Bester Passwortmanager auf mehreren Geräten

Weil Dir Chrome und Firefox nichts nützen, wenn Du Passwörter für andere Zwecke speicherst (z. B. passwortgeschützte Dateien) oder weil Du den PW-Managern der Browser nicht traust?
 
  • Gefällt mir
Reaktionen: Cliffrz
Nachteil dabei ist die Bindung an den Browser. Du musst dann auf allen Geräten den selben Browser benutzen mit einem Profil, sodass es synchronisiert wird.

z.B. bei einem Freund auf dem Rechner oder dem Arbeitsrechner einfach mal im Vault einloggen ist dann nicht drin. Oder in einem anderen Browser, den man aus irgendeinem Grund parallel nutzt.
 
  • Gefällt mir
Reaktionen: Cliffrz
Thaxll'ssillyia schrieb:
PW-Manager open source
Nur weil der Code öffentlich ist, muss er nicht sicher sein. Von der theoretischen Prüfung kannst dir nix kaufen.
Vollständiger Audit des kompletten Codes sowie ggf. aller eingebundenen externen Libraries und Abhängigkeiten und anschließend 100%ig reproduzierbare Builds.

Damit so eine Auditierung möglich ist, wäre open source der erste notwendige Schritt aber das allein reicht eben leider nicht.
 
  • Gefällt mir
Reaktionen: Evil E-Lex und Cliffrz
snaxilian schrieb:
wäre open source der erste notwendige Schritt aber das allein reicht eben leider nicht.
Und deswegen ist es auch für mich ein Mindeststandard.
 
  • Gefällt mir
Reaktionen: Cliffrz
snaxilian schrieb:
Nur weil der Code öffentlich ist, muss er nicht sicher sein.
Nein, aber wie schon KitKat schreibt, ist es essentielle Grundvoraussetzung für ein Vertrauensverhältnis. Wenn der Code closed source ist kommt neben der Gefahr von Sicherheitslücken eine mögliche eingebaute Hintertür dazu. Bei open source wäre die schnell zu entdecken, gerade wenn es ein hinterlegter Root-Zugang ist.
 
  • Gefällt mir
Reaktionen: Cliffrz
Thaxll'ssillyia schrieb:
Bei open source wäre die schnell zu entdecken, gerade wenn es ein hinterlegter Root-Zugang ist.
Na wieviele Leute gibt's, die sich den Code:
A) anschauen und
B) überhaupt in der Lage sind diesen zu verstehen

Ich kann die Diskussion bzgl. Open Source schon nachvollziehen, nur wird diese manchmal etwas unrealistisch geführt. Man kann unmöglich davon ausgehen, dass es wahnsinnig viele Leute gibt, die den Code überhaupt interpretieren können oder wollen. Diese sind dann davon abhängig, was so in Foren, Webseiten und Zeitschriften darüber berichtet wird. Und somit sind wir wieder an dem Punkt angelangt, wo der TE nun steht.

Es gibt ja nicht einmal wirklich viele Leute, die überhaupt programmieren können. Und ich rede jetzt nicht von Copy&Paste Programmierern, von denen gibt's leider genug.
 
  • Gefällt mir
Reaktionen: Cliffrz
Mosed schrieb:
Ich kann mir nicht vorstellen, dass es auch nur einen Passwortmanager gibt, der die Passwörter im Klartext speichert. Das würde ja das ganze System ad absurdum führen.
Völlig egal ob Cloud oder lokal - der Container MUSS immer verschlüsselt sein. Wozu sonst auch ein Masterpassword? ...
Wenn du den PW Manager von Chrome oder Firefox nutzt, wirst du afaik nicht gezwungen ein Masterpasswort zu setzen. Es wird sehr dringlich empfohlen das zu tun, aber man kann auch ohne... und dann ist es unverschlüsselt.

Bei Firefox hab ich gerade nochmal nachgeschaut - geht definitv ohne Master-Passwort, ich hatte sogar noch ein einzelnes Passwort da drin. Konnte ich mir direkt im Klartext so anschauen, ohne irgendwas einzutippen.

Ich kenne aber keinen dedizierten Passwort-Manager, der so einen Murks zulässt. Ich verstehe auch nicht so ganz, wieso die Browser sowas heute immer noch mitmachen.
 
  • Gefällt mir
Reaktionen: Cliffrz
proserpinus schrieb:
Na wieviele Leute gibt's, die sich den Code:
A) anschauen und
B) überhaupt in der Lage sind diesen zu verstehen
Inwiefern ist das relevant?
Hier reicht theoretisch eine einzige Person.

Seine unternehmerische Existenz darauf aufzubauen, dass man in Open Source code (, der im Falle von Bitwarden sowohl in der Öffentlichkeit als auch MIT der Öffentlichkeit entwickelt wird, 3rd Party Audits hinter sich hat und mit Bug Bounties belohnt wird), z.B. eine Backdoor einbaut wäre absoluter Selbstmord oder anders gesagt: unrealistisch.


proserpinus schrieb:
Diese sind dann davon abhängig, was so in Foren, Webseiten und Zeitschriften darüber berichtet wird.
Nicht wirklich.
Blogpost verfassen. Auf Hacker News posten und die Backdoor dreht seine Runden.
 
  • Gefällt mir
Reaktionen: DeusoftheWired, BeBur und Cliffrz
calippo schrieb:
Ich nutze Enpass mit einem lokalen Keyfile, sollte jemand die Passwortdatenbank in die Hände bekommen, dann benötigt man immer noch das Passwort und das Keyfile, zumindest wenn die Implementierung sauber ist.
Stimmt Enpass habe ich auch mal installiert um es mir anzuschauen. So (Passwort und Keyfile) nutze ich KeePassXC. Klappt auch wunderbar. Und war mir auch wichtig für die Synchronisation. Falls mal was abgegriffen wird, muss man das andere auch noch haben.
 
  • Gefällt mir
Reaktionen: Cliffrz
Gerade bei solchen Projekten wie Bitwarden funktioniert OpenSource eigentlich stets recht gut. Was denen definitiv fehlt ist ein bezahltes Bug Bounty Programm, aber generell: Ja, Menschen schauen über den Code drüber, Dutzende und Hunderte, niemand über den gesamten Code, aber jeweils über einen Teilbereich und dann werden auch durchaus 'fuckups' gefunden und behoben.

Speziell auch, wenn da ein Unternehmen maßgeblich mit drin hängt. Ich bin großer Fan von solchen "Mischkonzepten" aus Gründen, die @KitKat::new() angeschnitten hat.
 
  • Gefällt mir
Reaktionen: Cliffrz
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: KitKat::new() und snaxilian
Der Nachteil von Bitwarden ist halt, dass er die Loginfenster nicht mittels Overlay Popup ausfüllt. Dieses für mich entscheidende Feature wurde schon 2018 seitens der Communtity gewünscht, jedoch nie umgesetzt.
 
Was meinst du damit genau?

Ich fülle einfach immer per Shortcut aus, hab das auch vorher bei LastPass immer einfach so gemacht^^
 
Ist eher relevant, wenn man mehrere Logins für eine Seite hat, oder?

Ich habe einfach Autofill an und dann wird halt der passende Eintrag ausgefüllt.
Bzw man klickt im der Erweiterung den Eintrag an.

Oder welchen Vorteil soll das noch haben?
 
Ich meine das:
Screenshot 2021-03-18 155932.jpg


Besonders praktisch beim Ausfüllen, wenn mehrere Benutzernamen vorhanden sind.

Dashlane füllt bei einem Benutzernamen Benutzer und Passwort automatisch aus, wenn die Webapp geöffnet/entsperrt ist.
 
waldi2005 schrieb:
Besonders praktisch beim Ausfüllen, wenn mehrere Benutzernamen vorhanden sind.
Ok, gabs bei LastPass, hab ich da schon nie benutzt. Aber gut, ja, das fehlt Bitwarden.

waldi2005 schrieb:
Dashlane füllt bei einem Benutzernamen Benutzer und Passwort automatisch aus, wenn die Webapp geöffnet/entsperrt ist.
Das dagegen ist ein ziemliches Sicherheitsrisiko. Wenn du auf eine Phsihing-Seite landest, die irgendwie trotzdem dem URL-Match des Passwort-Eintrags genügt, landet das Passwort dann sofort & automatisch bei den Hackern. Eventuell siehst du es nichtmal, weil die Eingabeboxen als "hidden" markiert sein könnten. Ausgefüllt werden sie dann aber trotzdem häufig.
Bitwarden kann das mittlerweile auch, wenn man es denn will. Kann man in den Optionen des Plugins aktivieren. Ich würde aber immer davon abraten...
 
BlubbsDE schrieb:
Das wird hier nicht anders sein.

+5 für KeePass

Keepass ist zu umständlich.. ich nutzte es bis ich auf LastPass umgestiegen bin.
Jetzt kostet LastPass 4€ im Monat :D und jetzt überlege ich nach einer Alternative, die ebenfalls geräteübergreifend läuft und ebenfalls "automatisch" wie lastpass die Passwörter im Browser / Apps einträgt.

Das was Keepass leider nicht kann.

BTW hat jemand Erfahrung mit dem PW Manager von NordVPN?
Da ich dieses schon nutze wäre es praktisch ;)
 
Autokiller677 schrieb:
Das dagegen ist ein ziemliches Sicherheitsrisiko. Wenn du auf eine Phsihing-Seite landest, die irgendwie trotzdem dem URL-Match des Passwort-Eintrags genügt, landet das Passwort dann sofort & automatisch bei den Hackern.

Soweit ich weiß muss die Hauptdomain korrekt sein bei dem Standard Match. Nur die Sub-Domains und alles nach der Hauptdomain wird ignoriert.
Das dürfte eine Pishingwebseite nicht hinbekommen, oder?
 
DiamondDog schrieb:
und jetzt überlege ich nach einer Alternative, die ebenfalls geräteübergreifend läuft und ebenfalls "automatisch" wie lastpass die Passwörter im Browser / Apps einträgt.

Das was Keepass leider nicht kann.
Du meinst Autofill. Das musste nachrüsten in Keepass mittels Plugin. Out out of the box hat Keepass nur Autotype an Bord.
 
Zurück
Oben