Mail geknackt?

Also die Frage ist doch was bedeutet "Sicherheit" in diesem Zusammenhang?

1. Die Daten (UserIds und Passworte) müssen nach anerkannten und verifzierten Verfahren der Kryptographie verschlüsselt sein.
2. Der Password Manager darf nicht "nach Hause telefonieren" und die ihm anvertrauten Daten einem Dritten übermitteln.

Beides kann durch Überprüfung des Programmcodes verifiziert werden. Der Grundgedanke von OpenSource ist eben diese Verfizierung durch die Allgemeinheit.

 

Es gefällt mir ein eigener Zufallsgenerator aber wirklich besser.
Ein konstantes Shema wird sich noch schlechter erkennen lassen, wenn ich unter verschiedenen "Tageslaunen" diese erstelle.

Entschuldige. Der Satz ist ein wenig paradox, ich meine widersprüchlich.

Obskur vs. prüfbar

UND oder ODER ?

 

Das Verfahren durch das deine Daten sicher sind muss überprüfbar sein, Deine Daten sollen geheim sein. Ist das Verfahren nicht offengelegt, weil der Hersteller meint schlauer zu sein als alle Kryptographen der letzten Jahrhunderte, ist sein Verfahren obskur, und nicht überprüfbar.

Was ist daran widersprüchlich?

 

Ich empfehle mal als Lektüre dieses Buch, ist m.E. ganz spannend zu lesen und es beruht auf Tatsachen https://www.amazon.de/Kuckucksei-Fischer-Taschenbücher-Clifford-Stoll/dp/3596139848

 

Eben! Die Kryptographen sind bekannt. Wenn so einer prüft und überascht nicht sofort durchkommt hinterfragt er das System der Neuheit.
Ich erkläre es ihm und bin nicht mehr sicher.
Trotzdem werden immer wieder neue Songs veröffentlicht. Leider Mehrheitlich durch abkupfern. Ab und zu setzt sich wieder eigenes durch.

 

sorry, jetzt verstehe **ich** nur Bahnhof

 

Hier ein Artikel der die Vor- und Nachteile bei Einsatz eines Passwort Managers diskutiert: https://www.security-insider.de/password-manager-nein-danke-a-689795/

 

Die Sache ist eher andersrum. Ein Nicht-Kryprograph erfindet ganz neu das ultimative Verschlüsselungssystem - natürlich nach einem streng geheimen Verfahren.
Wird dann ein Kryptograph auf die Sache losgelassen knackt er das ganze in wenigen Minuten - das ist oft genug passiert

 

Wir müssen aber Aufpassen das wir unterschiedliche Dinge - Kryptographie (also Verschlüsselung von Daten zur Wahrung von Vertraulichkeit und Integrität (Unveränderbarkeit)) und die Wahl eines sicheren (= nicht erratbaren) Passwortes nicht vermengen.

 

Völlig richtig. Deshalb besteht der beste Passwordmanager aus Papier und Bleistift.

 

Wenn denn das Verfahren sicher ist Liegt der Zettel offen auf dem Schreibtisch (Verfahren nicht sicher, keine Verschlüsselung der Daten) kann jeder der vorbei geht Dein Passwort ausspähen
Legst Du den Zettel in eine Stahlkassette und hast den Schlüssel fest an Deinem Schlüsselbund, dann ist das Verfahren sicherer, aber auch weniger bequem

 

Natürlich überlegt man, wo man den Zettel ablegt (vorzugsweise post-it am Bildschirm).
Aber in meinem Haus gibt es deutlich weniger Halunken als im Internet (hoffe ich jedenfalls).
Klartextdatei (passwords.txt) auf dem Rechner ist sicherlich der worst case.
Ein geknackter Password-Manager offenbart gleichzeitig ALLE gespeicherten Pws !

 

Ich hoffe ich nerve Euch mit der Diskussion nicht, ich möchte das Ganze noch mals etwas anders beleuchten:

Unerratbare Passwörter - warum ist das wichtig? - Nun, damit sie nicht einfach erraten werden können.

Das unerratbare Passwort wird bei einem Diensteanbieter gespeichert, er muss ja bei einem Zugriff auf den Dienst verifzieren können dass man ein autorisierter Benutzer des Dienstes ist.
Das unerratbare Passwort wird also beim Diensteanbieter gespeichert. Diese Speicherung muss auf sichere Art und Weise geschehen. Warum?

Früher oder später wird beim Diensteanbieter eingebrochen. Hat er mein Passwort im Klartext gespeichert ist alle Unerratbarkeit vergebens, der Einbrecher kann es einfach lesen.
Ist es verschlüsselt, mus der Einbrecher weiteren Aufwand treiben um an das Passwort zu kommen, Ziel ist es diesen Aufwand so hoch zu treiben das es nicht mehr wirtschaftlich ist (es geht hier immer nur um Geld). Bei den Passwortlisten um dies es in diesem Thread ursprünglich ging, hatte der Diensteanbieter (viele Diensteanbieter!) geschlampt, die Passworte waren leicht auszulesen...

Weil so etwas immer wieder passieren wird, ist es sinnvoll viele unerratbare Passworte zu benutzen. Fällt einem Kriminellen ein unerratbares Passwort in die Hände, dann eben nur das eine für den einen Dienst.

Wie man für sich selber diese vielen unerratbaren Passworte verwaltet, bleibt natürlich jedem selbst überlassen

 

Putzfrau, Wäremzählerableser, Einbrecher, Freund der Kinder, es gibt viele die da ein und ausgehen die nicht unbedingt vertrauenswürdig sind.

 

Korrekt, das ist die Gefahr, keine Abrede hierzu

 

Das wären vier potentielle Halunken, deutlich weniger als im Internet.
Dazu kann man sich Passendes überlegen.

 

Ja, eben nur keinen Post-It am Bildschirm - das ist klassisch

Eben so diese Anektode die mir selbst passiert ist: In dem Rechnezentrum einer großen deutschen Versicherung. Auf die Frage nach dem Passwort für ein System, das ich für meine Arbeit benötigte war die Antwort: "Das Passwort ist 'Geheim'".

 

und noch ein Gedanke hierzu:
Das Hauptrisiko ist möglicherweise nicht die Software des PW-M.
(das kann bei open-source relativ klein sein, falls das wirklich jemand kontrolliert)
sondern die eigene Unzulänglichkeit
(post-it mit dem General-PW am Bildschirm. etc.)

 

So viel weniger bequem ist es kaum, wenn man ein aktiver Mensch ist.
Man merkt sich das nach MuhamedAli wann man die letzte male jemanden paar aufs Maul hieb. Wem? Also Zahl und Wort.
Schönste Melodie und die ersten zwei Takte. cd gh aaa bh...
Wenn Du in der falschen Tonart liegst, erräts Du es nie!
Musiker mit einem andren Hauptberuf knackt man wohl eher nicht.
So unsichtbar sind wir eh schon lange nicht mehr.

Dass Kryütographen auch noch Geld für ihre Arbeit bekommen...

Warum glaubst Du laufen mehr Menschen der Musik zu, die den Glauben an Technik täglich verlieren?

 

So viel weniger bequem ist es kaum, wenn man ein aktiver Mensch ist.
Man merkt sich das nach MuhamedAli wann man die letzte male jemanden paar aufs Maul hieb. Wem? Also Zahl und Wort.
Schönste Melodie und die ersten zwei Takte. cd gh aaa bh...
Wenn Du in der falschen Tonart liegst, erräts Du es nie!
Musiker mit einem andren Hauptberuf knackt man wohl eher nicht.
So unsichtbar sind wir eh schon lange nicht mehr.

Dass Kryütographen auch noch Geld für ihre Arbeit bekommen...

Warum glaubst Du laufen mehr Menschen der Musik zu, die den Glauben an Technik täglich verlieren?