Passwortmanager

[Wego]

vor 54 Minuten von asoso:

Unter iOS würde ich dir KeePassium empfehlen.

Ja, das verwende ich auch und funktioniert super. Die Datenbank liegt bei mir auf einem SMB Share auf meiner NAS. Auf dem Mac nutze ich die KeePassium Beta Version. Die ist allerdings an manchen Stellen noch etwas hakelig. Funktioniert aber für mich gut genug. Vor allem das Entsperren der Datenbank mit TouchID über das Magic Keyboard finde ich sehr praktisch.

[Malvolio]

vor 2 Stunden von asoso:

Ja, für das Programm ist nur die Datenbankdatei nötig.
Die Synchronisierung kannst du dadurch erledigen, dass du die Datenbank einfach in der icloud liegen hast und diese auch an deinem PC nutzt.

Danke für die Info. Ich glaube ich werde mir mal zwei drei Programme ansehen und mich dann entscheiden.

[CorMaguire]

Für die Freunde des Analogen -->

 

Gefunden bei Fefe

[Holgerli]

Kenntwortbuch? Lächerlich!

Jeder Computer-Profi weiss, dass das Kenntwort unten an der bzw. unter der Tastatur zu finden ist.

[chirlu]

Wie gesagt …

Am 3.9.2022 um 20:29 von chirlu:

Ich notiere meine Paßwörter auf Papier.

Hundertprozentiger Schutz gegen jedes digitale Ausspähen.

[dev]

vor einer Stunde von chirlu:

Wie gesagt …

Hundertprozentiger Schutz gegen jedes digitale Ausspähen.

Ich auch, dafür nutze ich ein alphabetisches Notizbuch.

 

Unwichtige Webseiten-Logins bekommen jeweils eine persönliche Emailadresse und ein langes Passwort und das speichere ich im Browser, einen Emailwechsel muß man meistens per Email bestätigen, somit kann ich das PWD jederzeit zurück setzen.

 

Vorteile:

- an der Email erkennt man oft Spam & Co ( z.b. Rechnung von Firma X an Email von Y )

- man erkennt den Verursacher des Datenlecks und kann die Emailadresse/PWD erneuern und die "öffentliche" dann blocken

- Newsletter & Co lassen sich durch einen Email-wechsel dauerhaft abmelden

 

Nachteile:

- alles in einem catchall-Postfach, aber mit Thunderbird läßt sich das alles wieder gut per Email-Filter sortieren

- senden per noreplay@ und man darf die "Antwort an"-Adresse nicht vergessen

[CorMaguire]

vor 13 Minuten von dev:

Ich auch, dafür nutze ich ein alphabetisches Notizbuch....

Aber schön leserlich schreiben

-->

 

[stagflation]

Am 2.9.2022 um 14:11 von Malvolio:

 Es gibt ja diverse Programme wie KeePass, 1Password, LastPass, Dashlane und viele mehr.

 

Vor Cloud-Lösungen wurde ja bereits in einigen Posts gewarnt. Wie zur Bestätigung kam heute folgende Meldung auf dem Heise Newsticker:

 

Zitat

Passwortmanager: LastPass-Hacker haben Zugriff auf Kennworttresore von Kunden

 

Bei einem IT-Sicherheitsvorfall beim Anbieter des Passwortmanagers LastPass konnten Angreifer doch auf Kundendaten inklusive gespeicherter Passwörter zugreifen.

 

Es ist einfach keine gute Idee, seine Passwörter in der Cloud zu speichern!

 

Benutzt einen lokalen Passwort-Tresor und schiebt keine sensiblen Daten in die Cloud. Auch nicht, wenn sie verschlüsselt sind - und erst recht nicht, wenn der Anbieter behauptet, dass alles "ganz sicher" sei.

[vcxy]

Ich nutze seit vielen Jahren ( ca. 8 Jahren) den Password Manager SafeInCloud.

https://safe-in-cloud.com/en/

Bisher ohne Probleme, die Sync funktioniert super, nutze den auf dem Smartphone (Android kostenpflichtig) und mit meinen 3 WIN-Rechnern (kostenlos) über google cloud.

Bin über die Jahre sehr zufrieden, gab nie Probleme auch beim Smartphonewechsel ging es kostenlos aufs neue Smartphone über.

Ist wohl von einem Russischen Programmierer..... sehe ich heutzutage etwas kritischer.

Werde mir mal den Bitwarden als Alternative anschauen und testen.

 

 

[Malvolio]

vor 3 Stunden von vcxy:

Werde mir mal den Bitwarden als Alternative anschauen und testen.

 

 

Wäre schön, wenn Du Deine Erfahrungen dann hier teilen würdest. Ich bin auch immer noch unentschieden.

 

Cloud Lösungen sind natürlich schon irgendwo dort auch angreifbar, besonders wenn der Hoster schludert .... andererseits ist es natürlich einfacher, wenn man viele verschiedene Geräte verwendet. Letztendlich ist kein System 100% sicher. 

 

 

[wodorne]

Wozu braucht man das?

Was spricht gegen die Dienste von Apple und Google?

[Cinquetti]

Am 23.12.2022 um 17:42 von stagflation:

Benutzt einen lokalen Passwort-Tresor und schiebt keine sensiblen Daten in die Cloud. Auch nicht, wenn sie verschlüsselt sind - und erst recht nicht, wenn der Anbieter behauptet, dass alles "ganz sicher" sei.

+1

 

KeePass und gut ist.

Das wird auch von großen Unternehmen und Banken als Standardlösung verwendet.

[Pirx]

vor 3 Stunden von Cinquetti:

+1

 

KeePass und gut ist.

Das wird auch von großen Unternehmen und Banken als Standardlösung verwendet.

+1 für Open Source-Offline-Lösungen

[wertpapiertiger]

vor 14 Stunden von Pirx:

+1 für Open Source-Offline-Lösungen

+2 für die Möglichkeit zusätzlich per Hardware Dongle (Fido) den Zugriff auf die PW Datenbank abzusichern

[DeWeMe]

Am 6.1.2023 um 16:58 von Malvolio:

Cloud Lösungen sind natürlich schon irgendwo dort auch angreifbar, besonders wenn der Hoster schludert .... andererseits ist es natürlich einfacher, wenn man viele verschiedene Geräte verwendet. Letztendlich ist kein System 100% sicher. 

Bitwarden verschlüsselt Client-seitig mit AES-CBC 256-bit, da Open Source kann dies jeder selbst überprüfen.

Selbst wenn die Server von Bitwarden gehackt werden, sind die Daten komplett nutzlos für die Hacker.

Die Frage ob Offline oder Online dreht sich dann eher darum, wo liegen die Daten verlustsicherer. Geht eher mein USB Stick / meine Festplatte kaputt oder eher der Bitwarden Server?

[Barqu]

On 1/7/2023 at 1:13 AM, wodorne said:

 

Was spricht gegen die Dienste von Apple und Google?

Apple und Google. 

[jgobond]

Ich benutze Passwdsafe. Das organisieren mit neuen oder geänderten Einträgen ist zwar umständlich,  aber beim Gedanken an einen Clouddienst rollts mir die Fußnägel hoch. 

[dev]

Aus Kryptowallets: Angreifer stiehlt durch Lastpass-Hack an einem Tag Millionen

Zitat

ZachXBT empfiehlt Lastpass-Nutzern angesichts der jüngsten Diebstähle, ihre Kryptowährungsbestände sofort auf eine andere Wallet zu übertragen, sofern sie ihre Seed-Phrase oder Schlüssel in Lastpass gespeichert hatten.

 

[oktavian]

Am 7.1.2023 um 12:32 von wertpapiertiger:

Am 6.1.2023 um 22:24 von Pirx:

+1 für Open Source-Offline-Lösungen

+2 für die Möglichkeit zusätzlich per Hardware Dongle (Fido) den Zugriff auf die PW Datenbank abzusichern

reicht eine Keydatei nicht als zweiter Faktor aus? Man kann die Datenbank damit auch auf mehrere Cloudanbieter verteilen (z.B. bei einem die Datenbank, beim anderen die Keydatei) und auch den Zugang verschachteln z.B. keydatei + Datenbank + von Hand eingebbares passwort = Zugriff auf Hauptkennwort des zweiten Keypasstresors mit maximaler Länge, welcher noch mit keydatei zusätzlich abgesichert ist.

[hquw]

vor 3 Stunden von oktavian:

reicht eine Keydatei nicht als zweiter Faktor aus?

Kommt drauf an, gegen was man sich absichern will. Ich würde aber auf gar keinen Fall die Keydatei Online speichern. Das ist etwas, was man vielleicht besser in Textform "Offline" aufbewahrt und nur initial einmal auf einen neuen Rechner kopiert. Alles andere macht die ganze Sache wieder nur unnötig komplex und fragil.

[Pirx]

vor 6 Stunden von hquw:

Kommt drauf an, gegen was man sich absichern will. Ich würde aber auf gar keinen Fall die Keydatei Online speichern. Das ist etwas, was man vielleicht besser in Textform "Offline" aufbewahrt und nur initial einmal auf einen neuen Rechner kopiert. Alles andere macht die ganze Sache wieder nur unnötig komplex und fragil.

+1. @oktavian: Der Hardware-Dongle hat z.B. den Vorteil, dass er nicht ohne Weiteres heimlich kopiert werden kann. Sicherheitsrelevante Daten würde ich zudem auch verschlüsselt nicht online speichern, da ab dem Upload ein potentieller Angreifer theoretisch unbemerkt darauf zugreifen und sich nach Ziehen einer Kopie unbegrenzt Zeit für weitere Angriffsversuche lassen könnte. Auch wenn dies heute noch unrealistisch und für Angreifer unwirtschaftlich erscheint, könnte dies durch techische Fortschritte oder das Bekanntwerden von Implementierungsschwachstellen in der verwendeten Software bzw. kryptographischen Verfahren in einigen Jahren oder Jahrzehnten ganz anders aussehen.

Warum also ein vermeidbares Risiko eingehen?

 

LG, Pirx

[oktavian]

vor einer Stunde von Pirx:

Der Hardware-Dongle hat z.B. den Vorteil, dass er nicht ohne Weiteres heimlich kopiert werden kann.

dadurch sind die  hardware-dongles unnutzbar, weil ein backup vorhanden sein muss oder was macht man, wenn der kaputt geht? Yubikey lassen sich teilweise kopieren meines Wissens, je nachdem welche Methode man nutzt. Keine Ahnung, wie das in keepass implementiert ist.

 

vor einer Stunde von Pirx:

Sicherheitsrelevante Daten würde ich zudem auch verschlüsselt nicht online speichern

man würde die benötigten Dateien (Schlüsseldatei und Passwortdatenbank) nicht in die gleiche cloud laden. Wenn man nur die Schlüsseldatei hochlädt sehe ich kein Problem. Dadurch hätte ein Angreifer offline vor Ort auch nicht diese Datei (z.B. am gestohlenen handy). Nachteil wäre, dass Zugriff nur mit Internet geht, um die Schlüsseldatei zu laden.

Die Schlüsseldatei kann man als Teil des Masterpasswortes sehen.

Wenn es Lücken gibt durch Quantencomputer, muss man eben alle Passwörter wieder ändern.

[Pirx]

vor 10 Minuten von oktavian:

dadurch sind die  hardware-dongles unnutzbar, weil ein backup vorhanden sein muss oder was macht man, wenn der kaputt geht?

Die Sinnhaftigkeit von Hardware-Dongles hängt vom Bedrohungsszenario ab. Ein Backup-Dongle in einem versiegelten Behälter, welcher in einem Bankschließfach lagert, wäre z.B. eine Möglichkeit.

Zitat

man würde die benötigten Dateien (Schlüsseldatei und Passwortdatenbank) nicht in die gleiche cloud laden. Wenn man nur die Schlüsseldatei hochlädt sehe ich kein Problem.

Wäre mir aus den genannten Gründen persönlich zu unsicher, da ich die Kontrolle darüber aufgebe und einem Dienstleister vertrauen muss.

[stagflation]

vor 1 Stunde von oktavian:

Wenn es Lücken gibt durch Quantencomputer, muss man eben alle Passwörter wieder ändern.

 

Hoffentlich sagt Dir jemand bescheid, wenn es so weit ist...

 

Wir wissen nicht, was NSA & friends heute schon können. Ziemlich sicher ist, dass sie interessante Daten, die sie heute noch nicht entschlüsseln können, sammeln und aufheben - um sie dann, wenn sie sie entschlüsseln können, auszuwerten...

[SlowHand7]

vor 11 Minuten von stagflation:

 

Wir wissen nicht, was NSA & friends heute schon können. Ziemlich sicher ist, dass sie interessante Daten, die sie heute noch nicht entschlüsseln können, sammeln und aufheben - um sie dann, wenn sie sie entschlüsseln können, auszuwerten...

 

Man wird sehen wie das weiter geht.

Die Algorithmen werden ja auch weiter entwickelt.

 

https://de.wikipedia.org/wiki/Perfect_Forward_Secrecy

 

Für die NSA dürfte es wichiger sein überall unbemerkte Hintertüren einzubauen.