Passwortvorschläge von Apple...

[maba_de]

Wenn ich Keychain Access aufrufe bekomme ich mittlerweile diese Meldung.

ich denke, ein Grund für die Trennung ist, dass man seinen Passwort Schlüsselbund jetzt auch mit anderen teilen kann. Entweder komplett oder teilweise.
So ala 1Password und Co.
Das wäre mit dem Schlüsselbund nicht möglich, denn dort sind auch Dinge drin, die man definitiv nicht teilen darf/will.
S/Mime Zertifikate z.B..

 

[picknicker1971]

Sprich Finger weg von solchen YPS Anbietern wie web.de und gmx.de

Was genau disqualifiziert gmx.de?

 

[OmarDLittle]

Was genau disqualifiziert gmx.de?

Von vornherein das Geschäftsmodell für kostenlose Konten, werbeverseucht und selbstverständlich wirst du dann zum Produkt. Kann man natürlich auch bezahlen, aber die inhärenten Nachteile bleiben. Das heißt, du teilst dir Mailserver und Domain mit tausenden von Usern. Entsprechend viel Spam wird über die Mailserver von gmx geschickt, entsprechend oft landen gmx-Mailserver auf Blacklists und dadurch passiert es regelmäßig, dass Firmen, gmail und andere Anbieter Mails von gmx als Spam einstufen und direkt in den Spamordner wegsortieren, obwohl du selbst natürlich nicht Spam verschickst. Noch dazu hast du keinen Anspruch auf deine E-Mailadresse. Solche Mailanbieter können dir kündigen, oder gmx könnte überhaupt den Betrieb einstellen, damit ist deine Mailadresse futsch.

Wenn du einen dedizierten Mailanbieter wie migadu.com nimmst und dir dazu um 2-3 Euro pro Monat eine Domain kaufst, hast du beliebige E-Mailadressen und die auf Lebenszeit. Das alles dann um ca. 10 Euro im Monat insgesamt (damit kann die ganze Familie ausgestattet werden, zumindest bei migadu gibt es keine Limitierung bei der Anzahl der Postfächer). Und fähige Admins die darauf achten, dass die Reputation der Mailserver exzellent ist und deine Mails niemals in einem Spamordner landen werden.

 

[tbo]

ich denke, ein Grund für die Trennung ist, dass man seinen Passwort Schlüsselbund jetzt auch mit anderen teilen kann. Entweder komplett oder teilweise.
So ala 1Password und Co.
Das wäre mit dem Schlüsselbund nicht möglich, denn dort sind auch Dinge drin, die man definitiv nicht teilen darf/will.
S/Mime Zertifikate z.B..

Möglich, Keychain Access verwirrt auch die meisten bloß, ~20 mal ein application password für "com.apple.assistant" zu haben oder sehr viele public keys aber sonst steht da nicht wofür die eigentlich sind. Daher ist das sehr seltsam. (bei den Keys sind die public ones wirklich für alle zugänglich, der private bloß für identyservicesd

Von vornherein das Geschäftsmodell für kostenlose Konten, werbeverseucht und selbstverständlich wirst du dann zum Produkt.

Ich bin früher auch bei GMX gewesen, hatte sogar mal eine Weile einen bezahltes Konto aber das ist ~20 Jahre her. Mich hat damals sehr gestört, dass wenn ich eine E-Mail auf den IMAP-Server kopiert hatte, die Uhrzeit der Nachricht geändert wurde. Lag vielleicht daran, dass ich zu dem Zeitpunkt nicht in DE gewohnt habe aber egal.

Ich bin dann doch von GMX weg, auch weil die GMX-Seite immer schlimmer wurde. Den Webmailer musste man manchmal wirklich suchen und die Einstellungen waren auch nicht wirklich einfach zu finden. Heute nerven GMX und Web.de mit Nur-HTML-Mails und anderen seltsamen Dingen. Ich bin dann bei Gmail gelandet, welches wirklich gut gewesen ist. Nun Fastmail und seit kurzem mit primärer E-Mail-Adresse endlich mit eigener Domain.

 

[Nevikov]

Was genau disqualifiziert gmx.de?

Ist eben kein E-Mail-Anbieter, sondern eine Werbefirma. E-Mail-Nutzung ist da nur Mittel zum Zweck. Und du bist das Produkt. Wenn man damit leben kann und will, gerne. Aber ich persönlich raten jedem ab, dort oder bei webDOTde ein Konto zu führen. Siehe auch den Datenschutz dort: Alles was nicht bei 3 auf dem Baum ist, wird verwendet und verkauft.
Dazu auch dies:
https://de.wikipedia.org/wiki/GMX#Kritik

Meine Empfehlung hierbei ist mailbox.org oder Posteo. Auch, wenn es einen kleinen Taler kostet, ist es das wert.

 

[Nevikov]

Und das auch nur, weil Pest und Cholera zusammengekommen sind.

Na ja, ist ja nicht das erste Mal, dass Sicherheitslücken in Verbindung mit Microsoft gebracht werden. Da läuft scheinbar einigen schief; gerade in Verbindung mit deren Cloud. Vielleicht mögen die Details des Artikels nicht stimmen (was ich jetzt nicht überprüfte), aber einen Grund extra (!) gegen Microsoft zu schießen sehe ich darin auch nicht. Die FAZ ist ja kein Konkurrent von Microsoft. Also würde ich da, falls der Artikel nicht korrekt ist, nicht von Absicht sprechen. Auch würde ich diesen Fall nicht damit Kleinreden (wirkt so auf mich etwas), dass da Pest und Cholera zusammenkamen. Und ist auch nicht das, was ich sonst zu dem Fall las. Irgendwie dient das nämlich immer mehr als Ausrede. Bspw. Ransomware. Natürlich ist dann keiner dafür verantwortlich, weil „ungünstiges“ zusammenkam. Siehe dazu auch den Fall „Südwestfalen IT“. Da wurde auch die Verantwortung der eigenen IT an die Hacker übertragen und dass man ja nichts machen konnte. Die Verantwortung, die eigenen Systeme ausrechend zu schützen, wenn man so etwas anbietet. Stimmt nur nicht, dass man dort nichts hätte machen können. Die Admins dort haben einfach einen miesen Job gemacht, wofür man anderswo haushoch rausfliegen würde. Und genau diese Abweisung von Verantwortung und das Runterspielen plus das Verheimlichen ist das, was so bitter aufstoßt. Neben dem natürlich, dass da Inkompetenz wohl auch eine entscheidende Rolle spielte.

Falls du aber andere Quellen hast, teile sie gerne Ich lerne gerne dazu.

 

[Cassiuzz]

Vll noch ein Nachtrag in Punkto Sicherheit mit Bezug auf AUTH Apps:

Man sollte darauf achten, dass wenn man AUTH Apps benutzt, diese auch deine
2FA Tokens lokal & verschlüsselt backuppen können, oder eben einem Ablageort deiner Wahl!

Authy z.B. kann sowas!
https://authy.com/blog/how-the-authy-two-factor-backups-work/

Google Authenticator kanns nicht!!!
Sprich du kannst deine Token nicht backuppen bzw exportieren, sondern "nur" vom z.B. alten Handy aufs neue übertragen per QR Code!
Ja, Google bietet seit einiger Zeit an, deine Tokens in der Cloud zu speichern! Ob man das möchte muß jeder für sich selber entscheiden!
https://security.googleblog.com/2023/04/google-authenticator-now-supports.html

Wenn du dein Handy allerdings verlierst oder ers wurde geklaut, dann Gute Nacht!
Beim GA sollte man evtl. zur Sicherheit "alle" 2FA QR Codes, die einem für jedes Konto angezeigt werden, screenshoten, benennen (2FA QR Amazon etc.) und dann z.B. auf einem verschlüsselten USB Stick ins Schließfach legen!

Btw: Hat man sich schlauerweise "vorher" mal Google Backup Codes erstellt und diese kopiert oder ausgedruckt, kommt man auch ohne AUTH in sein Google Konto!

Werde allerdings mal Aegis AUTH probieren! (Android only)
Quelloffen und wurde von einem OPSEC empfohlen
https://getaegis.app/

Oder eben wie @lisanet schon vorher angemerkt hat, Passkeys verwenden!
Also wenn sie denn mal auch flächendeckend überall eingeführt werden sollten!

 

[agrajag]

Viele Passwortmanager können auch TOTP. TOTP-Seeds zusammen mit dem Passwort im gleichen Vault abzulegen ist nicht ideal, da ein(e) Angreifer:in, sobald er/sie Zugriff auf den Vault hat, auch den 2nd Factor im Besitz hat. Aber: man kann sie in einem seperaten Vault ablegen (natürlich mit einem eigenen Passwort). Auf diese Weise sind die 2FAs auch im normalen Backup und können bei Bedarf über den gleichen Mechanismus wie die anderen Vaults synchronisiert werden.

So mache ich das mit Keepass/Strongbox.

 

[maba_de]

Na ja, ist ja nicht das erste Mal, dass Sicherheitslücken in Verbindung mit Microsoft gebracht werden.

das stimmt. Aber man muss dabei bedenken, das Industrie Spionage vom "Umsatz" her größer ist als der weltweite Drogenhandel. Hier wird eine mittlerweile extrem hohe Kriminalität an den Tag legt. Microsoft ist Keyplayer Nr. 1 im Business und wird täglich Tausende Male angegriffen.
Im vorliegenden Fall sind einige Bugs und ein technischer Fehler zusammen gekommen.
Im einer reinen Testumgebung wurde ein Debug File erzeugt, in dem aufgrund eines Bugs versehentlich ein M365 Login Passwort gespeichert war.
Der eigentliche Fehler war, dass dieses Debug File von externen Angreifern erbeutet werden konnte. Das hätte nie die Testumgebung verlassen dürfen.
Da war also verdammt viel Glück auf Seiten der Angreifer.
Aber, um es klar zu sagen, so etwas darf nicht passieren, keine Frage!

Also würde ich da, falls der Artikel nicht korrekt ist, nicht von Absicht sprechen.

Unwissenheit macht es noch schlimmer, denn hier wird ein Bedrohungsszenario aufgebaut und ein Hersteller diskreditiert mit Vorwürfen, die schlicht nicht stimmen. Deshalb sollte man nicht alles glauben, nur weil irgend Jemand es schreibt.
Es gibt seriöse Quellen wie das BSI, bei denen man sich Infos holen kann. Und die haben die berühmte Kirche im Dorf gelassen, weil es keinen Grund gab, das Thema aufzublähen.

Auch würde ich diesen Fall nicht damit Kleinreden (wirkt so auf mich etwas), dass da Pest und Cholera zusammenkamen. Und ist auch nicht das, was ich sonst zu dem Fall las.

wie gesagt, das ganze wurde völlig unnötig aufgeblasen.
Frag dich mal, warum die Chinesen die iCloud nicht angreifen. Ich mache es dir leicht, die iCloud Daten ALLER chinesischen User müssen auf chinesischen Regierungsservern gespeichert werden. Die haben also eh Zugriff, da muss nichts angegriffen werden.

 

[lisanet]

Wenn du dein Handy allerdings verlierst oder ers wurde geklaut, dann Gute Nacht!
Beim GA sollte man evtl. zur Sicherheit "alle" 2FA QR Codes, die einem für jedes Konto angezeigt werden, screenshoten, benennen (2FA QR Amazon etc.) und dann z.B. auf einem verschlüsselten USB Stick ins Schließfach legen!

nee, nix "Gute Nacht"

Wenn man die in macOS / iOS / iPadOS integrierte Atuh-Funktion nutzt, dann hat man all diese Probleme nicht. Da wird das zwischen den Geräten synchronisiert, wenn man iCloud aktiviert hat.

Wer natürlich aus Prinzip und Ideologie auf moderne Funktionen verzichtet und/oder auf veraltete Betriebssysteme steht, der hat halt Pech und muss sich anderweitig um die Sache kümmern.

 

[Cassiuzz]

nee, nix "Gute Nacht"

Wenn man die in macOS / iOS / iPadOS integrierte Atuh-Funktion nutzt, dann hat man all diese Probleme nicht. Da wird das zwischen den Geräten synchronisiert, wenn man iCloud aktiviert hat.

Wer natürlich aus Prinzip und Ideologie auf moderne Funktionen verzichtet und/oder auf veraltete Betriebssysteme steht, der hat halt Pech und muss sich anderweitig um die Sache kümmern.

"Gute Nacht" war nur bezogen auf das Szenario Google Auth + Handy futsch!
Ich rede nicht von Apples 2FA mit dem du deine Gerät entsperrst, sondern von den 2FA Tokens für z.B. Amazon, Ebay, Paypal, Discord etc.

Oder stehe ich gerade auf dem Schlauch?

 

[lisanet]

Also wenn sie denn mal auch flächendeckend überall eingeführt werden sollten!

bei einigen Accounts, die mit Kauf/Verkauf (beim großen Fluss und der e-Bucht) zu tun haben, gibt es sie schon.

 

[lisanet]

"Gute Nacht" war nur bezogen auf das Szenario Google Auth + Handy futsch!
Ich rede nicht von Apples 2FA, sondern von den 2FA Tokens für z.B. Amazon, Ebay, Paypal, Discord etc.

Oder stehe ich gerade auf dem Schlauch?

kann ich nicht 100% sicher beantwortet ob du auf dem Schlauch stehst, könnte aber sein.

Wenn du bei Amazon etc. 2FA für dein Konto machst und dafür die in aktuellen Apple-Betriebssystemen integrierte Auth-Funktion nutzt, wird das alles über all deine Apple Geräte gesynct. Du kannst also auf dem Mac mit der macOS-eigenen Auth-Funktion 2FA bei amazon, ebay, whatever einrichten und kannst dich dann ebenso auf dem iPhone/iPad oder anderem Mac mit der 2FA-Auth-Funktion einloggen.

Es ist auf aktuellen Apple-Systemen keinerlei separate 2FA-Auth-App notwendig.

Die integrierte Auth-Funktion schlägt dir auch den entsprechenden Auth-Code bei einloggen und Betreten des Code-Feldes automatisch vor. Bequemer und besser integriert geht es nicht.

Also... stehst du immer noch auf dem Schlauch?

 

[Kyoto]

Wenn du bei Amazon etc. 2FA für dein Konto machst und dafür die in aktuellen Apple-Betriebssystemen integrierte Auth-Funktion nutzt, wird das alles über all deine Apple Geräte gesynct. Du kannst also auf dem Mac mit der macOS-eigenen Auth-Funktion 2FA bei amazon, ebay, whatever einrichten und kannst dich dann ebenso auf dem iPhone/iPad oder anderem Mac mit der 2FA-Auth-Funktion einloggen.

ich würde das auch gerne nutzen aber irgendwie funktioniert das bei mir nicht.. Ich habe z.b. bei Amazon und Paypal versucht sowohl 2FA als auch Keypass einzurichten. Egal was ich aber einstelle, ich bekomme immer wieder wie "früher" eine SMS mit einem Code bei der Anmeldung. In Paypal kommt erst die Meldung mit Passkey anmelden aber direkt danach kommt auch da dann wieder die SMS -Abfrage.

Wie kann ich den die in iOS integrierte 2FA/KeyPass Funktion nutzen?

 

[Cassiuzz]

kann ich nicht 100% sicher beantwortet ob du auf dem Schlauch stehst, könnte aber sein.

Wenn du bei Amazon etc. 2FA für dein Konto machst und dafür die in aktuellen Apple-Betriebssystemen integrierte Auth-Funktion nutzt, wird das alles über all deine Apple Geräte gesynct. Du kannst also auf dem Mac mit der macOS-eigenen Auth-Funktion 2FA bei amazon, ebay, whatever einrichten und kannst dich dann ebenso auf dem iPhone/iPad oder anderem Mac mit der 2FA-Auth-Funktion einloggen.

Es ist auf aktuellen Apple-Systemen keinerlei separate 2FA-Auth-App notwendig.

Die integrierte Auth-Funktion schlägt dir auch den entsprechenden Auth-Code bei einloggen und Betreten des Code-Feldes automatisch vor. Bequemer und besser integriert geht es nicht.

Also... stehst du immer noch auf dem Schlauch?

Nee, JETZT nicht mehr
Also ich vor Jahren alle diese Konten eingerichtet habe, wurde mir keine Apple AUTH Funktion angeboten!
Oder ich habs schlicht übersehen?

Nutze allerdings ein Android Handy zum Mac!
Das olle iPhone SE 1. Gen mit schwachem Akku dient nur dem Backup!
Ich werds aber mal nachträglich testen, indem ich 2FA für Amazon deaktivieren und erneut aktiviere!
Merci


Btw:
Du meinst mit Apples 2FA jetzt aber nicht Keypass für externe Konten, oder?

 

[lisanet]

ich würde das auch gerne nutzen aber irgendwie funktioniert das bei mir nicht.. Ich habe z.b. bei Amazon und Paypal versucht sowohl 2FA als auch Keypass einzurichten. Egal was ich aber einstelle, ich bekomme immer wieder wie "früher" eine SMS mit einem Code bei der Anmeldung. In Paypal kommt erst die Meldung mit Passkey anmelden aber direkt danach kommt auch da dann wieder die SMS -Abfrage.

Wie kann ich den die in iOS integrierte 2FA/KeyPass Funktion nutzen?

wenn du zusätzlich zu Passkeys eine 2FA-Aufforderung erhälst, musst du halt 2FA abschalten. War bei mir bei ebay auch so. Nachdem das deaktiviert wurde, hat sich 2FA erledigt. Passkeys - 2FA sind voneinander unabhängig.

 

[lisanet]

Btw:
Du meinst mit Apples 2FA jetzt aber nicht Keypass für externe Konten, oder?

2FA = zweiter Faktor wird angefordert und erstellt. Das meine ich.

Keypass ist eventuel ein Programm für irgendwas

Passkeys ist das passwortlose einloggen mittels Token nach dem FIDO2 Standard. Das meine ich nicht. Aber auch das wird über alle Apple-Geräte hinweg gesynct. Ebenso wie 2FA

Hier die Anleitung für 2FA in iOS für die Anmeldung bei Webseiten -> https://support.apple.com/de-de/guide/iphone/ipha6173c19f/ios

Hier die Anleitung für Passkeys auf iOS zum Anleden auf Webseiten -> https://support.apple.com/de-de/guide/iphone/iphf538ea8d0/ios

 

[BEASTIEPENDENT]

Mir wurde auch noch nie eine Apple-Auth angeboten. Darum habe ich den Microsoft Authenticator. Würde natürlich gerne wechseln. Muss ich mal nachlesen, ob diese Neuerung an mir vorübergegangen ist – oder der jeweilige Anbieter das Verfahren auch zur Verfügung stellen muss.

 

[lisanet]

Mir wurde auch noch nie eine Apple-Auth angeboten.

Die musst du schon selbst einrichtgen. Passkeys wird dir angeboten

Für 2FA und iOS siehe mein Link oben. Für macOS funtkioniert es analog.

Es ist sicher an dir vorbei gegangen.

 

[Kyoto]

Passkeys ist das passwortlose einloggen mittels Token nach dem FIDO2 Standard. Das meine ich nicht. Aber auch das wird über alle Apple-Geräte hinweg gesynct. Ebenso wie 2FA

Mit Passkeys Nutzung kann man sich 2FA also eigentlich sparen?