Passwortmanagement - Geräteübergreifend

Nützliche Programme zu Zeiterfassung, Dokumentenmanagement etc.
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

qds1 hat geschrieben: 7. Jan 2019 08:37 @ReginaSF
Und du denkst wirklich, das sei sicherer? Auch da gilt: Ein Mal deinen Algorithmus verstanden, ist alles geknackt... Ein Mal die Liste aus dem Tresor geklaut...

2 Faktor Authentifizierung bei Keepass ist definitiv sicherer. Plus selbige, wo es nur geht, Plus PW regelmäßig ändern.

Und das lästige Tippen entfällt auch mit einem gute Passwortmanager.
Ja, das ist um Längen sicherer.

Dass jemand bewusst die Liste aus dem Bankschließfach klaut ist um ein vielfaches unwahrscheinlicher als dass ein digitaler Passwort-Safe eine Sicherheitslücke oder der PC einen Trojaner hat, der die Eingabefelder ausliest.

Und zum Thema Algorithmus: Auch da ist ein gezielter und individueller Angriff nötig, es reicht keine Sicherheitslücke und der Algorithmus ist schon so, dass man da nicht durch bloßes automatisiertes Ausprobieren drauf kommt.

Eine 100 %-ige Sicherheit gibt es nicht, nicht mal in der Offline-Welt wenn man nie vom Sofa aufsteht. Man kann es nur so sicher wie möglich machen. Und ein digitaler Passwort-Safe ist weit davon entfernt. Bequem und sicher, das ist noch nie zusammengegangen.


3 Monate gratis Händlerbund
Benutzeravatar
Vio
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3620
Registriert: 14. Dez 2007 19:50
Land: Deutschland
Branche: Versandhandel; gebrauchte und antiquarische Bücher
Wohnort: NRW

Re: Passwortmanagement - Geräteübergreifend

Gestattet ihr mir eine Frage eines DAUs?

Bislang halte ich es ähnlich wie ReginaSF, nur dass ich mir die paar wichtigen Passwörter, die man so hat ohne irgendeinen Algo zu verwenden merken kann (durchaus 20 Stellen wilde Zahlen- u. Sonderzeichenkombinationen, denn sowas zu erinnern, liegt mir einfach, ich hab eher Mühe, sowas wieder zu vergessen).
So: Da ich von Computern u. Technik Null Ahnung habe, würde ich es vermutlich nicht mitbekommen, wenn ich mir eine Spyware einfange, die die Passwörter beim Eintippen mitliest - also was hab ich nun davon? Nix, oder? Was soll man da tun: Einen IT-Beauftragten einstellen, der jeden morgen meinen PC prüft?^^
Und ich glaube, dass Leute wie ich in der Mehrzahl unter den Selbständigen sind, die Zahlen besagen dies zumindest, wenn ich mich richtig erinnere.
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: Passwortmanagement - Geräteübergreifend

Dass jemand bewusst die Liste aus dem Bankschließfach klaut ist um ein vielfaches unwahrscheinlicher als dass ein digitaler Passwort-Safe eine Sicherheitslücke oder der PC einen Trojaner hat, der die Eingabefelder ausliest.
Wenn du die Eingaben per Tastatur machst, können diese sogar einfacher ausgelesen werden, da Keylogger die Tastatureingaben mitschneiden können. Keylogger können bei Keepass nichts ausrichten, denn die Tastatureingaben werden emuliert.
Ein Trojaner, wie von dir angegeben, liest nicht die Felder im Passworttresor aus, sondern die Felder im Browser. Also hast du auch da keinen Gewinn an Sicherheit, wenn du die Logins eintippst.
Das Beste ist natürlich 2-Faktor-Authentifikation, aber das hat nicht jedes System implementiert...

Ich möchte dich nicht von deinem Weg abbringen, nur bestimmte Dinge erklären. Wie du es im Endeffekt machst, bleibt natürlich dir überlassen...
Was soll man da tun: Einen IT-Beauftragten einstellen, der jeden morgen meinen PC prüft?
Das kann man natürlich nicht von jedem Erwarten. Das Wichtigste ist, dass man vernünftig an die Dinge herangeht, wachsam ist und brain.exe nicht ausschaltet :wink: Sich Tipps von externen IT-lern einzuholen, ist auch ab und zu nicht verkehrt.
Bei Unternehmen ab einer bestimmten Größe bzw. mit sehr brisanten Daten, sollte man schon mehr in Sicherheit investieren.
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

qds1 hat geschrieben: 9. Jan 2019 13:29Keylogger können bei Keepass nichts ausrichten,
Stimmt ja nicht. Der Trojaner muss nur etwas intelligenter sein.

Nicht böse sein, ich hab ein paar Jahre meiner bald 25-jährigen Berufserfahrung in einer Firma arbeiten dürfen, die mit Paranoia, sprich IT-Security, ihr Geld verdient hat. Glaub mir bitte, dass ich das schon halbwegs beurteilen kann. Es geht darum, Risiko zu streuen und eben nicht an einem Punkt zu konzentrieren. Denn der Passwort-Safe läuft im Zweifel auf einem kompromittierten System.

Hier bitte außerdem bedenken, dass festplattenverschlüsselnde Schadsoftware erfunden ist und die ganzen schönen und wichtigen Passwörter mit verschlüsselt. Und wer seine Passwörter fröhlich in der Cloud speichert, nun ja, noch ein paar Sicherheitsrisiken mehr.
Zuletzt geändert von ReginaSF am 9. Jan 2019 14:03, insgesamt 2-mal geändert.
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

Vio hat geschrieben: 7. Jan 2019 13:11 Gestattet ihr mir eine Frage eines DAUs?

Bislang halte ich es ähnlich wie ReginaSF, nur dass ich mir die paar wichtigen Passwörter, die man so hat ohne irgendeinen Algo zu verwenden merken kann (durchaus 20 Stellen wilde Zahlen- u. Sonderzeichenkombinationen, denn sowas zu erinnern, liegt mir einfach, ich hab eher Mühe, sowas wieder zu vergessen).
So: Da ich von Computern u. Technik Null Ahnung habe, würde ich es vermutlich nicht mitbekommen, wenn ich mir eine Spyware einfange, die die Passwörter beim Eintippen mitliest - also was hab ich nun davon? Nix, oder? Was soll man da tun: Einen IT-Beauftragten einstellen, der jeden morgen meinen PC prüft?^^
Und ich glaube, dass Leute wie ich in der Mehrzahl unter den Selbständigen sind, die Zahlen besagen dies zumindest, wenn ich mich richtig erinnere.
Sorry, habs gerade erst wieder gelesen.

Das ist ein Problem. Letztlich hilft es schon ein gutes Stück weit,

a) den gesunden Menschenverstand zu gebrauchen (wer z.B. auf jedes pdf klickt oder jede dolle App von irgendwo ausprobieren muss, hat selbigen nicht) - bequem und sicher geht nicht zusammen - und

b) das System und den Virenschutz aktuell zu halten.

Letzterer ist bei weitem auch keine 100 %-ige Sicherheit - im Gegenteil, eigentlich ist sie immer hinten dran -, aber das ist ein Sicherheitsgurt im Auto auch nicht und trotzdem nutzt man ihn. Man hat dann zumindest eine gewisse Chance, dass der was merkt.

Und dann akzeptieren, dass ein gewisses Lebensrisiko dazu gehört - sonst würde man sich ja auch nicht ins Auto setzen. Ein Expertenteam kann das Risiko nur etwas minimieren, aber niemals ausschließen - wie man ja gerade in der Presse lesen kann.
Benutzeravatar
Vio
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3620
Registriert: 14. Dez 2007 19:50
Land: Deutschland
Branche: Versandhandel; gebrauchte und antiquarische Bücher
Wohnort: NRW

Re: Passwortmanagement - Geräteübergreifend

Danke, ReginaSF. Deiner Antwort entnehme ich, dass ich zumindest nichts grundlegend falsch mache (ich nutze F-Secure Internet Security und lasse einmal die Woche Malwarebytes drüberlaufen). Dennoch wäre ich mir halt unsicher, ob ich vor F-Secure und Malwarebytes bemerke, dass was nicht stimmt. Aber ich hoffe, dass die jeweils gängigen Ausspähmethoden für Leute konzipiert sind, die weniger Schutz haben, als ich.

Habe ich das richtig verstanden, dass Du Dein Buchhaltungsprogramm bzw. die Dateien auf einer externen FP aufgespielt hast und diese nur dann einstöpselst, wenn Du dran arbeiten möchtest? Weil: Daswäre ja eine Überlegung wert (und schont die SSD).

Die Frage kam auch auf, weil ich nach PC-Neukauf beim installieren von F-Secure deren kostenlos mitgelieferte Software F-Secure-Key installiert hab und nun am Überlegen war, ob ich das mal austeste.
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: Passwortmanagement - Geräteübergreifend

Nicht böse sein,...
Ach Quatsch, ich bin dir doch nicht böse, wenn du mir auch nicht böse bist, ist ja alles in Ordnung. Wir haben nur unterschiedliche Meinungen und das ist völlig in Ordnung so. Wäre ja sonst langweilig :winken:
Denn der Passwort-Safe läuft im Zweifel auf einem kompromittierten System.
Exakt. Und wenn du auf einem solchen System deine PW eintippst, hast du genauso ein Problem.
Hier bitte außerdem bedenken, dass festplattenverschlüsselnde Schadsoftware erfunden ist und die ganzen schönen und wichtigen Passwörter mit verschlüsselt. Und wer seine Passwörter fröhlich in der Cloud speichert, nun ja, noch ein paar Sicherheitsrisiken mehr.
Deswegen habe ich eine immer aktuelle Liste ausgedruckt im Safe liegen, das mache ich ja sogar wie du. saufen
Und die verschlüsselte Passwortdatenbank habe ich eh auf einem USB-Stick, der nach Feierabend mit in den Safe kommt.

Aber egal, wie gesagt, jeder macht es so, wie er für richtig hält. Jeder, der hier mitliest, kann dann auch entscheiden, was er für besser hält.
Das ist ein Problem. Letztlich hilft es schon ein gutes Stück weit, ...
Dem, was du hier geschrieben hast, stimme ich wiederum zu 120% zu :-y
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: Passwortmanagement - Geräteübergreifend

ich nutze F-Secure Internet Security und lasse einmal die Woche Malwarebytes drüberlaufen
Das Thema ist sicherlich etwas kontrovers. Ich persönlich weiß auch nicht so zu 100%, was ich von externen Antivirussprogrammen halten soll. Hier Links zum selber lesen:

https://t3n.de/news/antivirus-https-ver ... er-794090/

https://t3n.de/news/antivirus-software- ... en-789971/

https://t3n.de/news/security-experten-v ... er-740718/

https://t3n.de/news/sicherheitsluecken- ... ks-727650/

Ich nutze gern Virtuelle Maschinen. So habe ich Daten und produktives Betriebssystem von einander getrennt. Unter Windows habe ich nur den Windows Defender aktiv. Der soll gut genug sein...
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

qds1 hat geschrieben: 9. Jan 2019 14:34
Denn der Passwort-Safe läuft im Zweifel auf einem kompromittierten System.
Exakt. Und wenn du auf einem solchen System deine PW eintippst, hast du genauso ein Problem.
Natürlich. Aber halt nicht alle hübsch aufbereitet auf einmal. Was durchaus die Chance erhöht, dass der Trojaner nicht alles erwischt. Risikostreuung und -verringerung.

Mal ehrlich, das ist Software. Und Software hat Fehler. Viele Fehler, zum Teil ganz haarsträubend. Und nicht jeder Fehler ist dem Hersteller bekannt. Nur weil bisher vielleicht nichts bekannt ist bedeutet das nicht, dass es nicht vielleicht exakt in dieser Sekunde passiert. Wer sich gruseln mag, kann einschlägige Security-Foren suchen und lesen.
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

Vio hat geschrieben: 9. Jan 2019 14:18 Danke, ReginaSF. Deiner Antwort entnehme ich, dass ich zumindest nichts grundlegend falsch mache (ich nutze F-Secure Internet Security und lasse einmal die Woche Malwarebytes drüberlaufen). Dennoch wäre ich mir halt unsicher, ob ich vor F-Secure und Malwarebytes bemerke, dass was nicht stimmt. Aber ich hoffe, dass die jeweils gängigen Ausspähmethoden für Leute konzipiert sind, die weniger Schutz haben, als ich.

Habe ich das richtig verstanden, dass Du Dein Buchhaltungsprogramm bzw. die Dateien auf einer externen FP aufgespielt hast und diese nur dann einstöpselst, wenn Du dran arbeiten möchtest? Weil: Daswäre ja eine Überlegung wert (und schont die SSD).

Die Frage kam auch auf, weil ich nach PC-Neukauf beim installieren von F-Secure deren kostenlos mitgelieferte Software F-Secure-Key installiert hab und nun am Überlegen war, ob ich das mal austeste.
Sagen wir mal so, wenn Du F-Secure von Anfang an installiert und laufen hattest und es aktuell gehalten wurde, dann stehen die Chancen ja gut, dass das auf einem sauberen System angelaufen ist und dann ist das schon ein brauchbares Sicherheitsniveau. Der wöchentliche Scan ist auch gut. Man muss sich aber immer im klaren drüber sein, dass eine Schadsoftware am Virenscanner vorbei arbeiten oder diesen täuschen kann, sobald sie mal an ihm vorbei geschlüpft ist oder eine Schwachstelle ausnutzt.

Meine Buchhaltung läuft bei Datev. Die können auch das mit der Security besser als ich das könnte. Die Daten sind auf der Festplatte, alles andere ist mir zu umständlich. Aber es gilt das alte IT-Motto: "Sichern macht frei". Bei mir wird laufend ein Backup gemacht, auf zwei unterschiedliche Systeme und räumlich getrennt.
Benutzeravatar
Vio
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3620
Registriert: 14. Dez 2007 19:50
Land: Deutschland
Branche: Versandhandel; gebrauchte und antiquarische Bücher
Wohnort: NRW

Re: Passwortmanagement - Geräteübergreifend

Ja, verstehe ich. Ich bin jetzt nicht derTyp, der im Netz auf irgendwelchen seltsamen Seiten surft und ich klicke idR auch nicht hirnlos auf Links. Im Grunde nutze ich den PC zum Arbeiten und das war´s.

Dann hatte ich das mit dem Datev-Stick falsch verstanden. Mir ging es darum, dass man mit gestohlenen Kundendaten erpressbar ist.
ReginaSF
Beiträge: 917
Registriert: 1. Jan 2018 10:09

Re: Passwortmanagement - Geräteübergreifend

Vio hat geschrieben: 9. Jan 2019 16:23 Dann hatte ich das mit dem Datev-Stick falsch verstanden. Mir ging es darum, dass man mit gestohlenen Kundendaten erpressbar ist.
Den braucht man für den Zugang. Quasi wie eine Chipkarte, nur halt als USB.

Das erhöht die Sicherheit, solange alles sicher ist: Passwort ist "wissen", Stick ist "haben", also zwei unterschiedliche Medien. Man kann also alleine mit dem Passwort nichts anfangen, man braucht immer noch zusätzlich das Stück Hardware.
Benutzeravatar
Vio
PLUS-Mitglied
PLUS-Mitglied
Beiträge: 3620
Registriert: 14. Dez 2007 19:50
Land: Deutschland
Branche: Versandhandel; gebrauchte und antiquarische Bücher
Wohnort: NRW

Re: Passwortmanagement - Geräteübergreifend

Ah, erleuchtet! Das kannte ich nicht.
qds1
Beiträge: 553
Registriert: 30. Jun 2016 18:51

Re: Passwortmanagement - Geräteübergreifend

ReginaSF hat geschrieben: 9. Jan 2019 16:08 Natürlich. Aber halt nicht alle hübsch aufbereitet auf einmal. Was durchaus die Chance erhöht, dass der Trojaner nicht alles erwischt. Risikostreuung und -verringerung.

Mal ehrlich, das ist Software. Und Software hat Fehler. Viele Fehler, zum Teil ganz haarsträubend. Und nicht jeder Fehler ist dem Hersteller bekannt. Nur weil bisher vielleicht nichts bekannt ist bedeutet das nicht, dass es nicht vielleicht exakt in dieser Sekunde passiert. Wer sich gruseln mag, kann einschlägige Security-Foren suchen und lesen.
Ich habe unseren Chat hier als Anregung dafür genommen, meine Sicherheitsstrategie nochmal zu überprüfen. Um das Risiko zu streuen, werde ich die PW auf mehrere Datenbanken aufteilen und KeePass so einstellen, dass die Datenbank nach ein Paar Minuten wieder gesperrt wird.
Danke dafür, ReginaSF, so stelle ich mir ein konstruktives Gespräch vor :daumenhoch:

Wir zwei sollten mal unserem Steuerberater Nachhilfe geben, der hat, was Sicherheit angeht, Nachholbedarf, um es mal vorsichtig zu formulieren :-}

Da KeePass OpenSource ist und noch zusätzlich, wie von Xantiva angemerkt, von der EU auditiert wird, gibt es keinen "Hersteller" im eigentlichen Sinne und das Risiko wird nochmals verringert. (jedoch natürlich nicht ausschließt, siehe Heartbleed...)
Antworten

Zurück zu „Office-Programme & Tools“

  • Information