Ich hab nen trash Kennwort: Das würd schon 25 geklaut laut der Website und ist wirklich nur für alles unwichtige. Dann hab ich standartpasswortteile soll möglich nicht geklaut werden, ist aber auch nicht schlimm, wenn. Und dann hab ich 44 Zeichen, zufallsgenerierten Passwörter für Banken, E-Mail etc. Da könnt man mich auch foltern und käme nicht dran 😅 Was ich mich nur Frage: Was ist, wenn der Passwortmanager gehackt wird? Wie sicher ist es dann noch? Wäre ja dann auch nen interessantes Ding zu hacken, wenn es viele machen? Bei Passwortmanagern nervt mich noch nen bisschen, dass es oft keinen PC Client gibt, sodass ich über den Browser das Passwort kopieren muss. Das find ich ungünstig und frag mich, wie es bei Viren auf dem PC aussehen würde, denn Copy und Paste wäre ja nicht mehr verschlüsselt. Außerdem packt mein Handy mit der App oft Rum, sodass es auch hier öfter zu Copy and Paste gegriffen werden muss
Deine Passwortstrategie klingt schon mal nicht schlecht 👍 Persönlich würde ich dennoch bei dem unwichtigen Passwort handeln... Bei einem Passwortmanager gibt es zwei "must haves" 1. er muss nach dem Zero Trust Prinzip arbeiten 2. das Passwort für den Safe ist die größte Schwachstelle Zero Trust bedeutet das alles in diesem Passwortmanager was kritisch ist vor allem Passwörter/ Passkeys, Idealerweise aber auch URLs Benutzernamen,... so verschlüsselt sind das nur mit dem korrekten Schlüssel diese Wiederherstellbar sind. Das hat auch zur Konsequenz das wenn der Schlüssel weg ist - auch alles Passwörter weg sind, Stand heute sind die dann nicht wieder herstellbar. Zero Trust bedeutet im Detail noch wesentlich mehr - das habe ich jetzt mal außen vor gelassen. Zu den mir bekannten zählen hier Bitwarden, Vaultwarden und 1Password. Bei solchen Passwortmanagern ist also der Diebstahl der Daten selbst bei einem guten Kennwort relativ unbedenklich. Relativ weil wir natürlich heute nicht wissen was in 5 Jahren ist, wird KI oder Quantencomputer ggf. Lösungen bzw. Schwachstellen auf den eingesetzten Verschlüsselungsalgorithmus finden? Wenn ja könnte es sein das in naher Zukunft dann diese Kennwörter doch zugänglich werden. Man kann davon ausgehen das erbeutete Passwortsafes "aufgehoben" werden für einen solchen Moment. Kritisch ist wie du schon korrekt ansprichst, was ist mit der Zwischenablage, bzw. noch konkreter mit dem Arbeitsspeicher, dort sind diese Kennwörter ggf. auch weitere zum Zugang notwendigen Informationen zwangsweise entschlüsselt vorhanden. Angriffe auf den Speicher durch CPU Bugs sind hier eins der größten Risiken. Jedoch sind diese auch idR sehr komplex und werden durch entsprechende Microcode Patches beseitig. Technisch kann man sich davor kaum schützen - man könnte den Passwortmanager trennen, also ein anderes Gerät nutzen und keine URLs bzw. Programmnamen speichern um es weiter zu isolieren. Jedoch muss man hier wohl für sich selbst entscheiden. Es bleibt ein nahezu unvermeidbares Risiko das kurzfristig Passwörter etc. im Arbeitsspeicher bzw. in der Zwischenablage verweilen, hier gibt es oft die Option die Dauer zu beschränken. Technisch ist ein solcher Angriff eher unwahrscheinlich jedoch nicht undenkbar und damit auch nicht unmöglich... One Time Passwords können hier noch eine zusätzliche Ebene schaffen wenn sie physikalisch getrennt sind, z.B. per SMS, externer FIDO Stick, etc... Bitwarden als Beispiel gibt es auch als PC Software. Hoffe meine Antwort hat dich weitergebracht
Da gebe ich dir vollkommen recht. Jeder muss aber hierbei selbst für sich entscheiden ob man dem Browserhersteller die "Hoheit" über seine Kennwörter überlassen möchte,...
Wir haben am WE bekannte Hashlisten attackiert - Video kommt noch, da waren auch ein paar interessante Passwörter dabei :D Ich vermute wegen ein paar davon muss sogar gepixelt werden,...
@@ITanderBar sehr cool! wenn du da schon dabei bist, bei manchen Passwortmanagern wie z.B. Bitwarden oder Proton Pass gibt es ein Feature, dass der solche Listen durhcgeht und checkt, od man betroffen ist. wär vielleicht ne coole stelle, um das auch zu zeigen ;)
Es ist leider immer noch schockierend, wie fahrlässig selbst in Firmen agiert wird . Dankeschön für das Video.
Das stimmt 😊
Ich hab nen trash Kennwort: Das würd schon 25 geklaut laut der Website und ist wirklich nur für alles unwichtige.
Dann hab ich standartpasswortteile soll möglich nicht geklaut werden, ist aber auch nicht schlimm, wenn.
Und dann hab ich 44 Zeichen, zufallsgenerierten Passwörter für Banken, E-Mail etc. Da könnt man mich auch foltern und käme nicht dran 😅
Was ich mich nur Frage: Was ist, wenn der Passwortmanager gehackt wird? Wie sicher ist es dann noch? Wäre ja dann auch nen interessantes Ding zu hacken, wenn es viele machen?
Bei Passwortmanagern nervt mich noch nen bisschen, dass es oft keinen PC Client gibt, sodass ich über den Browser das Passwort kopieren muss. Das find ich ungünstig und frag mich, wie es bei Viren auf dem PC aussehen würde, denn Copy und Paste wäre ja nicht mehr verschlüsselt. Außerdem packt mein Handy mit der App oft Rum, sodass es auch hier öfter zu Copy and Paste gegriffen werden muss
Deine Passwortstrategie klingt schon mal nicht schlecht 👍
Persönlich würde ich dennoch bei dem unwichtigen Passwort handeln...
Bei einem Passwortmanager gibt es zwei "must haves"
1. er muss nach dem Zero Trust Prinzip arbeiten
2. das Passwort für den Safe ist die größte Schwachstelle
Zero Trust bedeutet das alles in diesem Passwortmanager was kritisch ist vor allem Passwörter/ Passkeys, Idealerweise aber auch URLs Benutzernamen,... so verschlüsselt sind das nur mit dem korrekten Schlüssel diese Wiederherstellbar sind. Das hat auch zur Konsequenz das wenn der Schlüssel weg ist - auch alles Passwörter weg sind, Stand heute sind die dann nicht wieder herstellbar. Zero Trust bedeutet im Detail noch wesentlich mehr - das habe ich jetzt mal außen vor gelassen.
Zu den mir bekannten zählen hier Bitwarden, Vaultwarden und 1Password.
Bei solchen Passwortmanagern ist also der Diebstahl der Daten selbst bei einem guten Kennwort relativ unbedenklich. Relativ weil wir natürlich heute nicht wissen was in 5 Jahren ist, wird KI oder Quantencomputer ggf. Lösungen bzw. Schwachstellen auf den eingesetzten Verschlüsselungsalgorithmus finden? Wenn ja könnte es sein das in naher Zukunft dann diese Kennwörter doch zugänglich werden. Man kann davon ausgehen das erbeutete Passwortsafes "aufgehoben" werden für einen solchen Moment.
Kritisch ist wie du schon korrekt ansprichst, was ist mit der Zwischenablage, bzw. noch konkreter mit dem Arbeitsspeicher, dort sind diese Kennwörter ggf. auch weitere zum Zugang notwendigen Informationen zwangsweise entschlüsselt vorhanden. Angriffe auf den Speicher durch CPU Bugs sind hier eins der größten Risiken. Jedoch sind diese auch idR sehr komplex und werden durch entsprechende Microcode Patches beseitig. Technisch kann man sich davor kaum schützen - man könnte den Passwortmanager trennen, also ein anderes Gerät nutzen und keine URLs bzw. Programmnamen speichern um es weiter zu isolieren. Jedoch muss man hier wohl für sich selbst entscheiden.
Es bleibt ein nahezu unvermeidbares Risiko das kurzfristig Passwörter etc. im Arbeitsspeicher bzw. in der Zwischenablage verweilen, hier gibt es oft die Option die Dauer zu beschränken. Technisch ist ein solcher Angriff eher unwahrscheinlich jedoch nicht undenkbar und damit auch nicht unmöglich...
One Time Passwords können hier noch eine zusätzliche Ebene schaffen wenn sie physikalisch getrennt sind, z.B. per SMS, externer FIDO Stick, etc...
Bitwarden als Beispiel gibt es auch als PC Software.
Hoffe meine Antwort hat dich weitergebracht
Vorallem, wenn jeder gängige Browser einen Integriert hat, ist das absolut trivial.
Da gebe ich dir vollkommen recht.
Jeder muss aber hierbei selbst für sich entscheiden ob man dem Browserhersteller die "Hoheit" über seine Kennwörter überlassen möchte,...
@@ITanderBar absolut, wäre aber besser als "Fifi2015!" Überfall zu benutzen... Was übrigens ein Passwort ist, dass ich so ähnlich schon gesehen hab.
Wir haben am WE bekannte Hashlisten attackiert - Video kommt noch, da waren auch ein paar interessante Passwörter dabei :D
Ich vermute wegen ein paar davon muss sogar gepixelt werden,...
@@ITanderBar sehr cool!
wenn du da schon dabei bist, bei manchen Passwortmanagern wie z.B. Bitwarden oder Proton Pass gibt es ein Feature, dass der solche Listen durhcgeht und checkt, od man betroffen ist. wär vielleicht ne coole stelle, um das auch zu zeigen ;)
Klasse Idee danke 👍