Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
ich hatte Dashlane Pro einige Zeit lang ausprobiert und es dazu genutzt die PW an allen vier Geräten im Haus zu synchronisieren (zwei Laptops, zwei Handys). Inzwischen habe ich nach der trial Phase festgestellt, dass der Austausch auch über den Export über eine externe Festplatte funktioniert. Soweit so gut. Allerdings hab ich ein schlechtes Bauchgefühl, weil ich schonmal Opfer eines Hackers war (eBay und andere Konten geklaut über Keylogger etc.) - auch wenn ich im Gegensatz zu damals die Sicherheitsvorkehrungen deutlich erhöht habe. Jetzt frage ich mich wie sicher ich sein kann mit Dashlane free, wohingegen die Premium-Version diese USB-keys anbietet etc. Ich brauche keine 100% Absicherung, denn die wird es nie geben, aber wenn ich zu 99% sicher sein kann, ist das schon ganz in Ordnung.
Zusatz:
Fast alle PW habe ich mit dem PW-Generator geändert, immer mit hoher Sicherheit % Angabe.
Ich kann Enpass sehr empfehlen. Das Synchronisiert sich über einen Cloudanbieter deiner Wahl (zB. OneDrive oder Dropbox etc) und kostet in der Desktopversion nichts. Die Handyapp kostet einmalig 10€, kann ich allerdings nur weiterempfehlen Die Passwortdatei kannst du auch per Hand sichern, falls sie dir mal abhanden kommt.
Klingt ja erstmal sehr spannend, was ich in der Tagespresse so darüber lese. Aber hier meine Einwände bzw. meine Sorge:
1. Nicht so lange etabliert (Dashlane hat ja deutlich mehr Erfahrung und wahrscheinlich viele Fehler gemacht und diese verbessert etc.)
2. Cloud über Zweitanbieter, weiß nicht. Bei Cloud denk ich sofort an Datenschutz (?)
Naja, das Passwortfile ist ja mit deinem Masterpasswort verschlüsselt, daher würde ich mir da keine Sorgen machen.
Du kannst via Dropbox, Google Drive, OneDrive, ownCloud, einen im Netzwerk freigegebenen Ordner oder Box.com synchronisieren. OwnCloud und selbst freigegebener Ordner wäre dann natürlich bei dir gehostet. Auch gibts ein praktisches Browser-Add-On für Edge, Chrome und Firefox, wobei das Firefox-Add-On noch für die Version 57 angepasst werden muss.
Dann ist der echte Mehrwert gegenüber Dash, dass die Daten auch online synchronisiert werden können, sodass die App auf anderen Geräten die PW automatisch erneuert (heißt auf Cloud u.ä. zugreift)? Wenn ich den Gedanken zu Ende denke, hab ich NICHTS davon, wenn ich mir die Mühe mache bei jeder Änderung oder neu hinzugewonnen Daten, meine externe FP zum Übertragen des Files zu nutzen. Also anders ausgedrückt: Alle Premiumversionen von PW-Managern und mit Abstrichen auch das fast kostenlose Proggi, dass Du nutzt, setzen auf diesen Faulheitsfaktor der User und eben Automatismen. Denn hilfreiche Futures wie Passwortgenerator u.ä. bietet die free-version von Dash bereits. Liege ich mit meiner Einschätzung richtig?
Und, siehe oben, was denkst du/ Ihr von diesen Sicherheitsfutures, die ich genannt habe?
Ergänzung ()
Es kommt ein wichtiger Faktor hinzu: Ich denke der Nutzen sollte auch auf Langfristigkeit ausgelegt sein, ist mir eben klar geworden als ich ein Angebot von Dashlange gefunden habe für 6 Monate Premium kostenlos. Finde es irgendwie blöd, wenn man so von Dashlane beeindruckt ist und man nach einigen Monaten merkt, dass man dafür nichts extra zahlen will, wegen den vielen kostenlosen oder günstigeren Optionen. Ich weiß, dass man dann wechseln kann. Aber das ist auch nicht Sinn der Sache, der Sinn ist, dass man sich bei einer Gesamtlösung gut fühlt und dieser, gerade in diesem Feld, BLIND vertrauen kann.
Ergänzung ()
Sorry, entschuldige mich bitte. Bei mir hat auch das Faultier gesiegt . Hab soeben mein altes Konto gelöscht und ein neues angelegt, um ein halbes Jahr Ruhe zu haben ;-). Liegt daran, dass ich an Dashlane gewöhnt bin - zuvor hatte ich bereits eine Backup-File auf meine externe Festplatte gespeichert, die brauch ich nur noch zu importieren. Sicherheitshalber ändere ich auch gleich mein Master PW und die wichtigsten Account PW, man weiß ja nie. :-) Somit muss ich nur noch mein System absichern, alle Programme und Windows erneueren (ggf. Neuinstallation), neben der Routerfirewall WLAN-PW verstärken, WIN Defender als AV-Ersatz oder einfaches ressourcensparendes effektives minmal AV.) - zwecks Datensicherheit werde ich dann ggf. vom geliebten Chromebrowser auf Mozilla Firefox umsteigen, statt der geliebten Google-Suche Duckduckgo o.ä., Werbeblocker sind Standard. Dann fehlt nur noch ein Systembackup. Arbeite wie fast jeder mit physischen Speicher (externe FP) und nicht mit Cloudlösung/ Onlinespeicher. Auf dem Handy sichere ich alles wesentliche mit dem Fingerabdrucksensor - vielleicht sollte ich Anbetracht der Tatsache, dass ich bald verreise und auch die N26 App & PayPal App nutze, daran denken mein Handy per PIN zu sperren (nicht nur die SIM-Pin wenn das Gerät aus ist). Naja, ich denke das wäre dann alles, oder? ;-)
Demnach wurden zumindest keine gravierenden Fehler gefunden.
Allerdings sind zu Dashlane die Quelltexte nicht verfügbar, was eine genauere Analyse doch erheblich erschwert (wobei OpenSource jetzt natürlich auch kein Garant dafür ist, dass da irgendwann irgendwer mal ein Review gemacht hat).
Tcrazyjam schrieb:
2. Cloud über Zweitanbieter, weiß nicht. Bei Cloud denk ich sofort an Datenschutz (?)
Naja. Cloud ist erst mal Cloud. Ob Zweitanbieter oder nicht ist erst mal egal (im Grunde ist es sogar zu begrüßen, wenn man nicht von einem Anbieter abhängig ist, sondern ein Cloud-Anbieter seiner Wahl nehmen kann).
Ansonsten. Klar. Bei Cloud ist Datenschutz auf jeden Fall ein Thema. Insbesondere bei "sensiblen Daten" wie Passwörter.
Ergänzung ()
Toms schrieb:
Naja, das Passwortfile ist ja mit deinem Masterpasswort verschlüsselt, daher würde ich mir da keine Sorgen machen.
Erstens hängt da viel vom Masterpasswort ab und zweitens kann die Verschlüsselung ja auch kaputt sein bzw. sich im nachhinein als unzureichend herausstellen. Erst dieser Tage gabs genau ein solches Problem mit TPM-Chips (siehe dazu beispielsweise: https://www.heise.de/security/meldu...ips-weisen-RSA-Schwachstelle-auf-3864691.html ).
Klar. Verschlüsselung ist ein Must-have bei solchen Sachen. Aber man sollte halt deshalb noch lange nicht so weit gehen, dem bedingungslos und blind zu vertrauen.
Ergänzung ()
Tcrazyjam schrieb:
: Alle Premiumversionen von PW-Managern und mit Abstrichen auch das fast kostenlose Proggi, dass Du nutzt, setzen auf diesen Faulheitsfaktor der User und eben Automatismen. Denn hilfreiche Futures wie Passwortgenerator u.ä. bietet die free-version von Dash bereits. Liege ich mit meiner Einschätzung richtig?
Ob das für alle Premium-Versionen gilt, weiß ich jetzt nicht.
Richtig ist aber, dass solche Online-Synchronisationen (egal in welcher Form auch immer; gilt ja nicht nur für Passwort-Wallets, sondern auch für "geteilte Dokumente, Bilder etc.") über mehrere Geräte hinweg immer über ne Cloud laufen (sprich die Dateien werden da hoch kopiert und dann auf die Geräte verteilt).
Und ja, es ist ein Bequemlichkeitsfeature. Es nimmt den Nutzer ab selbst manuell zu kopieren oder (was ja auch denkbar ist) selbst ein eigenen (Cloud-)Server aufzusetzen und zu vertreiben (inkl. Pflege/Wartung etc.).
Aber hey. Aus Bequemlichkeit macht man ja auch in anderen Lebensbereichen viel. Man gibt sein Auto in die Werkstatt und muss darauf vertrauen, dass die die Bremsen richtig reparieren. Oder man geht für Lebensmittel in den Supermarkt statt selbst anzubauen.
Letztlich muss man bei allem entscheiden, ob man dazu bereit ist bzw. ob man damit leben kann.
Und letztlich muss damit ja auch nicht immer ein Sicherheitsverlust einher gehen. Ein Cloud-Anbieter administriert seine Server ja auch professioneller als das ein "Normaluser" könnte. Genauso wie die Werkstatt eben auch mehr Erfahrung damit hat Bremsklötze einzubauen als wenn Du das selbst machst und vorher vielleicht noch nie gemacht hast.
Insofern ist so ne pauschale Einteilung in gut & schlecht problematisch.
Danke - und nun, die aus meiner Sicht, wichtigsten Fragen im Zusammenhang mit solchen Managern
(wie gesagt, ich nutze Dash erstmal weiter):
1. ) Wie stark muss das Masterpassword sein, d.h. lässt sicher in etwa differenziert abschätzen wie groß die relative Sicherheit bei x-Zeichen (aussprechbar) ist - muss man hier ggf. ein kompliziertes Master-PW wählen, sagen wir aus 10 Zeichen und mehr, mit Symbolen, Großbuchstaben und Ziffern? - Ich hatte bislang ein Master PW mit 13 Zeichen, davon ein Großbuchstabe, drei Symbole, rest Kleinbuchstaben.
2. ) Ist dann noch eine Zwei-Faktor-Option wichtig + ggf. ein USB Teil, usw.?
3. ) Unabhängig ob PW Manager oder nicht, in welchen zeitlichen Intervallen sollte man die PW und ggf. das Master PW ändern?
4. ) Sollte man die Dash.-Daten auch physisch sichern, siehe externe FP?
5. ) Ich hab eben gelesen, dass das Autofill bei Dashlane nicht so gut sein? (es wird dann auf Roboform verwiesen)
6. ) Sonstiges: Irgendetwas, das ich nicht bedacht oder zu Ende gedacht habe?
--------
Zu Bequemlichkeit:
Ähnliche Gedankengänge hatte ich auch, mit dem Ergebnis, dass ich Dashlane 6 Mon trial runtergeladen habe, ergo lieber ein wenig faul bin, zynisch gedacht. Aber eigentlich ist es keine Faulheit, wenn man bedenkt, dass wir Menschen in unserer Aufmerksamkeitskapazität begrenzt sind. Wir müssen auf viele Dinge achten oder vieles berücksichtigen, sind abgelenkt und oder gestresst, deshalb wäre es wohl nicht faul sondern intelligent auf Einfachheit zu setzen. Bedingt aber, dass man sich mit der Thematik auseinandersetzt und alles wesentliche überblicken kann. Konkret ich habe mich vorher schon mit Keepass beschäftigt, sprich mit der Materie an sich (auch auf einer Seite von einem Informatiker zum Thema Verschlüsselung (Theorie und Anwendung), fand ich wirklich hoch interessant, UND: Hat mega Spaß gemacht und meine Neugier geweckt :-).
1. ) Wie stark muss das Masterpassword sein, d.h. lässt sicher in etwa differenziert abschätzen wie groß die relative Sicherheit bei x-Zeichen (aussprechbar) ist - muss man hier ggf. ein kompliziertes Master-PW wählen, sagen wir aus 10 Zeichen und mehr, mit Symbolen, Großbuchstaben und Ziffern? - Ich hatte bislang ein Master PW mit 13 Zeichen, davon ein Großbuchstabe, drei Symbole, rest Kleinbuchstaben.
Also bei solchen Sachen geht man natürlich davon aus, wie lange es dauert das Masterpasswort rauszukriegen, wenn einer die Wallet-Datei in die Hände bekommt. Wir müssen dann davon ausgehen, dass der ggf. mehr Resourcen hat und daher sehr viel Passwörter pro Sekunde einfach durchprobieren kann (das geschieht automatisiert; da tippt also keiner manuell).
Es geht also bei der Passwortvergabe darum, am besten soviel Möglichkeiten wie möglich zu hinterlassen. Wenn es ausreichend viele sind, führt nämlich stumpfes durchprobieren nicht zum Erfolg, weils trotz aller Geschwindigkeit immer noch viel zu lange dauern würde.
Deshalb sind sogenannte Wörterbuchangeriffe auch so beliebt. Weil man die Anzahl der Möglichkeiten dramatisch reduziert und viele Leute eben nur ein faches Wort (Name) etc. wie es auch im "Wörterbuch" (daher der Name) steht nehmen.
Zahlen und Sonderzeichen einzubauen ist auf jeden Fall eine gute Idee. Wie überhaupt alles, was die Anzahl der zu überprüfenden Zeichen erhöht.
Denn je größer der Zeichenvorrat ist aus dem man schöpft, desto mehr Varianten gibt es auch pro "Stelle" durchzuprobieren. Desto länger dauert der Angriff insgesamt.
Die Passwortlänge spielt dabei natürlich auch eine entscheide Rolle. Denn mit jedem Zeichen mehr multipliziert sich die Anzahl der Möglichkeiten. Und das exponentiell. Jedes Zeichen mehr bringt also immer ein großes Maß an Sicherheit zusätzlich.
13 Zeichen sind schon recht gut. Wobei das immer noch von der Methode abhängt, mit dem das Programm das Passwort ablegt. Wenn die nicht gut ist, können auch 30 Zeichen zu wenig sein.
Tcrazyjam schrieb:
2. ) Ist dann noch eine Zwei-Faktor-Option wichtig + ggf. ein USB Teil, usw.?
Mehrfaktor erhöht die Sicherheit eigentlich immer signifikant. Weil es auch dann noch sicher ist, wenn ein Faktor (wie beispielsweise Passwort) kompromittiert ist.
Tcrazyjam schrieb:
3. ) Unabhängig ob PW Manager oder nicht, in welchen zeitlichen Intervallen sollte man die PW und ggf. das Master PW ändern?
Immer, wenn man davon ausgehen muss, dass das Passwort abhanden gekommen ist. :-)
Ansonsten: Ein gutes Passwort sollte man eigentlich "niemals" ändern müssen. Man muss auch immer bedenken, dass mit einer Passwortänderung auch die Schwierigkeit hinzu kommt sich das neue Passwort zu merken. Und ein Passwort, dass man sich irgendwo aufschreibt (oder gar elektronisch speichert), verliert erheblich an Sicherheitswert.
Wenn man also ein gutes Passwort hat was man geschafft hat sich zu merken, lohnt es auch so lange wie möglich dabei zu bleiben.
Anders sieht es bei Nicht-Masterpasswörtern aus. Da man diese sich nicht merken muss, fällt hier das Erlernen weg. Und da kann es schon sinnvoll sein die mehr oder weniger regelmäßig zu ändern. Weil man ja auch zum Beispiel bei einem Online-Shop nicht weiß, wie sicher den ihre Absicherung ist.
Tcrazyjam schrieb:
4. ) Sollte man die Dash.-Daten auch physisch sichern, siehe externe FP?
Gut. Darüber kann man streiten. Hinsichtlich der Systemsicherheit ist es aber sinnvoll, so wenig wie möglich auf dem Rechner installiert zu haben. Weil jedes Programm mehr öffnet auch neue Angriffspunkte.
Selbst wenn also Roboform tatsächlich besser ist, handelst Du Dir halt den Sicherheitsnachteil ein ein weiteres Programm zu haben. Ob das das aufwiegt, muss im Einzelfall entschieden werden. Dazu kenne ich beides nicht genug.
Im Allgemeinen würde man aber davon abraten.
Tcrazyjam schrieb:
6. ) Sonstiges: Irgendetwas, das ich nicht bedacht oder zu Ende gedacht habe?
Vermutlich. Schon allein deshalb, weil das ein quasi unendliches Feld ist.
Tcrazyjam schrieb:
Ähnliche Gedankengänge hatte ich auch, mit dem Ergebnis, dass ich Dashlane 6 Mon trial runtergeladen habe, ergo lieber ein wenig faul bin, zynisch gedacht. Aber eigentlich ist es keine Faulheit, wenn man bedenkt, dass wir Menschen in unserer Aufmerksamkeitskapazität begrenzt sind.
Ja. Und das ist auch völlig in Ordnung. Sicherheit ist immer ein Kompromiss. Wenn Du keinen Kompromiss haben wollen würdest, dann müsstest Du Dir den Passwortmanager selbst schreiben. Du müsstest Dir also Wissen aneigenen, wie man programmiert (zum zwar sicher programmiert; nicht irgendwelche Spielereien a-la Word-Makro).
Für den kryptografischen Teil müsstest Du zudem auch noch ein guter Mathematiker und Kryptoexperte sein. Und auch hier müsstest Du wissen, wie man diese Krypto sicher implementiert, was noch mal ne besondere Herausforderung jenseits des sicheren programmierens ist.
Aber damit nicht genug. Du bräuchtest ja auch Compiler den Du vertrauen kannst. Betriebssysteme den Du vertrauen kannst. Das müsstest Du auch alles selber machen, wenn Du kompromisslos bist.
Aber damit immer noch nicht genug. Auch die Hardware müsstest Du selbst entwerfen und herstellen.
Im Endeffekt steht man da und es ist gar nicht in einem Menschenleben zu schaffen, selbst wenn man sich (außer Schlaf und Nahrungsaufnahme) nur diesem Themen widmet.
Man kommt also um einen Kompromiss nicht herum. Alles andere ist unrealistisch. Die Frage ist jetzt, wieviel Zeit investiere ich darin und wieviel Zeit nehme ich mir für andere Sachen. Die Familie. Oder Arbeiten gehen muss ich auch noch. Mir nützt kein sicheres Online-Shopping, wenn ich keine Kohle hab mir was zu kaufen.
Es ist immer ein abwägen. Und die Kunst ist eben, möglichst wirksame Sicherheitsmaßnahmen zu finden die gleichzeitig möglichst wenig (oder zumindest für ein selbst vertretbaren) Aufwand mit sich bringen. Und nur innerhalb diesen (recht schmalen) Korridors kann man selbst effektiv was tun. Das klingt jetzt erstmal nach "Man kann eh nix machen" aber so schlimm ist es nicht.
Ja. Man kann eh nix machen. Wenn jemand es gezielt auf Dich abgesehen hat, hast Du schon verloren.
Es kann nur darum gehen, sich von der Masse abzuheben. Denn dort finden die meisten Angriffe steht. Weil die Angreifer sind ja auch nicht blöd. Die machen sich ja nicht die Arbeit irgendwelche Sicherheitslücken in irgendwelchen Programmen auszuforschen, wenn es reicht eMails mit dem Anhang "angelina-jolie-naked.jpg.exe" zu verschicken, ums jetzt mal salopp zu formulieren.
Man stellt Hürden auf mit dem Ziel, dass möglichst viel daran hängen bleibt. Mehr kann man realistischerweise nicht leisten.
Ergänzung ()
Tcrazyjam schrieb:
Bedingt aber, dass man sich mit der Thematik auseinandersetzt und alles wesentliche überblicken kann. Konkret ich habe mich vorher schon mit Keepass beschäftigt, sprich mit der Materie an sich (auch auf einer Seite von einem Informatiker zum Thema Verschlüsselung (Theorie und Anwendung), fand ich wirklich hoch interessant, UND: Hat mega Spaß gemacht und meine Neugier geweckt :-).
Wenn bei jemand die Neugier bzw. Interesse zu wecken ist, ist das nur zu begrüßen.
Und speziell aufs Thema Computersicherheit bezogen bist Du damit jetzt schon sehr viel weiter als die meisten.
hab nun einen längeren zusammenhängenden Text fertig geschrieben, sprich mein Sicherheitskonzept. Ich hab hierfür einmal einen neuen Thread im richtigen Bereich eröffnet, ist so übersichtlicher - schaut mal rein, geht in erster Linie um die Sicherheit meines Handys und des Passwortmanagers Dashlane, aber auch um Netzwerksicherheit allgemein und auf Reisen.
Grüße
Ggf. kann man dann dieses Thread hier löschen, wäre übersichtlicher (:
Die Passwortdatei kannst du auch per Hand sichern, falls sie dir mal abhanden kommt.
. Hab soeben mein altes Konto gelöscht und ein neues angelegt, um ein halbes Jahr Ruhe zu haben ;-). Liegt daran, dass ich an Dashlane gewöhnt bin - zuvor hatte ich bereits eine Backup-File auf meine externe Festplatte gespeichert, die brauch ich nur noch zu importieren. Sicherheitshalber ändere ich auch gleich mein Master PW und die wichtigsten Account PW, man weiß ja nie. :-) Somit muss ich nur noch mein System absichern, alle Programme und Windows erneueren (ggf. Neuinstallation), neben der Routerfirewall WLAN-PW verstärken, WIN Defender als AV-Ersatz oder einfaches ressourcensparendes effektives minmal AV.) - zwecks Datensicherheit werde ich dann ggf. vom geliebten Chromebrowser auf Mozilla Firefox umsteigen, statt der geliebten Google-Suche Duckduckgo o.ä., Werbeblocker sind Standard. Dann fehlt nur noch ein Systembackup. Arbeite wie fast jeder mit physischen Speicher (externe FP) und nicht mit Cloudlösung/ Onlinespeicher. Auf dem Handy sichere ich alles wesentliche mit dem Fingerabdrucksensor - vielleicht sollte ich Anbetracht der Tatsache, dass ich bald verreise und auch die N26 App & PayPal App nutze, daran denken mein Handy per PIN zu sperren (nicht nur die SIM-Pin wenn das Gerät aus ist). Naja, ich denke das wäre dann alles, oder? ;-)
