Schlüsselbund oder Passwörter App?
Passt irgendwie zu den Erklärungen von Kate
https://stadt-bremerhaven.de/unverschlu ... fe-zahlen/
https://stadt-bremerhaven.de/unverschlu ... fe-zahlen/
gehn tun tät´s…
Ein ganz großes DANKESCHÖN an Kate für die ausführlichen und staunenswerten (zumindest für mich) Erläuterungen zu den verschlungenen Wegen und Methoden der Kryptografie. Chapeau!
Jetzt hab ich es auch kapiert
„Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen.“
Albert Einstein
Albert Einstein
Was mir in #19 fehlt ist die Verschränkung mit einem Passwortmanager.
Wer einen Passwortmanager verwendet und dort Passwörter wie "Halloichbinsicher" selber eingibt und speichert ist auch selber Schuld.
Ein Passwortmanager ist (auch) dazu da um sichere Passwörter zu generieren. Meine Grundeinstellung ist 20 Zeichen mit allen Möglichkeiten (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen). So ein Passwort ist heutzutage unknackbar. Auch wenn es gestohlen werden sollte.
Wenn diese Passwörter allerdings auf der Gegenseite unzureichend sicher gespeichert werden, ist das Ganze natürlich sinnlos (wie eine Haustüre der Widerstandsklasse RC 6 mit Sicherheitsschließzylinder mit Lockpicking-, Aufbohr-, Kernzieh-, und Abbrechschutz vor der eine Fußmatte mit dem Schlüssel drunter liegt).
Die schwächste Stelle bei einem Passwortmanager ist aber wohl meist das Zugangspasswort zu diesem selbst. Das sollte man sich ja irgendwie merken können.
Deshalb habe ich da ebenfalls eine Kombination aus Groß- und Kleinbuchstaben garniert mit Zahlen und Sonderzeichen (aber keine Wörter) gewählt. Allerdings hat dieses "nur" 10 Zeichen (siehe oben). Auch dieses Passwort sollte also sehr sicher sein und nicht mit den erwähnten Methoden in realistischen Zeiträumen zu entschlüsseln sein.
Wer einen Passwortmanager verwendet und dort Passwörter wie "Halloichbinsicher" selber eingibt und speichert ist auch selber Schuld.
Ein Passwortmanager ist (auch) dazu da um sichere Passwörter zu generieren. Meine Grundeinstellung ist 20 Zeichen mit allen Möglichkeiten (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen). So ein Passwort ist heutzutage unknackbar. Auch wenn es gestohlen werden sollte.
Wenn diese Passwörter allerdings auf der Gegenseite unzureichend sicher gespeichert werden, ist das Ganze natürlich sinnlos (wie eine Haustüre der Widerstandsklasse RC 6 mit Sicherheitsschließzylinder mit Lockpicking-, Aufbohr-, Kernzieh-, und Abbrechschutz vor der eine Fußmatte mit dem Schlüssel drunter liegt).
Die schwächste Stelle bei einem Passwortmanager ist aber wohl meist das Zugangspasswort zu diesem selbst. Das sollte man sich ja irgendwie merken können.
Deshalb habe ich da ebenfalls eine Kombination aus Groß- und Kleinbuchstaben garniert mit Zahlen und Sonderzeichen (aber keine Wörter) gewählt. Allerdings hat dieses "nur" 10 Zeichen (siehe oben). Auch dieses Passwort sollte also sehr sicher sein und nicht mit den erwähnten Methoden in realistischen Zeiträumen zu entschlüsseln sein.
Formierung ≠ Formatierung
Dem Mann kann geholfen werden.
Verschaffen wir uns also mal einen Überblick über die Struktur mit nur lokal auf einem Benutzergerät gespeichertem Passwort und einem gemanagten Passwort, das von verschiedenen Geräten abgerufen werden kann.
Beispiel.
Rechner mit lokal verschlüsselt abgespeichertem Passwort. Besuch deines Online-Bankkontos. Dein Bankkonto ist online durch eine Zweifaktor-Authentifizierung geschützt. Also das Passwort alleine gewährt noch keinen Zugang, sondern man bekommt zusätzlich eine Bestätigungsabfrage über einen technisch unabhängigen Kanal, zum Beispiel auf's Smartphone.
Ablauf:
Du öffnest ein Browserfenster und wählst als Ziel die URL deiner Onlinebank.
Dein Browser handelt mit dem Server der Onlinebank für den sicheren Transfer von Daten ein Protokoll aus das beide verstehen. Dann handeln sie beide einen Verschlüsselungscode aus.
Ist das passiert tauschen sie von da ab nur noch mit diesem Schlüssel verschlüsselte Daten aus. Man erkennt es daran, dass in der URL-Zeile des Browsers so ein kleines Schloss angezeigt wird.
Dann fragt dein Bankserver nach deinen Zugangsdaten. Sowohl diese Anfrage als auch deine Antworten laufen nun verschlüsselt über das Netz.
Du lässt entweder deinen Browser deine Zugangsdaten aus deinem lokalen Passwortmanager holen, oder holst sie selbst, oder gibst sie auswendig von Hand ein.
Jede App, die in diesen Momenten auf deinem Rechner läuft könnte potenziell sowohl deine Eingaben über die Tastatur(besonders einfach mitzulesen), als auch die Kommunikation zwischen Browser und Passwortapp mitlesen.
Das ist teilweise nicht trivial umsetzbar, aber es gibt Malware, die genau sowas versucht. An irgendeiner Stelle erscheint nämlich dein Zugangsname und dein Passwort im Klartext im Browser.
Dein Browser nimmt deine Zugangsdaten und sendet sie verschlüsselt an den Bankserver. Der prüft die. Das geht etwas anders als im Beispiel mit dem Mailserver, aber da gibt es recht viele Optionen, die trotzdem letztlich darauf basieren, dass geprüft wird ob die hinterlegten Daten korrekt sind. Dann sendet der Bankserver ans Handy die Frage ob du das bist und du bestätigst das. Erst dann erhältst du Zugang.
Wenn du jetzt einen Passwortmanager einsetzt passiert ganz genau der gleiche Ablauf! Da ist kein Unterschied. Deine Zugangsdaten werden dann eben vom Browser, wenn nötig, bei dieser App angefragt. Die hat ebenfalls einen lokalen Speicher aus dem sie die Anfrage dann bedient. Denn der ganze Kram muss ja auch funktionieren wenn man offline ist und mal eben das Passwort für eine App oder eine verschlüsselte Datei braucht.
Sowohl beim eingebauten Passwortmanager deines Computers, als auch bei einem anderen Softwareprodukt mit grösserem Funktionsumfang werden deine Zugangsdaten/Codes verschlüsselt in einer lokalen Datei oder Datenbank abgelegt.
Seit kurzem hat Apple aber seine Verfahren modifiziert: siehe #28
Füher war es etwas anders:
Nur wenn du ein neues Passwort zu deiner App hinzufügst passiert, dadurch ausgelöst, ein Synchronisationsprozess. Dein Passwortmanager sendet an seinen Serviceserver dann eine Meldung dass die lokalen Passworte nicht mehr aktuell sind und dass alle anderen Geräte ggfs. das Update per Synchronisation beziehen können, sobald diese online sind. Oder falls diese online sind wird das Update direkt ausgelöst. Dabei werden lediglich die lokalen Passwortspeicher untereinander abgeglichen. Es ist nie so, dass alle aktuellen Passworte erst auf einem Server landen von wo sich die Geräte dann bedienen. Man macht das so, dass die Daten beim Synchronisieren gar nicht erst zu diesem Serviceserver kommen, sondern direkt zwischen den Geräten ausgetauscht werden, wobei der Serviceserver nur als Moderator dient.
Viele Leute denken unausgesprochen, dass der Einsatz eines Servers für einen geräteübergreifenden Zugangsdatenaustausch gleichbedeutend damit ist, dass alle ihre Zugangsdaten und Codes dann dort lagern und angreifbar sind. Das ist aber nicht der Fall. Da lagert nix. Nichtmal ganz kurz.
Wenn das so funktionieren würde, dann würden sich diese Serverbetreiber nicht nur vermeidbare Kosten ans Bein binden, sondern sich auch juristisch angreifbar machen für den Fall, dass Daten gestohlen werden. Also sorgen sie, wenn sie bei Verstand sind, dafür, dass solche Daten vom Prinzip her erst gar nicht bei ihnen landen.
Es sei denn, sie heissen Meta und werden von Echsen gesteuert und speichern 600 Millionen Zugangsdaten von Kunden im Klartext auf ihren Server. Denen tritt jetzt die EU kräftig in den Arsch. Also sollte man seinem Serverbetreiber auch schon mit Recht vertrauen. Aber wer einen FB Account hat sollte den als Wegwerfprodukt behandeln und sich um die Datensicherheit da wenig Sorgen machen, denn es gibt da fast keine Datensicherheit.
Also ist ein Hackerangriff auf den Server selbst, um da Daten zu stehlen, sinnlos. Es gibt auf dem Server keine Passworte oder Zugangsdaten. Weder verschlüsselte, noch unverschlüsselte.
Was man aber machen kann ist die Kommunikation zwischen den Geräten und dem Server abzuhören. oder den Server so zu hacken, dass Updates von Passworten nicht nur zwischen deinen Geräten statt finden, sondern auf z.B. zusätzlich auch auf einem Fremdgerät das den Hackern gehört. Das ist alles überhaupt nicht trivial weil man da mehrere Lagen von Verschlüsselung durchbrechen müsste. Das sind dann aufwändige Szenarien die enorm viel Zeit, Analyse, Kenntnisse usw. erfordern. Typischerweise machen solche Angriffe nur dazu ausgerüstete Organisationen, eher kein blasser Student im Keller der Oma. Aber auch die sollte man nicht unterschätzen. Jedenfalls lohnt sich so eine komplexe Attacke nur wenn dadurch sehr wertvolle Dinge gestohlen werden können.
Wenn man einen Online-Passwortaustausch über einen Server betreibt und dazu eine Software kauft, oder ob man den eingebauten Kram von Apple benutzt, ist sicherheitstechnisch an sich egal. Weder in der iCloud noch auf dem Server der Firma eines Online-Passwortmanagers sind eigene Daten abgespeichert, die von deren Mitarbeitern oder von Dieben gestohlen werden könnten. Einfach deswegen, weil diese Daten da gar nicht hinkommen und aus Prinzip weder abgefragt noch zwischengespeichert werden.
Allerdings sollte man sich bei einem 3rd Party Passwortmanager vorher mal über das Konzept informieren. Manche speichern nämlich durchaus ab, bzw. machen es so ähnlich wie Apple neuerdings, nämlich etwas anders.
Eine Erhöhung des Risikos findet allerdings dadurch statt, dass Daten öfter durch Kanäle gehen als ohne. Das ist aber in der Praxis nur eine sehr minimale, eher theoretische Risikoerhöhung. Dass man da ein Konto als Benutzer anlegen muss ist natürlich auch eine gewisse Risikoerhöhung.
Leider gibt es aber auch Firmen, die Passwortmanager anbieten, wo die Gier das Hirn gefressen hat, und die diese oben beschriebene Strategie schlecht oder anders und weniger sicher umsetzen.
Im Grunde muss man bei dem Einsatz eines Passwortmanagers generell der Herstellerfirma trauen, egal ob es Apple oder jemand anders zusätzlich ist.
tasuke au - mein fotoblog
Verstehe ich Apple da falsch?
https://support.apple.com/de-de/109016Wenn du die Informationen nicht behältst, sind deine Passwörter und Passkeys auf deinem Gerät nicht mehr verfügbar. Auf den iCloud-Servern wird eine verschlüsselte Kopie deiner Schlüsselbunddaten gespeichert. Wenn du den iCloud-Schlüsselbund wieder aktivierst, werden deine Passwörter und Passkeys wieder mit deinem Gerät synchronisiert.
Nee, du verstehst das richtig. Das neue Konzept ist anders als das alte.
Es gibt da einen Unterschied zwischen iCloud-Keychain und deiner lokalen Keychain. Und es gibt einen Unterschied zwischen Synch und Share, das ist das neuere Feature um anderen Leuten Zugriff auf von dir erlaubte Passworte oder Schlüssel zu geben.
Da schreibe ich gerade noch dran.
Ich hab' gesehen, dass da die Dokumentation bisher Lücken hat und ich deswegen da nicht alle Info (er)klären kann. Also mache ich das mal kürzer. Das Feature zwischen deinen Geräten zu synchronisieren, und zwar nur Geräten, die mit deiner Apple-ID verknüpft sind und ganz anderen Geräten bricht die oben beschriebene Architektur nämlich auf.
Es werden dann zwangsläufig nämlich Daten auf einem iCloudserver abgespeichert. Weil der obige Prozess sich nicht auf fremden Geräten praktikabel umsetzen lässt und man kein Feature hinbekommt, das es ermöglicht die Keychaindaten als Backup für den Fall der Fälle mal abrufbar vorzuhalten. Das sind so die Dinge für die dann doch eine Speicherung nötig wird.
Aber auch dafür gibt es eine Sicherheitslösung. Weil Apple eben Apple ist haben sie sich gedacht die Architektur dafür umzukrempeln. Generell ist das natürlich im Prinzip weniger sicher als ohne Zwischenspeicher, weil es die Anzahl angreifbarer Speicherstellen um eine erhöht, aber das gleiche Problem hat man auch, wenn man sich ein iPad oder ein weiteres iPhone oder einen PC mit iCloud Anbindung zulegt. Es kommt eine weitere Instanz dazu auf der alle Keychains gespeichert sind.
Wie kriegt man jetzt also die Kuh mit dem Server vom Eis? Die Lösung für die Keychain und einige andere sensible Daten heisst Ende-zu-Ende Verschlüsselung. https://de.wikipedia.org/wiki/Ende-zu-E ... hlüsselung
Kurz gefasst: Das, was sonst sowieso als Paket über das Netz verschlüsselt läuft wird auf dem Server zwischengespeichert. Es wird also weder eine Klartextdatei erstellt, was auch nicht geht weil dort der Schlüssel zum Entschlüsseln nicht da ist, und die vorgehaltene Datei selbst wird nochmals mit einer Verschlüsselung gesichert, die abhängig von deinem Gerät und deiner Apple-ID ist. Damit wird sicher egstellt, dass der Zugriff auf die verschlüsselten Daten nur von deinem Gerät und von keinem anderen erfolgen kann, plus es gibt eine Zwei-Faktor Authentifizierung(die man aber anschalten muss) damit auch sicher ist, dass nur du selber da den Zugriff von einem zulässigen gerät aus ausführst.
Dann werden die sozusagen "eingefrorenen" verschlüsselten Datenpakete wieder aufgetaut, bleiben aber natürlich weiter so sicher verschlüsselt wie als sie durch das Netz gegangen sind. Das ist in etwa der Level an Sicherheit wie er einem gewissen militärischen Stand entspricht.
Wir haben hier also ganz andere Verhältnisse als das was ich oben beschrieben habe.
Mal mit, mal ohne Speicherung. Wobei Speicherung sicherer ist als die lokale Speicherung auf deinem Gerät selbst. Denn den dort gespeicherten Datenklumpen kann man nur mit deinem Gerät selbst wieder lesbar machen.
Sicherheitstechnisch ist es so, dass weder Apple noch seine Mitarbeiter oder Gauner, oder Einbrecher etwas mit dem Datenknäuel anfangen können. Grundsätzlich kann man natürlich kryptografisch einen Angriff auf solche Strukturen starten aber der Grad an Komplexität und Zeitaufwand plus zusätzliche Massnahmen zur Beschaffung von Codes, die nur auf deinem Gerät vorhanden sind macht das zu einem Unterfangen das sich viel einfacher umgehen lässt: Man schickt den Einbrecher nicht zu Apple und seiner Serverfarm, sondern zu dir nach Hause und zwingt dir die Infos ab. Das ist viel einfacher und effektiver.
Es gibt da einen Unterschied zwischen iCloud-Keychain und deiner lokalen Keychain. Und es gibt einen Unterschied zwischen Synch und Share, das ist das neuere Feature um anderen Leuten Zugriff auf von dir erlaubte Passworte oder Schlüssel zu geben.
Da schreibe ich gerade noch dran.
Ich hab' gesehen, dass da die Dokumentation bisher Lücken hat und ich deswegen da nicht alle Info (er)klären kann. Also mache ich das mal kürzer. Das Feature zwischen deinen Geräten zu synchronisieren, und zwar nur Geräten, die mit deiner Apple-ID verknüpft sind und ganz anderen Geräten bricht die oben beschriebene Architektur nämlich auf.
Es werden dann zwangsläufig nämlich Daten auf einem iCloudserver abgespeichert. Weil der obige Prozess sich nicht auf fremden Geräten praktikabel umsetzen lässt und man kein Feature hinbekommt, das es ermöglicht die Keychaindaten als Backup für den Fall der Fälle mal abrufbar vorzuhalten. Das sind so die Dinge für die dann doch eine Speicherung nötig wird.
Aber auch dafür gibt es eine Sicherheitslösung. Weil Apple eben Apple ist haben sie sich gedacht die Architektur dafür umzukrempeln. Generell ist das natürlich im Prinzip weniger sicher als ohne Zwischenspeicher, weil es die Anzahl angreifbarer Speicherstellen um eine erhöht, aber das gleiche Problem hat man auch, wenn man sich ein iPad oder ein weiteres iPhone oder einen PC mit iCloud Anbindung zulegt. Es kommt eine weitere Instanz dazu auf der alle Keychains gespeichert sind.
Wie kriegt man jetzt also die Kuh mit dem Server vom Eis? Die Lösung für die Keychain und einige andere sensible Daten heisst Ende-zu-Ende Verschlüsselung. https://de.wikipedia.org/wiki/Ende-zu-E ... hlüsselung
Kurz gefasst: Das, was sonst sowieso als Paket über das Netz verschlüsselt läuft wird auf dem Server zwischengespeichert. Es wird also weder eine Klartextdatei erstellt, was auch nicht geht weil dort der Schlüssel zum Entschlüsseln nicht da ist, und die vorgehaltene Datei selbst wird nochmals mit einer Verschlüsselung gesichert, die abhängig von deinem Gerät und deiner Apple-ID ist. Damit wird sicher egstellt, dass der Zugriff auf die verschlüsselten Daten nur von deinem Gerät und von keinem anderen erfolgen kann, plus es gibt eine Zwei-Faktor Authentifizierung(die man aber anschalten muss) damit auch sicher ist, dass nur du selber da den Zugriff von einem zulässigen gerät aus ausführst.
Dann werden die sozusagen "eingefrorenen" verschlüsselten Datenpakete wieder aufgetaut, bleiben aber natürlich weiter so sicher verschlüsselt wie als sie durch das Netz gegangen sind. Das ist in etwa der Level an Sicherheit wie er einem gewissen militärischen Stand entspricht.
Wir haben hier also ganz andere Verhältnisse als das was ich oben beschrieben habe.
Mal mit, mal ohne Speicherung. Wobei Speicherung sicherer ist als die lokale Speicherung auf deinem Gerät selbst. Denn den dort gespeicherten Datenklumpen kann man nur mit deinem Gerät selbst wieder lesbar machen.
Sicherheitstechnisch ist es so, dass weder Apple noch seine Mitarbeiter oder Gauner, oder Einbrecher etwas mit dem Datenknäuel anfangen können. Grundsätzlich kann man natürlich kryptografisch einen Angriff auf solche Strukturen starten aber der Grad an Komplexität und Zeitaufwand plus zusätzliche Massnahmen zur Beschaffung von Codes, die nur auf deinem Gerät vorhanden sind macht das zu einem Unterfangen das sich viel einfacher umgehen lässt: Man schickt den Einbrecher nicht zu Apple und seiner Serverfarm, sondern zu dir nach Hause und zwingt dir die Infos ab. Das ist viel einfacher und effektiver.
tasuke au - mein fotoblog
Der Sicherheitsvorteil eines PWD-MGR ist m.M.n. der, dass sichere und auch nicht immer die selben Passwörter für die einzelnen Anwendungen vom User verwendet werden.
Niemand gibt ständig ellenlange Passwörter mit allen möglichen Zeichen ein. Selbst das Abtippen von einem Zettel, auf dem man die Passwörter aufgeschrieben hat ist viel zu kompliziert. Und ein Passwort, welches man sich merken kann ist selten sicher.
Niemand gibt ständig ellenlange Passwörter mit allen möglichen Zeichen ein. Selbst das Abtippen von einem Zettel, auf dem man die Passwörter aufgeschrieben hat ist viel zu kompliziert. Und ein Passwort, welches man sich merken kann ist selten sicher.
Formierung ≠ Formatierung
Alles richtig.Stromer hat geschrieben: ↑Sa 28. Sep 2024, 18:19 Der Sicherheitsvorteil eines PWD-MGR ist m.M.n. der, dass sichere und auch nicht immer die selben Passwörter für die einzelnen Anwendungen vom User verwendet werden.
Niemand gibt ständig ellenlange Passwörter mit allen möglichen Zeichen ein. Selbst das Abtippen von einem Zettel, auf dem man die Passwörter aufgeschrieben hat ist viel zu kompliziert. Und ein Passwort, welches man sich merken kann ist selten sicher.
tasuke au - mein fotoblog
- Macmacfriend
- Beiträge: 6791
- Registriert: So 6. Mär 2022, 11:03
- Wohnort: Zwischen Buch- und Weinpresse
@ kate
Deine anschaulichen Erklärungen zu dem Thema würden gut ins How-to passen.
Deine anschaulichen Erklärungen zu dem Thema würden gut ins How-to passen.
Русский военный корабль, иди нахуй!
Wenn du Lust hast, dann kopiere das vielleicht zusammen? Ich mache das sonst demnächst selbst, aber das dauert noch etwas.Macmacfriend hat geschrieben: ↑So 29. Sep 2024, 13:57 @ kate
Deine anschaulichen Erklärungen zu dem Thema würden gut ins How-to passen.
tasuke au - mein fotoblog
Auch mit dem USB-Stick haste nicht zwangsläufig identische pws - wiekommstedenndarauf ??
Spüre ich heraus, dass du hören willst, dass ein PWM sicherer ist, als ein dmg?
Auch das ist eher deine Vorstellung als meine Realität.Niemand gibt ständig ellenlange Passwörter mit allen möglichen Zeichen ein. Selbst das Abtippen von einem Zettel, auf dem man die Passwörter aufgeschrieben hat ist viel zu kompliziert. Und ein Passwort, welches man sich merken kann ist selten sicher.
Kate hat beschrieben, dass das grosse Risiko zunächst bei den login-db sowie beim lokalen key-logging besteht.
Ich hab den Rest so verstanden, dass mit - auch gut - gesicherten pws auf cloud-servern - eine angreifbare Speicherstelle mehr im internt sich tummelt.
@obmat: Es ist nicht gut, wenn Menschen sich Passwörter ausdenken. Da kommen vielfach die selben Zeichen zum Einsatz.
Ein PWDMGR kann sowas wesentlich besser.
Ich kenne meine Passwörter von früher: Die waren nicht sonderlich gut.
Ein PWDMGR kann sowas wesentlich besser.
Ich kenne meine Passwörter von früher: Die waren nicht sonderlich gut.
Formierung ≠ Formatierung
- Swissorion
- Beiträge: 1740
- Registriert: So 6. Feb 2022, 21:47
- Wohnort: ZRH in CH / ALC in ES
Darum verwende ich den Apple Schlüsselbund und lasse mir 16 stellige Passwörter vorschlagen.
Und oh Schreck, ich habe meinen Schlüsselbund auf der iCloud.
Bankpasswörter sind nur in meinem Kopf gespeichert und 2FA gesichert.
Und oh Schreck, ich habe meinen Schlüsselbund auf der iCloud.
Bankpasswörter sind nur in meinem Kopf gespeichert und 2FA gesichert.
iMac 27 late 2015; OS Monterey 12.7.6 // iPad 10.5 Pro 1.Gen.& iPhone 13, iOS 17.6
Kennst du nicht die Geschichte der Sequoia-Indianer in WW 2? (ich hoffe, ich erinnerre mich an den richtigen Stamm)
Im Pazifik wurden diese auf Sender- und Empfängerseite an den Funk gesetzt; haben in ihrer Sprache gemorst, während die Japaner versuchten, diesen Code zu knaclen. AFAIK haben sie es nicht geschafft.
Um dir zu antworten:
du sprichst ja auch nicht Romanisch
und ja: auch da lassen sich einfach Zahlen und Sonderzeichen einbinden.
WW2 ist auch schon paar Tage her Mittlerweile dürfte die Sprache der Sequoia auch in einem Wörterbuch zu finden sein.
Ich halte es da eher wie Stromer, ein Passwortmanager erzeugt mir die Passwörter, weil ich beim ausdenken derselben nicht kreativ genug bin. Dazu kommt noch ein schlechtes Gedächtnis
Masterpasswort ist eine Passphrase mit Zahlen, Sonderzeichen und Groß- & Kleinschreibung, bei der mir das merken leicht fällt.
Ich halte es da eher wie Stromer, ein Passwortmanager erzeugt mir die Passwörter, weil ich beim ausdenken derselben nicht kreativ genug bin. Dazu kommt noch ein schlechtes Gedächtnis
Masterpasswort ist eine Passphrase mit Zahlen, Sonderzeichen und Groß- & Kleinschreibung, bei der mir das merken leicht fällt.
gehn tun tät´s…
Das ist richtig. Bei der Bewertung dieser Tatsache geht es aber los. Du kannst in eine Kette zwo Dutzend neue Kettenglieder einbauen oder zwo Dutzend entfernen, ohne dass die Sicherheit darunter leidet, solange der schwächste Punkt am Schiff oder Anker, oder Bootssteg liegt.
Meistens ist es aber so, dass der Hafenkapitän sowohl die Liegeplatzmiete als auch einen Zweitschlüssel haben will....die Ankerkette ist sowas von uninteressant solange die aus Stahl ist und man den Hafenkapitän nur anrufen muss....
tasuke au - mein fotoblog
- Macmacfriend
- Beiträge: 6791
- Registriert: So 6. Mär 2022, 11:03
- Wohnort: Zwischen Buch- und Weinpresse
Nur zu, wir haben da keine Eile.kate hat geschrieben: ↑So 29. Sep 2024, 16:37Wenn du Lust hast, dann kopiere das vielleicht zusammen? Ich mache das sonst demnächst selbst, aber das dauert noch etwas.Macmacfriend hat geschrieben: ↑So 29. Sep 2024, 13:57 @ kate
Deine anschaulichen Erklärungen zu dem Thema würden gut ins How-to passen.
Русский военный корабль, иди нахуй!
Ein Leben ohne Passwortmanager ist zwar möglich, aber furchtbar lästig,
Auch wenn ich meist „erinnerliche“ Passwörter generieren lasse – Ganze Worte mit Sonderzeichen getrennt – wäre meine digitale Identität ohne diesen Helfer nicht zu verwalten. Ich bezahle die Services von 1Password, will allenthalben irgendwann auf eine Lösung umsteigen, die ich selber hoste.
♥ ♥
Angreifbar sind wir übrigens alle. Ohne Ausnahme. Die entscheidende Frage dabei: wer will an meine Daten. Besteht die Bedrohung aus zufälligen, breit gestreuten Angriffsvektoren oder ist es eine gezielte spear phishing attacke mit maßgeschneidertem zero day exploit. Gegen erstes kann ich mich (begrenzt) schützen. Im zweiten Fall bin ich dem mit entsprechenden Ressourcen ausgestatteten Angreifer letztlich machtlos ausgeliefert. Btw.: Israel ist übrigens ein zuverlässiger Lieferant für allerlei Spyware.
Auch wenn ich meist „erinnerliche“ Passwörter generieren lasse – Ganze Worte mit Sonderzeichen getrennt – wäre meine digitale Identität ohne diesen Helfer nicht zu verwalten. Ich bezahle die Services von 1Password, will allenthalben irgendwann auf eine Lösung umsteigen, die ich selber hoste.
♥ ♥
Angreifbar sind wir übrigens alle. Ohne Ausnahme. Die entscheidende Frage dabei: wer will an meine Daten. Besteht die Bedrohung aus zufälligen, breit gestreuten Angriffsvektoren oder ist es eine gezielte spear phishing attacke mit maßgeschneidertem zero day exploit. Gegen erstes kann ich mich (begrenzt) schützen. Im zweiten Fall bin ich dem mit entsprechenden Ressourcen ausgestatteten Angreifer letztlich machtlos ausgeliefert. Btw.: Israel ist übrigens ein zuverlässiger Lieferant für allerlei Spyware.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Oh the ideology!
Wie ist denn so das Interesse an einem kleinen Erklärbär Essay bezüglich Sicherheit von macOS und von Sicherheitsarchitektur im Allgemeinen? Es gibt da viele Mythen und viel Unverstandenes und viel Bauchgefühl, aber gibt es auch einen Bedarf für etwas Aufklärung und eine kritische Beleuchtung?
tasuke au - mein fotoblog