Passwörter: Wie viele habe ich und warum? (oder so ähnlich)
Hi, (vorsicht länglich) der neue Rechner ist nun fast soweit ... Der Start sieht im Moment aber so aus: 1. Einschalten 2. Pwd der Boot-Partition eingeben (Root-Partition wird automatisch entschlüsselt) 3. Pwd für GUI (KDE) eingeben 4. Pwd für kwallet eingeben 5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben Wie viele Passworteingaben kann ich mir sparen ohne das die Sicherheit all zu sehr leidet? (2) bleibt, das ist klar. Kann (3) wegfallen wenn man davon ausgeht das die Platte ja eh verschlüsselt ist und es nur einen User (und root) auf den Rechner gibt? (IMHO: Ja) Kwalltet (4) aufzuschließen kann bleiben, die Pwd sollen ja nicht immer zugänglich sein. ABER bekommt man Thunderbird (6) und Firefox (5) irgendwie dazu ihren Master-Key in Kwallet abzuspeichern? Ich las irgendwo das es keine gute Idee sei Passwörter in FF abzulegen ohne einen Master-Key zu verwenden da Webseiten sonst die Passwortdatei auslesen könnten. (Ich denke das es bei TB ähnlich ist.) (FF und TB verwende ich, da Kontakt (inkl. Kmail, Knode und Akkregator) und Konqueror in meinen Augen leider nicht mehr/immer funktionieren und sich das allem Anschein nach wohl auch nicht mehr ändern wird.) Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
On 05.09.21 14:25, Bernd Nachtigall wrote:
Der Start sieht im Moment aber so aus:
1. Einschalten 2. Pwd der Boot-Partition eingeben (Root-Partition wird automatisch entschlüsselt) 3. Pwd für GUI (KDE) eingeben 4. Pwd für kwallet eingeben 5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Wie viele Passworteingaben kann ich mir sparen ohne das die Sicherheit all zu sehr leidet?
Das ist schwer zu beantworten und hängt von Deiner persönlichen Paranöia ab. Als Anregung schildere ich mal mein Setup, das soll aber wirklich nur eine Anregung sein: - Das Grundsetup ist LUKS2 verschlüsselt, der Key hierzu kommt aus dem TPM, somit ist keine Passwort- Eingabe erforderlich. Das erfordert allerdings ein neueres systemd, als es in Leap 15.3 enthalten ist. Um das als leidlich sicher zu bezeichnen, ist sowohl das UEFI als auch der grub Passwort geschützt. Das User Passwort beim Login ist ebenfalls zwingend. - für die wirklich wichtigen Daten habe ich ein weiteres 20GB LUKS Volume, welches per Passwort aufgesperrt wird. - kwallet habe ich nicht, stattdessen ein Keepass XC, welches per Plugin mit dem Firefox verbunden ist. Der Firefox speichert hier selbst nur unwichtige Passwörter. - Thunderbird speichert seine Passwörter (auf dem zweiten LUKS) und hat kein Master- Passwort aktiv. In der Summe habe ich hier also 3 Passwörter, die ich im Zweifel eingeben muß. Viele Grüße Ulf
Am 05.09.21 um 16:50 schrieb Ulf Volmer:
On 05.09.21 14:25, Bernd Nachtigall wrote:
Der Start sieht im Moment aber so aus:
1. Einschalten 2. Pwd der Boot-Partition eingeben (Root-Partition wird automatisch entschlüsselt) 3. Pwd für GUI (KDE) eingeben 4. Pwd für kwallet eingeben 5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Wie viele Passworteingaben kann ich mir sparen ohne das die Sicherheit all zu sehr leidet?
Das ist schwer zu beantworten und hängt von Deiner persönlichen Paranöia ab.
Als Anregung schildere ich mal mein Setup, das soll aber wirklich nur eine Anregung sein:
- Das Grundsetup ist LUKS2 verschlüsselt, der Key hierzu kommt aus dem TPM, somit ist keine Passwort- Eingabe erforderlich. Das erfordert allerdings ein neueres systemd, als es in Leap 15.3 enthalten ist. Um das als leidlich sicher zu bezeichnen, ist sowohl das UEFI als auch der grub Passwort geschützt. Das User Passwort beim Login ist ebenfalls zwingend.
- für die wirklich wichtigen Daten habe ich ein weiteres 20GB LUKS Volume, welches per Passwort aufgesperrt wird.
- kwallet habe ich nicht, stattdessen ein Keepass XC, welches per Plugin mit dem Firefox verbunden ist. Der Firefox speichert hier selbst nur unwichtige Passwörter.
- Thunderbird speichert seine Passwörter (auf dem zweiten LUKS) und hat kein Master- Passwort aktiv.
In der Summe habe ich hier also 3 Passwörter, die ich im Zweifel eingeben muß.
Ja, drei Passwörter wären hier auch OK. Bei näherem Hinsehen ist es eigentlich nur die wiederholte Eingabe der Pwd. am FF und am TB die Missfallen auslöst. Es wäre gut wenn das im kwallet integriert wäre. Aber das ist ja kein openSUSE-Problem. Das gehört eher in die Schublade KDE (-Integration) oder Mozilla. Es scheint nicht ganz so einfach zu sein openSUSE ONU-tauglich (und komfortabel) zu machen. fingerprint-gui ist bei 15.3 auch nicht mehr vorhanden ... Im Moment habe ich es so eingerichtet das man für die Boot-Partition ein Passwort eingeben muss, die Root-Partition wird dann automatisch entschlüsselt und der (einzige) Benutzer automatisch angemeldet. Dann kommen noch die Passwörter für kWallet, FF und TB. Wobei letztere eben mehr dem Komfort als der Sicherheit dienen, aber eben trotzdem 'sicher' sein müssen. Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Hier (15.2) funktioniert Suspend to Disk inzwischen so zuverlässig, dass ich die Maschine mitsamt TB und FF zwischen den Updates mit Reboot ein paar Wochen lang sozusagen durchlaufen lasse. Dann fragt er beim Resume nur nach dem Passwort der verschlüsselten Harddisk. Wie bei dir wird der einzige Benutzer beim Reboot automatisch angemeldet. -- Viele Grüße Michael
Hier (15.2) funktioniert Suspend to Disk inzwischen so zuverlässig, dass ich die Maschine mitsamt TB und FF zwischen den Updates mit Reboot ein
Am Montag, 6. September 2021, 12:09:38 CEST schrieb Michael Behrens: paar
Wochen lang sozusagen durchlaufen lasse. Dann fragt er beim Resume nur nach dem Passwort der verschlüsselten Harddisk. Wie bei dir wird der einzige Benutzer beim Reboot automatisch angemeldet.
--
Viele Grüße
Michael
Yep, dann ist e.g. Kdewallet das einzige Passwort, das Du regelmäßig eintippst, bspw. für verschlüsselte Mails oder die Browser, nehme ich an? -- Best Regards - Mit freundlichen Grüßen, Markus Feilner, Feilner IT - 20 years of open services - ------------------------- Agile Recursive Documentation: – Document it or it didn't happen! – ------------------------- Digitale Souveränität, Nachhaltigkeit, Dokumentation Linux, Security, Strategy, Politics, Journalism, Networking. https://www.feilner-it.net, 93059 Regensburg Wöhrdstr. 10, +49 170 302 7092 (+Signal) PGP: 40A3C306F96133067C11CFD9A958A906268C9F0A http://www.feilner-it.net/files/MFpub.asc Xing: http://www.xing.com/profile/Markus_Feilner LinkedIn: https://www.linkedin.com/in/markusfeilner @mfeilner: Matrix, Jabber, Skype, Twitter, Diaspora, ...
Am 05.09.21 um 14:25 schrieb Bernd Nachtigall:
(vorsicht länglich)
der neue Rechner ist nun fast soweit ...
Der Start sieht im Moment aber so aus:
...
5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Für Firefox und Thunderbird setze ich ein Masterpassword, damit die Sicherheitslücke "Defaultpassword" verschwindet. Peter
Am 06.09.21 um 11:33 schrieb Peter McD:
Am 05.09.21 um 14:25 schrieb Bernd Nachtigall:
(vorsicht länglich)
der neue Rechner ist nun fast soweit ...
Der Start sieht im Moment aber so aus:
...
5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Für Firefox und Thunderbird setze ich ein Masterpassword, damit die Sicherheitslücke "Defaultpassword" verschwindet. ?? Ja, genau. Aber dieses MasterPassword muss ja bei jedem Booten eingegeben werden (wenn TB und FF automatisch starten)
Also bin ich nun bei 4x Password eingeben: (1) Boot (2) kwallet (3) FF (4) TB Leider finde ich für FF und TB bei Mozilla kein AddOn was deren MasterPassword im kwallet ablegt. Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Moin moin, Am 06.09.2021 um 12:39 schrieb Bernd Nachtigall:
Am 06.09.21 um 11:33 schrieb Peter McD:
Am 05.09.21 um 14:25 schrieb Bernd Nachtigall:
(vorsicht länglich)
der neue Rechner ist nun fast soweit ...
Der Start sieht im Moment aber so aus:
...
5. Pwd für Firefox eingeben 6. Pwd für Thunderbird eingeben
Für Firefox und Thunderbird setze ich ein Masterpassword, damit die Sicherheitslücke "Defaultpassword" verschwindet. ?? Ja, genau. Aber dieses MasterPassword muss ja bei jedem Booten eingegeben werden (wenn TB und FF automatisch starten)
Das würde ja auch keinen Sinn ergeben, da das Masterpasswort quasi den Passwortsafe des TB bzw. FF öffnet, man sollte sich für eine PW Safe Lösung entscheiden. Btw. wenn man Sicherheit will, sollte man Automatismen streng prüfen, da stecken nahezu immer die Probleme.
Also bin ich nun bei 4x Password eingeben:
(1) Boot (2) kwallet (3) FF (4) TB
Leider finde ich für FF und TB bei Mozilla kein AddOn was deren MasterPassword im kwallet ablegt.
Bernd
-- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
participants (6)
-
Bernd Nachtigall -
Markus Feilner -
Markus Heinze -
Michael Behrens -
Peter McD -
Ulf Volmer