1Password

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Osxer schrieb:

    MyMattes schrieb:

    P.S.: Hab in der Tasche meiner Jacke aus dem Jahr 2008 mein Nokia 3210 gefunden... Hat immer noch 3 Balken Akku


    Und ich halte voller Stolz mein iPhone 2G in der Hand! Meiner Meinung nach noch immer das schönste Handy!! <3


    Hier

    ebay.de/itm/iPhone-2G-8GB-1-Ge…L-APPLE-8GB-/171186184269

    Kannstcdu Super günstig eins erwerben.

    gruss

    claus
    2 Stunden Try & Error erspart 10 Minuten Handbuchlesen.

    Pre-Kaffee-Posts sind mit Vorsicht zu geniessen :)

  • 1Password

    Thallius schrieb:

    Osxer schrieb:

    MyMattes schrieb:

    P.S.: Hab in der Tasche meiner Jacke aus dem Jahr 2008 mein Nokia 3210 gefunden... Hat immer noch 3 Balken Akku


    Und ich halte voller Stolz mein iPhone 2G in der Hand! Meiner Meinung nach noch immer das schönste Handy!! <3


    Hier

    ebay.de/itm/iPhone-2G-8GB-1-Ge…L-APPLE-8GB-/171186184269

    Kannstcdu Super günstig eins erwerben.

    gruss

    claus


    Ach du scheisse!
    Aber das Backcover ist einfach geil ...

    Aber auch geil:[Blockierte Grafik: http://img.tapatalk.com/d/14/04/26/avatuza9.jpg]

  • Thallius schrieb:

    Osxer schrieb:

    MyMattes schrieb:

    P.S.: Hab in der Tasche meiner Jacke aus dem Jahr 2008 mein Nokia 3210 gefunden... Hat immer noch 3 Balken Akku


    Und ich halte voller Stolz mein iPhone 2G in der Hand! Meiner Meinung nach noch immer das schönste Handy!! <3


    Hier

    ebay.de/itm/iPhone-2G-8GB-1-Ge…L-APPLE-8GB-/171186184269

    Kannstcdu Super günstig eins erwerben.

    gruss

    claus


    Das ist ja noch ein günstiges! ;)
    ebay.de/itm/iPhone-2G-8GB-NEU-…ndy_s&hash=item2a3b347ebc

    @matz: ebay.de/itm/SONY-XPERIA-Z1-16G…viles&hash=item27e2e7eb8f
    :)

  • asteiger schrieb:

    erinnert mich irgendwie an mein Ipad von hinten (und ich finde das design vom Ipad hinten ganz schön, ein ungewöhnlicher Kontrast silber Hintergrund und schwarzes Logo)


    Ja, ich finde, es liegt einfach herrlich in der Hand. Und ich finde es unglaublich, wie Apple nach so einem edlem, robusten iPhone 2g das iPhone 3G/GS aus Plastik bringen kann... :)
    Aber wenigstens ab dem 4er iPhone wieder aus Metall.

  • Marco Feltmann schrieb:

    An dem Artikel stören mich ein paar Dinge:
    1. Weder E-Mail noch SMS sind sicher.
      SMS werden entweder via GSM oder GPRS/UMTS übertragen. Beides kann abgefangen werden, entweder durch Geheimdienste oder durch irgendwelche kriminellen CCC-Mitglieder, die mal eben einen eigenen Sendemast aufbauen und mithören/mitlesen.
      Und E-Mails… Nun ja, bei großen und bekannten Anbietern bist Du irgendwie immer auf der Abschuss- und Hackingliste. Auch alles Andere als sicher.
    2. Wie authentifiziere ich mich bei meinem E-Mail Server? Über ein Zertifikat? Klappt in den gängigen Mailclients meines Wissens nicht. Abgesehen davon möchte ich mein imap oder Exchange gern so nutzen wie es geplant ist: von überall. Ich habe aber nicht überall ein passendes Zertifikat dabei. Und jedes Mal ein Token eingeben, wenn ich eine Mail schicken oder empfangen möchte?
    3. Datenschutz. Statt also anonyme Zugangsdaten von mir zu haben (Username und Kennwort) hat die Person/der Server mindestens eine direkt mir zuzuordnende Information. Entweder eine gültige E-Mail Adresse (die ich nach wie vor sehr unsicher finde) oder eine Telefonnummer (vorzugsweise Mobiltelefon) von mir.
      Keine Ahnung wie andere Leute das sehen, aber ich gebe derart sensible Daten ausgesprochen ungern an potentiell unseriöse Websteinbetreiber weiter.
      Mein Kreditkartenbetreiber nutzt diese Möglichkeit (nennt es 'mobileTAN') um Änderungen bei Kontakt- oder Adressdaten zu autorisieren. Das darf er gern. Für jede Website und jedes Forum muss das nun aber wirklich nicht sein.
    4. Wie realisiere ich die Umsetzung? Da Mail für mich ja nicht in Frage kommt, müsste ich also eine SMS versenden. Gibt es da was OpenSource mäßiges, das mir keine Kosten verursacht? Vermutlich nicht.

    Also prinzipiell finde ich den Gedanken ja sehr gut. Hätte man noch einen Pager oder Ähnliches, würde ich das auch gern nutzen.
    (Quasi eine Art Hardware RSA Token nur zum Empfang von SMS)
    Nicht aber, wenn ich dafür personenbezogene Daten angeben muss, die ich für regelmäßige Aktivitäten nutze und auf denen ich beispielsweise von jedem Hans und Franz angerufen werden kann.

    Ist das wirklich so?

    Gehen wir das mal durch:

    1. Der Einwand, SMS und E-Mail seien unsicher, verliert doch etwas an Glaubwürdigkeit, wenn man bedenkt, dass viele Dienste genau diese Kanäle benutzen, um Passwörter zu versenden (bei der Initialanmeldung oder PW-Reset). Wenn das unsicher ist, dann …
    (Was ich nie verstanden habe: Wieso zeigt mir der Dienst das generierte PW nicht an, sondern eröffnet via E-Mail einen neuen Kommunikationskanal?Aus meiner laienhaften Sphäre heraus würde ich sagen: Mehr Kommunikationskanäle, mehr potentielle Löcher.)

    2. Siehe 1.

    3. E-Mail-Adresse finde ich nun nicht dramatisch. Vor allem gegenüber der Alternative: Entweder ich habe wenige, merkbare PW oder ich nutze $irgendeinenDienst, der mir die Arbeit abnimmt. Wieso vertraue ich eigentlich Apple meine Passwörter in der Keychain an und übersende sie nicht gleich der NSA? Immerhin würde das Bandbreite für meinen Pornoaccount freimachen.

    4. Bei SMS-TAN übernimmt die Versandkosten ja der Diensteanbieter. Ich muss natürlich ein Handy vorhalten. Ja, ich habe ein Handy tatsächlich nur für Onlinebanking. Ich muss also daher tatsächlich Kosten tragen. (Übrigens ist das bei Prepaid nicht kostenlos, weil üblicherweise das Guthaben irgendwann verfällt und der Zugang gesperrt wird. Ist zwar mutmaßlich rechtswidrig, aber ändert ja nichts.) Für die allermeisten Menschen (aka Sklaven ihrer Mobiltelefone) sind das aber keine Kosten, weil sie ohnehin ein Handy haben.

    5. Das Allerwichtigste: Wieso spielt es für die Beurteilung eines Dienstes eine Rolle, ob Winnie Teichmann dort arbeitet?
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?

    1. events.ccc.de/congress/2009/Fahrplan/events/3654.en.html; scard.org/gsm/pr/ccc/; cre.fm/cre179-gsm-security; cre.fm/cre056-gsm-hacking; heise.de/security/meldung/Auch…g-angeknackst-903458.html; …
    2. Ich sehe da keinen Zusammenhang zu 1.
    3. Man kann mich gegen meinen Willen mit Zeugs zumüllen (und tut es auch). Ich finde das dramatisch. Und meine Keychain merkt sich auch nix.
    4. Um also den Besuchern meiner Seite Zugang zu einem internen Bereich bieten zu können fallen bei mir Kosten zum Versand von Datenmüll an. (SMS ist in meinen Augen nichts Anderes als Datenmüll)
      Außer ich nutze E-Mail. Und müsste sicher stellen, dass diese E-Mail nicht auf dem selben Gerät empfangen wird, auf dem das LogIn von Statten geht – sonst ist diese Sicherungsschicht auch dahin.
    5. Weiß ich nicht. Wieso spielt es für die Beurteilung einer Religion eine Rolle, ob der Sohn des Gottes Jesus oder Thor heißt?
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P

  • Marco Feltmann schrieb:

    1. events.ccc.de/congress/2009/Fahrplan/events/3654.en.html; scard.org/gsm/pr/ccc/; cre.fm/cre179-gsm-security; cre.fm/cre056-gsm-hacking; heise.de/security/meldung/Auch…g-angeknackst-903458.html; …
    2. Ich sehe da keinen Zusammenhang zu 1.
    3. Man kann mich gegen meinen Willen mit Zeugs zumüllen (und tut es auch). Ich finde das dramatisch. Und meine Keychain merkt sich auch nix.
    4. Um also den Besuchern meiner Seite Zugang zu einem internen Bereich bieten zu können fallen bei mir Kosten zum Versand von Datenmüll an. (SMS ist in meinen Augen nichts Anderes als Datenmüll)
      Außer ich nutze E-Mail. Und müsste sicher stellen, dass diese E-Mail nicht auf dem selben Gerät empfangen wird, auf dem das LogIn von Statten geht – sonst ist diese Sicherungsschicht auch dahin.
    5. Weiß ich nicht. Wieso spielt es für die Beurteilung einer Religion eine Rolle, ob der Sohn des Gottes Jesus oder Thor heißt?

    Zu 1: Hast du meinen Beitrag gelesen? Oder anders: Wo wird bei einen deiner Links erklärt, dass zwar die Übersendung eines Kurzzeit-PW unsicher, die Übersendung eines neuen PW bei PW-Rest sicher sei? Irgendwie schient mir das ziemlich widersprüchlich.

    Zu 2: Du siehst keinen Zusammenhang, weil du mein 1 nicht richtig gelesen hast.

    Zu 3: Der Browser trägt dein PW ein, aber die Keychain merkt sich nichts?

    Zu 4: Richtig, die Kosten fallen beim Versender an, siehe SMS-TAN. Wenn du deine E-Mail-Adresse nicht übermittelst, wird es mit dem PW-Rest schwierig.

    Zu 5: Über Jesus und Thor wurde hier eigentlich noch nicht gesprochen.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?

  • Amin Negm-Awad schrieb:


    1. Der Einwand, SMS und E-Mail seien unsicher, verliert doch etwas an Glaubwürdigkeit, wenn man bedenkt, dass viele Dienste genau diese Kanäle benutzen, um Passwörter zu versenden (bei der Initialanmeldung oder PW-Reset). Wenn das unsicher ist, dann …


    Das ist doch ein Trugschluss. Im Fehlverhalten anderer gibt es keine Transitivität. Zumal das Versenden von *Passwörtern* eine noch größere Eselei ist, als die kosmologische Konstante.


    (Was ich nie verstanden habe: Wieso zeigt mir der Dienst das generierte PW nicht an, sondern eröffnet via E-Mail einen neuen Kommunikationskanal?Aus meiner laienhaften Sphäre heraus würde ich sagen: Mehr Kommunikationskanäle, mehr potentielle Löcher.)


    Ein vernünftig konzipierter Dienst zeigt Dir nicht Dein Passwort an, sondern schickt Dir ein Einmaltoken, über das Du Dir das Passwort selber generierst. Dein Passwort geht niemanden etwas an, auch und insbesondere nicht den Dienst. Die Aufteilung auf mehrere Kommunikationskanäle birgt zwar rein statistisch gesehen mehr Löcher, die Risikoverteilung gleicht das aber locker wieder aus. Natürlich nur, wenn der User sich dran hält und nicht eh alles auf demselben Endgerät bündelt. ;)

  • Ich hatte ja gar nicht gesagt, dass es keine Eselei sei. Ich wundere mich nur, dass X Leute klaglos Dienste benutzen, die diese Möglichkeit vorsehen, sich aber darüber beschweren, wenn auf diese Weise ein Einmal-PW versendet wird. Daher auch "verliert doch etwas an Glaubwürdigkeit".

    Ebenso verhält es sich bei dem zweiten Absatz: Ich spreche ja von Diensten, die dir ein neues PW zusenden. Dann haben die dein neues PW. Meine Frage war: Wenn die das schon so machen, warum zeigen sie es nicht gleich an? Ich sehe da auch keinen Vorteil für die Risikoverteilung.

    Übrigens: Warum ist ein Einmaltoken via E-Mail für die neue PW-Setzung weniger gefährlich als ein Einmal-Token für die Anmeldung, wie es in dem Link vorgeschlagen wird? Mit das Einmal-Token für ein neues PW zu "stehlen" scheint mir deutlich gefährlicher zu sein als mir ein Einmal-Token für das Login zu "stehlen".
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?

  • Gerade hier probiert:

    Hallo Amin Negm-Awad,

    wenn Sie Ihr Kennwort vergessen haben, können Sie über folgenden Link ein neues Kennwort anfordern.
    Klicken Sie hier, um ein neues Kennwort anzufordern: osxentwicklerforum.de/index.php/NewPassword/?u=…&k=…

    Falls Sie Ihr Kennwort nicht vergessen haben, können Sie diese E-Mail ignorieren.


    Wenn also jetzt jemand meine E-Mails lesen kann, dann braucht er nur auf den "PW vergessen" Button zu klicken, um den Link für ein neues PW zu erhalten und mein PW neu zu setzen. Für immer. Er loggt sich dann nicht nur ein, sondern sperrt mich auch aus. Und der Hinweis im letzten Satz ist besonders irreführend: Wenn ich das ignoriere, hat der junge Herr auch noch beliebig viel Zeit dafür. (Na, ja, irgendwann ist ads Token sicherlich expired. Aber er muss sich nicht beeilen.)

    Aber ein Token für ein Einmal-Login via E-Mail zu senden ist so gefährlich, weil E-Mail ja so unsicher ist.

    Mir scheint es dann doch so zu sein, dass da nicht ganz fair argumentiert wird. Aber Hauptsache ein paar Links einfügen, die die Unsicherheit von $ belegt, ohne dabei auch nur kurz nachzudenken, dass man sich im gerade angemeldet Dienst auf die Sicherheit von $ verlässt.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?

  • Amin Negm-Awad schrieb:

    Ich wundere mich nur, dass X Leute klaglos Dienste benutzen, die diese Möglichkeit vorsehen, sich aber darüber beschweren, wenn auf diese Weise ein Einmal-PW versendet wird. Daher auch "verliert doch etwas an Glaubwürdigkeit".


    Nun … so lange den Leuten in Print, Funk und Fernsehen erklärt wird, dass das wichtigste Sicherheitsmerkmal im Internet überhaupt das kleine grüne Schloss oben links in der Browserzeile ist, wundere ich mich über gar nichts mehr.


    Ebenso verhält es sich bei dem zweiten Absatz: Ich spreche ja von Diensten, die dir ein neues PW zusenden. Dann haben die dein neues PW. Meine Frage war: Wenn die das schon so machen, warum zeigen sie es nicht gleich an? Ich sehe da auch keinen Vorteil für die Risikoverteilung.


    Ack!


    Übrigens: Warum ist ein Einmaltoken via E-Mail für die neue PW-Setzung weniger gefährlich als ein Einmal-Token für die Anmeldung, wie es in dem Link vorgeschlagen wird? Mit das Einmal-Token für ein neues PW zu "stehlen" scheint mir deutlich gefährlicher zu sein als mir ein Einmal-Token für das Login zu "stehlen".


    Den Artikel habe ich ja erklärtermaßen nicht gelesen. Fakten belasten jede unsachliche Diskussion. Das Einmaltoken zum Passwort-Setzen adressiert eine andere Bedrohung als ein Login-Token.

  • Ich bin für persönliches Erscheinen beim Betreiber und kann dort mein Passwort direkt an der Serverkonsole eintippen.
    Natürlich unter einem blickdichten Tuch wie man das vom Fotografen kennt.
    Nur Thor und Jesus kennen dann mein Passwort. Und vielleicht Winnie.

    Chris
    Arbeiten Thor oder Jesus bei der NSA?
    Man macht einfach solange irgendwelche Dinge, bis man tot ist.
    Und dann bekommen die anderen Kuchen.

  • Nun, die Leute haben einige Beiträge weiter oben genau so argumentiert, und beziehen ihr Sicherheitswissen nicht aus dem TV. (Glaube ich jedenfalls nicht.)

    Der Artikel sagt verkürzt einfach nur:

    "Du gibst nur deinen Accountnamen ein. Dann sende ich dir ein Einmal-Token zum Login."

    Anstelle von:

    "Du klickst auf PW vergessen. Dann sende ich dir ein Einmal-Token zum PW-Setzen."

    Während zweites bei wohl so ziemlich allen Diensten klaglos akzeptiert wird, ist erstes auf einmal total gefährlich. Mir erscheint hingegen dieser Ansatz sehr gut nachvollziehbar. Ich überlege schon, dies zu übernehmen. Dann habe ich garantiert kein gespeichertes PW auf dem Server.
    Es hat noch nie etwas gefunzt. To tear down the Wall would be a Werror!
    25.06.2016: [Swift] gehört zu meinen *Favorite Tags* auf SO. In welcher Bedeutung von "favorite"?

  • Ich habe vermutlich nur wieder Verständnisprobleme.

    Amin Negm-Awad schrieb:

    1. Der Einwand, SMS und E-Mail seien unsicher, verliert doch etwas an Glaubwürdigkeit, wenn man bedenkt, dass viele Dienste genau diese Kanäle benutzen, um Passwörter zu versenden (bei der Initialanmeldung oder PW-Reset). Wenn das unsicher ist, dann …

    Die Aussage liest sich für mich wie folgt: Weil viele Dienste es falsch machen ist es automatisch sicher. Und das sehe ich anders.
    Wobei ich bisher noch nie ein Passwort zugesendet bekommen habe…
    «Applejack» "Don't you use your fancy mathematics to muddle the issue!"

    Iä-86! Iä-64! Awavauatsh fthagn!

    kmr schrieb:

    Ach, Du bist auch so ein leichtgläubiger Zeitgenosse, der alles glaubt, was irgendwelche Typen vor sich hin brabbeln. :-P