Ich glaube sexy_peach und nachtigall warn beide nur hier mit Admin rechten zum content moderieren auf dem Webinterface.
Was nicht gleichzusetzen ist mit einem Admin der zugriff auf den Server selbst hat.
Fail2Ban blockiert nur deine IP. Helix könnte sicherlich mit dem richtigen PW von anderer IP aus erneut versuchen. Oder wollt ihr mir jetzt sagen er hat in 2024 sich das Passwort auf einen Zettel geschrieben und ihn verlegt? Es gibt bitwarden, keepass usw. meine Passwörter sind alle katastrophal cryptisch und ich kenne kein einziges auswendig. Dennoch ist jeder erste login ein Erfolg.
ProtonPass ist schick. Aber ich musste schmunzeln als ich gesehen habe dass es erst überall heißt: “umsonst für immer” und dann ist sowas simples wie zwei-faktor ein premium Produkt.
Sorry aber wer da drinne das 2fa feature nutzt hat das konzept von 2fa nicht verstanden.
Als ob ich meine 2fa codes am selben punkt wie meine Passwörter speicher. Das macht garkein Sinn.
Die sind bei mir alle auf einen Yubikey gespeichert.
Aber ich liebe die Aliase von ProtonPass dafür zahle ich gerne Geld. Hab mich schon so oft mit Alias mails bei irgendeinen müll angemeldet weil man damit rabatte oder andere vorteile bekommen hat und hab den Alias anschließend einfach gelöscht xD
Der geneigte Graubartadmin nutzt dafür Wildcard DNS. Ich hab für jeden Account eine eigene Mail (natürlich als Alias). So kann ich im Fall der Fälle sehen, von wo die Adresse geklaut wurde.
wer da drinne das 2fa feature nutzt hat das konzept von 2fa nicht verstanden.
Das würde ich nicht so hart sehen, 2FA im PW-Manager ist immer noch um Welten besser als kein 2FA, und für viele Normalos kannst du nichts komplizierteres als das empfehlen weil sie es sonst halt gar nicht benutzen würden.
Passwörter können auf verschiedenen Wegen in die falschen Hände geraten, 2FA im Passwortmanager schützt immer noch prima gegen alle davon, außer halt wenn der Passwortmanager selbst geknackt wird. Und wenn das passiert, ist die Wahrscheinlichkeit hoch, dass der Angreifer es eh auch schon in eins meiner Geräte reingeschafft hat, und somit auch Zugriff auf eine etwaige getrennte 2FA-App hat. Um das zu verhindern, muss es dann halt wirklich schon die Yubikey-Lösung sein, was aber wiederum aktuell nichts ist, was die Non-Techies in meinem Leben realistisch tatsächlich benutzen würden.
Edit: für meine Argumentation ist es wichtig dass du nicht ohne eins meiner Geräte in den PW-Manager reinkommst, aka das Modell von 1Password. Ich glaube Proton Pass ist nicht ganz so gut abgesichert, weil deine Daten da nur mit dem normalen Account-Passwoet verschlüsselt sind, nicht nochmal mit nem extra-Key
Das wiederum ist nix für mich. Aliase erstelle ich auf meinem Mailserver, hat mich dann eine spamwelle erwischt kommt die Adresse weg und eine neue dann daher.
PS. Teste gerade ob ich auf feddit account antworten kann.
Ah, endlich noch jemand, der selbst einen Mailserver hat und die Mär von “das kann man nicht selber weil zu anfällig und kompliziert” auch nicht geglaubt hat.
Ich glaube sexy_peach und nachtigall warn beide nur hier mit Admin rechten zum content moderieren auf dem Webinterface. Was nicht gleichzusetzen ist mit einem Admin der zugriff auf den Server selbst hat.
Vielleicht kann ja einer davon was dazu sagen @sexy_peach@feddit.de @nachtigall@feddit.de
Dann raten wir einfach das Passwort. Ich schlage “summerloud” vor.
Der Server hat Fail2Ban also wird deine IP einfach wegpanniert, wenn du zu oft falsch liegst. So wie es mit Helix passiert ist.
Fail2Ban blockiert nur deine IP. Helix könnte sicherlich mit dem richtigen PW von anderer IP aus erneut versuchen. Oder wollt ihr mir jetzt sagen er hat in 2024 sich das Passwort auf einen Zettel geschrieben und ihn verlegt? Es gibt bitwarden, keepass usw. meine Passwörter sind alle katastrophal cryptisch und ich kenne kein einziges auswendig. Dennoch ist jeder erste login ein Erfolg.
ey brudi ich bin weder Helix noch ein Admin! :D Das musst du nicht mir sagen, ich bin nur eine unschuldige Nudel
Ich nutze ProtonPass
Ja schon klar, war ja auch nicht so gemeint.
ProtonPass ist schick. Aber ich musste schmunzeln als ich gesehen habe dass es erst überall heißt: “umsonst für immer” und dann ist sowas simples wie zwei-faktor ein premium Produkt.
Sorry aber wer da drinne das 2fa feature nutzt hat das konzept von 2fa nicht verstanden. Als ob ich meine 2fa codes am selben punkt wie meine Passwörter speicher. Das macht garkein Sinn. Die sind bei mir alle auf einen Yubikey gespeichert.
Aber ich liebe die Aliase von ProtonPass dafür zahle ich gerne Geld. Hab mich schon so oft mit Alias mails bei irgendeinen müll angemeldet weil man damit rabatte oder andere vorteile bekommen hat und hab den Alias anschließend einfach gelöscht xD
Der geneigte Graubartadmin nutzt dafür Wildcard DNS. Ich hab für jeden Account eine eigene Mail (natürlich als Alias). So kann ich im Fall der Fälle sehen, von wo die Adresse geklaut wurde.
Hoffe du teilst dann auch dein wissen bzgl des Verkäufers. Mir ist das oft nicht so bewusst. Erst wenn es mir zu bunt wird Wechsel ich einfach.
Das würde ich nicht so hart sehen, 2FA im PW-Manager ist immer noch um Welten besser als kein 2FA, und für viele Normalos kannst du nichts komplizierteres als das empfehlen weil sie es sonst halt gar nicht benutzen würden.
Passwörter können auf verschiedenen Wegen in die falschen Hände geraten, 2FA im Passwortmanager schützt immer noch prima gegen alle davon, außer halt wenn der Passwortmanager selbst geknackt wird. Und wenn das passiert, ist die Wahrscheinlichkeit hoch, dass der Angreifer es eh auch schon in eins meiner Geräte reingeschafft hat, und somit auch Zugriff auf eine etwaige getrennte 2FA-App hat. Um das zu verhindern, muss es dann halt wirklich schon die Yubikey-Lösung sein, was aber wiederum aktuell nichts ist, was die Non-Techies in meinem Leben realistisch tatsächlich benutzen würden.
Edit: für meine Argumentation ist es wichtig dass du nicht ohne eins meiner Geräte in den PW-Manager reinkommst, aka das Modell von 1Password. Ich glaube Proton Pass ist nicht ganz so gut abgesichert, weil deine Daten da nur mit dem normalen Account-Passwoet verschlüsselt sind, nicht nochmal mit nem extra-Key
Natürlich ist 2fa im PW Manager besser als nichts. Das habe ich ja nie bestritten. Du argumentierst gegen einen Strohmann. :)
Ich meinte dass ich das persönlich dumm finde alles an einem Ort zu haben. Besser als nichts is es alle mal. Das stimmt klar.
Das wiederum ist nix für mich. Aliase erstelle ich auf meinem Mailserver, hat mich dann eine spamwelle erwischt kommt die Adresse weg und eine neue dann daher.
PS. Teste gerade ob ich auf feddit account antworten kann.
Ah, endlich noch jemand, der selbst einen Mailserver hat und die Mär von “das kann man nicht selber weil zu anfällig und kompliziert” auch nicht geglaubt hat.
Genau so ist es