HTTPS / TLS und EU Radio Equipment Directive (RED)

VPN/Proxy erkannt

Es scheint, dass Sie einen VPN- oder Proxy-Dienst verwenden. Bitte beachten Sie, dass die Nutzung eines solchen Dienstes die Funktionalität dieser Webseite einschränken kann.

    • Autor
    Zitat von horkatz

    Device-Passwörter

    Hier auch ein "Cloud-Verweigerer" und "Shelly App-Verweigerer", u.a. auch aus "meine Daten gehören mir"-Gründen:
    Ich hatte zu anfangs auch gemeint ich verwende separate Passwörter für jedes Device um NOCH sicherer zu sein - hab aber dann auch schnell "aufgegeben". Ich will zwar auch das meine Geräte halbwegs "sicher" sind, aber das war dann für mich zu viel. Ich hatte aber auch noch Home Assistant als "Anfänger" in der Kette mit drinnen, k.a. ob ich das mittlerweile besser hinbekommen würde.
    Ich "baue" nun mein Vertrauen drauf dass diese IoT-Geräte ein eigenes verschlüsseltes WLAN haben und auch im internen LAN in einem eigenen VLAN sind, somit nur eine begrenzte Anzahl an Geräten zur IoT Zugang haben. Es sind aber hald auch nicht nur Shelly's da drinnen.
    In Zeiten von "Zero Trust" währe zwar eine Einzelverschlüsselung/Passwortschutz sinnvoller, aber ich bin wohl noch nicht bereit für so einen großen Aufwand. :saint:

    Verwendung wenn möglich von Off-Cloud-Geräten wie Shelly (Cover, H&T, ...), NUOS Tasmota, Velux, Nuki, Ecowitt (Weatherstation), aber auch Cloud-Geräten wie Anker Solix (BKW), Husquarna (Rasenmäherroboter) und Roborock (Staubsaugerroboter).
    Alles zentral gesteuert durch Home Assistant.

    Zitat von borsti0

    In Zeiten von "Zero Trust" währe zwar eine Einzelverschlüsselung/Passwortschutz sinnvoller

    Dabei nicht vergessen: Die Shellys sprechen aktuell nur http - da ist das mit der Passwortsicherheit eh hinfällig.

    Überwiegend PRO 3EM im Einsatz zur Haus und PV Überwachung

    Zitat von tvbshelly

    Die Shellys sprechen aktuell nur http - da ist das mit der Passwortsicherheit eh hinfällig.

    Da würde ich (ein bisschen) widersprechen. Die Grundidee der vom Shelly verwendeten Digest-Authentication ist es ja, dass das Passwort auch bei unverschlüsselten Verbindungen geheim bleibt (weil es nie im Klartext sondern nur als Teil eines Hashes übertragen wird, der für jede Abfrage neu berechnet wird).

    Ein potentieller Eindringling ins Netzwerk könnte zwar problemlos den (unverschlüsselten) Datenverkehr vom und zum Shelly mitlesen - ohne Kenntnis des Passwortes ist es ihm aber unmöglich, selbst Abfragen oder Befehle an den Shelly zu schicken.

    Ob die Absicherung gegen dieses Szenario den Aufwand für die Passworterstellung/-verwaltung rechtfertigt, ist wohl eine individuelle Entscheidung...

    Was nützt mir die Passwort-Sicherheit per Digest, wenn ich unverschlüsselten Datenverkehr mit annähernd null Aufwand abfangen und manipulieren kann?

    Ob das eine reale Gefahr in einem Heimnetz ist, steht auf einem anderen Blatt.

    Überwiegend PRO 3EM im Einsatz zur Haus und PV Überwachung

    Es nützt genau das, was ich gesagt habe. Ein Eindringling kann durch Datenanalyse wahrscheinlich problemlos herausfinden, welcher Shelly dein Garagentor steuert - aber er kann es ohne Passwort nicht öffnen. Dass es besser ist, das Netzwerk von vornherein so abzusichern dass es ger nicht erst so weit kommt, halte ich für offensichtlich.

    Wie schon gesagt, bleibt es jedem selbst überlassen, ob er das machen will (ich tu's auch nicht).

  • Dieses Thema enthält 15 weitere Beiträge, die nur für registrierte Benutzer sichtbar sind.