Praktikabilität von Passwortkarten / Alternativen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Praktikabilität von Passwortkarten / Alternativen

Beitrag von uname » 08.01.2018 10:13:48

breakthewall hat geschrieben:Und bis auf SSH, VPN, Onlinebanking, Onlineshopping und Vergleichbares ...
Glaubst du wirklich jemals hat jemand ein Onlinebanking-Passwort erraten? Nach wie vielen Versuchen wird das Passwort gesperrt?
breakthewall hat geschrieben:Allerdings sehe ich stetige Passwortänderungen eher kritisch, weil jede Änderung wieder eine Möglichkeit eröffnet, dass neue Passwort abzugreifen.
Soweit mir bekannt wird mit jeder Passworteingabe das Passwort irgendwo hin übertragen. Wo sollte der Unterschied zu einer Passwortänderung sein? Natürlich könnte man die Hash-Werte auch bereits auf dem Client erzeugen.

Mit der Firefox-Netzwerkanalyse (Entwicklerwerkzeuge) kann man schön sehen, dass die Formulardaten (Benutzer/Passwort) im Debianforum direkt als POST-Parameter übertragen werden. Eine clientseitige Vorabberechnung von Hash-Werten wäre wohl nur mit Javascript möglich. Wird der Debianserver gehackt ist auch das beste Passwort mit der Anmeldung abgegriffen. Wobei auch der Hash-Wert dann nicht hilft ... evtl. in Verbindung mit einem Session-Key. Gilt bestimmt auch für viele andere Webanwendungen. Die Komplexität des Passwortes hilft nur wenig.

Korodny
Beiträge: 704
Registriert: 09.09.2014 18:33:22
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Praktikabilität von Passwortkarten / Alternativen

Beitrag von Korodny » 08.01.2018 15:16:35

buhtz hat geschrieben: ↑ zum Beitrag ↑
08.01.2018 00:49:24
Korodny hat geschrieben: ↑ zum Beitrag ↑
07.01.2018 18:28:05
hast du ja immer noch dein Smartphone
Es soll Leute geben, die haben (ganz bewusst!) keines. Selbst wenn, wäre das wohl einer der denkbar schlechtesten Orte um Passwörter oder ähnliches abzulegen. Dann kann man sie gleich im Klartext auf die Google/NSA-Cloud legen.
Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen? Natürlich gibt's da eine Menge Dinge zu beachten, und man sollte schon drüber nachdenken was man macht - aber ich hätte keinerlei Problem damit, auf meinem LineageOS-Smartphone (ohne jegliche Google-/Facebook-Apps) eine Passwort-Datenbank abzulegen.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: Praktikabilität von Passwortkarten / Alternativen

Beitrag von MSfree » 08.01.2018 15:27:57

Korodny hat geschrieben: ↑ zum Beitrag ↑
08.01.2018 15:16:35
Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen?
wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen? :facepalm:

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Praktikabilität von Passwortkarten / Alternativen

Beitrag von Lord_Carlos » 08.01.2018 15:50:39

MSfree hat geschrieben: ↑ zum Beitrag ↑
08.01.2018 15:27:57
Korodny hat geschrieben: ↑ zum Beitrag ↑
08.01.2018 15:16:35
Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen?
wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen? :facepalm:
Ich vermute mal Korodny will lediglich zum ausdruck bringen das Smartphones nicht der Schlechteste Ort ist eine Passwort Datenbank aufzubewahren. Immer dabei, voll verschluesselt etc.

Einmal Tief ein und wieder Ausatmen :)
Alle mad hier.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

Korodny
Beiträge: 704
Registriert: 09.09.2014 18:33:22
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Praktikabilität von Passwortkarten / Alternativen

Beitrag von Korodny » 08.01.2018 17:12:33

MSfree hat geschrieben: ↑ zum Beitrag ↑
08.01.2018 15:27:57
wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen? :facepalm:
Die "Sicherheit" einer Passwort-Datenbank unter Android dürfte Wesentlich von der installierten Software und der Konfiguration des Smartphones abhängen. Einfachstes Beispiel: Jemandem, der eine der beliebten "kostenlosen" Alternativ-Tastaturen einsetzt, würde ich ganz sicher nicht zur Nutzung einer Passwort-Datenbank auf seinem Smartphone raten... Jemand der Smartphones prinzipiell ablehnt, sollte sich auch eingestehen dass er nicht der erste Ansprechpartner für Fragen zum Thema Sicherheit unter Android sein kann.

Anders ausgedrückt: Wenn ich bezüglich Android komplett paranoid bin, aber unterwegs oder auf Arbeit Zugriff auf Dutzende Passwörter brauche, mache ich folgendes:
  • Sehr altes Handy billig kaufen oder schenken lassen
  • SIM-Karte wegschmeißen und nicht ersetzen
  • LineageOS installieren
  • Zugang zum eigenen WLAN einrichten
  • Passwort-Datenbank installieren, die sich automatisch mit meinem Hauptrechner abgleicht sobald das Handy sich ins W-Lan einloggt.
Jetzt habe ich eine tragbare, Passwort-geschützte Liste aller meiner Logins, die sich sogar selbstständig aktualisiert. Auf Arbeit hänge ich sie immer an irgendein USB-Kabel zum Aufladen, ansonsten liegt das Ding in meinem Rucksack herum. Halte ich für deutlich Praxistauglicher als "Passwort-Karten" anzulegen und mir diverse Schlüsselwörter, Anfangspositionen oder "Pfade" merken zu müssen.

Antworten