Passwortmanager

[slowandsteady]

Quantencomputer sind so weit von einer Fertigstellung entfernt wie Fusionskraftwerke. Da würde ich mir keine Gedanken machen.

 

Keepass braucht keine asymmetrischen Verfahren wie RSA oder DSA, die von Quantencomputern knackbar wären, sondern nur symmetrische Block-Cipher und Hash-Algorithmen. Die "halbieren" aufgrund Grover's Algorithmus ihre Sicherheit, d.h. AES-256 wäre mit einem Quantencomputer nur noch so sicher wie AES-128. (Eigentlich ist es kein halbieren, sondern die Wurzel, von 2^n -> 2^(n/2) Möglichkeiten).  Aber 128bit reichen trotzdem für immer, denn 2^128 ist Milliarden mal größer als die Atome auf der Erde und daher können wir keinen Computer bauen, der sie alle durchprobiert...

 

Selbst Edward Snowden hat sinngemäß gesagt (habe das genaue Zitat nicht mehr), dass wir der Regierung nicht vertrauen können, aber der Kryptographie schon.

[Mangalica]

Ich benutzte die Apps und Browser-Extensions von Bitwarden, allerdings mit einem auf meinem eigenen Server gehosteten Vaultwarden als Backend.

[dev]

Quelle

Zitat

Passwortmanager legen per Autofill Zugangsdaten offen

Viele Android-Apps rendern Log-in-Seiten per Webview direkt in der App. Nutzen Passwortmanager dort die Autofill-Funktion, können Daten durchsickern.

 

[oktavian]

vor 2 Stunden von dev:

Quelle

nimm doch einfach Magikeyboard von keepassdx und auto fill aus lassen.

[dev]

Das war nur zur Info.

[HeavyCrown]

Ich beschäftige mich gerade auch mit der Nutzung eines Passwort-Managers. Vielen Dank für die Empfehlungen.

 

Eine Frage nutzt Ihr die Software auch für eure Bankdaten/Logins oder nur für alles andere?

 

 

[Limit]

Ich benutzte KeepassXC auf PC und Tablet und Keepass2Android Offline auf dem Smartphone. Die Datenbanken liegen lokal auf den Geräten, werden aber automatisch synchronisiert. Dazu benutze ich eine Netzwerkfreigabe der FritzBox.

 

Bank-Logins speichere ich nicht darin. Die drei Passwörter kann ich mir gerade noch so ohne Hilfsmittel merken.

[Solara]

vor 1 Minute von Limit:

Die drei Passwörter kann ich mir gerade noch so ohne Hilfsmittel merken.

Wenn du dir deine Passwörter merken kannst, sind sie dann nicht bereits zu unsicher oder hast du einfach nur ein gutes Gedächtnis?

 

Ich habe alles im Keepass, zu viele Bankverbindungen privat und geschäftlich, dazu noch Depots. Genau dafür gibt es die Dinger doch.

[Limit]

Ich habe einige Zeit darüber nachgedacht, ob ich die Passwörter für die Banken in den Passwortmanager packen sollen. Der Vorteil wäre etwas mehr Bequemlichkeit und bessere Passwörter. Dem gegenüber Stand aber die Sicherheit des Passwortmanagers selbst und die Frage, wie es rein rechtlich gehandhabt wird. Die Banken geben ja vor, dass man das Passwort nirgends notieren soll und ich wollte nicht in die Situation kommen, dass im Falle eines Falles die Bank mir aus der Benutzung eines Passwortmanagers einen Strick dreht und die Haftung ggf. verweigert.

 

Die Passwörter, die im Passwortmanager gespeichert sind, sind erst einmal sicherer, da länger und komplexer, aber sie sind eben auch dort gespeichert, d.h. das schwächste Glied in der Kette ist in diesem Fall das Passwort für den Passwortmanager selbst und das ist eben nicht länger oder komplexer als die Passwörter, die ich für die Banken nutze. Die extra Komplexität der gespeicherten Passwörter hilft also nicht, wenn meine Geräte angegriffen werden, sondern nur, wenn die Datenbanken der Anbieter angegriffen werden.

[Flaschenpfand]

Das Passwort soll man nirgends im Klartext notieren.

Dass eine Bank gegen einen Passwortmanager argumentieren würde ist IMHO absurd.

 

Tatsächlich sollte aber dein Passwort für den Manager eben schon sehr sicher sein, und sicher

heisst vor allem lang. Meines ist z.B. über 40 Zeichen lang. Du kannst als Passwort einen Nonsense-Satz

nehmen den du mit ein paar Zahlen und Sonderzeichen spickst. Dann ist es trotzdem leicht zu merken

und da du es häufig brauchst, wirst du es schnell auswendig können.

 

z.B.:

WPFforisteninvestierenihrekrötenzu75%inDIRK.M.Fondues

 

[Limit]

vor 43 Minuten von Flaschenpfand:

Dass eine Bank gegen einen Passwortmanager argumentieren würde ist IMHO absurd.

Ich stimme dir da durchaus zu, aber kA ob das rechtlich genau so aussehen würde.

 

vor 44 Minuten von Flaschenpfand:

Tatsächlich sollte aber dein Passwort für den Manager eben schon sehr sicher sein, und sicher

heisst vor allem lang.

Das ist nur bedingt richtig. Natürlich ist länger besser als kurz, aber Zeichenfolgen, die man in einem Wörterbuch zu finden sind haben einen sehr deutlich verringerten Wert.

 

vor 46 Minuten von Flaschenpfand:

Du kannst als Passwort einen Nonsense-Satz

nehmen den du mit ein paar Zahlen und Sonderzeichen spickst. Dann ist es trotzdem leicht zu merken

und da du es häufig brauchst, wirst du es schnell auswendig können.

Ich benutze eine ähnliche Methode, allerdings benutze ich nur den ersten Buchstaben jedes Wortes + Zahlen + Sonderzeichen. Je nach Art des Angriffs (Brute Force, Wörterbuch, ...) dürfte die eine oder die andere Methode sicherer sein.

[Flaschenpfand]

vor 3 Stunden von Limit:

Das ist nur bedingt richtig. Natürlich ist länger besser als kurz, aber Zeichenfolgen, die man in einem Wörterbuch zu finden sind haben einen sehr deutlich verringerten Wert.

Das stimmt IMHO nur für einzelne Worte die ev. mit wenigen zusätzlichen Zeichen ergänzt werden wie 'Haustier123' oder gängige Phrasen.

Das Passwort 'eckiges-grünes-pferd' dürfte ähnlich sicher sein wie eine zufällige Zeichenfolge aus den selben Zeichen. Dadurch, dass

ein Mensch so aber längere Passwörter problemlos nutzen kann ist in der Praxis die Sicherheit sogar höher (Länge entscheidet).

 

[hattifnatt]

vor 6 Minuten von Flaschenpfand:

Das stimmt IMHO nur für einzelne Worte die ev. mit wenigen zusätzlichen Zeichen ergänzt werden wie 'Haustier123' oder gängige Phrasen.

Das Passwort 'eckiges-grünes-pferd' dürfte ähnlich sicher sein wie eine zufällige Zeichenfolge aus den selben Zeichen. Dadurch, dass

ein Mensch so aber längere Passwörter problemlos nutzen kann ist in der Praxis die Sicherheit sogar höher (Länge entscheidet).

https://xkcd.com/936/

 

 

[Flaschenpfand]

Danke hattifnatt, ich glaube genau diesen Comic hatte ich unterbewusst im Sinn und darum 'pferd' in

dem Beispiel-Passwort.

[Dandy]

Ich verwende auch KeepassXC auf PC und Mac und KeepassDX unter Android. Den Passwortsafe speichere ich in der Cloud (OneDrive). Zusätzlich zum Passwort verwende ich eine Schlüsseldatei die ich auf jedem Gerät nur lokal abgespeichert habe und zusätzlich ein Passwort. Die Schlüsseldatei macht eine Brute-Force-Attacke quasi unmöglich, wenn jemand nur an den Passwortsafe in der Cloud rankäme.

 

Einziger Nachteil dieser Lösung: Unter Android muss ich die Datei von OneDrive immer erst lokal umkopieren, um sie in KeepassDX verwenden zu können. Bei Mac und PC wird sie automatisch synchronisiert, wenn ich sie ändere.

 

Es bleibt bei all dem natürlich eine nicht schließbare Lücke, und das ist das Gerät auf dem man den Paswortsafe verwendet. Ein Trojaner könnte immer auf die entsperrte Anwendung zugreifen und die Passwörter entnehmen. Das lässt sich bei offen programmierbaren Systemen prinzipbedingt nicht verhindern. Wenn man im Gegenzug dafür für seine Logins stärkere und verschiedene Passwörter einsetzt, dürfte der Sicherheitsgewinn insgesamt dennoch höher liegen.

 

Leider sind Passwortsafes ein sehr lohnendes Ziel und damit würde ich nicht ausschließen, dass es solche Hacks irgendwann geben wird, auch wenn sie sehr aufwändig sind.

 

Aber was will man machen? Durch den Passwortterror, mit Mindest- und Maximallängen (!) und verschiedensten weiteren Vorgaben, wie bspw. Sonderzeichen die man nicht (!) verwenden darf, Beschränkung auf Zahlen usw., ist es fast unmöglich, sich ein merkbares aber immer noch sicheres Passwortsystem zu schaffen. Darüber rege ich mich immer wieder auf, wenn die Faulheit von Programmierern einen dazu zwingen, eigentlich sichernde Bestandteile eines Passworts nicht verwenden zu dürfen. Besonders Deutsche Banken glänzen hier immer wieder mit ihrer digitalen Unfähigkeit.

[Limit]

vor 9 Stunden von Flaschenpfand:

Das stimmt IMHO nur für einzelne Worte die ev. mit wenigen zusätzlichen Zeichen ergänzt werden wie 'Haustier123' oder gängige Phrasen.

Das Passwort 'eckiges-grünes-pferd' dürfte ähnlich sicher sein wie eine zufällige Zeichenfolge aus den selben Zeichen. Dadurch, dass

ein Mensch so aber längere Passwörter problemlos nutzen kann ist in der Praxis die Sicherheit sogar höher (Länge entscheidet).

 

Entsprechende Programme probieren heutzutage auch eine beliebige Kombination von Wörtern aus. Die effektive Passwortlänge entspricht damit eher der Anzahl der Wörter und nicht der Anzahl der Zeichen. Vorteilhaft dabei ist allerdings, dass es in der Regel mehr Wörter als Zeichen in den meisten Alphabeten gibt.

 

vor 9 Stunden von hattifnatt:

https://xkcd.com/936/

 

 

Das Beispielpasswort hier wurde laut https://haveibeenpwned.com/Passwords bereits bei mehr als 366 data breaches gefunden.

[Flaschenpfand]

vor 25 Minuten von Limit:

Das Beispielpasswort hier wurde laut https://haveibeenpwned.com/Passwords bereits bei mehr als 366 data breaches gefunden.

Warum führst du das jetzt an? Das hat nichts mit der vorgeschlagenen Art der Passwort-Wahl selbst zu tun sondern damit, dass

XKCD-Comics recht bekannt sind und das Beispiel-Passwort darum quasi als geläufige Phrase angesehen werden kann.

 

vor 31 Minuten von Limit:

Entsprechende Programme probieren heutzutage auch eine beliebige Kombination von Wörtern aus. Die effektive Passwortlänge entspricht damit eher der Anzahl der Wörter und nicht der Anzahl der Zeichen. Vorteilhaft dabei ist allerdings, dass es in der Regel mehr Wörter als Zeichen in den meisten Alphabeten gibt.

Das stimmt halt so einfach nicht. Das Wörterbuch muss begrenzt sein und hat bei kurzen einfachen Passworten einen Vorteil gegenüber Bruteforce.
Wenn die exakte Wortkombination nicht im Wörterbuch ist (oder eine einfache Mutation davon), dann hat sie keinen Vorteil ggü Bruteforce.

Willst du wirklich behaupten, dass ein Passwort aus sieben Worten ähnliche Stärke hat wie ein Passwort aus sieben Zeichen?

 

[chirlu]

vor 10 Stunden von Flaschenpfand:

ich glaube genau diesen Comic hatte ich unterbewusst im Sinn und darum 'pferd' in

dem Beispiel-Passwort.

 

Und genau solche Effekte machen selbst ausgedachte Passwörter schwach. Die von XKCD vorgeschlagene Methode setzt voraus, dass die Wörter tatsächlich zufällig – mit Gleichverteilung – aus einer ausreichend langen Wortliste (hier wurden 2048 = 2^11 Einträge angenommen) gezogen werden.

[Flaschenpfand]

vor 1 Minute von chirlu:

Und genau solche Effekte machen selbst ausgedachte Passwörter schwach. Die von XKCD vorgeschlagene Methode setzt voraus, dass die Wörter tatsächlich zufällig – mit Gleichverteilung – aus einer ausreichend langen Wortliste (hier wurden 2048 = 2^11 Einträge angenommen) gezogen werden.

Ich habe das Gefühl ihr versteift euch hier auf ein ideales Passwort, das in der Praxis einfach keine Relevanz hat.

Wenn ein Benutzer sein mühsames, zufälliges 8-Zeichen Passwort durch eine 30-Zeichen Wortfolge garniert mit

einer Zahl und einem Sonderzeichen ersetzt, dann hat er ein massiv stärkeres Passwort.

 

Diese magischen Wörterbücher/Programme wo alle Wortkombinationen für lange Wortketten +Extrazeichen vorhanden sind

gibt es nicht, bzw. degradieren sie schnell einfach zu Bruteforce, und damit gilt eben wieder: Länge entscheidet.

[Limit]

vor 14 Minuten von Flaschenpfand:

Das stimmt halt so einfach nicht. Das Wörterbuch muss begrenzt sein und hat bei kurzen einfachen Passworten einen Vorteil gegenüber Bruteforce.
Wenn die exakte Wortkombination nicht im Wörterbuch ist (oder eine einfache Mutation davon), dann hat sie keinen Vorteil ggü Bruteforce.

Willst du wirklich behaupten, dass ein Passwort aus sieben Worten ähnliche Stärke hat wie ein Passwort aus sieben Zeichen?

Angenommen du hast eine Wortliste mit 10k Einträgen und dein Passwort besteht aus 7 Wörtern mit einer durchschnittlichen Länge von 5 Zeichen aus dieser Liste, dann muss das Programm nur 10k ^ 7 = 10^28 Varianten durchprobieren während ein zufällige Zeichenkette gleicher Länge (selbst wenn du nur die 26 Grundbuchstaben des dt. Alphabets nehmen würdest) 26 ^ (7*5) = 26^35 = ca. 3,3 * 10^49 Möglichkeiten hätte.

 

vor 1 Minute von Flaschenpfand:

Ich habe das Gefühl ihr versteift euch hier auf ein ideales Passwort, das in der Praxis einfach keine Relevanz hat.

Wenn ein Benutzer sein mühsames, zufälliges 8-Zeichen Passwort durch eine 30-Zeichen Wortfolge garniert mit

einer Zahl und einem Sonderzeichen ersetzt, dann hat er ein massiv stärkeres Passwort

Das ist eben nicht zwangsläufig so. Wenn deine Wortfolge aus genügend Wörtern besteht wird sie sicherer sein. Sind es aber zu wenige Wörter, kann aber selbst ein zufälliges 8-Zeichen Passwort sicherer sein.

 

vor 5 Minuten von Flaschenpfand:

Diese magischen Wörterbücher/Programme wo alle Wortkombinationen für lange Wortketten +Extrazeichen vorhanden sind

gibt es nicht, bzw. degradieren sie schnell einfach zu Bruteforce, und damit gilt eben wieder: Länge entscheidet.

Du stellst dir das zu kompliziert vor. Du hast ein Wörterbuch mit allen Grundzeichen und den x häufigst benutzten Wörtern einer Sprache. Daraus kann das Programm on-the-fly alle Kombinationen mit vorgegebener Länge generieren.

[Flaschenpfand]

vor 18 Minuten von Limit:

[...] zufällige Zeichenkette gleicher Länge (selbst wenn du nur die 26 Grundbuchstaben des dt. Alphabets nehmen würdest) 26 ^ (7*5) = 26^35 = ca. 3,3 * 10^49 Möglichkeiten hätte.

Moment mal, jetzt nimmst du 'gleiche Länge'. Vorher hast du argumentiert 1 Wort ~= 1 Zufallszeichen.

Du müsstet also für die zufällige Zeichenfolge 26^7 nehmen = 8*10^9.

 

Ausserdem ist es wie erwähnt natürlich sinnvoll unübliche bzw. Eigenkreationen von Worten zu nutzen.

Wenn ich nochmal zu meinem ersten Beispiel zurückgehe: Wie wahrscheinlich ist es, dass in der 10k-Wortliste

'WPFforisten' vorkommt?

[Limit]

Wenn du ein Passwort mit 7 Zeichen durch ein Passwort mit 7 Wörtern ersetzt ist das sicherer. Wenn du aber die Zahl der Möglichkeiten betrachtest, die das Programm durchgehen muss, liegt die Größenordnung bei 7 Wörtern sehr viel näher bei dem Passwort aus 7 Zeichen als bei einem Zufallspasswort mit (7*x Zeichen) wobei x ist die durchschnittliche Wortlänge wäre.

Die Wörter vergrößern das Grundalphabet, aber nicht die effektive Länge des Passworts. Die Zahl der Möglichkeiten bei Vergrößerung des Alphabets steigt linear während die Zahl der Möglichkeiten bei Vergrößerung der effektiven Passwortlänge exponentiell wächst.

 

vor 23 Minuten von Flaschenpfand:

Ausserdem ist es wie erwähnt natürlich sinnvoll unübliche bzw. Eigenkreationen von Worten zu nutzen.

Das verbessert die Sicherheit, aber eben nicht so sehr wie ein effektiv längeres Passwort.

 

vor 24 Minuten von Flaschenpfand:

Wenn ich nochmal zu meinem ersten Beispiel zurückgehe: Wie wahrscheinlich ist es, dass in der 10k-Wortliste

'WPFforisten' vorkommt?

Das wird nicht vorkommen, aber die Einträge W, P, F, forist und en könnten drin sein. Die effektive Länge des Passworts wäre damit also nicht 11, sondern nur 5.

[Dandy]

Hatte ich schon erwähnt, dass ihr einfach eine (nur lokal gespeicherte) Schlüsseldatei zum Passwort hinzufügen könnt und die Sicherheit/Länge/Entropie/weiß der Geier was eures Passworts wäre dann ohnehin belanglos? Ich jedenfalls will nicht jedesmal ein meterlanges Passwort eingeben müssen, um mich irgendwo einzuloggen.

 

Es wird sich ohnehin vielzuviel auf die Passwortsicherheit selbst versteift, was meist zu Schlampigkeiten der Nutzer an anderer Stelle führt. Das Hauptproblem sind eher Datenlecks in Verbindung mit wiederverwendeten Passwörtern. Dagegen hilft nur ein schwer zu durchschauendes, seitenabhängiges Passwortsystem oder die Verwendung von Zufallspasswörtern. Erstere bergen das Risiko, dass jemand, bei mehreren vorhandenen Datenlecks, das System durchschauen kann, letztere wiederum haben den großen Nachteil, dass man zwingend auf seinen Passwortsafe angewiesen ist, um sich irgendwo einzuloggen.

 

Eigentlich gehören Passwörter abgeschafft und durch Sicherheitstokens wie FIDO und Co ersetzt. Das wäre deutlich sicherer und auch nutzerfreundlicher. In Verbindung mit Zweifaktorauthentifizierung quasi unknackbar, wie man schon heute am Rückgang vom Online-Betrug mit Bankkonten sehen kann. Der Faktor Mensch bleibt natürlich immer eine Schwachstelle, zum Beispiel bei Phishing.

 

Apropos: Man kann, in Verbindung mit Windows-Hello, auch über seinen Fingerabdrucksensor den Zugang zu KeepassXC freischalten, was komfortabler ist. Leider muss man sich bei der ersten Nutzung des Programms immer per Passwort anmelden. KeePassXC unterstützt Passkeys leider noch nicht direkt. Windows-Hello wird dabei anscheinend nur dafür genutzt, das im Speicher gehaltene Passwort zu entschlüsseln, was nur geht so lange die Anwendung geöffnet bleibt.

 

Was mich mal interessieren würde: Verwendet ihr Passwortmanager in eurem Browser? Wenn ja, auch für wichtige Passwörter oder nur "unwichtige" Zugänge? Die sind ja so bequem, vor allem mit langen und komplizierten Passwörtern, aber leider wieder eine weitere Sicherheitslücke. Beispiel Firefox: Dort werden die Passwörter nur dann lokal verschlüsselt hinterlegt, wenn man ein Masterpasswort vergibt. Da die Passwörter auch Online zwischen verschiedenen Rechnern ausgetauscht werden, ist das nicht unerheblich. Hier müsste man dringend nachbessern in meinen Augen. Gut gefällt mir die Lösung von Safari im Mac. Dort muss man jede Passwortfreigabe aus dem Passwortmanager mit seinem Fingerabdruck freischalten. Aus meiner Sicht die ideale Lösung. Wie das bei anderen Browsern ist, weiß ich nicht.

 

Aber egal wie man es dreht und wendet, auch die beste Lösung ist per Trojaner ausspähbar. Absolute Sicherheit gibt es eben nicht.

 

 

[Limit]

vor 11 Minuten von Dandy:

Hatte ich schon erwähnt, dass ihr einfach eine (nur lokal gespeicherte) Schlüsseldatei zum Passwort hinzufügen könnt und die Sicherheit/Länge/Entropie/weiß der Geier was eures Passworts wäre dann ohnehin belanglos? Ich jedenfalls will nicht jedesmal ein meterlanges Passwort eingeben müssen, um mich irgendwo einzuloggen.

Schlüsseldatei benutze ich auch. Da ich den Passwortmanager auf verschiedenen Geräten benutze ist es durchaus möglich, dass eines dieser Geräte mal in die falschen Hände fallen oder gehackt werden könnte. Daher sehe ich es nur als zusätzlichen Schutz zu einem guten Passwort.

 

vor 13 Minuten von Dandy:

Was mich mal interessieren würde: Verwendet ihr Passwortmanager in eurem Browser? Wenn ja, auch für wichtige Passwörter oder nur "unwichtige" Zugänge? Die sind ja so bequem, vor allem mit langen und komplizierten Passwörtern, aber leider wieder eine weitere Sicherheitslücke.

Ich benutze den Browser-eigenen Passwortmanager nicht, allerdings das KeePass-Plugin (nur am Desktop, nicht auf den Mobilgeräten). Das ist nicht ganz so komfortabel wie der Browser-eigene, aber dafür deutlich sicherer.

 

 

 

[dimido]

vor einer Stunde von Dandy:

Was mich mal interessieren würde: Verwendet ihr Passwortmanager in eurem Browser?

Nein.

Ich benutze enpass auf dem Mac, dem iPad und iPhone. Und im Browser (safari und Firefox) die dazugehörigen enpass-plugins.
Entsperrt wird enpass auf dem iPhone per Face-Id und auf dem iPad und Mac per Fingerabdruck.
Die verschlüsselte passwort Datei wird von enpass per WLAN lokal untereinander synronisiert, sie liegt also nicht irgendwo in einer cloud.

Dazu noch überall 2FA wo möglich, das ist aber eh klar.