Hacking mit Python amzn.to/3pxVnmh (*) (*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Danke dass du immer so schnell Videos zu den aktuellen Themen machst. BTW, cipher /w empfiehlt sich nur bei HDD, nicht bei SSD. Korrigiert mich bitte falls ich falsch liege. 😊
Habe seit 4-5 Jahren keine Animes mehr geschaut, gab es wieder paar neue krasse Animes? Auf dem Level von Death Note, Steinsgate, Attack on Titan, Tokyo Ghoul, Code Geass? Habe mal gehört Demon Slayer soll Gut sein, aber ich würde gerne wieder ein intelligent durchdachten Anime wie Death Note oder Code Geass bevorzugen.
Ich nutze Bitwarden, aktuell die cloudbasierte Version, einfach aus Bequemlichkeit, damit überall (und OS-übergreifend) auf meine Passwörter zugreifen zu können. Habe den Login zusätzlich mit einem Yubikey abgesichert, d.h. der einzige cloudspezifische Schwachpunkt ist, wenn die verschlüsselte Passwortdatenbank geleakt werden sollte. Klar, theoretisch kann sowas passieren, aber dann müsste erstens das passieren und zweitens müsste man mein Masterpasswort herausfinden, um an meine Passwörter zu gelangen. Und selbst dann sind die enthaltenen Logins (sofern von der Webseite angeboten) durch 2FA abgesichert. Meine Frage: würde ich wirklich so viel mehr Sicherheit gewinnen, wenn ich den Dienst selbst hosten würde? Mein Zuhause ist ja nicht unbedingt sicherer als ein Clouddienst und ich behaupte mal, dass die Wahrscheinlichkeit, einen Konfigurationsfehler zu machen (oder bei eigener Implementierung einen Bug einzubauen), um ein Vielfaches höher ist als den Clouddienst zu nutzen, oder liege ich komplett daneben?
Tolles Video! Du rätst ja von Passwort-Mgr ab, die Passwörter in der Cloud speichern. Was hältst du von einem self-hosted Vaultwarden-Server (ehemals bitwarden-rs), der auf meinem Raspi im LAN zuhause läuft, und alle Daten lokal speichert? Die Verbindung (Login etc.) habe ich noch mit einem self-signed SSL-Zertfikat abgesichert, welches ich auf allen meinen Geräte installiert habe. Um nicht nur zuhause im LAN, sondern auch von unterwegs zugreifen zu können, habe ich mir noch einen VPN-Server am Raspi installiert - somit kann ich sehr bequem mit dem OpenVpn Client am Smartphone von überall aus meine Passwörter synchronisieren. Hast du zu meinem „System“ auch irgendwelche Bedenken oder Tipps, die du mir mitgeben könntest? Liebe Grüße Andi
Ich benutze Keepass schon seit Jahren und bin froh, dass die Entwickler noch aktiv an Fixes arbeiten. Generell schreckt mich die Lücke jetzt wenig ab, da man ja eben größeren Zugriff auf den Rechner benötigt und wenn ein Angreifer den schon hat, warum dann die Mühe machen und über so einen komplizierten Weg sich das Passwort beschaffen? Da gibt es leichtere und effizientere Wege. Jetzt stellt sich mir interessehalber die Frage, da es in nem Artikel auf Heise heißt, dass das Passwort mit Standardkonfiguration auslesbar ist: Wie verhält es sich bei der Eingabe über 'Secure Desktop' oder mit Keyfiles?
Naja, bei Trojanern wäre ein Keylogger wahrscheinlich ähnlich effektiv, sollte aber jemand physisch Zugriff auf deinen Computer haben, sieht die Sache schon anders aus.
Erst Mal Danke für deinen Hinweis auf die Voraussetzungen, die ersterfüllt sein müssen. Ich habe bis jetzt zwar erst zwei Artikel zu dem Thema vorliegen gehabt, die aber auch bloß gaaanz grob quergelesen, da ich selber Keepass nicht benutze. Stattdessen habe ich Bitwarden im Einsatz, an dem ich mich mit Yubikey anmelde. Dort habe ich inzwischen eine ordentliche Sammlung an Passworts, die ich sukzessive auch auf MFA mit Yubikey umgestellt habe und auch noch dabei bin. Ist echt aufwendig, aber inzwischen habe ich wohl alle Accounts durch, die ich innerhalb der letzten 4 bis 5 Jahre benutzt habe. Alle anderen die noch länger nicht mehr benutzt wurden, sind wahrscheinlich auch nur noch verwaiste Logins, viele Homepages existieren bestimmt gar nicht mehr Viele Grüße aus'm Ruhrpott
Wäre es nicht auch eine sinnvolle Gegenmaßnahme, 2FA-Möglichkeiten von Keepass zu nutzen wie beispielsweise die Schlüsseldatei oder die Integration eines OTP-Generators wie dem Yubikey? btw wäre ich Dir dankbar, wenn Du eine Anleitung dazu machen könntest, wie man sich einen OTP-Generator zum Öffnen der Keepass-Datenbank einrichten kann, um die Schlüsseldatei zu ersetzen
Otp generator zum login wüsste ich keinen Weg. Halt nur statische Keyfile oder eben das Passwort, was der yubikey zwar scheinbar irgendwie liefern kann - aber halt nicht der Wunsch ist.
@@nxy6123 Es gibt die Erweiterung KP2faChecker, die einen Login per 2 faktor authentifizierung in keepass möglich machen soll. Und die hab ich auch installiert, aber es wird nicht erkannt, also ist entweder die Erweiterung kaputt, oder (und das ist deutlich wahrscheinlicher) ich hab was falsch gemacht. Data Base Backup zB funktioniert bei mir, der HIBP Offline Check wiederum tut auch nicht so, wie er soll. Wenn Keepass noch ein bisschen einfacher zu benutzen wäre, dann wäre es perfekt :D
ich benutze Bitwarden und somit auch ein cloudbasierten Password Manager, nur mit der kleinen Abweichung, dass ich die Server Komponente selbst hoste über Vaultwarden. ich benutze ihn gern, da alle Dateien immernoch in meinem Netzwerk sind, aber ich dennoch die Bequemlichkeit habe die Passwörter zwischen meinen Geräten zu synchronisieren.
Ich benutzte auch Bitwarden aber die "normale" Version. Muss man nicht brutal aufpassen wenn man es selber hostet da man quasi selbst für die sicherheit sorgt ?
Ja, ich nutze einen Password-Manager. Den habe ich auf einem USB-Stick gespeichert, von dem Stick gibt es ein Backup, das absolut sicher verwahrt wird. Der original Stick verlässt nie das Haus, und auf Reisen nehme ich nur eine frische Kopie mit. Falls der Reise-Stick mal verloren geht, weis der Finder nicht, dass ein Pw-mgr darauf ist, er findet nur Dateien, die sich nicht öffnen lassen. Der Stick müsste schon einem sehr guten Hacker in die Hände fallen, damit überhaupt ein Risiko besteht. Das Backup ist sehr wichtig, da mir schon mal die Formatierung eines Sticks zerschossen wurde, und ich nicht wieder an die gespeicherten Daten gelangen konnte. Es versteht sich von selbst, dass der Passwort-Stick nur bei Benutzung im PC steckt.
Ich (als Laie) vermute sehr stark, dass ohne die Schlüsseldatei der Hack nicht funktioniert. Hier bekommt man ja „nur“ das Passwort heraus, welches nur einen Teil der Lösung darstellt.
Nach der Diskussion im Keepass Forum (zwischen dem Entdecker und dem KP Entwickler) liegt das Problem wohl an der C# Window.Forms.TextBox Komponente, also dem Textfeld in dem du das Passwort eingibst. Die Komponente erzeugt bei jeder Eingabe wohl Datenmüll, der am Ende das eingegebene Zeichen enthält. Genau diese Komponente wurde mit dem Fix (der mit Version 2.54 veröffentlicht werden soll) auch behandelt. Ich würde also sagen, dass alles was nicht (nur) ein von Hand eingegebenes Passwort ist von diesem Problem nicht betroffen ist. Edit: Womit aber trotzdem ein Teil deines Gesamtpasswortes entwendet werden kann. Aber die Vorraussetzungen für diesen Hack sind schon recht hoch, wenn du deinen Rechner nicht mit anderen Personen teilst z.B.
Ich verlink das mal Frecherweise weiter =P Hab ich doch heute meine Freunde direkt davor gewarnt weil gestern in der Exploit DB gesehen und du hast schon video gemacht =D Du erklärst das immer so fein =)
Ich bin vor ca. 2 Jahren auf Vaultwarden von KeepassXC umgestiegen. Hauptgrund: Ab dem Zeitpunkt hat die Anwendung auch Yubkeys unterstützt. Ich habe Vaultwarden auf einer VM unter Docker laufen. Was hältst du davon?
Trifft aber nicht auf die anderen Varianten von Keypass zu, so wie ich das jetzt verstanden habe, richtig? Und selbst wenn man genau das Keypass hat, wie im Video, sollte man sich trotzgdem keine alte Version zulegen, weil das wahrscheinlich nur noch andere Sicherheitslücken bietet.
Ich benutze einfach Spectre dort wird nichts gespeichert sondern immer wenn ich mein Benutzer und Keyword eingebe neu generiert! Das finde ich am besten und auch am sichersten.
4:25 Was spricht deiner Meinung nach denn gegen Cloud-Passwortmanager? Insbesondere dank Open-Source sind die nachweislich E2E-verschlüsselt, somit auch bei Datenleck sicher, also keine größere Angriffsfläche als lokal (sicheres Passwort vorausgesetzt).
@@Florian.Dalwigk Ja stimmt, bei Lastpass war sogar länger bekannt, dass die URLs nicht verschlüsselt sind. Aber bei echter E2E Verschlüsselung, frage ich mich, ob es überhaupt sein kann, dass diese gebrochen wird. Bei Keepass scheint es ja ein Bug im Client zu sein. Vielleicht täusche ich mich aber auch.
@@Florian.Dalwigk Korrekt, aber das erhöht das Risiko nicht im Vergleich zu einem lokalen PW-Manager, oder? Sehr spannendes Thema, wäre echt gut für ein Video :)
Also bei keepass kann man als zusätzliche sicherheit noch ein keyfile erstellen, sodass man dann beides braucht zum entsperren, einmal ein masterpassword und ein keyfile
wäre es nicht eine lösung seine passwörter nach einem muster festzulegen, welches einen sehr langen, zufällig generierten string als präfix hat der dann im passwortmanager abgelegt wird, aber eben nicht das vollständige passwort ist?
Gutes Video. Ich nutze keinen. Habe mir stattdessen eine eigene Paaswort-Strategie ausgedacht. Zum Thema Keylogger/Trojaner. Könntest ja mal irgendwann ein Video machen und zeigen, wie man sie aufspüren könnte (z. B. über die PID). 😊😅
Beim Strategien sehe ich das Problem, dass dir Passwörter wahrscheinlich oft ähnlich sind, nutzt du zum Beispiel den Namen einer Website um deine Passwörter zu verändern ist es vermutlich recht einfach, deine anderen PWs zu erraten, wenn mal eins geleaked wurde. Ich finde einen PW-Manager in der Hinsicht am sinnvollsten, da ein geleaktes Passwort keinerlei Hinweis auf andere Passwörter geben kann.
Ich benutze Bitwarden. Die Passwörter werden lokal und in der Cloud gespeichert, wobei die Cloud aber auf einem selbst betriebenem Server liegt. Ist das eine sichere Methode oder rätst du davon ab?
Nutze Enpass, ist zwar closed source aber ich bin mir sicher dass die Passwörter an dem Ort bleiben den ich definiere, zumal die ja ein sehr transparentes Geschäftsmodell haben. Bin damit happy.
ich nutze KeePassXC mit Masterpasswort + Keyfile für 2 Faktor. Diese Neuigkeiten sind erstmal beunruhigend ich werde das ganze also erstmal im Auge behalten
Love is War war wirklich gut! Staffel 1 war aber meine Lieblingsstaffel, die letzten beiden waren relativ okay. Nur fande ich das Ende beschissen... Aber sehr gutes Video! Nutze KeePass schon seit langem, also vielen Dank für das Video! Aber glücklicherweise kopiere ich mein Passwort immer, also sollte dieser Hack bei mir nicht möglich sein. Sobald das Update draußen ist, werde ich das Masterpasswort mal ändern, dann sollte eigentlich alles passen! :) Malwarebytes hat nämlich jetzt keinen Virus gefunden, nutze nochmal Hitman Pro um sicher zu gehen.^^
Da im Video auch gesagt wurde das 2FA am besten lokal und nicht in der Cloud abgerufen werden sollte, wie ich auch finde, ist der neue Upgrade Zwang von Goggle mit ihrem authenificator bekannt? Ich werde gerade genötigt die app mit einen google account zu verbinden und die daten in die cloud hochzuladen. Natürlich muß ich dann zustimmen. So haben die eine Zustimmung erpresst. Anders komme ich nicht mehr an meine hinterlegten Accounts mehr ran.
... Ich habe ein Trick gefunden. Geht mal vor der Bestätigung in den Flugzeug Modus. Loggt euch mit eurem Account ein und dann ohne Konto nutzen. Das sieht mann nur wenn auf das Profil Bild geklickt wird. Es wird eine Fehlermeldung kommen. Das ist aber nicht schlimm, da noch nix synchronisiert wurde. Danach kann der Flugzeug Modus wieder ausgeschaltet werden. Nachmachen auf eigene Gefahr. 🎉
Nicht gleich auf die große blaue Schaltfläche drücken .... weil darunter steht sehr klein gedruckt "Authenticator ohne Konto nutzen" ... Man kann, muss aber nicht den Account verknüpfen ... 🙂 Man kann das auch wieder deaktivieren: How to disable Google Authenticator sync feature? With the new update, Google sort of pushes the new syncing feature, so you may find yourself now logged in with a Google Account. Fortunately, that’s easy to reverse. On your device, open the Google Authenticator app. Tap your profile photo. Hit Use without an account. Tap Continue.
Danke für die Warnung. Das ist gut zu wissen. Ich schätze ich kann auch Keepass XC verwenden, bis die Lücke gefixt ist oder? Direkt mal die Glocke geklickt, um das Update nicht zu verpassen. Abonniert hatte ich deinen Kanal schon. Großes Lob an dieser Stelle für deine Arbeit, die du hier reinsteckst!
@@Florian.Dalwigk Naja, ich suche die dmp Datei, da ich jetzt schon seit einer Ewigkeit mein Passwort vergessen habe und jetzt wollte ich mit diese Methode probieren, finde aber die Datei nicht
Könntest du mal ein Video dazu machen, wie du dein digitales Tagebuch handhabst? Ich persönlich finde die Idee eines digitalen Tagebuchs zwar gut, bin aber unsicher wie der Tradeoff zwischen praktisch und sicher aussehen könnte.
@@Florian.Dalwigk Ist geplant dass es wieder online gestellt wird, bzw darf man fragen warum? Fand es recht super und hätte es mir gerne nochmal angeschaut
Ich finde es Schade, dass man kein POC hier zeigen darf. Ich habe eine Quelle im Internet gefunden und es selbst ausprobiert. Und siehe da es hat meine aktuelle Datenbank cracken können. Ich bin sehr überrascht und hab einen viel besseren Lerneffekt daraus gewonnen es selbst mal ausprobiert zu haben, anstatt nur ein Video anzuschauen und es für gegeben ansehe. Soweit ich es richtig verstanden habe muss man nur Keepass updaten. Ich habe alle Dump. files die für Keepass erstellt oder vorhanden sind aus meinem System gelöscht. Vielen Dank für die Aufklärung.
Ich hab noch eine viel schwerere Sicherheitslücke entdeckt: Wenn ich dem Benutzer eine Pistole an den Kopf halte, rückt er auch das Passwort raus! Dazu muss ich nicht mal Malware auf den Computer machen! Wann wird das denn gefixt?
Also ist nur die Software, aber nicht das Datenbankformat betroffen. Ich nutze Strongbox, was auf der KeePass Darenbank aufbaut. Damit sollte dieser Fall gar nicht erst eintreten können?
Du tippst das Passwort manuell ein: Keylogger oder die Lücke Du fügst das Passwort aus einer Datei ein: Die Lücke bringt dir nix, aber z.B. eine ReverseShell + cat, eine Malware die Dateien lesen kann oder ein Programm, das aus dem Clipboard liest würden dem Hacker helfen
Betrifft es nur das "original" für Windows oder auch keepassxc für GNU? Ich denke ein wichtiger Schritt zur Absicherung ist 2fa. Aber wie bereits gesagt, wenn der Zugriff auf den Rechner schon so tief geht, ist das wahrscheinlich das geringere Problem
Falls du Challenge Response meinst: Mit der Implementierung von KeePassXC (die sind aber von dem Fehler - Stand jetzt - nicht betroffen) müsstest du auf der sicheren Seite sein. Mit der KeyChallenge Implementierung von KeePass bin ich mir da nicht so sicher. Wenn ich mich korrekt erinnere verwendet die KeyChallenge Implementierung immer die gleiche Question basierend auf einem fest in einer XML hinterlegten Secret.
Immer schauen das der Password Manager ein Entschlüsslungs code braucht damit die Datenbank überhaupt benutzt werden kann und danach noch ein Master Password damit wird extrem schwer überhaupt zugriff zu bekommen selbst wenn man das Master passwort besitzt ist es vollkommen nutzlos ohne die Entschlüsslungsdatei. (Verbunden mit einem USB key ksnn man sich noch stärker absichern da man dann ein teil komplett abgesondert gesichert hat.) Aber all das Hilft am ende Nicht wenn jemand zugriff auf deinem Computer hat spätestens wenn du den USB Key einschiebst könnte er den Schlüssel in die hände kriegen. Man bräuchte gefühlt eine Spezielle Isolierte schnittstelle beim USB die vom kompletten system getrennt ist der sich ein kleiner Speicher befindet mit den daten und schluss endlich nur das Ergebnis der Datenbank aus dem Speicher gesendet wird aber keine daten eingespeichert werden können also eine einwegverbindung die nur von einer seite aussgeht und seperat gesteuert werden müsste. ( zu viel aufwand )
Meine Meinung dafür: Wenn man auf die Datenbank als externer Zugriff hat bzw auf den Prozess zugreifen kann, hat man bereits andere Probleme. Ein Fix wurde soweit ich weis bereits für Juli angekündigt. (In unserem Unternehmen wurde sich da auch darüber unterhalten.)
ich nutz keepass mit masterpassword und schlüssel datei die ich extra auf einen usb stück hab reicht das auch aus das man das nicht so schnell knacken kann ???
Also ja oder nein 🤷.... Ich habe die portable Version von KeepassXC...... Apropo...... Kann man bei eine Verschlüsselte HDD/Partition/USB (bsp Veracrypt oder KeePassXC) als master pws auch eine yubikey nutzen, und wenn ja , WIE? Auch yubikey als master pws über remote bzw VPN ? Bitte ein Video darüber...... Sollte es möglich sein, dürfte eigentlich sicher sein, sofern mehrere yubikey hat ( auch als Backup). Bitte ein Video(s) darüber. Danke
Ich habe schlichtweg Angst, dass irgendwann auch mal Google einen Leak hat. Daher habe ich mir eine Strategie ausgedacht, bei der ich mir die verschiedenen Passwörter merken kann. Ist etwas knifflig, da jede Seite ein eigenes Passwort hat. Aber ich denke das erhöht die Sicherheit ungemein. Und grundsätzlich natürlich 2FA, wenn angeboten.
@@om4212 Mit Passwörtern inklusive? :D Spaß bei Seite. Es besteht aus kleinen und großen Buchstaben, sowohl Sonderzeichen als auch Zahlen und zufällig drin, voran, mittendrin oder dahinter ein Wort, welches ich mit der Seite verbinde. So habe ich für jede Seite eine Eselsbrücke. Ein Beispiel: Der beste Freund hat einen Spitznamen. Das wird dann als dieses Wort Facebook genommen, da wir den Account damals zusammen erstellt haben. Es sollte halt etwas sein, was für einen selber immer present ist. Dazu dann eigens entwickelte Sonderzeichen und Zahlenfolge oder halt einen Mix und schon sollte das Passwort ziemlich gut sein.
Ich nutze einen Passwort Manager: "Password Safe" aus dem Playstore, ist von einem Deutschen Entwickler. Türkises Logo Mal Allgemein gefragt: Was ist denn die beste und Sicherste Methode um möglichst seine Passwörter irgendwo abzuspeichern, da sich ja keiner eine 20 lange Wirre folge aus Zeichen, Buchstaben und Zahlen merken kann? Grüße 😅✌
Der Punkt mit dem "kopieren des passwortes" ist auch wieder nicht "optimal" da es programme gibt welche die Ablage kopieren & unter windows man plainen zugriff auf die history der zwischenablage hat.
Einfach die CVE googeln wie im Video gezeigt. Ich verlinke aus Sicherheitsgründen keine Seiten, die Sicherheitslücken beschreiben, da YT das nicht gerne sieht.
Ich nutze einen selfhosted Vaultwarden-Server. Kein allzu interessantes Angriffsziel, da nur ich meine PWs darin Save und dennoch ziemlich komfortabel..
@@Florian.Dalwigk Ok, und für diejenigen die keinen eigenen haben: Gibt es denn überhaupt einen Passwortmanager den du uneingeschränkt empfehlen kannst?
@@Florian.Dalwigk Erstens mal war es sehr günstig, zweitens kann ich sehr viele Geräte verwenden. Es werden Backups gemacht und die Passwörter werden auch lokal gespeichert im Falle eines Ausfalls. Es hat einen Passwort Generator, Data Breach Scaner und zeigt an, wie viele und welche Passwörter die ich verwende schlecht sind und dringend geändert werden müssen. Ich hatte am Anfang Dashlane aber da man nur ein Gerät verwänden und nur knapp 20 Passwörter kostenlos speichern kann bin ich auf Lastpass gewechselt. Nachdem du ein Video über einen Hack gemacht hast und ich auch von Lastpass selbst diesbezüglich eine Mail erhalten habe, bin ich schlussendlich auf Nordpass gewechselt. Ist vielleicht nicht die beste Entscheidung aber es funktioniert sehr gut XD.
Hacking mit Python amzn.to/3pxVnmh (*)
(*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
ist natürlich schon vorbestellt 😅 bin gespannt
Hab noch nicht vorbestellt, wird aber definitiv geholt. 👍
KeepassXC, Strongbox sowie die KeePass Versionen 1.X sind übrigens nicht betroffen
Danke für die Info!
Danke
Die Schweißperlen auf meiner Stirn trocknen wieder
wollte ich auch gerade schreiben, aber kann ich mir ja jetzt sparen :)
Danke dass du immer so schnell Videos zu den aktuellen Themen machst. BTW, cipher /w empfiehlt sich nur bei HDD, nicht bei SSD. Korrigiert mich bitte falls ich falsch liege. 😊
:)
Ich finde es cool wie du immer wieder kleine Anime Anspielungen in deinen Videos drin vorkommen
Lycoris Recoil Fan entdeckt? 👌
Als Otaku selbstverständlich ;)
Habe seit 4-5 Jahren keine Animes mehr geschaut, gab es wieder paar neue krasse Animes? Auf dem Level von Death Note, Steinsgate, Attack on Titan, Tokyo Ghoul, Code Geass? Habe mal gehört Demon Slayer soll Gut sein, aber ich würde gerne wieder ein intelligent durchdachten Anime wie Death Note oder Code Geass bevorzugen.
@@UberBossPure mir fällt, da gerade keiner ein genannt hast, hab ich nicht geguckt und ich bin auch nicht so ein Fan von diesem Genre
@@UberBossPure 4-5 jahre keine anime geschaut? na dann viel spaß mit attack on titan season 2,3,4,5 xD
Ich nutze Bitwarden, aktuell die cloudbasierte Version, einfach aus Bequemlichkeit, damit überall (und OS-übergreifend) auf meine Passwörter zugreifen zu können. Habe den Login zusätzlich mit einem Yubikey abgesichert, d.h. der einzige cloudspezifische Schwachpunkt ist, wenn die verschlüsselte Passwortdatenbank geleakt werden sollte.
Klar, theoretisch kann sowas passieren, aber dann müsste erstens das passieren und zweitens müsste man mein Masterpasswort herausfinden, um an meine Passwörter zu gelangen. Und selbst dann sind die enthaltenen Logins (sofern von der Webseite angeboten) durch 2FA abgesichert. Meine Frage: würde ich wirklich so viel mehr Sicherheit gewinnen, wenn ich den Dienst selbst hosten würde? Mein Zuhause ist ja nicht unbedingt sicherer als ein Clouddienst und ich behaupte mal, dass die Wahrscheinlichkeit, einen Konfigurationsfehler zu machen (oder bei eigener Implementierung einen Bug einzubauen), um ein Vielfaches höher ist als den Clouddienst zu nutzen, oder liege ich komplett daneben?
Tolles Video! Du rätst ja von Passwort-Mgr ab, die Passwörter in der Cloud speichern. Was hältst du von einem self-hosted Vaultwarden-Server (ehemals bitwarden-rs), der auf meinem Raspi im LAN zuhause läuft, und alle Daten lokal speichert? Die Verbindung (Login etc.) habe ich noch mit einem self-signed SSL-Zertfikat abgesichert, welches ich auf allen meinen Geräte installiert habe. Um nicht nur zuhause im LAN, sondern auch von unterwegs zugreifen zu können, habe ich mir noch einen VPN-Server am Raspi installiert - somit kann ich sehr bequem mit dem OpenVpn Client am Smartphone von überall aus meine Passwörter synchronisieren. Hast du zu meinem „System“ auch irgendwelche Bedenken oder Tipps, die du mir mitgeben könntest? Liebe Grüße Andi
Ich hänge mich hier mal ran, weil mich die Antwort auch sehr interessieren würde.
das hört sich super an, hast du es mit EmbassyOS gemacht?
@@twelvedanunnaki nein das läuft alles auf meinem raspberry direkt
@@dsa267 es gibt eben erwähntes spezielles anonymes Betriebssystem fürn Raspi (Start9 suchen)
Ich benutze Keepass schon seit Jahren und bin froh, dass die Entwickler noch aktiv an Fixes arbeiten.
Generell schreckt mich die Lücke jetzt wenig ab, da man ja eben größeren Zugriff auf den Rechner benötigt und wenn ein Angreifer den schon hat, warum dann die Mühe machen und über so einen komplizierten Weg sich das Passwort beschaffen? Da gibt es leichtere und effizientere Wege.
Jetzt stellt sich mir interessehalber die Frage, da es in nem Artikel auf Heise heißt, dass das Passwort mit Standardkonfiguration auslesbar ist:
Wie verhält es sich bei der Eingabe über 'Secure Desktop' oder mit Keyfiles?
Naja, bei Trojanern wäre ein Keylogger wahrscheinlich ähnlich effektiv, sollte aber jemand physisch Zugriff auf deinen Computer haben, sieht die Sache schon anders aus.
Erst Mal Danke für deinen Hinweis auf die Voraussetzungen, die ersterfüllt sein müssen. Ich habe bis jetzt zwar erst zwei Artikel zu dem Thema vorliegen gehabt, die aber auch bloß gaaanz grob quergelesen, da ich selber Keepass nicht benutze. Stattdessen habe ich Bitwarden im Einsatz, an dem ich mich mit Yubikey anmelde. Dort habe ich inzwischen eine ordentliche Sammlung an Passworts, die ich sukzessive auch auf MFA mit Yubikey umgestellt habe und auch noch dabei bin. Ist echt aufwendig, aber inzwischen habe ich wohl alle Accounts durch, die ich innerhalb der letzten 4 bis 5 Jahre benutzt habe. Alle anderen die noch länger nicht mehr benutzt wurden, sind wahrscheinlich auch nur noch verwaiste Logins, viele Homepages existieren bestimmt gar nicht mehr
Viele Grüße aus'm Ruhrpott
Super 🙌🏼 es funktioniert wieder wie gewohnt man kann deine Videos aufrufen ohne einen direkten Link von dir !
Grüße ✌🏼
Rick
Perfekt :) Ich behalte das mit dem zusätzlichen Posten des Links im Community Beitrag aber erstmal vorsichtshalber bei
Wäre es nicht auch eine sinnvolle Gegenmaßnahme, 2FA-Möglichkeiten von Keepass zu nutzen wie beispielsweise die Schlüsseldatei oder die Integration eines OTP-Generators wie dem Yubikey?
btw wäre ich Dir dankbar, wenn Du eine Anleitung dazu machen könntest, wie man sich einen OTP-Generator zum Öffnen der Keepass-Datenbank einrichten kann, um die Schlüsseldatei zu ersetzen
Otp generator zum login wüsste ich keinen Weg. Halt nur statische Keyfile oder eben das Passwort, was der yubikey zwar scheinbar irgendwie liefern kann - aber halt nicht der Wunsch ist.
@@nxy6123 Es gibt die Erweiterung KP2faChecker, die einen Login per 2 faktor authentifizierung in keepass möglich machen soll. Und die hab ich auch installiert, aber es wird nicht erkannt, also ist entweder die Erweiterung kaputt, oder (und das ist deutlich wahrscheinlicher) ich hab was falsch gemacht. Data Base Backup zB funktioniert bei mir, der HIBP Offline Check wiederum tut auch nicht so, wie er soll. Wenn Keepass noch ein bisschen einfacher zu benutzen wäre, dann wäre es perfekt :D
Direkt mal Masterpasswort geändert und jetzt dazu auch eine Key-Datei hinzugefügt. Man weiß ja nie. :D
Danke fürs aufmerksam machen!
ich benutze Bitwarden und somit auch ein cloudbasierten Password Manager, nur mit der kleinen Abweichung, dass ich die Server Komponente selbst hoste über Vaultwarden. ich benutze ihn gern, da alle Dateien immernoch in meinem Netzwerk sind, aber ich dennoch die Bequemlichkeit habe die Passwörter zwischen meinen Geräten zu synchronisieren.
Ich benutzte auch Bitwarden aber die "normale" Version. Muss man nicht brutal aufpassen wenn man es selber hostet da man quasi selbst für die sicherheit sorgt ?
@@xilenced6655 Bitwarden is the best! Hab ich auch, fühle mich damit auch megasicher. Gab bislang ja auch keinerlei Sicherheitsthemen dort.
Nice, habe das POC gleich ausprobiert...
Ja, ich nutze einen Password-Manager. Den habe ich auf einem USB-Stick gespeichert, von dem Stick gibt es ein Backup, das absolut sicher verwahrt wird. Der original Stick verlässt nie das Haus, und auf Reisen nehme ich nur eine frische Kopie mit. Falls der Reise-Stick mal verloren geht, weis der Finder nicht, dass ein Pw-mgr darauf ist, er findet nur Dateien, die sich nicht öffnen lassen. Der Stick müsste schon einem sehr guten Hacker in die Hände fallen, damit überhaupt ein Risiko besteht. Das Backup ist sehr wichtig, da mir schon mal die Formatierung eines Sticks zerschossen wurde, und ich nicht wieder an die gespeicherten Daten gelangen konnte. Es versteht sich von selbst, dass der Passwort-Stick nur bei Benutzung im PC steckt.
Ist KeePassXC auch betroffen, da es auf Keepass basiert?
Vielen Dank für das Video!
nein KeePassXC ist nach derzeitigem Stand nicht betroffen
Sehr informatives Video - vielen Dank!👍
Ist bekannt, wie es bei der Verwendung von Masterpasswort "und" Schlüsseldatei ausschaut?
Ich (als Laie) vermute sehr stark, dass ohne die Schlüsseldatei der Hack nicht funktioniert. Hier bekommt man ja „nur“ das Passwort heraus, welches nur einen Teil der Lösung darstellt.
Nach der Diskussion im Keepass Forum (zwischen dem Entdecker und dem KP Entwickler) liegt das Problem wohl an der C# Window.Forms.TextBox Komponente, also dem Textfeld in dem du das Passwort eingibst. Die Komponente erzeugt bei jeder Eingabe wohl Datenmüll, der am Ende das eingegebene Zeichen enthält. Genau diese Komponente wurde mit dem Fix (der mit Version 2.54 veröffentlicht werden soll) auch behandelt. Ich würde also sagen, dass alles was nicht (nur) ein von Hand eingegebenes Passwort ist von diesem Problem nicht betroffen ist.
Edit: Womit aber trotzdem ein Teil deines Gesamtpasswortes entwendet werden kann. Aber die Vorraussetzungen für diesen Hack sind schon recht hoch, wenn du deinen Rechner nicht mit anderen Personen teilst z.B.
Danke für die Warnung :)
Ich verlink das mal Frecherweise weiter =P Hab ich doch heute meine Freunde direkt davor gewarnt weil gestern in der Exploit DB gesehen und du hast schon video gemacht =D Du erklärst das immer so fein =)
Danke dir!
Ich bin vor ca. 2 Jahren auf Vaultwarden von KeepassXC umgestiegen. Hauptgrund: Ab dem Zeitpunkt hat die Anwendung auch Yubkeys unterstützt. Ich habe Vaultwarden auf einer VM unter Docker laufen. Was hältst du davon?
Ich habe bei meinem Keepass eine 2FA mit einem Yubico-Stick. Muss ich mir da auch Sorgen machen ?
Hi Florian!
3:42 Auf welcher URL oder Software findet man denn dieses Bedienfeld?
Die im Video erwähnte (KeePasa).
Trifft aber nicht auf die anderen Varianten von Keypass zu, so wie ich das jetzt verstanden habe, richtig? Und selbst wenn man genau das Keypass hat, wie im Video, sollte man sich trotzgdem keine alte Version zulegen, weil das wahrscheinlich nur noch andere Sicherheitslücken bietet.
Ich benutze einfach Spectre dort wird nichts gespeichert sondern immer wenn ich mein Benutzer und Keyword eingebe neu generiert! Das finde ich am besten und auch am sichersten.
4:25 Was spricht deiner Meinung nach denn gegen Cloud-Passwortmanager? Insbesondere dank Open-Source sind die nachweislich E2E-verschlüsselt, somit auch bei Datenleck sicher, also keine größere Angriffsfläche als lokal (sicheres Passwort vorausgesetzt).
Siehe LastPass
Ein gewisses Restrisiko besteht auch trotz E2E ... das ist kein Garant für Sicherheit ... ebenso wie OpenSource.
@@Florian.Dalwigk Ja stimmt, bei Lastpass war sogar länger bekannt, dass die URLs nicht verschlüsselt sind. Aber bei echter E2E Verschlüsselung, frage ich mich, ob es überhaupt sein kann, dass diese gebrochen wird. Bei Keepass scheint es ja ein Bug im Client zu sein. Vielleicht täusche ich mich aber auch.
Bei einem Bug im Client bringt E2E nicht viel.
@@Florian.Dalwigk Korrekt, aber das erhöht das Risiko nicht im Vergleich zu einem lokalen PW-Manager, oder? Sehr spannendes Thema, wäre echt gut für ein Video :)
Sehr interessant, schau dir mal Bitwarden an, ist auch ziemlich einfach das Masterpasswort auszulesen, letztens erst getestet.
Hey, woher hast du diese Info? Gibts dazu irgendein Video? lg Andi
Nutze aktuell Bitwarden auf Empfehlung von The Morpheus
bin recht zufrieden
Wie ist es den, wenn die Datenbank zusätzlich noch mit einem keyfile versehen ist?
Was meinst du mit "noch einem Keyfile"?
Also bei keepass kann man als zusätzliche sicherheit noch ein keyfile erstellen, sodass man dann beides braucht zum entsperren, einmal ein masterpassword und ein keyfile
Habe ich im Video ja auch erwähnt.
info über Keyfile wäre wirklich interessant
Ist das auch für KeePassXC anwendbar?
Siehe CVE
wäre es nicht eine lösung seine passwörter nach einem muster festzulegen, welches einen sehr langen, zufällig generierten string als präfix hat der dann im passwortmanager abgelegt wird, aber eben nicht das vollständige passwort ist?
Kann man machen
@@Florian.Dalwigk hast du einen besseren vorschlag? wäre dankbar für jede idee
finde ich sogar eine gute Idee 😊
Starkes Vid, lieben Dank 🌹
Wie schon paar mal erwähnt, nutzen mein Liebling & ich KeePass. Wir werden es auch weiterhin nutzen und dabei bleiben 🍀😎
ich auch :)
Gutes Video. Ich nutze keinen. Habe mir stattdessen eine eigene Paaswort-Strategie ausgedacht. Zum Thema Keylogger/Trojaner. Könntest ja mal irgendwann ein Video machen und zeigen, wie man sie aufspüren könnte (z. B. über die PID). 😊😅
Beim Strategien sehe ich das Problem, dass dir Passwörter wahrscheinlich oft ähnlich sind, nutzt du zum Beispiel den Namen einer Website um deine Passwörter zu verändern ist es vermutlich recht einfach, deine anderen PWs zu erraten, wenn mal eins geleaked wurde. Ich finde einen PW-Manager in der Hinsicht am sinnvollsten, da ein geleaktes Passwort keinerlei Hinweis auf andere Passwörter geben kann.
Ich benutze Bitwarden. Die Passwörter werden lokal und in der Cloud gespeichert, wobei die Cloud aber auf einem selbst betriebenem Server liegt. Ist das eine sichere Methode oder rätst du davon ab?
Ich nutze sowohl Privat als auch beruflich Vaultwarden als Docker Container, also die Selfhosted Variante von Bitwarden
Nutze Enpass, ist zwar closed source aber ich bin mir sicher dass die Passwörter an dem Ort bleiben den ich definiere, zumal die ja ein sehr transparentes Geschäftsmodell haben. Bin damit happy.
ich nutze KeePassXC mit Masterpasswort + Keyfile für 2 Faktor. Diese Neuigkeiten sind erstmal beunruhigend ich werde das ganze also erstmal im Auge behalten
gilt das auch für die forks wie KeepasXC?
Siehe CVE
Love is War war wirklich gut!
Staffel 1 war aber meine Lieblingsstaffel, die letzten beiden waren relativ okay.
Nur fande ich das Ende beschissen...
Aber sehr gutes Video! Nutze KeePass schon seit langem, also vielen Dank für das Video! Aber glücklicherweise kopiere ich mein Passwort immer, also sollte dieser Hack bei mir nicht möglich sein.
Sobald das Update draußen ist, werde ich das Masterpasswort mal ändern, dann sollte eigentlich alles passen! :) Malwarebytes hat nämlich jetzt keinen Virus gefunden, nutze nochmal Hitman Pro um sicher zu gehen.^^
Gutes Video! Welchen Manager kannst du empfehlen?
Da im Video auch gesagt wurde das 2FA am besten lokal und nicht in der Cloud abgerufen werden sollte, wie ich auch finde, ist der neue Upgrade Zwang von Goggle mit ihrem authenificator bekannt? Ich werde gerade genötigt die app mit einen google account zu verbinden und die daten in die cloud hochzuladen. Natürlich muß ich dann zustimmen. So haben die eine Zustimmung erpresst. Anders komme ich nicht mehr an meine hinterlegten Accounts mehr ran.
... Ich habe ein Trick gefunden. Geht mal vor der Bestätigung in den Flugzeug Modus. Loggt euch mit eurem Account ein und dann ohne Konto nutzen. Das sieht mann nur wenn auf das Profil Bild geklickt wird. Es wird eine Fehlermeldung kommen. Das ist aber nicht schlimm, da noch nix synchronisiert wurde. Danach kann der Flugzeug Modus wieder ausgeschaltet werden. Nachmachen auf eigene Gefahr. 🎉
Nicht gleich auf die große blaue Schaltfläche drücken .... weil darunter steht sehr klein gedruckt "Authenticator ohne Konto nutzen" ...
Man kann, muss aber nicht den Account verknüpfen ... 🙂
Man kann das auch wieder deaktivieren:
How to disable Google Authenticator sync feature?
With the new update, Google sort of pushes the new syncing feature, so you may find yourself now logged in with a Google Account. Fortunately, that’s easy to reverse.
On your device, open the Google Authenticator app.
Tap your profile photo.
Hit Use without an account.
Tap Continue.
Danke für die Warnung. Das ist gut zu wissen. Ich schätze ich kann auch Keepass XC verwenden, bis die Lücke gefixt ist oder? Direkt mal die Glocke geklickt, um das Update nicht zu verpassen. Abonniert hatte ich deinen Kanal schon. Großes Lob an dieser Stelle für deine Arbeit, die du hier reinsteckst!
KeepassXC hat damit nichts zu tun, es geht nur um Keepass. Klingt verwirrend, ist aber so :)
Gutes Video. Könntest du ein Video über SSH und SSL machen?
SSL/TLS habe ich schon, SSH folgt noch
Hi, speichert eigendlich jedes Programm so eine Datei oder werden die alle in einer gespeichert? , Danke☺️
Was meinst du genau? Welche Datei?
@@Florian.Dalwigk Naja, ich suche die dmp Datei, da ich jetzt schon seit einer Ewigkeit mein Passwort vergessen habe und jetzt wollte ich mit diese Methode probieren, finde aber die Datei nicht
Könntest du mal ein Video dazu machen, wie du dein digitales Tagebuch handhabst? Ich persönlich finde die Idee eines digitalen Tagebuchs zwar gut, bin aber unsicher wie der Tradeoff zwischen praktisch und sicher aussehen könnte.
Ich überlege es mir
Welche neue Version von KeePass wäre das dann bei der der CVE gefixt wird?
Wurde das Video, in dem du Relationen erklärst, wieder runtergenommen?
Ja
@@Florian.Dalwigk Ist geplant dass es wieder online gestellt wird, bzw darf man fragen warum? Fand es recht super und hätte es mir gerne nochmal angeschaut
Ist KeePassXC und KeePassDX auf Android auch betroffen?
Ich finde es Schade, dass man kein POC hier zeigen darf. Ich habe eine Quelle im Internet gefunden und es selbst ausprobiert. Und siehe da es hat meine aktuelle Datenbank cracken können. Ich bin sehr überrascht und hab einen viel besseren Lerneffekt daraus gewonnen es selbst mal ausprobiert zu haben, anstatt nur ein Video anzuschauen und es für gegeben ansehe. Soweit ich es richtig verstanden habe muss man nur Keepass updaten. Ich habe alle Dump. files die für Keepass erstellt oder vorhanden sind aus meinem System gelöscht. Vielen Dank für die Aufklärung.
Gerne. Ja, wenn ich das hier vorführen, gibt's sehr wahrscheinlich Ärger.
Was hälst du von Bitwarden?
Genauso viel wie von allen anderen Passwortmanagern
Ich hab noch eine viel schwerere Sicherheitslücke entdeckt: Wenn ich dem Benutzer eine Pistole an den Kopf halte, rückt er auch das Passwort raus! Dazu muss ich nicht mal Malware auf den Computer machen!
Wann wird das denn gefixt?
😂
Rubber Hose Angriffe sollte man auch auf dem Schirm haben!
@@Florian.Dalwigk Da bekomme ich Angst.
Sind jegliche Versionen von Keepass betroffen? Du hast ja jetzt Keepass und nicht Keepass2 gezeigt
Siehe CVE
@@Florian.Dalwigk Ja wer googlen kann ist klar im Vorteil hab nachgeschaut :) KeepassXC ist safe
ich nutze KeepassXC wegen der einfachen YubiKey Nutzung :) ist KeepassXC von der Lücke auch betroffen?
Hallo teste mal Sticky Passwort Manager, dieser hat 2 Faktor Authentifizierung. Kannst den auch hacken ?
Ist der iCloud Schlüsselbund auch ein Passwort Manager?
Also ist nur die Software, aber nicht das Datenbankformat betroffen. Ich nutze Strongbox, was auf der KeePass Darenbank aufbaut. Damit sollte dieser Fall gar nicht erst eintreten können?
Kannst du mal ein Video zu Passkeys machen? :)
Ich überlege es mir
Du tippst das Passwort manuell ein: Keylogger oder die Lücke
Du fügst das Passwort aus einer Datei ein: Die Lücke bringt dir nix, aber z.B. eine ReverseShell + cat, eine Malware die Dateien lesen kann oder ein Programm, das aus dem Clipboard liest würden dem Hacker helfen
In beiden Fällen: Die Sicherheitslücke bietet gegenüber einer Malware keinen Mehrwert
Wieso sagst du nichts zu einer zusätzlichen Schlüsseldatei? Ist ja im Grunde 2FA dann.
Wurde schon oft genug erwähnt
Wie sieht es denn aus wenn ich noch eine Schlüsseldatei als zusätzliche Sicherheit verwende.
Die Sicherheitslücke wurde behoben
@@Florian.Dalwigk ist es denn generell besser noch eine Schlüsseldatei zu verwenden. Die habe ich auf einem Usb Stick immer dabei
@@feickholt1966 Schadet bestimmt nicht, doch wenn die Schlüsseldatei unverschlüsselt auf dem USB Stick liegt, sollte der auch bewacht werden
Welchen passworanager benutzt du?
Die Brain Wallet ;)
Betrifft es nur das "original" für Windows oder auch keepassxc für GNU?
Ich denke ein wichtiger Schritt zur Absicherung ist 2fa. Aber wie bereits gesagt, wenn der Zugriff auf den Rechner schon so tief geht, ist das wahrscheinlich das geringere Problem
Siehe CVE
Vielen Dank für den Hinweis. Also das nächste Update nicht X Tage ignorieren xD
Besser nicht ;) Anfang Juni sollte es soweit sein.
Ist Firefox sicher bzgl Zugangsdaten und Passwörter ? Scöne grüße aus den hohen Norden
Nein
Ich nutze Norton. Mit dem Intigrierten Passwortmanager. Ist cloudbasiert und selbst in der Cloud verschlüsselt, only mit dem key kann man die öffnen
funktioniert das auch mit Keyfile? Denn mit das Keyfile bringt das Passwort alleine nichts
Warum sind bei den möglichen Passwörtern Variationen von - und _ drin? Ist das Zeichen auch nicht sicher auszulesen?
Update: Mit Version 2.54 ist das Problem behoben 👍
Perfekt :)
Wie ist es mit der UbiKey 2FA , die müsste doch sicher bleiben obwohl das Master PW ausgelesen wurde ?
Falls du Challenge Response meinst: Mit der Implementierung von KeePassXC (die sind aber von dem Fehler - Stand jetzt - nicht betroffen) müsstest du auf der sicheren Seite sein. Mit der KeyChallenge Implementierung von KeePass bin ich mir da nicht so sicher. Wenn ich mich korrekt erinnere verwendet die KeyChallenge Implementierung immer die gleiche Question basierend auf einem fest in einer XML hinterlegten Secret.
Bitwarden. Hatte es auch mal selbst gehostet benutzt, jetzt wieder das cloudbasierte :)
Was ist mit der 1.x Version des KeePass, hat es auch das Problem
Immer schauen das der Password Manager ein Entschlüsslungs code braucht damit die Datenbank überhaupt benutzt werden kann und danach noch ein Master Password damit wird extrem schwer überhaupt zugriff zu bekommen selbst wenn man das Master passwort besitzt ist es vollkommen nutzlos ohne die Entschlüsslungsdatei.
(Verbunden mit einem USB key ksnn man sich noch stärker absichern da man dann ein teil komplett abgesondert gesichert hat.)
Aber all das Hilft am ende Nicht wenn jemand zugriff auf deinem Computer hat spätestens wenn du den USB Key einschiebst könnte er den Schlüssel in die hände kriegen.
Man bräuchte gefühlt eine Spezielle Isolierte schnittstelle beim USB die vom kompletten system getrennt ist der sich ein kleiner Speicher befindet mit den daten und schluss endlich nur das Ergebnis der Datenbank aus dem Speicher gesendet wird aber keine daten eingespeichert werden können also eine einwegverbindung die nur von einer seite aussgeht und seperat gesteuert werden müsste.
( zu viel aufwand )
Einfach KeepassXC benutzen ist nicht betroffen und auch vom Design nicht so altmodisch :)
oder einfach keepass 1.41 benutzen wer es explizit altmodisch MAG :)
Ich verwende KeePass in der Version 1.3x. Ist diese Version sicher oder hat diese ggf. andere Schwachstellen?
Wie siehts mit KeepassXC aus?
Soweit ich weiß, ist das nicht betroffen, siehe CVE
@@Florian.Dalwigk Habt Dank für die rasche Antwort! Ich habe soeben selbst nachgeschaut. Ich kann bestätigen: Grünes Licht! :)
Meine Meinung dafür:
Wenn man auf die Datenbank als externer Zugriff hat bzw auf den Prozess zugreifen kann, hat man bereits andere Probleme.
Ein Fix wurde soweit ich weis bereits für Juli angekündigt. (In unserem Unternehmen wurde sich da auch darüber unterhalten.)
Mein letzter Stand war, dass ein Update im Juni bereiten soll
@@Florian.Dalwigk In den Sinne noch besser, in meinen Augen.
Definitiv ;)
ich nutz keepass mit masterpassword und schlüssel datei die ich extra auf einen usb stück hab reicht das auch aus das man das nicht so schnell knacken kann ???
Ist KeePassXC auch betroffen?
Siehe CVE
Also ja oder nein 🤷.... Ich habe die portable Version von KeepassXC...... Apropo...... Kann man bei eine Verschlüsselte HDD/Partition/USB (bsp Veracrypt oder KeePassXC) als master pws auch eine yubikey nutzen, und wenn ja , WIE? Auch yubikey als master pws über remote bzw VPN ? Bitte ein Video darüber...... Sollte es möglich sein, dürfte eigentlich sicher sein, sofern mehrere yubikey hat ( auch als Backup). Bitte ein Video(s) darüber. Danke
Also ich hab die CVE Nummer gegoogelt und die sagen nur Keepass 2.x sei betroffen
@@adi.ionescu Ich warte auch schon lange auf ein Yubikey Video 😂. Ich glaube er hat es sich notiert. Hatte schon paarmal nachgefragt 😅.
Was ist mit KeePassX(C)?
ich nutze Keepass und Remot Desktop Manager (DPS) als PW manager
Ich habe schlichtweg Angst, dass irgendwann auch mal Google einen Leak hat. Daher habe ich mir eine Strategie ausgedacht, bei der ich mir die verschiedenen Passwörter merken kann. Ist etwas knifflig, da jede Seite ein eigenes Passwort hat. Aber ich denke das erhöht die Sicherheit ungemein. Und grundsätzlich natürlich 2FA, wenn angeboten.
@@om4212 Mit Passwörtern inklusive? :D
Spaß bei Seite. Es besteht aus kleinen und großen Buchstaben, sowohl Sonderzeichen als auch Zahlen und zufällig drin, voran, mittendrin oder dahinter ein Wort, welches ich mit der Seite verbinde. So habe ich für jede Seite eine Eselsbrücke.
Ein Beispiel: Der beste Freund hat einen Spitznamen. Das wird dann als dieses Wort Facebook genommen, da wir den Account damals zusammen erstellt haben.
Es sollte halt etwas sein, was für einen selber immer present ist. Dazu dann eigens entwickelte Sonderzeichen und Zahlenfolge oder halt einen Mix und schon sollte das Passwort ziemlich gut sein.
Ich nutze einen Passwort Manager: "Password Safe" aus dem Playstore, ist von einem Deutschen Entwickler. Türkises Logo
Mal Allgemein gefragt: Was ist denn die beste und Sicherste Methode um möglichst seine Passwörter irgendwo abzuspeichern, da sich ja keiner eine 20 lange Wirre folge aus Zeichen, Buchstaben und Zahlen merken kann?
Grüße 😅✌
Ein Passwortmanager oder eine eigene (sichere) Implementierung
KeePassXC ist davon nicht betroffen? 😅
Siehe CVE
Welche Methode empfiehlst du? Ich habe mich immer von Passwortmanagern ferngehalten. Ich mache es mit Testdateien.
Bezweifele gerade, dass das Konzept auf Linux funktioniert aber ich recherchiere das später mal ^^
Was ist dabei herausgekommen?
Man kann auch die in Keepass gespeicherten Passwörter per Memory Dump auslesen, solange das Programm offen ist.
👍
gilt das auch für keepassXC?
Wollte ich auch gerade fragen.
nein
Der Punkt mit dem "kopieren des passwortes" ist auch wieder nicht "optimal" da es programme gibt welche die Ablage kopieren & unter windows man plainen zugriff auf die history der zwischenablage hat.
Das sage ich doch im Video ... Kein ernstgemeinter Vorschlag.
Ich benutze den Firefox mit starkem Master PW
Apple Schlüsselbund ist das sicher?
Cooles Video 🙏
Wäre cool wenn du Quellen verlinken würdest damit man sich weiter informieren kann (über den Teil mit dem YT ein Problem hat).
Einfach die CVE googeln wie im Video gezeigt. Ich verlinke aus Sicherheitsgründen keine Seiten, die Sicherheitslücken beschreiben, da YT das nicht gerne sieht.
Ich nutze einen selfhosted Vaultwarden-Server.
Kein allzu interessantes Angriffsziel, da nur ich meine PWs darin Save und dennoch ziemlich komfortabel..
gibt es schon n update was das behebt?
Schon seit Monaten
Huch kurz Angst bekommen😱(Immer die Iterationen hoch einstellen, in der Hoffnung das Das dann zu lange dauert)
falls du erkältet sein solltest: gute besserung an dich ^^
Danke, aber ich bin nicht erkältet.
"Ai Hayasaka is the best girl" ist aber ein besseres Passwort... habe ich gehört Kappa
Thx für das Video
😂
Wäre nicht keepasxc eine Alternative?
Wozu? Wie im Video erwähnt, ist das Gefahrenpotential gering
@@Florian.Dalwigk weil es bei der App diese Sicherheitslücke nicht gibt soweit ich das gelesen habe.
Schon klar, ich würde jetzt aber nicht extra den PW Manager wechseln. Das Update kommt ja bald.
FRAGE: Hallo Florian, du würdest also von 1password abraten?
Ich gebe hier keine Empfehlungen zu konkreten Produkten ab
Welchen Passwortmanager benutzt DU denn?
Meinem eigenen
@@Florian.Dalwigk Ok, und für diejenigen die keinen eigenen haben: Gibt es denn überhaupt einen Passwortmanager den du uneingeschränkt empfehlen kannst?
Da ich meine Passwörter auf mehreren Geräten benötige, betreibe ich eine eigene Instanz Vaultwarden.
Ich verwende immer noch Nordpass. Bin sehr zufrieden damit.
Was gefällt dir an Nordpass?
@@Florian.Dalwigk Erstens mal war es sehr günstig, zweitens kann ich sehr viele Geräte verwenden. Es werden Backups gemacht und die Passwörter werden auch lokal gespeichert im Falle eines Ausfalls.
Es hat einen Passwort Generator, Data Breach Scaner und zeigt an, wie viele und welche Passwörter die ich verwende schlecht sind und dringend geändert werden müssen.
Ich hatte am Anfang Dashlane aber da man nur ein Gerät verwänden und nur knapp 20 Passwörter kostenlos speichern kann bin ich auf Lastpass gewechselt. Nachdem du ein Video über einen Hack gemacht hast und ich auch von Lastpass selbst diesbezüglich eine Mail erhalten habe, bin ich schlussendlich auf Nordpass gewechselt. Ist vielleicht nicht die beste Entscheidung aber es funktioniert sehr gut XD.