Hacking mit Python amzn.to/3pxVnmh (*) (*) Bei den Amazon-Links (https.//amzn.to/???????) handelt es sich um Affiliate-Links. Wenn du etwas über diesen Link kaufst, bekomme ich eine kleine Provision. Der Preis ändert sich nicht, wenn du über diesen Link einkaufst. Vielen Dank für deine Unterstützung.
Ich nutze Bitwarden, aktuell die cloudbasierte Version, einfach aus Bequemlichkeit, damit überall (und OS-übergreifend) auf meine Passwörter zugreifen zu können. Habe den Login zusätzlich mit einem Yubikey abgesichert, d.h. der einzige cloudspezifische Schwachpunkt ist, wenn die verschlüsselte Passwortdatenbank geleakt werden sollte. Klar, theoretisch kann sowas passieren, aber dann müsste erstens das passieren und zweitens müsste man mein Masterpasswort herausfinden, um an meine Passwörter zu gelangen. Und selbst dann sind die enthaltenen Logins (sofern von der Webseite angeboten) durch 2FA abgesichert. Meine Frage: würde ich wirklich so viel mehr Sicherheit gewinnen, wenn ich den Dienst selbst hosten würde? Mein Zuhause ist ja nicht unbedingt sicherer als ein Clouddienst und ich behaupte mal, dass die Wahrscheinlichkeit, einen Konfigurationsfehler zu machen (oder bei eigener Implementierung einen Bug einzubauen), um ein Vielfaches höher ist als den Clouddienst zu nutzen, oder liege ich komplett daneben?
Habe seit 4-5 Jahren keine Animes mehr geschaut, gab es wieder paar neue krasse Animes? Auf dem Level von Death Note, Steinsgate, Attack on Titan, Tokyo Ghoul, Code Geass? Habe mal gehört Demon Slayer soll Gut sein, aber ich würde gerne wieder ein intelligent durchdachten Anime wie Death Note oder Code Geass bevorzugen.
Tolles Video! Du rätst ja von Passwort-Mgr ab, die Passwörter in der Cloud speichern. Was hältst du von einem self-hosted Vaultwarden-Server (ehemals bitwarden-rs), der auf meinem Raspi im LAN zuhause läuft, und alle Daten lokal speichert? Die Verbindung (Login etc.) habe ich noch mit einem self-signed SSL-Zertfikat abgesichert, welches ich auf allen meinen Geräte installiert habe. Um nicht nur zuhause im LAN, sondern auch von unterwegs zugreifen zu können, habe ich mir noch einen VPN-Server am Raspi installiert - somit kann ich sehr bequem mit dem OpenVpn Client am Smartphone von überall aus meine Passwörter synchronisieren. Hast du zu meinem „System“ auch irgendwelche Bedenken oder Tipps, die du mir mitgeben könntest? Liebe Grüße Andi
Danke dass du immer so schnell Videos zu den aktuellen Themen machst. BTW, cipher /w empfiehlt sich nur bei HDD, nicht bei SSD. Korrigiert mich bitte falls ich falsch liege. 😊
Ich benutze Keepass schon seit Jahren und bin froh, dass die Entwickler noch aktiv an Fixes arbeiten. Generell schreckt mich die Lücke jetzt wenig ab, da man ja eben größeren Zugriff auf den Rechner benötigt und wenn ein Angreifer den schon hat, warum dann die Mühe machen und über so einen komplizierten Weg sich das Passwort beschaffen? Da gibt es leichtere und effizientere Wege. Jetzt stellt sich mir interessehalber die Frage, da es in nem Artikel auf Heise heißt, dass das Passwort mit Standardkonfiguration auslesbar ist: Wie verhält es sich bei der Eingabe über 'Secure Desktop' oder mit Keyfiles?
Naja, bei Trojanern wäre ein Keylogger wahrscheinlich ähnlich effektiv, sollte aber jemand physisch Zugriff auf deinen Computer haben, sieht die Sache schon anders aus.
Erst Mal Danke für deinen Hinweis auf die Voraussetzungen, die ersterfüllt sein müssen. Ich habe bis jetzt zwar erst zwei Artikel zu dem Thema vorliegen gehabt, die aber auch bloß gaaanz grob quergelesen, da ich selber Keepass nicht benutze. Stattdessen habe ich Bitwarden im Einsatz, an dem ich mich mit Yubikey anmelde. Dort habe ich inzwischen eine ordentliche Sammlung an Passworts, die ich sukzessive auch auf MFA mit Yubikey umgestellt habe und auch noch dabei bin. Ist echt aufwendig, aber inzwischen habe ich wohl alle Accounts durch, die ich innerhalb der letzten 4 bis 5 Jahre benutzt habe. Alle anderen die noch länger nicht mehr benutzt wurden, sind wahrscheinlich auch nur noch verwaiste Logins, viele Homepages existieren bestimmt gar nicht mehr Viele Grüße aus'm Ruhrpott
Wäre es nicht auch eine sinnvolle Gegenmaßnahme, 2FA-Möglichkeiten von Keepass zu nutzen wie beispielsweise die Schlüsseldatei oder die Integration eines OTP-Generators wie dem Yubikey? btw wäre ich Dir dankbar, wenn Du eine Anleitung dazu machen könntest, wie man sich einen OTP-Generator zum Öffnen der Keepass-Datenbank einrichten kann, um die Schlüsseldatei zu ersetzen
Otp generator zum login wüsste ich keinen Weg. Halt nur statische Keyfile oder eben das Passwort, was der yubikey zwar scheinbar irgendwie liefern kann - aber halt nicht der Wunsch ist.
@@nxy6123 Es gibt die Erweiterung KP2faChecker, die einen Login per 2 faktor authentifizierung in keepass möglich machen soll. Und die hab ich auch installiert, aber es wird nicht erkannt, also ist entweder die Erweiterung kaputt, oder (und das ist deutlich wahrscheinlicher) ich hab was falsch gemacht. Data Base Backup zB funktioniert bei mir, der HIBP Offline Check wiederum tut auch nicht so, wie er soll. Wenn Keepass noch ein bisschen einfacher zu benutzen wäre, dann wäre es perfekt :D
ich benutze Bitwarden und somit auch ein cloudbasierten Password Manager, nur mit der kleinen Abweichung, dass ich die Server Komponente selbst hoste über Vaultwarden. ich benutze ihn gern, da alle Dateien immernoch in meinem Netzwerk sind, aber ich dennoch die Bequemlichkeit habe die Passwörter zwischen meinen Geräten zu synchronisieren.
Ich benutzte auch Bitwarden aber die "normale" Version. Muss man nicht brutal aufpassen wenn man es selber hostet da man quasi selbst für die sicherheit sorgt ?
Also bei keepass kann man als zusätzliche sicherheit noch ein keyfile erstellen, sodass man dann beides braucht zum entsperren, einmal ein masterpassword und ein keyfile
Ja, ich nutze einen Password-Manager. Den habe ich auf einem USB-Stick gespeichert, von dem Stick gibt es ein Backup, das absolut sicher verwahrt wird. Der original Stick verlässt nie das Haus, und auf Reisen nehme ich nur eine frische Kopie mit. Falls der Reise-Stick mal verloren geht, weis der Finder nicht, dass ein Pw-mgr darauf ist, er findet nur Dateien, die sich nicht öffnen lassen. Der Stick müsste schon einem sehr guten Hacker in die Hände fallen, damit überhaupt ein Risiko besteht. Das Backup ist sehr wichtig, da mir schon mal die Formatierung eines Sticks zerschossen wurde, und ich nicht wieder an die gespeicherten Daten gelangen konnte. Es versteht sich von selbst, dass der Passwort-Stick nur bei Benutzung im PC steckt.
Trifft aber nicht auf die anderen Varianten von Keypass zu, so wie ich das jetzt verstanden habe, richtig? Und selbst wenn man genau das Keypass hat, wie im Video, sollte man sich trotzgdem keine alte Version zulegen, weil das wahrscheinlich nur noch andere Sicherheitslücken bietet.
ich nutze KeePassXC mit Masterpasswort + Keyfile für 2 Faktor. Diese Neuigkeiten sind erstmal beunruhigend ich werde das ganze also erstmal im Auge behalten
Ich benutze einfach Spectre dort wird nichts gespeichert sondern immer wenn ich mein Benutzer und Keyword eingebe neu generiert! Das finde ich am besten und auch am sichersten.
wäre es nicht eine lösung seine passwörter nach einem muster festzulegen, welches einen sehr langen, zufällig generierten string als präfix hat der dann im passwortmanager abgelegt wird, aber eben nicht das vollständige passwort ist?
Ich benutze Bitwarden. Die Passwörter werden lokal und in der Cloud gespeichert, wobei die Cloud aber auf einem selbst betriebenem Server liegt. Ist das eine sichere Methode oder rätst du davon ab?
Ich (als Laie) vermute sehr stark, dass ohne die Schlüsseldatei der Hack nicht funktioniert. Hier bekommt man ja „nur“ das Passwort heraus, welches nur einen Teil der Lösung darstellt.
Nach der Diskussion im Keepass Forum (zwischen dem Entdecker und dem KP Entwickler) liegt das Problem wohl an der C# Window.Forms.TextBox Komponente, also dem Textfeld in dem du das Passwort eingibst. Die Komponente erzeugt bei jeder Eingabe wohl Datenmüll, der am Ende das eingegebene Zeichen enthält. Genau diese Komponente wurde mit dem Fix (der mit Version 2.54 veröffentlicht werden soll) auch behandelt. Ich würde also sagen, dass alles was nicht (nur) ein von Hand eingegebenes Passwort ist von diesem Problem nicht betroffen ist. Edit: Womit aber trotzdem ein Teil deines Gesamtpasswortes entwendet werden kann. Aber die Vorraussetzungen für diesen Hack sind schon recht hoch, wenn du deinen Rechner nicht mit anderen Personen teilst z.B.
Ich verlink das mal Frecherweise weiter =P Hab ich doch heute meine Freunde direkt davor gewarnt weil gestern in der Exploit DB gesehen und du hast schon video gemacht =D Du erklärst das immer so fein =)
Ich bin vor ca. 2 Jahren auf Vaultwarden von KeepassXC umgestiegen. Hauptgrund: Ab dem Zeitpunkt hat die Anwendung auch Yubkeys unterstützt. Ich habe Vaultwarden auf einer VM unter Docker laufen. Was hältst du davon?
Da im Video auch gesagt wurde das 2FA am besten lokal und nicht in der Cloud abgerufen werden sollte, wie ich auch finde, ist der neue Upgrade Zwang von Goggle mit ihrem authenificator bekannt? Ich werde gerade genötigt die app mit einen google account zu verbinden und die daten in die cloud hochzuladen. Natürlich muß ich dann zustimmen. So haben die eine Zustimmung erpresst. Anders komme ich nicht mehr an meine hinterlegten Accounts mehr ran.
... Ich habe ein Trick gefunden. Geht mal vor der Bestätigung in den Flugzeug Modus. Loggt euch mit eurem Account ein und dann ohne Konto nutzen. Das sieht mann nur wenn auf das Profil Bild geklickt wird. Es wird eine Fehlermeldung kommen. Das ist aber nicht schlimm, da noch nix synchronisiert wurde. Danach kann der Flugzeug Modus wieder ausgeschaltet werden. Nachmachen auf eigene Gefahr. 🎉
Nicht gleich auf die große blaue Schaltfläche drücken .... weil darunter steht sehr klein gedruckt "Authenticator ohne Konto nutzen" ... Man kann, muss aber nicht den Account verknüpfen ... 🙂 Man kann das auch wieder deaktivieren: How to disable Google Authenticator sync feature? With the new update, Google sort of pushes the new syncing feature, so you may find yourself now logged in with a Google Account. Fortunately, that’s easy to reverse. On your device, open the Google Authenticator app. Tap your profile photo. Hit Use without an account. Tap Continue.
Ich hab noch eine viel schwerere Sicherheitslücke entdeckt: Wenn ich dem Benutzer eine Pistole an den Kopf halte, rückt er auch das Passwort raus! Dazu muss ich nicht mal Malware auf den Computer machen! Wann wird das denn gefixt?
Nutze Enpass, ist zwar closed source aber ich bin mir sicher dass die Passwörter an dem Ort bleiben den ich definiere, zumal die ja ein sehr transparentes Geschäftsmodell haben. Bin damit happy.
Gutes Video. Ich nutze keinen. Habe mir stattdessen eine eigene Paaswort-Strategie ausgedacht. Zum Thema Keylogger/Trojaner. Könntest ja mal irgendwann ein Video machen und zeigen, wie man sie aufspüren könnte (z. B. über die PID). 😊😅
Beim Strategien sehe ich das Problem, dass dir Passwörter wahrscheinlich oft ähnlich sind, nutzt du zum Beispiel den Namen einer Website um deine Passwörter zu verändern ist es vermutlich recht einfach, deine anderen PWs zu erraten, wenn mal eins geleaked wurde. Ich finde einen PW-Manager in der Hinsicht am sinnvollsten, da ein geleaktes Passwort keinerlei Hinweis auf andere Passwörter geben kann.
Ich finde es Schade, dass man kein POC hier zeigen darf. Ich habe eine Quelle im Internet gefunden und es selbst ausprobiert. Und siehe da es hat meine aktuelle Datenbank cracken können. Ich bin sehr überrascht und hab einen viel besseren Lerneffekt daraus gewonnen es selbst mal ausprobiert zu haben, anstatt nur ein Video anzuschauen und es für gegeben ansehe. Soweit ich es richtig verstanden habe muss man nur Keepass updaten. Ich habe alle Dump. files die für Keepass erstellt oder vorhanden sind aus meinem System gelöscht. Vielen Dank für die Aufklärung.
Du tippst das Passwort manuell ein: Keylogger oder die Lücke Du fügst das Passwort aus einer Datei ein: Die Lücke bringt dir nix, aber z.B. eine ReverseShell + cat, eine Malware die Dateien lesen kann oder ein Programm, das aus dem Clipboard liest würden dem Hacker helfen
Love is War war wirklich gut! Staffel 1 war aber meine Lieblingsstaffel, die letzten beiden waren relativ okay. Nur fande ich das Ende beschissen... Aber sehr gutes Video! Nutze KeePass schon seit langem, also vielen Dank für das Video! Aber glücklicherweise kopiere ich mein Passwort immer, also sollte dieser Hack bei mir nicht möglich sein. Sobald das Update draußen ist, werde ich das Masterpasswort mal ändern, dann sollte eigentlich alles passen! :) Malwarebytes hat nämlich jetzt keinen Virus gefunden, nutze nochmal Hitman Pro um sicher zu gehen.^^
Könntest du mal ein Video dazu machen, wie du dein digitales Tagebuch handhabst? Ich persönlich finde die Idee eines digitalen Tagebuchs zwar gut, bin aber unsicher wie der Tradeoff zwischen praktisch und sicher aussehen könnte.
Also ist nur die Software, aber nicht das Datenbankformat betroffen. Ich nutze Strongbox, was auf der KeePass Darenbank aufbaut. Damit sollte dieser Fall gar nicht erst eintreten können?
Danke für die Warnung. Das ist gut zu wissen. Ich schätze ich kann auch Keepass XC verwenden, bis die Lücke gefixt ist oder? Direkt mal die Glocke geklickt, um das Update nicht zu verpassen. Abonniert hatte ich deinen Kanal schon. Großes Lob an dieser Stelle für deine Arbeit, die du hier reinsteckst!
Ich habe schlichtweg Angst, dass irgendwann auch mal Google einen Leak hat. Daher habe ich mir eine Strategie ausgedacht, bei der ich mir die verschiedenen Passwörter merken kann. Ist etwas knifflig, da jede Seite ein eigenes Passwort hat. Aber ich denke das erhöht die Sicherheit ungemein. Und grundsätzlich natürlich 2FA, wenn angeboten.
@@om4212 Mit Passwörtern inklusive? :D Spaß bei Seite. Es besteht aus kleinen und großen Buchstaben, sowohl Sonderzeichen als auch Zahlen und zufällig drin, voran, mittendrin oder dahinter ein Wort, welches ich mit der Seite verbinde. So habe ich für jede Seite eine Eselsbrücke. Ein Beispiel: Der beste Freund hat einen Spitznamen. Das wird dann als dieses Wort Facebook genommen, da wir den Account damals zusammen erstellt haben. Es sollte halt etwas sein, was für einen selber immer present ist. Dazu dann eigens entwickelte Sonderzeichen und Zahlenfolge oder halt einen Mix und schon sollte das Passwort ziemlich gut sein.
Immer schauen das der Password Manager ein Entschlüsslungs code braucht damit die Datenbank überhaupt benutzt werden kann und danach noch ein Master Password damit wird extrem schwer überhaupt zugriff zu bekommen selbst wenn man das Master passwort besitzt ist es vollkommen nutzlos ohne die Entschlüsslungsdatei. (Verbunden mit einem USB key ksnn man sich noch stärker absichern da man dann ein teil komplett abgesondert gesichert hat.) Aber all das Hilft am ende Nicht wenn jemand zugriff auf deinem Computer hat spätestens wenn du den USB Key einschiebst könnte er den Schlüssel in die hände kriegen. Man bräuchte gefühlt eine Spezielle Isolierte schnittstelle beim USB die vom kompletten system getrennt ist der sich ein kleiner Speicher befindet mit den daten und schluss endlich nur das Ergebnis der Datenbank aus dem Speicher gesendet wird aber keine daten eingespeichert werden können also eine einwegverbindung die nur von einer seite aussgeht und seperat gesteuert werden müsste. ( zu viel aufwand )
4:25 Was spricht deiner Meinung nach denn gegen Cloud-Passwortmanager? Insbesondere dank Open-Source sind die nachweislich E2E-verschlüsselt, somit auch bei Datenleck sicher, also keine größere Angriffsfläche als lokal (sicheres Passwort vorausgesetzt).
@@Florian.Dalwigk Ja stimmt, bei Lastpass war sogar länger bekannt, dass die URLs nicht verschlüsselt sind. Aber bei echter E2E Verschlüsselung, frage ich mich, ob es überhaupt sein kann, dass diese gebrochen wird. Bei Keepass scheint es ja ein Bug im Client zu sein. Vielleicht täusche ich mich aber auch.
@@Florian.Dalwigk Korrekt, aber das erhöht das Risiko nicht im Vergleich zu einem lokalen PW-Manager, oder? Sehr spannendes Thema, wäre echt gut für ein Video :)
Derzeit benutze ich bitwarden selbst gehosted zuhause, der Server ist in der Regel abgeschaltet, per Telefonanruf kann ich den Server starten, dann habe ich für 30min Zugriff anschließend schaltet ersich selbst ab.
Falls du Challenge Response meinst: Mit der Implementierung von KeePassXC (die sind aber von dem Fehler - Stand jetzt - nicht betroffen) müsstest du auf der sicheren Seite sein. Mit der KeyChallenge Implementierung von KeePass bin ich mir da nicht so sicher. Wenn ich mich korrekt erinnere verwendet die KeyChallenge Implementierung immer die gleiche Question basierend auf einem fest in einer XML hinterlegten Secret.
ich nutz keepass mit masterpassword und schlüssel datei die ich extra auf einen usb stück hab reicht das auch aus das man das nicht so schnell knacken kann ???
@@Florian.Dalwigk Naja, ich suche die dmp Datei, da ich jetzt schon seit einer Ewigkeit mein Passwort vergessen habe und jetzt wollte ich mit diese Methode probieren, finde aber die Datei nicht
Betrifft es nur das "original" für Windows oder auch keepassxc für GNU? Ich denke ein wichtiger Schritt zur Absicherung ist 2fa. Aber wie bereits gesagt, wenn der Zugriff auf den Rechner schon so tief geht, ist das wahrscheinlich das geringere Problem
Meine Meinung dafür: Wenn man auf die Datenbank als externer Zugriff hat bzw auf den Prozess zugreifen kann, hat man bereits andere Probleme. Ein Fix wurde soweit ich weis bereits für Juli angekündigt. (In unserem Unternehmen wurde sich da auch darüber unterhalten.)
Ich nutze einen selfhosted Vaultwarden-Server. Kein allzu interessantes Angriffsziel, da nur ich meine PWs darin Save und dennoch ziemlich komfortabel..
Ich nutze einen Passwort Manager: "Password Safe" aus dem Playstore, ist von einem Deutschen Entwickler. Türkises Logo Mal Allgemein gefragt: Was ist denn die beste und Sicherste Methode um möglichst seine Passwörter irgendwo abzuspeichern, da sich ja keiner eine 20 lange Wirre folge aus Zeichen, Buchstaben und Zahlen merken kann? Grüße 😅✌
Der Punkt mit dem "kopieren des passwortes" ist auch wieder nicht "optimal" da es programme gibt welche die Ablage kopieren & unter windows man plainen zugriff auf die history der zwischenablage hat.
@@Florian.Dalwigk Ist geplant dass es wieder online gestellt wird, bzw darf man fragen warum? Fand es recht super und hätte es mir gerne nochmal angeschaut