Passwortmanager

[chirlu]

vor 6 Stunden von Dandy:

Verwendet ihr Passwortmanager in eurem Browser? Wenn ja, auch für wichtige Passwörter oder nur "unwichtige" Zugänge?

 

Ja, nur für unwichtige Zugänge.

[Bast]

vor 5 Stunden von dimido:

Ich benutze enpass auf dem Mac, dem iPad und iPhone. Und im Browser (safari und Firefox) die dazugehörigen enpass-plugins.

Wo liegt der Vorteil gegenüber dem iCloud-Schlüsselbund?

vor 5 Stunden von dimido:

vor 5 Stunden von dimido:

[dimido]

vor 58 Minuten von Bast:

Wo liegt der Vorteil gegenüber dem iCloud-Schlüsselbund?

Ich hatte bis vor 2 Jahren ein Android und habe aktuell auch noch einen NUC Win 11 PC.
Auf denen läuft das mit enpass genauso reibungslos mit dem syncen per WLAN, also plattformübergreifend.
Ich nutze zwar iCloud und google Cloud für allerlei Sachen, aber eine Passwort-Datei gehört meiner Ansicht nach einfach nicht in eine Cloud.

[stagflation]

Am 9.8.2024 um 16:47 von Limit:

Ich habe einige Zeit darüber nachgedacht, ob ich die Passwörter für die Banken in den Passwortmanager packen sollen.

 

Passwort-Manager wie KeePassXC können mehrere Password-Safes verwalten. Ich habe beispielsweise einen für "normale" Internet-Anwendungen - und einen für meine Banken.

 

Synchronisation über Netzwerk oder gar über die Cloud mache ich nicht. Bei den meisten Krypto-Angriffen wird nicht versucht, die Verschlüsselung "an sich" zu knacken. Sondern es wird versucht, eine Schwachstelle in der Infrastruktur drumherum zu finden. Deshalb: Angriffsfläche klein halten.

[MichaelMueller]

Ich benutze Vaultwarden/Bitwarden ohne Cloud. Sehr zufrieden auch zum Teilen einiger Passwörter mit Familienmitglieder. 

Zugriff/Synchronisation nur über VPN oder im Heimnetzwerk

[Dandy]

vor 5 Stunden von stagflation:

Synchronisation über Netzwerk oder gar über die Cloud mache ich nicht. Bei den meisten Krypto-Angriffen wird nicht versucht, die Verschlüsselung "an sich" zu knacken. Sondern es wird versucht, eine Schwachstelle in der Infrastruktur drumherum zu finden. Deshalb: Angriffsfläche klein halten.

Genau deswegen verstehe ich das Problem mit der Cloud nicht. Man speichert dort schließlich nicht das Passwort zum entschlüsseln der Datei. Das gibt man nur lokal im Client an, um den Passwortsafe zu entschlüsseln. Gegen Brute-Force Attacken hilft dann ein entsprechend langes Passwort und/oder eine, natürlich nur lokal gespeicherte, Schlüsseldatei. Sehe da keinerlei Lücke und Grund die Datei nicht in die Cloud zu legen, jedenfalls so lange man dem Verschlüsselungsalgorithmus als Solchen vertraut (bei Keepass hat man übrigens mehrere zur Auswahl).

 

Was Anderes sind reine Webdienste, bei denen die Passwörter zum Safe online eingegeben werden. Davon würde ich definitiv auch abraten. Da gab es auch schon das ein oder andere Datenleck mit großen Diebstählen.

 

Die eigentliche Schwachstelle eines jeden Passwortsafe ist das lokale System. Ein Trojaner kann auf die Passwörter zugreifen, wenn man den Passwortsafe geöffnet hat. Dagegen gibt es keine absolute Sicherheit. Selbst wenn man sie auf einem Sicherheitstoken speichern würde, muss man irgendwann die Passwörter von dort in den Browser übertragen und ab da ist es wieder unsicher. Die einzige Lösung für das Problem wäre ein Gerät das nie Online geht. Für mich wenig praktikabel.

 

Zwar wäre ein solcher Angriff durchaus aufwändig, aber für ein attraktives Ziel wie ein Passwortmanager naturgemäß lohnend.

 

Was die Bankzugänge angeht, da bin ich inzwischen recht entspannt. Ich speichere die Passwörter sogar im Browser, einfach weil man ohne den zweiten Faktor eh nichts damit anfangen kann.

 

Fakt ist sowieso, dass immer noch der mit Abstand größte Teil der Angriffe auf Bankkonten über simples Phishing und Social Engineering läuft. Da hilft eh nur gesunde Skepsis und Menschenverstand und kein noch so toller Passwortmanager.

[dimido]

vor 22 Stunden von Dandy:

Was Anderes sind reine Webdienste, bei denen die Passwörter zum Safe online eingegeben werden. Davon würde ich definitiv auch abraten. Da gab es auch schon das ein oder andere Datenleck mit großen Diebstählen.

 

Die eigentliche Schwachstelle eines jeden Passwortsafe ist das lokale System.

Es wurden keine Klartextpasswörter erbeutet weil da einfach keine Klartextpasswörter gespeichert waren und sind.
Es war und ist aber trotzdem ein lohnendes Ziel (zumal usernamen und URL wohl unverschlüsselt waren).
Denn so kann man die große Menge an erbeuteten Hash-Werte in eine Datenbank laden und dann per brute-force Hash-Werte generieren und sie gegen alle erbeuten Werte gleichzeitig abgleichen. Die langen komplexen passwörter sind dann zwar immer noch sicher, aber die kurzen einfachen poppen dann immer mal als Treffer auf. Der Dieb hat ja genüsslich Zeit insbesondere wenn die Opfer nicht wissen, daß ihre Hash-Werte an der Aktion "teilnehmen" und sich in Sicherheit fühlen.

 

Es ist einfach eine weitere line-of-defense meine Hash-Werte durch cloud-Verzicht nicht dem Risiko auszusetzen an so einer Aktion "teilzunehmen".

 

Der Schlüsselbund hat für meinen Geschmack aber einen weiteren Nachteil.
Sobald ich die apple-id kompromitiert habe, habe ich auch Zugriff auf den Schlüsselbund. Bei einem 3rd party Tool ist das erstmal nicht so. Da muss ich den 3rd party Passwort-Save nochmal separat angreifen.
Daß eine apple-id kompromitiert und übernommen wird, ist sehr unwahrscheinlich, aber nicht unmöglich.
Gerade erst mit IOS 17.3 wurde eine neue "Stolen-Device-protection" eingeführt die einen vergleichsweise oft genutzen Angriffsvektor (zumindest so oft, daß sich Apple gezwungen sah zu reagieren, was bei Apple ja was heißen will ...) praktisch geschlossen hat.

-> Video

Bei den Betroffenen war zuvor in Minuten die Apple-Id übernommen worden, das Passwort geändert, der alte Besitzer also "ausgesperrt", find-my deaktiviert und über den Schlüsselbund großer Schaden angerichtet worden.

Auch wenn ich es (insbesondere nach den Anpassungen mit 17.3, die man aber auch deaktivieren kann!) für sehr unwahrscheinlich halte, daß mir mal meine Apple-Id "gestohlen" wird ... für völlig ausgeschlossen halte ich es nicht. Denn so eine Arroganz "mir passiert das nicht" kann sich bitter rächen.
Ich nutze daher den Schlüsselbund nicht (ob cloud ja oder nein ist mir in dem Fall sogar egal) sondern nutze ein 3rd Party Tool das im Falle des Falles nochmal separat angegriffen werden müsste.