WinFuture-Forum.de: fragen Passwort Manager - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

fragen Passwort Manager Passwort Manager


#1 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 13:34

Hallo,

Habe mal eine frage zu Passwort Manager dazu muss ich aber weiter ausholen.

mein PayPal Konto wurde gehackt und versucht eine Zahlung zu tätigen da es von einem Fremdcomputer war hat PayPal aus Sicherheitsgründen mein Konto vorerst gesperrt, kurz darauf wurde über mein Internetprovider 2 Handyverträge mit Iphone X abgeschlossen dies habe ich wieder storniert, da ich es ja nicht bestellt habe.

Nun hat mir mir Internet Provider empfohlen ein Passwort Manager zu besorgen und auch meine ganzen Passwörter zu ändern und in den Passwort Manager zu speichern, das habe ich jetzt alles gemacht.

Meine Frage ist nun beim Passwort Manager braucht man sich ja nur noch ein Passwort zu merken ( Master Passwort)
wie wahrscheinlich oder unwahrscheinlich ist es das ein Hacker das Master Passwort von meinem Passwort Manager herausfindet denn darin sind ja jetzt meine ganzen Passwörter etc. gespeichert.
0

Anzeige



#2 _Osmodia_

  • Gruppe: Gäste

geschrieben 12. August 2018 - 13:47

Das kann dir wohl keiner beantworten. Wie ist der Hacker denn zuvor an dein PayPal-Passwort gekommen?
0

#3 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 12. August 2018 - 13:54

Beitrag anzeigenZitat (iron-man75: 12. August 2018 - 13:34)

wie wahrscheinlich oder unwahrscheinlich ist es das ein Hacker das Master Passwort von meinem Passwort Manager herausfindet denn darin sind ja jetzt meine ganzen Passwörter etc. gespeichert.

1: je komplexer und laenger das Passwort ist, desto unwahrscheinlicher.
2: Wenn dein Passwortmanager offline ist, also kein Cloudgestuetzter PW-Manager, dann ist es extrem unwahrscheinlich, dass jemand dein Passwort knackt, es sei denn, der/diejenige hat Zugang zu deinem Computer.

2b: benutzt du einen Cloudbasierten Passwortmanager, dann liegen deine Daten irgendwo auf einem fremden Computer, den du nicht unter Kontrolle hast. Damit sind deine Passwoerter bereits in der Sekunde, wo du sie gespeichert hast, als kompromittiert zu betrachten.

3: Als Ergaenzung zu Osmodias Beitrag:
Ueberlege dir, wie jemand an dein Master-Passwort kommen koennte. Beliebte Fehler sind:
- Name von Haustier, Freund/Freundin/Ehepartner/sonstige Verwandte
- Datumswerte, die dir irgendwas bedeuten
Solche Passwoerter zu ermitteln, ist fuer jemanden, der dich naeher kennt, ein leichtes (Stichwort: Social Engineering)
3b: ueberlege dir, wer an deinen Passwortsafe (offline) drankommen kann.

Dieser Beitrag wurde von Sturmovik bearbeitet: 12. August 2018 - 13:57

«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#4 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 14:58

@Sturmovik oder jemand anders

was ist damit genau gemeint kenne mich zu wenig aus?

2: Wenn dein Passwortmanager offline ist, also kein Cloudgestuetzter PW-Manager, dann ist es extrem unwahrscheinlich, dass jemand dein Passwort knackt, es sei denn, der/diejenige hat Zugang zu deinem Computer.

2b: benutzt du einen Cloudbasierten Passwortmanager, dann liegen deine Daten irgendwo auf einem fremden Computer, den du nicht unter Kontrolle hast. Damit sind deine Passwoerter bereits in der Sekunde, wo du sie gespeichert hast, als kompromittiert zu betrachten.

Also ich benütze Kaspersky Password Manager ist der nun sicher oder nicht?
0

#5 Mitglied ist offline   Sturmovik 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.776
  • Beigetreten: 10. Januar 08
  • Reputation: 445
  • Geschlecht:unbekannt
  • Wohnort:In Reichweite der Kaffeemaschine
  • Interessen:IT, Luftfahrt, historische Technik

geschrieben 12. August 2018 - 15:42

Ganz einfach. Es gibt im Grunde zwei Typen von Passwortmanagern, die sich in einer Kernfrage unterscheiden:
Wo werden deine Passwoerter gespeichert, auf DEINEM Computer, oder auf einem FREMDEN Computer (Cloud)

Grade mal gegoogelt, Kasperky wirbt damit, dass die Passwoerter auf einem Cloudspeicher abgelegt werden.
Wenn du der Firma Kaspersky vertraust, dann mag das sicher sein.
«Geschichte wiederholt sich nicht, aber sie reimt sich» (Mark Twain)

Unix won't hold your hand. You wanna shoot your foot, Unix reliably delivers the shot.

True Cloudstorage
0

#6 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 15:48

Danke @ Sturmovik
@ Osmodia das würde ich auch gerne wissen wie der daran gekommen ist.

Dieser Beitrag wurde von iron-man75 bearbeitet: 12. August 2018 - 15:49

0

#7 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 12. August 2018 - 15:54

Wie schon erwähnt:

Dein Rechner darf nicht kompromittiert sein
Das MASTER-Passwort sollte stark gewählt werden und nur dir bekannt sein
Der Manager sollte offline sein
Der Manager sollte an keine anderen Produkte gebunden sein
Die Key-Datenbank sollte brauchbar verschlüsselt sein

KeePass wäre eine Option. Schlussendlich ist nichts unknackbar.

Beitrag anzeigenZitat (iron-man75: 12. August 2018 - 13:34)

mein PayPal Konto wurde gehackt und versucht eine Zahlung zu tätigen da es von einem Fremdcomputer war hat PayPal aus Sicherheitsgründen mein Konto vorerst gesperrt, kurz darauf wurde über mein Internetprovider 2 Handyverträge mit Iphone X abgeschlossen dies habe ich wieder storniert, da ich es ja nicht bestellt habe.


wieso muss ich hier an Phsishing-Mails denken? Wenn das so ist bringt dir der beste Passwortmanager nichts.

Es ließt sich so als seist du auf die wohl älteste Masche reingefallen. Alarmzeichen sind "Fremdcomputer" "Aus sicherheitsgründen Konto gesperrt", vermutlich direkt mit Link dazu dass du dich wieder anmelden sollst?

In diesem Falle solltest du dein Sicherheitskonzept tunigst überdenken.
2

#8 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 16:35

nein nicht per Mail kam das sondern PayPal hatte mich persönlich angerufen, da ich mir unsicher war ob es wirklich PayPal ist meinte der Mitarbeiter ich soll zurück rufen und nach ihm verlangen.
0

#9 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 12. August 2018 - 17:05

Noch besser. Iron... da bist du mit ziemlicher Sicherheit jemand gehörig auf dem Leim gegangen....
2

#10 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 17:26

So noch eine andere Frage wegen Passwort Manager

Meine Frau sitzt als länger am PC wenn sie jetzt das Master Passwort eingegeben hat ist ja der Manager offen wo die ganzen Passwörter darin erhalten sind wenn sie jetzt z.B. ihre Email anklickt muss sie sich danach vom Manager gleich wieder ausloggen oder kann sie denn dann auch länger geöffnet lassen wenn sie noch mehrere Sachen im Internet schauen möchte, bis sie fertig ist?
0

#11 _d4rkn3ss4ev3r_

  • Gruppe: Gäste

geschrieben 12. August 2018 - 18:10

Ich habe den Thread nur überflogen aber scheinbar wurde kein Passwort-Manager genannt.
https://keepass.info ist das Non-Plus-Ultra.

Man kann damit die Datenbank wie folgt absichern:
Passwort und/ oder Schlüsseldatei und/ oder Verknüpfung mit dem eingeloggten Windows-Konto und/ oder Nutzung mit Nitrokey bzw erweiterten Support für Yubikey.

Wenn du ein gutes Passwort und eine Schlüsseldatei nutzt, ist das schon recht sicher.
Um den besten Schutz zu bekommen, nutzt man einen Yubikey und koppelt den mit der Datenbank (Achtung!: Man sollte noch Zugriff auf die Datenbank haben, falls der Yubikey kaputt/ verloren geht. Lösbar durch einen zweiten Yubikey oder durch Backups. Es gibt glaub auch einen "Erste-Hilfe-Code" für Nutzung von dem Yubikey)

Nun kann aber natürlich ein Angreifer der deinen PC kompromitiert hat, sich deine Datenbank holen und mittels Systemüberwachung sieht er auch welche Schlüsseldatei du nutzt.
Aber das Passwort kann er nicht auslesen, insofern du dieses Feature aktiviert hast: https://keepass.info...b/sec_desk.html
Dann könnte er natürlich die Passwörter noch via Keylogger auslesen, die durch mittels KeePass auf den jeweiligen Seiten kopierst. Dies wird erschwert insofern man dieses Feature aktiviert: https://keepass.info...bfuscation.html

Ganz wichtig ist noch das du die Datenbank niemals irgentwo hochlädst! Und falls doch, zumindest nicht die Schlüsseldatei. Besser ist es aber auf eine Cloud-Synchronisation egal welcher Art zu verzichten.

Und um das ganze noch abzurunden:
Nutze 2-Faktor wo es geht!
Für Android: die App "andOTP" aus F-Droid
Für Windows: WinAuth (Entwicklung wurde eingestellt!)
Wichtig: Niemals die 2FA Daten auf dem selben Gerät speichern wo die Passwörter sind. Sonst hat man keinen zweiten Faktor mehr

Zu der Frage mit deiner Frau:
In KeePass braucht man nur die "ESC" Taste drücken und dann wird KeePass in dem Systemtray verbannt, wo es sich gegen Angreifer schützt.
Ob man die erneute Eingabe des Passworts beim öffnen dann erzwingt oder nicht, ist jedem selbst überlassen.

Dieser Beitrag wurde von d4rkn3ss4ev3r bearbeitet: 12. August 2018 - 18:11

2

#12 Mitglied ist offline   Stefan_der_held 

  • Gruppe: Offizieller Support
  • Beiträge: 14.289
  • Beigetreten: 08. April 06
  • Reputation: 885
  • Geschlecht:Männlich
  • Wohnort:Dortmund NRW
  • Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)

geschrieben 12. August 2018 - 19:51

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 12. August 2018 - 18:10)

Ich habe den Thread nur überflogen aber scheinbar wurde kein Passwort-Manager genannt.
https://keepass.info ist das Non-Plus-Ultra.


Bin mir sicher genau den empfohlen zu haben ;)
0

#13 Mitglied ist offline   iron-man75 

  • Gruppe: aktive Mitglieder
  • Beiträge: 103
  • Beigetreten: 04. Dezember 11
  • Reputation: 0

geschrieben 12. August 2018 - 21:59

und wie kann man überprüfen ob der PC kompromitiert wurde?
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0