1Passwort vs. verschlüsselte Excel-Datei? (Für Passwörter)

Goldi708

Ensign
Registriert
März 2018
Beiträge
193
Hey Leute,

ich verwende 1Passwort (Familien Abo) und bin zufrieden, letztens hat es sich irgendwie ergeben, dass mir mein Onkel gesagt hat, dass er seine Passwörter in einer verschlüsselten Excel-Datei speichert, und er behauptet vehement, dass das zumindest gleich sicher wie 1Passwort sei.

Nun frage ich mich, hat er recht oder ist er einfach nur Ignorant …

Freue mich auf eure Antworten
Danke im Voraus.
 
Gleich sicher mag abhängig von der Verschlüsselung ja vielleicht sein. Aber gleich bequem?

Andererseits bietet 1Password bestimmt an, Passwörter auch wieder automatisch aus der Zwischenablage zu entfernen usw, zu prüfen, ob es sich um ein bereits "bekanntes" Passwort handelt, dir auch zufällige Passwörter erzeugen, ...

Ich behaupte auch, dass ein richtiger Passwort-Manager dazu führt, dass man selbst für unwichtige Dienste keine Standard-Passwörter mehr nimmt, was ich mir bei Excel kaum vorstellen kann, außer man speichert zusätzlich auch noch alles im Browser...

Also die Frage ist halt, was genau mit Sicherheit auch gemeint ist.
 
Warum sollte man eine Excel Datei verwenden, wenn es zur Verwaltung von Passwörtern speziell optimierte Programme gibt?

Beispielsweise KeePass und dessen Forks oder Bitwarden.

1Passwort kann ich persönlich null vertrauen. ClosedSource und Online geht bei Passwörtern gar nicht!
Und da Excel ebenfalls ClosedSource ist, könnte ich dem Programm auch nicht alle Passwörter oder wichtige Zugangsdaten anvertrauen.
 
@SI Sun: Warum sollte man auf die Frage des Threads antworten, wenn man auch etwas allgemeines schreiben kann?
Jeder findet seine Gründe ;-)
 
  • Gefällt mir
Reaktionen: Toms
Goldi708 schrieb:
Nun frage ich mich, hat er recht oder ist er einfach nur Ignorant …

tollertyp schrieb:
Gleich sicher mag abhängig von der Verschlüsselung ja vielleicht sein. Aber gleich bequem?

Andererseits bietet 1Password bestimmt [beliebige Funktionen die nichts mit der Frage des TEs zu tun haben]

tollertyp schrieb:
Warum sollte man auf die Frage des Threads antworten, wenn man auch etwas allgemeines schreiben kann?

Man finde die Ironie.



Was ich bei Passwortmanagern nicht weiß (bei Excel allerdings genauso wenig.): wie liegen die Daten im RAM?
Befindet sich an einer Stelle (nach Eingabe des Masterpasswortes) die Passwörter dann unverschlüsselt, oder liegen diese weiterhin verschlüsselt im RAM und an einer anderen (dem PW-Manager bekannten) Stelle befindet sich der Key zum entschlüsseln?

Das könnte u.U. PW-Manager in bestimmten Szenarien sicherer machen? Weiß aber wie gesagt nicht, ob das überhaupt so ist.
 
@Bonanca: Die Ironie funktioniert v.a. deshalb, weil du wesentliche Teile meiner Aussage weglässt. Das Entfernen von Passwörtern aus der Zwischenablage ist also für dich definitiv kein Feature, was Sicherheit erhöhen kann? Interessante Ansicht. Denn als "Komfort-Funktion" sehe ich die nicht an. Genauso das Erzeugen von Zufallspasswörten sehe ich als Feature für die Sicherheit an, weil man selbst häufig halt nicht so wirkliich zufällige Passwörter macht. Auch die Prüfung, ob es ein bekanntes Passwort ist, was sich dann im Falle eines Falles leichter angreifen lässt, ist durchaus ein Feature, was die Sicherheit erhöhen kann. Aber hey: Enfach relevante Teile weglassen, dann kann man schon ohne Argumente drauf hauen.

Ich weiß schon, warum ich dich ignoriere.

Trotzdem ist deine Aussage bzgl. Haltung im RAM durchaus interessant.
 
tollertyp schrieb:
@SI Sun: Warum sollte man auf die Frage des Threads antworten, wenn man auch etwas allgemeines schreiben kann?
Jeder findet seine Gründe ;-)
weil der TE selber Äpfel mit Birnen vergleicht?!?
die eigentliche Frage ist ja "unsinnig" gestellt.
"vernünftig" wäre z.B. gewesen:
1Password vs. lokal verschlüsselt gespeichert
und die naheliegende Folgefrage dazu wäre dann gewesen:
welches Tool nimmt man dafür am besten?

btw.: in alten Excel Versionen konnte man den Passwort-Schutz noch einfach löschen ;)
 
tollertyp schrieb:
Das Entfernen von Passwörtern aus der Zwischenablage ist also für dich definitiv kein Feature, was Sicherheit erhöhen kann?
So wie du es formuliert hast? Nein, sicher nicht.
Ein PW-Manager sollte nicht "die Option" haben, die Zwischenablage automatisch zu leeren. Er sollte es einfach tun. Wie sehr das die Sicherheit erhöht? Ich weiß es nicht, das geht wieder in diese Nische der RAM-Speicherung (wobei ich hier eher darauf tippen würde, dass sich die Zwischenablage wohl einfacher auslesen lässt.).
Auch Excel lässt sich grundsätzlich so einrichten, dass es von selbst zufällige Passwörter generiert (dass der Zufallsalgorithmus von Excel eher meh ist, ist dabei ein anderes Thema.)
Passwörter (nicht) doppelt zu nutzen ist auch Sicherheitslücke Mensch, nicht PW-Manager.


tollertyp schrieb:
Enfach relevante Teile weglassen, dann kann man schon ohne Argumente drauf hauen.
Immernoch ohne Argumente?


tollertyp schrieb:
Ich weiß schon, warum ich dich ignoriere.
Hab ich kein Problem mit.
 
Natürlich ist die Fragestellung des TEs nicht gut, auch was mit "sicher" gemeint ist.

Sicher vor dem Zugriff anderer? Sicher vor Verlust? Sicher in der Nutzung?

Dass die naheligende Frage "welches Tool nimmt man dafür am besten?" gewesen wäre halte ich dennoch für falsch. Weil es hier ja gezielt um Argumente gegen Excel geht. (Der TE ist voreingenommen, nicht vorwurfsvoll gemeint)
 
@Goldi708
Gescheite Passwortmanager mit Anbindung einen einen Browser haben den Vorteil, dass sie die Passwortfreigabe an die URL binden. Was Fehlbedienung vermeidet, wenn es um Phishing geht. Voraussetzung ist aber auch, dass Nutzer aufmerksam werden, wenn der PW-Manager sich weigert Passwörter zu finden, da die URL nicht passt.
Ganz abgesehen davon, dass die Benutzererfahrung geschmeidiger ist und man maximale paranoide Passwörter verwenden kann.
Naja und Excel frisst ja gern mal Daten, da es "intelligent" ist.

@Bonanca
Eine PW-Datenbank die entschlüsselt ist, liegt im Klartext im Ram. Haben Angreifer jedoch einen Prozess auf deinem Rechner laufen, der prozessfremde Speicherbereiche lesen kann, ist sowieso alles zu spät.
 
  • Gefällt mir
Reaktionen: Bonanca
Mickey Mouse schrieb:
in alten Excel Versionen konnte man den Passwort-Schutz noch einfach löschen ;)
Wobei "verschlüsselte" Excel (wie vom Onkel wohl genannt) ja auch etwas anderes sein kann.

Vllt liegt da ja eine komplette AES-Verschlüsselung hinter und in eine Zelle muss das Master-PW eingegeben werden (ja ich weiß, sehr abwegig. Aber das ist doch eine Excel als PW-Manager ohnehin, oder nicht?)
 
tollertyp schrieb:
Dass die naheligende Frage "welches Tool nimmt man dafür am besten?" gewesen wäre halte ich dennoch für falsch. Weil es hier ja gezielt um Argumente gegen Excel geht. (Der TE ist voreingenommen, nicht vorwurfsvoll gemeint)
Excel ist ein gutes Programm wenn man mit Tabellen Arbeiten muss, aber um Bandaten darin zu speichern würd ich es jedoch nicht verwenden.

tollertyp schrieb:
Natürlich ist die Fragestellung des TEs nicht gut, auch was mit "sicher" gemeint ist.
Sicher vor dem Zugriff anderer war gemeint.
Ergänzung ()

godapol schrieb:
Excel mit Blattschutz? Oder inwiefern "verschlüsselt?
Habe ihn gerade nochmal gefragt, mit verschlüsselt meinte er Die Excel Dateien in einen ZIP Folder legen und den Verschlüsseln...
 
Wie schon gesagt: Es hängt von der verwendeten Verschlüsselung ab und auch von den verwendeten Passwörtern. Und liegt die Excel-Datei eben auf einem verschlüsselten Laufwerk, wo im Grunde dann jeder Prozess ohne besondere Rechte drauf zugreifen kann (nehme ich jetzt mal nicht an)?

Grundsätzlich kann es schon beliebig sicher sein, und sogar sicherer als 1Password.

Edit:
Goldi708 schrieb:
Habe ihn gerade nochmal gefragt, mit verschlüsselt meinte er Die Excel Dateien in einen ZIP Folder legen und den Verschlüsseln...
Dann hängt es halt vom verwendeten Alogithmus ab. ZipFolder klingt für mich so nach Windows-Feature? Kann das Verschlüsselung?

Insofern sind wir im Grunde so schlau wie vorher. :-)
Aber grundsätzlich sehe ich da keinen wirklichen Nachteil in Bezug auf die Sicherheit, wenn eine vernünftige Verschlüsselung verwendet wird, aber in Bezug auf die Sicherheit bei der Nutzung, und was ist wenn Excel abstürzt, dann bleiben evtl noch Temporärdateien übrig usw...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Bonanca
Goldi708 schrieb:
Habe ihn gerade nochmal gefragt, mit verschlüsselt meinte er Die Excel Dateien in einen ZIP Folder legen und den Verschlüsseln...
Ich sag's mal so... lieber so als eine txt auf dem Desktop. Wobei 123 sowohl bei der ZIP als auch beim PW-Manager halt für'n Arsch ist.
 
SI Sun schrieb:
1Passwort kann ich persönlich null vertrauen. ClosedSource und Online geht bei Passwörtern gar nicht!
Und da Excel ebenfalls ClosedSource ist, könnte ich dem Programm auch nicht alle Passwörter oder wichtige Zugangsdaten anvertrauen.
Das Betriebssystem auf dem Excel läuft ist auch Closed-Source. Also das muss dann auch noch weg. :-)

Piktogramm schrieb:
Gescheite Passwortmanager mit Anbindung einen einen Browser haben den Vorteil, dass sie die Passwortfreigabe an die URL binden.
Das hat aber auch eine Kehrseite. Wird nämlich der Browser erfolgreich angegriffen kann man u.U.auf den Passwort-Manager durchgreifen.

Piktogramm schrieb:
Eine PW-Datenbank die entschlüsselt ist, liegt im Klartext im Ram.
Ich weiß jetzt ad-hoc nicht wie es bei Windows ist aber einige Systeme bieten sowas wie Secure-RAM an. Darin kann man dann sensible Daten zumindest etwas sicherer ablegen. Wenns denn die Programme auch nutzen.
Aber auch so kann man einiges machen. Wenn man RAM-Speicher frei gibt den überschreiben und als non-swapable markieren damit die Passwörter nicht auf der Platte landen.

Piktogramm schrieb:
Haben Angreifer jedoch einen Prozess auf deinem Rechner laufen, der prozessfremde Speicherbereiche lesen kann, ist sowieso alles zu spät.
Zum Glück darf ein Prozess nicht so ohne Weiteres den Speicherbereich fremder Prozesse lesen (zumindest nicht, wenn der keine höhere Rechte hat und keinen Zugriff auf Debug-Facilities hat).
Eine echte Infektion ist natürlich trotzdem ein Security-Problem. Aber es hilft wenigstens gegen oberflächliche Angriffe wo der Angreifer nur ein bissl was im Prozess-Kontext machen kann aber sonst weiter nix.
 
Ach ja, ein Nachteil von Excel kann sein, dass sich die ZIP-Datei wohl einfacher bruteforcen lässt.. Aber das ist abhängig vom Passwort wohl eher ein theoretischer Nachteil.
Nachteil beim Online-Dienst: Es hängt von deren Sicherheit ab.
 
@andy_m4
Da hast du natürlich recht, aber das sollte kein Freifahrschein sein, alles im Leben aufzugeben und keine sichereren Alternativen zu verwenden.

Deshalb verwende ich hauptsächlich Linux.

P.S:
Ich weiß nicht, wie sicher die Verschlüsselung von Microsoft Office (Excel) Dateien, aber die Verschlüsselung von einzelnen Zellen oder Arbeitsblättern ist 100% unsicher.
Ich habe eine sehr kurze Mini-Anleitung, wie man diese gesperrten Zellen und Arbeitsblätter entsperrt, ohne das Passwort zu kennen.

Edit:
Kurz gesucht und das erste Ergebnis zeigt eine Anleitung:
https://www.ionos.de/digitalguide/o...ufen-im-internet/word-schreibschutz-aufheben/
 
SI Sun schrieb:
Ich weiß nicht, wie sicher die Verschlüsselung von Microsoft Office (Excel) Dateien, aber die Verschlüsselung von einzelnen Zellen oder Arbeitsblättern ist 100% unsicher.
Auf die Excel-Verschlüsselung würde ich mich auch nicht verlassen, und um die geht es hier zum Glück auch nicht :-)

Welches Programm zum Zippen verwendet wird, wissen wir leider ja ncch nicht, könnte ja gut sein dass es 7zip mit AES256 ist.
 
Zurück
Oben