»[…] Der Entwickler der Anwendungen, […], veröffentlichte laut dem Bericht eigentlich #geheim zu haltende Informationen wie Schlüssel für #Program'mierschnittstellen (#API's), #Passwort'er oder #Verschlüsselung'skeys zusammen mit den #Quelltext'en der #Apps. […]«

Echt jetzt, dies geschieht heutzutage noch? .env Files oder gar direkt im #Code setzt mensch keine Passwörter & Co. öffentlich in seiner #Git Distro. Dies betrifft leider sehr viele Menschen.

https://www.heise.de/news/Datenleck-1-5-Millionen-private-Fotos-von-Dating-Apps-fuer-LGBTQ-enthuellt-10333383.html

»Signal-Gate weitet sich aus – Daten von Trump-Ministern frei verfügbar:
Die #Trump-Regierung in den #USA kämpft noch immer auf verschie­de­nen Wegen gegen die Auswirkungen des "#SignalGate"-Skandals. Jetzt wurde bekannt: auch persönliche #Daten, Telefonnummern und #Passwort'er einiger #US-Minister sind #online auffindbar«

Mal sehen wer wem welche Schuld zuweist und wer was von sich abstreitet, dann wissen wir wer wegen was angeschuldigt wird wegen welchem Egoismus.

https://winfuture.de/news/149887

In anderen Worten: Nein dies ist zwar standardisiert aber schon lange nicht mehr üblich im Einsatz:

»#HTTP-Authentifizierung
[…] Größere #Web-Auftritte verwenden dieses standardisierte Verfahren nur noch selten, da sich die Eingabefelder für #Benutzer'name und #Passwort nicht gestalten und nicht so einfach in die eigene #Webseite einbinden lassen wie bei einem #HTML-Formular. Teils wird die #HTTPAuth-Abfrage auch durch eigene #JavaScript-Funktionen ergänzt. […]«

https://de.wikipedia.org/wiki/HTTP-Authentifizierung

»KI-Trainingsdaten – Tausende gültiger API-Keys in gecrawlten #Web-Daten entdeckt:
Bei der Analyse eines frei verfügbaren #Archiv's mit rund 400 TBytes an #Website #Daten haben Forscher fast 12.000 gültige #APIKeys und Passwörter gefunden«

Nein!!! Ob dies nun die #KI (Automatisierung) oder/und "#Hacker" nun knacken spielt keine Rolle. #API-Keys wie #Passwort'er speichert man nicht im #Code als #Klartext direkt. Dies ist absolut dilettantisch und macht mensch nicht.

https://www.golem.de/news/ki-trainingsdaten-tausende-gueltiger-api-keys-in-gecrawlten-webdaten-entdeckt-2503-193908.html

Über folgendes Feature bin ich mir unschlüssig. 1Password bietet nun die Möglichkeit, Passwörter an Orte zu binden. Die Idee ist schon witzig. Im Büro brauchst Du in der Regel andere Zugangsdaten, als in Deinem Urlaubsressort. Kannst Du Dir Deine Geldautomaten-PIN nicht merken, stehst sie ganz oben, wenn Du in Deiner Bank bist.
Andererseits… noch eine App will wissen, wo Du bist und rumläufst. Nicht mal mittelgut.

Sicheres #passwort gefällig? Dankt mir später:

alias pwgen_with_dev_random='dd if=/dev/urandom bs=1 count=30 2>/dev/null | base64'
alias pwgen_with_gpg2='gpg --gen-random -a 0 30'
alias pwgen_with_openssl='openssl rand -base64 30'

Nachdem ich mich ja schon als #Schmelzkäse-Konsumenten geoutet habe, schreckt Euch ja nichts mehr.

Die Passwörter, die der Passwortmanager produziert, sind zu sicher für die #Nespresso-Webseite. Nur sagt sie Dir das nicht, so dass Du Dich selber aussperrst, weil der Manager Dein altes bereits überschrieben hat.

Mit F***D***1 geht‘s. What else?

»KeePassXC und Autotype:
Ein Passwort-Manager ist ein Muss. Wie einfach die Bedienung ist, erläutert dieser Artikel. Es gibt auch Alternativen.«

Ich weise Menschen auf @keepassxc hin doch anscheinend ist es für viele noch "zu kompliziert" *aarrrgh* IT-Sicherheit fängt beim Nutzen an aber auch in vielen Firmen muss dies umgedacht werden. Wenn die gehackt werden, sind die nie selber schuld :(

https://gnulinux.ch/keepassxc-und-autotype

KeePassXC und Autotype

Ein Passwort-Manager ist ein Muss. Wie einfach die Bedienung ist, erläutert dieser Artikel. Es gibt auch Alternativen.

#Passwort #Passwort_Manager #KeePass #KeePassXC #Firefox #Linux

https://gnulinux.ch/keepassxc-und-autotype

#GWB - Google Chrome: Passwortmanager ändert unsichere Passwörter bald von selbst – neue KI-Funktion kommt - https://www.googlewatchblog.de/2025/02/google-chrome-passwortmanager-aendert-unsichere-passwoerter-bald-von-selbst-neue-ki-funktion-kommt/ #googlechrome #passwort #Google

Neben Tools wie Cryptomator, AES Crypt usw. kann man in Linux Mint im Vorlagen-Ordner einfach eine verschlüsselte 7z-Datei anlegen.

Bei Bedarf wählt man diese Vorlage später im Zielordner aus und zieht einfach die Dateien rein.

Kann sich im Familienkreis lohnen, wenn man nicht ständig ein neues Passwort anlegen muss.

«Secure Coding – Passwort-Hashing zum Schutz vor Brute-Force und Rainbow-Tabellen:
Warum sichere Passwörter wichtig sind und welche Hashing-Algorithmen Java-Anwendung sowie Benutzerkonten zuverlässig vor Hackern schützen.»

Anscheinend ist dies immer noch ein Thema, da viele immer noch zB MD5 nutzen und nur das Hashen von Passwörtern eingesetzt wird. Vertraulich und sicher geht anders und Argon2 ist momentan aktuell.

https://www.heise.de/hintergrund/Secure-Coding-Passwort-Hashing-zum-Schutz-vor-Brute-Force-und-Rainbow-Tabellen-10265244.html?seite=all

Heute ist mal wieder der
Ändere dein #Passwort Tag.

Das #BSI sieht das allerdings anders

#ÄnderedeinPasswort
#passkey #security #datenschutz #passwörter #passwortsicherheit

Heute ist mal wieder der „Ändere dein Passwort“-Tag. Worauf es wirklich ankommt:

Jedes Konto braucht ein einzigartiges Passwort.
Verwende lange, zufällig generierte Passwörter.
Kein Mensch muss sich die merken – dafür gibt es Passwort-Manager.
Extra-Schutz? Aktiviere Zwei- oder Mehr-Faktor-Authentifizierung (2FA, MFA).

https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager

Ich hoffe, das Passkeys diesbezüglich nicht betroffen ist so wie Passwort-Manager wie @keepassxc, @bitwarden inklusive 2FA schon einen grösseren Schutz gegenüber der KI ergibt.

»GPT-4 kann eigenständig bekannte Sicherheitslücken ausnutzen:
Forscher haben festgestellt, dass GPT-4 allein anhand der zugehörigen Schwachstellenbeschreibungen 13 von 15 Sicherheitslücken erfolgreich ausnutzen kann.«

https://www.golem.de/news/mit-cve-beschreibung-gpt-4-kann-eigenstaendig-bekannte-sicherheitsluecken-ausnutzen-2404-184301.html

"Fehler! Ihr #Passwort muss mindestens drei Runen, eine neunstellige Primzahl und ein Hölderlin-Gedicht enthalten."