Notiz Passwort-Manager: Dropbox Passwords Beta für Android und iOS erschienen

[SVΞN]

Dropbox arbeitet zurzeit an einem eigenen Passwort-Manager für Android und iOS, der auf Einladung bereits getestet werden kann. Die App „Dropbox Passwords“ ist im Google Play Store sowie dem App Store von iOS verfügbar und nutzt für die sichere Verschlüsselung von Passwörtern das Zero-Knowledge-Protokoll.

Zur Notiz: Passwort-Manager: Dropbox Passwords Beta für Android und iOS erschienen

 

[devebero]

Schuster bleib bei deinen Leisten...Ich bleibe bei Dashlane.

 

[Knuddelbearli]

Wie sicher sind die Teile eigentlich? Bin schon lange am überlegen, hab bisher immer noch Keepass, aber inzwischen brauch ich meine Passwörter immer öfters auch Mobil. Selbst Hosten will ich da eher nix ein Fehler oder sich mal paar Wochen nicht um Updates kümmern und zack wirds riskant ...

 

[Marflowah]

Hmmmm...schwierige Entscheidung.
Vertraue ich meine Passwörter einem quelloffenen, von jederman einsehbaren Open-Source-Programm an oder doch eher
Dropbox, das Dropbox.Inc gehört, propietär und closed source ist?

Bitte wählen Sie jetzt!

 

[jimmy13]

@Knuddelbearli
Leider weiß ich nicht, welches mobile Gerät du nutzt. Allerdings habe ich meine Keepass Datenbank auf Dropbox liegen und lasse die auch auf meinem Android-Gerät synchronisieren.
Darauf wiederum läuft Keepass2Android und das leistet mir sehr gute Dienste. Auch mit meinem Yubikey kommen beide Geräte gut klar.
Nachteil ist jedoch, dass das kostenlose Dropbox die Anzahl der Geräte einschränkt. Das kann, je nach Menge, zu wenig sein oder man muss bezahlen. Auch das gleichzeitige geöffnet lassen am PC und Bearbeiten am Handy verursacht Komplikationen, da nicht gleichzeitig auf die Datei zugegriffen werden kann. Dropbox erzeugt dann eine Kopie in deinem Speicher.

 

[new Account()]

Also, wenn das nicht Open Source wird, können die das vergessen.
Das wären immerhin meine Passwörter...

 

[twrz]

Aus gegebenem Anlass:
Hier findet man Empfehlungen eines Open-Source-affinen Datenschutzexperten.

 

[FeelsGoodManJPG]

Da bleibe ich lieber bei Bitwarden, das ist Open Source und man kann es auch selbst hosten, was ich allderings nicht tue.
Bis zu zwei User ist es kostenlos. Die Browseraddons dazu sind auch gut.

 

[new Account()]

Hier findet man Empfehlungen eines Open-Source-affinen Datenschutzexperten.

eine Empfehlung - weitere gibt es hier:
https://www.privacytools.io/software/passwords/

 

[psyabit]

OpenSource ist definitiv nicht sicherer nur weil es OpenSource ist. Dieser Mythos wurde doch schon längst begraben!?

 

[BeBur]

Bin schon lange am überlegen, hab bisher immer noch Keepass, aber inzwischen brauch ich meine Passwörter immer öfters auch Mobil.

Benutz KeePass mit einer Schlüssel-Datei als zweiten Faktor, synchronisiere den KeePass Container über Dropbox und kopiere manuell die Schlüssel-Datei auf dein Smartphone.

 

[new Account()]

OpenSource ist definitiv nicht sicherer nur weil es OpenSource ist.

Ich würd aber gerne wissen, was mit meinen Passwörtern so passiert.

 

[BeBur]

OpenSource ist definitiv nicht sicherer nur weil es OpenSource ist. Dieser Mythos wurde doch schon längst begraben!?

Software neigt dazu so schlecht programmiert zu sein, dass es gruselig ist. Ja, auch in großen Unternehmen mit toll aussehenden Apps. Das zumindest geht bei Open Source nicht. Dazu das, was new Account() geschrieben hat.

 

[psyabit]

@BeBur ClosedSource kann aber Geld, Ruf und die Marke schädigen. OpenSource bedingt. ClosedSource kann entwickler auch für mühsame Code Analyse bezahlen. Klar wenn du den Code lesen kannst ist doch super, aber da bist du eine Ausnahme.

@new Account() du gehörst zu einer Minderheit.

 

[new Account()]

Klar wenn du den Code lesen kannst ist doch super, aber da bist du eine Ausnahme.

Um zu wissen was mit meinem PW passiert, muss nicht ich unbedingt Code lesen können.

Bei beliebteren Sachen schauen da schon auch einige andere Leute drüber (und erzählen ggf. davon).

@new Account() du gehörst zu einer Minderheit.

Das heißt der Mehrheit ist es egal was mit ihren Passwörtern passiert?
hmm - wäre mir da nicht so sicher.

 

[knoxxi]

Da bleibe ich lieber beim guten alten Schlüsselbund.

 

[tox1c90]

Ich würd aber gerne wissen, was mit meinen Passwörtern so passiert.

Und das weißt du bei Open Source? Du guckst dir also den kompletten Quellcode des Passwortmanagers durch, bevor du ihn verwendest? Und das auch nach jedem Update aufs Neue?

Dass "irgendein Experte wird es sich schon angeguckt und kontrolliert haben" nicht funktioniert, hat man ja beim OpenSSL-Skandal gesehen. Ein grober extrem sicherheitsrelevanter Fehler, der jahrelang überlebt weil sich keine Sau das nochmal angeguckt hat.
Du musst davon ausgehen, dass auch bei Open Source der Großteil des Codes von keiner anderen Person außer der, der diesen geschrieben hat, auch wirklich kontrolliert wurde.
Bzw du kannst es einfach nicht wissen.

Folglich ist das Open Source Programm für dich höchstwahrscheinlich genauso eine Black Box wie ein Closed Source Programm.

Ich würde behaupten, wenn der Entwickler eines Open Source Passwortmanagers geschickt eine Backdoor einbauen oder auch ganz simpel die Passwörter im Klartext verschicken würde, fällt das monatelang keinem auf. Und wenn doch irgendwann - tja Mist, Fehler gemacht, shit happens und er verdünnisiert sich.
Ich sehe das eher so, dass eine große Softwarefirma sich sowas niemals leisten würde, weil es wirtschaftlich für sie den Ruin bedeuten würde. Darum habe ich mehr Vertrauen in ein solches Produkt, auch wenn es Closed Source ist.

 

[new Account()]

Und das weißt du bei Open Source? Du guckst dir also den kompletten Quellcode des Passwortmanagers durch, bevor du ihn verwendest? Und das auch nach jedem Update aufs Neue?

Warum sollte man das machen?
I.d.R. sieht man direkt die Änderungen die durch ein Update gemacht werden.

Und letztendlich ändert sich für gewöhnlich auch nicht mit jedem Update das ganze Programm, sondern es kommt ein Bugfix oder ein Feature dazu.
Und, sollte das etwas kritisches sein, ist das bei bekannteren Sachen i.d.R. sofort auf einschlägigen Techseiten zu finden.

Dass "irgendein Experte wird es sich schon angeguckt und kontrolliert haben" nicht funktioniert, hat man ja beim OpenSSL-Skandal gesehen.

Sorry, ziemlich irrelevant.
Heartbeed war ein Bug, und kein "unerwünschtes Feature" oder ähnliches. Im Code stand nicht "createNewSecurityIssue();"
Nur weil viele Leute drüber schauen, heißt das auch nicht, dass etwas bugfrei ist. Bestes Beispiel dafür dürfte wohl der Linuxkernel sein: Tausende Leute und Unternehmen entwickeln mit und doch gibt es eine Reihe von Bugs.

Folglich ist das Open Source Programm für dich höchstwahrscheinlich genauso eine Black Box wie ein Closed Source Programm.

Nein.
Sonst würde es z.B. bei Matrix nicht hunderte an Meldungen geben, welche u.a. auch kleine Details melden/kritisieren.
z.B. https://github.com/matrix-org/matrix-doc/issues/1281
Kannst gerne mal durch GitHub repos browsen, wer da was sich anschaut und Feedback gibt.
Darüber hinaus gibt es sogar wissenschaftliche Arbeiten/Paper darüber (Datenschutz, DSGVO, Verschlüsselung, etc.).
Einfach mal recherchieren...


Ganz abgesehen vom impliziten Druck auf die Maintainer der Software.


Und nein, ich sage nicht, dass das bei allem der Fall ist, sondern eher bei beliebteren Sachen und/oder Sachen, an denen es auch höhere Mitarbeit durch externe gibt (wie es auch bei Matrix der Fall ist: So hat nicht nur Frankreichs Regierung, sondern auch die deutsche Bundeswehr Server und die Chatapp geforked und für sich eigens angepasst)


Eine Organisation, welche sich z.B. für Consumerinteressen in Privacy & Security einsetzt, ist das oben schon aufgeführte privacytools.io.
Diese empfehlen Open Source Software, und aktualisieren je nach Status auch deren Empfehlungen.
Hier beispielsweise die Gründe, warum die Empfehlung von Wire als Messenger entfernt worden ist:
https://forum.privacytools.io/t/delisting-wire-from-privacytools-io/2087/28


TLDR: Weit gefehlt
PS: Fokus auf Chatanwendungen, da ich da selbst informierter bin.

 

[luckysh0t]

Schuster bleib bei deinen Leisten...Ich bleibe bei Dashlane.

Wenn diesen Satz jeder beachten würde, wären wir technisch wohl nicht so weit.

@
Knuddelbearli
Ich nutze Keepass + Kee (FF Addon) am PC und Strongbox am iPhone.Die Datenbank dazu liegt entsprechend verschlüsselt auf meinem Strato HiDrive.

 

[e_Lap]

Nutze seit Jahren Dashlane. Top Programm.