Bei dem Weg: Soll der Passwort zurücksetzen Button eigentlich nichts tun, außer einen 400er schlechte Anfrage Fehler auszuspucken?
Bei dem Weg: Soll der Passwort zurücksetzen Button eigentlich nichts tun, außer einen 400er schlechte Anfrage Fehler auszuspucken?
Gibt genügend schlechte Implementationen, die das trotzdem ermöglichen. Kein Salz oder Pfeffer erlaubt Bekannter-Klartext-Angriffe auf geleckte stationäre Daten, Phischen, Zwischenspeichern einer App oder schlechte/keine Transportverschlüsselung erlauben Abfangen in Transit. In der Zwischenablage ist das Passwort spätestens unverschlüsselt und kann ohne Adminrechte abgehört werden. Überwachungssoftware, die z. B. Bildschirmfotos für deinen Arbeitgeber macht, kann Bilderkennung auf angezeigte Passwörter machen.
Ergo: Trotzdem immer vorsichtig bleiben. Der Passwortmanager schränkt nur den Schaden ein dank individueller Passwörter, perfekte Sicherheit bietet er jedoch nicht. Deshalb trotzdem 2FA mit Zeitcode/Schiebenachricht verwenden und für Konten, die das nicht erlauben, einen Identitätsservierer verwenden, der es kann (Google, Gesichtsbuch, so leid es mir auch tut, im Tausch gegen etwas Privat-Daten).
Hast natürlich recht, wobei ich natürlich eine saubere technische Umsetzung mit modernen Algos vorausgesetzt habe.
Absolute Sicherheit ist ja auch Fiktion
So oft, wie LastPass und 1Pass und wie sie alle heissen schon Lecks hatten, bin ich einfach misstrauisch, dass es das gibt. Es ist buchstäblich ihr Produkt und trotzdem kriegen sie es nicht hin. Hinzu kommen Schnittstellen zu Browsern und OS…
Darum Bitwarden - Mit Vaultwarden auch problemlos selber zu hosten.
Die sind ja auch nicht richtig Ende zu Ende verschlüsselt. Wer Lastpass und 1Pass nutzt ist aber auch selbst schuld ¯\_(ツ)_/¯
Ich nutze weder noch, noch würde ich sie empfehlen, aber inwiefern sind die nicht Ende zu Ende verschlüsselt?
Eigentlich ist der sogenannte Arbeitgeber der Arbeitnehmer und der sogenannte Arbeitnehmer der Arbeitgeber.