Passwortmanager

[Malvolio]

Ich spiele seit einiger Zeit mit dem Gedanken, einen Passwortmanager zu benutzen, insbesondere um bessere und vor allen Dingen verschiedene Passwörter benutzen zu können. Bisher konnte ich mich noch nicht dazu durchringen. Immerhin vertraut man diesem Programm dann potentiell sehr kritische Informationen an. Es gibt ja diverse Programme wie KeePass, 1Password, LastPass, Dashlane und viele mehr. Einige sind kostenpflichtig, einige gratis, einige Opensource, einige proprietär. Folgende Punkte sind mir dabei wichtig:

 

(1) einfach und komfortabel zu bedienen

(2) möglichst sicher und vertrauenswürdig, auch im Hinblick auf den Anbieter

(3) Gleichzeitig verwendbar auf verschiedenen Geräten und Betriebssystemen (insb. Windows, macOS, iOS)

 

Benutzt ihr solche Programme und wie sind eure Erfahrungen?

 

Benutzt ihr weitere Sicherheitsmechanismen wie z.B. Authentifizierungsapps zur 2-Fakter-Authentifizierung?

 

PS: Ich hoffe es gibt noch keinen Faden zu diesem Thema, ich habe jedenfalls keinen gefunden.

 

[west263]

ich nutze seit Jahren schon Keepass und bin zufrieden, auf Windows 

[stagflation]

Ja, man sollte für jede Website andere Passwörter verwenden.

 

Für mich ist absolut notwendig, dass der Passwortmanager im Sourcecode verfügbar ist. Cloud-Lösungen sind für mich nicht akzeptabel.

 

Der Passwortmanager meines Vertrauen ist KeePassXC.

 

Ich kann allerdings nicht sagen, ob Du Anforderung (3) damit hinbekommst. Diese Anforderung ist für mich nicht wichtig: ich würde mich niemals mit meinem Smartphone bei einer Bank oder bei einem anderen sensiblen Dienst anmelden.

[drizzit]

Nutze selbst KeePass, genauer KeePassXC unter Windows und Keepass2Android aufm Handy. Sollte es auch für macOS/iOS in entsprechenden Varianten geben.

Mir war bei einem Passwortmanager wichtig, dass ich möglichst alles selbst in der Hand habe und mein Vertrauen nicht irgendeinen Cloud-Anbieter schenken muss.

Komfort unter Windows und im Browser empfinde ich als sehr gut, unter Android hab ich ab und an das Problem, dass Eingabefelder nicht erkannt werden (selten).

Läuft bei mir mit 2-Faktor Authentifizierung (Passwort + Schlüsseldatei).

 

vor 8 Minuten von stagflation:

Ich kann allerdings nicht sagen, ob Du Anforderung (3) damit hinbekommst. Das ist für mich nicht wichtig: ich würde mich niemals mit meinem Smartphone bei einer Bank oder bei einem anderen sensiblen Dienst anmelden.

Das geht problemlos, indem man für die Passwort-Datenbank einen zentralen Server nutzt (privat gehostet oder Cloud) und die private Schlüsseldatei zusätzlich auf dem Handy liegen hat.
edit: geht natürlich auch ohne Schlüsseldatei (keine Empfehlung)

[Holgerli]

vor 10 Minuten von Malvolio:

(1) einfach und komfortabel zu bedienen

(2) möglichst sicher und vertrauenswürdig, auch im Hinblick auf den Anbieter

(3) Gleichzeitig verwendbar auf verschiedenen Geräten und Betriebssystemen (insb. Windows, macOS, iOS)

zu (1): Nur mit Einschränkungen KeePass2 (Windows) Keyepass2Android

zu (2): KeePass2 (Windows) Keyepass2Android

zu (3): KeePass2 (Windows) Keyepass2Android man kann die DB manuell hin und herkopien und IMO auch in einen zeitralen Cloudplatz mit zentralem Zugriff ablegen

 

vor 16 Minuten von Malvolio:

Benutzt ihr solche Programme und wie sind eure Erfahrungen?

Erfahrungen: Ich möchte es nicht mehr missen.

 

vor 16 Minuten von Malvolio:

Benutzt ihr weitere Sicherheitsmechanismen wie z.B. Authentifizierungsapps zur 2-Fakter-Authentifizierung?

Zwangsläufig für die Firma. Man macht sich natürlich absolut abhängig vom Handy als zentralen App-Installations-Ort.

[Ramstein]

Ich nutze seit Jahren 1Password auf den verschiedensten Geräten. Nutzung bisher problemlos.

Zuletzt sind sie auf ein Abomodell und (verschlüsselte) Schlüsseltresore in der Cloud umgeschwenkt, was heftige Kritik im Netz gab. 

Kosten kann ich mir leisten und solange die Tresore ordentlich verschlüsselt sind, nehme ich die Cloud in Kauf.

[Malvolio]

Interessant .... vielen Dank schon mal.    Bin gespannt was noch kommt. ....  Mir geht es hier übrigens vor allen Dingen um die private Nutzung, weniger um Unternehmen.

[oktavian]

vor einer Stunde von drizzit:

und die private Schlüsseldatei zusätzlich auf dem Handy liegen hat.

kann man die private Schlüsseldatei zusätzlich mit fingerprint sichern? sollte man auf Ort der Schlüsseldatei merken gehen, dann wäre der Faktor bei kompromittierten handy schon mal verloren bzw. wenn man es jemandem entsperrt gibt? Zumindest Vollentschlüsselung per biometric = Speicherung des Masterpasswortes wäre mir zu unsicher. Andererseits kann das Masterpasswort dann bei der nicht mehr benötigten Eingabe nicht optisch ausgespäht werden.

 

Wäre auch ein yubikey mit USB+NFC ein guter zweiter Faktor? Andere Marken gehen wohl nicht mit KepassXC. Die challenge response ändert sich nur, wenn auch die Datenbank geändert wurde. Also nicht zu 100% ein zweiter Faktor. Aber man kann sich damit dann auch bei verlorenem Gerät via Datenbank in der cloud neu anmelden, ohne dass der 2.Faktor auch in der cloud liegt. Das secret kann man auf einen backup yubikey übertragen und/oder erst einmal sicher verwahren. Habe diesen Weg mal angedacht, aber noch nicht umgesetzt. Wollte lieber einen opensource key von solokeys nehmen, aber das geht nicht. Ich setze solokeys als zweiten Faktor bei unterstützten Diensten ein. Das ist in meinen Augen sicherer als SMS, Anruf oder E-MAIL. Ich überlege aber mehrere yubikeys anzuschaffen (finde man braucht immer auch backups des 2. Faktors) und diese dann mal mit KepassXC zu testen.

 

Banking Passwörter + Email habe ich trotzdem nur im Kopf.

[marti_a]

Ich könnte noch Bitwarden empfehlen. Kostenlose Variante. Open Source. Auf Tablet, Smartphone und PC läuft es problemlos und kann - für Paranoide - auch selbst gehostet werden.

[PeterS]

Hab mich für 1password entschieden und sehr zufrieden.

[Barqu]

Nutze KeepassXC auf diversen Geräten und Betriebssystemen.

10 hours ago, Malvolio said:

(1) einfach und komfortabel zu bedienen

Bei Keepass und seinen Forks heißt es oft, dass sie unübersichtlich und kompliziert seien. Dem ist jedoch nicht so. In Anbetracht der Fülle an Funktionen ist es OK und mit etwas Einarbeitungszeit ist es kein Problem.

M. E. macht es Sinn etwas Einarbeitungszeit aufzubringen für so ein wichtiges Tool, welches man ggf für Jahrzehnte nutzen wird.

[dimido]

Da es noch nicht erwähnt wurde:
Ich nutze enpass, läuft auf meinen Mac.

 

Dazu habe ich es auch auf meinem Android Handy, meinem iPad und meinem Win 11 PC installiert.
Diese Geräte syncen sich via WIFI mit dem Passwort-Vault auf meinem Mac, also nix Cloud.
Gibts auch im Abo-Modell, ich haben mir aber den One-Time Plan (Lifetime Lizenz, unlimited Geräte und unlimited Vaults, etc.) gekauft.
Da gibt es immer mal günstige Promo Aktionen, ich habe $29 bezahlt, aktuelle Promos gibt es sogar schon ab $25, google einfach mal nach "enpass promo code lifetime". Mit den zugehörigen Browser-Plugins hängt es sich komfortabel in den Browser rein.

 

Ich nutze auch Authentifizierungsapps zur 2FA.
Microsoft Authenticator für die Firma und google Authenticator für private Sachen (z.B. 2FA für meinen twitter-Account, etc.).
Wenn Du 2FA mit TOTP nutzt (time-based one time password), dann bekommst Du bei der Einrichtung auf der jeweiligen Seite ja meist mindestens einen Backup Code den Du nutzen kannst/musst wenn Du keinen Zugriff mehr auf deinen Authenticator haben solltest (Gerät defekt, geklaut, whatever).
Den kannst Du dann im Notfal nutzen um Dich einzuloggen um 2FA temporär zu deaktivieren um dann ein neues 2FA-Gerät frisch zu "verknüpfen".
Ich habe diese TOTP Backup Codes einfach mit in enpass eingetragen.

[Johnny B.]

Hallo zusammen,
Wenn ich mir aktuelle Tests ansehe (Stiftung Warentest [kostenpflichtig], Techradar, Chip), landen Dashlane, 1Password und Keeper oft auf den vorderen Rängen.

Die Stiftung Warentest wertet Keepass wegen fehlender nativer Apps ab, die technischen Funktionen werden hervorragend bewertet.

 

Ich selbst nutze Keepass seit vielen Jahren und bin damit hochzufrieden.

Auf dem PC (Windows) nutze ich einen Yubikey 5 zum Entsperren, auf dem Android-Smartphone den Fingerabdruck (geht theoretisch auch mit dem Yubikey).

Keepass kann auf Passwortdateien auf einem (verschlüsselten oder selbstgehosteten) Server zugreifen, legt aber wohl eine lokale Kopie an.

→ Ich füge neue Passwärter konsequent und bequem auf dem PC hinzu und verteile sie dann über eine verschlüsselte Cloud (Tresorit) auf andere Geräte. So habe ich auch gleichzeitig ein Backup.

Für mich ist diese Vorgehensweise ein guter Kompromiss aus Komfort und Sicherheit. Mit >>100 Konten, Passwörtern und sonstigen Zugriffsdaten ist alles andere unbrauchbar.

 

Die 2FA verwende ich für ein Dutzend kritische Konten, also bei denen am schnellsten Schäden angerichtet werden kann: Einkäufe, Zahldienste, Finanzamt, soziale Medien. Hier bin ich mit Authy (Android) sehr zufrieden, Aegis scheint eine gute Open-Source-Alternative zu sein.

 

Und für die Extra-Sicherheits-Schicht: Einen verschlüsselten USB-Stick (z. B. der Kingston Data Traveller DT2000).

Sch...teuer! Aber wenn man doch mal Daten auf einem USB-Stick transportieren muss und ihn verliert, kann man beruhigt davon ausgehen, dass diese Daten niemand lesen kann.

 

J.

[oktavian]

vor 45 Minuten von Johnny B.:

Und für die Extra-Sicherheits-Schicht: Einen verschlüsselten USB-Stick (z. B. der Kingston Data Traveller DT2000).

truecrypt wäre eine Alternative.

vor 46 Minuten von Johnny B.:

Hier bin ich mit Authy (Android) sehr zufrieden, Aegis scheint eine gute Open-Source-Alternative zu sein.

WinOTP wäre eine Alternative zum Android emulator unter windows.

vor 47 Minuten von Johnny B.:

auf dem Android-Smartphone den Fingerabdruck (geht theoretisch auch mit dem Yubikey).

ist das die gleiche Datenbank wie am PC? Das geht dann am PC mit Yubikey und am smartphone ohne yubikey? Hast du dazu am smartphone einmal mit yubikey entschlüsselt und dann das secret gespeichert und biometric unlock aktiviert oder war es komplizierter?

 

[leoluchs]

vor 47 Minuten von Johnny B.:

Und für die Extra-Sicherheits-Schicht: Einen verschlüsselten USB-Stick (z. B. der Kingston Data Traveller DT2000).

Sch...teuer! Aber wenn man doch mal Daten auf einem USB-Stick transportieren muss und ihn verliert, kann man beruhigt davon ausgehen, dass diese Daten niemand lesen kann.

Ich bin auf IOS mit KeePassXC 2.7.1 unterwegs und völlig zufrieden. In der Handhabung vielleicht etwas gewöhnungsbedürftiger als andere, aber selbst für mich als Amateur zu handeln. Danke für den Stick-Hinweis.

[Mato]

Ich bin erstaunt, wie viele tatsächlich Keepass nutzen. Ich kann mich da nur anschließen und bin seit vielen Jahren sehr zufrieden damit. Auf dem Smartphone nutze ich Keepass2Android und auf dem Linux-PC KeepassX. Vor vielen Jahren hatte ich mal SplashID auf dem Palm, was auch zuverlässig und gut funktionierte, allerdings keinen offenen Quellcode hatte. Mit Umstieg auf ein Android Smartphone habe ich mich dann für Keepass entschieden, wobei der Umstieg durch Ex- und Import auch ganz gut funktionierte. Für mich ist das eine der meist genutzten Anwendungen auf dem Handy.

[chirlu]

Am 2.9.2022 um 14:11 von Malvolio:

Benutzt ihr solche Programme?

 

Nein. Ich notiere meine Paßwörter auf Papier.

[owner]

Ich hab seit Jahren RoboForm in Verwendung, bin damit sehr zufrieden.

 

Die Software wird laufend weiterentwickelt und verbessert, verwende nur mehr die Cloud-Version die ich als Startseite eingerichtet habe, Browser-Plugin ist vorhanden. RoboForm ist für Windows, Mac, iOS und Android verfügbar und unterstützt alle wichtigen Browser, Synchronisation funktioniert perfekt.

 

Ist auch halbwegs kostengünstig im Vergleich zu manchen anderen Produkten, weiters sind Abo Modelle für 1,3 und 5 Jahre möglich. Aktuell gibt es gerade eine Rabatt Aktion wo RoboForm Everywhere (Familienplaner) um 25% reduziert ist, kommt bei 3 Jahren auf 107,40 €. Mit dem Familienplaner bekommen bis zu 5 Benutzer ihr eigenes Konto. Die Möglichkeit Freigaben unter den Benutzern einzurichten finde ich auch super.

[Johnny B.]

  

vor 17 Stunden von oktavian:

truecrypt wäre eine Alternative.

Softwareseitige Verschlüsselung ist super [bin seit der mysteriösen Einstellung von Truecrypt auf Veracrypt umgestiegen], hat aber bei mir ein anderes Anwendungsprofil. Ich nutze das für große Dateien oder ganze Partitionen.
Der Stick hat den schlagenden Vorteil, dass du den Code über die physische Tastatur des Sticks eingibst und der Stick dann von jedem Betriebssystem gelesen werden kann, dass USB-Sticks erkennt - ohne weitere Installation.

Es gibt auch Sticks ohne Tastatur, sogar BSI-zertifiziert, wie den DataLocker Sentry One. Aber dafür muss auf jedem Computer die entsprechende Software installiert sein.

 

ist das die gleiche Datenbank wie am PC? Das geht dann am PC mit Yubikey und am smartphone ohne yubikey? Hast du dazu am smartphone einmal mit yubikey entschlüsselt und dann das secret gespeichert und biometric unlock aktiviert oder war es komplizierter? 

Ehrlich gesagt bin ich da überfragt, sorry. Ich habe das gerade versucht, nachzuvollziehen. Ich vermute, ich habe da einfach eine Kopie erstellt, die nur mit einem Passwort geschützt ist. So oft ändere ich die Datenbank nicht.

 

J.

[Malvolio]

Vielen Dank schon mal für die vielen Antworten. Keepass scheint ja hier die beliebteste Variante zu sein. Was mit allerdings hier stört, dass es so viele verschiedene Apps gibt. Das finde ich persönlich eher verunsichernd. Mag sein dass dieser Einwand unbegründet ist, aber es gibt mir irgendwie ein ungutes Gefühl.

 

 

[oktavian]

@Malvolioes ist opensource. Daher kann jeder eine zu keepass .kdb und .kdbx kompatible app bauen. Wo siehst du den Nachteil, dass du bereits eine Alternative hättest wenn eine app eingestellt werden würde? Dadurch hast du auch bei der Oberfläche mehr Auswahl. Wenn ein eigenes Gerät warum auch immer nicht kompatibel wäre, könnte man es mit einer alternativen app testen (gut bei apple hat man solche Probleme generell nicht).

 

Verfügbarkeit der app in Alternativen appstores wie f-droid würde auch eine Entkoppelung von Google Diensten erleichtern, wenn man sowas vorhätte. Ich nutze z.B. ein Eink Lesegerät mit Android im Hintergrund. Der akku geht schneller leer wenn ich Google Dienste aktiviere. Da ist sideloaden von fdroid eine gute Alternative.

Ob jetzt z.B. KeePassDX oder Keepass2Android besser läuft, müsste man gegebenenfalls ausprobieren.

 

 

[Malvolio]

vor 2 Stunden von oktavian:

@Malvolioes ist opensource. Daher kann jeder eine zu keepass .kdb und .kdbx kompatible app bauen. Wo siehst du den Nachteil, dass du bereits eine Alternative hättest wenn eine app eingestellt werden würde? Dadurch hast du auch bei der Oberfläche mehr Auswahl. Wenn ein eigenes Gerät warum auch immer nicht kompatibel wäre, könnte man es mit einer alternativen app testen (gut bei apple hat man solche Probleme generell nicht).

 

Verfügbarkeit der app in Alternativen appstores wie f-droid würde auch eine Entkoppelung von Google Diensten erleichtern, wenn man sowas vorhätte. Ich nutze z.B. ein Eink Lesegerät mit Android im Hintergrund. Der akku geht schneller leer wenn ich Google Dienste aktiviere. Da ist sideloaden von fdroid eine gute Alternative.

Ob jetzt z.B. KeePassDX oder Keepass2Android besser läuft, müsste man gegebenenfalls ausprobieren.

 

 

Vielleicht ist meine Sorge auch unbegründet. Aber wie ich schon sagte brauche ich eine App die sowohl unter iOS, macOS und Windows 11 funktioniert. Wenn ich mir z.B. die o.g. KeePassXC anschaue, so sehe ich da keine iOS-Aapp.

[asoso]

Unter iOS würde ich dir KeePassium empfehlen.

[Malvolio]

vor 35 Minuten von asoso:

Unter iOS würde ich dir KeePassium empfehlen.

Danke für den Tipp. Lässt sich dass dann reibungslos z.B. mit KeePassXC auf iOS oder Windows synchronisieren?

[asoso]

Ja, für das Programm ist nur die Datenbankdatei nötig.
Die Synchronisierung kannst du dadurch erledigen, dass du die Datenbank einfach in der icloud liegen hast und diese auch an deinem PC nutzt.