Passwortmanager

  • Jeder ist selber Schuld, der keinen "offline" *Pass nutzt. Da habe ich so garkein Mitleid. Man tut keine solchen *Pass Sachen in die Cloud.

    Das folgende ist meine Ansicht und muss nicht mit den Vorstellungen anderer übereinstimmen. Es soll definitiv keinerlei Angriff darstellen... :P


    Da kommt es wieder drauf an. In der Firma ist das Notwendig, schon mal alleine wegen der Backups und, je nach Kunden, auch wegen der Zertifizierung. In einem Team ist es mit Keepass auch nicht so ohne weiteres Möglich Passwörter zu sharen, wenn sich das Team Europaweit verteilt.


    Privat ist das auch einfach eine massive Vereinfachung. Ich als Vater kann prüfen ob meine Kinder die Kennwörter ordentlich verwalten bzw. Ihnen Read Only ein Kennwort für einen Account teilen. Da könnte ich jetzt noch weiter aufzählen.


    Ja, klar können die verschlüsselten Daten geklaut werden. Das können sie aber auch bei lokal gehaltenen Tresoren. Wenn man es drauf anlegt, wird man auf jeden Fall dran kommen.


    In meinem Fall mache ich mir tatsächlich kaum Sorgen, weil ich überall mindestens 18stellige Kennwörter mit MFA fest eingestellt hatte und meine Kinder schon von anfang an trainiere sichere Passwörter zu verwenden und die auch MFA aktiv haben.


    Wie erwähnt würde ich jetzt nicht irgendwelche Versicherungs/Bank/Notardaten Online aufbewahren. Jedoch, und das betrifft auch wieder Offlinetresore, ist die Ver/Entschlüsselung der Tresordaten immer auf dem Clientrechner. Da ist es also völlig egal, ob ich Lastpass/Keeper/Bitwarden/... oder Keepass verwende.


    Ich würde also eher behaupten: Wer nicht kapiert hat warum Georg1404 (ohne MFA) ein bes......enes Passwort ist, der ist selbst Schuld.


    Eigentlich ist es egal ist welchen Passwortmanager man verwendet. Es ist immer besser als den Browserspeicher und dessen Synchronisierung zu verwenden. Und auch auf dem Mac speichert Chrome nicht im Schlüsselbund (im Default)...

    Er ist ein Informatiker!

    FORMATIERT IHN!

  • wenn ich sterbe ist mir alles total egal. Keine Kinder, keine Freundin mehr.

    Exakt so sehe ich das auch. Sollte ich nochmal irgendwann Lust auf eine Beziehung haben würde ich vielleicht ein paar Dinge abklären, ansonsten ist es mir völlig Latte. Das sind keine Dinge mit denen ich mich ohne Anlass beschäftigen will.

    Compaq Deskpro 286n/12MHz - 1MB - 40MB HDD - 3,5" Floppy //
    Panatek 386DX33 - 80387 - 8MB - 504MB CF2IDE - 5.25" & 3,5" Floppy - SB Vibra - NIC - 512Kb VGA //
    486DX2-66 - 16MB - 4GB CF2IDE - 5,25" & 3,5" 2,88MB Floppy - DVD - SB Vibra - NIC - 1MB CL VLB VGA //
    Intel Pentium 233MMX - 64MB - 16GB CF2IDE - 3,5" Floppy - DVD - SB AWE64 - NIC - 3Dfx Voodoo Banshee//
    Intel Pentium III 600MHz - 256MB - 4GB CF2IDE - 3,5" Floppy - DVD - SB AWE64 - NIC - 3Dfx Voodoo 3 3000 //

  • Da kommt es wieder drauf an. In der Firma ist das Notwendig, schon mal alleine wegen der Backups und, je nach Kunden, auch wegen der Zertifizierung. In einem Team ist es mit Keepass auch nicht so ohne weiteres Möglich Passwörter zu sharen, wenn sich das Team Europaweit verteilt.

    Nicht vergleichbar. Eine Firma wird ja sich nicht bei LastPasst einkaufen sondern im Zweifel selbst was hosten. Ich verstehe, worauf du hinaus willst, aber das ist IMHO ein eher spezielles Szenario, was ich so nicht gemeint habe.


    Privat ist das auch einfach eine massive Vereinfachung. Ich als Vater kann prüfen ob meine Kinder die Kennwörter ordentlich verwalten bzw. Ihnen Read Only ein Kennwort für einen Account teilen. Da könnte ich jetzt noch weiter aufzählen.

    Halte ich für sehr sehr kritisch eine solche Option zu nutzen. Datenschutz Adee..


    Ja, klar können die verschlüsselten Daten geklaut werden. Das können sie aber auch bei lokal gehaltenen Tresoren. Wenn man es drauf anlegt, wird man auf jeden Fall dran kommen.

    Kann ich nicht völlig nachvollziehen. Gerade die letzten Jahren zeigen doch eindrucksvoll, wie Anbieter im Bezug auf Digitalisierung und Sicherheit schlampig sind (Keine Update zeitnah eingespielt, und und und). Da hat man darauf keinen Einfluss. Lokal zumindest hat man selbst die Verantwortung. Aber ich denke, wir uns uns da einig, eine 100% Sicherheit gibt es eh nicht.


    In meinem Fall mache ich mir tatsächlich kaum Sorgen, weil ich überall mindestens 18stellige Kennwörter mit MFA fest eingestellt hatte und meine Kinder schon von anfang an trainiere sichere Passwörter zu verwenden und die auch MFA aktiv haben.

    Ja, definitiv der richtige und sinnvolle Ansatz überall MFA zu aktivieren. Aber was helfen sichere Passwörter, wenn am Ende doch wegen schwacher Verschlüsselung und ähnliches man rankommt, siehe den Hack bei LastPass. Und leider leider lässt sich auch MFA teilweise austricksen, weil durch Anbieter schlampig implementiert.



    Wie erwähnt würde ich jetzt nicht irgendwelche Versicherungs/Bank/Notardaten Online aufbewahren. Jedoch, und das betrifft auch wieder Offlinetresore, ist die Ver/Entschlüsselung der Tresordaten immer auf dem Clientrechner. Da ist es also völlig egal, ob ich Lastpass/Keeper/Bitwarden/... oder Keepass verwende.

    Auch da gibt es eben Unterschiede. Lokal bzw. Offline hast du völliig Recht. Aber wenn man z.B. LastPass verwendet hat, wo eben die Verschlüssung nicht lokal abläuft, fängt das große Geschrei an. Mir geht es auch tatsächlich weniger um Software X, als mehr darum, dass der Kram nicht irgendwo im Internet aufm Server einfach liegen sollte, indem man irgendeinem Anbieter vertraut. Ist einfach fahrlässig.

  • Exakt so sehe ich das auch. Sollte ich nochmal irgendwann Lust auf eine Beziehung haben würde ich vielleicht ein paar Dinge abklären, ansonsten ist es mir völlig Latte.

    Wenn niemand da ist, der sich mit dem Mist herumärgern muss, ausser vieleicht ein paar Typen vom städtischen Beseitigungsdienst, die dann die sterblichen Überreste und den ganzen "Schrott" den man hinterlässt aufräumen (=entsorgen) müssen, kann man das so sehen. Allerdings ist das auch ein ziemlich einsames Leben auf das ein noch einsamerer Tod folgt. (Ja - den bekommt man nicht mehr mit...)

    Sollte man aber irgendwelche liebgewonnenen Menschen hinterlassen, sollte man zumindest das wichtigste klären bzw. jemandem anvertrauen. Ich hab das sogar jetzt schon, für Notfälle etc. falls mal unterwegs irgendwas passiert (Außendienst...) und man mich findet, damit man weiß wo und wen man anrufen muß wenn ich irgendwo in Fetzen in einem Krankenhaus liege oder ähnliches.

  • Ich muss mir mal tätowieren lassen, dass die meinen Puls rechts messen sollen. sonst lassen die mich mal liegen und ich lebe noch.


    Eigentlich ging's doch nur um Passwörter?



    Ich bin auch fpr 2FA. Nutzername online, Passwort offline. :)

    Das hat klare Grenzen aber in meiner gegend sind Wohnungseinbrüche recht selten.


    Was ich an der wirklichen 2FA nicht mag ist dass mein Mobiltelefon das verwundbarste Gerät ist. kein anderes schleppe ich nach draußen oder lasse es immer mal fallen.

    Man müsste ein Zweitgerät haben, im Safe, nur für 2FA.


    Generell pflege ich halt keinen mobilen Lebensstil, da ist die Problemlage halt auch handhabbar.


    Was ich richtig gerne mal tun würde. To do liste punkt 2677: alte Online-Konten löschen und so was. aber das ist ja nicht gewollt

    "Das Alte oder das Moderne zu schätzen ist leicht, aber das Obsolete schätzen zu wissen ist der Triumph des echten Geschmacks." (Nicholás Gómez Dávila)

  • Ich danke sehr für diesen Thread.

    Auto-Renewal ist abbestellt, ich werde alles bei lastpass räumen und da canceln.


    Ich gebe zu: ohne PW-Manager komme ich nicht aus.
    Ich habe so viele Zugänge, das kann ich mir unmöglich alles "so" merken - irgendeine Möglichkeit MUSS Ich haben, meine Passwörter bei der Hand zu haben.

    Da Gosney Bitwarden empfiehlt, werde ich mir das mal anschauen.


    edit: das war sehr leicht. LastPass ist Geschichte. :)

    Ich entschuldige mich mal pauschal hier für "dumme" Fragen... ich bin kein "Löter" und deswegen hier mehr ein N00b. :)

    Gruß, cp2



    Einmal editiert, zuletzt von controlport2 ()

  • Passbolt :D selber hosten und damit kann man auch professionell in Teams arbeiten etc


    :)

  • Ich habe ein Notebook! Also ein Notizbuch :duck: :mussweg: :bump

    386SX- 20 Mhz "Erster eigener Rechner!2" NoName Komponenten

    486DX -30 "Industrie PC" auf Steckkarte

    Super Sockel 7 Gigabyte GA-5AA 3Dfx Voodoo 3500 TV

    AMD "Geode" ebenfalls Steckkarte für Backplane

    3x IBM Netvista 8364 "ThinRetroSystem" 1-2 von denen würde ich tauschen...


    "und noch so einiges mehr... "

  • Halte ich für sehr sehr kritisch eine solche Option zu nutzen. Datenschutz Adee..

    Da vermischt du, glaube ich, Datenschutz mit Erziehung. Ich lese ja nicht (permanent) mit, was meine Kinder machen, sondern erziehe sie sichere Paswörter zu nutzen. Die kleineren sind jetzt 10 und 11, da bin ich noch in der Pflicht sowas zu kontrollieren bzw. beizubringen. Was mein jetzt 18 jähriger macht kann ich schon länger nicht mehr beeinflussen. Er weiß was man machen kann um sicher(er) unterwegs zu sein und wenn er das nicht macht ist er selbst schuld.

    Aber wenn man z.B. LastPass verwendet hat, wo eben die Verschlüssung nicht lokal abläuft,

    Da irrst du dich, die Verschlüsselung läuft sehr wohl lokal ab, die Daten werden in der Cloud gespeichert. Das ist bei allen Anbietern so, die ich kenne bzw. nutzen würde. So ähnlich wie die verschlossene Geldkassette im Tresor zu Hause oder die selbe im Schließfach in der Bank. Und der Bank traue ich tatsächlich auch nicht... 😉


    Beispiele:

    Zitat

    Endpunktverschlüsselung

    Die Verschlüsselung erfolgt ausschließlich auf Geräteebene, bevor die Daten zur sicheren Speicherung mit LastPass synchronisiert werden. Sie können daher nur vom Benutzer selbst entschlüsselt werden.


    https://www.lastpass.com/de/se…tschl%C3%BCsselt%20werden.


    Zitat

    Bitwarden always encrypts and/or hashes your data on your local device before anything is sent to cloud servers for storage. Bitwarden servers are only used for storing encrypted data. For more information, see Storage.

    Encryption | Bitwarden Hilfe-Center


    Es gibt auch entsprechende Tests, wo das bestätigt wird.


    Gerade die letzten Jahren zeigen doch eindrucksvoll, wie Anbieter im Bezug auf Digitalisierung und Sicherheit schlampig sind

    Ja, dass Anbieter schlampig sein können sehe ich genau so, das ist in der Natur des Menschen verankert. Es gibt nichts perfektes (leider).

    wenn am Ende doch wegen schwacher Verschlüsselung und ähnliches man rankommt, siehe den Hack bei LastPass.

    Da war aber keine schwache Verschlüsselung sondern menschliches Fehlverhalten die Ursache, die den Hack ermöglicht haben, der ja aus dem Datenklau (Geldkassetten) besteht. Die Kennwörter sind ja verschlüsselt und es geht darum, dass ein unsicheres Masterpasswort eben schneller per Wörterbuchattacke erraten werden kann, womit dann damit die Kennwörter entschlüsselt werden können.

    irgendeinem Anbieter vertraut. Ist einfach fahrlässig.

    Sehe ich genauso, deswegen sollte man sich vorab informieren und abwägen.


    Da Gosney Bitwarden

    Nicht nur der. Auch ich hoste mein eigenes Bitwarden auch schon eine Weile hier im Haus. 😀

    Aber ich denke, wir uns uns da einig, eine 100% Sicherheit gibt es eh nicht.

    Wenn ich über eins sicher bin sicher bin, dann das 😀 . 23 Jahre (mehr oder weniger professionelle) IT, DAUkontakt, Cloud(Klaut)... Kennwörter, die mit Edding auf die Tastatur geschrieben wurden... alles dabei.


    Was ich richtig gerne mal tun würde. To do liste punkt 2677: alte Online-Konten löschen und so was.

    Schuldig... 😀


    als mehr darum, dass der Kram nicht irgendwo im Internet aufm Server einfach liegen sollte

    Das ist eigentlich schon wieder einen eigenen Thread wert, wie man Daten sinnvoll, sicher, redundant und, vor allem, wo sichern kann...


    Ich danke sehr für diesen Thread.

    Gern. Purer Eigennutz. Nur deswegen :P


    Ich finde es sehr interessant welche Ansichten vorhanden sind. Deswegen hier mal danke für die Teilnahme an der DIskussion.

    Er ist ein Informatiker!

    FORMATIERT IHN!

  • Man müsste ein Zweitgerät haben, im Safe, nur für 2FA

    Für 2FA Backups nutz ich KeePass. Da brauchst kein Zweitgerät vorrätig halten. Bitwarden könnte auch 2FA speichern, das würde mir aber im Traum nicht einfallen die Kennwörter zusammen mit 2FA zu speichern.

    Er ist ein Informatiker!

    FORMATIERT IHN!

  • Man müsste ein Zweitgerät haben, im Safe, nur für 2FA

    Für 2FA Backups nutz ich KeePass. Da brauchst kein Zweitgerät vorrätig halten. Bitwarden könnte auch 2FA speichern, das würde mir aber im Traum nicht einfallen die Kennwörter zusammen mit 2FA zu speichern.

    na die meisten drücken Dir ja 2FA per Handynummer aufs Auge. Oder kann man das umgehen?

    "Das Alte oder das Moderne zu schätzen ist leicht, aber das Obsolete schätzen zu wissen ist der Triumph des echten Geschmacks." (Nicholás Gómez Dávila)

  • Oder kann man das umgehen?

    Ja, die gibts leider. Dieser MFA muss aber doch (meiner Meinung nach) auch nicht gesichert werden, weil der in der Regel in kürzester Zeit durch SIM- oder Gerätetausch wieder funktionsfähig wird.

    Er ist ein Informatiker!

    FORMATIERT IHN!

  • Ich verfolge das Thema Passwortmanager lange und nutze PWSafe von Security Guru Bruce Schneier. Ist wie Keepass Open Source, hatte aber nicht die Sicherheitsvorfälle, die Keepass über die Jahre hatte und die Verschlüsselung war auch stärker. In die Cloud (Lastpass etc.) gehören Passwörter nicht eine Minute, da war das Ende absehbar.


    Zum digitalen Erbe: Da hab ich noch eine große Baustelle vor mir.


    So ähnlich wie die verschlossene Geldkassette im Tresor zu Hause oder die selbe im Schließfach in der Bank.

    Schau mal hier


    Zitat

    Ich denke, die meisten Leute stellen sich ihren Tresor als eine Art verschlüsselte Datenbank vor, in der die gesamte Datei geschützt ist. Aber nein, bei Lastpass ist der Tresor eine Klartextdatei und nur einige ausgewählte Felder sind verschlüsselt


  • Ich nutze seit vielen Jahren KeePass. Bis letztes Jahr noch KeePass 1.x, weil das einfach historisch bei mir so gewachsen ist. Ich habe es nämlich früher auch dienstlich genutzt und portable auf dem USB-Stick bei mir gehabt, wenn ich zu Kunden rausgefahren bin. Da war es praktisch, dass es kein .NET Framework wie bei KeePass 2.x brauchte, denn bei Windows XP musste das erst separat installiert werden.


    Seit dem Umstieg auf Linux Mint letztes Jahr nutze ich KeePassXC. Ein paar Dinge aus KeePass 1.x vermisse ich zwar (z. B. einen Profilmanager für Kennwörter), aber ich komme klar.


    Die KeePass-Datenbank liegt in Kopie tatsächlich in meinem kostenlosen Dropbox-Account, den ich sonst für nichts mehr nutze. So kann ich auch am Handy per KeePass2Android auf den Inhalt zugreifen.

    Atari Portfolio, Highscreen Handy Organizer, HP 95LX, HP 200LX, HP 1000CX, OmniBook 800CT, Sharp PC-3000, ThinkPad 770, ThinkPad R500

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!