Das Forschungsteam konnte Angriffe auf die Passwortmanager dreier populärer Anbieter - Bitwarden, Lastpass und Dashlane - demonstrieren, […]. «Wir waren überrascht, wie gross die Sicherheitslücken sind»,
Anbieter von Passwortmanagern versprechen absolute Sicherheit: Die Daten seien so gut verschlüsselt, dass selbst sie keinen Zugriff darauf hätten. Nun konnten Forschende der ETH Zürich zeigen, dass die verschlüsselten Daten nicht unlesbar sind.
«Das Versprechen lautet, dass selbst wenn jemand auf den Server zugreifen kann, dies kein Sicherheitsrisiko für die Kunden darstellt», sagte Matilda Backendal von der Università della Svizzera italiana in Lugano. «Wir konnten nun zeigen, dass dies nicht stimmt.»
Software bleibt Software und damit wahrscheinlich lückenhaft.
Passwortmanager sind natürlich der Hauptgewinn für jeden Angreifer.
Wenn ich das richtig lese, war Bitwarden aktiv voran gewesen, sich extern testen zu lassen. Dadurch sind 10 “Probleme” aufgetaucht, die nun abgearbeitet werden.
Das gilt auch nur für die Cloud von Bitwarden, richtig?
All die gefunden Probleme wurden erst durch die Cloudnutzung möglich, also das kopieren der höchstsensiblen Daten auf fremde Server.
Auch andere Angriffspunkte sind in Software natürlich immer denkbar, hier geht es aber ausschließlich um die Sicherheitsprobleme von Cloud-Nutzung bei Passwortmanagern.
Die Sicherheit der Cloud wurde überhaupt nicht evaluiert. Im Gegenteil, das Szenario nimmt eine komplette, bösartige und unentdeckte Serverübenahme an um die Ende-zu-Ende-Verschlüsselung zu testen.
Ach, wie sehr liebe ich doch den standard unix password manager… (idealerweise in der eigenen Git-Instanz abgelegt!) Funzt toll auf MacOS, Linux und iOS (und sicher auch Android, aber da habe ich leider keine Erfahrung) und sogar mit “etwas” Mühen auch auf Windows!
Das mag schon sein, aber der ist auf keinen Fall etwas für die Masse, weil, wenn ich das richtig gesehen habe, alles Kommandozeilenbezogen bedient wird.
Wenn jemand mit den üblichen Apps und Fenstern Probleme hat, den bekommst du nie dahin und das muss aber auch die Ausgangsbasis für Überlegungen sein, welche App oder Programm ich der Masse anbieten kann.
Ich kenne aus 12 Jahren 1St Level Support genug Fälle wo, für IT affine Personen einfachste Dinge, eine große Hürde für viele Personen sind.
Deshalb sind Angebote wie diese oben auf jeden Fall richtig und wichtig. Hier muss auf jeden Fall das Thema Sicherheit ganz weit oben stehen
Das denke ich auch. Der “Normaluser” muss ebenfalls etwas an die Hand gegeben werden, um zumindest das Gefühl des Schutzes zu erhalten.
Wenn Unternehmen jährlich Millionen in IT Sicherheit stecken, wie viel Sicherheit kann dann ein Otto Normal Verbraucher selbst errichten / einrichten / schaffen?
Eventuell mehr, als man auf Anhieb vermuten möchte. Unternehmen, insbesondere große Konzerne, agieren oft innerhalb eines bestimmten Rahmens (z.B. Ideologien, juristische Auflagen, technische Notwendigkeiten, betriebswirtschaftliche Wünsche — die im konkreten Einzelfall nicht immer nachvollziehbar und/oder sinnvoll sein müssen…!). Da bist Du als Privatperson i.d.R. freier in Deiner Gestaltung. Eventuell hast Du emotionale Bedürfnisse oder persönlichen Arbeitsaufwand — aber in der prinzipiellen Gestaltung bist Du recht frei und hast viele — darunter auch tatsächlich gute (die man freilich manchmal suchen und finden muss!) — Möglichkeiten.
Ja ernsthaft!
Beispiel: Benutze ich keine PIN bei meiner Bank / Smartphone / Software = Gefühl der Unsicherheit. Im Gegenzug, nutze ich den PIN bei meiner Bank / Smartphone / Software = gefühlte Sicherheit. Ja, das ist subjektiv und ist das persönliche Empfinden vom Otto Normal Nutzer.
Durchaus bin ich flexibler und zügiger in meinen eigenen Entscheidungen.
Deswegen führte mich der Weg hierher
Ja, die Bedienung ist vollständig auf der Konsole möglich.
Aber für Linux ist mit qtpass auch eine GUI verfügbar, die im Standalone-Betrieb keinen Einrichtungsaufwand nach sich zieht.
Auf Android können mit password-store nach dem selben Prinzip (gnuPG-Verschlüsselung) Kennwörter ebenfalls grafisch und standalone ohne aufwand verwaltet werden.
Auch die Synchronisierung ohne (Syncthing u.ä.) bzw. mit Cloudnutzung (Nextcloud u.ä.) ist möglich - da steigen aber vermutlich die ersten Anwender aus.
Für die Nutzung über verschiedene Endgeräte bieten Lösungen wie Bitwarden/Vaultwarden schon unschlagbare Vorteile. Wie immer eine Abwägung zwischen Komfort und Sicherheit.
Und ein aus Power-User-Sicht wenig sicherer Passwortmanager ist immer noch besser als gar keiner, gerade für Leute bei denen das Thema nicht so präsent ist.
Entschuldige bitte, aber das von dir beschriebene Scenario hat nichts mit “gefühlt” zu tun. Vielmehr ist die Nutzung eines PIN im Vergleich zur Nichtnutzung belegbar sicherer. Und wenn ein PIN genutzt wird ist sogar die “Stärke” der Sicherheit belegbar (Anzahl der Stellen und Wahl der Zeichen → PIN Stärke).
Ein „PIN“ mit Zeichenvorrat [0-9] und Stringlänge 4 ist natürlich nichts, was einen „guten“ kryptographischen Faktor hervorbringt (Entropie!). Aber ja, nachweislich sicherer als ganz ohne!
Und bei der individuellen „Stärke“ gilt natürlich: kein „0000“, „1234“, „4444“, „0101“, „3112“, oder das persönliche Geburtsdatum oder Jahrgang (bzw. von Angehörigen). Aber selbst abzüglich dieser Varianten bewegt man sich immer noch in der Größenordnung 10⁴ (die für sich genommen überhaupt nicht gut ist — aber durch Abzug der Größenordnung 10¹ bis 10² zumindest kaum geschmälert ist!).
Mir ging es nicht um die Stärke eines PIN. Ich bezog mich darauf das die Sicherheit bei der Nutzung eines PIN nichts mit “gefühlt” zu tun hat. Die Nutzung eines PIN ist nachweislich ein Sicherheitsgewinn. Und die Stärke des PIN lässt sich wie von dir beschrieben auch ganz eindeutig bestimmen. Da ist nicht subjektives wie ein “Gefühl” im Spiel.
Ersteres stimme ich Dir uneingeschränkt zu (“breite Masse”), aber für pass gibt es auch schicke GUIs (deren Installation und Einrichtung aber mitunter wieder unter Punkt 1 fallen):
Funzt toll auf MacOS, Linux und iOS (und sicher auch Android, aber da habe ich leider keine Erfahrung) und sogar mit “etwas” Mühen auch auf Windows!
)