In der heutigen Episode vergleicht Sven zwei Passwortmanager auf Ihre übereinstimmung mit seinen Anforderungen an einen Passwortmanager. Zusätzlich wird auch immer mal ein Blick auf andere Passwortmanager geworfen, damit Sven abschließend seinen gnadenlosen Gewinner küren kann.
Kontakt
Website: 0x0d.de – Email: Feedback@0x0d.de (PGP) – Signal: +4916098720733
Twitter: @Zeroday_Podcast – Mastodon: @zeroday@chaos.social
Hausmeisterei
Datenverluste
- 22.03.2022: Gameserver: Datenleck bei Zap Hosting – Golem.de
- 22.03.2022: Hack: Lapsus$ veröffentlicht interne Daten von Microsoft – Golem.de
- 30.03.2022: Globant: Neues Lapsus$ Leak trifft auch Apple und Facebook
News
- 25.03.2022: Hacker-Gruppe Lapsus$: Sieben Teenager in Großbritannien festgenommen | heise online
- 24.03.2022: ContiLeaks: Chats Reveal Over 30 Vulnerabilities Used by Conti Ransomware – How Tenable Can Help – Blog
- 04.04.2022: Hackers breach MailChimp’s internal tools to target crypto customers
- 12.03.2022: Pornoplattform: xHamster umgeht Sperre der Medienaufsicht – Golem.de
- 04.03.2022: Mieterdiskriminierung: Brebau muss knapp 2 Millionen DSGVO-Strafe zahlen | heise online
- 26.03.2022: DSGVO: Google sammelte heimlich Daten in vorinstallierten Apps – Golem.de
- 23.03.2022: Visumfreies Reisen: US-Behörden wollen Zugriff auf Fingerabdrücke in Deutschland – Golem.de
- 06.04.2022: Datenschützer: Google führt „Alles ablehnen“-Button ein
- 06.04.2022Landesdatenschutzbeauftragte will Facebook-Fanpages von Landesbehörden verbieten | heise online
- 02.04.2022: Viasat: Wiper-Malware hat Ausfall des Satellitennetzwerks KA-Sat verursacht | heise online
Thema:
- 0d003 – Passwörter & Passwort-Manager | Zeroday
- 0d068 – So einfach ist Credential Stuffing | Zeroday
- KeePass Password Safe
- KeePass Security
- CVE-2022-0
- Insg. 5 CVEs mittlerer Kritikalität
- Bitwarden
- GDPR, HIPAA Compliant, 3rd PArty Audits
- Bitwarden Security
- 2 CVEs mittlererer Kritikalität (Server)
- Kritische Lücke im Mac-Schlüsselbund: Wie sich Nutzer schützen können | heise online
- Lastpass: Security Incidents und Breaches 2011, 2015, 2016, 2017, 2019, 2021
- 1Password dropped support for local vaults
- 1Password hat auch diverse Audits hinter sich
Fun and other Thinks
Aufgenommen am: 09.04.2022
Veröffentlicht am: 10.04.2022
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).
Hallo zusammen,
ihr habt in eurer aktuellen Sendung zu Unrecht auf der öffentlichen Verwaltung (ÖV) rumgehauen.
Das Thema OSS ist sehr present, wird in vielen Ausschreibungen mindestens besser bepunktet und immer öfter vorgeschrieben. Auch der Koalitionsvertrag der Ampel sieht OSS in der ÖV als besonders erstrebens- und förderungswert.
Wenn ihr dazu mehr wissen wollt, empfehle ich euch meinen Podcast. Gern können wir uns auch mal gesondert austauschen.
Viele Grüße
Torsten
Wow, Du hast ja richtig viele Folgen, was empfiehlst Du denn zum Thema? Open Source in Schleswig-Holstein?
So für den Anfang folgende:
– https://egovernment-podcast.com/egov094-pg-zendis/
– https://egovernment-podcast.com/egov095-oss-sh/
– https://egovernment-podcast.com/egov081-do-foss/
– https://egovernment-podcast.com/egov068-digitale-souveraenitaet/
Danke, ist jetzt in meinem Podcatcher.
Was genau hattest Du denn an Kypass auszusetzen?
Nutze ich seit Jahren auf iOS mit Webdav und 2FA.
Auszusetzen ist wohl das falsche Wort dafür. Ich habe KyPass auch jehrelang benutzt und damals als ich es ausgesucht habe, war es fast alternativlos. Zumindest, wenn man am iPhone WebDAV für Keepass wollte. Aber die Welt hat sich weitergedreht. Kypass ist nicht OSS und wenn ich die Wahl habe, bevorzuge ich eine quelloffene Lösung (Regel 1). Ich nutze jetzt Strongbox, das ist quelloffen und das UI fühlt sich moderner an. Die IOS-Passwort-Integration scheint auch etwas besser zu funktionieren. Aber das Hauptargument ist für mich die Quelloffenheit.
OK. Das ist ein Argument.
Die Pro-Variante von Strongbox ist mir persönlich aber zu teuer.
Für die Hälfte würde ich es nehmen.
Ich habe zu oft teure Apps gekauft und die wurden dann irgendwann nicht mehr weiterentwickelt (läuft auf neueren iOSen nicht mehr), oder es wurde mal schnell auf ein Abo-Modell umgestellt.
Kypass hat mich eigentlich nie enttäuscht.
Ich hatte oft Kontakt mit dem Entwickler und er hat immer einwandfreien Support geliefert.
Also die 15€/Jahr finde ich ok, die anderen Preise finde ich auch unattraktiv. Ich bin aktuell noch im 90-Tage-Test und sollte ich bis dahin nicht auf Bitwarden umschwenken, werde ich wphl ein jährliches Abo abschliessen. Bitwarden liegt auch bei 10€ im Jahr. Zur Sicherheit einer Applikation gehört für mich auch eine solide finanzielle und personelle Basis, die einen sicheren Betrieb ermöglicht. Ich nutze auch sehr viel kostenlose Software,m aber hier gilt Regel 1 😉
Eine nierdrigschwellige Möglichkeit, Bitwarden zu testen, ist der Docker-Container „Vaultwarden“.
Den kann man lokal im eigenen Netz installieren, ohne ein großes Risiko einzugehen.
Dann muss man keinen Account bei Bitwarden erstellen, um Bitwarden zu nutzen.
Für mich ist es immer ein Hemmnis, einen weiteren Onlineaccount erstellen zu müssen.
Und gerade Passwörter will ich keinem anderen Anbieter anvertrauen.
Bei Passwort-Managern sollte man den Unix-Standard nicht vergessen: https://www.passwordstore.org/
Für mich bleibt Keepass alternativlos. Azure, Cloud, Usa, Passwörter. Bah, da rollts mir die Fußnägel hoch. Trotzdem eine gute und wichtige Sendung. Hoffentlich hat der ein oder andere Hörer oder Hörerin jetzt Bock auf PW Manager bekommen und nimmt nicht mehr 1234567. 🙂 Grundsätzlich gilt halt: Komfort ist immer ein Verlust von Sicherheit. Für mich hat der PW Manager den Komfort unmenschliche Passwörter zu verwenden. Ich brauch dann persönlich keine fancy 800 Plugins um zwischen der DB und dem Browser zu interagieren. Die Autofill Funtion reicht völlig. Oft nutz ich nicht mal die.
Moin Jungs,
ich wollte mich einfach mal bei euch bedanken. Ich habe angefangen, euren Podcast zu hören, als es mit der Pandemie angefangen hat. Da ich mich sehr für IT-Security interessiere, habe ich damals auf Spotify – ja, ich weiß, ich habe inzwischen einen richtigen Podcatcher 😉 – nach einem Podcast zum Thema gesucht und euch gefunden. Ich habe bei der Null-Nummer angefangen und mich nach und nach durch jede Folge gehört. Inzwischen bin ich auf Stand und ich habe bisher jede Folge genossen.
Zum Thema: Ich benutze seit geraumer Zeit Bitwarden und habe (bisher) keine Probleme damit. Da es mein erster Passwort-Manager ist, habe ich keinen direkten Vergleich, aber der Funktionsumfang ist für mich in der kostenlosen Version völlig ausreichend und ich bin damit zufrieden, auch wenn meine Passwörter verschlüsselt in der Cloud gespeichert werden.
Beste Grüße
Vielen Dank für das Lob, das freut uns immer sehr zu lesen.
Ja, ich habe durch meine Recherche auch Bitwarden besser kennen und schätzen gelernt. Für die Mehrheit der Leute dürfte das der Passwortmanager der Wahl sein, da er einfach unkompliziert und überall funktioniert.
Hi Sven,
Welche Passwortmanger hattest du den in der Auswahl? In Zuge einer eigenen Recherche bin ich auf https://psono.com/ gestoßen ist die deutsche Variante von Bitwarden, allerdings sehr sher jung (damals vor 1/2Jahr war es 1 Entwickler)
Ich bin nicht gewechselt weil mir ein paar features gefehlt haben die ich mit KeePass Add-ons mache.
Grüße
Martin
Ich habe eher eine Empfehlung gegeben als eine große Auswahl vorzustellen. Das Ergbnis war letztlich: Wenn Du keinen Grund hast, Keepass zu nehmen, nimm Bitwarden. Psono klingt vielversprechend, aber für meine geheimsten Daten möchte ich nicht auf einen Newcomer vertrauen müssen.
Die Problematik der mannigfaltigen keepass-Clients sehe ich nicht. Natürlich sollte man, grade im Unternehmen, den Anwendungszoo schmal halten. Man muss ja nicht alles was geht erlauben. (Ich würde auch nicht jedem docker-Container trauen….)
Was keepass aufwerten würde, wären team-Funktionen, beispielsweise das Teilen bestimmter Ordner mit einer Anwendergruppe, die separate Schlüsseldateien verwenden oder das temporäre „leihen“ von Kennwörtern ohne sie offen zu legen.
Als Alternative einen US-Clouddienst ins Feld führen, ich weiß nicht…. Es gibt auch OnPrem -aus deutschen Landen (password safe), nur leider benötigt man dafür eine Vollzeitkraft, sehr komplex wenn auch mächtig. Für den Mittelstand bzw kleinere Teams ist die Auswahl am Markt schon eher knapp.
Hi,
ich bin beim Nachhören der Folgen gerade bei dieser Folge angekommen und wollte mal meinen Senf zu einer Kleinigkeit davon dazugeben.
Ich habe auch oft damit argumentiert, dass ja (sogar) der Server open source ist, also ist ein hohes Vertrauen gerechtfertigt. Seit ich aber konsequent mit dem Argument: „Du weißt nicht und kannst auch nicht überprüfen, was für Software da wirklich als Server läuft.“
Insbesondere seit ich mitbekommen habe, dass Signal mindestens einmal für ca. ein Jahr keine Updates am Server-Code-Repository Vorgenommen haben, obwohl der Server-Code offensichtlich weiterentwickelt (und ausgerollt) wurde.
(siehe z.B.:
https://archive.ph/MH4Bp <- Archiv von https://www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html
https://www.androidpolice.com/2021/04/06/it-looks-like-signal-isnt-as-open-source-as-you-thought-it-was-anymore/)
(rechtfertigung: https://github.com/signalapp/Signal-Android/issues/11101#issuecomment-815400676)