Die habe ich und habe nun erste Passwörter durch zufällig generierte ersetzt. Aber auf dem Handy ist das ja nur ein Container mit den Infos, oder? Woher weiß KeePass denn, was es auf welcher Seite wann wo wie einfügen muss? Das verstehe ich ehrlich gesagt noch nicht ganz.
Weiß nicht, was du mit „Container“ meinst, aber die App kann deine Datenbank verwalten.
Das automatische Ausfüllen funktioniert bei Websites über die URL, die du im Datenbankeintrag mit angibst.
Ja genau, mit Container meine ich die Datenbank. Ich muss also alle meine Logins auch mit der entsprechenden URL ausfüllen und KeePass zieht dann automatisch die Daten aus der Datenbank und füllt die Login Felder entsprechend aus?
Gibt es da für den PC ein Chrome Addon oder muss ich die Software von KeePass runterladen?
Dafür benutze ich das Kee Plugin. Gibt’s für Firefox und Chrome.
edit:
Du brauchst dafür noch KeePassRPC. Hier wird erklärt, was du mit der Datei machen musst (Quick Instructions).
1 „Gefällt mir“
Andere Frage.
Angenommen ich will mich an einem anderen Computer einloggen. Auf meinem Arbeits-PC oder bei meinen Eltern, irgendwo wo mein Passwortmanager nicht installiert ist.
Da ich meine Passwörter nicht kenne würde ich dann mein Smartphone rausholen wo meine Passwörter gespeichert sind und diese im Klartext anzeigen, sodass ich mich einloggen kann. Richtig?
Nehmen wir mal an ich will jetzt Online-Banking betreiben. Hebel ich mit einem Passwort-Manager dann nicht die 2-Faktor Authentifizierung aus?
Denn auf meinem Smartphone ist ja im Passwort-Manager sowohl mein Onlinebanking-Login-Passwort gespeichert als auch das Passwort um die TAN-App zu öffnen. D.h. letztendlich reicht es wenn man Handy in falsche Hände gelangt und das Master-Passwort meines Managers geknackt wird.
Das schlimme dabei ist ja, dass man aus Bequemlichkeit immer den Fingerabdrucksensor statt einem Passwort nutzt. Gehe ich jetzt mal davon aus, dass PW-Manager Apps diese Funktion auch anbieten, sieht es richtig blöd aus, denn schließlich sind Fingerabdrucksensoren nicht übertrieben sicher wenn man es ernsthaft drauf anlegt (zumindest behauptet das ja unter anderem der CCC).
Nunja, auch ohne den Fingerabrucksensor verhindert bei Handyverlust alleine das Masterpasswort einen größeren Schaden. Schließlich würde man in den Manager dann auch Passwörter von Banken, Elster, Versicherungen, usw. legen…
Oder übersehe ich was?
Würde ich grundsätzlich auch so verstehen. Dazu spontan zwei Lösungsansätze:
-
Du speicherst deine Banking-Daten ausschließlich in einer Datenbank auf dem PC, die du nicht mit dem Handy synchronisierst, so dass ein Verlust des Handys nicht gleichbedeutend mit dem Zugang zu deinem Konto wären, selbst wenn die Datenbank auf dem Handy geknackt wird. Nachteil hier natürlich, dass du dann in dem von dir beschriebenen Beispiel am PC auf der Arbeit oder daheim nicht banken kannst.
-
Du speicherst zwar deine Banking-Daten auf deinem Handy, diese sind aber nicht als solche zu erkennen.
1 „Gefällt mir“
Kommt auf den Manager an. Bei Bitwarden, wo die Passwörter in der Cloud gespeichert werden, kannst du auf eine Website gehen (habe ich weiter oben schon verlinkt), auf der du dich einloggen und das gewünschte Passwort rauskopieren kannst. Musste bisher noch kein Passwort im Klartext abtippen, wäre bei den zufallsgenerierten auch viel zu anstrengend.
Was du im Manager speicherst, ist natürlich dir überlassen, aber grundsätzlich ist es immer Abwägungssache, wie viel Sicherheit man durch Bequemlichkeit riskiert. Zumindest bei einer Cloud-Lösung würdest du bei Handyverlust dein Master-Passwort ändern, dann werden alle anderen Authentifizierungs-Methoden zurückgesetzt. Vielleicht gibt es bei lokalen Passwort-Managern ähnliche Notfall-Mechanismen? 
2 „Gefällt mir“
Um in den Szenarien kurz zu bleiben: Letzten Endes ist ein (noch-so-kompliziertes-) Passwort per se jetzt nicht die große Sicherheit.
Wenn ein Passwort-Manager rein zur Verwaltung von einfachen Passwörtern genutzt wird, dann ist das auch komplett alles unter Bequemlichkeit zu verbuchen - und genau das ist aber auch völlig okay, denn Passwörter sind nunmal auch an sich ätzend.
Wenn es wirklich um Sicherheit geht, dann sollte man sich mit Mehrfaktor-Authentifizierung einmal auseinander setzen.
Sprich ein weiteres Token, eine zusätzliche App oder sonstwas gibt einem einen weiteren Key oder fragt eine Freigabe an.
Dies kann zumeist mit einem PW-Manager im Zuge des Master-Passworts verbunden werden oder man macht dies für die einzelnen wichtigen Dienste (-zusätzlich).
Wozu auf jeden Fall die Nutzung eines Passwort-Managers bei mir beigetragen hat, ist die Übersicht meiner Accounts. Dahingehend bin ich mittlerweile auch einfach einige Accounts (und die Bürde derer Passwörter) losgeworden, da ich die Liste in meinem „Vault“ doch regelmäßig mal durchgehe.
Was die Notfall-Mechanismen angeht bin ich mir aber gerade nicht sicher, ob die Cloud-Anbieter da wirklich so viel besser dran sind.
Werden die Daten nicht komplett mit dem Master-PW verschlüsselt und dort abgelegt? Meinem Verständnis nach müsste der Vault komplett dicht sein, ohne den Schlüssel?!
Jeder Notfall-Mechanismus ist halt wieder ein Angriffsvektor… aber keine Ahnung… geht halt um Convenience…!?
Kennt jemand von euch eine gute Alternative für Doodle?
Also eine Terminumfrage/-abstimmung, wie Google Doodle oder früher terminfinder.net - im Zweifel auch zum selber hosten.
Bei uns liegen irgendwelche Excel-Dateien auf irgendwelchen SharePoint Freigaben und das ist echt einfach nur pain in the ass da mal mit 50/60 Leuten was abzustimmen, weil ja auch immer nur einer darauf zugreifen kann.
Ob sich für andere WebShops wohl ein eigener Thread anbietet?
Auf der Suche nach einer neuen Waschmaschine habe ich letzte Woche bei
bestellt. Einen Tag später kam die Maschine. Alles problemlos und sogar günstiger als bei Amazon.
Die TU Dresden hat da auch eine sprachlich sauber getrennte Variante entwickelt:
https://dudle.inf.tu-dresden.de/?lang=de
Schöne neue Welt:
Spotify has been granted a patent with technology that aims to use recordings of users’ speech and background noise to determine what kind of music to curate and recommend to them, Music Business Worldwide reports.
The patent outlines potential uses of technology that involves the extraction of “intonation, stress, rhythm, and the likes of units of speech” from the user’s voice. The tech could also use speech recognition to identify metadata points such as emotional state, gender, age, accent, and even environment—i.e., whether someone is alone, or with other people—based on audio recording.
[…] “What is needed is an entirely different approach to collecting taste attributes of a user, particularly one that is rooted in technology so that the above-described human activity (e.g., requiring a user to provide input) is at least partially eliminated and performed more efficiently,” reads the filing.
2 „Gefällt mir“
Meine Email ist ok, während die iOS Sicherheitsempfehlung mir vorschlägt, ich soll mein Passwort auf 140 Seiten anpassen. Da haben sich ganz schön viele Anmeldung mit einem Passwort angesammelt. Sehr viele davon sind einmalige Bestellungen, Foren, ÖV oder andere Seiten. Sorgen mache ich mir erst, wenn auf meiner Kreditkartenabrechnung Dinge drauf sind, die ich nicht gekauft habe.
2 „Gefällt mir“
Ggf einfach die Liste nutzen um die Accounts löschen zu lassen!?
Hier, Signal. Habe gerade über Signal eine Nachricht von einer Nr. die mit +84 angefangen hat bekommen, dass mein amazon-Konto für einen Gewinn ausgewählt wurde und ich ein iPhone 12 Pro gewinne. Direkt geblockt und gelöscht, aber warum passiert mir sowas ausgerechnet bei Signal (und nicht WhatsApp oder Telegram) und woher haben die meine Nr?
Gut, dass ich gar kein amazon-Konto habe. 
Wahrscheinlich aus irgendeinem Datenleak (nicht bei Signal).
Weil Signal gerade als „zuverlässig“ gilt und sie hoffen, dass die potentiellen Opfer öfter leichtgläubig drauf klicken? Wäre jetzt mein Tipp. Oder einfach: Zufall.
2 „Gefällt mir“
Nicht alle machen sich viele Gedanken über ihre Passwörter:
Die allgemeine Qualität der Passwörter dürfte auch für Angreifer von außen, die keine Einsicht auf Zettel im Austria Center hatten, als nicht besonders komplex gewertet werden, da Benutzername und Passwort zu einem guten Teil ident waren. Zudem waren die Log-in-Informationen für alle Konten lediglich durchnummeriert. Ein Beispiel: Lautete der Benutzername eines Kontos „Teststraße1“ und das Passwort „Teststraße1#Zusatz“, war es bei einem weiteren schlicht „Teststraße2“ beziehungsweise „Teststraße2#Zusatz“ und so weiter.
„Passwörter auf dem Tisch: Das Datenschutzdesaster auf Wiens Teststraßen - Netzpolitik - derStandard.at › Web“ Passwörter auf dem Tisch: Das Datenschutzdesaster auf Wiens Teststraßen - Netzpolitik - derStandard.at › Web
Klingt nach jeder Tastatur-Unterseite in deutschen Behörden 
:-/
Was Apple seit einiger Zeit in Sachen Privacy macht, ist schon nicht schlecht. Vor allem merkt man das an den Reaktionen von Google und in erster Linie facebook. Seit Apple in iOS „nutrition labels“ für Apps eingeführt hat, die anzeigen, welche Daten abgesaugt werden, gehen sie auf die Barrikaden.
Google hat aus diesem Grund in diesem Jahr nur drei seiner 86 (!) Apps geupdatet:
Davor kamen diese Updates so gut wie alle zwei Wochen. Die gute Nachricht ist, dass Aussitzen keine gute Option ist, da die User jetzt schon automatisierte Meldungen kriegen, dass die App veraltet ist. Und weil Apple nicht einknicken wird.
Zusätzlich ist man jetzt mit iOS-Geräten davor sicher, dass Google IP-Adressen erhält, wenn man deren Dienste nutzt, indem sie eine Art Apple-Proxy zwischen User und Google schalten und die Spuren des Users für Google verwischen/verschlüsseln:
Letztendlich bleibt es natürlich dabei, dass a) Google Apple gutes Geld dafür zahlt, dass sie die Default-Suchmaschine in Safari sind und b) auch Apple-Geräte natürlich nach Hause telefonieren und personenbeziehbare Hardware-Daten an seine Server schicken. Aber man eliminiert damit zumindest mal die Google-Server. Ohne da in großartigen Jubel zu verfallen, aber je weniger Dienste deine Daten bekommen, umso besser - es sei denn, am Ende landet alles bei einem großen Konzern, der so mächtig wird, dass… #skynet
Und Google/facebook haben momentan keine richtige Handhabe und werden diesen Streit wohl verlieren. Nebenbei will man in Android demnächst wohl auch privacy labels einbauen, um facebook eins auszuwischen. Kann für den User nur positiv sein.
2 „Gefällt mir“