Personal Security 101: Die Security-Basics für Entwickler*innen
Denkst du, Passwortmanager sind in 2025 längst Standard? Dann kennst du vermutlich noch nicht die Realität von vielen Devs. Selbst bei den Profis landen SSH-Schlüssel, API-Keys oder Secrets oft unverschlüsselt auf der Festplatte.
In dieser Episode gehen wir zurück zu den Security-Basics. Wir sprechen offen darüber, was wirklich Best Practice ist und was in der Praxis (und bei uns privat) anklang findet. Warum sind Passwortmanager ein echtes Must-have? Wann reicht TOTP – und wann brauchst du Hardware-Tokens wie den Yubikey? Welche Kompromisse gehst du zwischen UX, Sicherheit und „Faulheit“ ein? Außerdem diskutieren wir, wie du SSH-Keys richtig schützt und wie du sensible Umgebungsvariablen verwaltest. Weiterhin klären wir, was Phishing, Typosquatting und homographische Angriffe sind.
Engagiere dich in unserer Community, teile deine Security-Stories und verrate uns deine Lieblings-Tools – oder die Hacks, auf die du heute lieber nicht mehr stolz bist. Vielleicht schaffen wir es gemeinsam, Security 2025 ein Stück besser zu machen.
Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners
Das schnelle Feedback zur Episode:
Anregungen, Gedanken, Themen und Wünsche
Dein Feedback zählt! Erreiche uns über einen der folgenden Kanäle …
- EngKiosk Community: https://engineeringkiosk.dev/join-discord
- LinkedIn: https://www.linkedin.com/company/engineering-kiosk/
- Email: stehtisch@engineeringkiosk.dev
- Mastodon: https://podcasts.social/@engkiosk
- Bluesky: https://bsky.app/profile/engineeringkiosk.bsky.social
- Instagram: https://www.instagram.com/engineeringkiosk/
Unterstütze den Engineering Kiosk
Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns immer
- Buy us a coffee: https://engineeringkiosk.dev/kaffee
Links
- Engineering Kiosk Episode #161 Sichere Daten trotz physischem Zugriff: Disk Encryption und Integritätsschutz von Laptops bis IoT-Devices mit David Gstir von sigma star: https://engineeringkiosk.dev/podcast/episode/161-sichere-daten-trotz-physischem-zugriff-disk-encryption-und-integrit%C3%A4tsschutz-von-laptops-bis-iot-devices-mit-david-gstir-von-sigma-star/
- Have I Been Pwned: https://haveibeenpwned.com/
- Bruce Schneier: https://de.wikipedia.org/wiki/Bruce_Schneier
- BSI - Sichere Passwörter erstellen: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
- Why does storing two-factor authentication codes in your password manager make sense?: https://andygrunwald.com/blog/why-does-storing-two-factor-authentication-codes-in-your-password-manager-make-sense/
- eslint-config-prettier Compromised: https://safedep.io/eslint-config-prettier-major-npm-supply-chain-hack/
- KDBX 4: https://keepass.info/help/kb/kdbx_4.html
- Passbolt: https://www.passbolt.com/
- 1Password: https://1password.com/
- Bitwarden: https://github.com/bitwarden
- KeeWeb: https://github.com/keeweb/keeweb
- KeePassXC: https://github.com/keepassxreboot/keepassxc
- Yubikey: https://www.yubico.com/get-yubikey/
Sprungmarken
Hosts
- Wolfgang Gassler (https://gassler.dev)
- Andy Grunwald (https://andygrunwald.com/)
Community
Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen in unserer Engineering Kiosk Community unter https://engineeringkiosk.dev/join-discord
Transkript
Andy Grunwald (00:00:03 - 00:00:59) 
Eine neue Episode vom Engineering Kiosk. Herzlich willkommen. Die erfolgreichsten Sportlerinnen betreiben ihren Sport nicht immer am Maximum ihrer Leistungsfähigkeit. Die erfolgreichsten Sportlerinnen gehen sehr oft zurück zu den Basics, üben und optimieren diese. Diese Episode ist irgendwie vergleichbar damit. Wir gehen zurück zu den Basics von Security und fangen da an, wo alles beginnt bei dir. Wir sprechen über Personal Security ein hundert erste Wie deine Security Basics aussehen sollten. Dabei geht es um Passwortmanager, Multi Factor Authentifizierung, Cloud Synchronisation, Secrets in Environment, Variablen, SSH Authentifizierung und so Fragen. Wenn ich meine Multi Factor Authentifizierungscodes in meinem Passwortmanager speichere, ist dann Multi Factor Authentifizierung nicht eigentlich sinnfrei? Die Antwort gibt es in diesem Podcast. Back to the Basics, los geht's.
Wolfi Gassler (00:01:03 - 00:01:05)
Andi, weißt du, was ein Nackerbazl ist?
Andy Grunwald (00:01:05 - 00:01:07)
Hört sich an wie ein Nacktbad Event.
Wolfi Gassler (00:01:07 - 00:02:48)
Ja, bis knapp dran, weil ich habe ja in Episode ein hundert ein und sechzig für die ganze Welt dargelegt, was ich für ein Security Nackerbazl bin. Also wie nackt ich bin im ganzen Security Bereich. Das war diese Episode, wo ich erzählt habe, dass meine Festplatte leider nicht verschlüsselt war von dem Laptop, der mir mal geklaut wurde. Kann man gerne nachhören, wobei es da eigentlich um die Festplattenverschlüsselung geht. In dieser Episode natürlich mit David, der uns das genau erklärt hat. Aber nachdem ihr das ja immer noch in den Knochen sitzt, machen wir heute genau eine Episode, wo ich vielleicht auch mal rausfinden kann, ob du auch in manchen Security Bereichen ein Nackerbazl bist, weil du bist ja einer, der immer gern irgendwelche Keywords raushaut und was nicht so Standard ist und was man heutzutage nicht sowieso alles macht. Und wir hatten, wir hatten in der Community eine kurze Diskussion, wo es um Passwortmanager gegangen ist und du gemeint hast, es ist zwei tausend fünf und zwanzig was muss da überhaupt noch diskutiert werden? Passwortmanager sind Standard, da gibt es nichts zu diskutieren. Period. Darum werden wir heute uns mal ansehen, was wir so in der Realität, in der Praxis wirklich machen, Ob diese ganzen Sicherheitsstandards wirklich alle erfüllt werden, die ja so Standard sind zwei tausend fünf und zwanzig bei uns privat, Ob du die auch alle befolgst und da möchten wir mal ganz offen darüber sprechen, was eigentlich Standard ist, was man machen sollte, was wir so privat auch wirklich verwenden und erfüllen und was man vielleicht gar nicht erfüllen muss, kann und da auch einen offenen Dialog führen mit unserer Community, weil da gibt es immer viele gute Infos und neue Tools, die man einsetzen kann in dem ganzen Personal Security Bereich. Wie macht man sein Leben sicherer? Und ich hoffe, Andi, dass du jetzt dein Herz mal öffnest, wo deine Security Schwachstellen sind.
Andy Grunwald (00:02:48 - 00:03:05)
Ich hatte Wolfgang diese Episode gepitcht als Personal Security ein hundert eins wer in Amerika mal studiert hat oder bzw. Sich da die Studiumskurse mal angesehen hat, der weiß, dass die Anfängerkurse immer One heißen. Deswegen schauen wir mal, wie viel Basics.
Wolfi Gassler (00:03:05 - 00:03:07)
Du selber eigentlich so machst.
Andy Grunwald (00:03:07 - 00:03:33)
Genau, ja, ich vielleicht auch, aber warum ich sage, hey, wir haben zwei tausend fünf und zwanzig, wie du nutzt noch keinen Passwortmanager. Wolfgang, das liegt daran, ich nehme immer Gutes an. Ich nehme halt immer an, dass die Leute in unserer Community den Industrie Best Practices folgen und dass die natürlich auch einen sehr hohen Anspruch an sie sich selbst haben und deswegen denke ich, das kann ich gut annehmen, weil da sind einfach krasse Leute drin.
Wolfi Gassler (00:03:33 - 00:03:42)
Darum gibt es ja auch schon lange das Problem nicht mehr, dass zum Beispiel Keys in irgendeinem Repository auftauchen oder so, die man mal mitpusht oder so, weil man ja alle Best Practices folgt.
Andy Grunwald (00:03:42 - 00:06:30)
Ich glaube, das ist genau der Grund, warum neunzig Prozent der Firmen GitHub Enterprise kaufen, weil die dann automatische Secret Scanning drin haben oder so. Aber lass uns mal langsam hier zur Episode kommen. Also ich meine, warum ist das immer noch ein Problem? Die Frage ist das überhaupt noch immer ein Problem mit Security und Passwortmanagern und so weiter? Und du wirst lachen. Aus irgendwelchen Gründen bekomme ich immer noch von Bekannten ab und zu mal dms über Twitter oder X, wo deren Account gefischt wurde, hier und da mal eine Phishing E Mail von deren E Mail Account und so weiter und so fort. Und ich frage mich jedes Mal ernsthaft jetzt oder vor kurzem bin ich auch wieder, ich glaube, ich habe das in irgendeiner Podcast News Episode gehört, über ein NPM Paket gestolpert, wo jemand, ich glaube, da ging es um den GitHub Token, der wurde weggefischt und somit hat dann jemanden populäres NPM Package ja nicht gehackt, sondern durch den GitHub Token neues Release gemacht, wo dann halt ein bisschen mal wieder drin war oder ähnliches. Also dieses ganze Thema von Secrets und wie man das managt, also dieses personal One on One Security ist immer noch so weit verbreitet und auch bei fähigen Software Engineers und allem drum. Und ich frage mich jedes Mal, muss das sein? Lernen wir nicht. Das ist so meine Frage. Aber jetzt müssen wir natürlich auch mal wieder ganz kurz den Disclaimer rauspacken, den Lehrer und müssen leider jetzt einmal ganz initial sagen, unabhängig davon, was wir hier jetzt sagen und unabhängig davon, ob jetzt am Ende der Episode fünf und dreiig Checkboxen gecheckt habt, weil ihr nämlich das alles macht, was wir hier sagen, Security ist leider ein bisschen schwieriger und nichts ist sicher. Also Security ist eigentlich nur die Definition darum oder es geht immer nur darum, den Aufwand für den Angreifer so zu erhöhen, dass es sich für den Angreifer nicht mehr lohnt. Das ist meines Erachtens die Definition von Security. Die zweite Thematik ist natürlich, dass Security auch ein Trade off ist. User Experience bzw. Der persönliche Eingriff ins Leben. Wie kompliziert ist eine Aktion? Über wie viel Hürden muss ich springen, um Zugriff auf irgendwas zu bekommen? Auch für sich selber muss man ja zugeben, wenn ich jetzt auf mein E Mail Postfach zugreifen möchte und ich muss dafür immer nach Hause an Schranken Zettel öffnen und da ein Passwort abschreiben, da muss ich zugeben, ist das schon sehr großer Eingriff im Leben. Da weiß ich jetzt nicht, ob ich das genauso haben möchte. Deswegen gilt halt auch bei Security so die User Experience. Wie kompliziert ist das Ganze eigentlich umzusetzen bzw. Wie oft steht es mir im Weg und wie oft nervt es mich Denn wenn es mich immer sehr viel nervt, dann deaktiviere ich diese Security Mechanismen sehr wahrscheinlich auch schnell. Also nur weil ihr die ganzen Sachen, die wir jetzt hier gleich besprechen, folgt, heißt das leider nicht, dass der Wolfgang nicht euer Vertrauen missbrauchen kann und Zugriff auf euren E Mail Account kriegen kann.
Wolfi Gassler (00:06:30 - 00:06:58)
Ich wollte schon sagen, weil du gesagt hast, wenn man die sechs und dreiig Checkboxen abdicken kann, also eigentlich geht es ja darum bei dieser Episode, dass ihr am Ende sagt, was diese sechs und dreiig Basic Checks boxen. Es gibt ja eigentlich mindestens dreiig andere, die der Andi eigentlich erfüllen sollte, die er jetzt gar nicht erwähnt hat, weil das ist ja eigentlich schon best practice. Und genau darum geht es mir mal, dass die Community dann kommt und uns erklärt, was denn sonst noch jetzt fehlt in unserer Liste und was wir so machen.
Andy Grunwald (00:07:58 - 00:08:00)
So, dann starten wir mal los.
Wolfi Gassler (00:08:01 - 00:08:49)
Initial geht es ja mal um diesen Passwortmanager, den du ja schon erwähnt hast. Jetzt nehmen wir mal an, alle verwenden einen Passwortmanager, obwohl es definitiv nicht so ist. Auch in der Dev Welt ist es so. Aber wenn du mal zusammenfassen müsstest für jemanden, der jetzt noch keinen Passwortmanager verwendet, wir haben ja das als Techies wahrscheinlich auch oft das Problem, dass so im normalen Umkreis, im Freundeskreis irgendwie alle noch ihre klassischen Susi drei und zwanzig tausend vier hundert sechs und fünfzig habe ich lieb, Passwörter verwenden und dann hängen sie hinten nur irgendwie drei, vier und fünf, sechs dran oder so. Muss zugeben, manche Accounts habe ich auch noch, wo ich so ein altes Pattern verwende, gerade wenn es darum geht, die vielleicht irgendwann mal irgendwo eintippen müsste, aber sagen sonst neun und neunzig Prozent meiner Accounts sind auf Passwortmanager. Aber warum macht ein Passwortmanager Sinn?
Andy Grunwald (00:08:49 - 00:09:00)
Ich frage mich gerade, sollte ich mal eine Wortlisten Attacke bei dir auffahren mit den klassischen österreichischen Frauen Vornamen, wenn du schon Susi eins, zwei, drei sagst, aber.
Wolfi Gassler (00:09:00 - 00:09:10)
Das wäre Susi habe ich lieb. Das ist ja so auch man soll sich immer so ein Pattern ausdenken. Du kannst Nackerbaz eingeben, das ist schon schwieriger, weil da wüsste nicht mal ich, wie man es buchstabiert.
Andy Grunwald (00:09:10 - 00:09:52)
Ja, ich wüsste auch nicht, wie man Nackerlbart schreibt, aber dieses Susi ein hundert drei und zwanzig, das hat so ein bisschen Knuddels Vibes, finde ich. Naja, wie dem auch sei, lass uns mal starten. Warum sollte man Passwortmanager nutzen? Also Grundregel Nummer eins, du benutzt mit hoher Wahrscheinlichkeit eine dreistellige Anzahl an Internet Services heutzutage davon rede ich nicht nur Facebook, Twitter und TikTok, sondern E Mails. Und dann hast du da noch einen paypal Zugang und vielleicht hast du noch einen Klarna Zugang und auf Discord bisher auch noch und so weiter und so fort. Das bedeutet, du hast eine relativ schnelle dreistellige Anzahl an digitalen Zugängen. Mein Passwortmanager hat mir gerade mal angezeigt, ich habe über ein tausend Logins dort eingespeichert da siehst du eben nur vier.
Wolfi Gassler (00:09:52 - 00:10:00)
Hundert ein und sechzig ich bin eindeutig der, der eher auf die klassische Technologie setzt und die funktioniert und nicht bei jedem Hipster Service sich anmeldet.
Andy Grunwald (00:10:00 - 00:12:06)
Ja gut, da kommen wir gleich zu was es alles ist, denn bei mir sind es leider nicht nur Logins, sondern auch SSL Keys und Two Factor Authentication, Backup Codes und so weiter und so fort. Wie dem auch sei. Punkt ist aber verwende bitte nicht überall das gleiche Passwort, denn wenn du unterschiedliche Passwörter, unterschiedliche Services nutzt, reduzierst du das Risiko massiv, dass ein Angreifer auf mehrere deiner Konten zugreifen kann. Denn Data Leaks gibt es immer und immer und immer wieder. Denn wenn du jetzt zum Beispiel bei Facebook registriert bist, dann kannst du leider nicht bestimmen bzw. Du hast keine Transparenz, ob deine Daten wirklich verschlüsselt in der Datenbank abgelegt werden. Es kann sein, dass dein Passwort einfach in Klartext da liegt und wenn dieser Service dann gehackt wird, dann wird mit hoher Wahrscheinlichkeit nach einer gewissen Zeit diese Datenbank zum Verkauf angeboten im Darknet. Dann hat man einen sogenannten Data Leak und wenn dann steht der Wolfgang hat Zugriff auf Facebook mit dem Klartext Passwort SUSI oder vielleicht sogar mit einer schwachen Verschlüsselung, nehmen wir mal irgendwie MD oder ähnliches, wo man dann einfach Wortlisten Attacken gegenfahren kann. Dann hat der Angreifer, kauft er sich das ganze Paket, sieht ah, der Wolfgang hat da Zugriff und der Wolfgang hat zum Beispiel auch wolfgangmail com, ist aber bei Facebook registriert. Somit weiß der Angreifer, der hat sogar ein Google E Mail Konto und somit probiert dann nämlich einfach Wolfi Mail Com bei Gmail aus mit dem Passwort SUSI und flups bis zum E Mail Account. Und dann kommt das Riesenproblem eigentlich, weil du dann im E Mail Account bist, kannst du natürlich bei jedem anderen Service, wo der Wolfi registriert ist, einmal auf Passwort vergessen drücken und somit bist du eigentlich der Wolfgang im digitalen Leben. So und jetzt kommt jetzt kann man natürlich auch sagen, diese Datenleaks, kann ich denn irgendwie prüfen, ob ich schon mal Teil eines solchen Data League war? Und ja, da gibt es nämlich den australischen Security Forscher Troy Hunt, der hat mal vor Jahren eine tolle Webseite aufgebaut, nennt sich have I been pwned? Da kannst du einfach deine E Mail eingeben und der untersucht einfach keine Ahnung wie viel Data Leaks und da kannst du sehen, wann wo deine E Mail Adresse auch mal Teil war. Deswegen solltest du generell erst mal einen.
Wolfi Gassler (00:12:06 - 00:13:38)
Passwortmanager nutzen, vielleicht als kleinen Er hat vierzehn Milliarden Accounts, die gepawnt wurden, also die gehackt wurden bzw. Geleakt wurden. Also das sind schon ganz viele. Und auch Facebook ist es ja passiert. Das heißt auch wenn man glaubt, die Großen haben ja kein Problem, das passiert den Größten. Und man muss ja auch dazu sagen, man ist ja auch bei ganz vielen kleinen Services registriert. Also man hat ja auch keine Ahnung, wie groß ist das ein Team ist es vielleicht irgendwie so ein Kerl wie ich, der so nebenbei ein side Project macht und da irgendwas zusammengeklopft hat oder gewipe codet hat und dem vertraue ich jetzt mein Pattern an, wenn ich überhaupt ein Pattern hab. Vielleicht habe ich überhaupt nur ein Standard Passwort, aber sogar wenn ich ein Pattern hätte, das heißt, dass jedes Passwort leicht anders ist, kann es durchaus ein Problem sein, weil das Pattern dann erkannt wird. Also oder auch nur, wenn das zwei, drei Accounts sind, die dasselbe Passwort verwenden. Also da kann man dann sehr schnell weiterspringen und springt von Account zu Account. Und wer jetzt sagt, ja, meine Accounts sind nicht so wichtig, also jeder Techie weiß das hoffentlich, dass die Accounts durchaus wichtig sind, aber gerade in der nicht technischen Welt ist es meiner Meinung nach nicht angekommen, wie problematisch es sein kann, auch wenn man Account verliert, also seinen E Mail Account, den man seit zwanzig Jahren verwendet, der überall registriert, ist diese E Mail Adresse. Plötzlich ist diese E Mail Adresse weg und man bekommt sie auch nicht mehr zurück unter Umständen. Also das ist schon lebenseinschneidend und da kann mir dann niemand erklären, es ist ja im E Mail Postfach eh nichts drin. Da geht es dann wirklich darum, dass man eigentlich aus seiner Internet Identität fast ausgesperrt ist.
Andy Grunwald (00:13:38 - 00:16:09)
Jetzt habe ich gerade viel zu lange erklärt, warum man eigentlich unterschiedliche Passwörter für unterschiedliche Services nutzen sollte. Das erklärt aber leider noch nicht, warum ich einen Passwortmanager nutzen sollte. Denn jetzt könnte man Facebook war mein erster Service, deswegen ist mein Passwort Susi ein tausend zwei hundert ein und dreiigste Gmail mein zweiter Service Susi ein tausend zwei hundert zwei und dreiig und so weiter und so fort. Jetzt ist es aber so sogar, dass BSI oder eigentlich jeder außer gegebenenfalls seine Oma sagt, wir sollten starke Passwörter nutzen. Was sind starke Passwörter? Möglichst lang, möglichst viele Buchstaben, groß, klein, ebenfalls noch eine Zahl dabei und Sonderzeichen und das vielleicht alles sogar ein bisschen öfter. Auf jeden Fall, auch wenn man irgendwann Pattern hat wie, weiß ich nicht, der Vorname meines Hundes, das dritte Buch von links davon, die sechste Seite, der erste Buchstaben und so weiter und so fort, kann man sich das halt irgendwann nicht mal merken. Und jetzt fragt man sich, okay, warum mache ich überhaupt starke Passwörter? OK, starke Passwörter sind eigentlich heutzutage recht essentiell. Auf der einen Seite schützen sie gegen Brute Force Attacken. Brute Force Attacken sind Attacken, wo man einfach immer wieder auf das Login Form hämmert und eigentlich dauerhaft irgendwelche Passwörter durchprobiert. Klar kann man durch Rate Limiting und IP Sperren und so weiter alles reduzieren, aber Brute Force Attacken selbst kann man eigentlich nicht verhindern. Man probiert halt einfach irgendwelche Passwörter aus. Eine andere Art von Attacken sind Wörterbuchangriffe oder moderne GPU gestützte Tools wie Hashkats. Die generieren dann die Hashes nach einer Verschlüsselung auf der GPU und schießen die dann gegen das Login Formular. Wörterbuchangriffe sind Angriffe, wo du einfach Wörter hast, die dann bereits in die Verschlüsselung umgerechnet wurden oder die orientieren sich ganz einfach an klassischen Wortlisten, wie die gängigsten Frauennamen in Österreich oder die gängigsten Passwörter eins, zwei, drei oder Test eins, zwei, drei und so weiter. Da gibt es sogar auf Wikipedia vorgefertigte Wortlisten und auf GitHub kann man sich diese Wörterbücher auch herunterladen. All die ganze Thematik wird natürlich recht problematisch in Zukunft, wenn wir nämlich mit dem Quantencomputing um die Ecke kommen, weil dann können auch von diesen Data Leaks hohe Verschlüsselungen, die heute noch als sicher gelten, recht schnell geknackt werden. So zumindest die aktuelle Theorie. Meines Wissens nach sind wir noch gar nicht so weit, was das Quantencomputing Thema angeht, aber es gibt Researcher, die kümmern sich darum, dass die Passwörter auch nach einer Post Quantum Zeit sicher bleiben. Aber das legen wir beiseite, weil da haben Wolfgang und ich relativ wenig Ahnung von.
Wolfi Gassler (00:16:09 - 00:17:27)
Vielleicht noch zur Erklärung für alle, die jetzt vielleicht nicht so tief in der Implementierungsseite von Passwortspeicherung drin sind. Also Andi hat jetzt immer von Hashes gesprochen. Ganz kurz erklärt, der Hash ist diese Form, wie ein Passwort gespeichert wird auf der Serverseite. Also da wird in irgendeiner Form eine Encryption gemacht oder ein Hashing. Hashing kann nur in eine Seite funktionieren, das heißt, man kann von dem gehashten Wert nicht zurückrechnen auf das Passwort. Aber was man natürlich machen kann, wenn es ein einfacher Hash ist und die Daten werden jetzt geleakt, gehen nach außen, dann hat man diesen Hashcode und dann kann man sich einfach eben hinsetzen, ganz viele Passwörter durchprobieren und immer checken, kommt dieser Hash am Ende raus. Und wenn man dann das Passwort gefunden hat, weil es eben nur ein einfaches Passwort ist, dann kennt man das Passwort, weil man überprüft hat, dasselbe Hash kommt am Ende raus, wenn man diese Hash Funktion anwendet. Da gibt es natürlich intelligentere Hash Funktionen, dümmere Hash Funktionen, aber es ist eigentlich immer der gleiche Schritt bei so einer Bruce Force Brute Force Attacke. Und ein Quantencomputer könnte das natürlich noch mal schneller alles durchprobieren. Es geht ja immer um die Schnelligkeit, wie lang muss ich mich hinsetzen und Passwörter durchprobieren. Theoretisch kann man natürlich alles knacken, aber wenn ich natürlich zwei hundert Jahre Passwörter haschen muss, bis sie mal an Ziel kommen, dann würde das mal als sicher bezeichnen. Aber es kann der Quantencomputer natürlich schnell ändern.
Andy Grunwald (00:17:27 - 00:17:55)
Der Wolfgang hat sich gerade bei dem Wort Brute Force ein bisschen versprochen und hatte Bruce Force gesagt Und das ist natürlich, ich weiß nicht, ein freudscher Versprecher, glaube ich, Denn wer sich so ein bisschen in der Kryptographie auskennt, kennt unter anderem Bruce Schneier. Bruce Schneier gehört unter anderem zu den Autoren von SHA drei, soviel ich weiß, einem Hash Algorithmus. Und das finde ich natürlich sehr schön, dass wenn man sich bei Brute Force mit Bruce Force verspricht, aber nun gut, das nur als random.
Wolfi Gassler (00:17:55 - 00:19:20)
Ich wollte dir nur diese geniale Überleitung bringen, dass du den auch noch reinbringen kannst. Was aber übrigens noch ein ganz anderer Grund ist, vor allem wenn man eben mit Nicht Techie spricht, was man ganz gut anbringen kann, was ja Leute auch stört, hat mich früher auch gestört. Du musst ja mittlerweile da irgendwie Sonderzeichen eingeben. Die Passwörter werden immer geprüft, ob das ein sicheres Passwort ist. Es wird immer noch länger und was macht man da oder was hat man früher gemacht, was habe ich früher gemacht? Man hängt halt irgendwie eine Zahl dran, man hängt da noch einen Dollar dran, wie es halt so üblich ist, an sein Standard Passwort und am Schluss hat man keine Ahnung mehr, was man für Passwort eigentlich verwendet hat, weil es war das Standard Passwort, aber hinten hat man noch was dran gehängt und man hat sich das ja nicht gemerkt. Und dann kommt immer das Problem, ja, man muss ein neues Passwort anfordern bei E Mail. Das heißt, bei jedem Login, wo man ständig sich einloggt, hat man irgendwie fünf Minuten oder noch länger, weil das E Mail kommt dann nicht an, mit dem Passwort zurücksetzen, damit man sich überhaupt mal einloggen kann. Also auch wenn ihr vielleicht mit Nicht Tech sprecht, meiner Meinung nach ist das auch ein super Argument, dass einfach die Convenience erhöht wird, dass man viel einfacher im Alltag damit umgehen kann. Wenn es noch automatisch connected wird, der Browser mit dem Passwortmanager, dann werden die Passwörter einfach eingegeben. Man muss sich sich um nichts kümmern. Es ist Lebenszeit sparend, würde ich fast sagen. Also das ist auch noch ein wichtiges Argument. Das hat mich damals auch überzeugt, auf den Passwortmanager umzusteigen vor, ich hoffe mal, es waren viele Jahre, aber ich kann mich gar nicht daran erinnern. Seit wann verwendest du einen Passwortmanager?
Andy Grunwald (00:19:21 - 00:20:26)
Um das genaue Jahr zu sagen, müsste ich dir jetzt wahrscheinlich die Rechnung von meinem Passwortmanager raussuchen, aber ich würde mal sagen zehn, elf Jahre, irgendwie sowas. Jetzt sprechen wir die ganze Zeit über komplexe Passwörter und ich kenne ja die Community. Die Community kommt nämlich nach dieser Episode um die Ecke. Und Andi, wieso hast du denn nicht die offizielle Empfehlung vom BSI mal genannt? Wir sind doch Deutsche, wir haben doch Regeln für alles bzw. Starke Empfehlungen vom Bund. Und jetzt habe ich ja gerade mal ganz kurz nachgegoogelt. Also das BSI, das ist das Bundesamt für Sicherheit in der Informationstechnik, für alle Leute, die uns zum Beispiel nicht aus Deutschland zuhören, empfiehlt, ein starkes Passwort kann kürzer und komplex oder lang und weniger komplex sein. Und dann geben die natürlich auch Empfehlungen, zum Beispiel zwanzig bis fünf und zwanzig Zeichen lang und es enthält zwei Zeichenarten, also Buchstaben und Zahlen, zum Beispiel acht bis zwölf Zeichen lang und hat vier Zeichenarten, dann ist es natürlich kürzer und komplex. Oder acht Zeichen lang, hat drei Zeichenarten und ist zusätzlich durch eine Mehrfaktor Authentifizierung abgesichert. Finde ich gar nicht mal so doof. Verlinken wir natürlich auch in den Shownotes.
Wolfi Gassler (00:20:26 - 00:21:22)
Was mich ja in letzter Zeit oft genervt hat, ist bei Webseiten, dass du keine so lange Passwörter überhaupt verwenden kannst. Also die haben teilweise irgendwie ein Limit von, keine Ahnung, zwölf oder so und meine Standard Passwörter sind halt irgendwie, keine Ahnung, was mein Passwortmanager so ausspuckt, meistens schätze mal so sechzehn bis achtzehn Charakter und dann hast du wieder einen extra Schritt drin, weil das Passwort irgendwie zu lange ist. Also keine Ahnung, warum Webseiten das machen. Also wenn ihr eine Webseite programmiert, erlaubt auch längere Passwörter, damit man eben, wenn man so eine lange Zeichenkette, die man sich vielleicht sogar im Kopf merken will, nicht von dem Passwortmanager kommt, wie ich habe Susi lieb und sie sitzt gerade im Garten hinter dem rechten grünen roten Apfelbaum oder so. Spätestens bei der dritten Webseite kommt man dann, glaube ich, in das Problem, dass man sich das nicht mehr merken kann. Aber sollte man sowas verwenden wollen, dann sollte die Webseite das auch unterstützen. Also vielleicht auf der Entwicklerseite auch darauf achten, wenn man nicht sowieso eine Standard Library verwendet, die das alles wegkapselt, hoffentlich.
Andy Grunwald (00:21:23 - 00:21:32)
Früher habe ich immer so Ausreden gehört, ja, wir müssen Speicherplatz sparen, deswegen erlauben wir hier nur ein Varchar Dreiig und so weiter in dem Datenbankschema. Ich hoffe, aus diesen Zeiten sind wir langsam mal raus.
Wolfi Gassler (00:21:33 - 00:21:39)
Ja, ist eigentlich sowieso egal, weil du hasht das Ganze und der Hash ist immer gleich lang aus deiner Hash Funktion.
Andy Grunwald (00:21:39 - 00:24:27)
Ja, ja, das ist richtig. Aber vielleicht hast du ja ein Legacy System, was früher vielleicht noch in Klartext gespeichert hat und dann in MD, was bei einem normalen MD, glaube ich, zwei und dreiig Zeichen sind. Und dann vielleicht ist ja irgendjemand so krass drauf und macht ein Base Encode und Decode drauf und alle. Also es gibt ja die wildesten Thematiken da draußen, Deswegen, ich hoffe, das Thema können wir hinter uns lassen. Aber jetzt hatten wir lange Passwörter und haben gesagt, okay, kann sich keiner merken. Deswegen nutzen wir Passwortmanager. Meines Erachtens nach gibt es aber noch einen essentiellen anderen Grund, weswegen man Passwortmanager nutzen sollte. Wir hatten Data Leaks da wo das Passwort für andere Services verwendet wird und dann kann man das einfach durchprobieren. Sowas nennt man im Fachjargon Credential Staffing. Dann gibt es aber auch noch sogenannte Phishing Attacken. Ich schicke dem Wolfgang eine E Mail, ich fake die so, dass die E Mail so aussieht, als kommt die von Wolfgangs Bank. Pack da einen Link in die E Mail, bitte loggen Sie sich hier ein. Wir haben eine wichtige Nachricht für Sie. Die Webseite, auf die ich leite, hat eine andere Domain, sieht aber täuschend echt aus wie Wolfgangs Bank. Er loggt sich da ein, ich habe dann seine Zugangsdaten. Sowas nennt man Phishing Attacken. Und jetzt das Tolle Im Passwortmanager kann man die URL des Logins hinterlegen und das bedeutet, man bekommt auf allen validen Webseiten direkt einen Autovorschlag mit deinen Zugangsdaten. Das bedeutet auch auf Phishing Webseiten stimmt die URL nicht überein und du bekommst automatisch diesen Vorschlag nicht. Das bedeutet, du schützt dich automatisch vor Phishing Attacken und und vor sogenannten Typoscoating oder homografischen Angriffen. Typoscotting ist zum Beispiel, wenn du auf GitHub komm gehst und du tippst so schnell, dass du das i nicht mit Tipps gehst du also auf gthub kommen und da hat jemand eine Webseite aufgebaut, die genauso aussieht wie GitHub und da gibst du einfach deine Logindaten ein und somit hast du deine Logindaten an irgendeinen Angreifer gegeben. Das bedeutet vertipper Buchstaben weglassen und so weiter und so fort. Und homografische Angriffe sind Angriffe, wo du zum Beispiel eine Domain in deiner Adresszeile hast, die sieht ganz genauso aus wie die Domain des richtigen Services, aber ein Buchstabe ist minimal vertauscht, dass das fürs Auge kaum sichtbar ist. Der Klassiker ist zum Beispiel ein großes i und ein kleines L. Sieht in der deutschen Sprache je nach Schriftart sehr gleich aus. Oder es gibt auch ein paar griechische und kyrillische Zeichen, die kommen der Form einer von deutschen Buchstaben sehr, sehr nahe. Und somit weißt du eigentlich nicht, weil du kannst es mit bloßem Auge kaum sehen, ob das jetzt die wahre Webseite ist. Oder nicht, aber weil ja der Passwortmanager dir eine Autosuggestion gibt, wenn die richtige Domain getroffen ist, schütze ich dies auch vor sogenannten homografischen Angriffen.
Wolfi Gassler (00:24:27 - 00:25:05)
Was du natürlich jetzt voraussetzt ist, dass der Passwortmanager mit dem Browser verknüpft ist und eine Autofill Funktion überhaupt anbietet, du die richtig installiert hast und dann als User dieses Signal, wenn da kein Passwort eingefüllt wird, dieses aufnimmst und verstehst und dir nicht denkst, die Autofill Funktion funktioniert gerade nicht. Ich mache meinen Passwortmanager manuell auf, kopiere dann das Passwort hinein und drück wieder auf Login, weil dann hast du natürlich dasselbe Problem, aber du machst den Prozess natürlich schwieriger und hoffentlich merkst du, dass da dann vielleicht die Domain anders ist oder so. Also da muss man dann natürlich schon noch selbst aufpassen. Eine wirkliche Blocking Funktion ist es in dem Sinne nicht.
Andy Grunwald (00:25:05 - 00:25:06)
Du glaubst ja auch, dass die Leute dumm sind.
Wolfi Gassler (00:25:06 - 00:25:42)
Nein, ich glaube, dass ich dumm bin, weil mir ist es auch schon oft passiert, weil meine Connection funktioniert manchmal nicht mit dem Browser und dann mache ich einfach in Passwortmanager auf. Also ich mache das tagtäglich, weil hin und wieder irgendwas nicht erkannt wird oder das Passwort damals falsch abgespeichert wurde oder im originalen Kontext war es irgendwie Account, irgendeine Domain dot com und bei einem neuen Login, die haben was geändert im letzten Monat, dann hat sich die Domain leicht geändert, dann wird es nicht mehr gematcht. Natürlich achte ich eher darauf, aber es kann mir schon auch passieren, dass ich theoretisch eigentlich das einfach mal kopiere. Also gehe da von mir aus, muss ich zugeben.
Andy Grunwald (00:25:42 - 00:25:55)
Ja, aber das fällt ja in den Bereich UX und das habe ich ja gerade am Anfang erwähnt. Diese ganze Security ist enorm gekoppelt mit der User Experience. Und wenn ich bei jedem Login was rüber kopieren muss, er kriegt einen ganz roten Kopf vor dem Computer.
Wolfi Gassler (00:25:56 - 00:26:03)
Ich kenne aber auf jeden Fall Entwickler innen, die gar keine automatische Browser Integration verwenden und alles kopieren.
Andy Grunwald (00:26:03 - 00:26:08)
Das finde ich schade, weil dann sind die Phishing Attacken, also dann ist der Vorteil, den ich gerade erwähnt habe, ja weg.
Wolfi Gassler (00:26:08 - 00:26:09)
Ja, korrekt.
Andy Grunwald (00:26:09 - 00:27:13)
Aber jetzt sprechen wir hier schon über Copy Paste und Browser Integration. Da gibt es noch ein paar Sachen, worauf man achten sollte, wenn man Passwortmanager auswählt. Auf der einen Seite sollte man sich natürlich die Frage okay, möchte ich einen Passwortmanager inklusive Secret Files selbst hosten und mich um die Backups kümmern? Oder nutze ich einen Service, der zum Beispiel eine Cloud Integration hat? Password ist zum Beispiel ein solcher Software as a Service und da gibt es, glaube ich, auch etliche andere. Dann die zweite Thematik ist die Unterstützung für dein Betriebssystem. Was nutzt du? Windows, Linux, Mac, welches Mobile Phone? OS nutzt du? Apple oder Android? Gibt es Windows Phone noch oder BlackBerry? BlackBerry ist, glaube ich, tot, aber naja, ihr versteht, was ich meine. Dann zum Beispiel die verfügbaren Integrationen. Wir hatten gerade ziemlich lange über den Browser gesprochen und dann welche User, welches User Interface gefällt euch? Welche User Experience wollt ihr haben? Das vielleicht so nicht eine untergeordnete Rolle, aber vielleicht wahrscheinlich schwerer zu evaluieren, bevor man irgendwie alle getestet hat. Ich denke, Self Hosted versus Cloud und US Unterstützung und Integration, das sind so die drei größten Entscheidungskriterien, worauf ihr immer achten solltet.
Wolfi Gassler (00:27:13 - 00:27:21)
Jetzt hast du Password erwähnt. Ich vermute mal, du verwendest Password, weil du dir nicht mal die Mühe gemacht hast, andere rauszusuchen. Bist so überzeugt.
Andy Grunwald (00:27:21 - 00:28:40)
Ich hatte eine ganze Zeit lang keepass genutzt als Self Hosted, als ich damit angefangen hab. Keypass selbst ist, so viel ich weiß, ein Open Source Passwort Manager und damals wollte ich halt dafür noch kein Geld zahlen, aber dann habe ich auch irgendwie gemerkt, okay, da kommen so die Nachteile von Open Source ab und zu mal ran. Die UX war jetzt nicht so gepolished. Das war halt schon sehr rudimentär. Es hat alles wunderbar funktioniert, gar keine Frage, aber es war einfach nicht ansehnlich fürs Auge. Also ich hatte ich hatte wenig Spaß, das zu benutzen, muss ich zugeben. Du hast immer so eine leicht hässliche Applikation aufgemacht. Zugegeben, das war vor zehn, zwölf Jahren. Und irgendwann habe ich halt mal Geld in die Hand genommen und habe Password gekauft. Zugegeben, Password ist ein proprietärer Passwortmanager Software as a Service. Du konntest es sehr lange selbst hosten bzw. Das Secret File selbst hosten. Inzwischen weiß ich gar nicht mehr, ob das noch geht, aber die haben halt so eine Cloud Integration und das synchronisiert sich dann über alle Endgeräte weg und so muss man mögen. Ich verstehe auch Leute, die Ne, meine Passwörter liegen nicht in der Cloud, finde ich okay. Deswegen ich zahle dafür Geld, weil die UX UI finde ich wirklich super, sehr einfach zu benutzen, perfekte Integration in alle meine Geräte und it just works. Ich habe keine Lust viel zu frickeln.
Wolfi Gassler (00:28:40 - 00:29:06)
Meine Frage wäre ja eher wie kannst du einen Passwortmanager sinnvoll verwenden, ohne dass er in der Cloud ist? Weil ich will ja meine Passwörter auf allen meinen Endgeräten haben. Also bei mir kommen ständig neue Passwörter hinzuservices. Ich will ja nicht immer, wenn ich am Handy bin, dann irgendwie was synchronisieren müssen manuell oder eine Datei auf das Handy schicken, damit ich dort Passwörter habe. Also es muss ja irgendwie synchronisiert werden und synchronisieren ist für mich die Cloud, Also liegt es automatisch in der Cloud.
Andy Grunwald (00:29:06 - 00:29:36)
Naja, wenn man die Cloud als ein Server von jemandem anders definiert, was es ja essentiell ist, dann kann ich sagen, okay, ich habe eine Fritzbox und da habe ich ein wireguard VPN und zu Hause habe ich eine kleine Box und darüber synchronisiert sich das über Nextcloud oder ähnliches. Also das wird halt schon relativ einfach gehen. Ist aber dann also muss man wollen, du bist ja dann ein eigener Admin, aber wenn du dein Sicherheitsfiles über Dropbox synchronisierst, dann ist es wieder ein Server von jemandem anders und dann ist es wieder die Cloud. Also das kriegt man schon ohne Cloud hin.
Wolfi Gassler (00:29:36 - 00:30:21)
Ja, okay. Also klar kann natürlich eine eigene Cloud sein in dem Sinne, aber wenn wir da von UX sprechen, von einer sinnvollen User Experience, dann brauche ich die Synchronisation und die kann ich natürlich relativ einfach herstellen, auch mit so Tools, die jetzt ohne klassische Cloud im Sinne von As a Service funktionieren. Das heißt, ich hab meine Passwortdatei, wo alle meine Passwörter drinstehen, die ist verschlüsselt und die kann ich dann auf Dropbox legen, auf Google Drive, auf meine eigene Nextcloud, wo ich sie dann auch immer hinlege. Und im Idealfall ist es ja in irgendeiner Form doppelt geschützt. Ich habe ein Key zum Beispiel, ich habe Master Passwort und dann kann niemand anderer mit der Datei etwas anfangen, außer es kommen die Quantencomputer um die Ecke. Aber davon würde jetzt mal nicht so.
Andy Grunwald (00:30:21 - 00:30:27)
Schnell ausgehen und wir kriegen hier kein Geld von Password Ich bin da nicht irgendwie mit connected oder ähnliches, ich kann.
Wolfi Gassler (00:30:27 - 00:32:47)
Ja meine Ecke mal aufmachen. Also ich persönlich verwende seit jeher keypass zumindest das Format. Es hat sich ziemlich durchgesetzt als würde sagen offenes Format oder ein Format, was gerne verwendet wird von ganz vielen Passwortmanager Clients. Das ist KDBX, also wo die Daten dann wirklich gespeichert werden, Ist glaube ich ein sehr einfaches Format an sich wird encrypted, gibt es mehrere Varianten wie so was encrypted wird und dann kann ich auch mehrere Clients verwenden. Ist natürlich auch super, weil zum Beispiel keepass an sich meines Wissens zumindest nicht mobile fähig ist bzw. Früher war sehr Windows orientiert, war auch in Net oder in Mono geschrieben, mittlerweile geht es ja alles auf Linux auch besser, aber ich verwende nur dieses Format. Als Client verwende ich keepass. XC ist einfach eine andere Implementierung am Handy, verwende einen Android Client, der eben auch mit dem Format umgehen kann und das Ganze liegt dann in meiner eigenen Nextcloud verschlüsselt und wird so synchronisiert. Man kann diese Dateien runterladen, das heißt sie sind dann auch offline fähig. Das ist natürlich auch super, das heißt auch wenn du keine Internet Connection hast, hast du alles offline verfügbar und ist eigentlich meiner Meinung nach ein zukunftssicheres Format, weil auch wenn die Clients jetzt nicht mehr weiterentwickelt werden, war ja auch schon so, ich habe zum Beispiel Key Web verwendet, ist wieder ein anderer Client, der meiner Meinung nach dann nicht mehr so richtig weiterentwickelt wurde und dann bin ich eben auf XC dann umgestiegen, das heißt man kann dasselbe Format verwenden, verschiedene Clients, wenn mal ein besserer Android Client kommt, kann ich umsteigen, braucht das Passwort File an sich nicht ändern, kann meine selbe Toolchain verwenden, ohne groß was ändern zu müssen. Gibt natürlich auch andere Open Source Passwortmanager, gar keine Frage, da gibt es gibt es ziemlich viel. Passbold ist vor allem in Teams ein Klassiker, der gerne verwendet wird. Bitwarden ist auch Open Source. Von den meisten Open Source Varianten gibt es natürlich auch eine gehostete Version, die dann was kostet, wobei ehrlich gesagt, ich bin nicht bereit irgendwie fünf Euro im Monat zu zahlen für den Passwortmanager, also das finde ich einfach extrem teuer, vor allem wenn ich selber irgendwo eine Nextcloud liegen habe oder ich hätte auch persönlich kein Problem, das irgendwie in Google Drive zu speichern, weil diese Datei ist geschützt mit einem Schlüssel, den ich brauche auf jedem Endgerät plus mein Master Passwort. Also es ist eigentlich doppelt abgesichert und sauber verschlüsselt. Ich hoffe, es kommen jetzt aus der Community ganz viele Infos, dass es eigentlich nicht sicher ist, aber meiner Meinung nach für mich ist es mal ausreichend soweit.
Andy Grunwald (00:32:48 - 00:33:17)
Weil wir gerade auch über die Synchronisation gesprochen haben. Bitwarden hat auch einen Server, also ist auch Open Source, aber hat noch einen Client und einen Server. Deswegen gehe ich stark davon aus, dass man auch die Clients zu seinem Bitwarden Server irgendwie connecten kann und die Synchronisation findet darüber statt. Aber du sagtest gerade, fünf im Monat sind dir zu viel, um deine digitale Identität zu schützen, weil das ist ja eigentlich das, was du sagst. Finde ich eine fragliche Aussage, aber kann ja jeder für sich selbst entscheiden.
Wolfi Gassler (00:33:18 - 00:33:42)
Ja, es geht um die Alternativen, weil du hast eigentlich sehr gute Alternativen und ist mir persönlich einfach das nicht wert. Und lieber habe ich die volle Kontrolle, habe ein Open Source Tool, die sind gut verwendbar, ich kann direkt meine Datei auch in Google Drive zum Beispiel speichern, wenn ich das will, brauche also keine eigene Nextcloud oder sowas. Und da sind mir die Vorteile ganz klar mehr wert, als jetzt irgendwie fünf zu zahlen.
Andy Grunwald (00:33:42 - 00:34:11)
Naja, die Vorteile von Open Source, und das muss ich jetzt leider auch mal als Open Source Fan sagen, da ist ja die Annahme, okay, jeder kann die Verschlüsselung einsehen und ganz viele tausende von Augen schauen drauf. So die Theorie, wie viel Open Source wirklich dann gelesen wird und auch getestet wird und Co. Ist dann immer so ein bisschen die Frage, also wie viele Leute sind in der Lage, die Verschlüsselungsalgorithmen, die da wirklich implementiert sind, wirklich zu testen, wirklich zu reviewen. Ich traue es mir nicht zu.
Wolfi Gassler (00:34:11 - 00:34:55)
Ja, davon gehe ich aber aus, weil das KDPX ist ein Format, das seit über zwanzig Jahren in Verwendung ist und dementsprechend gehe ich einfach davon aus, dass das zumindest mal bei Augen beachtet haben und beobachtet haben. Es gibt ganz viele Clients, die das Ganze implementiert haben. Also das ist schon sehr sicheres Ecosystem und dem vertraue ich eigentlich mehr als irgendeiner Firma oder einen Startup, die vielleicht sechs Leute haben, weil du weißt ja gar nicht, wie groß diese Passwortmanager Firmen sind, ob die die ganzen Security Details auch implementieren und auch wirklich sauber betreiben und Fehler passieren überall. Also das kann man eigentlich gar nicht verhindern. Und es gab ja auch kürzlich einen großen Fall mit einem Passwortmanager, der Daten verloren hat. Also es kann natürlich schon immer wieder passieren.
Andy Grunwald (00:34:55 - 00:35:49)
Ein Passwortmanager kann aber nicht nur deine Passwörter managen. Das bedeutet mit managen meine ich hier speichern, sondern je nachdem App oder je nach Applikation gibt es natürlich auch noch ein paar andere wirklich sinnvolle Features, wie zum Beispiel Password bietet mir das immer an. Der sagt mir, wie oft ich das gleiche Passwort nutze, wo ich schwache Passwörter habe. Dann kann man das einstellen, welche Zugänge eine Zwei Faktor Authentifizierung unterstützen, welche Zugänge Passkeys unterstützen und der kann sogar noch Hey, pass mal auf, ich kann eine Festplatte durchsuchen, ob du irgendwo Entwickler Credentials auf der Festplatte unverschlüsselt gespeichert hast oder ähnliches. Also da gibt es dann noch mal so ein paar andere nette Features, die dich dann so warnen. Und besonders bei der Zwei Faktor Authentifizierung bei den Passkeys ist natürlich sinnvoll, weil dann kannst du natürlich deinen Sicherheitsstandard für diverse Logins natürlich upgraden.
Wolfi Gassler (00:35:49 - 00:37:41)
Solche Features gibt es natürlich auch bei den Open Source Tools. Muss auch sagen, ich bin immer überfordert mit den ganzen Einstellungsmöglichkeiten, die es dort gibt, weil du kannst wirklich alles im Detail einstellen, wie viel Sekunden der offen sein soll, wie viel Sekunden in der Zwischenablage das Passwort gespeichert bleibt, wie die Integration funktioniert, wie oft man etwas bestätigen muss, wann der ganze Passwortmanager geschlossen wird, wie oft du das Passwort eingeben musst. Also es gibt super viele Settings und Möglichkeiten, das wirklich zu optimieren. Keine Ahnung, haben wahrscheinlich die ganzen großen Hosted Varianten genauso. Aber man sieht da schon, dass das Open Source auch sehr fortgeschritten ist und jetzt nicht mal was ist, was irgendwie in der Woche zusammengestöpselt wurde, sondern das ist schon fundamentales Ding. Und da sollte man vielleicht auch darauf achten, wenn man auf irgendeinen Passwortmanager setzt, wie offen ist der, wie alt ist der, wie groß ist die Open Source Community? Die üblichen Dinge, die man bei Open Source sowieso machen sollte und immer analysieren sollte. Aber bei einem Passwortmanager vielleicht noch mal einen Blick mehr darauf werfen, weil das ist ja dann schon die Grundlage. Und auch wenn es nur ein dummer Bug ist und meine ganzen Passwörter gelöscht werden, ist vielleicht auch große Impact, würde ich mal sagen. Jetzt hast du ja gerade vor kurzem einen Blogartikel geschrieben, wo es darum gegangen ist, was man denn so in Passwortmanagern speichern soll, weil Passwörter sind klar, Keys sind klar, aber es gibt ja auch die Multi Factor Authentication, also diesen zweiten Faktor, um sich irgendwo zu authentifizieren, der sollte über ein anderes Endgerät gesendet werden, also diese klassischen SMS, die man bekommt mit so einem Code oder man hat vielleicht sogar ein Hardware Device, wo dann eine Nummer oben steht. Gibt es ja mehrere Möglichkeiten. Jetzt hast du einen Blogpost geschrieben, dass man doch diesen zweiten Faktor auch in seinem Passwortmanager speichern soll oder zumindest den Schlüssel, um diesen zweiten Faktor zu generieren. Aber damit geht mir die ganze Sicherheit ja flöten, dass das auf einem anderen Device passiert.
Andy Grunwald (00:37:41 - 00:40:01)
Ja, das war zumindest die Kernfrage, die ich mir gestellt habe. Mein Passwortmanager bietet mir pro Service an, dass der mir automatisch den zweiten Faktor auch mit generiert und Achtung, automatisch im Browser ausfüllt. Convenience Feature, cool. Und dann habe ich mir die Frage gestellt, Moment mal eben, führt das nicht irgendwie den zweiten Faktor ad absurdum? Und ich habe keine Antwort darauf gefunden. Deswegen habe ich einfach mal das Sicherheitsteam von meinem damaligen Arbeitgeber Macht das überhaupt Sinn? Und die Antwort hat mich ein bisschen überrascht, aber auch ein bisschen irgendwie nicht. Also auf der einen Seite wurde gesagt, wenn man den zweiten Faktor auch in seinem Passwortmanager neben seinem Passwort speichert, ist das natürlich etwas weniger sicher. Wenn der Angreifer Zugriff auf deinen Passwortmanager hat, dann wird der Zwei Faktor Token ad absurdum geführt, weil dann kann der Angreifer sich einloggen. Der Hauptbenefit von Zwei Faktor Authentifizierung ist aber dennoch gültig, denn du hast ja gerade von den Leuten gesprochen, die zum Beispiel keine Browser Integration haben. Diese Leute sind immer noch anfällig für Phishing. Du loggst dich jetzt auf einer Phishing Webseite ein, der hat deinen Username, der hat ein Passwort, der hat aber nicht einen zweiten Faktor, weil der Angreifer hat ja keinen Zugriff auf deinen Passwortmanager. Somit kommt er nicht in deinen Account, weil du hast ja immer noch den zweiten Faktor, den du dann auch rüber kopieren musst oder vom Handy haben muss und so weiter und so fort. Und auch wenn der zweite Faktor kompromittiert wird und dieser zweite Faktor ist time basedbasiert, ist dieser zweite Faktor nur für dreiig bis fünf und vierzig Sekunden gültig. Somit der reale Wert von Zwei Faktor Authentifizierung wird durch die Speicherung neben deinem Passwort nicht ad absurdum geführt. Aber wenn du maximale Security möchtest, speicherst du den zweiten Faktor natürlich woanders, am besten in einem Hardware Device, zum Beispiel ein yubikey, kommen wir gleich zu. Im Endeffekt geht es hier auf die Benutzerfreundlichkeit zurück, denn es ist ähnlich wie der Die beste Kamera der Welt ist die Kamera, die man immer dabei hat und somit ist es beim Passwortmanager genauso. Der beste Passwortmanager ist der, den man tatsächlich benutzt und die Benutzerfreundlichkeit macht ihn halt so wichtig. Wenn das immer wieder eine Hürde ist, dann deaktivierst du zwei Faktor Identifizierung überall und deswegen ist es halt so ein Trade off. Maximale Security, speicher es nicht in deinem Passwort Manager. Ist es immer noch gut genug gegenüber Phishing zu schützen.
Wolfi Gassler (00:40:01 - 00:41:33)
Ja, meine Argumentation wäre ja von der anderen Seite, weil eigentlich geht man davon aus, dass der Passwortmanager sicher ist. Also es ist eine Hypothese, die man glaube ich macht, weil sonst wo speichert man denn seine Recovery Codes vom zweiten Faktor? Üblicherweise im Passwortmanager. Das heißt, wenn man Zugriff auf den Passwortmanager hat, dann hat man auch Zugriff auf die Recovery Codes vom zweiten Faktor und kann sich den Account sowieso holen über die Recovery Codes. Das heißt, wenn man das nicht als sicher ansieht, seinen Passwortmanager, dann müsste man eigentlich einen zweiten Passwortmanager haben oder irgendwo einen Zettel in dem Safe, wo man die Recovery Codes drauf schreibt von jedem Account, wo man zwei Factor einrichtet. Und ehrlich gesagt, es macht doch niemand. Also davor würde ich einfach ausgehen, Passwortmanager ist sicher und dann kann ich auch meinen zweiten Faktor dort rein speichern. Und ich muss auch sagen, das ist wirklich ein Game Changer. Ich habe leider noch nicht alle meine Accounts so umgestellt oder eingetragen, aber es ist so angenehm, wenn man da einfach direkt den Code reinkopieren kann und nicht abtippen muss oder auf ein SMS warten muss oder auf eine Notification am Mobile Phone, das irgendwie gerade fünf Meter weiter weg liegt von seinem Schreibtisch und mal rüber laufen muss. Also diese ganzen Sachen fallen weg und so verwendet man dann auch viel viel lieber Two Factor meiner Meinung nach, weil davor habe ich mir überlegt, richte jetzt wirklich Two Factor ein, ist der Account so wichtig, weil es ist halt doch aufwendig die Einrichtung und muss ich mir das bei jedem Login dann wieder raussuchen, eingeben und so weiter. Also auch da, die UX wird meiner Meinung nach besser der Flow, wenn man das im Passwortmanager speichert.
Andy Grunwald (00:41:33 - 00:41:59)
Meine Recovery Codes habe ich in der Regel auch im Passwortmanager, das stimmt, außer für zwei Accounts und zwar einmal von meinem Apple Account, von meiner Apple ID, weil da hängen alle meine Geräte dran und die von meinem Passwortmanager selbst, die habe ich ausgedruckt teilweise sogar im Hause meiner Schwiegereltern hinterlegt. Also falls mein Haus mal abbrennt oder meine Wohnung abbrennt, dann habe ich die immer noch. Also da mache ich schon Unterschied.
Wolfi Gassler (00:41:59 - 00:42:37)
Kleiner Nachteil bei keepass, ich habe das Ganze recherchiert, weil wir im Vorgespräch auch über die Recovery Codes gesprochen haben. Bei Keas gibt es keine Möglichkeit Recovery Codes zu haben. Also das ist wirklich der Key, der Verschlüsselungs Key und dein Master Passwort. Da gibt es keine andere Möglichkeit, um an die Daten wieder dran zu kommen. Also egal ob du Master Passwort oder den Key verlierst, deine Daten sind weg. Aber man muss ja auch sagen, heutzutage ist es ja kein Problem mehr. Man kann den Key ausdrucken im Plaintext ist nicht so schlimm, man kann ihn in den QR Code ausdrucken, man kann sich sein Masterpass wird genauso auf diesen Zettel schreiben, den man dann im Safe aufbewahrt. Also man muss es anders machen. Aber es gibt keine klassischen Recovery Codes.
Andy Grunwald (00:42:37 - 00:43:22)
Jetzt haben wir schon von der Multi Factor Authentication gesprochen oder Faktor Authentification und da stellt sich natürlich die Frage, okay, warum braucht man das eigentlich? Hatten wir gerade ganz kurz schon erwähnt, nach einer Phishing Attacke ist es deutlich schwieriger Zugriff auf euren Account zu bekommen, denn viele Multi Faktor Authentifizierungen sind zeitkritisch bzw. Nur gültig für dreiig bis fünf und vierzig Sekunden oder vielleicht sogar an einen Stück Hardware gebunden, also physisch wirklich gebunden und location technisch. Jetzt gibt es verschiedene Arten von Zwei Faktor Authentifizierung und zwar gibt es nämlich einmal TOTP, Time Based One Time Password Dann gibt es einmal die Push Notifications und dann gibt es Hardware Tokens wie zum Beispiel yubikey.
Wolfi Gassler (00:43:22 - 00:44:40)
Was mir persönlich lange Zeit nicht bewusst war, ist, dass diese TOTP eigentlich standardisiert sind und ich kann jede App verwenden eigentlich für so ein TOTP System, weil da gibt es einfach einen Grundschlüssel und daraus wird Zeit basiert eben dann jeweils der Code, der in der aktuellen Zeit gültig ist, generiert. Also an alle, die irgendwie zwanzig verschiedene Apps verwenden für zwanzig verschiedene Services, wenn es wirklich ein TOTP ist, kann man sich das zusammenschrumpfen auf eine App. Gibt es auch Open Source Apps, die das machen oder man verwendet einen Google Authenticator, der auch für Nicht Google Services funktioniert oder Microsoft Authenticator. Der Nachteil an dem Ganzen ist, dass sich der Trend eher in Richtung Push Benachrichtigungen verschiebt, meiner Wahrnehmung nach zumindestens. Das heißt, man braucht doch wieder die eigenen Apps von GitHub zum Beispiel von Microsoft, die ja dann teilweise auch so eine Überprüfung haben, dass man den zweistelligen Code eine Zahl am Handy eingeben muss, die man am Bildschirm gerade lesen kann. Also die dann da nochmal die Sicherheit dadurch erhöhen. Aber das natürlich auch bedeutet, dass man dann eben mehrere Apps braucht und dann kann man natürlich auch im Passwortmanager das Ganze nicht mehr abspeichern, weil das dann wirklich eine andere Herangehensweise ist, wenn ich eine Push Notification sende und kein klassisches DOTP ist.
Andy Grunwald (00:44:40 - 00:45:33)
Den Trend habe ich jetzt noch nicht festgestellt, aber ich habe ein paar Apps, die gehen mehr auf Push Notifications, wie zum Beispiel GitHub Mobile oder die Google Mail oder die DKB Banking App oder ähnliches. Auf der einen Seite ist natürlich sehr, sehr bequem so Push Nachrichten, du brauchst kein Code abtippen wie beim TOTP, da hast du meist einen sechsstelligen Code. Auf der anderen Seite ist halt eine Internetverbindung oder oft auch ein Mobile Netzwerk irgendwie notwendig, wo beim TOTP natürlich alles offline funktioniert, was ganz cool ist. Und ab und zu gibt es diese Push Fatigue, also zum Beispiel Google Mail oder die DKB Banking App sagt immer, warst du das hier? Und dann einfach immer, ja, wollen sie hier an irgendeinen saudischen Prinzen überweisen, ja, mach mal machen. Also das ist dann schon ein bisschen gefährlich, das stimmt schon. Wohingegen beim TOTP natürlich der Nachteil ist, wenn das Handy weg ist, sind alle Codes verloren und da hoffe ich, dass du ein Backup irgendwo hast.
Wolfi Gassler (00:45:33 - 00:46:00)
Da muss ich ja zugeben, ich verwende den Google Authenticator, aber diese automatische Backup Funktion ist deaktiviert bei mir. Und was ich mache, ist, dass ich hin und wieder einen manuellen Export mache von dem Ganzen. Aber da bin ich einfach kein großer Freund, das Ganze automatisch zu synchronisieren mit Google, auch wenn es wahrscheinlich sicher wäre, aber fühlt sich für mich noch irgendwie falsch an. Was verwendest du am Handy für einen TOTP Manager oder App Authenticator, whatever?
Andy Grunwald (00:46:00 - 00:46:05)
Die Frage ist, welchen verwende ich nicht, denn ich benutze prinzipiell den Authenticator.
Wolfi Gassler (00:46:05 - 00:46:08)
Authenticator von Apple oder Das ist eine.
Andy Grunwald (00:46:08 - 00:46:09)
App im App Store.
Wolfi Gassler (00:46:09 - 00:46:11)
Von wem? Andi Google gerade.
Andy Grunwald (00:46:12 - 00:46:13)
Ich google jetzt gerade im App Store.
Wolfi Gassler (00:46:13 - 00:46:17)
Hey, Google ist Synonym für suchen. Also nicht im Duden nachgelesen von einer.
Andy Grunwald (00:46:17 - 00:46:20)
Firma, die nennt sich tostable.
Wolfi Gassler (00:46:20 - 00:46:29)
Liebe Community, hätte jetzt gern Beiträge, wie unsicher das Ganze ist und synchronisierst du das Ganze oder backup du deine Codes?
Andy Grunwald (00:46:29 - 00:46:43)
Also prinzipiell nutze ich für alle Zwei Faktor Authentifizierungen. Privat nutze ich meinen Passwortmanager. Der Passwortmanager hat immer so eine Funktionalität, weil um den Zwei Faktor irgendwie an den Start zu kriegen, musst du ja oft so ein QR Code scannen, was.
Wolfi Gassler (00:46:43 - 00:46:47)
Übrigens nur einfach ein ganz dummer Code ist im Hintergrund, den man auch manuell eingeben kann oder kopieren kann.
Andy Grunwald (00:46:48 - 00:47:10)
Genau die Funktion habe ich bei Password noch nicht gefunden, dass man den manuell da eingeben kann. Ab und zu kann dann Password nicht den QR Code auf meinem Browser scannen, dann muss ich halt irgendwie den Authenticator nehmen. Das bedeutet, da sind halt nur drei Codes drin oder so von Services, die der nicht scannen kann. Nextcloud ist zum Beispiel einer solcher Services. Keine Ahnung, warum der es nicht kann. Ist aber auch egal jetzt gerade.
Wolfi Gassler (00:47:10 - 00:47:17)
Okay, aber wie synchronisierst du? Darum geht es ja. Also hast du ein Backup von dem Ganzen? Du hast ja gerade gesagt, man soll ein Backup haben.
Andy Grunwald (00:47:17 - 00:47:19)
Ja, ich habe Backup von meinem Handy.
Wolfi Gassler (00:47:19 - 00:47:22)
Okay, das sollte ja theoretisch funktionieren.
Andy Grunwald (00:47:22 - 00:47:28)
Dann gibt es leider noch diese Firma namens Microsoft, die wollen ja immer den Microsoft Authenticator haben.
Wolfi Gassler (00:47:28 - 00:47:34)
Jetzt sagst du gerade, du siehst den Trend nicht. Genau das ist dieser Trend, dass alle Firmen ihren eigenen Authenticator haben wollen.
Andy Grunwald (00:47:34 - 00:47:37)
Nee, ich finde es hart, dass Microsoft mich darauf forst.
Wolfi Gassler (00:47:37 - 00:47:45)
Ja, sage ich ja, das ist genau die Push Notification Geschichte. Kannst du vielleicht auch in irgendwelchen Settings einstellen, wenn dir das der Administrator wahrscheinlich erlaubt oder so.
Andy Grunwald (00:47:45 - 00:47:54)
Ne, es ist ja nicht der Push Notification. Das bedeutet, Microsoft Authenticator läuft über ein TOTP bei mir. Deswegen sehe ich ja deinen Trend nicht. Ich rede ja gerade über Authenticator bei TOTP.
Wolfi Gassler (00:47:54 - 00:48:08)
Also ich muss bei Microsoft komisch mit einer Push Notification bzw. Also es geht was auf. Ich muss, glaube ich, einen Code immer eingeben, den ich auch am Desktop dann sehe, den muss ich am Mobile Phone eingeben. Also es ist ein eigenes proprietäres Protokoll, was die implementiert haben.
Andy Grunwald (00:48:08 - 00:48:09)
Ja, das muss ich nicht.
Wolfi Gassler (00:48:10 - 00:48:10)
Interessant.
Andy Grunwald (00:48:11 - 00:48:47)
Aber lösen wir uns von diesem Push Notification denn und TOTP, denn wir wollen ja hier die Leute mal aufs Next Level heben. Next Level ist Hardware, Hardware only, Hardware Security. Und da gibt es sogenannte Hardware Tokens, wie zum Beispiel so einen yubikey. Das ist also ein physisches Gerät, das stecke ich per USB an meinen Rechner oder halt per NFC an mein Handy und das kommuniziert über webout N oder Fido zwei mit dem Browser und somit hast du die sichere Kommunikation und auch was da nicht abgefangen werden kann, was auch offline funktioniert und so weiter und so fort. Und das hast du dann hoffentlich am Schlüsselbund oder wo auch immer.
Wolfi Gassler (00:48:48 - 00:48:59)
Wenn du sagst, du willst die Leute auf das Next Level heben. Hast du dich denn schon auf das Next Level gehoben? Hast du den yubikey? Weil du hast jetzt ganz viel über die anderen Fälle gesprochen und irgendwie nie über den yubikey.
Andy Grunwald (00:48:59 - 00:49:02)
Also also da ist es ja so.
Wolfi Gassler (00:49:02 - 00:49:03)
Jetzt kommt die Politiker Antwort.
Andy Grunwald (00:49:03 - 00:49:14)
Ich sehe schon, das ist einfach brutal. Ich habe kein Privat habe ich kein yubikey. Das ist richtig. Beruflich komme ich ohne yubikeys nirgendwo mehr rein. Ich glaube, ich kann ohne yubikey meinen Laptop starten.
Wolfi Gassler (00:49:14 - 00:49:16)
Ja, okay. Da macht die Security ja jemand für dich.
Andy Grunwald (00:49:16 - 00:49:17)
Ja, das ist korrekt.
Wolfi Gassler (00:49:17 - 00:49:20)
Das heißt, in deinem privaten Umfeld bist du nicht auf dem Next Level.
Andy Grunwald (00:49:20 - 00:49:21)
Ja, richtig.
Wolfi Gassler (00:49:22 - 00:49:22)
Warum?
Andy Grunwald (00:49:22 - 00:49:24)
Man muss ja immer noch Ziele haben, Wolfgang.
Wolfi Gassler (00:49:24 - 00:49:27)
Ja, warum? Also diese sechzig schaffst du auch noch dir zu leisten.
Andy Grunwald (00:49:28 - 00:49:30)
Ich habe nachgeguckt, es kostet fünf und zwanzig nur noch ein yubikey.
Wolfi Gassler (00:49:31 - 00:49:32)
Noch schlimmer.
Andy Grunwald (00:49:32 - 00:49:39)
Ich habe es einfach nur nicht gemacht. Also da bin ich auch ehrlich, das müsste ich mal, kennst du diese Man müsste mal Liste, aber es ist schon.
Wolfi Gassler (00:49:39 - 00:49:53)
Die Einrichtung finde ich, ist schon wesentlich aufwendiger als so ein TOTP einzurichten. Also es muss mal der Service unterstützen, muss da irgendwie auf andere Devices gehen, irgendwie die Connection machen. Also es ist halt nicht dieser One Click, wie sonst oft funktioniert.
Andy Grunwald (00:49:54 - 00:50:38)
Ja, in der Regel ist es halt wirklich so, du wirst beim Login aufgefordert und dann musst du es per NFC an dein Handy halten oder du musst den yubikey, wenn der per USB in deinem Laptop steckt, kurz berühren. Der hat oben so eine kleine Taste, damit aktivierst du den. Also ich meine, im Endeffekt ist er halt extrem sicher. Es ist kein Code, kein Push, kann nicht abgefangen werden. Funktioniert für viele Plattformen halt über diesen Fido zwei Standard oder mit der Browser API, Webout Name. Und Nachteil ist, kostet ein bisschen Geld, muss mitgeführt werden. Das ist auch das Problem, deswegen sage ich habe es am Schlüssel oder ähnliches. Ich hoffe, du verlierst deinen Schlüssel nicht. Aber da ist auch die Frage, okay, wenn man deinen Schlüssel verliert, wie viele Leute können wirklich was mit einem yubikey anfangen, denn die brauchen auch noch Zugriff auf dein Login.
Wolfi Gassler (00:50:38 - 00:51:25)
Also realistisch steckt das Ding ja schon meistens einfach im Computer drin. Also wenn ich, wenn ich so irgendwo am Reisen bin, sehe ich so viele Laptops, wo das Ding halt einfach drinsteckt. Also die wenigsten haben das wirklich am Schlüsselbund, sondern das steckt halt immer in dem Device drinnen, was das natürlich weniger sicher macht. Wobei du natürlich schon immer noch an die Hardware musst überhaupt. Also du musst mal den Laptop mit dem yubikey klauen und dann hast du ja doch noch die ganze Verschlüsselung und Login und so weiter und Passwörter. Also es macht das Ganze schon schwieriger. Also man muss meiner Meinung nach nicht immer das nur am Schlüsselbund tragen. Klar, wenn man die Sicherheit erhöhen will und sollte, macht es sicher Sinn. Also wenn man zum Beispiel den Laptop im Auto lässt und im Urlaub, so wie ich damals, macht es vielleicht Sinn, dann den yubikey auszustecken und am Schlüsselpunkt zu haben.
Andy Grunwald (00:51:25 - 00:51:37)
Und da gibt es auch kleine yubikeys und große yubikeys. Also der kleine yubikey, der in meinem Laptop hängt, da brauche ich echt schon lange Fingernägel, damit ich den wieder rauskriege, muss ich zugeben. Das ist dann echt schon mal ein bisschen gefricke.
Wolfi Gassler (00:51:37 - 00:51:40)
Ja, die sind dann auch gemacht, damit sie stecken bleiben, oder?
Andy Grunwald (00:51:40 - 00:52:34)
Ja, genau. Was aber auch ganz interessant ist, und zwar wie so ein yubikey, so ein Hardware Token eigentlich mit dem Service, mit dem Webservice zum Beispiel kommuniziert. Auf der einen Seite gibt es den FISO Standard, der kümmert sich um die Kommunikation zwischen deinem Browser und dem Authentifizierungsgerät und der kümmert sich auch dann über eine Web API, um eine Browser API, die nennt sich webout N. Das ist die Web Authentication API, die regelt dann, wie sich Webdienste sicher im Browser authentifizieren lassen. Und diese webout N kann zum Beispiel auch über Face ID oder deinen Laptop Fingerprint Reader genutzt werden. Das bedeutet, wenn du jetzt also einen Online Service hast und da vielleicht im Login Team bis und ihr wollt Leuten die Möglichkeit geben, über ihren Fingerprint Reader im Laptop zu authentifizieren, dann könnt ihr das zum Beispiel über die webout N Browser API machen. Ganz interessant. Können wir irgendwann mal auch mal ein Deep Dive zu machen.
Wolfi Gassler (00:52:34 - 00:52:39)
Jetzt ist das Ganze ja eigentlich sehr basic und ich hoffe, dass ihr fast alle das in irgendeiner Form auch schon.
Andy Grunwald (00:52:39 - 00:52:43)
Machen, nur wir selbst nicht mit dem yubikey. Finde ich auch gut.
Wolfi Gassler (00:52:43 - 00:53:07)
Also ich meine es nicht yubikey, sondern ganz allgemein Passwortmanager. Wie sieht es denn bei den ganzen anderen Schlüsseln aus, die du so verwendest? SSH Keys. Keys von irgendwelchen Services, die du in irgendwelchen Enviablen speicherst, in env Dateien. Das sind also die Sachen, die macht man halt so einfach und da liegt ja meistens irgendwie weniger Augenmerk drauf, habe ich das Gefühl, oder ist bei mir auch so, um ehrlich zu sein.
Andy Grunwald (00:53:07 - 00:53:21)
Ja, also wie sieht es da aus? Fangen wir mal mit den SSH Keys an. Da habe ich eigentlich alle meine SSH Keys mit einer Verschlüsselung von ED. Das ist so der aktuelle Standard meines Wissens nach. Jeder SSH Key hat auch ein Passwort bei mir.
Wolfi Gassler (00:53:21 - 00:53:24)
Du hast alle SSH Keys mit Passwort.
Andy Grunwald (00:53:24 - 00:53:25)
Ja, ganz genau.
Wolfi Gassler (00:53:25 - 00:53:27)
Wow. Da muss ich zugeben, ihr habt fast.
Andy Grunwald (00:53:27 - 00:53:39)
Nirgends ein Passwort und ich habe verschiedene SSH Keys für verschiedene Services. Ich habe meine eigenen SSH Key nur für GitHub. Ich habe einen eigenen SSH Key für die Arbeit. Ich habe einen eigenen SSH für meinen Home Server. Ich habe eigene SSH Keys pro side Project.
Wolfi Gassler (00:53:40 - 00:53:40)
Warum?
Andy Grunwald (00:53:40 - 00:53:56)
Falls das eine kompromittiert wird oder falls man nur einen Teil von meinem Shkey kriegt, damit man nicht Zugriff auf alles hat. Und dann habe ich natürlich eine SSH Config. Also das bedeutet, es hat ja für mich keine zusätzlichen Aufwand, außer die initiale Erstellung einmal und das Passwort ist überall gleich.
Wolfi Gassler (00:53:56 - 00:54:05)
Nein, aber das hast du im Kopf und tippst dann ein Nein im Passwortmanager und der füllt es automatisch aus oder kopierst du das dann, weil in der Shelly oder hast du eine Shell Integration?
Andy Grunwald (00:54:05 - 00:54:17)
Es gibt die Möglichkeit, die Shell Integration zu nutzen dafür und dann den Credential Helper vom Operating System zu nutzen oder vom Passwortmanager. Das kannst du ummünzen. Du kannst sagen SSH Config, nutz bitte diesen Credential Helper.
Wolfi Gassler (00:54:17 - 00:54:23)
Du weichst immer von meinen persönlichen Fragen ab, ob du die Shell Integration verwendest und nicht, ob es möglich wäre.
Andy Grunwald (00:54:23 - 00:54:44)
Du bist einfach nur zu ungeduldig mir zuzuhören. Ich Das gibt es. Dann bist du mir reingegrätscht und dann habe ich gesagt nein, ich nutze es nicht. Das kopiere ich noch. Aber ich sage auch, ich muss mich da nicht so lange authentifizieren, weil alle paar Tage fragt nämlich mal. Also das geht halt noch und ich bin auch nicht in jedem System jeden Tag.
Wolfi Gassler (00:54:44 - 00:54:49)
Da muss ich mich jetzt outen, wie funktioniert es, dass der die neu alle paar Tage fragt.
Andy Grunwald (00:54:49 - 00:54:52)
Da gibt es irgendwie so eine Config, müsste ich mal raussuchen.
Wolfi Gassler (00:54:52 - 00:54:56)
Interessant, da bin ich sehr schwach. Ich habe eigentlich kaum irgendwo Passwort auf.
Andy Grunwald (00:54:56 - 00:55:06)
Meinen SSH Key und dann auf den Systemen, wo ich SSH Login benötige, habe ich natürlich den Login über Username und Passwort auch aus, sondern über den SSH Key.
Wolfi Gassler (00:55:06 - 00:55:18)
Wie sieht es mit deiner Security Hygiene aus? Rotierst du die ganzen SSH Keys regelmäßig oder hast du dann auch ein Limit eingestellt, Wie lang? Keine Ahnung, der GitHub SSH Key gültig sein darf oder verwendet werden kann dasselbe.
Andy Grunwald (00:55:18 - 00:55:37)
Das Tolle ist ja regelmäßig ist ja subjektiv einmal jährlich oder alle zwei Jahre ist ja auch regelmäßig. Und dann würde ich sagen, ja, ich rotiere sie regelmäßig. Ich rotiere sie aber nicht so regelmäßig, als dass ich jedes Quartal oder sowas habe. Ich glaube, ein solch großes anderes Ziel bin ich noch nicht, hoffentlich werde ich das auch nie, aber ich rotiere sie. Versuchst du alle zwei, drei Jahre mal durchzurotieren.
Wolfi Gassler (00:55:37 - 00:55:42)
Ja, ich mache das auch so, wenn mir der Laptop geklaut wird, dann rotiere ich meine SSH Keys.
Andy Grunwald (00:55:42 - 00:57:08)
Bei den GitHub Tokens sieht es ein bisschen anders aus und da lasse ich meine Tokens alle sechs Monate expiren. GitHub Token, wenn du da einen Token anlegst, gibt er dir so vierzehn Tage, drei Monate, irgendwie so vorgefertigte Zeiträume. Ich gebe dann immer so circa sechs Monate manuell ein. Und das Tolle ist, wenn du die expiren lässt, das zwingt dich zum rotieren, weil nach den sechs Monaten schickt er dir irgendwie so zwei Wochen vorher eine E Mail, hey, deine Tokens laufen bald aus und wenn du halt innerhalb von zwei Wochen nicht reagierst dann kannst du halt irgendwann nicht mehr pushen oder nicht mehr deployen oder für was auch immer diese Tokens genutzt werden und dann fehlen halt irgendwie alle meine GitHub Actions über Zeit und dann muss ich halt mal die rotieren. Da ist aber auch ganz wichtig, dass du natürlich auch, und jetzt heben wir mal neben der GitHub Token Rotation die ganze Sache noch mal auf das nächste Level, und zwar auf das at least privilege Level. Und zwar nutze halt keine Personal Access Tokens mehr, weil Personal Access Tokens haben auf alles Zugriff, auf das dein Account Zugriff hat, sondern nutze eher fine grained Personal Access Tokens. Und dann kannst du sagen, okay, dieser Token darf nur in die Docker Registry pushen, dieser Token darf nur eine Issue erstellen und so weiter. Also wirklich ein bisschen runtergetrippt. Das Riesenproblem ist bei GitHub Tokens, nicht jeder Service, bei GitHub selbst unterstützt fine grained Personal Access Tokens. Manche Aktionen kannst du leider nur mit einem Personal Accent Token.
Wolfi Gassler (00:57:08 - 00:58:28)
Das ist ganz allgemeines Problem. Also ganz viele Services, da gibt es halt einen Key, teilweise kannst du nicht mal mehrere Keys kreieren, sondern es gibt einen Key und du hast einfach Zugriff auf alles und du kannst dann gar nicht fein granular arbeiten. Also das ist natürlich auch ein Problem auf der Service Seite, auch wenn man es dann gerne machen würde. Du hast es auch kurz angesprochen mit den Environment Variablen bzw. Mit den Keys, die man einfach lokal verwendet. Das ist für mich noch immer so ein Bereich, der nicht sehr zufriedenstellend ist. Also ich speichere dann die Keys, wenn ich irgendwas entwickle in meinem Projekt ab, in einer Env Datei zum Beispiel, aber dann liegen diese Keys lokal bei mir und ganz oft sind es Produktiv Keys, wenn man bei einem Service, das man extern verwendet, hat man nur einen Key zur Verfügung zum Beispiel und dann speichert man halt den lokal in so einer ENV Datei. Die ENV Datei ist nicht verschlüsselt. Klar, die Festplatte ist vielleicht verschlüsselt im Idealfall, aber da schwirren schon ganz viele Keys immer herum in den ganzen Dev Environments und das ist mir persönlich noch so ein Dorn im Auge und ich habe da leider noch keine sinnvolle Möglichkeit gefunden, weil man muss die halt irgendwo definieren. Und wenn man die nicht jedes Mal irgendwie kopieren will aus dem Passwortmanager und sie dann automatisch gelöscht werden, dann muss man sie fast irgendwo speichern. Wie handhabst du das? Hast du eine gute Lösung gefunden, die.
Andy Grunwald (00:58:28 - 00:58:38)
Simple, dein Passwortmanager, der hoffentlich eine CLI Integration hat und dann kannst du den immer darauf lenken. Aber das ganze Problem ist natürlich nicht einfach.
Wolfi Gassler (00:58:38 - 00:58:50)
Also du hast gerade, aber wie machst du das dann konkret? Weil es gibt ja keine Frage, machst du dann Export und hast irgendwie einen Key, der dann automatisch gefüllt wird? Oder wie machst du das Ganze in der Praxis dann?
Andy Grunwald (00:58:50 - 00:59:09)
Also wenn Password hat eine CLI Integration und den kannst du dann halt immer triggern? Oder gibt es auch so einen einzelnen Befehl? Du kannst ja zum Beispiel dann sagen, wenn du ein CLI Argument hast, keine Ahnung, myapp, secret und dann kann ich sagen, okay, dann führe ich einen Stellbefehl aus, Dollar Klammer auf, Passwort CLI blablabla.
Wolfi Gassler (00:59:09 - 00:59:16)
Und da gibst du dann an den Schlüssel, also die ID des eigentlichen Keys, der gespeichert ist.
Andy Grunwald (00:59:16 - 01:00:32)
Dafür muss natürlich dein Passwort CLI authentifiziert sein und so weiter und so fort. Und dann musst du halt in deinem Passwort Manager hast du ja verschiedene Walls, also verschiedene Tresore und innerhalb von verschiedenen Tresoren hast du dann verschiedene Zugriffsberechtigungen auf verschiedene Credentials und die Authentifizierung muss halt stimmen und dann kannst du über das Passwort CLI dann halt darauf zugreifen. Also ich meine, Punkt N, das ist so der Klassiker. Ich meine, im Endeffekt kann man da nichts machen. Das ist halt klar, kannst du da Environment Variable hinpacken wie zum Beispiel dein Date Format oder ähnliches kann man machen, aber sie halt zu, dass das End von dem gitignore ist. Dann gibt es natürlich noch Command Line Arguments. Es ist natürlich nie so richtig geil, Secrets in Command Line Arguments zu packen, denn die landen natürlich in der Shell History in der Prozessliste, gegebenenfalls in irgendwelchen Audit Logs. Stattdessen kann man natürlich okay, du liest deine Secrets über std in aus oder über Dateien, die halt entsprechende Rechte haben, wie zum Beispiel, dass nur der User Lesezugriff drauf hat, aber keine Execution, so weiter, aber keine Gruppe oder nicht jeder. Dann gibt es natürlich noch die Bash History ist natürlich leicht übersehenes Ding, aber ich kann auf jeden Server gehen, History eingeben und dann sehe ich natürlich die ganzen CLI Befehle. Und wenn du da Secrets in den Command deine Argument hast, dann tauchen die natürlich auch da auf.
Wolfi Gassler (01:00:32 - 01:00:58)
Wobei in Argumenten habe ich schon lang kein Passwort mehr irgendwo eingegeben eigentlich. Also mir kommt vor, das hat sich ziemlich erledigt. Die meisten Tools erlauben das gar nicht mehr. Aber jetzt nochmal zu den env Dateien. Deine CLI Integration macht dir nur Environment Variablen in deiner aktuellen Shell. Das heißt, du kannst keine env Dateien irgendwie automatisch füllen und danach wieder löschen lassen, wenn das in irgendeinem anderen Prozess ausgeführt wird oder so.
Andy Grunwald (01:00:58 - 01:01:16)
Ich habe noch nie den Need gehabt, wo ich env Dateien über den Passwortmanager schreiben lassen müsste, aber ich habe auch das Gefühl, diese env Dateien kommen sehr stark, zumindest in meinem Welt, aus dem ganzen JavaScript Bereich. Denn im Go Bereich ist das irgendwie sehr selten der Fall, dass du env Dateien da rumfliegen.
Wolfi Gassler (01:01:16 - 01:01:19)
Aber woher bekommst du dann deine Keys? Die musst du ja irgendwie einlesen ins Programm.
Andy Grunwald (01:01:19 - 01:01:23)
Ja, also das Programm selbst geht dann auf die Environment Variablen.
Wolfi Gassler (01:01:23 - 01:01:44)
Ja, aber das heißt, du musst es in den Environment Variablen haben. Jetzt wenn du irgendwie einen anderen Prozess hast, eine andere Shell, die im Hintergrund aufgemacht wird, wenn du irgendwie, also die nicht direkt in deiner Shell lokal startest oder irgendwie ein neues Bash aufgemacht wird, dann wird es ja normal nicht durchgepiped, vermute ich mal, oder? Weil die n Variablen leben ja nur in deiner aktuellen Shell. Wenn du eine CLI Integration hast, also.
Andy Grunwald (01:01:44 - 01:02:41)
Das Management von Environment Variablen ist generell sehr kompliziert. Du kannst das natürlich auf der einen Seite auf globalem Level haben oder auf der zweiten Sache auf der Directory Ebene. Es gibt zum Beispiel so, also wenn du deine Shell lädst, dann wird ja dein Home Folder geladen und da kannst du ja Dateien reinlegen, die dann halt deine Environment Variable laden, dann sind die halt für deine komplette Session. So, dann gibt es aber noch so Thematiken wie zum Beispiel dir env. Das sind so Tools, da kannst du eine Datei in einen Ordner legen, zum Beispiel env ac und wenn du in diesen Ordner wechselst mit change directory, dann wird diese env rc geladen in deine aktuelle Session. Dann kannst du das ausführen und wenn du aus dem Folder wieder rausgehst, werden die Environment Variablen, die gesetzt wurden, wieder entladen. Das ist halt, also du scopest halt eigentlich deine Environment Variable, nennt sich dir. Ist das super sicher? Ne, ist es sicherer, weil die nicht im globalen Kontext die ganze Zeit rumspringen.
Wolfi Gassler (01:02:41 - 01:02:53)
Ja, aber das heißt, wenn du über ein Make File gehst, bist du wieder in einem anderen Kontext und verlierst deine env Variable. Wenn du make aufrufst, wird ja wieder eine neue Session gestartet. Also du exportest sie, dann hast du sie aber wieder global.
Andy Grunwald (01:02:54 - 01:03:03)
Ja, also du lädst sie nur für den Zeitraum, in dem du da unterwegs bist, aber in dem Zeitraum sind sie dann auch wieder global. Wenn du die dann exportierst.
Wolfi Gassler (01:03:03 - 01:03:10)
Okay, aber okay, dann werden sie wenigstens wieder entladen und dann hast du sie nur für diesen Zeitraum, wo du entwickelst.
Andy Grunwald (01:03:10 - 01:04:02)
Genau, es ist halt so eine Art von Time based, wenn du so möchtest. Aber es ist generell ein sehr schwieriges Problem, denn du hast nämlich unter anderem mögliche Attack Vektoren, wie zum Beispiel mit so Tools wie Sentry. Sentry ist ein Error Reporting Tool. Wenn du jetzt zum Beispiel ein lokales Programm hast, was ein Error schmeißt und was Sentry integriert hat, dann wird dieser Error halt an Sentry gesendet und damit der Entwickler oder die Entwicklerin Kontext über den Fehler hat, der geschmissen wurde, werden natürlich auch Metavariablen mitgegeben, wie zum Beispiel, welche Environment Variablen wurden denn da gesetzt. Und dann könnte es theoretisch sein, dass deine Environment Variablen von deinem lokalen Computer an die Error Tracking Plattform Sentry gesendet werden. Mir ist noch kein Fall bekannt bzw. Habe ich auf der Recherche keinen Public Fall davon gefunden, aber theoretisch könnte das so funktionieren. Und sehr viele Tools haben ja Telemetrie Daten inzwischen auch drin.
Wolfi Gassler (01:04:02 - 01:04:47)
Aber wenn unsere Community dann noch ein paar Tipps hat über coole Tools oder Workflows, würde ich mich auch sehr freuen, weil aktuell verlasse ich mich halt nur auf die Festplatten Verschlüsselung. Aber wenn wir jetzt schon bei meinen Problemen sind, die mir so am Herzen liegen, wie gehst du denn mit Passwörtern im Team um? Weil wie du ja weißt, ich habe einige side Projects auch mit anderen Leuten. Teilweise muss man da auch Secrets Keys irgendwie teilen. Es hat nicht jeder Zugriff. Du willst bei einem Service vielleicht nicht die teure Enterprise Lizenz zahlen, wo du Teams anlegen kannst und mehrere Accounts, sondern hast nur einen Account in deiner Family Beziehungen. Wie gehst du da um oder macht es dein Password eh alles automatisch, wenn wir da halt schon im Werbeblock sind fast.
Andy Grunwald (01:04:47 - 01:06:24)
Ja, da unterscheide ich. Also ich habe bei Password auch die Family Subscription. Das bedeutet, weil die User Experience und die UI einfach so gut ist, kann meine Frau das einfach auch sehr gut bedienen und es hat halt Integration in ihre Geräte. Das macht es halt sehr einfach und da bin ich dann auch gerne bereit, fünf zu investieren. Bei Teams ist das ein bisschen was anderes, da kannst du natürlich diese teuren Enterprise Dinger kaufen. In der Regel, wenn du kleine Teams hast, kostet dich das auch nicht die Enterprise Thematik. Aber da ist besonders bei side Projects macht das kompliziert, weil ich habe andere Vorlieben als du. Du nutzt jetzt keypass X oder was hast du gerade gesagt? Ich benutze mein Passwort, somit sind wir schon mal nicht auf demselben Tool. Somit macht zum Beispiel ein Shared Vault, also ein Shared Tresor wenig Sinn, weil irgendeiner von uns sich dann ändern müsste. Und das führt ja immer zu Friction, wenn man so möchte. Deswegen, wir haben das zum Beispiel hier beim Engineering Kiosk so gelöst. Ich habe die Team Secrets im Password und immer wenn ich ein Login anlege, dann teile ich den einmal kurz mit dir über einen One Time Link und dann habe ich die Hoffnung und das Vertrauen, Wolfgang, dass du diese Credentials dann in deinen Passwortmanager überträgst und rotieren wir die dann durch? Seltenst, Das ist dann immer ein bisschen doof, aber ich vertraue dann eigentlich dem side Project Team. Zugegeben im side Project habe ich jetzt noch nie ein side Project mit drei, vier, fünf Leuten gemacht, deswegen kann ich da relativ wenig zu sagen. Und dann, wenn wir professionell unterwegs sind, da gibt es dann meist die Enterprise Lizenzen, wo wir Passwörter in Team Tresoren haben und da wird ein Tresor teilweise pro Jira Ticket erstellt.
Wolfi Gassler (01:06:24 - 01:06:39)
Okay, das ist auch eine interessante Herangehensweise. Bei Keybase heißt das ganze Datenbanken, man hat mehrere Datenbanken und da habe ich durchaus Datenbanken auch mit anderen geteilt in demselben Projekt. Fühlt sich aber auch nicht so ganz hundertprozentig perfekt an, muss ich dazu sagen.
Andy Grunwald (01:06:39 - 01:06:43)
Okay, dann brauchst du also wiederum eine Cloud, um das zu sharen, Verstehe ich.
Wolfi Gassler (01:06:43 - 01:06:50)
Ja klar. Also Sharing brauchst du eine Cloud, ob du sie jetzt selber hostest oder eine fremde Cloud verwendest, du brauchst immer eine Cloud.
Andy Grunwald (01:06:50 - 01:07:10)
Das war ja die Frage, weil wir initial gesagt haben, okay, ein Kriterium, wie du deinen Passwortmanager auswählen möchtest, ob du es selbst hosten möchtest oder nicht. Aber wenn es dann ans Sharing von Credentials geht, dann musst du entweder die Thematik machen, so wie ich, ich sende dir das rüber und vertraue dir, dass du das selbst handelst, dann haben wir aber keine Synchronisation. Oder du nutzt irgendeinen Service, der für beide öffentlich zuging.
Wolfi Gassler (01:07:10 - 01:08:20)
Genau, oder du schickst das File per E Mail herum, Aber ob das eine gute User Experience ist, ist eine andere Sache, aber ginge natürlich theoretisch auch. Was man natürlich auch machen kann, wenn man jetzt im professionellen Kontext arbeitet mit mehreren Teammitgliedern, ist Passport. Ist glaube ich so der Platzhirsch im Open Source Bereich. Kann man auch selber hosten, gibt es auch als Service und da kann man dann auch genau festlegen, welches Passwort, welche Gruppen, wer darf wo Zugriff haben. Ich habe mir das auch kurz angeschaut, weil es mich interessiert hat, wie sie es eigentlich machen, ist ganz klassisches Private Public Key Verfahren. Jeder User hat einen Private Key und wenn du ein Passwort teilst, dann wird es mit dem Public Key des jeweiligen Users verschlüsselt. Der Server kennt alle Public Keys und wenn du als User dann zugreifst, hast du den Private Key und kannst es entschlüsseln und kommst so an die Daten dran und so ist sicher, dass der Server Daten verschlüsseln kann, ohne dass er die Private Keys kennt. Ist also eigentlich ein sehr, sehr einfacher Ansatz. Aber der glaube ich auch sehr robust ist und den man auch sicher gut verwenden kann. Also ich kenne auch viele Teams, die Passport verwenden. Das funktioniert eigentlich ganz gut und ich war bisher ehrlich gesagt nur zu faul, um das mal aufzusetzen. Und darum schere ich halt einfach die Datenbank Files von keepass.
Andy Grunwald (01:08:20 - 01:08:50)
Ich glaube, zusammenfassend können wir sagen, diese ganze Security Thematik wird halt immer und immer und immer wichtiger, speziell den Schutz deiner eigenen Online Identität. Wenn wir nämlich jetzt einmal von der Generation Z sprechen, da habe ich gestern zufällig noch auf Wikipedia rumgesurft und habe mir angesehen, ab wann man ein Boomer ist und wann nicht. Und da stand halt unter anderem, dass die Generation Z sich dadurch auszeichnet, dass es die erste Generation ist, die vollständig mit der digitalen Welt aufwächst, die mit einem Passwortmanager aufwächst.
Wolfi Gassler (01:08:50 - 01:08:50)
Meinst du?
Andy Grunwald (01:08:51 - 01:09:45)
Ich würde es mir wünschen, wenn sie das tun, aber das bezweifle ich halt oft. Aber da wird das immer wichtiger. Und ich hatte auch schon Bekannte, die verstorben sind. Und dann stellt sich natürlich die okay, was machen wir jetzt mit der digitalen Identität auf dem Facebook Profil und so weiter und so fort. Also Punkt ist, du hast eine digitale Identität. Punkt ist, du steuerst alles inzwischen fast online. Und da würde ich mach dir mal ein paar Gedanken darüber, wie du die ganze Sache denn auch schützt. Es ist okay, wenn du da kein Geld für ausgeben möchtest, dann tauscht du aber in der Regel Geld durch Zeit, indem du dich um die Synchronisation kümmerst und so. Das ist auch okay. Aber macht euch Gedanken. Nicht jeder muss alle sechs Monate seine SSH Keys mit Passwörtern rotieren. Ich würde es mir wünschen, wenn ihr das tun würdet, aber ich mache es ja auch nur alle zwei, drei Jahre. Von daher könnt ihr mir dieses Argument gerne an den Kopf schmeißen. Und wir machen ja auch nicht alles, wie zum Beispiel den eigenen yubikey habe ich jetzt auch noch nicht privat. Wolfgang, du glaube ich auch noch nicht.
Wolfi Gassler (01:09:46 - 01:09:48)
Fünf und zwanzig Euro. Ich werde mir das überlegen.
Andy Grunwald (01:09:48 - 01:10:42)
Deswegen hier mal eine kleine Checkliste in einer Stunde fünfzehn vielleicht war ja der ein oder andere Tipp dabei, aber wir haben ziemlich viele Sachen noch gar nicht besprochen. Wir haben nicht gesprochen, wie Passkeys funktionieren oder was das eigentlich ist, wie man die ganze Thematik zum Beispiel in Docker verwendet, was die psychologische Komponente denn ist. Also ich glaube, dieses ganze Thema kannst du wirklich von vorne bis hinten über vielleicht sogar ein ganzes Semester strecken, wenn man da mal ein bisschen sich da rein. Das war eher so mal Personal Security ein hundert eins mit einem harten Fokus auf, ich sag mal, Entwickler Secrets und Passwörtern. Vielleicht ist da was bei und vielleicht wollt ihr dieses Jahr vielleicht noch mal was ändern. Und Achtung, ich glaube die ganzen Black Friday und Cyber Monday und so weiter, kommen die noch oder waren die schon? Auf jeden Fall, da gibt es bestimmt auch wieder irgendwelche Angebote von yubikeys, werden rausgeschmissen oder falls ihr auch wieder irgendeinen Software as a Service nutzen wollt oder.
Wolfi Gassler (01:10:42 - 01:11:20)
Oder damit es nicht ganz zur Werbesendung von manchen Firmen, die wir verwenden, ausartet. Wir bekommen kein Geld nochmal, wir verwenden es nur gerne. Kommt bei uns in der Community vorbei und lasst uns mal wissen, was wir jetzt alles nicht erwähnt haben, was wir verwenden sollten, was es für Tools sonst noch gibt, die Sinn machen, Egal ob jetzt im Personal Kontext oder im Team Kontext oder wenn ihr irgendwie Themenbereiche habt, wie zum Beispiel Passkeys, wenn wir da mal tiefer gehen sollen, vielleicht auch mit einem Gast, der sich da sehr tief auskennt, lasst uns das natürlich auch wissen, dann können wir da mal wirklich einen Deep Dive mit einem Interview auch planen.
Andy Grunwald (01:11:20 - 01:11:25)
Das war's von uns, wir sind gespannt auf eure Security Stories. Bis bald. Bye bye.
Wolfi Gassler (01:11:25 - 01:11:26)
Ciao.