Danke dir für die ausführliche Antwort, man merkt, dass du dir über diese Themen seit vielen Jahren sehr ernsthafte Gedanken machst, das ist leider extrem selten.
Viele der Punkte, die du ansprichst aufwendige, öffentliche Prozesse gegen erzwungene Preisgabe, Differenzierung zwischen „Dingen, die fallen dürfen“ und solchen, die extrem geschützt bleiben müssen, sowie Vertretungs‑/Totmann‑Mechanismen bei Unfall oder Demenz habe ich in meinem System ebenfalls berücksichtigt und strukturiert eingebaut. Genau deshalb finde ich deinen Blick aus der Praxis so spannend: er bestätigt vieles von dem, was ich versuche, in ein konsistentes, allgemein nutzbares Modell zu gießen.
Ich freue mich, dass dich das Thema interessiert und du weiter mitliest, solche Perspektiven wie deine helfen mir sehr, die richtigen Stellschrauben zu schärfen
Guter Hinweis, danke dir, dass Thema „AI im Sicherheitskontext“ nehme ich auch sehr ernst.
Für mein System ist es allerdings im Kern egal, ob eine KI die Funktionsweise versteht oder nicht, die Sicherheitsarchitektur ist so aufgebaut, dass sie auch dann robust bleibt, wenn Angreifer das Modell, die Regeln und alle öffentlichen Beschreibungen vollständig kennen. Es gibt weder klassische Seeds noch statische Master Passwörter, und die kritischen Elemente sind so verteilt und verknüpft, dass selbst sehr leistungsfähige Angreifer (inkl KI Unterstützung oder zukünftiger Quanten Rechenleistung) daraus keinen praktischen Vorteil ziehen können.
Trotzdem gebe ich dir recht, was man konkret einer Online AI anvertraut, sollte man sich immer sehr genau überlegen sensible Details und echte Geheimnisse gehören da für mich grundsätzlich nicht hinein
Also ich habe die Passwortszene mit einer Bankkarte betreten. Das erste Passwort war 6366
Damals war ich überzeugt das dieses Passwort so nichts mit mir zu tun hat, es wurde überall verwendet. Selbst das Fahrardzahlenschloss. Dann etwas später habe ich es erweitert auf 636666
Irgendwann eine dieser Dokus geschaut über Passwort Sicherheit usw. einen ersten Passwortmanager mir zugelegt. Mache keine Werbung für Passwortmanager, die gibt’s ja haufenweise. Jedenfalls alles umgestellt und Bitcoin hat natürlich auch seinen Anteil bei den Sicherheitsfragen.
Würde auch meine, der Mensch ist die Schwachstelle. Ich sicherlich.
Ein letztes noch: KI ist ja schon OK aber ellenlange Texte, schön strukturiert wie eine Bedienungsanleitung des Mikrowellen Gerätes muss jetzt nicht sein.
Und das war vermutlich die Telefonnummer Deiner Eltern.
Da ist natürlich ein Passwortmanager eine echte Innovation.
Wenn ich Briefmarken online kaufe, genügt das sicherlich. Aber für den Zulieferer-Zugang bei Daimler? Oder eine Wallet die 30 Jahre Rente halten soll?
Das hier ist nicht was man für Passworte wie verwaltet, sondern Konstruktion von Prozessen für Geheimnisse und Zugang. Auf unterschiedlichsten Leveln der Wichtigkeit und Bedrohung.
Verstehe ich total, danke dir fürs Teilen deiner eigenen „Passworthistorie“ vom 6366PIN bis zur heutigen Setup Disziplin, das kennen wahrscheinlich viele von uns in ähnlichen Varianten wieder. Ich selbst bin aktuell tatsächlich noch eine One‑Man‑Show, sitze im Schnitt rund 16 Stunden am Tag an dem Projekt und habe inzwischen schon hunderte, wenn nicht tausende Seiten an Konzept und Technikdokumenten dazu geschrieben. Das Thema ist so komplex, dass ich ganz offen sage, bei der Formulierung mancher Antworten nutze ich KI als Unterstützung, nicht für Geheimnisse oder sensible Details, sondern um meine Gedanken verständlicher und strukturierter rüberzubringen. Deine Einwände dazu kann ich aber sehr gut nachvollziehen. Und ja, neben allem Sicherheits‑Nerdtum gibt es bei mir auch noch Kinder, die jeden Tag ein paar Minuten echte Aufmerksamkeit brauchen, dass erdet ganz gut. Ich versuche deshalb, die Antworten hier möglichst knapp und lesbar zu halten und nicht in „Mikrowellen‑Bedienungsanleitungen“ abzugleiten
finde ich zunächst einmal interessant, weil ich selbst mal darüber nachdachte, an einem besseren Passwort/Key-Manager zu arbeiten.
Eine Frage: wenn das alles open source sein soll, wozu dann der NDA-Vertrag?
Ja und mein altes Passwort hat natürlich meine Tochter übernommen …und nun als junge Erwachsene muss ich ihr es austreiben. Vom Papa weiss alles besser, ist zurzeit bei ihr kein Thema.
Kommt mir noch in den Sinn dass Millenials und die 80ig Jährigen eine ähnliche Passwortkultur haben. War da kürzlich ein Artikel dazu.
Das Ziel ist tatsächlich, dass das System am Ende als Open Source vorliegt und für jeden transparent nachvollziehbar ist nur eben nicht in der aktuellen Bauphase, sondern erst, wenn es offiziell am Markt ist und das Design wirklich steht. Ich habe mir das grundlegende Gerüst und die Systematik zwar patentieren lassen, aber genau das gibt mir die Freiheit, später den Code und die Funktionsweise offen zu legen, ohne dass jemand die Idee vorher „kapert“, während noch alles in Bewegung ist. Der NDA soll daher nur die jetzige Übergangsphase schützen: frühe Architektur Details, Bedrohungsmodelle und geschäftliche Aspekte. Sobald das System fertig ausgerollt ist, soll es ein offenes, überprüfbares Werkzeug sein nicht eine Blackbox, der man blind vertrauen muss
