürlich vorher planen, vorbereiten und eine grosse Datenbank anlegen in der häufig benutze Passworte bereits als Hash Wert abgespeichert sind. Auch werden ganze Bibliotheken angelegt in denen bereits bekannte Passworte abgelegt sind, weil Leute genau die wieder verwenden.

Meistens wird auf diese Weise ein typisches Passwort für ein E-mail Konto an Hand der gestohlenen MD5 Hashes innerhalb von wenigen Stunden gefunden. Profis mit guter Vorbereitung und fähiger Hardware machen das in durchaus unter einer Stunde selbst wenn das Passwort etwas exotischer gewählt wurde.

Du kannst dein Passwort verbessern, indem du es lang machst und komplex und damit die Wahrscheinlichkeit eines Treffers verringerst die durch diese Art des Angriffs entsteht.

Beispiel.

Dein Passwort: Mailpasswort
MD5 Hash: 087fa3b7a21f9bc2771b1d38b60965be

Dein neues Passwort: KmhTr2#UnDfAgcQq-A
MD5 Hash: 228613c85425a8da0413740531cb9f0f

Beide Hashes ( verschlüsselte Passworte ) sind als Hash gleich lang, was nix darüber aussagt wie schwer sie zu knacken sind.

Das neue Passwort ist in kaum einem Wörterbuch zu finden. Also findet man den Hash-Wert auch nicht mal eben in irgendeiner vorfabrizierten Datei mit Hash-Werten bekannter Worte oder Buchstabenfolgen.
Man muss also anfangen alle Zeichen auf der Tastatur systematisch zu kombinieren, daraus Hash-Werte zu erzeugen und hoffen zum Ziel zu kommen.

Das ist jetzt vereinfacht. Aber grundsätzlich ist es viel aufwändiger so ein "zufälliges" Passwort zu knacken, als ein "normales". Die Entschlüsselung der letzten 5% von benutzen Hash-Werten ist unproduktiv. Es dauert zu lange und frisst Ressourcen. Es lohnt nicht für ein E-Mail Konto so viel zeit zu investieren. Also brechen Hacker diese Art des Einbruchs nach wenigen Stunden ab. Auch wenn sie nach einigen Tagen Erfolg haben könnten. Oder Wochen.

Das richtet sich natürlich nach dem erwarteten, oder erhofften Wert der Information. Besteht der Wert lediglich darin, dass man jemandes Konto für Spam verwenden kann, dann ist die Aktion nur einige Minuten wert das Passwort zu knacken.
kann man damit an wertvolle E-mails gelangen oder gezielt wertvolle eigene E-Mails absetzen steigt der Wert ggfs. enorm.

Die Sicherheit eines Passworts ist also, wie im Beispiel zu sehen, nicht nur davon abhängig wie sicher du es zuhause aufbewahrst, sondern auch vom verwendeten Passwort selbst, seinem möglichen Wert, der Hash-Methode (gibt auch andere als nur MD5) der Länge des Passworts, der Komplexität des Passworts, der Komplexität der Hash-Methode, der verwendeten Sprache, dem Unicodezeichensatz, uvam. abhängig. Und natürlich darf keiner ein Klofenster offen stehen lassen.

Grundsätzlich basiert Sicherheit auf Vertrauen. Du musst an irgendeiner Stelle Dingen, Prozessen, Personen, Computern vertrauen. Weil du selbst Dinge aus der Hand gibst. Ob du iCloud mehr traust als dem Server irgendeiner anderen Firma kann man an Hand von rationalen Erwägungen abwägen. Es ist keine Frage der "Grösse" des Dienstleisters.

Und natürlich sind auch die Übertragungswege an sich auch unsicher. generell ist die ganze Kette der Informationsübertragung und die gesamte Infrastruktur darunter und dahinter angreifbar. Deswegen hat Russland (vermutlich) sich ja jahrelang Mühe gegeben die SSH Verschlüsselung zu unterminieren. Wenn das gelungen wäre, wären fast alle Computer am Arsch gewesen. ganz ohne Einbruch. Wenn man es schafft die eisernen Riegel durch solche aus Gummi zu ersetzen und es merkt keiner ist man immer schnell drin. Egal ob der eigene USB Stick dann aus Waffenstahl ist.
tasuke au - mein fotoblog
Benutzeravatar
kate
Administrator
Beiträge: 4250
Registriert: Do 20. Jan 2022, 18:33
Wohnort: provinz

#20

Beitrag von kate »

Ach ja, ein Quantencomputer würde das Entschlüsseln von MD5 Hashes deutlich beschleunigen. Aber was soll's, wenn man schon mit einem PC mit zwei fähigen Grakkarten drin, die die Hash-Werte vergleichen, auch zum Ziel kommt.
tasuke au - mein fotoblog
Antworten