Bei dem Weg: Soll der Passwort zurücksetzen Button eigentlich nichts tun, außer einen 400er schlechte Anfrage Fehler auszuspucken?

    • Randelung@lemmy.world
      3·
      2 days ago

      Gibt genügend schlechte Implementationen, die das trotzdem ermöglichen. Kein Salz oder Pfeffer erlaubt Bekannter-Klartext-Angriffe auf geleckte stationäre Daten, Phischen, Zwischenspeichern einer App oder schlechte/keine Transportverschlüsselung erlauben Abfangen in Transit. In der Zwischenablage ist das Passwort spätestens unverschlüsselt und kann ohne Adminrechte abgehört werden. Überwachungssoftware, die z. B. Bildschirmfotos für deinen Arbeitgeber macht, kann Bilderkennung auf angezeigte Passwörter machen.

      Ergo: Trotzdem immer vorsichtig bleiben. Der Passwortmanager schränkt nur den Schaden ein dank individueller Passwörter, perfekte Sicherheit bietet er jedoch nicht. Deshalb trotzdem 2FA mit Zeitcode/Schiebenachricht verwenden und für Konten, die das nicht erlauben, einen Identitätsservierer verwenden, der es kann (Google, Gesichtsbuch, so leid es mir auch tut, im Tausch gegen etwas Privat-Daten).

        • Randelung@lemmy.world
          3·
          2 days ago

          So oft, wie LastPass und 1Pass und wie sie alle heissen schon Lecks hatten, bin ich einfach misstrauisch, dass es das gibt. Es ist buchstäblich ihr Produkt und trotzdem kriegen sie es nicht hin. Hinzu kommen Schnittstellen zu Browsern und OS…

      • Das Känguru@feddit.orgB
        11·
        2 days ago

        Arbeitgeber

        Eigentlich ist der sogenannte Arbeitgeber der Arbeitnehmer und der sogenannte Arbeitnehmer der Arbeitgeber.