• Es gibt nach dem Softwareupdate eine Reihe von Änderungen und Neuerungen in unserem Forum. Genaueres dazu findet Ihr in dieser Ankündigung. Hinweise, Kritik, Anregungen, Lob und Tadel bitte hier diskutieren.

Könnt ihr noch (Kostenlose) Passwort Manager empfehlen?

Misto

Doppelter Prinzenapfel
Mitglied seit
06.11.18
Beiträge
439
Naja, ein Stück Vertrauen gehört schon dazu. Aber wo fängt es an, wo hört es auf? Grundsätzlich kann niemand was mit den auf den Servern vorhandenen Daten anfangen, solange er nicht das Masterpasswort und den Secret Key kennt. Selbst wenn die Datenbank gestohlen wird. Denn beide Keys sind nicht nur wichtig zum Einloggen, sondern spielen bei 1Password auch bei der End-zu End-Verschlüsselung eine Rolle. Beide Keys befinden sich auf dem heimischen Gerät, nicht auf den Servern. Mit den Servern werden dann nur verschlüsselte Hash-Werte zur Überprüfung ausgetauscht, nicht die Masterpasswörter/Keys selbst.

Klar, das Masterpasswort sollte jetzt nicht gerade 12345 sein.

Bei den diversen Fällen von via Datenbank gehackten Daten bei unternehmen waren die Daten auf den Servern nicht oder nicht ausreichend verschlüsselt. Also Schlampigkeit. Man darf davon ausgehen, dass das bei Passwortmanagern nicht der Fall sein sollte, da es ja das Kerngeschäft dieser Anwendungen ist.

Aber das selbe gilt für den Schlüsselbund bei icloud oder die Speicherung bei Dropbox. Und ist der heimische PC oder das heimische NAS wirklich sicher vor Angriffen? Sind OpenSource-Apps wirklich ohne Hintertürchen? Wer von uns kann das schon sagen? Die meisten haben nicht den Hauch einer Ahnung, um das zu überprüfen und die wenigsten Programme werden tatsächlich einem Audit unterzogen, so dass das auch nur eine trügerische Sicherheit ist.

Besser als das Blatt Papier unter der Schreibtischunterlage ist es allemal
 
Zuletzt bearbeitet:

echo.park

deaktivierter Benutzer
Mitglied seit
08.06.11
Beiträge
11.076
Der iCloud Schlüsselbund wurde über die Jahre ja immer mal wieder von "Sicherheitsforschern" unter die Lupe genommen und für ordentlich umgesetzt befunden. Von daher bin ich da ganz beruhigt.

Aber natürlich weiß man es nie. Und wird es nie wissen.
 

ottomane

Welschisner
Mitglied seit
24.08.12
Beiträge
11.710
Also ich benutze es beruflich in soweit, dass ich dort die Passwörter für bestimmte Websites speichere, die ich nur beruflich nutze. Etwa den Login zu unserem Händler für Labormaterial oder der Zugang zum Recherchedienst.
Mit lokaler DB oder mit der 1Password-Cloud?

Ich denke das ist sicherer, als das Passwort dem Browser oder einer txt zu überlassen. :p
Ohne Zweifel ;)
 

ottomane

Welschisner
Mitglied seit
24.08.12
Beiträge
11.710
Beide Keys befinden sich auf dem heimischen Gerät, nicht auf den Servern. Mit den Servern werden dann nur verschlüsselte Hash-Werte zur Überprüfung ausgetauscht, nicht die Masterpasswörter/Keys selbst.
Ah, da hat man sich bei 1Passwort Gedanken gemacht ;) Das bedeutet dann auch, dass die Passwörter nicht im Browser angezeigt werden, sondern nur in der 1P-App. Das hört sich besser an, als ich zunächst anhand des weiter oben geschilderten Vorgangs befürchtete. Dabei ging ich von einem Web-Frontend aus, was zur Alarmierung meines Paranoia-Sensors führte. Sorry für mein Fehlverständnis.
 
  • Like
Wertungen: echo.park

martinx

Braeburn
Mitglied seit
05.11.10
Beiträge
46
Hi zusammen, schon mal vielen Dank für eure Antworten. Eine Frage zum iCloud Schlüsselbund, das läuft aber nicht auf der Apple Watch oder wo sollte ich das finden?
Keepass habe ich auch (bisher) meine ganzen Passwörter drin, gibst aber auch keine Version für die Apple Watch.
Microsoft OneNote gibt's zwar für die AW , funktioniert aber nicht richtig.

So ein Keepass Viewer auf der AW wäre natürlich ideal.
 

echo.park

deaktivierter Benutzer
Mitglied seit
08.06.11
Beiträge
11.076
Eine Frage zum iCloud Schlüsselbund, das läuft aber nicht auf der Apple Watch oder wo sollte ich das finden?
Nein. Der iCloud Schlüsselbund dient in erster Linie dazu Formulare in Safari auszufüllen, wenn man sich einloggen möchte. Und auf der Watch gibt es kein Safari, damit surft man ja nicht im Web. Und dann bezieht sich der Schlüsselbund noch auf die Logins in Apps, vor allem auf dem iPhone (wenn man sich da in die Netflix App einloggen möchte, zum Beispiel).
 

Mure77

Moderator
AT Moderation
Mitglied seit
25.06.07
Beiträge
8.015
Ich traue solchen Passwortprogrammen überhaupt nicht, ob mit oder ohne Einsatz von Geld. Sollte es dort mal zu einem Hack kommen ist man offen wie ein Scheunentor. Ich habe die Passwörter im Kopf und die Dienste nur noch auf die Dienste und Seiten komprimiert welche ich wirklich regelmäßig nutze bzw. brauche.
 
  • Like
Wertungen: dg2rbf

Zug96

Echter Boikenapfel
Mitglied seit
28.01.13
Beiträge
2.356
Niemals nie nicht würde ich auch nur ein Passwort in ein kostenloses (!) russisches (!) Programm eingeben. Sorry, da bin ich altbacken.

Passwort-Manager sind etwas sehr Sicherheitsrelevantes und man sollte da eigentlich per se nicht auf kostenlose Alternativen zurückgreifen. Warum sollten Entwicklerfirmen etwas so komplexes herschenken? Diese Frage sollte man sich stellen, ehe man seine digitale Identität irgendeinem Freeware-Programm in den Rachen wirft...
Kostenlos? Ich schrieb dass es sicher nicht für jedermann ist ;D Aber ich gebe dort eh nur Passwörter für Dienste wie Netflix und co ein und da ist es MIR egal was da passiert. Chinesische Services sind sowieso nicht generell besser und Amerikanischen Diensten traue ich auch nicht unbedingt viel mehr. Bin seit 3 Jahren dort und für MICH stimmt es so. Weiter ist es generell rassistisch wenn man einfach sagt alle Russen sind schlecht so wie es du schreibst. Aber man kennt Dich ja ;)
 

Teddy<3

Eifeler Rambour
Mitglied seit
20.07.11
Beiträge
600
Sollte es dort mal zu einem Hack kommen ist man offen wie ein Scheunentor
...dann hast du das Prinzip nicht verstanden oder aber du traust dem Ganzen wirklich nicht, was dann aber eher von Unwissenheit kommt (vermutlich). Denn rein technisch sind die Daten komplett verschlüsselt und können nicht entschlüsselt werden, ohne den benötigen Faktoren wie z.B. Master Password und Secret Key - und diese werden nicht übertragen, die bleiben lokal!
Aber gut, auch hier gilt, man muss dem Unternehmen trauen, dass die Daten auch wirklich verschlüsselt sind.
Aus Clientsicht kann ich nur sagen, per Wireshark (Sniffer Tool) sehe ich nur verschlüsselte Daten...
 
  • Like
Wertungen: echo.park

hillepille

Rheinischer Bohnapfel
Mitglied seit
19.07.09
Beiträge
2.427
Ich habe die Passwörter im Kopf und die Dienste nur noch auf die Dienste und
Seiten komprimiert welche ich wirklich regelmäßig nutze bzw. brauche.
Was waren das für Zeiten als ich alle Passwöärter im Kopf parat hatte. Das ist aber wegen der Menge der Passwörter, der Komplexität und dem Anspruch bei jedem Dienst ein anderes zu nutzen einfach nicht mehr machbar. Ausserdem verwalte ich mit dem Manager auch meine Softwarelizenzen, Garantieansprüche, .... alle wichtigen und schützenswerten Sachen. Ich sehe da auch kein Problem, der verschlüsselte Tresor liegt hier lokal auf meinem NAS und ist aus dem Netz gar nicht erreichbar. Gesynct wird ausschliesslich hier im lokalen Netzwerk.
 

kelevra

Vollbrechts Borsdorfer
Mitglied seit
12.07.10
Beiträge
4.526
OK, ich fragte nur, weil ich ursprünglich den Sync über Internet kritisierte.
Ich hatte den Tresor auch mal in Dropbox liegen, sah dann aber ehrlich gesagt keinen Vorteil für mich. Von daher nutze ich lokale Tresore und WiFi Sync. So oft trage ich da keine neuen Daten ein, als dass ich den Online Sync bräuchte. Und etwas sicherer fühlt man sich da ja schon.

Und irgendeinem Werkzeug muss ich schlussendlich trauen, denn sonst müsste ich auf ein Papiernotizbuch ausweichen und Passwörter stets von Hand eintippen, was auch nur bedingt schützt.

Zu viel Paranoia muss man da jetzt auch nicht an den Tag legen. Die Wahrscheinlichkeit, dass man als Einzelperson Ziel einer Attacke ist, ist doch sehr gering. Den VIPs hier möchte ich damit nicht auf die Füße treten. Aber die Wahrscheinlichkeit ist dann doch größer, dass eine der größeren Buden gehackt wird, etwa Dropbox und andere Dienste.
 

Mure77

Moderator
AT Moderation
Mitglied seit
25.06.07
Beiträge
8.015
...dann hast du das Prinzip nicht verstanden oder aber du traust dem Ganzen wirklich nicht, was dann aber eher von Unwissenheit kommt (vermutlich). Denn rein technisch sind die Daten komplett verschlüsselt und können nicht entschlüsselt werden, ohne den benötigen Faktoren wie z.B. Master Password und Secret Key - und diese werden nicht übertragen, die bleiben lokal!
Aber gut, auch hier gilt, man muss dem Unternehmen trauen, dass die Daten auch wirklich verschlüsselt sind.
Aus Clientsicht kann ich nur sagen, per Wireshark (Sniffer Tool) sehe ich nur verschlüsselte Daten...
Ich bin den Meinung etwas wird programmiert und da es nicht von Geisterhand programmiert wurde sondern von Menschen kann auch ein Mensch das wieder entschlüsseln. Natürlich ist das alles hochkomplex, eine 100 % Sicherheit gibt es nicht. Das ist mir klar. Egal welchen Weg man wählt.
 

Teddy<3

Eifeler Rambour
Mitglied seit
20.07.11
Beiträge
600
Ich bin den Meinung etwas wird programmiert und da es nicht von Geisterhand programmiert wurde sondern von Menschen kann auch ein Mensch das wieder entschlüsseln. Natürlich ist das alles hochkomplex, eine 100 % Sicherheit gibt es nicht. Das ist mir klar.
Falsch! Programmiert von Menschen, ja, aber Programmierer erfinden das Rad ja nicht neu, sondern bedienen sich von verschiedensten "Bibliotheken". So ist es auch bei den Verschlüsselungsalgorythmen - diese gibt es schon. Das sind hochkomplexe mathematische Formeln, diese werden in den Source Code "einfach" implementiert und angesprochen/angesteuert.
Dennoch kann ich verstehen, wenn das für Laien befremdlich und undurchsichtig wirkt. Ist aber sicher ;)

//EDIT: Ein Hacker kann maximal die verschlüsselten Daten abgreifen. Schön für ihn. Und was macht er dann damit? Solche Rechner gibt es gar nicht, die diese Rückrechnungen (Entschlüsselungen) überleben würden.
 
  • Like
Wertungen: echo.park

rootie

Böhmischer Jungfernapfel
Mitglied seit
30.06.11
Beiträge
8.284
Weiter ist es generell rassistisch wenn man einfach sagt alle Russen sind schlecht so wie es du schreibst. Aber man kennt Dich ja ;)
Sorry, aber Du hast einen Vollschlag. Ich habe weder gesagt, dass Russen schlecht sind noch bin ich ein Rassist. Was erlaubst Du Dir eigentlich?

Einer meiner besten Kumpels kommt aus Russland. Ich kenne nicht viele Leute, die weniger Anstand haben als Du.
 

Zug96

Echter Boikenapfel
Mitglied seit
28.01.13
Beiträge
2.356
Sorry, aber Du hast einen Vollschlag. Ich habe weder gesagt, dass Russen schlecht sind noch bin ich ein Rassist. Was erlaubst Du Dir eigentlich?

Einer meiner besten Kumpels kommt aus Russland. Ich kenne nicht viele Leute, die weniger Anstand haben als Du.
Auf meine anderen Punkte gehst du nicht ein, z.B. Das es nicht kostenlos ist. Was ich mir erlaube einen rassistischen Post von deiner Seite zu kritisieren? „russisches (!)“ Was soll das? Du wirfst hiermit alles russische in einen Topf. Politische Statements haben hier nichts verloren. Post ist gemeldet und die Diskussion hiermit beendet alles andere wäre OT und kann per PN gelöst werden.
 

wavelow

Weißer Winterglockenapfel
Mitglied seit
09.09.14
Beiträge
895
Ich traue solchen Passwortprogrammen überhaupt nicht, ob mit oder ohne Einsatz von Geld. Sollte es dort mal zu einem Hack kommen ist man offen wie ein Scheunentor. Ich habe die Passwörter im Kopf und die Dienste nur noch auf die Dienste und Seiten komprimiert welche ich wirklich regelmäßig nutze bzw. brauche.
Das wäre mir nicht ansatzweise möglich. Ich nutze sehr lange und sehr kryptische Passwörter. Unmöglich zu merken und schon gar nicht bei der Anzahl an Logins die man so nutzt. Hut ab, wenn Du Dir das alles merken kannst!

Wo es geht nutze ich 2-FA als zweite Schicht (sogar hier bei Appeltalk) und die Keydatei des P-Managers wird natürlich niemals zusammen mit der verschlüsselten Passwortmanagerdatenbank irgendwo im Netz abgelegt. Bei Enpass lässt sich die Datenbank nicht nur in der iCloud, Dropbox, NAS sondern auch rein lokal in einem beliebigen Ordner synchronisieren.

Andererseits gibt es Passwortmanager schon recht lange und einige haben sich ja anscheinend auch bewährt. Sonst wäre das Netz ja schon voll mit riesigen Katastrophenmeldungen. Fast alle Fälle die man so hört haben Schlampereien des Opfers als Ursache. Genau wie der "Skandal" um das angebliche Hacking von Politikeraccounts wie des grünen Super Roberts Facebookaccount. Der Mann hatte schlicht selber Schuld wie alle anderem in diesem Falle auch.

Eine gesunde Portion Paranoia aber kann ja nicht schaden. Dann tut man wenigstens was für die Sicherheit :)