¶ Personal Security 101
[SPEAKER_00]: Eine neue Episode vom Engineering Kursk. [SPEAKER_00]: Herzlich willkommen! [SPEAKER_00]: Die erfolgreichsten Sportlerinnen betreiben ihren Sport nicht immer am Maximum ihrer Leistungsfähigkeit. [SPEAKER_00]: Die erfolgreichsten Sportlerinnen gehen sehr oft zurück zu den Basics, üben und optimieren diese. [SPEAKER_00]: Diese Episode ist irgendwie vergleichbar damit. [SPEAKER_00]: Wir gehen zurück zu den Basics von Security und fangen da an, wo alles beginnt.
[SPEAKER_00]: Bei dir, wir sprechen über Personal Security One O One, wie deine Security Basics aussehen sollten. [SPEAKER_00]: Geht es um Passwort Manager, Multi-Factor oder die Fizierung, Cloud Synchronisation, Secrets in den Weierment-Bariablen. [SPEAKER_00]: Es ist Haare oder die Fizierung und so fragen wie, wenn ich meine Multi-Factor oder die Fizierung kurz in meinem Passwort Manager speichere. [SPEAKER_00]: Ist dann Multi-Factor oder die Fizierung nicht eigentlich sinnfrei?
[SPEAKER_00]: Die Antwort gibt es in diesem Podcast. [SPEAKER_00]: Back to the basics, los geht's. [SPEAKER_01]: an die weißt du, was ein knackepadsel ist, so sie an wie ein knackbad event. [SPEAKER_01]: Ja, aber bis knapp dran, ja.
[SPEAKER_01]: Weil ich habe ja in erbessode, hundred one und sixty, für die ganze Welt, dargelegt, was ich für ein Sekruhe, die knackepadsel bin, also wie [SPEAKER_01]: Nakt, ich bin im ganzen Sekruti Bereich, das war dieser Episode, wo ihr erzählt habe, dass meine Festplatte leider nicht verschlüsselt war, von dem Laptop der mir mal geklaut wurde.
[SPEAKER_01]: Kann man gerne nachher, wobei es da eigentlich um die Festplatten verschlüsselung geht in dieser Episode natürlich, mit dem David Ernst das genau erklärt hat. [SPEAKER_01]: Aber nachdem ihr das ja immer noch in den Knochen sitzt, machen wir heute genau eine Episode, wo ihr vielleicht auch mal rausfinden kann, ob du auch in manchen Sekrohe die Bereichen ein knacker Badsel bist.
[SPEAKER_01]: Weil du bist ja einer der immer gerne irgendwelche Kiewerts raushaut und was nicht so standard ist und was mal heute da genet so wie so alles macht und wir hatten in der Community [SPEAKER_01]: Der kurze Diskussion, wo so ein Bass wird, meine Träge gegangen ist und so gemeint, dass es es ist, zwanzig, fünf und zwanzig. [SPEAKER_01]: Was musst du überhaupt noch diskutiert waren? [SPEAKER_01]: Was wird meine Träsin standard? [SPEAKER_01]: Da gibt's nicht zu diskutieren.
[SPEAKER_01]: Period. [SPEAKER_01]: Trum werden wir heute. [SPEAKER_01]: Unsmal ansehen, was wir so in der Realität in der Praxis wirklich machen, ob diese ganzen Sicherheitsstandards wirklich alle erfüllt werden, die es so standard sind, zwanzig, fünf und zwanzig bei uns privat, ob du die auch alle befolgst.
[SPEAKER_01]: Und da möchten wir mal ganz offen darüber sprechen, was eigentlich standard ist, was man machen sollte, was wir so privater wirklich verwenden und erfüllen und was man vielleicht gar nicht erfüllen muss kann und da auch ein offener Dialog für ein mit unserer Community. [SPEAKER_01]: Weil da gibt es immer viele gute Infos und neue Tools, die man einsetzen kann in dem ganzen Personal, sie kürt die Bereich wie macht man sein Leben sicherer.
[SPEAKER_01]: Und ich hoffe, an die das du jetzt dein Herz mal öffnest, wo deine Sekulti schwachstellen sind. [SPEAKER_00]: Ich hatte Wolfgang diese Episode gepicht als Personal Security One-O-One. [SPEAKER_00]: Wer in Amerika-Ma studiert hat, oder obziehungsweise sich die Studie im Skurs mal angesehen hat, der weiß, dass sie Anfängerkurse immer One-O-One heißen. [SPEAKER_00]: Deswegen schauen wir mal wie viel Basics. [SPEAKER_00]: Du selber, eigentlich so machst genau.
[SPEAKER_00]: Ja, ich vielleicht auch, aber warum ich sag, hey, wir haben v.a. [SPEAKER_00]: wenn du noch keinen Passwort Manager. [SPEAKER_00]: Ich nehme immer gutes an. [SPEAKER_00]: Ich nehme halt immer an, dass die Leute in unserer Community den Industrie best practices folgen. [SPEAKER_00]: Und dass sie natürlich auch einen sehr hohen Anspruch an sich selbst haben. [SPEAKER_00]: Und deswegen denke ich, das kann ich gut annehmen, weil da sind einfach krasse Leute drin.
[SPEAKER_01]: Darum gibt es ja auch schon lange, das Problem nicht mehr, dass zum Beispiel Kies in Hengnamel Bository aufdauchen oder so, die man mal mit Puscht oder so, weil man ja alle besser praktisch ist folgt. [SPEAKER_00]: Ich glaube, dass das genau der Grund war, um neunzig Prozent der Firmen geht ab Enterprise kaufen, weil die dann automatische Secret-Scanning drin haben oder so. [SPEAKER_00]: Aber lass uns mal langsam hier zur Episode kommen.
[SPEAKER_00]: Also ich mein, warum ist das immer noch ein Problem? [SPEAKER_00]: Die Frage ist das überhaupt noch immer ein Problem mit Security und Passwort Manager und so weiter. [SPEAKER_00]: Und du wirst lachen, aus irgendwelchen Gründen bekommen ich immer noch von Bekannten ab und zu mal DMs über Twitter oder X wo deren Account gefischt wurde. [SPEAKER_00]: Hier und da man eine Fischin-Immel von deren Immel-Account und so weiter und so vor und ich frage mich jedes Mal ernsthaft jetzt.
[SPEAKER_00]: Oder vor kurzem bin ich auch wieder, ich glaube, ich habe das in irgendeiner Podcast News Episode gehört, über ein MPM Paket gestolpert, wo jemand, ich glaube, da ging es um den Github toten, der wohl weggefischt und so mit hat dann jemanden populär ist MPM Paket. [SPEAKER_00]: Wenn ich gehägt, sondern durch den getabtoken neues Release gemacht wurde, dann halt ein bisschen mal wieder in wahr oder ähnliches.
[SPEAKER_00]: Also, dieses ganze Thema von Secrets und wie man das mannetscht, also dieses Personal One One Security, ist immer noch so weit verbreitet und ... [SPEAKER_00]: Auch bei fähigen Software-Engineer-Soneilgoren und ich frage mich jedes Mal, äh, muss sein. [SPEAKER_00]: Lern wir nicht. [SPEAKER_00]: Das ist so meine Frage. [SPEAKER_00]: Aber jetzt müssen wir natürlich auch mal wieder kurz in das Klemer rauspacken, den Lehrer und müssen leider jetzt einmal ganz Initial sagen.
[SPEAKER_00]: Unabhängig davon, was wir hier jetzt sagen und unabhängig davon, ob jetzt am Ende der Episode, pfum und reißig, checkboxen, gecheckt habt, weil ihr nämlich das alles macht, was wir hier sagen. [SPEAKER_00]: Security ist leider ein bisschen schwieriger und nix ist sicher, ne? [SPEAKER_00]: Also Security ist eigentlich nur die Definition darum, oder es geht immer nur darum, den Aufwand für den Angraffer so zu erhöhen, dass es sich für den Angräifer nicht mehr lohnt.
[SPEAKER_00]: Das ist die, meine Sachen sagt die Definition von Security. [SPEAKER_00]: Die zweite Telematik ist natürlich das Security auch ein Trade-Office. [SPEAKER_00]: User Experience bzw. [SPEAKER_00]: der persönliche Eingriffs ins Leben, wie kompliziert ist eine Aktion, über wie viel Hürdenmusik springen, um Zugriff auf Irgendwas zu bekommen, auch für sich selber muss man ja zugeben.
[SPEAKER_00]: Wenn ich jetzt auf meinen Email postfach zugreifen möchte und ich muss dafür immer nach Hause anschrankten Zettel öffnen und da ein Passwort abschreiben, da muss ich zugeben, ist das schon sehr großer Eingriffs in Leben. [SPEAKER_00]: Da weiß ich jetzt nicht, ob ich das genau so haben möchte. [SPEAKER_00]: Deswegen gilt halt auch bei Security, so die User-Expielen sehr, wie kompliziert ist das Ganze eigentlich umzusetzen bzw.
[SPEAKER_00]: wie oft steht es mir im Weg und wie oft nervt es mich. [SPEAKER_00]: Denn wenn es mich immer sehr viel nervt, dann die Aktiviere, ich diese Security, mich ein bisschen sehr wahrscheinlich auch schnell. [SPEAKER_00]: Also, nur weil ihr die ganzen Sachen, die wir jetzt hier gleich besprechen, folgt heißt das leider nicht, dass der Wolfgang nicht euer Vertrauen missbrauchen kann und Zugriff auf euer E-Mailer kommt kriegen kann.
[SPEAKER_01]: Ich wollte schon sagen, weil du gesagt hast, wenn man die sex und treißig checkboxen abdicken kann.
[SPEAKER_01]: Also eigentlich geht's ja darum, bei dieser Episode, dass ihr am Ende sagt, was diese sex und treißig basic checkboxen, es gibt ja ja eigentlich mindestens [SPEAKER_01]: freisig andere, die da an die eigentlich erfüllen sollte, die jetzt gar nicht erwähnt hat, weil das ja eigentlich schon best practice und genau darum geht es mir mal, dass die Community dann kommt und uns erklärt, was denn sonst noch jetzt fehlt in unserer Liste und was wir so machen.
¶ Info/Werbung
[SPEAKER_01]: So, dann starten wir mal los. [SPEAKER_01]: Initial geht es ja mal um diesen Basswood Manager, den du ja schon erwähnt hast.
[SPEAKER_01]: Jetzt nehmen wir mal an alle verwenden ein Basswood Manager, obwohl es definitiv nicht zu ist, auch bei der in der Def world ist es so, aber [SPEAKER_01]: Wenn du mal zusammenfassen müsstest, für jemanden, der jetzt noch keinen Bass-Wut-Manager verwendet, wie haben wir das als Tech-Kies wahrscheinlich auch auf das Problem, dass du im normalen Umkreis in Freundeskreis, irgendwie alle noch ihre klassischen Susie, eins, zwei, drei, vier, fünf, sechs.
[SPEAKER_01]: Ich lieb Basswarte verwenden und dann hängen sie hinten nur irgendwie drei, vier und fünf, sechs dran oder so. [SPEAKER_01]: Muss zu geben, manche Accounts habe ich auch noch, wo ich so ein altes Pattern verwende. [SPEAKER_01]: Gerade wenn es darum geht, die vielleicht irgendwann mal irgendwo einen Tippen müsste, gehört man sagen, sonst neun und einzig Prozent meiner Accounts. [SPEAKER_01]: Seh nerf Basswarte, meineische Aber warum?
[SPEAKER_01]: Macht ein Basswarte, meineische Sinn. [SPEAKER_00]: Ich frage mich gerade, sollte ich mal eine Wortlistenattacke bei dir auffahren mit den klassischen Österreichischen Frauen vornahm, wenn du schon so sie ein, zwei, drei, sagst.
¶ Personal Security 101
[SPEAKER_00]: Aber das wäre so sie habe ich liebte. [SPEAKER_01]: Das ist schon schwieriger, weil da wüsst nicht mein ich, wie man das Buchstück billet. [SPEAKER_00]: Ja, ich weiß auch nicht, wie man da kein Bartel schreibt. [SPEAKER_00]: Aber dieses Susie ein, zwei Dreiders hat ein bisschen Knudelsweibs finde ich. [SPEAKER_00]: Na ja, wie dem auch sei. [SPEAKER_00]: Lass uns mal starten. [SPEAKER_00]: Warum sollte man ein Passwort, wenn die Jan Nutzen?
[SPEAKER_00]: Also Grundregeln Nummer eins, du benutzt es mit hoher Wahrscheinlichkeit, eine dreistellige Anzahl, eine Internet-Service, heute zu Tage. [SPEAKER_00]: Und davon rede ich nicht nur Facebook Twitter und TikTok, sondern [SPEAKER_00]: E-Mails und dann hast du dann noch einen Paypal Zugang und vielleicht hast du noch einen kleiner Zugang und auf Discord besser auch noch und so weiter und so vor.
[SPEAKER_00]: Das bedeutet, du hast eine relativ schnelle, dreie, stellige Anzahl an digitalen Zugang. [SPEAKER_00]: Mein Passwort Manager hat mir gerade mal angezeigt. [SPEAKER_00]: Ich habe über tausend genug ins dort eingespreichert. [SPEAKER_01]: Es ist so eben nur vierhundert einen Sechzig. [SPEAKER_01]: Ich bin eindeiltig, der der eher auf die klassische Technologie setzt und die funktioniert und nicht bei jedem Hipster-Service sich anmeldet.
[SPEAKER_00]: Ja gut, da kommen wir gleich so, was es als ist, denn bei mir ist leider nicht nur locker, sondern auch SSL Keys und... [SPEAKER_00]: Zufekter, Autonomikation, Backupcoats und so weiter. [SPEAKER_00]: DataLix gibt es immer und immer und immer wieder. [SPEAKER_00]: Denn wenn du jetzt zum Beispiel bei Facebook-Registeriet bist, dann kannst du leider nicht bestimmen bzw. [SPEAKER_00]: du hast keine Transparenz, ob deine Daten wirklich verschlüsselt in der Datenbank abgelegt werden.
[SPEAKER_00]: Es kann sein, dass dein Passwort einfach ein Klartekster liegt. [SPEAKER_00]: Und wenn dieser Service dann gehackt wird, dann wird mit hoher Wahrscheinlichkeit nach einer gewissen Zeit diese Datenbank zum Verkauf angeboten, im Darknet, [SPEAKER_00]: Dann hat man einen sogenannten Data League und wenn dann steht, der Wolfgang hat Zuguf auf Facebook mit dem Klartext Passwort, Susie ein, zwei, drei oder vielleicht sogar mit einer schwachen Verschlüsselung.
[SPEAKER_00]: Nehmen wir mal irgendwie MDV oder ähnliches, wo man dann einfach Wortlisten Attacken gegenfang kann. [SPEAKER_00]: Dann hat der Angreifer, er kaufte sich das ganze Paket sieht, der Wolfgang hat dazugriffen. [SPEAKER_00]: Und der Wolfgang hat zum Beispiel auch Wolfgang etgmail.com, ist aber bei Facebook registriert, z.B. [SPEAKER_00]: der Angräfer, der hat sogar ein Google-Email-Konto.
[SPEAKER_00]: Und somit probiert dann nämlich einfach Wolfie-Egmail.com, bei Gmail aus mit dem Passwort zu sie als frei und Flubs bis zum Email-Account. [SPEAKER_00]: Und dann kommt das riesen Problem eigentlich, weil du dann im Email-Account bist, kannst du natürlich bei jedem anderen Zeuß, wo der Wolfie registriert ist, einmal auf Passwort vergessen, drücken und somit bist du eigentlich der Wolfgang im digitalen Leben. [SPEAKER_00]: So. [SPEAKER_00]: Und jetzt kommt's.
[SPEAKER_00]: Jetzt kann man natürlich auch sagen, hmmm, diese Datenlegs kann ich denn irgendwie prüfen. [SPEAKER_00]: Ob ich schon mal Teil eines solches Data League war. [SPEAKER_00]: Und ja, da gibt es nämlich den Australischen Security-Forscher Treuhand. [SPEAKER_00]: Der hat mal vor Jahren eine tolle Webseite aufgebaut, nennt sich Half-I-Bean-Pound. [SPEAKER_00]: Da kann es einfach deine Eme eingeben. [SPEAKER_00]: Und der untersucht einfach keine Anowiefe Data-Leaks.
[SPEAKER_00]: Und da kannst du sehen, wann wo deine Eme Adresse auch mal [SPEAKER_00]: Teil war. [SPEAKER_00]: Deswegen solltest du generell erst mal ein Passwort-Manager nutzen. [SPEAKER_01]: Vielleicht als kleinen Fakt, der hat vierzehn Milliardenekarnstige Port wurden, also die Gehägt wurden, bzw. [SPEAKER_01]: geliegt wurden, also das sind schon ganz viele und auch Facebook ist es hier passiert.
[SPEAKER_01]: Das heißt auch, wenn man glaubt, die großen haben ja kein Problem, das passiert den größten. [SPEAKER_01]: Und man muss ja auch dazu sagen, man ist ja auch bei ganz vielen kleinen Services registriert. [SPEAKER_01]: Also man hat ja auch keine Ahnung, wie groß ist das ein Team, ist das vielleicht irgendwie so ein Köl, wie ich, das so nebenbei im Zeitproject macht und da irgendwas zusammengeklopft hat oder gewipkoded hat.
[SPEAKER_01]: Und dem vertraue ich jetzt mein Pättern an, wenn ich über einen Pättern hab, vielleicht habe ich überhaupt nur einen Standardbass vor, aber sogar wenn ich ein Pättern hätte, [SPEAKER_01]: Das heißt, das jedes Basswort leicht anders ist, kann es durchaus ein Problem sein, weil die Spätnern dann erkannt. [SPEAKER_01]: Also, oder auch nur wenn es zwei, drei Accounts sind, die das selber Basswort verwenden.
[SPEAKER_01]: Also das kann man dann sehr schnell weiter springen und springt von Account zu erkannt. [SPEAKER_01]: Und wer jetzt sagt, ja, meine Accounts sind nicht zu wichtig, also jeder Tech Hewe weiß das hoffentlich, dass die Accounts durchaus wichtig sind. [SPEAKER_01]: Aber gerade in der nicht technischen Welt ist es meine Meinung nicht angekommen, wie problematische Signkan auch, wenn man Account verliert.
[SPEAKER_01]: Also seinen E-Mail Account, der man seit twenty Jahren verwendet, der überall registriert ist, diese E-Mail-Adresse im Platic ist, diese E-Mail-Adresse weg und man bekommt sie auch nicht mehr zurück und du upstönten. [SPEAKER_01]: Also das ist schon Lebenseinschneidend und da kann wir dann nehmen, da klären es, ist ja im e-Mail-Bostfach ähnliches drin. [SPEAKER_01]: Da geht es dann wirklich drum, dass man eigentlich aus seiner Internet Identität fast ausgesperrt ist.
[SPEAKER_00]: Jetzt habe ich gerade viel zu lang erklärt, warum man eigentlich unterschiedliche Passwörter für unterschiedliche Service nutzen sollte. [SPEAKER_00]: Das erklärt aber leider noch nicht, warum ich ein Passwölten Manager nutzen sollte. [SPEAKER_00]: Denn jetzt könnte man sagen, Facebook war mein erstes Service deswegen ist mein Password Suzy ein, zwei, drei, eins, Gmail, mein zweiter Service, Suzy ein, zwei, drei, zwei und so weiter und so fort.
[SPEAKER_00]: Jetzt ist es aber so sogar das BSI oder eigentlich jeder auszugeben falls seine Oma sagt, wir sollten starke Passwetter nutzen, was sind starke Passwetter, möglichst lang, möglichst viele Buchstaben groß klein, geben falls noch eine Zahl dabei und Sonnahrzeichen und das vielleicht alles sogar ein bisschen [SPEAKER_00]: Öfter.
[SPEAKER_00]: Auf jeden Fall, auch wenn man irgendwann Pettern hat, wie, als ich nicht der Vornahme, wenn man das Hund ist, das dritte Buch von Lings, davon die sechste Seite der erste Buchstaben und so weiter und so fort, kann man sich das halt irgendwann nicht mehr merken. [SPEAKER_00]: Jetzt rachen wir sich okay, warum mache ich überhaupt Schlacke passwölter und okay, Stacke passwölter sind ein kürze Tage recht essenziell.
[SPEAKER_00]: Auf der einen Seite schützen sie gegen Brutfonds, Attacken, Brutfonds, Attacken sind Attacken, wo man einfach immer wieder auf das Loginform Helmert und eigentlich dauerhaft irgendwelche passwölter durchprobiert. [SPEAKER_00]: Klar kann man durch raid limiting und IP-Sparen und so weiter. [SPEAKER_00]: Alles reduzieren, aber bootforce Attacken selbst kann man eigentlich nicht verhindern. [SPEAKER_00]: Man probiert halt einfach irgendwelche Passwörter aus.
[SPEAKER_00]: Na andere Art von Attacken sind Wörterbuchangriffen oder moderne GPU-Gestütze Tools wie hashKats.
[SPEAKER_00]: Die generieren dann die Hersches nach einer Verschlüsselung auf der GPU und schießen die dann gegen das Login Formular, Wörterbuchangriffe sind angerefu, wo du einfach Wörter hast, die dann bereits in die Verschlüsselung umgerechnet wurden oder die orientieren sich ganz einfach an klassischen Wortlisten wie die Gängigsten [SPEAKER_00]: Frauen nahm in Österreich oder die Gänk sind passwurter ein, zwei oder drei oder test ein, zwei oder anderen zu retten.
[SPEAKER_00]: Da gibt es sogar auf Wikipedia vorgefährdigten Wortlisten und auf GitHub kann man sich diese Wörterbücher auch herunterlagen. [SPEAKER_00]: All die ganze Thematik wird natürlich recht problematisch in Zukunft, wenn wir nämlich mit dem Quanten-Commuting um die Ecke kommen.
[SPEAKER_00]: weil dann können auch von diesem Data-Liegs hohe Verschlüsungen die heute noch als sichergelten recht schnell geknackt werden, so zumindest die Aktulität, meines Wissens nach sind wir noch gar nicht so weit, was das Quanten Computing Thema angeht. [SPEAKER_00]: Aber es gibt Researcher, die kümmern sich darum, dass die Passwörter auch nach einer Postquantumzeit sicher bleiben. [SPEAKER_00]: Aber das Länger, weil da am Wolfgang nicht relativ wenig [SPEAKER_01]: auch noch von.
[SPEAKER_01]: Vielleicht noch zu Erklärungen, für alle, die jetzt vielleicht nicht so tief in der Implementierungseite von was wird Speicherungen drin sind. [SPEAKER_01]: Also an der jetzt immer von Hashes gesprochen. [SPEAKER_01]: Ganz kurzer Klärt, der Hash ist diese Form wie ein Basswort gespeichert wird auf der Serverseite, also der wird in irgendeiner Form eine Inkriptischen gemacht oder eine Hashing. [SPEAKER_01]: Hersching kann nur in eine Seite funktionieren.
[SPEAKER_01]: Es heißt man kann von dem Gehäschten, world nicht zurückrechnen auf das Basswort, aber es man natürlich machen kann. [SPEAKER_01]: Wenn es ein einfacher Hersch ist und die Daten waren jetzt geliegt, gehen nach außen und hat mit diesen Herschkott und dann kann man sich einfach im Hin setzen. [SPEAKER_01]: Ganz viele Basswörte durchprobieren und immer Checking. [SPEAKER_01]: kommt diese Hälschung an der raus.
[SPEAKER_01]: Und wenn man dann das Basswort gefunden hat, weil es eben nur ein einfaches Basswort ist, dann kennt man das Basswort, weil man überprüft hat, dass selber Hälsch kommt am Ende raus.
[SPEAKER_01]: Wenn man diese Hälschfunktion anwendet, da gibt es natürlich intelligentere Hälschfunktionen, dünnere Hälschfunktionen, aber sie ist eigentlich immer gleiche Schritt bei so eine Prussfonds, Brutfonds, Attacke und einen Quantencomputer, könnte das natürlich noch mal schneller, alles durchprobieren. [SPEAKER_01]: Also es geht ja immer um die Schnelligkeit wie lang, muss ich mich hinsetzen und Basswort durchprobieren.
[SPEAKER_01]: Die Reddisch kann man natürlich alles knacken, aber wenn ich natürlich zwei oder drei Jahre passwort erhessen muss, bis ich mal an den Ziel komme, dann würde jetzt mal als sicher bezeichnen, aber es kann der Quantenkompiote und natürlich schnell innen. [SPEAKER_00]: Der Waffung hat sich gerade bei dem Wort Brut vor so ein bisschen versprochen und hat der Brus vorgesagt.
[SPEAKER_00]: Und das ist natürlich, ich weiß nicht, in Freutschar vor Sprecher glaub ich, denn wer sich so ein bisschen in der Cryptografie auskennt, kennt unter anderem Bruce Schneier, Bruce Schneier gehört, unter anderem zu den Autoren von Schaar III, so viel ich weiß, einem Hechaggerutmus und das finde ich natürlich sehr schön, dass, wenn man sich bei Bruce mit Bruce vorrasst, verspricht, aber nur gut, das nur als Random.
[SPEAKER_01]: Ich wollte dir nur diese geniale Überleitung bringen, das zu den auch noch reinbringen könnt. [SPEAKER_01]: Was aber übrigens noch ein ganz andere Grund ist, vor allem, wenn man eben mit nicht der Kirch spricht, was man ganz gut ambringen kann, was ja Leute auch stört, hat mich früher auch gestört. [SPEAKER_01]: Du musst ja mittlerweile da irgendwie sonderzeichen eingeben, die passworte, wenn er immer geprüft, ob das ein sicheres passwirt ist, ist es wird immer noch länger.
[SPEAKER_01]: Was macht man da oder was hat man früher gemacht? [SPEAKER_01]: Was hab ich früher gemacht? [SPEAKER_01]: Man hängt halt irgendwie eine Zahl dran, man hängt dann noch einen Dollar dran, wie es halt zu üblich ist, ansonsten anstandet was wird. [SPEAKER_01]: Und ob Schluss hat bei keine Ahnung mehr, was man für was wird eigentlich verwendet hat. [SPEAKER_01]: Weil es war das dann, das was wird aber hinten hat man noch was dran gehängt und man hat sich das ja nicht gemerkt.
[SPEAKER_01]: Und dann kommt immer das Problem, ja, man muss ein neues Was wird am Vordern bei E-Mail. [SPEAKER_01]: Das heißt, bei jedem Lock-In, wo man nicht ständig als ich ein lockt, hat man irgendwie fünf Minuten oder noch länger, weil das E-Mail kommt dann nicht an, mit dem was wird zurücksetzen, damit man sich überhaupt mal ein locken kann.
[SPEAKER_01]: Also auch wenn ihr vielleicht mit Nicht-Tacke spricht, meine Meinung ist es auch ein super Argument, dass einfach die Convenience erhöht wird, dass mal viel einfacher im Alltag damit umgehen kann. [SPEAKER_01]: Wenn es noch automatisch konektet wird, der Browser mit dem Basswort Manager der Wende, die Basswerte einfach eingegeben, muss ich um nichts kümmern. [SPEAKER_01]: Es ist Lebenszeitsparen, würde ich fast sagen. [SPEAKER_01]: Also das ist auch noch ein wichtiges Argument.
[SPEAKER_01]: Deshalb mich damals auch gebezeugt, auf dem Basswood Manager umzusteigen, vor. [SPEAKER_01]: Ich hoffe mal, es waren viele Jahre, wie kann ich nicht daran erinnern, wie es seit wann, verwendest du dem Basswood Manager? [SPEAKER_00]: Und das genaue Jahr zu sagen, müsste ich jetzt die Rechnung von meinem Basswood Manager raussuchen, aber ich würde mal sagen, zehn, elf Jahre, irgendwie so aus.
[SPEAKER_00]: Jetzt sprechen wir die ganze Überkomplexe Passwörter und ich kenne ja die Community. [SPEAKER_00]: Die Community kommt nämlich nach dieser Episode um die Econzacht an die, wie saß du denn hier auf die Zelle Empfehlung vom BSI mal genannt. [SPEAKER_00]: Wir sind doch Deutsche. [SPEAKER_00]: Wir haben noch Regeln für alles. [SPEAKER_00]: Beziehungsweise starke Empfehlungen vom Bund. [SPEAKER_00]: Und jetzt habe ich ja gerade mal ganz kurz nachgeguckt.
[SPEAKER_00]: Also das BSI, das ist das Bundesamt für Sicherheit in der Informationstechnik, für alle Leute, die uns zum Beispiel nicht aus Deutschland zuhören. [SPEAKER_00]: empfiehlt, ein starkes Passwort kann kürzer und komplex oder lang und weniger komplex sein.
[SPEAKER_00]: Und dann gebe ich natürlich auch im Fiedungen zum Beispiel, zwanzig bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h.
[SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v.h. [SPEAKER_00]: bis v
[SPEAKER_00]: Ich finde ich gar nicht mal so, doch verlinkt man natürlich auch in den Shownotz. [SPEAKER_01]: Was mich ja in letzter Zeit oft genärft hat, ist bei Webseiten, dass du keine so lange Basswirt überhaupt verwenden kannst. [SPEAKER_01]: Also die haben teilweise irgendwie die Limit von Kanern und zwölf oder so. [SPEAKER_01]: Und meine standardet Basswirt sind halt irgendwie Kanernung, was mein Basswirt menscher so ausspuckt, meistens schätzt man also so Sachsen bis Achtsencharakter.
[SPEAKER_01]: Und dann hast du wieder ein extra Schritt drin, weil das passt so irgendwie zu lange ist. [SPEAKER_01]: Also, keine Ahnung, worum wir pzeiten, das machen.
[SPEAKER_01]: Also, wenn ihr in der Webseite programmiert, erlaubt auch längere Bassworte, damit man eben, wenn man so eine lange Zeichenkette, die man sich vielleicht sogar im Kopf machen will, nicht von dem Basswut Mensch kommt, wie ich habe, so sie lieb und sie sieht's gerade im Garten hinter dem rechten, grünen roten Apfelbarm oder so. [SPEAKER_01]: Spätestens bei der dritten Webseite kommt man dann, glaube ich, in das Problem, dass man sich das nicht mehr merken kann.
[SPEAKER_01]: Aber sollte man sowas verwenden wollen und sollte die Webseite des auch unterstützen, also vielleicht auf den Entwicklerseite auch darauf auch. [SPEAKER_01]: Wenn man nicht so wie so eine Standard Library verwende, die es als wegkapselt hoffentlich. [SPEAKER_00]: Früher habe ich immer so ausregend gehört, wie ja, wir müssen Speicherplats sparen, deswegen erlauben wir hier nur und war chartreißig und so weiter in dem Datenbank schieben.
[SPEAKER_00]: Ich hoffe aus diesen Zeiten sind wir langsam mal raus. [SPEAKER_01]: Ja, es ist eigentlich ja sowieso egal, weil du hast, es ganze und da hast es immer gleich lang für aus deiner Häschfunktion.
[SPEAKER_00]: Ja, ja, das ist richtig, aber vielleicht hast du ja ein Legacy System, was früher vielleicht noch in Klartek gespeichert hat und dann in MD-Five, was bei einem normalen MD-Five glaube ich, zwei in drei sich teichen sind, ja und dann vielleicht ist ja irgendjemand so krass drauf und machten Basevieren sich sich Endcode, die Code drauf und Albo. [SPEAKER_00]: Also, es gibt ja die wildesten Thema Technadrausen. [SPEAKER_00]: Deswegen, ich hoffe, das Thema können wir hinterlassen.
[SPEAKER_00]: Aber jetzt hatten wir lange Passwörter und haben gesagt, okay, kann sich keiner mehr an deswegen nutzummer, Passwörmanager. [SPEAKER_00]: Meines achten Sie nach gibt's aber noch einen essentiellen anderen Grund, deswegen man Passwörmanager nutzen sollte. [SPEAKER_00]: Wir haben DataLix, da wo das Passwort für andere Services verwendet wird und dann kann man das einfach durchprobieren. [SPEAKER_00]: So was nehmen wir eine fachgero credentialstaffing.
[SPEAKER_00]: Dann gibt es aber auch noch sogenannte Fishing Attacken. [SPEAKER_00]: Ich schick dem Wolfgang Neemell. [SPEAKER_00]: Ich fähg die so, dass sie das Neemell so aussieht, als kommt die von Wolfgangsbank. [SPEAKER_00]: Pack dann Link in die E-Mail, bitte lockse sich hier ein, wir haben eine wichtige Nachricht für sie, die Webseite auf die ich leite.
[SPEAKER_00]: Hat eine andere domain, sieht aber täusend echt aus wie über Franksbank, er lockt sich da ein, ich hab dann seine Zugangstaden. [SPEAKER_00]: So was nehmen wir einen Fischingattacken und jetzt das Tolle. [SPEAKER_00]: In Passwort Manager kann man die URL des Logins hinterlegen. [SPEAKER_00]: Und das bedeutet, man bekommt auf allen validen Webseiten, trägt ein Auto vorschlag mit deinen Zugangstaden.
[SPEAKER_00]: Das bedeutet auch, auf Fischengwebseiten, stimmt die URL nicht über ein und du bekommst automatisch diesen Vorschlag nicht. [SPEAKER_00]: Das bedeutet, du schützt sich automatisch vor Fischengattacken und versuche nannten Typosquotting oder homografischen Angriffen.
[SPEAKER_00]: Typosquotting ist zum Beispiel, wenn du auf GitHub.com gehst und du tips so schnell, dass du das I nicht mit Tipps gehst du also auf gthab.com und da [SPEAKER_00]: hat jemand eine Webseite aufgebaut, die genau so aussieht, wie GitHub und da gibt's du einfach deine Login Daten. [SPEAKER_00]: Einutzung mit hast du deine Login Daten an irgendeine Angreiflage geben. [SPEAKER_00]: Das bedeutet Vertipper, Buchstaben weglassen, um zu weiter und sofort.
[SPEAKER_00]: Und homografische Angriffe sind Angriffe, wo du z.B. [SPEAKER_00]: einen Domain in deine Adresseile hast. [SPEAKER_00]: Die sieht ganz genau so aus. [SPEAKER_00]: wie die du main des richting services, aber ein Buchstabe ist minimal vertauscht, dass das fürs Auge kaum sicher ist.
[SPEAKER_00]: Der Klassiker ist zum Beispiel ein großes I und ein kleines L sieht in der deutsche Sprache je nach schriftart sehr gleich aus, wo das gibt auch ein paar griechisch und kürlische Zeichen, die kommen der Form einer von deutschen Buchstaben sehr, sehr nah. [SPEAKER_00]: Und somit weiß du eigentlich nicht, weil du kannst es mit bloßem Auge kaum sehen, ob das jetzt die wahre Webseite ist oder nicht.
[SPEAKER_00]: Aber weil der Password Manager, die eine Autosadgestin gibt, wenn dir die Glumen getroffen ist, schützig dies auch vor so unten, umografischen Angriffen.
[SPEAKER_01]: Was du natürlich jetzt voraussetzt ist, dass der Basswort Manager mit dem Browser verknüpft ist und eine Autofilfunktion überhaupt anbietet, du dir richtig installiert hast und dann als User diese Signal, wenn da kein Basswort eingefüllt wird, dieses Aufnimmst und verstehe ist und dir nicht denkst, die Autofilfunktion funktioniert gerade nicht. [SPEAKER_01]: Ich mach meine Basswort Manager manual auf, kopiere dann das Basswort hinein und drücke wieder auflogieren.
[SPEAKER_01]: Weil dann hast du natürlich das selber Problem. [SPEAKER_01]: Aber du machst den Prozess natürlich schwieriger und hoffentlich merkst du das, [SPEAKER_01]: Da dann vielleicht die domain anders ist oder so. [SPEAKER_01]: Also, da muss man dann natürlich schon noch selbst aufpassen. [SPEAKER_01]: Ne, wirkliche Blocking-Funktion ist es in dem Sinne nicht. [SPEAKER_01]: Du glaubst ja auch, dass die Leute dumm sind. [SPEAKER_01]: Nein, ich glaub, dass ich dumm bin.
[SPEAKER_01]: Weil mir ist das auch schon oft passiert, weil meine Connection funktioniert manchmal nicht mit dem Browser und dann
[SPEAKER_01]: einfach in Baswood Manager auf, also ihr macht das Tag täglich, weil hin und wieder irgendwas nicht der Kant wird oder das Baswood damals falsch abgespeichert wurde oder im originalen Kontext was irgendwie Account.com und bei einem neuen Login, die haben was geändert, sind letzten Monaten, hat sich die Domain leicht geändert, dann wird es nicht mehr gemächt.
[SPEAKER_01]: Natürlich ach die eher darauf, aber es kann mir schon auch passiert, dass ihr theoretisch eigentlich einfach mal kopiere. [SPEAKER_01]: Also, je geht davon hier aus, muss ich zu geben. [SPEAKER_00]: Ja, aber das fällt ja in den Bereich UX und das habe ich ja gerade am Anfang erwähnt. [SPEAKER_00]: Diese ganze Security ist enorm gekoppelt mit der User Experience und wenn ich bei jedem Login was rüber kopieren muss, er kriegen ganz roten Kopf vor ein Computer.
[SPEAKER_01]: Ich kann ja aber auf jeden Fall Entwickler innen, die gar keine automatische Brassentikrationsverwenden und alles kupieren. [SPEAKER_00]: Wenn ich schade, dann sind die Fisching Attacken, also dann ist der Vorteil, den ich gerade erwähnt habe. [SPEAKER_00]: Ja, korrekt. [SPEAKER_00]: Aber jetzt sprechen wir hier schon über Copy-Pace- und Browser Integration. [SPEAKER_00]: Da gibt es auch ein paar Sachen, wo man achten sollte, wenn man ein Password Manager auswählt.
[SPEAKER_00]: Für der einen Seite sollte man sich natürlich die Frage stellen, okay, möchte ich einen Password Manager inklusive Secret Files selbst holst und mich um die Backups kümmern. [SPEAKER_00]: Und dann nutze ich einen Service, der zum Beispiel eine Cloud Integration hat. [SPEAKER_00]: Ein Password ist zum Beispiel ein solcher Software-Service und da gibt es natürlich auch etliche andere.
[SPEAKER_00]: Dann die zweite Thematik ist die Unterstützung für der Metripsystem, was nutzt du Windows Linux Mac, welches Mobile Phone OS nutzt du Apple oder Android? [SPEAKER_00]: Gibt's Windows Phone noch oder Blackberry, in der Blackberry ist glaube ich toten. [SPEAKER_00]: Aber ja, ihr versteht was ich meine, dann zum Beispiel die verfügbaren Integration.
[SPEAKER_00]: Wir hatten gerade ziemlich lange über den Browser gesprochen und dann welche User Interface gefällt euch, welche User XP-Wins. [SPEAKER_00]: Wollt ihr haben? [SPEAKER_00]: Das vielleicht so. [SPEAKER_00]: Nicht eine Untergeordnete Rolle, aber vielleicht wahrscheinlich schwerer zu evaluieren, Formeln, die alle getestet hat.
[SPEAKER_00]: Ich denke, self-hostet wäre so es klaut und so Unterstützung und Integration, das sind zu die drei größten Entscheidungen zu terien, worof ihr machten solltet.
¶ Passwort Manager: Cloud, Open Source
[SPEAKER_01]: Jetzt hast du Wornpasswort erwähnt, ich vermut mal, du verwendest Wornpasswort. [SPEAKER_01]: Weil du nicht bei dem Mühe gemacht hast, andere Rass zu suchen. [SPEAKER_01]: Bis zur überzeugt. [SPEAKER_00]: Ich hatte eine ganze Zeit lang Key Pass genutzt, als Helfostet, also ich damit angefangen habe. [SPEAKER_00]: Key Pass selbst ist so viel ich weiß, ein Open Source Passwort Manager und damals wollte ich halt dafür noch kein Geld sein.
[SPEAKER_00]: Aber dann habe ich auch irgendwie gemerkt, okay, da kommen so die Nachteil von oben so aus, ab zu Maran, ja, die UX war jetzt nicht so gepollet, das war halt schon sehr rudimentär. [SPEAKER_00]: Es hat alles wunderbar funktioniert, ja, gar keine Frage. [SPEAKER_00]: Es war einfach nicht ansehen, ich fühle es auch. [SPEAKER_00]: Ich hatte wenig Spaß, das zu benutzen muss ich zu geben.
[SPEAKER_00]: Ja, du hast immer so eine leicht hässliche Applikation aufgemacht, zugegeben, das war vor zehn, zwölf Jahren. [SPEAKER_00]: Und irgendwann habe ich halt mal Geld in die Hand genommen und habe, wo ein Passwort gekauft, zugegeben, wo ein Passwort ist und ein Properatera, Passwort Manager, Software-Service. [SPEAKER_00]: Du konnte es ist sehr lange selbst.
[SPEAKER_00]: Hosenbeziehungsweise, dass Secretfall selbst hoßen, inzwischen, also ich gar nicht mehr ob das noch geht, aber die haben also eine Cloud Integration und das synchronisiert sich dann über alle Entgeräter weg. [SPEAKER_00]: Und so muss man mögen, ich verstehe auch Leute, die sagen, nee, meine Passwetter liegen nicht in der Cloud, finde ich okay.
[SPEAKER_00]: Deswegen ich zahl dafür Geld, weil A, die UXUI, finde ich wirklich super, sehr einfach zum Nutzen, perfekte Integration in alle meine Geräte und it just works. [SPEAKER_00]: Ich habe keinen Lust und da gibt es viel zufriedeln. [SPEAKER_01]: Meine Frage, wer ja eher wie kannst du ein passwort meinen Schössinn voll verwenden ohne, dass er in der Cloud ist? [SPEAKER_01]: Weil ich will ja meine Basswarte auf allen meinen Entgeräten haben.
[SPEAKER_01]: Also bei mir kommen ein ständig neue Basswarte hinzuservice. [SPEAKER_01]: Ich will ja nicht immer, wenn ich am Handy bin, dann irgendwie was zu synchronisieren müssen manuell oder in der Drei auf das Handy schicken, damit die dort Basswarte haben. [SPEAKER_01]: Also es muss ja irgendwie synchronisiert werden. [SPEAKER_01]: Und zu synchronisieren ist für mich die Cloud, also liegt es automatisch in der Cloud.
[SPEAKER_00]: Na ja, wenn man die Cloud als ein Server von jemandem anders definiert, was es ja essentiell ist, dann kann ich sagen, okay, ich habe eine Fritzbox und da habe ich einen Reiagat vorpn und zwar, ich habe eine kleine Box und darüber sind kundisiert sich das über necks Cloud oder ähnliches, also das wird halt schon relativ einfach gehen, ist aber dann, also muss man wollen, du musst ja, du bist ja dann eine eigene Atmen und
[SPEAKER_00]: Aber wenn du dann sicherheitsfiles über Dropbox synchronisiert, dann ist es wieder eine Server von jemandem anders und dann ist es wieder die Cloud. [SPEAKER_00]: Also das kriegt man schon ohne Cloud hin, ne? [SPEAKER_01]: Ja, okay, also klar kann natürlich nicht eigener Cloud sein, in dem Sinne. [SPEAKER_01]: Aber wenn man davon die UX sprechen von einer sinnvollen User Experience, dann brauchen die Synchronisation.
[SPEAKER_01]: Und die kann natürlich relativ einfach herstellen, auch mit so Tools, die jetzt ohne klassische Cloud im Sinne von SS Service funktionieren. [SPEAKER_01]: Was wurde da da, wo alle meine Passworte drinstehen, die es verschlüsselt und die kann ich dann auf Dropbox legen, auf Google Drive, auf meine eigenen Next Cloud, wo ich sie dann auch immer hinlegen und die medialvolle ist, dass ja in einer Form doppelt geschützt.
[SPEAKER_01]: Ihr habt ein Key zum Beispiel, ihr habt ein Master-Basswirt und dann kann niemand anderer mit der da da da etwas anfangen. [SPEAKER_01]: Also es kommen in die Quanten-Computer um die Ecke, aber davon würde jetzt mal nicht so schnell ausgehen. [SPEAKER_00]: Und wie kriegen hier kein Geld von One Password? [SPEAKER_00]: Ich bin da nicht irgendwie mit Connected oder ähnliches. [SPEAKER_01]: Ich kann ja meine Erkehmal aufmachen.
[SPEAKER_01]: Also, ich persönlich verwende seit je her Kiphas, zumindest das Format. [SPEAKER_01]: Es hat sich ziemlich doch gesetzt als, wo sagen, offene Format oder ein Format, was gerne verwendet wird, von ganz vielen Basswort meinen Schakleienst. [SPEAKER_01]: Das ist KDBX. [SPEAKER_01]: Also, wo die Daten dann wirklich gespeichert waren, ist, glaube ich, sehr einfaches Format an sich, wird ein Kryptet. [SPEAKER_01]: gibt es mehrere Varianten, wie so was inkryptet wird.
[SPEAKER_01]: Und dann kann ich auch mehrere Kleins verwenden. [SPEAKER_01]: Ist natürlich auch super, weil zum Beispiel Kipass an sich meines Wissens zumindest, dass nicht mobilefähig ist, bzw. [SPEAKER_01]: früher, was sehr Windows orientiert, war auch in Dotnet oder in Mono geschrieben, mittlerweile geht es ja alles auf Linux auch besser. [SPEAKER_01]: Aber ich verwende nur dieses Format als Kleint verwendig Kipass XC, es einfach eine andere Implementierung.
[SPEAKER_01]: Am Handy verwende ich in Android-Kleient, der eben auch mit dem Format umgehen kann, [SPEAKER_01]: Und das Ganze liegt dann in meiner eigenen Nächs Cloud. [SPEAKER_01]: Was schlüsselt und wird so synchronisiert? [SPEAKER_01]: Man kann diese Dateien runterladen. [SPEAKER_01]: Das heißt, sie sind dann auch offline faket. [SPEAKER_01]: Es ist natürlich auch super. [SPEAKER_01]: Das heißt, auch wenn du keine Internet-Connection hast, hast du alles offline verfügbar.
[SPEAKER_01]: Und das eigentlich meiner Meinung nach ein zukunftsicheres Format, weil auch wenn die Kleinsetzt nicht mehr weit entwickelt werden, war ja auch schon so, ich habe zum Beispiel Key-Web verwendet, ist wieder ein anderer Kleint. [SPEAKER_01]: Der Meinung nach, dann nicht mehr so richtig weit entwickelt wurde und dann bin ich eben auf X-Z. [SPEAKER_01]: Umgestiegen.
[SPEAKER_01]: Das heißt, man kann die selbe Format verwenden, verschiedene Kleinen, wenn man bessere Android-Klein kommt, kann die Umsteigen, braucht das Basswirtfall an sich nicht ändern, kann man die selbe Toolchain verwenden, ohne groß was ändern zu müssen. [SPEAKER_01]: Gibt es natürlich auch andere OpenSource? [SPEAKER_01]: Was wird meine Jagger keine Frage? [SPEAKER_01]: Da gibt es ziemlich viel Passball, das ist voll mit Teams.
[SPEAKER_01]: Und Klassiker, der gerne verwendet wird, biet worden, ist auch OpenSource. [SPEAKER_01]: Von dem meisten OpenSource varianten gibt es natürlich auch eine Gehostete, was hier und die dann was kostet, wobei, ehrlich gesagt, ich bin nicht bereit, irgendwie fünf Euro im Monat zu zahlen, für eine Passwirtmanager. [SPEAKER_01]: Es ist finde ich einfach extrem euer Fall.
[SPEAKER_01]: Wenn die selber irgendwo in den Nächsklaut liegen haben, oder ich hätte auch persönlich kein Problem, das irgendwie ein Google Drive zu speichern. [SPEAKER_01]: Weil diese da da ist geschützt mit einem Schlüssel, den ich brauche, auf eben Entgerät bluss, mein Masterbas wird. [SPEAKER_01]: Also es ist eigentlich doppelt abgesichert und zauber verschlüsselt.
[SPEAKER_01]: Ich hoffe, ich komme ja wirklich, es kann man jetzt, dass der Community ganz viele Infos, das ist eigentlich nicht sicher, aber meiner Meinung nach für mich ist es mal ausreichend zu weiter. [SPEAKER_00]: Weil wir gerade auch über diesen Koalition gesprochen haben, Bidworden hat auch ein Server. [SPEAKER_00]: Also es ist auch oben Source, aber hat auch ein kleint unten ein Server.
[SPEAKER_00]: Deswegen gehe ich stark davon aus, dass man auch die Kleinzern zu seine Bidworden Server irgendwie konnecken kann und diese Kronisierung findet darüber statt. [SPEAKER_00]: Aber du sagst das gerade fünf Euro im Monat sind dir zu viel, um deine digitale Identität zu schützen. [SPEAKER_00]: Weil das ist ja eigentlich das, was du sagst. [SPEAKER_00]: Find ich eine fragliche Aussage, aber kann er jeder für sich selbst entscheiden.
[SPEAKER_01]: Ja, es geht um die Alternativen, weil du hast eigentlich sehr gute Alternativen. [SPEAKER_01]: Und ja, ist mir persönlich einfach das nicht weit. [SPEAKER_01]: Und lieber haben die volle Kontrolle, haben OpenSource Tool, die sind gut verwendenbar. [SPEAKER_01]: Ich kann direkt meine Datei auch in Google Drive zum Beispiel speichern, wenn ich das Bild brauche, also keine eigene Nächs Cloud oder so was.
[SPEAKER_01]: Und da sind mir die Vorteile ganz klar mehr Wert, als jetzt irgendwelchen Vorker zu sein. [SPEAKER_00]: Nee, die Vorten vom Source. [SPEAKER_00]: Und das muss ich leider auch mal so vom Source fanden sagen. [SPEAKER_00]: Da ist ja die Annahme, okay, jeder kann die Verschüslung einsehen. [SPEAKER_00]: Und ganz viele Tausende von Augen schauen drauf. [SPEAKER_00]: So die Theorie. [SPEAKER_00]: Ja, wie viel Open Source wirklich dann gelesen wird. [SPEAKER_00]: Und auch getestet wird.
[SPEAKER_00]: Und Co ist dann immer so ein bisschen die Frage. [SPEAKER_00]: Also wie viele Leute sind in der Lage, die Verschlusungsangereut man, die da wirklich implementiert sind, wirklich zu testen, wirklich zu Reviewen. [SPEAKER_00]: Ich traue es mir nicht zu. [SPEAKER_01]: Ja, davon gehe aber aus, weil das KDP-X-Sys-Aformat des seit über twenty Jahren in Verwendung ist. [SPEAKER_01]: Und dem entsprechend gehe einfach darauf von aus, dass das zumindest mal bei Augen beachtet haben.
[SPEAKER_01]: Und beobachtet haben, es gibt ganz viele Kleinst, die das Ganze implementiert haben. [SPEAKER_01]: Also es ist schon sehr sicheres Icosystem. [SPEAKER_01]: Und dem vertraue ich eigentlich mehr als irgendeiner Firma oder einen Start-up, die vielleicht sex-leute haben.
[SPEAKER_01]: Weil du weißt da gar nicht, wie groß diese Bass-Wood Manager Firmen sind, ob die die ganzen Security [SPEAKER_01]: Details auch implementieren und auch wirklich sauber betreiben und fehlerbasieren überall. [SPEAKER_01]: Also das kann man eigentlich gar nicht verhindern und das gab ja auch kürzlich den großen Fall mit einem Bassboard Manager. [SPEAKER_01]: Der Daten verloren hat, also es kann natürlich schon immer wieder passieren.
[SPEAKER_00]: Passwort Manager kann aber nicht nur deine Passwörter-Managen, das bedeutet man, wenn man nicht hier speichern, sondern je nach App oder je nach Applikation gibt es natürlich auch noch ein paar andere wirklich sinnvolle Features wie zum Beispiel [SPEAKER_00]: One Password bietet mir das immer an, der sagt mir, wie oft ich das gleiche Password nutzen.
[SPEAKER_00]: Wo ich schwache Password da habe, wenn man das einstellen, welche Zugänge eine zwei Faktorautentivizierung unterstützen, welche Zugänge paar Askis unterstützen und der kann sogar noch sagen, hey, pass mal auf, ich kann eine Festplatte durchsuchen, ob du irgendwo Entwicklerkredentials auf der Festplatte unverschüsselt gespeichert hast oder ähnliches.
[SPEAKER_00]: Also da gibt es dann noch mal ein paar andere nette Features, die ich dann so warnen und besonders bei der zwei Fakte oder eine Fizierung bei dem Passkis ist natürlich sinnvoll, weil dann kannst du natürlich einen Sicherheitsstammert für die Wärse locket, natürlich upgrade.
[SPEAKER_01]: Soll ich Features, das gibt es natürlich auch bei den Open Source Tools, muss auch sagen, ich bin immer überfaudert mit den ganzen Einstellungsmöglichkeiten, die ist dort gibt, weil du kannst wirklich alle sind detail einstellen, wie viele [SPEAKER_01]: Sekunden, der offen sein soll, wie viel Sekunden in der Zwischenablage ist, was wird gespeichert, bleibt, wie die Integration funktioniert, wie oft mal etwas bestätigen muss.
[SPEAKER_01]: Wann der ganze Basit man schon geschlossen wird, wie oft du das Basit wird eingeben musst? [SPEAKER_01]: Also es gibt super viele, [SPEAKER_01]: Settings und Möglichkeiten, das wirklich zu optimieren, keine Ahnung, haben wahrscheinlich die die ganzen großen Hustetvarianten genauso. [SPEAKER_01]: Aber man sieht das schon, dass das Open Source auch sehr fortgeschritten ist.
[SPEAKER_01]: Und jetzt nicht mal was ist, was irgendwie in der Woche zusammengestöpselt wurde, sondern das ist schon... [SPEAKER_01]: Fundamentale ist Ding und da sollte man vielleicht auch darauf achten, wenn man auf irgendeinem Basswood Manager setzt. [SPEAKER_01]: Wie offen ist der, wie alt ist der, wie groß ist die Open Source Community?
[SPEAKER_01]: Die üblichen Dinge, die man bei Open Source sowieso machen sollte und immer analysieren sollte, aber bei einem Basswood Manager vielleicht noch mal ein Blick mehr darauf werfen, weil das ist ja dann schon die Grundlage.
¶ Warum 2FA auch im Passwort Manager speichern?
[SPEAKER_01]: Und auch wenn es nur ein Dummerback ist und meine ganzen Basswooder gelöscht werden, ist vielleicht auch große Impact, würde ich mal sagen. [SPEAKER_01]: Jetzt hast du hier gerade vor Kurzem einen Blockartikel geschrieben. [SPEAKER_01]: Wusstherum gegangen ist, was man denn so in Baswurtmanet schon speichern soll. [SPEAKER_01]: Weil Baswurt das sind klar, hieß es sind klar. [SPEAKER_01]: Aber es gibt ja auch die Multi-Factor authentication.
[SPEAKER_01]: Also diesen zweiten Faktor, um sich irgendwo zu authentifizieren, das sollte über ein anderes Endgerät gesendet werden. [SPEAKER_01]: Also diese klassischen SMS-Deme bekommt mit so einem Code. [SPEAKER_01]: Oder man hat vielleicht sogar ein Hardware Device, wo dann in Nummer oben steht, gibt's ja mehrere Möglichkeiten. [SPEAKER_01]: Jetzt hast du einen Blockbeust geschrieben, dass man doch diesen zweiten Faktor auch in seine Basswort meiner entsprechern sollte.
[SPEAKER_01]: Oder zumindest den Schlüssel um diesen zweiten Faktor zu generieren. [SPEAKER_01]: Aber damit geht mir die ganze Sicherheit ja flücken, dass es auf einem anderen Device passiert. [SPEAKER_00]: Ja das war die zumindest die Kernfrage, die ich mir gestellt habe. [SPEAKER_00]: Mein Passwort Manager bietet mir Pro Service an, dass der mehr automatisch den zweiten Faktor auch mit generiert und Achtung automatisch im Browser ausführt.
[SPEAKER_00]: Konvienenzfiete, cool, und traue ich mir die Frage stellt momenten mal eben. [SPEAKER_00]: Für das, nicht irgendwie den zweiten Faktor, Adabsurde. [SPEAKER_00]: Und ich habe keine Antwort darauf gefunden. [SPEAKER_00]: Deswegen habe ich einfach mal, dass Sicherheitsteam von meinem Aarberling Arbeitgeber gefragt. [SPEAKER_00]: macht das überhaupt Sinn. [SPEAKER_00]: Und die Antwort hat mich ein bisschen überrascht, aber auch ein bisschen irgendwie nicht.
[SPEAKER_00]: Also auf der einen Seite wird gesagt, wenn man den zweiten Faktor auch in seinem Passwortmanager neben seinem Passwort speichert, ist das natürlich etwas weniger sicher, wenn der Angreifer zugriff auf dein Passwortmanager hat. [SPEAKER_00]: Dann wird der zwei Faktor-Token-Adabilisation geführt, weil dann kann der angreffer sich einlollung.
[SPEAKER_00]: Der Hauptbenefit von zwei Faktor-Adabilisation ist aber dennoch gültig, denn du hast ja gerade von den Leuten gesprochen, die zum Beispiel keine Browser Integration haben. [SPEAKER_00]: Diese Leute sind immer noch anfällig für Fischeng. [SPEAKER_00]: Du lockst sich jetzt auch einer Fischengwerbsseiter ein, der hat ein User nehmen, der hat ein Passvortär, aber nicht ein zwei Infaktor. [SPEAKER_00]: Weil der Angrafer hat ja kein Zuruft ein Passvortmentischer.
[SPEAKER_00]: So mit, kommt der nicht in deiner Count, weil du hast ja immer noch den zwei Infaktor. [SPEAKER_00]: Ja, die nun dann auch rüber kopieren muss, oder vom Handy haben muss und so weiter und so fort. [SPEAKER_00]: Und auch wenn der zweite Faktor kompromittiert wird und dieser zweite Faktor ist heim based basiert, ist dieser zweite Faktor nur für dreißig bis zum vierze Sekunden gültig.
[SPEAKER_00]: Somit der reale Wert von zwei Faktor- oder Investitionen wird durch die Speicherung neben einem Passwort nicht erratselung geführt. [SPEAKER_00]: Aber wenn du maximales Security möchtest, sprecherst du den zweiten Faktor natürlich wo anders am besten in einem Hardware die weiß, z.B. [SPEAKER_00]: ein UB-Kie, kommen wir gleich zu. [SPEAKER_00]: Im Endeffekt geht's hier auf die Benutzerfreundigkeit zurück.
[SPEAKER_00]: Denn es ist ähnlich wie der Satz, die beste Kamera der Welt ist die Kamera, die man immer dabei hat. [SPEAKER_00]: Und somit ist es beim Password Manager genauso. [SPEAKER_00]: Der beste Password Manager ist der, der man tatsächlich benutzt. [SPEAKER_00]: und die benutzerfreundlichkeit macht ihn halt so wichtig. [SPEAKER_00]: Wenn das immer wieder eine Hürde ist, dann deaktivierst du zwei Faktoreneffizierungen überall. [SPEAKER_00]: Deswegen ist es halt so ein Trade-Off.
[SPEAKER_00]: Maximals Security, Speicher ist nicht in ein Passwort Manager, ist es immer noch gut genug gegenüber Fishing zu schützen? [SPEAKER_00]: Ja. [SPEAKER_01]: Meine Argumentation-Bäger von einer anderen Seite, weil eigentlich geht man davon aus, dass der passwortmanische Sicher ist. [SPEAKER_01]: Also es ist eine Hypothese, die man glaube ich macht, weil sonst wo speichert man denn seine Recovery Coats vom zweiten Faktor.
[SPEAKER_01]: Das heißt, wenn man Zugriff auf dem Basswort Manager hat, dann hat man auf Zugriff auf die RecoveryCodes von zweiten Faktor und kann sich den Account sowieso über die RecoveryCodes.
[SPEAKER_01]: Das heißt, wenn man das nicht als sicher anzieht, seinen Basswort Manager, [SPEAKER_01]: Dann müsste man eigentlich einen zweiten Bass-Rot Manager haben oder irgendwo einen Zettel in dem Safe, wo man die Recovery Coats raufschreibt von jedem Account, wo man zu Faktor einrichtet und ehrlich gesagt ist, mach doch niemand. [SPEAKER_01]: Also dafür würde ich einfach ausgehen, Bass-Rot Manager ist sicher und dann kann ich auch meinen zweiten Faktor.
[SPEAKER_01]: dort reinspeichern und immerse auch sagen, das ist wirklich ein Game-Changer. [SPEAKER_01]: Ihr habt leider noch nicht alle meine Erkanz so umgestellt oder eingetragen. [SPEAKER_01]: Aber es ist so angenehm, wenn man da einfach direkt den Code reinkubieren kann und nicht abliebten muss oder auf dem SMS warten muss oder auf eine Notifikation am Mobile vor und ist irgendwie gerade fünf Meter weiter weglegt von seinem Schreibtisch und man rüberlaufen muss.
[SPEAKER_01]: Also diese ganzen Sachen fallen weg und so verwendet man dann auch viel viel lieber zuffekte und meine Meinung nach, weil der Vorheim mir immer legt. [SPEAKER_01]: Richtig, du faktor ein ist der Account so wichtig, weil es ist halt doch aufwendig die Einrichtung und muss ihm mir das bei jedem Lock-Ein dann wieder aussuchen eingeben und so weiter. [SPEAKER_01]: Also auch da die UX wird meiner Meinung nach besser der Flow, wenn man das im Passwortmanage verspricht.
[SPEAKER_00]: Meine Recovery Coats habe ich in der Regel auch im Passverlömenge das stimmt außer für zwei Accounts und zwar einmal von meinem Apple Account von meiner Apple ID, weil da hängen alle meine geredet dran und die von meinem Passverlmenge selbst. [SPEAKER_00]: Die habe ich ausgedruckt, teilweise sogar im Hause meiner Schwiegeriltern hinterlegt, also falls, vielleicht mein Haus mal abrängt oder meine Wohnung abrängt, dann habe ich die immer noch da mal schon unterschied.
[SPEAKER_01]: Kleine Nachtdahl bei Kipass, das Ganze recherchiert, weil wir im vorgespräch auch über die Recovery Code gesprochen haben, bei Kipass gibt es keine Möglichkeit. [SPEAKER_01]: Recovery Code zu haben. [SPEAKER_01]: Also das ist wirklich der Kie, der Verschlüsselungskie und dann Masterbars wird, da gibt es keine andere Möglichkeit, um an die Daten wieder dran zu kommen. [SPEAKER_01]: Also egal, ob du Masterbars wird oder in Kie verlierst, deine Daten sind weg.
[SPEAKER_01]: Aber, man muss ja auch sagen, heute ist es ja kein Problem, man kann den Kie ausdrucken, im Plan der Ex, die es nicht zu schlieben, man kann in den QR-Code ausdrucken, man kann sich sein Masterbas, was genau so auf diesen Zettels schreiben, den man dann im Safe aufbewahrt. [SPEAKER_01]: Also, man muss das anders machen, aber es gibt keine klassischen Recoverycuts.
[SPEAKER_00]: Jetzt haben wir schon von der Multifekte oder der vilkeischen gesprochen, oder IIFA, II-Fekte oder der vilkeischen. [SPEAKER_00]: Und das stellt sich natürlich die Frage, warum braucht man das eigentlich? [SPEAKER_00]: Hat man ganz kurz schon erwähnt? [SPEAKER_00]: Nach einer Fischingartakel ist es deutlich schwieriger zugeverwäuen, Account zu bekommen, denn viele Multifakte oder die Fizierungen sind zeitkritisch bzw.
[SPEAKER_00]: nur grültig für drei siebs fünf, vier, vier, vier Sekunden oder vielleicht sogar an ein Stück Hardwegebunden. [SPEAKER_00]: Also, [SPEAKER_00]: physisch, wirklich gebunden und location technisch. [SPEAKER_00]: Jetzt gibt's verschiedene Arten von zwei Faktorautar-Division und zwar gibt's nämlich einmal TOTP, Time-Based One Time Password, dann gibt's einmal die Push Notifications und dann gibt's Hardware Talk, auf wie zum Beispiel Yubiki.
[SPEAKER_01]: Was mir persönlich ja lange Zeit nicht bewusst war, ist, dass diese TOTP eigentlich standardisiert sind. [SPEAKER_01]: Und ich kann jede App verwenden eigentlich für so ein TOTP-System, weil da gibt es einfach einen Grundschlüssel und dares wird Zeit basiert, eben dann ihr, was der Code, der in der aktuellen Zeit güllte, ist generiert.
¶ Multi Factor Authentication: TOTP, Push und Hardware-Tokens
[SPEAKER_01]: Also dann alle, die irgendwie zwanzig verschiedene Apps verwenden, für zwanzig verschiedene Services, wenn es wirklich mit TOTP ist, kann man sich das zusammenschrumpfen auf eine App, gibt es auch OpenSource Apps, die das machen oder man findet einen Google Authenticator, der auch nicht Google Services funktioniert oder Microsoft Authenticator. [SPEAKER_01]: Der Nachteil an dem ganzen ist, dass sich der Trend eher in Richtung Busch benachrichtigungen verschiebt.
[SPEAKER_01]: Meine Wahrnehmung nach zumindest, das heißt man braucht auch wieder die eigenen Apps von Github, von Microsoft, die er dann teilweise auch so eine Überbrüfung haben, dass man den zweistelligen Code-Netzal am Handy eingeben muss, die man Bildschirm gerade lesen kann. [SPEAKER_01]: Also, die dann da noch mal die Sicherheit dadurch erhöhen, aber es natürlich auch bedeutet, dass man dann eben mehrere Apps braucht.
[SPEAKER_01]: Und dann kann man natürlich auch im Basswood Manager das Ganze nicht mehr abspeichern, weil das dann wirklich andere Herangehensweise ist, wenn in der Buschnotifikation-Sendium kein klassisches DOTP ist. [SPEAKER_00]: Den Trend habe ich jetzt noch nicht festgestellt, aber ich habe ein paar Apps, die gehen mehr auf Push Notifications wie zum Beispiel GitHub Mobile oder die Google Mail oder die DKB Banking App oder ähnliches.
[SPEAKER_00]: Auf der einen Seite ist natürlich sehr sehr bequem, so Push nachrichten ja, so muss kein Code abtippen, wie beim TOTP da hast du meist so sechsstelligen Code. [SPEAKER_00]: Auf der anderen Seite ist halt eine Internetverbindung oder oft auch ein Mobile Netzwerk, irgendwie notwendig, wobei im TOTP natürlich alles Aufleid funktioniert, was ganz cool ist.
[SPEAKER_00]: Und ab und zu gibt es, dass diese Puschfahrt hier kenne, also sehr schön Google Mail oder die KB-Banking-Appsach immer warst du das hier. [SPEAKER_00]: Und dann ja einfach immer ja, wollen Sie hier zehn tausend Euro an irgendeinen saudischen Prinzen überreisen? [SPEAKER_00]: Ja, machen wir mal mal mal mal mal mal. [SPEAKER_00]: Also das ist dann schon ein bisschen gefährlich, das stimmt schon.
[SPEAKER_00]: Wo hingegen beim TOTP natürlich, der Nachteil ist, wenn das Handy weg ist, sind alle kurz verloren. [SPEAKER_00]: Und da hoffe ich, dass du ein Backup irgendwo hast. [SPEAKER_01]: Da muss er ja zugeben, ich verwenden Google Authenticator, aber diese automatische Becker-Funktion ist aktiviert bei mir und was ich mache, ist, dass ich hier und wieder einen manuellen Export mache von dem ganzen.
[SPEAKER_01]: Aber da bin ich einfach kein großer Freund, das ganze automatisch zu synchronisieren mit Google. [SPEAKER_01]: Auch wenn es wahrscheinlich sicher wäre, aber fühlt sich für mich noch irgendwie falsch an. [SPEAKER_01]: Was für wenn es du am Handy für einen DOTP Manager oder App oder App oder App? [SPEAKER_00]: Die Frage ist, welchen verwende ich nicht denn ich benutze prinzipiell den Authenticator oder Authenticator von Apple oder das ist eine App im App Store.
[SPEAKER_01]: Von wem an die Google-Gerad. [SPEAKER_01]: Ich gucke jetzt gerade im App Store [SPEAKER_01]: Hey Google ist das ja nur nehmen wir suchen. [SPEAKER_01]: Das sind in dem Duden nachklisten. [SPEAKER_01]: Von einer Firma, die nennt sich Tuesdaybe. [SPEAKER_01]: Liebe Community, er hat jetzt gar nicht so ein Beiträge, wie uns sich ja das Ganze ist. [SPEAKER_01]: Und so ein Kronizierstuhl, das Ganze hat bei Kaps zu deine Kuts.
[SPEAKER_00]: Also, prinzipiell nutzt sich für alle zwei Faktorortetifizierungen privat, nutzt sich mein Passwort Manager. [SPEAKER_00]: Der Passwort Manager hat immer so eine Funktionität, weil um den zwei Faktor irgendwie an den Schad zu kriegen muss, wir auf den QR-Kuts gehen. [SPEAKER_01]: Was übrigens nur einfach ein ganz dummer Code ist, im Hintergrund, dem man auch mal neu eingeben kann oder kopieren kann.
[SPEAKER_01]: Genau. [SPEAKER_00]: Die Funktion habe ich von Facebook nicht gefunden, dass man den Manuell da eingeben kann. [SPEAKER_00]: Aber zu kann dann, wann Pass wird, nicht den QRScode auf meine Browser scannen, dann muss ich halt irgendwie den Authenticator nehmen. [SPEAKER_00]: Das bedeutet, da sind halt nur drei Codes drin oder so, von Services, die der nichts gehen kann. [SPEAKER_00]: Nexcloud ist zum Beispiel einer. [SPEAKER_00]: Das ist also, ich hast zu erwisses.
[SPEAKER_00]: Keine Ahnung, warum der es nicht kann, ist aber auch egal, jetzt gerade. [SPEAKER_01]: Ja, okay, aber wie ist du in Kronizierst du? [SPEAKER_01]: Darum geht's ja. [SPEAKER_01]: Also hast du einen Backup von dem ganzen. [SPEAKER_01]: Du hast ja gerade gesagt mal einen Backup haben. [SPEAKER_01]: Ja, ich habe Backup vom Handy. [SPEAKER_00]: Okay, ja, das sollte ja der Redisch funktioniert. [SPEAKER_00]: Dann gibt es leider noch diese Firmen aus Microsoft.
[SPEAKER_00]: Die wollen ja immer den Microsoft Authentika da haben. [SPEAKER_01]: Und jetzt sagst du gerade, du siehst den Trend nicht. [SPEAKER_01]: Genau, das ist diese Trend, dass alle Firmen ihren eigenen Authentikäter haben wollen. [SPEAKER_01]: Nee, ich finde es hart, dass Microsoft nicht darauf forst. [SPEAKER_01]: Ja, ja, ja, ja. [SPEAKER_01]: Das ist generell die Buschnotifikation Geschichte.
[SPEAKER_01]: Kannst du vielleicht auch in irgendwelchen Settings einstellen, wenn ihr das der Atmistrat aber schon gelabt oder so? [SPEAKER_00]: Nee, es ist ja nicht der Buschnotifikation, das bedeutet Microsoft aus dem Decatur läuft über die TPP bei mir. [SPEAKER_00]: Deswegen sehe ich ja da ein Trend nicht. [SPEAKER_00]: Ich rede ja gerade über Authenticator bei TPP. [SPEAKER_01]: Also, ich muss bei Microsoft [SPEAKER_01]: Komisch mit einer Buschnotifikation bzw.
[SPEAKER_01]: also es geht was auf. [SPEAKER_01]: Ich muss glaube eben kurz immer eingeben, den ihr auch am Desktop dann sehe, den muss ihr am Mobile von eingeben. [SPEAKER_01]: Also es ist ein eigenes Propreteres Protokoll, was die implementiert hat. [SPEAKER_00]: Ja das muss ich nicht. [SPEAKER_01]: Ok. [SPEAKER_01]: Interessant. [SPEAKER_00]: Aber, lösen wir aber uns von diesem Buschnotifikation denn und TOTP, denn wir wollen ja hier die Leute mal auf den nächsten Level hin.
[SPEAKER_00]: Next Level ist Hardware, Hardware ohne Hardware Security. [SPEAKER_00]: Und da gibt es sogar noch zu Hardware Tokens wie zum Beispiel, sondern Ubiki.
[SPEAKER_00]: Das ist also ein physisches Gerät, das steck ich per USB an mein Rechner oder Hals per NFC an mein Handy und das kommuniziert über Webout N oder Fido Zwei mit dem Browser und somit hast du die sichere Kommunikation und auch, dass er nicht abgefangen werden kann, was auch offline funktioniert und so weiter und sofort und das hast du dann hauptsächlich am Schüsselbund oder Woche mal. [SPEAKER_01]: Wenn du sagst, du wirst die Leute auf das nächste Level heben.
[SPEAKER_01]: Hast du dich denn schon auf das nächste Level gehoben, hast du dann UBQ, weil du hast jetzt ganz viele über die anderen Fälle gesprochen und irgendwie nie über den UBQ. [SPEAKER_01]: Also, da ist es ja so. [SPEAKER_00]: Es kommt die Politiker antwort, ist es schon. [SPEAKER_00]: Ja, das ist einfach brutal. [SPEAKER_00]: Ich habe kein privater, habe ich kein UBQ, das ist richtig beruflich, komm ich ohne UBQsten dünken, wo man rein.
[SPEAKER_00]: Ich glaube, ich kann ohne UBQen nur was man in der Top starten. [SPEAKER_01]: Ja, okay, da macht diese Krüde jemand für dich. [SPEAKER_01]: Ja, das korrekt. [SPEAKER_01]: Das heißt, in deinen privaten Umfeld bist du nicht auf dem nächsten Level. [SPEAKER_01]: Ja. [SPEAKER_01]: Warum? [SPEAKER_01]: Um es ja immer noch Ziele haben, Profkan. [SPEAKER_00]: Ja, warum? [SPEAKER_00]: Also diese Sächtig Eure Schaffst du auch noch dir zu leisten?
[SPEAKER_00]: Ich hab nachgekuckt, es kostet für mich nur noch in jubik hier. [SPEAKER_00]: Gah, auch schlimmer. [SPEAKER_00]: Ich hab einfach nur nicht gemacht. [SPEAKER_00]: Also, da bin ich auch ehrlich, das müsst ich mal.
[SPEAKER_01]: Er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er, er er, er er, er er, er er, er er, er er, er er, er er [SPEAKER_01]: Also, es muss mal das Service unterstützen, muss der irgendwie auf andere Devices gehen, irgendwie die Connection machen.
[SPEAKER_01]: Also, es ist halt nicht dieser One-Click, wie sonst auf funktioniert. [SPEAKER_00]: Ja, in der Regel ist es halt wirklich so, du willst beim Locken aufgefordert und dann musst du es per NFC an deinen. [SPEAKER_00]: Handy halten oder du musst den UB-Kiewin der USB in deinem Lepferbstek kurz berühren, da hat oben so eine kleine Taste, damit aktivierst du den. [SPEAKER_00]: Und ich meine, im Endeffekt ist er halt extrem sicher.
[SPEAKER_00]: Es ist kein Code, kein Push kann nicht abgefangen werden. [SPEAKER_00]: Funktioniert für viele Plattformen, halt über diesen Fido zwei Standard oder mit der Browser API Webout End. [SPEAKER_00]: Und nach der ist halt kostet halt ein bisschen Geld. [SPEAKER_00]: Muss mitgeführt werden. [SPEAKER_00]: Das ist auch das Problem. [SPEAKER_00]: Deswegen sag ich, hab's am Schüssel oder ähnliches.
[SPEAKER_00]: Ich hoffe, du verlierst ein Schüssel nicht, aber da ist auch die Frage, okay, wenn man dein Schüssel verliert, wie viele Leute können wirklich was mit einem Ubiqui anfangen, denn die brauchen auch noch zugehofer auf deinen Login. [SPEAKER_01]: Also realistisch steckt das Ding ja schon meistens einfach im Computer drin. [SPEAKER_01]: Also wenn ich so irgendwo am reißen bin, sehe so viele Laptops, wo das Ding halt einfach drin steckt.
[SPEAKER_01]: Also die wenigsten haben das wirklich am Schlüsselbund z.B. [SPEAKER_01]: in einem Device drin an, was das natürlich weniger sicher macht, wobei du natürlich schon immer noch [SPEAKER_01]: an die Hardware musst du überhaupt. [SPEAKER_01]: Also du musst mal den Laptop mit den UB-Ki klauen und dann hast du ja doch noch die ganze Verschlüssellungen und Lock in und zur Weiter- und Passwörter. [SPEAKER_01]: Also es macht das ganze schon schwieriger.
[SPEAKER_01]: Also man muss meine Meinung nach nicht immer des Nurem am Schlüsselbund tragen. [SPEAKER_01]: Klar, wenn man in die Sicherheit erhöhen will und sollte, macht es sicher Sinn. [SPEAKER_01]: Also wenn man zum Beispiel den Laptop im Auto lässt und im Urlaub, so wie ich damals, macht es vielleicht zehn dann den UB-Ki auszustecken und dann am Schlüsselbund zu haben. [SPEAKER_00]: Und da gibt es auch kleine Jubikis und große Jubikis.
[SPEAKER_00]: Also der kleine Jubikis, der immer im Laptop hängt, da brauch ich echt schon lange Finger nicht, damit sich die mit der rauskriegen muss ich zugeben. [SPEAKER_00]: Das ist dann echt schon mal ein bisschen gefrecke. [SPEAKER_00]: Ja, die sind dann auch gemacht, damit sie jetzt hier stecken bleiben oder? [SPEAKER_00]: Ja, genau. [SPEAKER_00]: Was aber auch ganz interessant ist, uns zwar wie so ein Ubik-Kieson-Hard-Wetter mit dem Service mit dem Web Service zum Beispiel kommuniziert.
[SPEAKER_00]: Auf der einen Seite gibt es an den Videos zwei Standard. [SPEAKER_00]: Der kümmert sich um die Kommunikation zwischen deinem Browser und dem Auto-Difizierungsgerät. [SPEAKER_00]: Und der kümmert sich auch dann über eine Web API, um eine Browser API-indient-Sich-Wett-Out-N. [SPEAKER_00]: Sie Webautentikation API, die regel dann, wie sich Webdienst, sich ein Browserautentifizieren, lasst um diese Web-Out-N.
[SPEAKER_00]: Kann zum Beispiel auch über Face ID oder deinen Lack laptop Fingerprintreader genutzt werden. [SPEAKER_00]: Das bedeutet, wenn du jetzt all so einen Online-Service hast und da vielleicht im Login Team bist und ihr wollt Leuten die Möglichkeit geben über ihren Fingerprintreader im Lack-Topf zu authentifizieren, dann könnt ihr das zum Beispiel über die Webout, in Browser API machen. [SPEAKER_00]: Ganz interessant können wir irgendwann auch mal ein Deep dive zu machen.
[SPEAKER_01]: Jetzt ist das Ganze ja eigentlich sehr basic. [SPEAKER_01]: Und ich hoffe, dass ja fast alle des in irgendeiner Form auch schon machen. [SPEAKER_01]: Nur wir selbst nicht mit dem UV-Kie, wenn ich auch gut. [SPEAKER_01]: Also ich weiß nicht, die UV-Kiesung ganz allgemein passt, wird meine Entscheidung. [SPEAKER_01]: Wie sieht's denn bei den ganzen anderen Schlüsseln aus, die du zu verwendest? [SPEAKER_01]: Es ist Ha-Kies.
[SPEAKER_01]: Kies von irgendwelchen Services, die du in irgendwelchen Entfvariablen speichert, in Entfter teilen. [SPEAKER_01]: Alle sehen also die Sachen, die macht man halt so einfach und da liegt der meistens irgendwie weniger Augenmerkt drauf. [SPEAKER_01]: Hab ich das Gefühl oder ist bei mir auch so, um ehrlich zu sein. [SPEAKER_00]: Ja, also wie sieht's da aus? [SPEAKER_00]: Fangen wir mal mit den SSH Keys an.
[SPEAKER_00]: Da habe ich eigentlich alle meine SSH Keys mit einer Verschüslung von ED-Fümmung, zwanzig, fünf oder nine Zinn, was so der aktuelle Standard meines ist, ist es nach, wie das SSH Keys hat, auch ein Passwort bei mir. [SPEAKER_00]: Du hast das ja alles der SSH Keys mit Passwort? [SPEAKER_00]: Ja, ganz genau. [SPEAKER_00]: Da muss du geben, ihr fast nix ein Passwort. [SPEAKER_00]: Und ich habe verschiedene SSH keys für verschiedene Services.
[SPEAKER_00]: Ich habe einen eigenen SSH Key nur für GitHub. [SPEAKER_00]: Ich habe meigene SSH Key für die Arbeit. [SPEAKER_00]: Ich habe meigene SSH Key für meinen Home Server. [SPEAKER_00]: Ich habe eigene SSH Keys Pro-Zeitproject. [SPEAKER_00]: Warum? [SPEAKER_00]: Wir falls das eine Kompromittiert wird oder falls man nur ein Teil von meinem SSH Key kriegt, damit man mich zugeführt für alles hat.
¶ SSH Keys und GitHub Tokens und Key-Rotationen
[SPEAKER_00]: Und dann habe ich natürlich eine SSH config. [SPEAKER_00]: Also das bedeutet, das hat ja für mich keine zusätzlichen Aufwand, außer die Initiale Erstellung einmal. [SPEAKER_00]: Und das war das über als gleich? [SPEAKER_00]: Nein. [SPEAKER_01]: Aber das hast du im Kopf und Tipps dann ein? [SPEAKER_00]: Nein, eine Password Manager. [SPEAKER_01]: Und der fällt das automatisch aus, oder kuppierst du das dann, weil in der Schelle oder das eine Schelle Integration?
[SPEAKER_00]: Es gibt die Möglichkeit, die Schelle Integration zu nutzen dafür und dann den Credential Helper vom Operating System zu nutzen oder von Password Manager. [SPEAKER_00]: Es kannst du ummützen, du kannst sagen, es ist das Haarconfig nutzbitte diesen Credential Helper und du weichst immer von meinen persönlichen Fragen ab. [SPEAKER_01]: Ob du die Schelle Integration verwendest und nicht ob es möglich wäre, [SPEAKER_00]: Du bist einfach nur zu ungeduldig mir zuzuhören, ja?
[SPEAKER_00]: Ich sage, das gibt es, ja? [SPEAKER_00]: Dann bist du mir reingegrätsch und dann hab ich gesagt, nein, ich nutze es nicht, ja? [SPEAKER_00]: Dach das kopiere ich noch. [SPEAKER_00]: Aber ich sage auch, ich muss mich dann nicht so lange outetitivizieren, weil alle paar Tage fragten mich mal. [SPEAKER_00]: Also das geht halt noch. [SPEAKER_00]: Und ich bin auch nicht in jedem System jeden Tag.
[SPEAKER_01]: Da muss ich mich jetzt outen, wie funktioniert es, dass der die neue alle paar Tage fragt, da gibt es irgendwie so eine Konflik, wüsste ich mal aussuchen. [SPEAKER_01]: Interessant, da bin ich sehr schwach, hier hab ich nicht, eigentlich kaum irgendwo Basswart auf meinen SSH keys. [SPEAKER_00]: Und dann auf den Systemen, wo ich SSH Login benötige, habe ich natürlich den Login über User-Nemod Pass vor doch aus, sondern über den SSH key.
[SPEAKER_01]: Wie sieht's mit deiner Zikrück die Hygiene aus? [SPEAKER_01]: Rotierst du die ganzen SSH keys regelmäßig? [SPEAKER_01]: Oder hast du dann auch einen Limit eingestellt? [SPEAKER_01]: Wie lang kann er an der Github SSH key geltig sein darf? [SPEAKER_01]: Oder verwendet werden kann das selber? [SPEAKER_00]: Das tolle ist ja regelmäßig, ist ja subjektiv. [SPEAKER_00]: Einmal jährlich oder alle zwei Jahre ist ja auch regelmäßig.
[SPEAKER_00]: Dann würde ich sagen, ja ich ruttiere sie regelmäßig. [SPEAKER_00]: Ich ruttiere sie aber nicht so regelmäßig, als das sich jetzt hier jetzt vertal. [SPEAKER_00]: Was habe ich glaube, ein solch großes anderes Ziel bin ich noch nicht. [SPEAKER_00]: Auf dem Dich werde ich das auch nicht. [SPEAKER_00]: Aber ich ruttiere sie für uns so alle zwei, drei Jahre mal durchzutiert. [SPEAKER_01]: Ja, im macht es auch so, wenn wir mit der Letztob geklaut wird, dann ruht ihr in meine SSH keys.
[SPEAKER_00]: Bei den Github Token sieht es ein bisschen anders aus. [SPEAKER_00]: Und da lasst ich meine Tokens alle sechs Monate, Experian. [SPEAKER_00]: Github Token, wenn du dann Token Andeks sagt, der gibt dir die so vier Zentage, drei Monate, irgendwie so vorgefährdigte Zeiträume. [SPEAKER_00]: Ich gibt dann immer so circa sechs Monate mal nur allein.
[SPEAKER_00]: Und das tolle ist, wenn du die Experian lässt, [SPEAKER_00]: Das zwingt dich zum Rotieren, weil nach den sechs Monaten schick dir dir um die so zwei Wochen vorhin eine E-Mail heimat, deine Tokungslaufen bald aus. [SPEAKER_00]: Und wenn du halt innerhalb von zwei Wochen nicht reagierst, dann kannst du halt irgendwann nicht mehr pushen oder nicht mehr die Pläuen oder für was auch immer diese Tokungsgenutzt werden.
[SPEAKER_00]: Und dann fehlen halt irgendwie alle Mandegitab-Actions über Zeit und dann muss ich halt mal die rotieren. [SPEAKER_00]: Da ist aber auch ganz wichtig, dass du natürlich auch und jetzt eben mal mal neben der Githaptopken-Rotation die ganze Sache noch mal auf.
[SPEAKER_00]: Das nächste Level, uns zwar auf das Ed-Lies-Privileg-Sleve, uns zwar nur Zeit keine Personal-Axis-Tokenz mehr, weil Personal-Axis-Tokenz haben auf alles Zuruf auf das Deine Account-Zuruf hat, sondern nutze eher fine-grained Personal-Axis-Tokenz. [SPEAKER_00]: Und da kannst du sagen, okay, dieser Token darf nur in die Docker Registry pushen. [SPEAKER_00]: Dieser Token darf nur eine issue erstellen und so weiter. [SPEAKER_00]: Ja, also wirklich ein bisschen runtergetritt.
[SPEAKER_00]: Das Riesenproblem ist bei GitHub tokens, nicht jeder Service, bei GitHub selbst, unterstützt fine-grained personal-exes Token. [SPEAKER_00]: Manche Aktionen kannst du leider nur mit eine personal-exen Token. [SPEAKER_01]: Keist ganz allgemeines Problemen.
[SPEAKER_01]: Also ganz viel der Service ist, da gibt es halt einen Kie, da teilweise kann es so nicht mal mehr Reckis kreieren, sondern es gibt einen Kie und da ist einfach Zugriff auf alles und du kannst dann gar nicht feinkanulare arbeiten. [SPEAKER_01]: Also das ist natürlich auch ein Problem auf der auf der Service Seite, auch wenn man es dann gerne machen würde.
[SPEAKER_01]: Du hast es auch kurz angesprochen mit dem [SPEAKER_01]: In Weimentware haben wir mit den Kies, die man einfach lokal verwendet. [SPEAKER_01]: Das ist für mich noch immer so ein Bereich, der nicht sehr zufrieden stellen ist. [SPEAKER_01]: Also ich speichert da, die Kies, wenn ihr irgendwas entwickelt, in meinem Projekt ab, in einer Punkt, entweder da zu einem Beispiel, aber dann liegen diese Kies lokal bei mir und ganz oft sind es produktiv Kies.
[SPEAKER_01]: Wenn man bei einem Service des Meextern verwendet hat man nur einen Kie zu Verfügung, z.B. [SPEAKER_01]: und dann [SPEAKER_01]: Speichert mal den Lokal in so einer Punkt, entweder die Punkt, entweder da ist nicht verschlüsselt. [SPEAKER_01]: Klar, die Festplatte ist vielleicht verschlüsselt, die mir die Alfall aber das schwirren schon ganz viele Keys immer herum in den ganzen Deafen-Wirements.
¶ Environment Variablen sicher managen
[SPEAKER_01]: Und das ist mir persönlich noch so einen Down im Auge und die habe da leider noch keine sinnvolle Möglichkeit gefunden, weil man muss die halt irgendwo definieren und wenn man die nicht jedes Mal irgendwie kopieren will als den Basswort Manager und sie dann automatisch gelöscht werden, dann muss man sie fast irgendwo speichern wie [SPEAKER_01]: Handtaps du das hast du nur eine gute Lösung gefunden.
[SPEAKER_00]: Die sind klar anvort, weil Passwort Manager, der hoffentlich eine Ziel ein Integration hat und dann kannst du den immer darauf lenken. [SPEAKER_00]: Aber das Ganze mit Problem ist natürlich nicht einfach. [SPEAKER_01]: Du hast gerade aber, wie machst du das dann konkret? [SPEAKER_01]: Weil es gibt ja keine Frage. [SPEAKER_01]: Machst du dann Export und hast irgendwie einen Kie der anatomatisch gefüllt wird oder wie machst du das Ganze? [SPEAKER_01]: Prahe in der Praxis.
[SPEAKER_00]: Also wenn Päsver hat eine Ziel eine Integration und der, den kannst du dann halt immer triggern oder gibt's auch so einen einzelnen Befehle. [SPEAKER_00]: Du kannst jetzt zum Beispiel dann sagen, wenn du einen Ziel eine Argument hast, kann eine Argument aus meiner App. [SPEAKER_00]: Minus Minus Secret. [SPEAKER_00]: Und dann kann ich sagen, okay, dann füch ich ein Schelbefehle aus. [SPEAKER_00]: Dollar, Klammer auf, pass vor Ziel eine Blabla-Bla-Bla.
[SPEAKER_01]: Und da gibt es dann an den Schlüssel, also die ID des eigentlichen Keys gespreichert ist. [SPEAKER_00]: Dafür muss natürlich ein Passwort CLI authentiviziert sein und so weiter und so fort. [SPEAKER_00]: Und dann musst du halt in deine Passwort Manager hast du überraschend verschiedene Wolls, also verschiedene Dresore und innerhalb von verschiedenen Dresoren hast du dann verschiedene Zugriffsberechtungen auf verschiedene Predentials und die Automation muss halt stimmen.
[SPEAKER_00]: Und dann kannst du über das Passwort CLI dann halt da aufzugreifen. [SPEAKER_00]: Also ich mein Punkt.nfl, das ist so der Klassiker, ne? [SPEAKER_00]: Ich meine, im Endeffekt kann man da nichts machen. [SPEAKER_00]: Es ist halt klar, dass er da environment-Varierungen hinpacken, wie zum Beispiel dein Date-Form, oder ähnliches. [SPEAKER_00]: Kann man machen, aber sie halt zu, dass das Punkt.nfl an dem Get-Egnores. [SPEAKER_00]: Dann gibt es noch durch noch Kommand an Argument.
[SPEAKER_00]: Es ist natürlich nie so richtig geil Secret in Kommand, ein Argument zu packen, denn die landen natürlich in der Shell-Historie. [SPEAKER_00]: in der Prozessliste gegebenenfalls in irgendwelchen Orde-Dlocks. [SPEAKER_00]: Stattdessen kann man natürlich sagen, okay, du ließ deine Sequels über SDD hinaus oder über Dateien, die halt entsprechende Rechte haben, mit so ein schönes Null-Sex-Hundert, das nur der User leset sogar auf hat, aber keine Gruppe oder nicht jeder.
[SPEAKER_00]: Dann gibt es natürlich noch die Bash History. [SPEAKER_00]: Ja, es hat natürlich leicht übersehenes Ding, aber ich kann auf jeden Fall gehen. [SPEAKER_00]: History eingeben, eingeben und dann sehe ich natürlich die ganzen Zieleifele. [SPEAKER_00]: Und wenn du das Secret in den Kommentaren argumentest, dann tauchen die natürlich auch da auf. [SPEAKER_01]: Wobei in Argumenten habe ich schon lang kein Basswort mehr irgendwo angegeben.
[SPEAKER_01]: Also mir komfort ist, hat sich ziemlich erledigt. [SPEAKER_01]: Die meisten Tools erlauben das gar nicht mehr. [SPEAKER_01]: Aber jetzt nochmal zu den Dot-Enfter-Dine, deine CLI integration, macht ihn nur ein Weilement-Variablen in deine aktuellen Shell. [SPEAKER_01]: Das heißt, du kannst keine Dot-Enfter-Dine irgendwie automatisch fühlen und danach wieder löschen lassen, wenn das in irgendeinem anderen Prozess ausgeführt wird oder so.
[SPEAKER_00]: Ich habe noch nie den Nied gehabt, wo ich dort entflerteilen über den Passwort Manager schreiben lassen müsste. [SPEAKER_00]: Aber ich habe auch das Gefühl, diese dort entflerteilen kommen sehr stark, zumindest in meiner Welt, aus dem Jahr zum Jahr was gibt Bereich. [SPEAKER_00]: Denn im Grobe Reich ist das irgendwie sehr selten, ist der Fall, dass du Punkt entflerteilen da umfliegen. [SPEAKER_00]: Ja, aber wo habt ihr kommst du dann deine Kies?
[SPEAKER_00]: Die muss ja irgendwie einlesen ins Programm. [SPEAKER_01]: Ja, da würde das Programm selbst geht dann auf die Enviermin variablen.
[SPEAKER_01]: Ja, weil das heißt, du musst es in den Environmentvariablen haben, jetzt wenn du irgendwie in anderen Prozesses hast, eine andere Scheldee, wie hintergrund aufgemacht wird, wenn du irgendwie... Also, die nicht direkt in deiner Stelle lokal start ist oder irgendwie in neues Bescher aufgemacht wird, dann wird das ja nur mal nicht durchgepipt. [SPEAKER_01]: Von Mutti mal oder, weil die Entfvariable leben ja nur in der aktuellen Shell, wenn du eine Seel-Eintikration hast.
[SPEAKER_00]: Also das Management von Environmentvariable ist generell sehr kompliziert. [SPEAKER_00]: Du kannst das natürlich auf der einen Seite auf globalem Level haben oder auf der zweiten Sache auf dem Directory auf der Directory eben. [SPEAKER_00]: Es gibt zum Beispiel so [SPEAKER_00]: Wenn du deine Schelle lädt, dann wird ja dein Home folder geladen, da kannst du ja da Teilen reinlegen, die dann halt dann nicht weit mit variabend laden, dann sind die halt für deine Kachplätze säschen da.
[SPEAKER_00]: So, dann gibt es aber noch so so tematiken wie zum Beispiel, die er entf, das sind zu Tools, da kannst du eine Datei in einen Ordner legen, z.B. [SPEAKER_00]: M.A.C. [SPEAKER_00]: und wenn du in diesen Ordner wechselst mit Change Directory, [SPEAKER_00]: Dann wird diese Enderzegeladen in den Aktuelles Session. [SPEAKER_00]: Dann kannst du das ausführen.
[SPEAKER_00]: Und wenn du aus dem Folder wieder rausgesst, wird die, wenn die in Barriere in Bayern mit Barrieremen die gesetzt wurden wieder entladen. [SPEAKER_00]: Das ist halt so du Skobst, eigentlich deine Entweierment-Variabend. [SPEAKER_00]: Und nett sich dir end, ist das super sicher? [SPEAKER_00]: Nee, ist es sicherer, weil die nicht im globalen Kontext, sie heißt ja drum springen.
[SPEAKER_00]: Ja. [SPEAKER_01]: Aber das heißt, wenn du über ein Makefall gehst, bist du wieder in einem anderen Kontext und verlierst deine Entfrarie ablen. [SPEAKER_01]: Wenn du ein Make-off rufst, wird der wieder in der neue Session gestartet. [SPEAKER_01]: Also du exportest sie, dann hast du sie aber wieder global. [SPEAKER_00]: Ja, so du glät sie nur für den Zeitraum, in dem du da unterwegs bist.
[SPEAKER_00]: Aber in dem Zeitraum sind sie dann auch wieder global, wenn du wieder ein Exportierst. [SPEAKER_01]: Okay, ja. [SPEAKER_01]: Aber okay, dann meinst du wenigstens wieder entladen und dann hast du sie nur für diesen Zeitraum, wo du entwickelst. [SPEAKER_00]: Genau, es ist halt so eine Art von Time-Based, wenn er so möchte.
[SPEAKER_00]: Aber es ist generell ein sehr schwieriges Problem, denn du hast nämlich unter anderem mögliche Attack-Vectoren wie zum Beispiel mit so Tools wie Sentry Centry is an Arrow, Porting Tool.
[SPEAKER_00]: Wenn du jetzt zum Beispiel ein lokales Programm hast, was ein Arrow schmeißt und was Sentry integriert hat, [SPEAKER_00]: dann wird dieser error halt an Sentry gesendet und damit der Entwickler oder die Entwicklerin Kontext über eine Fehler hat der Geschmissen wurde, wenn natürlich auch Metervariablen mitgegeben wie zum Beispiel, welche entweirmen Barrieren wurden, denn da geht es jetzt.
[SPEAKER_00]: Und dann könnte STO-Retisch sein, dass eine entweirmen Barriabel von deinem lokalen Computer an die error tracking platform Sentry gesendet werden. [SPEAKER_00]: Mir ist noch kein Fall bekannt bzw. [SPEAKER_00]: habe ich auf der Recherche kein Publikfall davon gefunden, aber theoretisch könnte das so funktionieren. [SPEAKER_00]: Und sehr viele Tools haben ja Telemetrydaten inzwischen auch drin.
[SPEAKER_01]: Aber wenn er unsere Community da noch ein paar Tipps hat über Kohle Tools oder Workflows würde ich mich auch sehr freuen, weil aktuell verlassig mich halt nur auf die Versberten verschlüsselt. [SPEAKER_01]: Aber wenn wir jetzt schon bei meinem Problemen sind, die wir so am Herzen liegen, wie gestern du dann mit Basswordern im Team um. [SPEAKER_01]: Weil, wie du ja weißt, ich habe einige Side-Projects auch mit anderen Leuten.
[SPEAKER_01]: Da weiße, muss man da auch Secret-Skis, irgendwie teilen, weil es hat nicht jeder Zugriff. [SPEAKER_01]: Du bist bei einem Service vielleicht nicht die deurer Enterprise-Lizenz zahlen, wo du Teams anlegen kannst und mehrere Counts, sondern nur einen Account in deiner Femilie, Beziehungen, wie gehst du da um oder machtest dein Worn Passwort eh alles automatisch? [SPEAKER_01]: Wenn mir da hat, schon in dem bei Beblok sind fast.
[SPEAKER_00]: Ja, da unterscheile ich, also ich habe bei One Password auch die Family Subscription, das bedeutet, weil die User Experience und die UI einfach so gut ist, kann meine Frau das einfach auch sehr gut bedienen und es hat halt die Integration ihre Geräte, das macht's halt sehr einfach und da bin ich dann auch gerne bereit fünf Euro.
¶ Passwörter in Team und Familie?
[SPEAKER_00]: zu investieren. [SPEAKER_00]: Bei Teams ist das ein bisschen was anderes. [SPEAKER_00]: Da kannst du natürlich diese teuren Enterprise-Dinger kaufen, in der Regel, wenn eine kleine Teams, das kostet dich, das auch nicht die Enterprise-Demartik.
[SPEAKER_00]: Aber da ist besonders bei Side-Projects macht es es kompliziert, weil ich habe auch noch vorlieben als du, du nutz dir jetzt Key Pass X oder was hast du gesagt, ich bin uns zu ein Pass wird, so mit sind wir schon mal nicht auf dem selben Tool, so mit Macht zum Beispiel ein Scherd-Woll, also ein Scherd. [SPEAKER_00]: Dreh so, wie nicht Sinn, weil irgendeiner von uns sich dann ändern müsste. [SPEAKER_00]: Und das führt ja immer zu friction, wenn man so möchte.
[SPEAKER_00]: Deswegen, wir haben das besorchtig über im Engineering Kiosk so gelöst. [SPEAKER_00]: Die ich habe die Team Secret im One Password und immer wenn ich eine Login anlege, dann teile ich den Hammer kurz mit dir über einen One Time Link. [SPEAKER_00]: Und dann habe ich die Hoffnung und das Vertrauen, die Wolfgang, dass du diese Credentials dann in deinem Password Manager überträgst. [SPEAKER_00]: Und rotieren wir die dann durch, seltenst, ja, das ist dann immer ein bisschen lof.
[SPEAKER_00]: Aber ich vertraue dann eigentlich dem Side-Project Team. [SPEAKER_00]: Zugegeben im Side-Project, habe ich jetzt noch nie einen Side-Project mit drei, vier, fünf Leuten gemacht, deswegen kann ich da relativ wenig zu sagen. [SPEAKER_00]: Und dann, wenn wir provisionell unterwegs sind, da gibt es dann meist die Enterprise-Lizänzen, wo wir passwörter in Team trisoren haben und da wird ein trisur teilweise progiererticket erstellt.
[SPEAKER_01]: Okay, das ist auch ein interessanter Herangehensweise. [SPEAKER_01]: Bei Keepers heißt das ganze Datenbank. [SPEAKER_01]: Man hat mehrere Datenbank. [SPEAKER_01]: Und da habe ich durchaus Datenbank auch mit anderen Gedalt in dem Selbenprojekt. [SPEAKER_01]: Füllt sich aber auch nicht zu ganz hundert Prozentig perfekt an, muss ich dazu sagen. [SPEAKER_00]: Okay, dann brauchst du also wiederum eine Cloud, um das zu schern, verstehe ich. [SPEAKER_01]: Ja, klar.
[SPEAKER_01]: Also, sharing brauchst du eine Cloud, ob du sie jetzt selberhaustest oder eine fremde Cloud verwendest. [SPEAKER_01]: Du brauchst immer eine Cloud. [SPEAKER_00]: Das war ja die Frage, weil wir in die Zeit ja gesagt haben, okay. [SPEAKER_00]: Ein Keterium, wie du deinen Passwortmanger aufwählen möchte, ob du selbsthausst und möchtest oder nicht. [SPEAKER_00]: Aber wenn du es dann ans Sharing vom Kädelschletz geht, dann musst du entweder die thematik machen, so wie ich.
[SPEAKER_00]: Ich sende dir das rüber und vertraue dir, dass du das selbsthandelsst, dann haben wir aber keine synchronisation. [SPEAKER_00]: Oder du musst irgendwie ein Service der für beide öffentlich zu gingen. [SPEAKER_01]: Genau, oder du schickst das Fall bei ihm mal herum, aber ob das eine gute User Experience ist, ist eine andere Sache. [SPEAKER_01]: Aber gegene natürlich theoretisch auch.
[SPEAKER_01]: Was man natürlich auch machen kann, wenn man es im professionellen Kontext arbeitet, mit mehreren Team mitgliedern ist Passport, das gleiche so da der Platzhälsch im Oben-Sausbereich, kann man auch selber holsten, gibt es auch also Service. [SPEAKER_01]: Und da kann man dann auch genau festlegen, welches Basswort, welche Gruppen, wer da, wo Zugriff haben.
[SPEAKER_01]: Immer das auch kurz angeschaut, was mir interessiert hat, wie sie es eigentlich machen, ist ganz klassisches Private Public Keyverfahren. [SPEAKER_01]: Jeder User hat einen Private Key und wenn du ein Basswort dailsst, dann wird das mit dem Public Key, das jeweiligen Users verschlüsselt. [SPEAKER_01]: Das Service kennt alle Public Keys. [SPEAKER_01]: Und wenn du es User und Zugreifst, hast du den Private Key und kannst es entschlüsseln und kommst zu an die Daten dran.
[SPEAKER_01]: Und so ist es sicher, dass das Server Daten verschlüsseln kann, ohne dass er die Private Keys kennt. [SPEAKER_01]: Ist also eigentlich ein sehr einfacher Ansatz, aber der, glaube ich, auch sehr robust ist und immer auch sicher gut verwenden kann. [SPEAKER_01]: Also ich kann auch viele Teams, die passport verwenden.
[SPEAKER_01]: Das funktioniert eigentlich ganz gut und ich war bisher ehrlich gesagt nur zu vaule, um das mal aufzusetzen und darum schähe halt einfach die Datenbankfalls von Key Pass. [SPEAKER_00]: Ich glaube, zusammenfassen können wir sagen, diese ganze Security-Thema-Teg wird halt immer und immer wichtiger speziell den Schutz einer eigenen Online-Eidentität.
[SPEAKER_00]: Wenn wir nämlich jetzt einmal von der Generation Z sprechen, da habe ich gestern zufällig noch auf Wikipedia-Rung gesurft und haben ja [SPEAKER_00]: Angesehen, aber mal ein Bummer ist und war nicht. [SPEAKER_00]: Und das stand halt unter anderem, was sie Generation zählt, sich dadurch auszeichnet, dass es die erste Generation ist, die vollständig mit der digitalen Welt aufwächst. [SPEAKER_00]: Die mit einem Passwort meines Schei aufwächst.
[SPEAKER_00]: Na, ich würde es mir wünschen, wenn Sie das tun. [SPEAKER_00]: Aber das bezweifel ich oft. [SPEAKER_00]: Aber da wird das immer wichtig. [SPEAKER_00]: Man hatte auch schon Bekannte, die verstorben sind und dann stellt sich natürlich die Frage, was machen wir jetzt mit digitalen Identität auf dem Facebook Profiler und so weiter und so vor. [SPEAKER_00]: So, also, Punkt ist, du hast eine digitale Intität. [SPEAKER_00]: Punkt ist, du steuers alles inzwischen fast online.
[SPEAKER_00]: Und da würde ich sagen, macht dir mal ein paar Gedanken darüber, wie du die ganze Sache den Ausschützt. [SPEAKER_00]: So, okay, wenn du keinen Geld für ausgeben möchtest, dann tauscht du aber in der Regel Geld durch Zeit, in dem du dich um diesen Kronisation kümmers und so, das ist auch okay. [SPEAKER_00]: Aber macht euch Gedanken. [SPEAKER_00]: Nicht jeder muss alle sechs Monate seine SSH-Kies mit passwörtern rotieren.
[SPEAKER_00]: Ich würde es mir wünschen, wenn du das tun würdet. [SPEAKER_00]: Aber ich mache es ja auch noch alle zwei Jahre von daher. [SPEAKER_00]: Könnt ihr mir dieses Argument gerne an den Kopf schmeißen. [SPEAKER_00]: Und wir machen ja auch nicht alles, wie zum Beispiel den eigenen Jubikki. [SPEAKER_00]: Hab ich jetzt auch noch nicht privat, vor allem googlob ich auch noch nicht. [SPEAKER_00]: Ja, fünf von Sanzig Euro, wenn wir das überlegen.
[SPEAKER_00]: Deswegen, hier mal eine kleine Checkliste in einer Stunde, fünfzehn. [SPEAKER_00]: Vielleicht war ja der ein oder der Tipp dabei. [SPEAKER_00]: Aber wir haben ziemlich viele Sachen noch gar nicht besprochen. [SPEAKER_00]: Wir haben nicht gesprochen, wie Parski ist funktionieren oder was das eigentlich ist. [SPEAKER_00]: Wie man die ganze Thematik zum Beispiel in Docker verwendet, was die psychologische Komponente denn ist.
[SPEAKER_00]: Also ich glaube, dieses ganze Thema kann zu wirklich von vorne bis hinten über, vielleicht sogar ganze Semester strecken, wenn man da mal ein bisschen sich alleine nötet. [SPEAKER_00]: Das war eher so mein Personal Security one-on-one, mit einem harten Fokus auf. [SPEAKER_00]: Ich sag mal Entwickler Secrets und Passwirtern vielleicht ist, was bei uns vielleicht wurde, ja dieses Jahr ein vielleicht noch mal was ändern.
[SPEAKER_00]: Und achtungen, ich glaube, die ganzen Black Friday und Cyber Monday und so weiter kommen die noch oder fahren die schon. [SPEAKER_00]: Auf jeden Fall, da gibt es bestimmt auch wieder irgendwelche Angebote von UB keys, Fernrausgeschmissen oder falls ihr auch wieder so feste Service nutzen wollte oder oder. [SPEAKER_01]: Damit er es nicht ganz zu Werbesendung von Manchen-Filmen, die wir verwenden ausarbeitet, mit kommen kein Geld nochmal, wir verwenden es nur gerne.
[SPEAKER_01]: Kommt bei uns in der Community vorbei und lasst uns mal wissen, was wir jetzt alles nicht erwähnt haben, was wir verwenden sollten, was es für Tools sonst noch gibt, die sind machen egal ob er zum Personal-Context oder im Team-Context, oder wenn ihr an wie dem Bereich er hat wie zum Beispiel.
[SPEAKER_01]: Pass kies, wenn wir da mal die vergehen sollen, vielleicht auch mit einem Gast, der sich der Zertiv auskennt, das uns dessen durch auch wissen, dann kann wir da mal wirklich einen deep dive mit einem Interview auch planen. [SPEAKER_00]: Das war's von uns. [SPEAKER_00]: Wir sind gespannt auf eure Security Stories. [SPEAKER_00]: Bis bald. [SPEAKER_00]: Bye bye. [SPEAKER_01]: Ciao.