News Synology C2 Password: Kostenloser Passwortmanager setzt auf E2E und AES-256

[kelevrax]

Bei sowas sensiblem wie einem Passwort-Manager kommt für mich nur Open-Source Software in Frage. Bitwarden ist da ein schönes Beispiel - alles Foss, alles selbst hostbar, aber auch als Service angeboten (einfach kostenlos, mit ein paar Zusatzfeatures 10€ im Jahr).
Proprietäre Software setzt mir da viel zu viel Vertrauen in die Fähigkeiten und die Integrität des Anbieters voraus.

Ich fürchte man überschätzt dann die eigenen Fähigkeiten schnell selbst. Gerade was die Absicherung des eigenen Netzwerkes und der eigenen Systeme angeht, ist das ja bei Weitem nicht so trivial. Potenziell dürfte es einfacher sein in dein privates Netzwerk einzudringen und den Passworttresor zu stehlen als bei einem kommerziellen Anbieter.

Andererseits hat man dann in beiden Fällen auch erstmal nur den Tresor rausgetragen. Es kommte meiner Meinung nach daher hauptsächlich auf dessen Integrität an, nicht auf dessen Speicherort.

Des Weiteren muss man bedenken, dass für uns Computer-affinen Nutzer das alles so einfach klingt, sich die Dienste selbst zu hosten und wir haben auch noch unseren Spaß daran. Der durchscnittliche Nutzer hat da aber weder einen Plan von noch die Lust darauf. Und es ist nun mal auch der durschnittliche Nutzer der mit Passwörter wie "passwort" und "1234" lebt.

 

[MiniM3]

Sicherheit ist sehr vielfältig. Die einen denken gleich an hacker. Ich eher an etwas anderes...

Ich sichere durchaus wichtige Daten im cloud, für mich bedeutet Sicherheit, dass ich keine Informationen verliere die ich nicht wieder beschaffen kann.

Also wenn jemand seine NAS hat und seine Backups und whathever ist das zum Beispiel nicht sicher gegen ein Brand. Dann is alles weg.

Bin mal gespannt wie viele ein Backup Platte bei Oma haben, den sie alle Woche abholen und updaten und wieder zurück schaffen. Oder ein feuerfesten safe wie Photographen.

Eine lokale Sicherheit ist für mich keine, da ist der cloud ein Segen.

Passwörter habe ich alle im Kopf... Auch nicht die beste Lösung, noch geht's.

 

[Kettensäge CH]

Ich bleibe bei meiner txt Datei für PW.

Hab ich zeitweise für unwichtige, also so richtig unwichtige Sachen wie Wegwerfaccounts gemacht, aber selbst da nur einzelne Buchstaben für die Wörter getippt und einzelne Kennziffern, aus dem ich den Rest per Kopf aka Erinnerung wieder zusammensetzen konnte.

Ein X 6 P bringt dir auch wenig, wenn du nicht weisst das etwa Xylophon6786Penis gemeint wäre als Beispiel.

Zum Thema: In der Cloud? Nein, danke.

 

[mädchensammler]

Nutze die kostenlose Software "Safeincloud" auf allen Geräten, nur die App für Android kostet einmalig 7,99€ - Die Datenbank liegt auf meinem NAS, welches vom Internet aus erreichbar ist (DynDNS mit meiner eigenen Domain). Ohne PW-Manager geht es nicht mehr.

 

[Gummybär]

Ich bin auch bei SafeInCloud. Die Cloud an der stelle ist auch nur mein Synology NAS welches ich auch nur via VPN erreiche.
Somit wäre die Datei von außen nur mit meinem VPN Login möglich zusätzlich zur NAS Authentifizierung.

Auf dem Handy und am Rechner gibt es jeweils eine Lokale Datei die sich mit der Zentralen Version auf meinen Nas Synchronisiert. Alles ist durchgehend AES 256 verschlüsselt.

Ohne PW-Manager geht es bei mir auch nicht mehr wenn man für jeden Login unterschiedlich generierte 20+ Stellen verwendet.

 

[h00bi]

Speicherung auf dem NAS und eine Userverwaltung wer welche Passwörter sehen darf... Dann nehm ich sowohl die Software als auch ein NAS.

 

[DerZock]

Warum bieten sie keinen Passwort Manager im Paket Zentrum für das eigene NAS an?
🤑🤑🤑

 

[Cool Master]

Ich kann KeePass 2 empfehlen. Ich hab auch ne Synology aber meine Passwörter bleiben Lokal im LAN. Für macOS gibt es auch MacPass, welches ebenfalls die KDBX Dateien öffnen kann.

@DerZock

Weil es bessere Alternativen gibt. Siehe meine Antwort

 

[fdsonne]

Nein, es sind deine verschlüsselten Passwörter in der Cloud, selbst wenn die jemand aus der Cloud klaut, ist das schnuppe.

Wenn wer in der Lage ist, Daten aus einer Cloud durch unbefugten Zugriff zu entwenden - wieso sollte er dann den Schlüssel zum entschlüsseln liegen lassen?

Encryption gut und schön aber allein die Tatsache, dass hier Zugriff via Browser von unterschiedlichen Geräten und ohne irgendwie extern eingefügtes "Token" existiert, zeigt leider, dass dieser Encryption Key dann nicht viel wert ist. Denn er ist eben im Zweifel genau so im Zugriff durch Dritte.

Ich fürchte man überschätzt dann die eigenen Fähigkeiten schnell selbst. Gerade was die Absicherung des eigenen Netzwerkes und der eigenen Systeme angeht, ist das ja bei Weitem nicht so trivial. Potenziell dürfte es einfacher sein in dein privates Netzwerk einzudringen und den Passworttresor zu stehlen als bei einem kommerziellen Anbieter.

Das sind aber dann schon zwei paar Schuhe... Es geht ja nicht darum, das eigene Netzwerk abzusichern. Das sollte generell eh halbwegs gegeben sein. Weil wäre es das nicht, dann brachst du auch keinen Password Manager - da eh jeder in dein Netz rein kann um dir sonstwas für Kram unterzuschieben. Keylogger auf deinen Systemen zum Abgriff von Daten bspw.

Der größte Vorteil der Self Hosted Lösung ist, dass du damit in der Masse der Fälle komplett unter Radar fliegst. Du als einzelner bist kein lohnenswertes Ziel. So ne komplette, von tausenden Usern benutzte Passwort-auf-dem-Silbertablett-DB hingegen könnte da schon ne ganz andere Nummer sein. Bzw. nicht könnte, IST definitiv eine ganz andere Nummer
Wieso man sowas ernsthaft freiwillig in Erwägung zieht, ist mir irgendwie bisschen schleierhaft. Da ist jede selfhostest Lösung sicherer, da die Wahrscheinlichkeit, dass sich wer die Arbeit macht um ein einziges Ziel zu kompromittieren verschwindend gering ist, wo er doch auch tausende andere Ziele bekommen kann.
IT Sicherheit ist halt leider keine Frage von ob oder ob nicht - sondern ausschließlich eine Frage von Wahrscheinlichkeiten. Es gibt keine 100% Sicherheit. Man kann es nur schwerer machen und damit die Wahrscheinlichkeit verringern.

 

[Gigalodon]

Ich bleibe bei Bitwarden, den kann auch uneingeschränkt weiterempfehlen

 

[blackshuck]

Ich nutze einfach eine verschlüsselte Notiz in der Note Station meiner Diskstation. Selfhosted!

 

[burglar225]

Wenn wer in der Lage ist, Daten aus einer Cloud durch unbefugten Zugriff zu entwenden - wieso sollte er dann den Schlüssel zum entschlüsseln liegen lassen?

Weil das Key-File ohne das persönliche Passwort, das man natürlich festlegen muss, absolut nichts wert ist.

 

[Marker100]

Ich habe die meisten Passwörter in einer Passwort geschützten Excel Tabelle. Jetzt die Frage, wie sicher ist Excel da?

Danke

 

[Vexz]

Ich habe die meisten Passwörter in einer Passwort geschützten Excel Tabelle. Jetzt die Frage, wie sicher ist Excel da?

Danke

Dafür kenne ich mich nicht mit der Dateistruktur von Excel-Dateien aus. Aber warum nicht einfach sowas wie KeePass dafür verwenden? Da ist es auf jeden Fall sicher.

 

[Loopman]

Null. Per Brute-Force knackbar.

 

[Thaxll'ssillyia]

Nein, es sind deine verschlüsselten Passwörter in der Cloud, selbst wenn die jemand aus der Cloud klaut, ist das schnuppe.

Und du weißt woher dass die verschlüsselt sind? Weil es der Hersteller für seine Closed-Source Software behauptet, wo keiner reingucken kann?

Bis der nächste "Hack" kommt. Aber dann war es ja wieder ein Softwareproblem.

 

[Animal Mother]

Bitwarden self Host und gut ist.

 

[StefanArbe]

ich wünschte ich könnte das tool auf meinem syno NAS ohne onlinezwang nutzen.

 

[elpronto]

Ich sichere durchaus wichtige Daten im cloud, für mich bedeutet Sicherheit, dass ich keine Informationen verliere die ich nicht wieder beschaffen kann

Solange die Cloud nicht abbrennt...
Bitte nie vergessen: There is no cloud it's just someone else's computer

Also wenn jemand seine NAS hat und seine Backups und whathever ist das zum Beispiel nicht sicher gegen ein Brand. Dann is alles weg.

Richtig, deswegen hat man auch keine lokalen Backups, sondern bewahrt diese an einem anderen Ort auf!

Eine lokale Sicherheit ist für mich keine, da ist der cloud ein Segen.

Meine Backup Lösung: NAS1 und NAS2 (beide RAID 1 oder 10) befinden sich an unterschiedlichen Orten. NAS2 dient ausschließlich als Backup-Speicher. NAS1 sichert automatisiert in regelmäßigen Abständen über einen SSH Tunnel sein Backup inkrementell + verschlüsselt auf NAS2. Wichtig an dieser Stelle: das Backup verlässt NAS1 bereits verschlüsselt!

Passwörter habe ich alle im Kopf... Auch nicht die beste Lösung, noch geht's

Hut ab, kann mir kein einziges meiner Passwörter merken! Deshalb Keepass 2 und nur lokal auf NAS1 :-)

 

[Faizy]

Wer alle seine Passwoerter in einer fremden Cloud ablegt...verschluesselt oder nicht...der hat die Kontrolle ueber sein Leben verloren

KeePass oder self hosted Bitwarden reichen locker.