Kuketz-Blog 🛡6d ago

IT-Security-Weisheit am Abend 🌙

Eine starke Passphrase schlägt jedes komplizierte Kauderwelsch aus Sonderzeichen und Ziffern. »K@tz3!99« ist kürzer, vorhersehbarer und schwerer zu merken als »dicker-roter-Elefant-schläft-tief«. Länge schlägt Komplexität - das ist keine Meinung, sondern Mathematik. Noch besser: Für jeden Dienst ein eigenes, zufällig generiertes Passwort - verwaltet von einem Passwortmanager wie KeePassXC. Dann muss man sich nur noch eine einzige starke Passphrase merken: Die für den Safe.

#ITSecurity #Cybersecurity #Sicherheit

Show threadGegenwind 🇺🇳🖖6d ago
@kuketzblog passwortmanager sind jedoch oft selber die Schwachstelle und können gehackt werden.
Ich bevorzuge ein Basis-Passphrase mit Variation entsprechend dem Dienst. Bspw Dicker-roter-Elefant-schläft-tief-und-hört-Musik für meinen Musikstreamingdienst. Oder Dicker-roter-Elefant-schaut-zu-viele-Serien für den videostreamingdienst. Dann kann ich mir es merken und trotzem passphrases nutzen
Show threadPhoebe Klein

@Gegenwind
Dir ist aber bewußt, dass Passwort Manager verschlüsselt sind und es sehr viel Zeit braucht die Verschlüsselung zu knacken?
Also wieso sollte genau das die Schwachstelle sein?

@kuketzblog

May 27 at 5:33amWeb
Show threadGegenwind 🇺🇳🖖5d ago

@PhoebeEule
Ernüchterndes Ergebnis des BSI.
„Lediglich drei der zehn geprüften Produkte verschlüsseln sämtliche Daten so vollständig, dass der Anbieter technisch keinerlei Zugriff auf die Inhalte hat.“
Und vorher gabs auch Sicherheitslücken am Laufenden Band

https://winfuture.de/news,155490.html

@kuketzblog

BSI deckt viel zu viele Sicherheitslücken im Passwortmanager-Test auf

Zehn verbreitete Passwortmanager mussten sich einer tiefgehenden Sicherheitsanalyse durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterziehen. Das Resultat ist ziemlich besorgniserregend.

WinFuture.de
Show threadPhoebe Klein5d ago

@Gegenwind
Ja, das ein Passwort Manager Anforderungen erfüllen muss liegt auf der Hand.
Diese Mängel aus dem Bericht haben aber nichts mit der Verschlüsselung zu tun.

@kuketzblog

Show threadGegenwind 🇺🇳🖖5d ago

@PhoebeEule ok. Klär mich auf. Wenn nur 3 von 10 ausreichend verschlüsseln, dann dachte ich hat das grade mit der Verschlüsselung zu tun.
Naja dazu so Lücken wie bei KeyPass 2023, wo man das Master-Passwort fast vollständig im Klartext aus dem Arbeitsspeicher (RAM) ausgelesen konnte, selbst wenn die Datenbank gesperrt war. Oder das Drama um die geklauten Vaults bei LastPass.
Es ist halt ein Single Point of Failure

@kuketzblog

Show threadPhoebe Klein5d ago

@Gegenwind
Das steht da ja nicht mal, dass die nicht ausreichend verschlüsseln. Die Risiko Analyse deckt alle möglichen Dinge ab.
Was hat sich alle Welt über "Signal wurde gehackt!" aufgeregt, daran erinnern wir uns noch alle.
Und jetzt in der selben Weise sagen, 3 von 10 verschlüsseln nicht ausreichend? Das geht auch nicht.

@kuketzblog