Passwortmanager im Internet - Bitte um Unterstützung

[DocHollywoodD]

Viele Dienste im Internet sind heutzutage mit der Verwendung von Passwörtern verknüpft. Daher folgende Fragen an Euch:

1. Wie sieht Ihr (unter sicherheitstechnischen Aspekten) die Verwendung von Passwortmanagern für das Internet (speziell unter Verwendung von Apple Produkten)? Machen sie einem das Leben tatsächlich bequemer?

2. Welche Passwortmanager empfiehlt Ihr (aus eigener Erfahrung, z.B. diese Quelle Cybernews)? Wie beurteilt Ihr Apple Schlüsselbund?

3. Was beurteilt Ihr die Funktion „Mit Apple anmelden“? Ist diese Funktion nützlich und sicher?

4. Wie ist Euer Umgang mit den ggf. vielen Passwörtern im Internet?

Vielen Dank für Eure Hilfe!
DocHollywoodD

 

[geniussoft]

Dazu gibt es wsl. so viele Meinungen wie Passwörter… Es ist sicher gut und konsequent für jeden Dienst ein eigenes komplexes Passwort zu verwenden. Da es dann mit der Zeit viele werden ist ein Passwortmanager schon wirklich gut. Wir nutzen 1Password, es ist auf Apple Geräten wie auch in der Windowswelt perfekt integriert und sehr hilfreich. Mit „Apple anmelden„ nutzen wir vereinzelt auch, es ist unproblematisch. Schlüsselbund nicht mehr, ist okay gewesen, aber passkeys oder 2 Stufen Verifikationen gingen damit nicht. M.E. Lohnt sich ein Passwortmanager besonders wenn man plattformübergreifend unterwegs ist.

 

[jensche]

Ganz einfach: https://bitwarden.com/

oder im Abo Password

 

[Carcharoth]

Viele Dienste im Internet sind heutzutage mit der Verwendung von Passwörtern verknüpft. Daher folgende Fragen an Euch:

1. Wie sieht Ihr (unter sicherheitstechnischen Aspekten) die Verwendung von Passwortmanagern für das Internet (speziell unter Verwendung von Apple Produkten)? Machen sie einem das Leben tatsächlich bequemer?

Ja.

2. Welche Passwortmanager empfiehlt Ihr (aus eigener Erfahrung, z.B. diese Quelle Cybernews)? Wie beurteilt Ihr Apple Schlüsselbund?

Bitwarden.

Die Webseite da kannst direkt in die Tonne kloppen. Platz 1 und 2 sind mit ziemlicher Sicherheit gesponsort, der Rest der da aufgelistet ist, beinhaltet nicht mal die bekanntesten sondern irgendwelche Software von denen teilweise kaum jemand gehört hat. Der einzige Bekannte da auf der Liste ist 1password, und denen würd ich mittlerweile auch nix mehr anvertrauen. Aber das ist ne andere Story

3. Was beurteilt Ihr die Funktion „Mit Apple anmelden“? Ist diese Funktion nützlich und sicher?

Ist nützlich für so Kleinkram-Webseiten die unbedingt wollen, dass man nen Account erstellt, aber man eigentlich nicht vorhat die Seite jemals wieder zu besuchen. (Im Sinne von "Diese Seite ist es nicht Wert, dass ich extra nen Eintrag im PW-Manager dafür erstelle")

4. Wie ist Euer Umgang mit den ggf. vielen Passwörtern im Internet?

Jede Seite kriegt n eigenes. Seit fast 20 Jahren. Setzt halt voraus, dass man da regelmässig aufräumt und Ordnung hält.

 

[kolvi]

Warum reicht nicht der Apple Schlüsselbund? Für kritische Anwendungen (Banken etc.) gibt es ja zusätzlich noch die 2F-Autorisierung per iPhone

 

[Mitglied 252231]

2FA lässt sich doch auch mit der Apple Passwords App durchführen.

Ich arbeite recht gerne damit.

Gruß
michhi

 

[AndaleR]

Nutze auch nur Apples Teil. Reicht mir/uns vollkommen. In der Firma arbeite ich mit Windows - bin da aber eigentlich nie auf Seiten unterwegs, bei denen ich ein Passwort brauche. Von daher zufrieden und glücklich mit Apples Passwortverwaltung und kein Problem wegen plattformübergreifender Nutzung.

 

[tiny]

@Carcharoth
Vielleicht war Dein posting jetzt der Auslöser dafür, daß ich von 1 Password 6 wegkomme. Wäre ein Umstieg auf Bitwarden einfach möglich? Oder müßte ich die Daten händisch alle neu eingeben?

 

[Carcharoth]

@Carcharoth
Vielleicht war Dein posting jetzt der Auslöser dafür, daß ich von 1 Password 6 wegkomme. Wäre ein Umstieg auf Bitwarden einfach möglich? Oder müßte ich die Daten händisch alle neu eingeben?

Ist ganz einfach mit Export/Import.

Import Data from 1Password | Bitwarden Help Center

If you are switching password managers from 1Password to Bitwarden, use this article guide you to export data from 1Password and import into Bitwarden.

bitwarden.com

 

[tiny]

Danke für den link zum exportieren!
Welchen Nachteil hat Bitwarden gegenüber 1 Password?
Ich verwende es um am Mac ein Login zu erstellen und verwende dann den automatischen sync um die Passworte auf das iPhone zu bekommen.

 

[AndaleR]

Wieso reicht dir Apples Verwaltung nicht, @tiny?

 

[_macminimal]

The one and only Schlüsselbund! Nutze ich zum Erzeugen und Speichern jeglicher PWs, auch wenn ich sie auf anderen Plattformen nutze und dort aus dem SB abschreibe. Praktisch weil per iPhone immer dabei...

 

[tiny]

Wieso reicht dir Apples Verwaltung nicht, @tiny?

Gute Frage!
Ich habe zumeist noch weitere Infos im jeweiligen Eintrag in 1 Password. Dort kann man ja PDF Dateien, Photos etc. ablegen

Ohoh 😳

Schwachstellen in Bitwarden Password-Manager-Browserweiterung können Passwörter verraten

[English]Nutzer des Passwort-Managers Bitwarden laufen in das Risiko, dass die Auto-Fill-Funktion beim Besuch von Webseiten Anmeldeinformationen leckt. Bösartige Webseiten könnten über ein in vertrauenswürdigen Seiten eingebettetes IFRAME Anmeldeinformation stehlen und an einen Angreifer senden.

www.borncity.com

"...Die Sicherheitsforscher beschreiben in ihrem Blog-Beitrag mehrere Szenarien, in denen Angreifer Zugriff auf gespeicherte Anmeldeinformationen für Webseiten erhalten. Als die Forscher Bitwarden mit den Erkenntnissen konfrontierten, kam eine überraschende Antwort. Der Anbieter scheint sich seit vielen Jahren dieses Problems bewusst zu sein. Bitwarden verwies die Sicherheitsforscher in der Antwort auf den Security Assessment Report (PDF, siehe auch diese Bitwarden-Seite) vom 8. November 2018, in dem die Schwachstelle in Bezug auf die Behandlung von iframes beschrieben wird (BWN-01-001). Das bedeutet, dass diese Sicherheitslücke seit über vier Jahren als dokumentiert und öffentlich bekannt gilt!"

 

[AndaleR]

Naja, welches System ist schon 100% sicher?

 

[kolvi]

Naja, welches System ist schon 100% sicher?

Ich behaupte einmal "keines". Ich denke, alle modernen Computersysteme (Phones, Tablets, PCs etc.) bringen durch ihre moderne Hardwarearchitektur im Core (SoC) gute Voraussetzungen mit, Daten sicher abzulegen, Passkeys zu generieren etc. Wobei ich da der Secure Enclave im relativ geschützten Universum von Apple einen Bonus gegenüber Wettbewerbern (Intel & Co) mitgeben würde. Auch die vielfach zitierten "Sicherheitsrisiken" werden meist nur in speziellen Testumgebungen /-konfigurationen nachgewiesen und weniger auf Ottos Normalanwenders Rechner...

Das "Sicherheitsproblem" liegt somit zu 99,99% bei uns, beim user selbst...

 

[Scotch]

1.) Ja.
2.) 1password. Ich würde nicht meinen Passwortmanager mit einer Apple-, Google- oder Microsoft-ID verknüpfen wollen, denn wenn dann mal was mit der ID ist, ist potentiell alles weg bzw. korrumpiert (ID sperren -> alles Passwörter gesperrt...)
3.) Kannst nur du beurteilen & ja.
4.) siehe 2.)

 

[tiny]

@Scotch
Sind bei 1Password auch solche gefährlichen Schwachstellen wie bei Bitwarden (siehe mein posting #13) bekannt?

 

[geniussoft]

@Scotch
Sind bei 1Password auch solche gefährlichen Schwachstellen wie bei Bitwarden (siehe mein posting #13) bekannt?

Bei jedem Passwortmanager wird früher oder später über Schwachstellen berichtet. Unfehlbarkeit gibt es da laut Internet nicht. Es ist sicher auch ein Stück weit Risiko einem Passwortmanager seine Daten anzuvertrauen. KeePass ist m.W. ein ausschließlich lokaler Speicher, da kann weniger passieren. Ist dann aber eben auch entsprechend unkomfortabel. Cloud Dienste können immer gehackt werden. Wir nutzen 1Password weil es komfortabel ist. Bei kritischen Seiten gerne dann noch 2FA oder was immer zusätzlich an Sicherheit geht mit dem Wissen das immer ein Restrisiko bleibt.

 

[tiny]

Bitwarden und 1Password könnte ich aber ebenso wie KeePass auch nur lokal am Mac verwenden. Ist das korrekt?

 

[hotrs]

Wenn du mit "lokal" keine Cloud-Speicherung meinst, dann stimmt das nicht so ohne weiteres.

Die aktuelle 1Password Version legt die Daten in der 1Password-Cloud ab. Für die Nutzung ist ein Konto erforderlich, welches mit einem Abo verbunden ist. Jede Installation sichert jedoch eine lokale Kopie, so dass auch offline auf die gespeicherten Daten zugegriffen werden kann. Soweit ich mich erinnere, konnte man bei 1Password in so einem Fall die Daten auch bearbeiten, bei einer Online-Verbindung findet dann ein Abgleich mit der 1Password-Cloud statt.

Für Bitwarden gilt erstmal quasi das gleiche. Allerdings meine ich mich erinnern zu können, dass Bitwarden im Offline-Modus keine Bearbeitung der Daten zulässt. Mit Vaultwarden gibt es eine zu Bitwarden kompatible OpenSource-Alternative, um die Kontrolle über seine Daten zu behalten. Man setzt quasi einen eigenen Bitwarden-Server auf, der dann lokal z.B. auf einem passenden NAS laufen kann. Die Bitwarden Apps auf den mobilen Geräten greifen dann anstatt auf die Bitwarden-Cloud auf diesen eigenen Server zu.

Als wirkliche Alternative zu 1Password unter Verwendung einer rein lokalen Synchronisierung wird immer wieder Enpass genannt.

Ich selber nutze aktuell KeePass (Strongbox unter macOS, iOS und iPadOS; KeePassXC unter Windows) mit einer in der Cloud meines Mail-Providers gespeicherten Datenbank. Diese ist neben einem Passwort mit einer Schlüsseldatei gesichert, die nur lokal auf den jeweiligen Geräten liegt. Für mich ein guter Kompromiss zwischen Bequemlichkeit und Sicherheit.

Aktuell spiele ich aber mit dem Gedanken, auf eine selbst verwaltete Bitwarden-Instanz umzusteigen.