Passwort-Manager: Alternative zu 1password auf allen Mac-Geräten

[warnochfrei]

KeePass funktioniert wunderbar ohne jede Internetverbindung und der Code ist kein Geheimnis. Ich sehe da kein Misstrauensproblem. Worin sollte das bestehen?

 

[agrajag]

Von Lastpass gab es häufiger Berichte, dass da Daten rausgetragen werden

Wenn ich nicht irre, sind da noch KEINE Secrets rausgetragen worden. Insofern könnte man es sogar als Pro-Argument für sie verstehen.

, von mir hingegen noch keinen einzigen.

Bei dir WEISS man es nur nicht.

 

[Schlenk]

Wieso? Du hast doch gerade argumentiert, einem Fremden deine Passwörter in die Hand zu drücken sei schon in Ordnung, denn es wäre ja unverantwortlich, wäre er damit unvorsichtig. Was unterscheidet mich von (zum Beispiel) Lastpass?

Ehrlich gesagt regt mich das gerade auf, was Du schreibst. Meinst Du das ernst? Lastpass ist ein Softwareunternehmen. Es gibt eine Rechtsgrundlage für die Nutzung der Software - nämlich einen Vertrag. Ohne jetzt Details zu kennen, kann das Softwareunternehmen damit insbesondere auch Haftbar (beispielsweise bei grober Fahrlässigkeit) gemacht werden. Wenn ich Dir jetzt meine Passwörter schicke, dann ist die Grundlage hierfür ein Beitrag in einem Forum, dass Du die Passwörter auch verschlüsselst. Merkst Du selbst oder?

 

[warnochfrei]

Ehrlich gesagt regt mich das gerade auf, was Du schreibst.

Da siehst du mal, wie das ist…

Es gibt eine Rechtsgrundlage für die Nutzung der Software - nämlich einen Vertrag.

Den kannst du von mir auch haben.

Ohne jetzt Details zu kennen, kann das Softwareunternehmen damit insbesondere auch Haftbar (beispielsweise bei grober Fahrlässigkeit) gemacht werden.

Nutzungsbedingungen von Lastpass, auf deren Website verlinkt: https://www.goto.com/de/company/legal/terms-and-conditions
8.1 (i) widerspricht deiner Auffassung.

Merkst Du selbst oder?

🤷‍♂️

 

[BalthasarBux]

Davon gehe ich fest aus. Niemand wird Passwörter unverschlüsselt speichern. Das wäre wohl grob fahrlässig in der heutigen Zeit.

Wenn du wüsstest. Ich habe 2022 Dinge gesehen.

Und sonst: Habt euch mal wieder lieb und bleibt sachlich

 

[warnochfrei]

Aus aktuellem Anlass:
https://www.theverge.com/2022/12/22/23523322/lastpass-data-breach-cloud-encrypted-password-vault-hackers

Kein Problem, speichert gern eure Passwörter auch weiterhin auf dem Computer anderer Leute. Ihr habt ja immerhin einen Vertrag!

 

[pbro]

Auch das wird mich nicht davon abbringen, die Apple iCloud Keychain zu nutzen.
Alles eine Frage der Risikoabschätzung! Und natürlich glaube ich nur meiner Glaskugel…

Frohe Weihnachten

 

[gishmo]

Kein Problem, speichert gern eure Passwörter auch weiterhin auf dem Computer anderer Leute. Ihr habt ja immerhin einen Vertrag!

Nun ja, es werden die Hashs in der Cloud gespeichert. Ohne Account Passwort zunächst wertlos. So, wie sich der Artikel liest, benötigt man zum Entschlüsseln des Hashs das Passwort des Accounts. Nicht schlecht, aber steht und fällt mit der Qualität des Passwortes. (Besonders beliebt: "password", "superman", "jennifer", "starwars", "computer", "qwertz12345", " )

1P geht da weiter.

Für Interessierte:
https://1passwordstatic.com/files/security/1password-white-paper.pdf

Natürlich muss man dem Software Provider vertrauen, dass er keinen Murks macht. Das Risiko halte ich allerdings für geringer als meine Passwörter lokal auf einen Rechner zu speichern. Risiken wie: Hardware-Defekt, Brand, Überspannung, Diebstahl der Hardware muss man bedenken. Dazu kommt das Risiko, dass der eigene Rechner infiziert wird/ist. Und nein, Macs sind nicht immun. Hatte selbst einen Trojaner zwei Wochen lang aktiv auf meinem System, bevor ich ihn entdeckt und eliminiert habe. (Ist über einen offiziellen Download verteilt worden - npm is a failure by design ... )

npm: Node Package Manager -> https://www.geeksforgeeks.org/node-js-npm-node-package-manager/

 

[warnochfrei]

So, wie sich der Artikel liest, benötigt man zum Entschlüsseln des Hashs das Passwort des Accounts.

Das mag ja durchaus sein, aber auf einer lokalen Kopie der Datenbank mit vermutlich im Klartext vorliegenden Benutzernamen / E-Mail-Adressen (schlimm genug) ist Brute Force mit "password", "superman", "jennifer", "starwars", "computer", "qwertz12345" und so weiter ziemlich trivial - und etwas kompliziertere Passwörter dauern auch nicht lange.

Wer bei LastPass war, dessen Passwörter sind nun als Allgemeingut zu verstehen.

 

[gishmo]

Das mag ja durchaus sein, aber auf einer lokalen Kopie der Datenbank mit vermutlich im Klartext vorliegenden Benutzernamen / E-Mail-Adressen (schlimm genug) ist Brute Force mit "password", "superman", "jennifer", "starwars", "computer", "qwertz12345" und so weiter ziemlich trivial.

wohl war, aber auch bei Hashs in der Cloud. Von daher ist der Ansatz von 1P sehr interessant.

Auch sehr gut: Passwort-geschützte Access-Datenbanken ....

 

[svengali]

Wer bei LastPass war, dessen Passwörter sind nun als Allgemeingut zu verstehen.

Und wie viele Tausend Brut-Force-Attacken lassen die Diebe parallel laufen, um mal ein Erfolgserlebnis zu haben? Stelle ich mir teuer und kompliziert vor, so viel Rechenleistung zu bündeln. Über Amazon werden die es wohl kaum laufen lassen.

 

[warnochfrei]

Es gab keinen Diebstahl. Es wurde etwas kopiert, aber nichts gestohlen. Im Übrigen gilt: Nein, das ist weder teuer noch kompliziert.

 

[svengali]

Wer bei LastPass war, dessen Passwörter sind nun als Allgemeingut zu verstehen

aber nichts gestohlen

was denn nun? Nichts gestohlen oder Allgemeingut?

 

[warnochfrei]

Diebstahl: Etwas ist nicht mehr dort, wo es vorher war. Dem ist nicht so.
Allgemeingut: Jeder kann und darf es benutzen. Dem ist so.

Keine Ahnung, wo du da einen Widerspruch siehst.

 

[Killerkaninchen]

Folgendes:

Eigentum ist Diebstahl.
Folglich ist Diebstahl Eigentum.
Folglich gehört alles jedem.

 

[picknicker1971]

Es gab keinen Diebstahl. Es wurde etwas kopiert, aber nichts gestohlen. Im Übrigen gilt: Nein, das ist weder teuer noch kompliziert.

Der Begriff "Datendiebstahl" ist der umgangssprachliche Terminus für den Straftatbestand StGB "Ausspähen von Daten"
Und ist Übrigens ein Unterparagraf des 202 "Verletzung des Briefgeheimnis"

Genauso wenig wie eine Raubkopie in den seltensten Fällen mit der für Raub notwendigen Nötigung einhergeht

 

[warnochfrei]

Der Begriff "Datendiebstahl" ist der umgangssprachliche Terminus

Dies ist - mehr oder weniger - ein Technikforum, da kann ein wenig Präzision nicht schaden.

der umgangssprachliche Terminus für den Straftatbestand StGB "Ausspähen von Daten"

Das StGB ist für von den nicht in Deutschland stehenden Servern von LastPass kopierte Daten nicht von Belang.

 

[picknicker1971]

Das StGB ist für von den nicht in Deutschland stehenden Servern von LastPass kopierte Daten nicht von Belang.

Natürlich nicht, da LastPass bzw GoTo ja auch nicht die Schuldigen im Sinne des StGB 202a sind.

Und abgesehen davon ist der Vertragspartner für D in IRL und somit zumindest in der EU

 

[warnochfrei]

Natürlich nicht, da LastPass bzw GoTo ja auch nicht die Schuldigen im Sinne des StGB 202a sind.

Sind die Datenkopierer denn Deutsche? Ansonsten ist das StGB hier völlig irrelevant.

 

[svengali]

Ansonsten ist das StGB hier völlig irrelevant

Das StGB richtet sich nach Tatort, nicht nach Nationalität