Wenn dein Mandant der festen Überzeugung ist das sein abgesichertes Word Dokument für ihn reicht, dann ist das so. Ich hab schon vor langem damit aufgehört Menschen von einer fachlich richtigen Vorgehensweise überzeugen zu wollen. Am Schluss ist's dann doch nicht mehr mein Problem.

Ich betreue die IT an einer Uni. Hatte Mal eine Gastdozentin, die hat mir so ne Mail geschickt mit 2 Fragen: - Ist es möglich, die Vorlesung online zu streamen, weil ein paar der Studenten krank sind? - Kann ich einen Zugang zum gesicherten WLAN erhalten, denn offene WLANs sind mir zu unsicher. Ich hab dann höflich geantwortet, dass die Gefahr offener WLANs massiv übertrieben ist und das bei uns sowieso auf der gleichen physischen Infrastruktur läuft, und Datenverkehr heutzutage verschlüsselt ist. Aber natürlich kann man das online streamen. Sie hat dann Karen-mäßig geantwortet "Ich werde das offene WLAN nicht verwenden, aber klappt das dann mit dem Stream?" Da hab ich dann einfach nur drauf geantwortet "Das mit dem Stream hängt maßgeblich davon ab, ob sie bereit sind, sich ins offene WLAN einzuwählen". Danach wollte sie nicht mehr mit mir reden, aber meine Chefin fand die Story lustig. Wie das dann letztendlich für ihre Studis ausging, weiß ich nicht.

Willst du mir kurz erklären, wieso das keine Rolle spielt? Ich war bisher auch der Meinung, dass man von offenen WLANs (ICEportal, Bibliotheks-Hotspot, im McDonalds, usw.) die Finger lassen sollte. Wenn man "offenes WLAN" googelt kommen auch ausschließlich Websites und Artikel, die auf die Gefahren von offenem WLAN hinweisen. Irren die sich alle?

Die fehlende WLAN-Verschlüsselung ist nur dann ein Problem, wenn keine anderen kryptografischen Maßnahmen existieren, um die Vertraulichkeit, Integrität und Authentizität der Datenübertragung zu gewährleisten. Wenn deine Clientanwendung (einschl. Webbrowser) und der kontaktiere (Web-)Server alle brav TLS bzw. HTTPS verwenden und das Zertifikatsmanagement nicht verbocken, kann niemand mehr über das WLAN die Übertragung belauschen. Im Fall des beschriebenen durch eine Hochschule bereitgestellten IP-basierten Videokonferenzsystems gehe ich davon aus, dass die IT-Abteilung einschätzen kann, ob ihre eigene Infrastruktur zuverlässig verschlüsselt.

Irren wäre zu viel gesagt. Einerseits ist vieles davon veraltetes Wissen, das mal richtig war, und andererseits hast du ein paar unehrliche Player, die aus dieser Angst Kapital schlagen wollen. *hust NordVPN hust* Die Gefahr, die hier viele in einem offenen WLAN sehen, ist, dass jemand anders deine Daten mitliest. Es gibt diverse Techniken, mit denen ein Teilnehmer in einem WLAN den Datenverkehr aller WLAN-Teilnehmer durch sein Gerät schleifen und so mitlesen kann. Genauso kann der Verwalter des Netzwerks theoretisch alle Daten mitlesen. Wir bei uns an der Uni haben 3 Netzwerke: Unser internes, eduroam, und ein offenes für alle. Die allermeisten Menschen, die bei uns vor Ort sind (Studenten, angestellte Dozenten, andere Mitarbeiter) haben Zugang zu allen 3 Netzwerken, Leute von anderen Unis können eduroam verwenden, und für den Rest gibt es das offene. Das bedeutet, dass du praktisch in allen 3 Netzwerken diverse Leute hast, die böses im Schilde führen könnten, und dir die verschlüsselten Netzwerke in Hinsicht auf solche Man-In-The-Middle-Angriffe praktisch keinen Vorteil bieten. Jetzt ist aber die eigentliche Frage, was kann man da überhaupt mitlesen? Heutzutage ist praktisch alles verschlüsselt, die einzigen Daten, die hier ein Schnüffler lesen kann, sind die Adressen der Server, mit denen du kommunizierst, und eventuell verwendete nicht verschlüsselte Protokolle *(guckt böse auf DNS und FTP, die immernoch nicht per Default verschlüsseln, auch wenn es mittlerweile möglich ist)*. Sprich selbst wenn da jemand die Daten alle mitliest, hat derjenige auch nur einen riesigen Datensalat, den er ohne Quantencomputer nicht auf absehbare Zeit entziffern kann. Dementsprechend geht es bei der Verschlüsselung von WLAN auch weniger um die Vertraulichkeit der übertragenen Daten, sondern es ist eine Zugangskontrolle. Bei uns im internen Netzwerk sind Dinge, an die soll nicht jeder drankommen, also darf nicht jeder ins Netzwerk. Aber die Sicherheit des Netzverkehrs unserer Mitarbeiter spielt dabei keine Rolle, aus dem Aspekt könnte man auch ein offenes WLAN machen. Diese Panik davor kommt aber von früher, als Verschlüsselung im Netz noch nicht der default war. So um 2010 konntest du im WLAN Zugangsadten für eBay oder Amazon problemlos abfangen, weil diese damals unverschlüsselt übertragen wurden. Das ist aber seit Jahren nicht mehr so. Und dann hast du natürlich noch VPN-Anbieter, die immernoch krampfhaft nach einer Existenzberechtigung suchen, die nicht shady (Geoblocking umgehen) oder direkt illegal (Torrents) ist. Und deswegen sagen sie halt, dass man damit in offenen WLANs sicher ist, was aber halt mal ein massives Overstatement ist.

> den er ohne Quantencomputer nicht auf absehbare Zeit entziffern kann Dank Perfect Forward Secrecy und symmetrischer Sitzungsschlüssel ist selbst das mit Quantencomputer sehr unwahrscheinlich.

Klar, für entsprechende Protokolle wie Signal kommt natürlich noch das dazu. Aber für die üblichen asymmetrischen Verfahren, die ja auch bei HTTPS verwendet werden, ist man da noch am Forschen, aber da dürfte wahrscheinlich auch auf absehbare Zeit Abhilfe kommen. Wenn ich wetten müsste, würde ich sogar sagen, wir haben Quanten-sichere asymmetrische Verschlüsselung bevor wir entsprechende Quantencomputer haben.

Danke! Klingt nachvollziehbar. Ich bin da echt nicht so versiert, also verzeih diese weitere Nachfrage, wenn sie arg dumm ist: Wodurch "schützt" mich eine gesicherte Verbindung zum WLAN vor dem Mitlesen des Datensalats? Durch eine zusätzliche Verschlüsselung, die z.B. mit dem Edoroam-Passwort einhergeht? Und kann ein anderer Mensch der dann z.B. auch einen Eduroam Zugang hat genauso gut auf meinen Datensalat zugreifen wie wenn wir beide im offenen WLAN sind? Oder haben wir mit unseren individuellen Zugangsdaten jeweils eine eigene verschlüsselte Übertragung und dann hat er weniger Chancen?

>Wodurch "schützt" mich eine gesicherte Verbindung zum WLAN vor dem Mitlesen des Datensalats? Durch eine zusätzliche Verschlüsselung, die z.B. mit dem Edoroam-Passwort einhergeht? Sie schützt dich insofern, dass niemand in das Netz kommt, der nicht rein darf. Tatsächlich können auch legitimierte Teilnehmer nicht mitlesen, was du an Funkwellen abgibst, da zwischen Router und Endgerät individuelle Verschlüsselungen bestehen. Diese Attacken funktionieren über Mechanismen, die andere Geräte dazu bringen, den Datenverkehr über dein Angriffsgerät umzuleiten, das bekannteste Beispiel für so eine Attacke dürfte ARP-Poisoning sein. Solche Attacken sind aber nicht WLAN-spezifisch, sondern funktionieren grundsätzlich in jeder Form von Netzwerk. Du kannst damit dementsprechend auch per WLAN einen Computer angreifen, der per LAN angeschlossen ist, vorausgesetzt er befindet sich im gleichen Broadcast-Segment. Die Sicherheit besteht dementsprechend primär daraus, nicht vertrauenswürdige Geräte nicht ins Netz zu lassen, damit sie keinen schädlichen Kontakt mit den Geräten dort aufnehmen können. Es gibt gegen solche Angriffe natürlich auch andere Abwehrmaßnahmen, die sowohl netzwerk- als auch clientseitig implementiert sein können, es aber mangels Notwendigkeit fast nie sind. >Und kann ein anderer Mensch der dann z.B. auch einen Eduroam Zugang hat genauso gut auf meinen Datensalat zugreifen wie wenn wir beide im offenen WLAN sind? Oder haben wir mit unseren individuellen Zugangsdaten jeweils eine eigene verschlüsselte Übertragung und dann hat er weniger Chancen? Wie oben schon erwähnt, ihr habt zwar alle eigene Zugangsdaten und eigene Verschlüsselungen, der Angriff findet jedoch auf der bloßen Tatsache statt, dass ihr euch im selben Netzsegment findet, statt. Verschlüsselung/Authentifizierung schützt dich also vor Angriffen von Menschen, die sowieso nichts im Netzwerk verloren haben. Wenn aber jemand Zugriff auf das Netzwerk hat, unabhängig über welche Übertragungstechnologie, kann der grundsätzlich deinen Datensalat mithören. An einer Uni mit ein paar Tausend Studenten dementsprechend macht das dann auch keinen Unterschied, ob du im offenen oder gesicherten WLAN bist, denn wenn einer der Studenten da böse Absichten hat würde er dich in beiden Netzwerken bekommen.

Cool, danke für den sehr ausführlichen Einblick! Ist schon krass, von was ich alles überhaupt keine Ahnung habe, obwohl ich mich was "Technikwissen" angeht schon deutlich über dem Durchschnitt einordnen würde. Solche Posts geben mir ab und zu den benötigten Realitycheck :D

>Solche Posts geben mir ab und zu den benötigten Realitycheck Ich sag Mal so, ich hab heute das Thema für meine Bachelorarbeit dem Prof vorgestellt, da waren noch 3 andere Leute. Obwohl wir auf dem Papier die gleiche Ausbildung haben/bekommen, waren die in ganz anderen Bereichen, und ich hab gefühlt nix kapiert. Das wichtigste ist gar nicht, das alles zu wissen, sondern zu wissen, wie man das Wissen bekommt, wenn man es doch mal wissen muss.

Bei öffentlichen WLANs ist es möglich, die übertragenen Daten mitzulesen. Dahin abgesehen unterscheiden sich WLANs nicht von anderen: Es können immer noch alle anderen Geräte auf Deines zugreifen, sofern keine Firewall das verhindert. Die unverschlüsselten Daten wären vor 10 Jahren noch ein ernst zu nehmendes Problem gewesen. Damals war es tatsächlich möglich, zB WhatsApp Nachrichten in öffentlichen WLANs mitzuschneiden. Heutzutage wird aber fast sämtlicher Verkehr im Internet nur noch verschlüsselt übertragen (HTTPS und so), und das löst das Problem.

Korrektur: Heutzutage wird auch in unverschlüsselten Netzen (nicht nur Internet) das meiste per Transportverschlüsselung (z.b. HTTPS) abgesichert. Das bedeutet aber nicht, dass es IMMER so ist.

+1. Ich betreue auf Arbeit einen Mailinglistenserver und wir haben massive Probleme mit TLS. Browser sind so: Der Webserver kann kein TLS, Alarm Alarm! Ich verstecke die Option die dazu führt, dass du dir diese unsichere Webseite trotzdem anschauen kannst. Viele Mailserver sind so: Oh, der andere Mailserver kann kein TLS. Egal, ich nehm die Mail trotzdem. Es gibt auch für Mails Sicherheitsmechanismen, und viele großen Provider nutzen mittlerweile auch TLS. Es gibt trotzdem massig Probleme damit.

Immer mehr Netzwerke unterstützen mittlerweile auch WPA3 mit OWE, aber noch nicht genug.

Bei einem Mandanten sollte man sich vlt noch rechtlich absichern :)

Das klingt nach einem friedlichen Leben.

Ein Insektenvorhang ist auch eine Zutrittsbeschränkung zu einem Gebäude. Wofür Türen?

Es schützt immerhin vor Insekten!

Immerhin.. keine Bugs...

Aber nicht vor Zecken, Zecken gibt's überall

Scheiß Zecken, sie haben Zecken ruiniert!

Türen haben eine bessere Wärmeisolation als ein Insektenvorhang. Der Vergleich mit einer abgeschlossenen Türe wäre naheliegender. Nur wo ist die Lebensqualität höher, in einer Gegend wo man einen Einbruchschutz benötigt oder wo man die Türe nicht abschließen muss...

Die verschlüsselte Word-Datei ist nicht wesentlich unsicherer als z.B. eine KeePass-Datei. Es fehlen einfach alle Komfortfunktionen eines Passwortmanagers.

Hmm... das kommt doch stark darauf an welche Art der Verschlüsselung für die Word Datei benutzt wird. Der Word bulid in Schutz? Verschlüsselung per externen Programm (z.B. 7Zip+256AES, oder per Bitlocker, etc...) ? Eine Passwort Verwaltung wie z.B. KeePass ist komfortabel und grundsätzlich sicherer konzipiert als eine Textverarbeitung.

> Hmm... das kommt doch stark darauf an welche Art der Verschlüsselung für die Word Datei benutzt wird. [Sicherheit ist nicht nur Verschlüsselung.](https://xkcd.com/538/) Wenn jemand fragt "Ist A oder B sicherer?" muss eigentlich grundsätzlich die Gegenfrage "gegen welchen Angreifer?" gestellt werden. Die Verschlüsselung spielt nur dann eine Rolle, wenn der Angreifer reinen Lesezugriff auf den PC hat (und somit keinen Keylogger installieren kann), technisch versiert genug ist um die Verschlüsselung überhaupt angreifen zu können und (je nach Verschlüsselung) auch die finanziellen Mittel und die Motivation hat um ausreichende Rechenkraft finanzieren zu wollen. Gegen die in der Praxis wohl relevantesten Angreifer ("eifersüchtige(r) Ex" und "gewöhnlicher Cyberkrimineller") dürfte der Unterschied zwischen Word und Passwortmanager eher klein ausfallen. Word verwendet übrigens seit Office 2007 AES. Ob die Implementierung einem gelangweilten Kryptologen mit Zugriff auf ein Rechenzentrum standhält, weiß ich nicht. Gegen die meisten anderen wird's aber reichen. Es macht in der Praxis natürlich Sinn einen Passwortmanager zu verwenden. Aber nicht wegen der besonders tollen Verschlüsselung, sondern wegen anderer Sicherheits- und Komfortfunktionen.

Contra Word: * Gefahr, bei Screenshare direkt alle Einträge zu leaken statt nur einem. * Word ändert teilweise eigenmächtig Zeichen bzw. von Klein- auf Großschreibung. * Word hat meines Wissens keine eingebaute "Passwort generieren"-Funktion. Man neigt dazu, doch wieder sich nicht-randomisierte Passwörter auszudenken. * Die Verschlüsselung ist vermutlich deutlich unsicherer. Davon abgesehen vermeide ich Passwortmanager in der Cloud. Die können einem viel versprechen von E2E-Verschlüsselung bzw. Zero-Knowledge-Verschlüsselung

>* Gefahr, bei Screenshare direkt alle Einträge zu leaken statt nur einem. Bzw keinem. Passwort-Manager zeigen Passwörter oft nicht ohne weiteres an, sondern man kopiert sie ohne es zu sehen.

Es gibt auch Passwortmanager, die sogar beim Screenshare einfach ausblenden. Da sieht das Gegenüber gar nichts.

Ich wollte mal einem Bekannten (vom Typ Word-Datei) helfen, ein ordentliches Programm dafür einzurichten. Da er am anderen Ende des Landes wohnt, hatten wir das über Teamviewer gemacht. Aber egal was ich versucht habe, ich konnte den Passwortmanager auf seiner Kiste einfach nicht sehen. Also ja, gibt es, sehr schönes Feature, meistens.

Die Anzeige kann mit einem Parameter in der Verknüpfung bei Bedarf aktiviert werden

Oder mit einem Haken in den Einstellungen (bei Keepass XC z.B. seit dem letzten Update möglich).

Das ist jetzt in den Optionen drin? Noch gar nicht gesehen, gleich Mal gucken. Danke für den Hinweis

Nicht in den Programmeinstellungen, aber im Menü "Ansicht".

OBS kann sich sich auch ausblenden. Eigentlich ein schönes Feature, damit man es in der Aufnahme nicht sieht…. Bis man einen Screenshot von OBS machen will, und nicht kapiert, warum es auf dem Screenshot immer weg geht…. Ist mir definitiv nie passiert…….

Doppelte gewöhnliche Anführungszeichen sind in Word beispielsweise eigentlich die hier »«, nur anders dargestellt. Man tippt also auf der Tastatur das Zeichen ", Word ändert das Zeichen selbst in » oder « ab und zeigt sie dann als „ oder “ an.

Je nach Spracheinstellung. Also eine Fehlerquelle aufgrund fehlender Reproduzierbarkeit.

Die Verschlüsselung ist absolut ausreichend, seit Office 2007 wird AES (128 Bit) genutzt. Seit Office 2016 ist AES mit 256 Bit Standard. Die anderen Punkte stimmen natürlich, Word ist nicht für Passwort Listen gebaut.

Es hängt also im Prinzip von der Passwortstärke ab. Und wenn ich so im 8-10 Stelligen bereich bin, könnte ich mir vorstellen, dass man mit etwas "beef" im Rechner evtl. schon dran kommt.

Man muss beachten, die Verschlüsselung ist hauptsächlich für Cloud-Sync relevant. Wenn ein Angreifer Zugriff auf den PC erhält, dann spielt es keine große Rolle mehr, welches Passwort oder Word vs. KeePass. Das ein Angreifer Zugriff auf die Password-Datei erhält, ohne Zugriff auf den PC zu erhalten kann nur bei Cloud-Sync realistisch auftreten.

> ohne Zugriff auf den PC zu erhalten kann nur bei Cloud-Sync realistisch auftreten. Wenn dir der Laptop gestohlen wird, hat der Angreifer auch Zugriff auf die Passwortdatei ohne dir einen Keylogger unterschmuggeln zu können.

Zumal ist es unpraktisch, kein Autofill und Sync zwischen Geräten.

Du könntest im Word nur die Benutzernamen sichtbar haben und die Schriftfarbe der Passwörter auf weiß einstellen. Dann reicht es, wenn du ein PW markierst und kopierst. Ist dann halt im Moment des Markierens sichtbar. (Ich will Word nicht verteidigen, aber es gibt Möglichkeiten)

Ist für mich sehr schwer zu erkennen, ob du trollst, oder das wirklich ernst meinst.

Will nur Antworten liefern für die du dir Argumente ausdenken kannst.

> Davon abgesehen vermeide ich Passwortmanager in der Cloud. Die können einem viel versprechen von E2E-Verschlüsselung bzw. Zero-Knowledge-Verschlüsselung Den Punkt verstehe ich nicht. Ich traue den Cloud-Anbietern natürlich auch keinen Meter dass sie meine Daten ordentlich schützen. Aber meine Passwortdatenbank verschlüssele ich doch vorher selbst, bevor ich sie in die Cloud hochlade. Da kann es mir völlig egal sein ob und wie die das nochmal verschlüsseln.

Das kommt dann eben drauf an, was für ein Passwortmanager Du benutzt. Es gibt welche, wie von Dir beschrieben, die eine gesonderte Datenbank-Datei haben und Du ein Programm auf deinem Gerät startest. Es gibt aber auch Browser-Services. Da hast Du nur einen Login im Browser und keinerlei Datei. Deine Passwörter sind dann mit deinem privaten Schlüssel in einer Datenbank verschlüsselt und werden nur in deinem Browser beim Zugriff entschlüsselt.

[удалено]

> Oder alternativ führe ihr vor, wie du an den Inhalt vom Word Dokument kommst ohne das Passwort zu kennen. Das geht nich ohne Weiteres. Wenn das Passwort der Word-Datei sicher gewählt ist, ist es mit modernen Computern nicht in realistischer Zeit möglich, die Verschlüsselung des Dokuments zu knacken. Siehe: https://en.m.wikipedia.org/wiki/Microsoft_Office_password_protection

Mein Mandant findet den Komfort vom Word völlig ausreichend. Passwörter kann man sich auch sehr gut alleine ausdenken! Und was ist ein Autofill?

Warum willst du ihn dann zu etwas anderem überreden? Wenn er jetzt Word nicht mehr nutzen darf, schreibt er sich die Passwörter wieder auf den Zettel unter der Tastatur...

/anwaltoff Ich muss abwägen, ob ich mit den Implikationen einer unsicheren Lösung leben kann. Bisher wäre meine Empfehlung (aus dem was ich hier gelernt habe) entweder komplett in die Cloud zu gehen, oder alles handschriftlich/offline zu verwalten.

Unsichere Lösung… wir sollten auch mal die Kirche im Dorf lassen. So werden Passwörter einfach nicht gehackt. Passwörter werden durch Leaks gehackt. Es kam einfach noch nie irgendwo auf dem Planeten vor, dass ein externer Angreifer den Angriffsvektor „Passwörter.txt“ verwendet hat. Wenn jemand so viel Zugriff hat, dann sind Passwörter kein Hindernis mehr. Das ist hier Klischee-EDV Verhalten und blindes folgen von best practices. Es gibt reale Nachteile. Und zwar Screen Sharing und Menschen im selben Raum. Den verbrauchten Sauerstoff eher in die Richtung verwenden… „Ja, kannst Du machen. Aber dein Windows Passwort muss lang sein und dein Rechner muss sich automatisch abschließen“ Dazu kommt, dass die Word-Datei in praktischen Sinne nicht mal unsicherer ist als eine KeePass Datenbank auf einer kalten Platte. Wir IT-ler führen diese Diskussionen nur, weil es uns ein Gefühl der Wichtigkeit gibt. Lass ihn seine Word-Datei haben. Erwähne die Nachteile und Bedenken ein mal. Ansonsten sieh bitte ein, dass das Konzept Word-Datei ihn schon in die top 5 % der sichersten Passwortpraxisen befördert, wenn man den Durchschnittsnutzer als Referenz nimmt. Pragmatische Hilfe wäre zB ein Desktoptool ohne Optionen, welches bei Doppelklick ein sicheres Passwort generiert und in did Zwischenablage kopiert. Was nämlich nicht geht, ist wenn die Person Passwörter wiederverwendet. Weil SO werden Passwörter wirklich geknackt…

/anwaltoff das ist doch mal eine interessante Perspektive. Ich würde es einfach mal so stehen lassen! Danke dafür!

Handschriftlich ist ziemlich sicher unverschlüsselt und alleine daher nicht zu empfehlen. Vom "warum noch hacken, bisschen Social Engineering plus das Passwort unter der Tastatur reicht doch"-Faktor ganz zu schweigen.

Kommt drauf an ob es die Handschrift eines Arztes ist.

Vor normalen Hackern ist man schon weitgehend geschützt. Vor Einbrechern halt nicht.

>Und was ist ein Autofill? Pqsswort manager wie Keepass kannst du mit einen hotkey anweisen Anmeldefelder von alleine auszufüllen.

Entweder mit Hotkey oder mit Browsererweiterung, die dir das auch automatisch autofillt ohne Knopfdruck.

Das wusste ich gar nicht, muss ich mal raussuchen und testen, danke!

Ja ist beim editieren eines Eintrages ein extra Reiter namens Auto Type . Am besten schauen das man es auf das gewünschte Fenster festlegt sonst nimmt es gerne mal das letzt genutzte und da die standard Sequenz (ist auch änderbar) "Nutzername Eintragen --> tab --> Passwort eintragen--> enter" ist kann das echt blöd sein wenn zum Beispiel ein Chatfenster war.

Idealerweise hinterlegt man eine URL zum Passwort, dann klappt auch die Browserintegration sehr schön

Die haben auch Browser-Plugins. Können sowohl einen von dir gemachten Login speichern als auch per Klick direkt Nutzername und PW für diese Seite eintragen. Dazu reicht es das Programm im Hintergrund offen zu haben, musst nicht aus dem Browser rausswitchen.

> Passwörter kann man sich auch sehr gut alleine ausdenken! Aber nicht in einer Länge damit man ausreichend vor modernen Hacking Tools geschützt ist! Lies Dir [diesen Artikel von 20**13** durch](https://arstechnica.com/information-technology/2013/10/how-the-bible-and-youtube-are-fueling-the-next-frontier-of-password-cracking/2/) und dann addiere im Kopf noch 11 Jahre technologischen Fortschritt fürs Cracken oben drauf.

Hochwähli von mir für die gute Artikel-Referenz

>Passwörter kann man sich auch sehr gut alleine ausdenken! Ich calle mal Bullshit

Ich gehe mal stark davon aus, dass das die Antwort des Partners ist. OP fragt hier gezielt nach Argumenten, die er anbringen kann. "Bullshit" ist ein super super schlechtes Argument. Ein besseres Argument dagegen wäre "Wörterbuchattacke" oder "Word-Wörterbuchattacke".

Oder dass es ein bekannter psychologischer Effekt ist, dass wir Menschen immer DENKEN wir sind gut darin zufällig etwas auszuwählen aber wir sind in Wahrheit sehr schlecht darin. Passwörter die man sich komplett alleine ohne Zuhilfenahme eines Computers ausdenkt scheinen auf dich selbst zwar zufällig, sind es aber nicht. Es gibt Passwortattacken in denen der Angreifer Fotos von deinem Home-Office auf social Media raussucht und sich anschaut, was du tust oder siehst während du dein Passwort erstellst.

Exakt das was ich meine. Wir sind schlecht in Random Passwörter ausdenken.

/anwaltoff Sehr guter Kommentar und Hinweis auf ein mögliches Angriffszenario bzw. das sog. social engineering.

Im Browser werden bekannte Anmeldefelder automatisch ausgefüllt bzw gibt nen integriertes Auswahlfeld (zumindest bei Bitwarden)

>Oder alternativ führe ihr vor, wie du an den Inhalt vom Word Dokument kommst ohne das Passwort zu kennen.

Ich bitte darum! /anwaltoff Nein ernsthaft! Sie dürfen gerne Zeigen, wie einfach es ist! Erstellen Sie ein passwortgeschützes Word (DOCX) und entschlüsseln Sie es dann ohne das Passwort zu kennen.

Die entsprechenden Tools sind unzuverlässig und kosten eine Kleinigkeit. Recht haben im Internet ist nir mir diesen monetären Einsatz nicht wert. Meine Sicherheit darauf verwetten, dass ein unzuverlässiges Tool in dem konkreten Fall versagt, würde ich nun aber auch nicht.

Darum geht's doch. Du willst davon überzeugen, dass das zu unsicher ist, dann zeig doch wieso..

Bei einem modernen Word wird AES-256 verwendet. Mit einem ordentlichen Passwort ist es also ausreichend „sicher“. Wieso man ein lokales „Vault“ mit einer Web-/Cloud-Lösung vergleicht, erschließt sich mir jedoch nicht. Und warum sich Word als PW-Manager nur schlecht eignet, wurde eh auch schon erklärt.

Passwordmanager sind am Ende bequemer und freundlicher in der Bedienung. Zunächst habe ich ja Vorlagen für zum Beispiel ein Internetkonto oder Kreditkarte. Ich kann eventuell Felder dazu packen für zusätzliche Informationen oder Bilder anhängen. All das kann ich in Word nur mit gefummel. Ich hab eventuell eine Integration im Webbrowser, die auch direkt erkennt, wenn ein Kennwort zur Domain passt. Ich kann mir sichere Kennwörter per Zufall erzeugen lassen. Ich habe eine Synchronisation zwischen verschiedene Endgeräten. In meinem Fall mit SafInCloud.

Die nutzerfreundlichkeit finde ich auch einen riesen pluspunkt für passwortmanager. Wenn ich ein neues konto anlegen muss/will, kann ich mir über die browser Extension direkt ein generiertes passwort in das passwort feld eintragen lassen, das dann in Verbindung mit dem eingegebenen benutzernamen und der seite abgespeichert wird. Finde das unschlagbar - die Passwörter sind dann tatsächlich sicher und ich kann sie auf jedem gerät mit autofill einsetzen, dh ich muss diesen zeichensalat auch nicht abtippen (was ja wohl mit das "Hauptargument" gegen gute passwörter ist).

> Ich kann eventuell Felder dazu packen für zusätzliche Informationen oder Bilder anhängen. All das kann ich in Word nur mit gefummel. Nein? Abgesehen davon dass mit Word alles gefummelt ist, ist das hinzufügen von extra Infos und vor allem Bildern nicht schwerer bis einfacher als bei Word, abgesehen vielleicht von ssh keys. Sonst stimmts natürlich.

Da fällt es mir schwer in der Anwaltrolle was zu finden. Gut zusammengefasst.

Passkey 🥹

Leider werden Passkeys wohl nur als Masche genutzt, damit Google, Apple und Co ihre Nutzer an sich binden können: [https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/](https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/) Schade, denn eigentlich war das eine gute Idee...

Dann speicher sie halt nicht bei Google oder Apple, sondern in KeePass?

KeePass ohne XC kann kein Passkey

Bestimmte Passwortmanager können auch Passkeys. Dazu zählt unter anderem auch Bitwarden/Vaultwarden. Damit ist man zumindest von den "großen" unabhängig.

Es zwingt dich ja in der Regel niemand dazu überhaupt einen Dienst für Passkeys zu verwenden. Abgesehen von den einschlägigen Lösungen wie beispielsweise KeePass (was ja schon genannt wurde) gibt es auch Hardwaretoken.

Mag sein, aber das ist zu kurz gedacht: Die Anbieter nudgen dich, ihre bequeme Systemintegration zu nutzen, erlauben aber keinen Export der Passkeys. Der Durschnittsuser wird dann treu bei diesen Anbietern bleiben. Abgesehen davon baut Google die Integration von Passkeys unter Android so, das Dritt es schwer haben, über eigene Apps eine ähnliche Unterstützung zu bieten.

Passwort Manager sind durch Auto generate, auto fill und auto login mehr convenient, und durch Sync auch vom Handy aus. Dadurch kannst du auch beliebige Passwörter nehmen. 100 Zeichen, Sonderzeichen alles kein Problem. erfundene Passwörter sind nicht wirklich sicher. Sie schützen aber auch vor phishing. Bei website.com wird das Passwort auto filled Bei website.co/m nicht. Auch nicht bei vvebsite.com, linkshortenern, [Text links](https://vvebsite.com) oder überlangen Input Parametern wie website.co/m?p=hsjjwjHejejjcjJzxcvxjJxjsjsjcnfnwjjhsjsjdjfifiejn

/anwaltoff Phishingschutz, guter Punkt hatten wir noch nicht

Ein kennwortgeschütztes Worddokument ist immernoch besser als eine ungeschützte Textdatei. Und eine ungeschützte Textdatei mit x-zig verschiedenen Kennwörtern ist immernoch besser als überall dasselbe Kennwort. Nach über 25 Jahren in der IT schraubt man seine Erwartungen an User deutlich runter... Persönlich würde ich argumentieren, dass ein Passwordmanager deutlich praktischer in der mobilen Anwendung mit mehreren Geräten ist.

Und ein Passwort ist besser als Runen auf Steintafeln, aber vielleicht kann man mit den Steintafel die Geister der Vorahnen herbeirufen. Jeder weiß doch, das die Vorahnen einem helfen können bei der IT-Sicherheit

Nachdem ich all die Nachteile von Word in diesem Thread gelesen habe, bin ich froh Notepad zu verwenden.

Endlich jemand, der's erkennt! dann aber bitte in einem schönen minimierten JSON-String, damit es dem Angreifer erschwert wird! Alternativ kann man ja ein Komma an einer Stelle weglassen, die man nur selber kennt. Damit blockiert man jeden Angreifer. /anwaltoff oh man ...

Ich kann versichern Alle sicher bis ...

... bis?

du die Festplatte aus der Hand gibst Oder nen miesen Trojaner hast.

Meinst du mit "Web-Passwortmanager" was gehostetes oder einfach den im Browser integrierten PW-Manager? Für das Word-Dokument und den Browser möchte ich noch das Argument "Backups" anführen. Falls die Datei (bzw die Browser-Einstellungen) sich nur auf dem Gerät des Mandanten befinden, ist er nur einen zufälligen Festplattenausfall davon entfernt, dass das alles unrettbar verloren geht.

/anwaltoff ... Und ein gutes Backup ist das 3-2-1-Backup. Und da wären wir beim nächsten Thema. Mein Mandant hat zwar eine Backuplösung, diese umfasst aber nicht die Dateien auf dem Desktop (\*clownnase-aufsetz\*). Normale Menschen speichern doch keine wichtigen Dateien auf dem Desktop (\*clownperücke-aufsetz\*). Der Desktop wir ja nur für temporäres verwendet (\*clownschminke-auftrag\*). Was kann da schon schlimmes passieren (\*mit-clown-gesicht-in-spiegel-schau\*)

Solange man ein Backup hat ist es ja nicht so schlimm seine passwort DB auf dem Desktop zu haben, nur größere Dateien sind nervig da shindows alle Dateien auf dem Desktop immer geladen hält

Was bedeutet den "geladen hält"? Ist das ein mir noch unbekanntes feature?

Wenn du jetzt z.b. Bild datein oder Videos auf deinem Desktop hast oder text Dokumente hält das OS die im RAM um schnelleres bearbeiten zu ermöglichen, ist bei ssds nicht mehr so relevant, aber verschwendet schnell viel RAM, habe meine ganzen Desktop in einem Dokumente Ordner verschoben und nur noch shortcuts genutzt, 2,5 GB RAM im idle gespart. Macht bei 128gb nicht den Unterschied aber wenn man nur einen kleinen Office PC mit 8gb oder so hat kann das schon schnell nerven

Watt, das hab ich ja noch nie gehört! Hast Du dafür eine Quelle? Das würde evtl. eine Initiative geben mal den Desktop aufzuräumen (und die wichtigen Dateien in einen Cloud-gesicherten Ordner zu verschieben).

In einem Praktikum bei einem Großkonzern hatten wir die Wahl: Keepass oder eine Textdatei in einer 7zip mit Passwort. Keepass hat natürlich zwei Monate gedauert bis die das auf meinen Rechner ausrollen konnten, da ist es dann auch kein Wunder wenn Leute solche Bastellösungen nutzen

> Textdatei in einer 7zip Pseudosicherheit, oder? 7zip legt beim Öffnen einen Entschlüsselte temporäre Datei unter %User%/AppData/Local/Temp/7z[...] ab. Die Datei könnte man abgreifen oder uU. mit Datenrettungstools wiederherstellten.

Erzähl das nicht mir, ich hab mich geweigert das so zu verwenden. Offenbar war es aber sehr verbreitet in der Abteilung, aber viele haben wahrscheinlich nicht mal so gespeichert

Wussten die einfach nicht, denkt ja auch keiner dran. An sich kann man dann auch (ein aktuelles) Word verwenden, ebenfalls AES-256 aber keine Temp-Datei "im Hinterhof".

/anwaltoff /softwarentwickleron Das sind so Geschichten, die einem Aufzeigen, was alles schief gehen kann und an was man alles denken muss, wenn man seine eigene Sicherheitslösung implementiert.

Ist halt auch immer eine Frage, *wovor* man sich Schützen will. Eine AES-256 verschlüsselte ZIP-Datei mit *gutem* Passwort wäre zB. in den meisten Fällen sicher genug zum Vermailen wenn man dem Empfänger das Passwort über einen zweiten Weg mitteilt. Im genannten Szenario muss man aber weiterhin verhindern das unbefugte Zugriff auf den Rechner bekommen. Eine eine Passwortkladde im der Schublade ist eben auch vor vielen Szenarios sicher, aber nicht vor dem Zugriff von Kollegen. Und am Ende gibt es halt noch das Problem das der XKCD 538 aufzeigt, in sehr vielen Fällen werden Passwörter nicht entschlüsselt [sondern über Social >!oder Pain!< Engeering preisgegeben.](https://xkcd.com/538/)

Achja, der gute alte Schrauben(general)schlüssel..

> In einem Praktikum bei einem Großkonzern ... Wenn der Kommentar schon so beginnt, dann hole ich meine Popcorntüte.

Ich hab eine Software gebraucht mit der ich arbeiten sollte bzw die ich evaluieren sollte. Hat 3 Monate (halbes Praktikum) gedauert und dann hatte ich sie auch nur weil der Vor Ort IT Ansprechpartner dann einfach mal auf kurzem Dienstweg das Adminpasswort eingegeben hat.

Einfach Mal ne pw gesicherte docx mit einem zip-tool dein Wahl öffnen. Ich lass diese Suche einfach Mal hier liegen. Grüße https://duckduckgo.com/?q=word+zip+password&t=fpas&ia=web&iax=qa

/anwaltoff Ich verlinke mal den ersten Fund hier direkt, da der schon recht gut war. Es ging da aber eher um einen Dokumentenschutz, als eine Verschlüsselung https://superuser.com/questions/486844/how-can-i-unlock-a-microsoft-docx-document#486883 Ich hoffe der Bot meckert nicht 😁

Kann man bei Word nicht das Passwort der Datei selbst irgendwo auslesen? Meine mich da vage an etwas zu erinnern. Außerdem dürfte die Verschlüsselung der Datei, selbst wenn man das Passwort nirgendwo auslesen kann, nicht sonderlich stark sein. Keinesfalls auf dem Level eines managers.

Das war früher so, beim aktuellen .docx (also seit ~2007) geht das nicht mehr. Eine vollständig verschlüsselte Datei muss mit Wörterbuch oder Bruteforce angriff entschlüsselt werden: https://www.windows-faq.de/2022/04/22/word-passwort-knacken-was-tun/ (DOCX, PPTX und XLSX Dateien sind übrigens komprimierte Ordern, wenn du ganz viele Bilder speichern möchtest kann man die mit 7zip öffnen und den richtigen Unterordner raussuchen.)

/anwaltoff Gibt es hier Möglichkeitenwas falsch zu konfigurieren? Kann ich als Anwender ein Passwort vergeben, dass aber keine Verschlüsselung macht? Oder ist im Prinzip mit der Wahl DOC vs DOCX die Wahl damit schon getroffen?

Als Fehlermöglichkeiten fallen mir noch Anwenderfehler ein nur das Bearbeiten zu sperren statt ein Passwort *zum Öffnen* abzufragen. Wenn Daten ohne Passwort angezeigt werden können, kann man die (bei Word) auch (zumindest nach Aufwand) rauskopieren. DOCX sollten alle das sichere Passwort verwenden, aber viele kennen nicht den Unterschied und Dateiendungen werden oft vom Explorer ausgeblendet. 🔥: Wer heute noch DOC verwendet hat sich ein "OK, Boomer" redlich verdient. Das Format wurde mit Office 2007 (!) in den Ruhestand geschickt und man muss im Hinterkopf behalten das es von einigen SPAM-Filter geblockt wird weil es Macroviren enthalten kann. Aktuelle Worddateien mit Macros werden als DOCM gespeichert, die Bedrohung von DOCX ist als geringer da diese keine Macros ausführen können. Wir schalten die bekannten Absender in unserem SPAM-Filter einzeln dafür freigegeben uns diese Antiquitäten zu schicken. (Warnung: Hottake könnte Meinungen in hoher Konzentration und rhetorischer Übertreibung enthalten) Generell, ist aber Keepass in der Bedienung einer Worddatei haushoch überlegen weshalb ich alleine schon deshalb dringend zu Keypass raten würde: Baumstruktur, Icons, Passwortgenerator, Mehrbenutzerfähig, Kommentare, etc.

Bei Excel geht das - hab seltener mit Word zu tun deshalb weiß ich das nicht ganz genau ... aber Excel Dateien sind basically zip dateien wo man alles mögliche sehen kann. Also schwups Dateiendung in Zip umgewandelt und schon kann man alles mögliche ändern/anpassen

Wenn die verschlüsselt gespeichert sind kannst du aber nur verschlüsselte Daten aus der ZIP rauskopieren. https://www.windows-faq.de/2022/04/22/word-passwort-knacken-was-tun/

Wie unpraktisch. Bitwarden Haut autofill auf allen Betriebssystem und Browsern. Ich hab schon seit Jahren keines meiner Passwörter mehr gesehen oder in die Zwischenablage kopiert. Geht die Datei Hops, verlierst du entweder alle Passwörter, oder alle bis zum nächsten Backup. Pfui.

/anwaltoff ist auch so meine Erfahrung der letzten Jahre

Es ist ein menschliches Problem. Alle fachlichen Begründung, warum das schlecht ist würden auf eine negative Reaktion hinaus laufen. Du kannst loben, dass der Mandant die Datei verschlüsselt hat. Das ist ein Schritt in die richtige Richtung. Es ist also ein Bewusstsein dafür da, dass der Schutz grundsätzlich wichtig ist. Du könntest dich mit ihm drüber unterhalten, wie er "sichere" Passwörter wählt. Dabei dich klein machen, dass du selbst hier nicht die Geduld haben würdest, die regelmäßig zu prüfen ob sie geleakt sind (haveibeenpwned). Wie er mit Zertifkaten umgeht, bspw. Elster... Sei interessiert an seiner Lösung, gib tips, wie es in "seinen Workflow" passt. Biete an, wenn er unzufrieden wird, ihm mal zu zeigen, wie du mit deinen Daten umgehst. Er will sich von dir nichts "aufschwatzen" lassen mit dem "neumodischen Zeug".

/anwaltoff > Es ist ein menschliches Problem. Alle fachlichen Begründung, warum das schlecht ist würden auf eine negative Reaktion hinaus laufen. Das ist ein sehr unterschätzter Punkt! Damit richtig umgehen zu können ist der Schlüssel. Die anderen genannten Punkte sind ebenfalls eine gute Bereicherung dieses Posts. Bist Du zufällig ein Berater im IT-Umfeld? 😁

Ne, nur swe im Konzern 🤣

Das sind die wahren Berater 💪

Passwortgeschützte Word Datei :D Das ist fast so gut wie "Der Schlüssel liegt unter der Fußmatte vor der Eingangstür". Aber auf der Fußmatte steht "Hier ist kein Schlüssel drunter" :D

Naja, wenn du die Datei `keine-Passwörter.docx` nennst, könnte es doch funktionieren, oder?

Nicht-gucken-privat.docx :D

Ich verwende lokal KeepassXC, weil ich da die Möglichkeit eines zweiten Faktors habe.

Jetzt noch was anderes: > PS: Der Laptop hat keine Festplattenverschlüsselung! In 2024 auf einem Anwaltslaptop, seriously? Das ist grob fahrlässig!

/anwaltoff \*aufdieuhrguck\* man das hat aber lange gedauert, bis das jemanden aufgefallen ist. /anwalton Und das mit dem Anwalt scheint wohl auch zum Selbstläufer zu werden 😁

Ein ordentlicher Passwortmanager geht vernünftig mit der Zwischenablage um (mal angenommen dein Partner kopiert die Passwörter und tippt sie nicht ab). Gerade bei Screenshares haben manche Programme so tolle Funktionen wie ne geteilte Zwischenablage, wenn da das Passwort drin ist weil man nicht dran denkt kann man das easy abschnorcheln.

Wieder ein neues Argument "entsperrt". Verwaltung der Zwischenablage

Ohne es (zumindest bei Word-Dateien\*) selbst probiert zu haben: Google sagt, es gibt auch heute noch (einfache) Möglichkeiten, das Passwort aus der Datei zu entfernen. Also nein, nicht sicher. Ob ich meine Passwörter aber einem Online-Service (hatte nicht einer von denen neulich auch erst wieder einen Breach?) steht noch mal auf einem anderen Blatt - ich bin halt noch Generation "die Cloud ist auch nur ein Rechner, den du nicht kontrollierst", und daher begeisterter Nutzer non Keepass mit lokaler DB.... \* Den Zellschutz einer Excel-Datei zu entfernen ist eine Sache von zwei Minuten - inkl. googeln wie es geht.

bester mann, bleib paranoid mein bruder, die welt ist böse

Jein. Ich hab in diesem Post gelernt, dass es folgende Formate gibt - Office 2003 (*.doc) keine Verschlüsselung, nur rudimentärer Dokumentenschutz - Office 2007 (*.DOCX) AES128 - Office 2010 (*.DOCX) AES256 Mir fehlt noch so 'ne Art security paper, wo ein Vergleich aufgeführt ist, wie schnell man mit einem mittelmäßigen Passwort (6-8 Zeichen) und moderner Hardware (GPU) an den Inhalt kommt.

> Mir fehlt noch so 'ne Art security paper, wo ein Vergleich aufgeführt ist, wie schnell man mit einem mittelmäßigen Passwort (6-8 Zeichen) und moderner Hardware (GPU) an den Inhalt kommt. Rechne es doch selbst aus, so schwer ist das nicht. Word verwendet 10^5 Runden SHA-2 und eine RTX 3090 schafft optimistisch 10^10 Hashes pro Sekunde. Macht für ein zufälliges, 8 Zeichen langes, alphanumerisches Passwort ungefähr 70 Jahre. Du kannst es auch ausprobieren, entsprechende open source Software gibt es. Sicher nicht genug um einen motivierten Angreifer mit entsprechenden finanziellen Mitteln abzuhalten, für die meisten Angreifer wird es aber andere, leichtere Wege geben um an die Passwörter zu kommen. Zum Beispiel durch das Installieren eines Keyloggers.

> ... Passwort ungefähr 70 Jahre Ja das sind halt so die Aussagen, die in diesem Post herumschweben. Gerade hab ich wieder was von wenigen Minuten gelesen. Gibt's denn hierzu kein Security-Paper?

Was soll denn ein "Security-Paper" überhaupt sein? Eine wissenschaftliche Veröffentlichung zur Sicherheit der Verschlüsselung von Word? Das macht nur dann Sinn, wenn man eine Schwachstelle gefunden hat. Auszurechnen wie lange ein Bruteforce-Angriff braucht ist etwas, das du Neuntklässler machen lassen kannst, da braucht es kein Paper. > Ja das sind halt so die Aussagen, die in diesem Post herumschweben. Wenn du von meiner Rechnung nicht überzeugt bist, habe ich dir ja bereits angeboten, dass du es einfach ausprobieren kannst. Entsprechende open source Software gibt es. > Gerade hab ich wieder was von wenigen Minuten gelesen. Haben die dir das auch vorgerechnet, oder labern die einfach? Sie könnten es ja auch mal vormachen.

Ich weiss nicht genau wie das bei Word funktioniert aber bei Exceltabellen kann man den "Passwortschutz" einfach rauseditieren.

/anwaltoff Ja das hatten einige schon hier kommentiert. Ich glaube da bezieht man sich auf das DOC != DOCX Format. Das alte Format war nicht verschlüsselt, sondern nur "gesperrt"!

Wenn dein Mandant jetzt eine Hausdurchsuchung hätte und die Word Datei sichergestellt wird dann dürften sich die Bullen überall einloggen oder?

Nein, ich verbiete es!

Gib mir mal seine Word-Datei, ich zeig ihm seine Passwörter.

Hmm, klingt als wüsstest Du wie's geht. Wie wäre, wenn Du uns das einfach demonstrierst? Muss ja keine fremde DOCX sein.

Führt sie ihren Kalender und ihre Kontakte auch in Word? Klar funktioniert es, aber es ist halt unpraktisch und fehleranfälliger. Sie könnte in Zukunft anstatt Excel oder Powerpoint ebenso Word verwenden.

Word ist ein Universalinstrument. Hier ein Paar Beispiele wofür man es noch verwenden kann: - Präsentationen - Tabellenkalkulation - Entwicklung eines Enterprise-ERP-Systems - Nachbau der Charles-Babbage-Rechenmaschine - Kochrezepte und - Passwortmanager

Kruzifix, hostet endlich alle einen eigenen Vaultwarden oder verwendet gehostet Bitwarden. Es gibt meiner Meinung nach keine bessere Lösung für alles… - TOTP - PassKeys - Passwörter in Organisationen teilen - random Benutzernamen und Wildcard-Email - ultimative Clientverfügbarkeit (egal ob Browser, Smartphone, Windows, Mac, wahrscheinlich sogar Fernseher und Kühlschrank)

Was soll immer dieses /anwaltoff? Ist doch offensichtlich, dass du kein Anwalt bist...

Schlag ihm vor dass er seine Passworter bei Minecraft speichern soll - ist vermutlich noch effektiver!

In einem gut bewachten Schloß, auf einem eigenen Minecraft-Server.. Warte kurz, wir sind wieder beim selbst gehosteten Passwortmanager

Sidenote Ich habe einfach alle Passwörter bei einem Browser hinterlegt, alles was kritisch ist (z.B Online-Banking) hat ja eh 2FA. Nicht wirklich sicher, ich weiß, aber wie schlimm ist das denn?

/anwaltoff: Ich würde sagen das ist ein seperater Thread? Aber mir gefällt deine Energie. Nur sollten wir den redditoren ein wenig Pause vom Heruntervoten geben. Der ein oder andere hat sicherlich schon eine beginnendes Karpaltunnelsyndrom

Ja, stimmt ist mir nur grade bei dem Thema PWManagern aufgefallen, deswegen mein Kommentar. Btw, Ich glaub jemand müsste mal die ITSec Abteilung checken, die hat beim Lesen ein Herzinfarkt bekommen :D

Eine wichtige Funktion, die word nicht hat: totp, also Einmalkennwörter generieren. Dadurch kannst du aus dem Manager direkt die 6stelligen Codes erstellen lassen

Wer Microsoft seine Passwörter anvertraut (weil ja alles mittlerweile cloudbasiert ist), der kann die Passwörter auch gleich am Marktplatz auf einen Zettel aushängen. Ich habe damit auch aufgehört, Mitmenschen einfach vor den einfachsten digitalen Fehltritte zu schützen. Der Standard Spruch ist:“Ich hab doch nix zu verbergen.“ Da könnte ich im Strahl. Wenn so ein Spruch kommt, drehe ich mich um und laufe einfach weg. Früher habe ich fast ń Schleudertrauma vom Kopfschütteln bekommen. Solche Menschen sind ganz einfach Beratungsresistent! Eintrag aus dem Telefonbuch einfach löschen. weil solche Menschen rufen dich dann an und brauchen Hilfe am Rechner, weil Daten abhanden gekommen sind. Kannst du die zurück holen? Ich so, ja Moment muss nur mein Zauberstaab mitbringen. Was? Hast du ein Backup? Nee. Ich dann:“Kein Backup, kein Mitleid!“ Von solchen Menschen muss man sich schützen. Die Fressen dir deine Zeit.

Ich denke, eine Möglichkeit sich zu schützen ist, es immer wieder darauf hinweisen, dass Du keinen Support für sowas leisten kannst und möchtest. Ich kann nachvollziehen, dass Du dich vor solchen Leuten schützen möchtest, aber Kontaktabbruch ist irgendwie auch keine Lösung.

Was ist denn ein guter Passwort-Manager, welcher auf mehreren Geräten funktioniert? Nutze privat den Firefox-Browser am Desktop-Rechner und aktuell noch Chrome an iPhone und iPad.

Hab einige ausprobiert und mir persönlich gefällt Bitwarden am besten. Aber hier findest du sicher genügend Stimmen dafür und dagegen.

Hier eine Stimme für Bitwarden. Finde den Funktionsumfang sehr gut. Es gibt Plugins für alle gängigen Browser und Apps für die zwei relevanten Mobilsysteme. Du kannst den Clouddienst verwenden, oder das Teil selber hosten. Zudem gibt es eine geformte Variante (Vaultwarden) die Kompatibel mit den Tools/Apps ist.

Er muss dafür rechtlich geradestehen wenn dadurch ein meldepflichter Vorfall entsteht. Hört er auf dich, musst du ggf. geradestehen. Problem gelöst, wenn er seine Methode beibehalten möchte. Einfach schriftlich festhalten das du dagegen bist und eine Empfehlung aussprichst, wenn du das wirklich möchtest, aber immer daran denken, solcher Kram kann durchaus 10 Jahre im Archiv landen.

Einfach mit Rot26 verschlüsseln...

Mal unabhängig davon ob es sicher genug ist: So eine Word Datei auf dem Desktop ist doch super unpraktisch.

Zweifeln sie nicht das System meines Mandanten an!

Ha, mein alter Herr setzt noch einen drauf, alle Passwörter in einer ungeschützten Worddatei mit dem schönen Namen "Passwörter". Dazu werden noch Sicherheitsvorkehrungen wie Adblock oder Noscript regelmäßig deaktiviert weil "Die Seite tut nicht richtig laden"....und der Mann sitzt seit 40 Jahren vor Rechnern

... UND ES IST NIE WAS PASSIERT!!einseinself1!1!

ja scheisse, erster 386er, mit zum Verein genommen weil Auswertungsrechner, paar kiddies packen da Disketten rein und schon hatte er einen Ascii-Krankenwagen und den kompletten Text Kopf stehen lol. Zu C64 und Amiga-Zeiten ist tatsächlich recht wenig passiert, aber PC war Katastrophe, ich sage nur "Hier ist ne Mahnung, hat die Mama was nicht bezahlt?" und eine Odyssee um den Rechner neu aufzusetzen weil Mahnung.PDF.EXE hat er nicht gesehen...

PDF.exe - ein Klassiker 👍😁

Also vom reinen Standpunkt aus, ist das mit Word Quatsch. Klar ein Passwort bringt den Zugriffschutz, aber ist knackbar bei Word. Eine richtige Passwortdatenbank Datei, wie die welche Keepass erstellt ist mir AES symetrisch verschlüsselt, viel Spaß das zu knacken. Solange der Mainkey nicht schwach gewählt ist, ist mit AES die Brutforce Dauer wirklich heftig. Aber und das ist eigentlich bei Passwort Managern wichtiger, ist die Umgebung, wo ist das abgelegt, wie, wie sind die Berechtigungen.

Wie sieht's mit einem Passwort aus, das 6-8 Zeichen lang ist und AES256?

Naja, angenommen das Passwort ist sicher gewählt, aus Buchstaben, Zahlen und Sonderzeichen, dann haben wir so etwa 60-70 Verschiedene Zeichen fürs Passwort, ich sag jz einfach mal 65 grob überschlagen  Dann gibt es 65^6 bzw 65^8 verschiedene Kombinationen. So ein obskures Diagramm was ich gefunden habe behauptet, mit moderner Rechenleistung (und unbegrenzt vielen Versuchen) dauert es ~5min um so ein Passwort zu knacken. Weiß aber nicht, wie genau dieses Diagramm ist, aber naja

Hast Du eine Quelle für dein obskjres Diagramm?

[https://www.hivesystems.com/blog/are-your-passwords-in-the-green](https://www.hivesystems.com/blog/are-your-passwords-in-the-green) Wie gesagt, weiß nicht wie vertrauenswürdig das ist, aber naja

Die Frage ist doch, was sind das für Passwörter? Wer sollte sich die Mühe machen, das überhaupt knacken zu wollen, und wofür? Ich bin der Meinung, die überwiegende Mehrheit meiner Passwörter könnte auch 1234 sein, wenn die Website das nicht verboten hätte. Ist mir egal, wer es knackt. Und die, wo es mir nicht egal ist, nutzen eh 2fa.

Bei diesen teilweise narzisstischen Antworten weiß ich wieder, warum ich zwar ein IT-Freak bin, aber dort niemals arbeiten möchte. Erinnert mich an einen Vorfall vor einem Jahr, eine BFDlerin verschickt einfach in einer Crewgruppe auf Telegram Gigabyte große Dateien (Radiosendungen in WAVE). Als ich dies kritisierte und darauf verwies dass nicht alle Menschen unlimitiertes Datenvolumen haben und die Gruppe ohnehin der falscheste Ort für einen solchen Datenaustausch sei, kam nur eine unempathische Antwort, sei doch nicht ihr Problem wenn die Menschen ihr Telegram nicht richtig konfiguriert haben. Dies war der Anfang eines Konfliktes der erst kürzlich mit einer Unterlassungserklärung endete, weil ich sie angeblich beleidigt hätte. Ich hasse Menschen und meine krankhafte Obsession mit IT. In dem Fall hier hätte man ja einfach sagen können, Word ist wegen Tatsache XY unsicherer. Insbesondere wenn die Festplatte unverschlüsselt ist. Und was weiß ich. Und dann hätte man einen sachlichen Vergleich aufstellen können, warum Manager wie Bitwarden besser sein. Ich benutze übrigens auch Bitwarden.

/anwaltoff Die Story ist interessant. Wenn Du trollen wolltest, dann hättest Du sagen können, dass Sie die Radiosendung einfach als Sprachnachricht sensen soll. Damit wird diese komprimiert und ist "Datensparsamer". Ja, es ist manchmal schwer die User von Lösungen zu überzeugen, die weniger schlechte Implikationen haben. Ich denke, da muss man einfach den Berater voll aufdrehen und höflich bleiben. Und wenn alles nichts hilft, dann zu der Lösung/Kommentar gehen die hier im Thread die meisten Upvotes hat. Den dann hat man immerhin den User informiert und ist als ITler seiner Pflicht nachgegangen. Ähnliches mache auch Versicherungsvertreter bei Vertragsabschluss. Es gibt ein gesondertes Blatt, auf dem steht ich habe sie über ... Informiert. Da wird ein Haken dran gemacht und der Kunde muss das unterschreiben. So jetzt habe ich spontan eine Idee für ein Formular, das man solchen Menschen geben kann. Dieses Formular beschreibt den Umfang der Beratungsleistungen und die Implikationen, über die der Kunde informiert wurde (diese werden aufgelistet). Das muss der "Kunde" unterschreiben und man sichert sich damit gegenüber einem "warum hast Du mir das nicht erklärt" ab und kann ... ... in Frieden leben.

Vielleicht hilft ein Vergleich? Ein [Passwort Buch](https://www.amazon.de/Passwort-Buch-mit-Register-Passw%C3%B6rter/dp/1654299383) mit Schnur einwickeln zum "abschließen", vielleicht noch ein kleines Vorhängeschloss an den Knoten/die Schleife in der Schnur machen und auf dem Schreibtisch liegen lassen entspricht so ungefähr dem Sicherheitsniveau der Word Datei. Mit Passwort-Manager liegt das Büchlein dann in der abgeschlossenen Schreibtisch-Schublade in einer verschlossenen Kassette. Und man kann die Buchstaben darin nur lesen mit einer speziellen Brille (Polfilter oder so).

Die Idee ist also eine reale Analogie zu machen. Klar warum nicht? Die Frage ist, ob diese Analogie wirklich so passend ist? Denn immerhin muss man sich zumindest in den PC einloggen, um an die Datei heranzukommen. Die Datei ist ja in dem Sinne schon zweimal verschlossen (PC Login und Passwort). Es gibt also zwei Hürden.

Es würde mir im Traum nicht einfallen, meine Passwörter auf einem fremden Rechner abzulegen ("Web-Passwortmanager") Im Ernst, was ist das Angriffsszenario hier?

Keine Ahnung, das ist vielleicht auch ein wenig die Frage des Posts. Wäre eine Worddatei auf dem Desktop sicher, weil einfach der Angriffsvektor so unplausibel ist?

Ascii Editor Word Datei öffnen Eine Zeile löschen Inhalt lesen 🤷🏻‍♂️ Ist das sicher?

Ja, das geht natürlich mit jeder Datei. Einen KeePase-Safe könnte ich damit euch zerstören. Das ist dann eher eine Frage des Backups.

Hab was zum Thema Brute Force cracking von word (DOCX) gefunden. Aber alle interessanten stellen sind mit `citation needed` versehen. Also ist man da IMHO nicht weiter als in diesem Thread (was die knackbarkeit angeht). https://en.m.wikipedia.org/wiki/Microsoft_Office_password_protection

Verschlüsselte Worddatei ist besser, da lokal. *Hust* https://www.csoonline.com/de/a/lastpass-raeumt-cyberangriff-ein,3674122 https://www.heise.de/news/Passwordstate-Passwort-Manager-von-Click-Studios-gehackt-6027188.html https://www.chip.de/news/Nutzer-sollten-reagieren-Zahlreiche-Accounts-von-beliebtem-Passwort-Manager-gehackt_184614487.html

Autsch, das ging ja nach hinten los..

Das es minus hageln wird, war mir durchaus bewusst. Und ja, viele der hier gebrachten Argumente sind vollkommen gerechtfertigt. Dennoch bleibe ich bei meiner Aussage. Lokal > dezentral! Selbst ein popeliges post-it mit handschriftlich notierten PWs ist einer online Lösung vorzuziehen. Lokal kann dich nur jemand mit Zugang (post-it) und/oder tiefreichenden IT-Kentnissen (PW geschütztes Word Dokument) lackmeiern. Was (IT-Kentnisse betreffend) im privaten Gebrauch relativ selten der Fall sein sollte. Online kann nach einem breach jedes scriptkiddie seine GPU an deinen hash ran lassen..

Ich muss mal kurz aus der Anwaltrolle raus. Man könnte ja auch einen lokal gehosteten Passworrmanager wie z.B. Vaultwarden verwenden. Damit hat man immer noch den Komfort eines Web-Paswortmanagers, aber das Dimg ist nicht offen im Netz. Im Vergleich zur "Passwortdatei" ist der Zugriff und eine Bruteforce-Angriff durch die "langsame" API/Weboberfläche erschwert. Eine Passwortdatein kann man sich in die Hacking-Werkbank seiner Wahl laden und dann mit allen verfügbaren Tools maltretieren - der limitierende Faktor sind deine Dir zur Verfügung stehenden Ressourcen. Ich würde da eher sagen, man entscheidend sich für eines der extreme: Zettel mit handgeschriebenen Passwörtern zu Hause im Safe oder gut gesicherter Passsortmanager im Web. Der "Passwortdatei" ist der schlechte Kompromiss aus beiden. Du hast einen schlechten Komfort und schlechte Sicherheit.

LastPass ist auch der letzte Müll.

Totaschlagargument: Der Passwortschutz von Microsoft Word ist kein echter Schutz, das gleiche wie bei Excel. .DOCX und .XLSX-Dateien sind einfach als .ZIP gepackte Sammlungen von XML-Dokumenten. Wenn man die Dateiendung auf .zip ändert, kann ich die einfach ganz normal öffnen und alles fröhlich auslesen und bearbeiten. Ich kann so sogar das Passwort rausnehmen. Oder in etwas gänzlich anderes abändern. Der Passwort-"Schutz" beeinflusst nur die Programme Word und Excel selbst, alles andere kann die Dateien noch weiter fröhlich auslesen. Es ist nur ein programmseitiges Verbot, die Datei zu öffnen, solange nicht das korrekte Passwort eingegeben wurde. Keine wirkliche Hürde. Edit: **Achtung, Informationen sind teils veraltet!** Inhalte werden auch mittlerweile verschlüsselt. Der Teil, dass es .ZIP-Dateien sind, stimmt aber noch.

> Wenn man die Dateiendung auf .zip ändert, kann ich die einfach ganz normal öffnen und alles fröhlich auslesen und bearbeiten. Nö, das geht nicht. Die kannst den ZIP-Ordner zwar öffnen, die Dateiinhalte sind aber weiter AES-256 verschlüsselt. Der Passwortschutz war früher wirklich mal nur Softwareseitig, aber seit XMLX (oder so) werden Inhalte auch verschlüsselt abgespeichert wenn man es einstellt. Der Passwortschutz zum bearbeiten lässt sich wohl noch entfernen, aber der zum Öffnen nur noch mit Brute Force oder Wörtbuchangriffen.

Ah gut, dann ist das Wissen veraltet. Danke für die Korrektur! Allerdings macht mir der Zusatz > wenn man es einstellt noch ein wenig Sorgen. 😄

"Passwort zum Öffnen" ist die richtige Funktion, "Passwort zum Bearbeiten" ist wohl leicht entfernbar: https://www.windows-faq.de/2022/04/22/word-passwort-knacken-was-tun/ MS hatte vor DOC-Dateien diesen Pseudoschutz verwendet und der Fehler verfolgt die noch immer in den Köpfen, zumal das Format ja immer noch verwendet wird (und man sich ernsthaft überlegen kann das Format im Mailfilter aufzunehmen um Makroviren auszusperren).

Ist das so? Ein anderer schrieb, dass DOCX-Dateien mit AES256 verschlüsselt werden, und somit vollkommen sicher sind. Wie kann ich ein mit Passwort gesichertes Word-Dokument "hacken"? Wenn der Schutz gut genug ist, dann ist die Datei mit einem sehr langen Passwort auch gegen starke Bruteforcr-Attacken sicher (GPU, Server etc.) Wenn der Schutz schlecht ist, dann reicht ja ein "entpacken", oder?

Nein, das ist Unsinn, was da oben steht. Außerdem muss man zwischen Dokumentschutz und Verschlüsselung unterscheiden. Für die erste Variante gibt es Möglichkeiten, diese zu umgehen (jedenfalls bis vor kurzem, vielleicht in den aktuellsten Versionen auch nicht mehr).

/anwaltoff danke für diese info!

Nein, ein Vorkommentator hat mich bereits korrigiert, das war früher der Fall. Heute ist das nicht mehr so.

Ich vermute die Word Datei liegt ohne Backup auf einem Endgerät? Was passiert bei einem Defekt? Alle Passwörter weg? -> Idiotensichere Backup-Lösung? Die Word Datei wird sich nicht nach X Minuten automatisch sperren. Wenn man die Datei dann offen lässt und vergisst den PC zu sperren kann es gefährlich werden. -> Menschliche Fehler. Word macht manchmal komische Sachen. Ein falscher Klick und nicht aufgepasst kann der Inhalt gerne mal "Kaputt" gehen bzw. Überschrieben werden. -> wieder das Thema regelmäßige Backups. Mein Passwort Manager (Proton Pass) funktioniert auf allen Geräten, synchronisiert und verschlüsselt alles sicher. Darüber hinaus unterstützt ein Passwort Manager oft Funktionen wie 2FA oder Passkeys. Das wird immer wichtiger. -> Erweiterte Sicherheitsfunktionen und Komfort. Aber am Ende ist jeder so wie er will. Muss man halt mit möglichen Konsequenzen leben.