Best Practices gelten nur unter den Annahmen, für die sie gemacht sind.
Welches Tool genutzt wird, ist genau so unerheblich wie sich Gedanken darüber zu machen jenes irgendwie "sicher" zu machen wenn der kompromittierende Faktor die Basis und das System selbst ist.
Das voll auf geopolitische Leitlinie getrimmte BSI wird von irgendwelchen Pseudo Leitfiguren in Konzern, KMU o. öffentl. Dien. Umgebnungen gern als Referenzorgan der Authentizität herangezogen, womit dann IT Abtreilungen in blödsinnigen Arbeitsbeschaffungsmaßnahmen absaufen, und erstere sich damit gern ein Denkmal erreichten wollen.
Der Evergreen "Verschlüsselung richtets schon" hat mit der Praxis genau so wenig zutun, wie Fußpilz mit Herzinfarkt.
Plump ausgedrückt, für jeden Schlüssel gibt es den passenden Gegenschlüssel.
Die Frage ist nicht, wird jetzt ein symmetrisches oder asymmetrisches Verfahren oder eine sog. Ende zu Ende Verschlüsselung verwendet, sondern was ist die Basis, dass solch eine Methode (nicht)kommerziell auf dem Markt Anwendung finden darf, ohne dass Regierungsorgane etwas dagegen haben könnten.
Der Eine oder Andere wird sich wohl an den spektakulärsten Fall "PGP" Anfang der 90ern erinnern, wie lang, und mit welchen Maßnahmen der Entwickler Phil Zimmermann kaltgestellt wurde weil er den Quellcode nicht offenlegen wollte, und was daraus geworden ist.
Folglich gab es selbst bis in die Neuzeit genügend solcher Fälle die im Anfangsstadium der Entwicklung einen Besuch von offiziellen und Geheimdienstappart bekommen haben und aufgrund fehlender Kooperationsbereitschaft dann selbst in der Schweiz ganz schnell durch debanking mit Kusshand auf Leitlinie gebracht wurden.
Genau so verhält sich das mit dem Hype TOTP/2FA. Hier wird immer wieder von der "Sicherheit" schwardroniert.
Nicht nur Plattformökonomien implementieren das, sondern auch Softwarehersteller, die was auf sich halten.
Gemeinsam haben aber alle etwas die es ohne Nachzudenken nutzen. Denn womit wird das in 99,9% der Fälle vom nicht so aufgeklärten Nutzer verwendet?
Genau, einem 3rd Party Tool auf Kommerzieller Basis, oder irgend ein open soruce Derivat auf einem fat client, oder noch schlimmer ein sog. "Mobil Telefon".
Damit hat sich derjenige, würde man es darauf ankommen lassen, schon ins Knie geschossen bevor er sich überhaupt angemeldet hat.
Genau so verhält es sich mit sog. Biometrischer ID, Iris scans, finger prrints, Implantate, QR Codes ... // ... - bei Verwendung sog. "Sicherheitsmechanismen" unter dem Begriff "wir" sind 1. immer die gemeint, die die Leistungen erbringen müssen & 2. die Verwender dieses Begriffes immer diejenigen, die absahnen.
Denn hier geht es nicht ausschließlich, aber hauptsächlich um totale Kontrolle. Sei Dekaden ist der Neue Goldstandard (Biometrische)Metadaten.
Das ist tägliches Geschäft von noch so kleinen Hipster der eine Äpp entwickelt und in einen Store frei oder käuflich zur Verfügung stellt, über eurem noch so vertrauenswürdigen OS Hersteller (nicht nur kommerziell geschlossene), über Autohersteller, Versicherer, Mobiltelefon Hersteller, Banken bis hin zu staatlichen Organen (Austria ID bestes Beispiel) und ungewählte Supranationale Einrichtungen wie bspw. die EU oder WHO (um nur einige Beispiele zu nennen).
Ein Passwort Manager kann nützlich sein, nur weshalb? Und wieso sich noch darüber die Gedanken machen das Ding sozusagen weiter abzusichern, wenn doch der Kompromittierungsfaktor bei klassischer fat client Nutzung wie bspw. keepass das darunterliegende OS ist? Oder bei einer Appliance dann der Browser oder der Hersteller bei dezentraler mit seiner Cloud? Oder bei sog. "new age" Äpps das Mobil Telefon?
Besonders lustig wirds, wenn Komsumern von irgendwelchen Potalen oder Plattformökonomien wie YT und Konsorten klar gemacht wird, was alles zu unternehmen oder herunterzuladen ist, um sein Mobil Telefon "sicherer" zu machen. Dabei wird vollkommen ausgeblendet, dass das totaler Dünnpfiff ist, da der threat das Mobil Telefon selbst ist.
Genau so verhält sich das im Verhältnis Passwort Manager -> OS und seine backdoors. (Application)Firewalls sind hier genau so ineffektiv.
Man muss sich auch darüber im klaren sein, dass Passwörter die einmal generiert, und bspw. in bei Elster, bei Amazon, bei deiner Versicherung....... usw. legitimiert wurden, allerspät. nach dem ersten login auch der Logik der anderen Seite bekannt ist, worauf Du selbst in Sinne der Sicherheitskriterien und handling dessen keinen Einfluss hast.
Somit ist allerspät. ab hier selbst bei Ende zu Ende Verschlüsselung die Sicherheitsbasis nur noch "vertrauen".
Ohne es noch weiter verkomplizieren zu wollen, dazwischen ist noch der ISP, und div. backbones und grundsätzlich die Leitungen die heutzutage für das kommerzielle sog. "Internet" genutzt werden, die sehr oft, ohne wirklich geografische Notwendigkeit über den UK u.v.a. USA geroutet werden. Das sollte zu denken geben.
Wenn es darum geht unendlich viele Passwörter zu managen und man nicht in der Lage ist dieses mit Gehirnschmalz zu meistern, und würde mir das so ultra wichtig sein, käme ich nicht auf den Gedanken das in einer Cloud abzulegen. Auch nicht auf einer lokalen Instanz, einem Rechner der eine physische Verbindung zum Internet hat, vermutlich noch nicht mal ins Intranet/Lokale Netz.
Sei es noch so umständlich, vermutlich eher auf einen airgap fat client wo gar alle i/o ports totgeschaltet wären. Zwar müsste jemand erst physisch zu dir Heim kommen um dir das steheln zu können, aber dennoch bliebe es fraglich.
Es gab schon zielführende Experimente wo solche Systeme infiltriert wurden, indem durch die Frequenzresonanz der im Mikrowellenbereich operierenden CPUs je nach Lastspitze erfolgreiche Lauschangriffe voraus gingen.
Selbst wenn du dir dann die Mühe machst das Passwort von dem airgap client auf deinem mit dem Internet verbundenen fat client abzutippen, muss nur der client kompromittiert sein (was durch das Hersteller OS eh immer gegeben ist), um den ganzen Aufwand obsolete zu machen.
Du kannst es in jeder Firma sehen, eal welcher Dimension. Mal angenommen es gäbe dort eine IT Division die voll von ehrgeizigen Infrastrukturalisten gepägt wäre, und würden die sich authentisch austoben dürfen garantiere ich dir, nach spät. einem Quartal ginge kein Bit mehr rein oder raus. Sowas weit verbreitetes und leider lächerliches wie o365, Entra.ID oder ähnlicher Mist wäre genaus so nicht vorhanden, wie angeblich sicherheitskritische aber geschlossene Appliances oder ähnlich.
Da das aber nicht der Fall ist, wird den Angestellten als Arbeitsbeschaffungsmaßnahme weiter vorgegaukelt, M$ als fat client einsetzen zu müssen, in der o365 Cloud unter 2FA Legitimierung durch ein Mobil Telefon, und Cooperate Entra.ID Persmissions ganz GANZ sicher unterwegs zu sein, und das geschlossene M$ Ecosystem keine Metadaten von dir sammelt, um diese gewinnbringend auf dem Derivatemarkt zu verkaufen.
Was ich damit sagen will ist, es bringt nichts unter dem Deckmantel "Sicherheit" an Stellschrauben zu drehen wenn das Einfallstor die Basis selbst ist.
Würde es kommerzielle oder einfach frei verfügbare Methoden geben, Zustände wie diese zu implementieren, wären sie schon alleine wegen "public private partnership", was nichts anderes ist als ein beschönigender Begriff für die Verschmelzung von Staat & Großkonzernen ist - verboten.
