Topic: [Guide] Protect your Crypto: Sicherheitstipps für den Heimcomputer/ das Heimnetz - page 2. (Read 842 times)

Auf das Thema VPN wurde ja hier schon hingewiesen, wollte nur noch die zwei Links hier lassen und VPN abraten:

https://gist.github.com/joepie91/5a9909939e6ce7d09e29

https://www.youtube.com/watch?v=FMScV1Mkaok

Genau das ist wahrscheinlich auch das ausfallsicherste bzw. zuverlässigste. Es kann wie du schreibst eben so vieles schief gehen, egal wie/wo die Keys gespeichert sind.
Eine Schritt für Schritt Anleitung, wie man an die Coins ran kommt ist da einfach am sichersten. Ich habe so eine Anleitung geschrieben und sogar hier auf das Forum verwiesen, falls irgendwas unklar sein sollte

Wobei offline ja nicht bedeutet, daß man die Sachen ausschließlich im Kopf oder auf Papier hat. Im Informatikbereich kann damit also auch ein USB-Stick, ein Laptop, ein Smartphone oder ein sonstiges Medium gemeint sein, daß keine Verbindung zu einem Netzwerk herstellt bzw. keinen Datenaustausch zulässt. So gesehen kann man einen Zettel oder die Seed-Plate vielleicht eher als nichtelektronische oder nichttechnische Speicherung bezeichnen.

Dein Einwand "Schlaganfall" ist trotzdem das beste Argument für eine solche Speicherform bzw. für offline + teilen.
Natürlich kann es dann sein, daß deine Sachen im Kopf erstmal weg sind.
Aber nehmen wir mal an, du hast als Eigenbrödler und Mehrfachabsicherer einen solchen Blackout, ein Totalreset. Dann liegen all die Trezors und Ledgers, die 20 verschlüsselten USB-Sticks, die Smartphones, die Nitrokeys, KeyPass, die PC's und Notebooks direkt vor dir auf dem Tisch und du kannst nichts damit anfangen. Überhaupt erstmal vorausgesetzt, man erinnert sich an seine Coins, dann braucht es ja auch noch die Zusammenhänge zu den Geräten und zu den Orten der Speicherung, ist ja auch alles weg. Und wenn du nun die Zugangsdaten online bzw. in Cloud, Netzwerk etc. gespeichert hast, dann brauchst du dafür auch wieder Zugangsdaten, die ebenfalls im Nebel verschwunden sind. Oder du brauchts die Orte, an denen deine Daten hinterlegt sind, die dir aber auch nicht einfallen. So oder so steckt man in der gleichen Situation.

Wenn man seine Angelegenheiten aber vorher mit seinen Liebsten wie Lebenspartner, Ehepartner, beste Geschwister, beste Eltern usw. geteilt hat, Vertrauensverhältnis vorausgesetzt, dann kommen diese Leute in einer solchen Situation von selbst auf dich zu und erklären dir, daß man dies und das hat. Sie füttern dich quasi mit den Infos, an die du sonst ohne Hilfe vielleicht irgendwann einmal oder vielleicht auch nie mehr herankommen würdest.

Ein Bankschließfach meldet sich nicht bei dir nach einem Schlaganfall.
Und die Bankmitarbeiter, selbst wenn sie dir die Sachen bringen würden, können dir auch nichts erklären.
Man müßte dann schon eine 1 zu 1 Anleitung hinterlegt haben, die für den absoluten Laien geschrieben ist.

Auch die geheimen Orte, an denen deine Sachen versteckt oder vergraben sind, senden kein Signal. Sie wissen ja nichts vom Schlaganfall.

Danke für diese Übersicht, ich denke sie ist wirklich für viele hilfreich.
Wie sicher schätzt du die integrierten Passwortmanager von Safari/Firefox & Co ein? Ich meine, dass es bei Safari noch die Gefahr gibt, dass die Passwörter in der Cloud gespeichert werden. (MAC only?)

Nutze auch Keypass. Man kann den Seed übrigens auch noch in einem Text in der keypass db verstecken. Als beispiel jedes erste Wort des Satzes ist ein Wort aus dem Seed. Und dann halt 24 Sätze speichern. Das ist jetzt simplifiziert, da kann man sich ganz andere Kombis ausdenken. Dann steht der Hacker vor ner Wall of Text, und wenn dann noch random Text mitspeicherst, bist du noch mal sicher. Offline ist mir zu unsicher bzw. was mach ich wenns brennt? Ne anderen Problem wäre noch ein Schlaganfall, dann kannst sein, dass dein Kopf komplett resettet ist und man auch keine Zugriff auf ein Crypto hat....

Wenn man seine verschlüsselte Keypass-DB offline auf einem (evtl. zusätzlich verschlüsselten) USB-Stick speichert, dann sollte man nicht nur einen USB-Stick sondern mehrere Backups zur Verfügung haben und die an mehreren Orten verteilen. Die USB-Sticks sollten von unterschiedlichen Herstellern und dazu nicht am gleichen Tag gekauft worden sein (Fehler im Herstellungsprozess bei einer Serie).

Als Massterpasswort eignen sich gut Passwortkarten. Die kann man sich selber erstellen oder benutzt diese Seite https://www.passwordcard.org/en. Die generiert mit jedem neuen Laden eine neue Karte. Wenn man die verliert, kannn man mit der hinterlegten Nummer (2) die Karte neu generieren. Höchste Sicherheit: Generieren auf einem Offline PC und Offline Drucker, die noch nie das Internet gesehen haben.

Für die (laminierten) Karten merkt man sich eine Reihenfolge (z.B. Reihe 3 und nur jede 2. Spalte oder legt Gedanklich ein Muster wie z.B. Dreieck über die Karte).
Für den Urlaub macht man eine extra Karte für das Urlaubswallet.

Schlüsseldatei für Keypass auf einem USB-Stick als Ergänzung zum Master-Passwortist auf jeden Fall eine sinnvolle Zusatzoption, welche ich für einen Teil meiner Seeds, zumindest für die Hot Wallets, nutzen möchte.
Natürlich muss man dann Sorge dafür tragen, dass die Schlüsseldatei nicht verloren geht, d.h. davon sind Offline-Backups wieder essentiell.

Nein der Satz ist korrekt.
Und auch mit meiner Aussage gibt es kein Problem

Fakt 1 - Meine KeePass DB liegt in keiner Cloud sondern einem lokalen Netzwerk das ich per VPN erreichen kann.
Fakt 2 - Das ist nicht gut denn ein kompromittiertes System würde ausreichen um den Vollzugriff abzugeben.
Fakt 3 - Du hast beschrieben was "Offline" heißt und das ist auch korrekt.
Fakt 4 - Ich habe nie behauptet meine DB Offline zu haben. Das dachtest du nur

Aber egal um so Kleinigkeiten soll es hier ja nicht gehen

---

Heute Früh habe ich auf jeden Fall direkt 2 Verbesserungen umgesetzt.
1) Schlüsseldatei für den Programmstart und
2) AES-KDF Wert der Kennwortverschlüsselung (Iterationen) angepasst.
Quelle für mehr Infos.

Das war mal ein Schritt in die richtige Richtung. Weitere Vorschläge rund um KeePass bzw. andere Sicherheitsthemen sind herzlich willkommen

Dann hat sich ein Fehler im nachfolgenden Satz bei dir eingeschlichen und daher kam die Verwirrung


Oder meinst du etwas anderes mit "nicht offline" aber eben auch "nicht online" ?
Ich kann dir leider nicht ganz folgen

Wie wäre es denn mit einem Offline Handy ?
Keine Sim-Karte, kein Wlan usw. und dort drauf die Keys, Wallets oder was auch immer ihr täglich gebrauchen könntet.
Die großen Wallets mit den Hauptbeständen sollten da natürlich nicht drauf sein

Offline beschreibst du natürlich richtig sam00.
Aber ich hatte auch nie behauptet, dass meine Version das ist… habe nur den Ist-Zustand beschrieben

Also meine aktuelle Lösung ist nicht zu 100% optimal und daher bin ich auf der Suche nach dieser einen perfekten (und trotzdem alltagstauglichen) Lösung. Bei solchen Themen muss man ja immer am Ball bleiben.

Das widerspricht sich irgendwie oder nicht ? Wenn du mit vpn in das Netzwerk kommst bzw. Zugriff auf deine KeePass bekommst, kann das ein Angreifer, der Zugriff über deine Geräte erlangt hat doch auch. Vielleicht habe ich es auch falsch verstanden oder du hast es kompliziert ausgedrückt aber offline bedeutet doch wirklich nur von dem Gerät erreichbar, auf dem es liegt und auch keinen Weg nach draußen zu haben.

Bequemlichkeit geht leider zu Lasten der Sicherheit.
Das mit dem Masterpasswort (KeePass) ist aktuell mein größtes Problem.
Div. Seeds sind halbwegs sicher (könnte noch besser werden - ja Willi da melde ich mich!) verstaut aber viele Kennwörter und Zugangsdaten sind nur in der KeePass-DB abgelegt.

Die Idee per YubiKey darauf zuzugreifen: https://keepass.info/help/kb/yubikey.html
klingt eigentlich nicht so verkehrt. Aber geht wieder auf die Bequemlichkeit denn das geht nicht von überall wenn man das Teil nicht dabei hat.

Ich habe meine KeePass DB nicht online aber zumindest an einem Ort den ich immer und von überall (per VPN) erreichen kann. Außerdem ist dieser YubiKey quasi das Passwortfile mit dem jeder Zugriff hat der auch weiß wo die DB liegt.

So richtig gut finde ich aktuell leider keine der Möglichkeiten.

Als Master bsw. für meine verschlüsselten Speichermedien und Geräte nutze ich nur noch Passphrasen.
Denn Sachen wie G&5+üä kI$?/wß09F4_*h kann sich auf Dauer kein Mensch merken, jedenfalls wenn es immer mehr werden.
Außer man hantiert wirklich jeden Tag mehrfach damit herum. Dann kann man sein Gedächtnis trainieren. Aber das muß man dann auch wirklich durchziehen, sonst verschwinden die wenig benutzten Teile irgendwann als erstes aus dem Speicher.

Passphrasen hingegen können ellenlange Sätze sein, kombiniert mit allen möglichen Sonderzeichen, Groß- und Kleinbuchstaben, Leerzeichen usw., logisch und auch eselsbrücken geeignet für einen selbst.

Bankschließfach - weiß ich nicht. Kann gesprengt oder ausgeraubt werden. Und kann sicher auch geöffnet werden, wenn man ins Visir von "Ermittlern" gerät.
Und was ist mit dem Schließfachschlüssel? Der ist ja dann auch wieder versteckenswert...  Es sei denn, man hat eine Privat-Privat-Bank, so 007-mäßig, mit Sicherheitsschleusen, einer Armee und der Garantie, daß die mit wirklich niemanden kooperieren.  

willi9974's "Recovery Seed BTC Plate" ist schon nicht schlecht. Sie übersteht den Wohnungsbrand und ist korrosionsbeständig. Aber dann ist auch wieder die Frage: wo verstecken? Schließfach, Eltern, Freunde, im Garten verbuddeln, in der eigenen Wohnung einmauern?


Ich bevorzuge tatsächlich offline und im Kopf, einige Sachen habe ich in Teilen, also nicht komplett, bei meinen Liebsten hinterlegt.

Ein Masterpasswort zu allen Passwörtern nützt euch nur dann etwas, wenn diese auf einem Offline Gerät gespeichert sind.
Wenn ihr mit einem Keylogger infiziert seid und jemand Zugriff auf euer System hat, müsst ihr nur einmal das Masterpasswort eingeben und Abfahrt

Wie schon im anderen Thread geschrieben: 100% sicher (und weniger sollte bei dem Thema nicht anvisiert werden) sind nur Daten, die keinen Weg ins Internet finden können.

Ich nehme einen anderen Thread zum Anlass um diesen Beitrag hier hoch zu holen.
Außerdem gibt mir dieses Zitat zu denken:

Wie handhabt ihr das?
Masterpasswort im Bankschließfach?
Kennwort wie auch BTC-Seeds in eine Metallplatte klopfen und verstecken?

Ich hab in meiner Podcast-Nachlese/Blog auch noch ein paar Punkte aufgelistet und diese noch näher beschrieben:

1.) Legt ein Backup an
2.) Schützen Eure Daten!
3.) Verwendet Sicherheitssoftware!
4.) Betriebsystem und Programme updaten!
5.) Sichere Passwörter verwenden!
6.) Finger weg vom Admin-Account!

https://www.minds.com/kryptokabinett/blog/folge-6-1-sicherheit-am-pc-906886841893912576


7.) Der Browser – Freund oder Feind?
8.) Fremdgehen mit fremden Geräten!
9.) Router zur Festung ausbauen!
10.) Fremde Dateien!
11.) Fremde Netze!
12.) Die Qual der Wahl des Betriebsystems!

https://www.minds.com/kryptokabinett/blog/folge-6-2-sicherheitstipps-teil-2-906893258870665216


Zur Inspiration 

Podcast unter:  http://kryptokabinett.at

Ich dachte es geht hier um 'Sicherheitstipps für den Heimcomputer/das Heimnetz'
Da benötige ich so ca. 10-15 Passwörter.

Wenn man in anderen Kategorien denken muß, z.B. Systemadmin in einer Hochschule ( o/ gruß an Michi )
ja dann sieht die Welt ganz anders aus und der Shitload von Server/Router/und sonst was für Passwörter die zudem noch mit Kollegen geteilt werden müßen wollen sicher Verwaltet werden, ja dann bin ich bei euch und sage ebenfalls her mit dem Passwortmanager. Nur ging es hier eben nicht darum.

Nochmals, es war nur ein Tipp, mit einer Methode die jeder einfach für sich Probieren kann.
Ich lasse das nun so stehen, denn es gibt immer Gründe dafür oder dagegen.

Hier bin ich ganz bei dir, aber um auf deine ursprünglichen Kritikpunkte zurückzukommen:


1. Niemand "kennt" hier deine Passwörter, wir sprechen hier von einem offline Passwort- Manager. Solange du ein sicheres Master- Passwort hast, bist du safe. Oder alternativ einen yubikey 
2. Kommt darauf an. Wenn du das .kdbx file mit deinem privaten owncloud server synchronisierst, dann schon 
3. Klar, wenn du dir 100+ Passwörter merken kannst/willst, sicher. Aber du hast es ja selbst gesagt


Außerdem sollte man ja auch hin- und wieder ein Passwort ändern. Wenn ein Service Opfer eines Data Breach wurde zum Beispiel.

Der Algo der Brute Force Attake ist selbst bei genauer Kenntnis der Verwendeten Sprache
und unter Verwendung von Wörterbüchern nicht in der Lage in unser beiden Lebenszeit zusammen
dieses Paßwort zu Entschlüßeln.
Ich nenne das mal hinreichend sicher.
Entropie hin/her (Auch wenn du natürlich Recht hast, kommt es dabei nicht darauf an)

Zum Thema Entropie hier auch mal ein Link:
https://www.grc.com/haystack.htm

Das ist richtig und stellt ein Problem dar.

Dann läßt man sich etwas kürzeres Einfallen, ist dann eben nur so sicher wie lang.

Bei den Schreibweisen kann man natürlich auch noch tricksen: Leutz, 3rich usw. der Phantasie
sind keine Grenzen gesetzt.  

Natürlich nimmt man auch keinen Liedtext 1:1 oder einen Wahlspruch, das setzte ich jetzt mal vorraus.

Alles in allem: Sicher ist gar nichts, es kommt nur auf die zur Verfügung stehenden Mittel und Zeit an.
Auch wenn ich mir die Mühe für einen gehackten Account in einem Kochforum nicht machen würde.
Meist Zielt es darauf ab das dieses Passwort dann ebenfalls für Facebook Twitter oder sonst was verwendet wird,
und deshalb versuchen es Hacker auch an der schwächsten Stelle   dem User.

Wichtig ist bei all dieser Diskussion, immer ein anderes Passwort für jeden Service zu Verwenden
und das sollte möglichst lang sein (max. Zulässige Zeichen).

Entropie =/= Zeichenanzahl, es sei denn du suchst diese Zeichen zufällig aus. Ist bei dir nicht der Fall.

Und ja Lyrics usw werden bei brute force schon benutzt, und das bei viel mehr als 14 Zeichen.

Dazu noch die Sache das du das Passwort gerne schnell eintippst und ohne Tippfehler. Letztendlich gibt es auch Services die so lange Passwörter nicht akzeptieren.