ComputerBase Menü
Aktuelles

Android Passwortmanager

P

Pyrukar

Commodore
Registriert
Jan. 2013
Beiträge
4.160
Hallo zusammen,

ich habe ettliche Passwörter die ich auf meinem Android gar nicht erst versuche einzugeben da sie Sonderzeichen, Zahlen und Buchstaben bunt mischen aka Sichere Passwörter. Wenn man aber jedes mal bei Android die Tastatur umstellen muss um sinnvoll an die Zeichen zu kommen, kommt man sehr leicht durcheinander. Ganz zu schweigen davon dass ich mich mit meinen Wurstfingern vertippe.

Die Offensichtliche Lösung dieses Problems wäre ja ein Passwortmanager alla KeyPass o.ä. ich hab aber leider an meinem Smartphone auch kein Fingerabdrucksensor, sodass die einzige Absicherung wieder ein Passwort wäre ... und aus Komfortgründen vermutlich noch ein relativ schwaches Passwort.
Jetzt die Eigentliche Frage:
Vor was schützt das Passwort des Keymanagers überhaupt? Ich meine Das PW ist ja (solange das Smartphone nicht gehackt ist) nicht vom Internet aus zugänglich, und kann somit auch nicht aus dem Internet gehackt werden, oder? Ein hacker würde ja wenn dann direkt das Programm angreifen und dieses Passwort ebenfalls ungetestet umgehen, oder?
Schützt also das Passwort nur vor Menschen, die mein Smartphone in die Finger bekommen, meine Pin knacken und dann Zugriff aufs Gerät haben? Alle anderen Greifen doch, wenn überhaupt, nur aus Richtungen an wo ihnen das PW auch noch egal ist., oder? Wie hoch schätzt ihr das Risiko ein dort nur ein Unsicheres Passwort aus Nur Buchstaben, oder Nur Zahlen zu verwenden?

gruß
Pyrukar
 
Komfort und Sicherheit sind immer unverträgliche Partner!
Du musst Dich schon entscheiden, was wichtiger ist - einerseits schützt Du mit starken PW - aufbewahren willst Du sie aber "mit nem Haustürschlüssel unter der Fußmatte".

Kompromiss: In Keepass gibt man zB einmalig das Masterpasswort ein, wenn die App schliesst und man unbedingt Komfort braucht öffnet man sie mit den letzten 3 Zeichen.
 
deYoda schrieb:
Du musst Dich schon entscheiden, was wichtiger ist - einerseits schützt Du mit starken PW - aufbewahren willst Du sie aber "mit nem Haustürschlüssel unter der Fußmatte".
Zum Vergrößern anklicken....
Das das ein krasser Zielkonflikt ist, ist mir durchaus bewusst, aber die frage war eher Technischer Natur: Wie hoch ist die Wahrscheinlichkeit dass überhaupt das PW und nicht das Programm selbst angegriffen wird? Ich meine Passwörter für Onlinekonten stehen theoretisch jederzeit zum knackversuch zur verfügung, aber kommt ein (automatisierter) Hackerangriff überhaupt soweit hier das PW eingeben zu müssen? Vor einem auf mich Gezielten Hackerangriff habe ich sowieso keine Illusionen, dass dieser aufgehalten werden kann aber darum gehts auch nicht. Und damit wieder die Frage: wer kommt überhaupt in die Verlegenheit hier das PW eingeben zu müssen? EIgentlich ja nur jemand der mein Smartphone in die Finger bekommt, oder?
 
@cyberpirate Die Datenbank von meinem keypass liegt auf meinem eigenen Server. Man muss dafür nicht eine Cloud benutzen, die Millionen von Usern bedient. Das macht es zwar nicht anders, aber sicherer.
 
Es besteht das Risiko, dass deine (verschlüsselte) Passwortdatei irgendwo im Filesystem deines Smartphones rumkugelt und potentiell von jeder anderen App auf deinem Phone gelesen werden kann. Flux irgendwo hin übertragen und dein unsicheres Passwort ist schon bald geknackt.
Auch wenn du dein Telefon verlierst, ist die Datei nicht mehr sicher.
Wenn du auf Sonderzeichen oder eine alphanumerische Kombination verzichten willst, dann nimm eine sehr lange Passphrase, 20 bis 30 Zeichen. Quick-Unlock mit den letzten x Zeichen, wie oben beschrieben, gibt's ja auch noch, wenn man unbedingt will.
Bei Passwortmanagern sollte die Wahl zwischen Komfort und Sicherheit immer Richtung Sicherheit gehen, schließlich speichert man dort ja mitunter seine gesamte (nicht nur online-)Identität ab.
 
Hat hier jemand was von Cloud Sync gesagt? ich wars auf jeden fall nicht! für unwichtige Passwörter überlege ich mir, ob ich nicht meine Nextcloud verwende, aber für die Wichtigen, wird das nicht passieren :)
Ergänzung ()

okay,

also verstehe ich dich @itcrowd richtig, dass auch die Datei selbst nachdem sie übertragen wurde noch mit dem selben einfachen Passwort zu lesen ist? ... das klingt schon deutlich beunruhigender ... Auch wenn ich die Online Aktivität meiner Apps durchaus restriktiv behandle und nahezu ausschließlich F-Droid Apps benutze möchte ich das nicht ausschließen.

Von meiner Uralt Truecrypt erfahrung weis ich, dass TrueCrypt damals zugelassen hat, eine Schlüsseldatei anzugeben ... geht das und wäre das nicht ein Kompromiss? Ich meine Eine Datei mittels explorer auswählen wäre sicherlich nicht das ende der Welt, und dazu dann noch ein Buchstaben oder Zahlenpasswort wäre doch ansich schon ganz sicher :)
 
Zuletzt bearbeitet:
Pyrukar schrieb:
Wie hoch schätzt ihr das Risiko ein dort nur ein Unsicheres Passwort aus Nur Buchstaben, oder Nur Zahlen zu verwenden?
Zum Vergrößern anklicken....
Ich hätte schon Bauchschmerzen damit überhaupt Login-basierten Dienste innerhalb dieses versumpften Android-Ökosystems zu nutzen. Noch mit der Tatsache, das man Security-Patches (falls überhaupt) erst sehr spät bekommt, wenn man nicht gerade ein Google-Phone hat.
Zum unverbindlichen Zeitvertreib unterwegs mag ja ein Smartphone ganz nett sein. Aber um damit ernsthafte Sachen zu machen? Eher nicht.
 
  • Gefällt mir
Reaktionen: Helge01
Pyrukar schrieb:
also verstehe ich dich @itcrowd richtig, dass auch die Datei selbst nachdem sie übertragen wurde noch mit dem selben einfachen Passwort zu lesen ist?
Zum Vergrößern anklicken....

Ja, genauso ist es. Auf iOS sollte es je App geschützten persistenten Speicher geben, auf Android jedoch liegen Dateien in der Regel im allgemeinen Filesystem (Ausnahmen gibt es). Und jeder der diese Datei lesen kann, kann sie überall - zuhause oder auf seiner privaten Serverfarm - mit dem gleichen Passwort öffnen/knacken.

Eine Schlüsseldatei erhöht hier den Schutz nur minimal, weil sie ja auch im gleichen Filesystem liegt und mit kopiert werden könnte. Kenne persönlich keinen, der regelmäßig USB-Sticks am Smartphone anschließt.
Am besten ist in diesem Fall halt eine ewige lange Passphrase, dann ist auch der Cloudsync kein Problem (mach's selbst mit einer eigenen Nextcloud).
Natürlich kann man die Diskussion noch weiterführen und sich fragen, ob die entschlüsselte Datenbank im Speicher(RAM) ausreichend geschützt ist, oder die Zwischenablage beim copy/pasten,....
 
itcrowd schrieb:
ja auch im gleichen Filesystem liegt und mit kopiert werden könnte
Zum Vergrößern anklicken....
Na ja ich habe etwa 60GB Musik auf meinem Smartphone gespeichert ... und nur sehr wenige Wissen was mein lieblingslied ist :) und jeden titel durchzuprobieren dauert wohl :)
 
Bei Keepass und z.B. auch bei Enpass kann man meines Wissens nach nicht irgendeine Datei als Keyfile nutzen, sondern bekommt ein spezielles Keyfile erstellt, das leicht zu identifizieren sein sollte.

Ist wahrscheinlich so ein Trade-off zwischen Entropie/Zufälligkeit und Identifizierbarkeit des Schlüssels.
Wenn man eine eigene Textdatei mit vier Buchstaben Inhalt als Keyfile nutzt, dann erhöht sich die Sicherheit nur unwesentlich. Ein erstelltes Keyfile hat hingegen z.B. 256Bit mit optimaler Entropie.

Ich nutze Enpass in Kombination mit einem Keyfile, das ich nur lokale speichere. Das sichert mich gegen das Szenario ab, dass jemand meine Datenbank einfach auslesen kann, die in der Cloud liegt (Ob eigene oder Fremdanbieter wie Onedrive spielt bei meiner Erfahrung keine Rolle, denn ich kann auch meinen eigenen Server egal wo gehostet nicht wirklich absichern)

Das Masterpasswort gebe ich bei jeder Öffnung der Datenbank zusätzlich ein, das ist natürlich aufgrund der (relativen) Einfachheit und Kürze schon eher zu knacken als in der DB generierten Passwörter.

Perfekten Schutz gegen alles gibt es nicht, für mich ist dieses System die Lösung mit den geringsten Kompromissen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rollensatz
Nach Chrome Stillstand alle Passwörter im Passwortmanager weg..
Antworten
10
Aufrufe
1.967
Rollensatz
Rollensatz
S
Welchen kostenlosen Passwortmanager könnt ihr empfehlen?
2 3
Antworten
55
Aufrufe
3.161
Oli_P
Oli_P
LordKimahri
Selfhostet Passwortmanager unter Ubuntu 24.04 mit Docker
2
Antworten
30
Aufrufe
2.422
h00bi
h00bi
P
Passwortmanager für Linux gesucht
Antworten
13
Aufrufe
2.134
iron_monkey
I
Klaus0815
Passwortmanager für Windowsprogramme, gibt's sowas?
Antworten
7
Aufrufe
848
Oli_P
Oli_P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz