Erfahrungen mit Passwort-Managern?

[PhoenixEX]

Hallo,

ich wollte mal folgendes wissen:

ich wollte mir einen Passwort-Manager zulegen.
Nun habe ich auch von zwei Herstellern gehört, die meine Neugier geweckt haben
1Password und LastPass

Was ich an LastPass so toll finde, ist die Synchronisation zwischen verschiedenen Geräten.
Ich weiß nicht, ob das bei 1Password ebenfalls so ist.

Was ist eure Meinung?
Kann man das bedenkenlos nutzen?
Und was würdet Ihr zwischen den beiden wählen?

Danke

 

[|SoulReaver|]

Ich habe gut 20 Passwörter lange gut durchdacht und die endung immer abgeändert. Somit gut zu merken und im Kopf. Von solchen Managern halt ich nichts. Bist immer angreifbar.

 

[hautschi]

Nach langer Recherche bin ich bei "Safe in Cloud" gelandet. Vorher hatte ich gefühlt mehr als 10 Jahre 1Password genutzt (Kaufversion), aber nach der Umstellung auf das Mietmodell kamen da kaum bis keine Updates mehr.
Ich nutze das ganzen mit MagentaCloud (gibts gratis für jeden), WebDAV und auf Windows sowie iOS und Android. Läuft top bisher, kann nicht klagen.
Und der Vorteil: alles kostenlos, bis auf die Mobil-Apps - die kosten einmalig rund 8 EUR, lassen sich aber in der Familie gemeinsam nutzen (z. B. für Frau und Kinder bzw. Eltern).
Alternativ hab ich mir Enpass angeschaut, fand das aber nicht so geschmeidig in der Bedienung.

P. S. Von einem Abo-Modell mit den Passwort-Daten auf ausländischen Servern würde ich zumindest abraten. Aber wie immer ist jede Softwarelösung angreifbar, egal ob vom Entwickler aus oder dann eben der Tresor in der Cloud. Am sichersten sind immer noch händisch aufgeschriebene Passwörter, die zuhause im feuerfesten Tresor stehen. Aber wer macht sich schon den Aufwand? Etwas Komfort will man ja haben und dann landet man halt beim digitalen Passwort-Safe.

 

[Piak]

Keepass, gibt keine Daten in die Cloud.

Es gibt genug leute, die dafür bezahlt werden eben diese Cloud Verschlüsselungen zu knacken, bzw. zu unterwandern.

 

[Kyze]

+1 für keepass

 

[r15ch13]

Als alternative zu den beiden waere noch BitWarden zu nennen.


Ansonsten selber machen:
KeePass/KeePassXC (Keepass2Android) mit Browser Erweiterung und synchronisieren per Syncthing/Dropbox/etc.

 

[Voltize]

Bin zufrieden mit LastPass. Benutze es hauptsächlich aus Bequemlichkeitsgründen. Das automatische Ausfüllen funktioniert sowohl am PC als auch am Handy gut. Nur besonders schützenswerte Seiten wie z.B. Online-Banking vertraue ich keinem Passwort Manager an.

 

[PhoenixEX]

Ich habe gut 20 Passwörter lange gut durchdacht und die endung immer abgeändert. Somit gut zu merken und im Kopf. Von solchen Managern halt ich nichts. Bist immer angreifbar.

Eigentlich bin ich der selben Meinung genau deswegen habe ich es ja noch nicht gemacht und wollte eure Meinung erstmal dazu hören.

Keepass, gibt keine Daten in die Cloud.

Es gibt genug leute, die dafür bezahlt werden eben diese Cloud Verschlüsselungen zu knacken, bzw. zu unterwandern.

Davon habe ich auch gelesen´aber ich habe es mal ausgetestet.
Aber irgendwie kann ich das nicht synchronisieren....

Braucht man dafür ne Premium Funktion?


EDIT:

Ansonsten selber machen:
KeePass/KeePassXC (Keepass2Android) mit Browser Erweiterung und synchronisieren per Syncthing/Dropbox/etc.

Das heißt also

1. Erstelle PWListe als Datei
2. Lade diese Datei in DropBox hoch
3. Lade von Smartphone diese Datei herunter (mithilfe Dropbox oder sonstiges)
4. Öffne Datei mit MPW

Ich habe das mal als test vorhin versucht aber irgendwie sagt er, das mein MPW falsch ist, was aber nicht stimmt

 

[BlubbsDE]

Womit willst Du es synchronisieren, wenn Du keinen Clouddienst nutzen willst? Wenn Du es willst, KeePas funktioniert mit jedem Cloudanbieter. Aber synchronisieren und keine Cloud schließt sich eben aus. Und sei es eine eigene Cloud.

 

[PHuV]

Nein, es gibt keine Premium-Funktion, und KeePass ist bisher einer der besten PW-Manager, nutzen wir auch in der Firma.

 

[Ebrithil]

Ich benutze BitWarden, ist OpenSource und wenn du willst, kannst du den Server auch selbst hosten (hab ich zb gemacht), dann landen die Daten auch in keiner Cloud.

 

[0xffffffff]

Ich nutze schon länger 1password. Man kann die aktuelle Version auch weiterhin kaufen, dazu installiert man sich die Software (ist ohne Lizenz auf eine bestimmte Anzahl verwaltbarer Objekte beschränkt) und findet anschließend im Lizenz-Dialog eine unauffällige Option um eine klassische Stand-Alone-Lizenz zu kaufen. Wird auf der Webseite leider nirgends erwähnt.

Damit hat man eine lokale Passwortdatei, die ich mittels Intranet zwischen mehreren Geräte Synchronisiere.

 

[Hauro]

Was ich an LastPass so toll finde, ist die Synchronisation zwischen verschiedenen Geräten.

Dies bedeutet, dass die Daten auf einem Server im Netz (Cloud) gespeichert werden. Damit steht und fällt alles mit der Sicherheit der Daten-Speicherung und Übertragung (Verschlüsselung, usw.). Bei der Verschlüsselung ist interessant wie die Daten verschlüsselt werden und wer - Firma oder Kunde - den Schlüssel dafür hat.

 

[Pyrukar]

Verhältnismäßig sichere Passwörter sind doch eigentlich gar nicht so schwer zu merken bzw. kannst du dir, wenn du es richtig machst ein Cheat Sheet in den Geldbeutel bzw. aufs Smartphone machen ...

Beispiel: Hamburg04721
ist mit hoher Wahrscheinlichkeit ein unsicheres Passwort (bevor jemand google fragt: Ja 04721 ist eine Vorwahl von Hamburg) Wenn man jetzt einen Bezug zu Hamburg und der entsprechenden Vorwahl hat ists aber ziemlich leicht zu merken
Soo und jetzt machen wir mal auf die Schnelle ein Passwort draus, das sicherlich nichtmehr in einer Wortliste zu finden ist und somit als sicher eingestuft werden kann:
H0a4m7b2u1r!g
Die einzige Info die ich mir jetzt noch zusätzlich merken muss, ist das ! als längenergänzung für die Zahlenfolge, aber hey das ist die 1 großgeschrieben
Diesen Trick kann man aber natürlich mit jeder info machen die man mit Wort und Zahl fehlerfrei verknüpfen kann. und wenn ich mir jetzt auf mein Cheatsheet HHPLZ aufschreibe ... dann kann jeder der tatsächlich meinen Geldbeutel findet damit exakt gar nix anfangen du weist aber genau was damit gemeint ist und kannst das Passwort fehlerfrei eingeben

Btw. Am Smartphone ist die Eingabe solcher PWs denkbar Nervig ... am PC ist es jedoch kein Problem. Man kann ja erst das eine eingeben und dann das andere Mittels Pfeiltasten dazwischendrücken

und ach ja um 13 Stellen zu Bruteforcen brauchts schon ne Serverfarm

 

[Piak]

@Pyrukar : Keiner merkt sich 200 solcher Passwörter. Und Eselsbrücken sind niemals sicher. Totale Bastellösung.

Keepass hat für alle mir bekannten Bereiche entsprechende Plugins.

 

[Pyrukar]

Keiner merkt sich 200 solcher Passwörter. Und Eselsbrücken sind niemals sicher.

Wie viele individuelle Passwörter brauchst du denn realistisch? also ich hab so ca 20 individuelle ... die kann ich mir dank Cheatsheet problemlos merken. Die Frage bei den Eselsbrücken ist: vor wem sollen die Passwörter sicher sein?
1. Einem Computerprogramm, das automatisiert Wortlisten eingibt ... Das kommt Selbst mit Maschienenlernen nicht auf dieses Passwort mit der genannten Eselsbrücke
2. Irgendwelche Fremden denen das Cheatsheet in die Finger fällt ... Da kommt auch keiner drauf, dass das überhaupt Passwort-Eselsbrücken sind, und selbst wenn würde er wahrscheinlich nicht das richtige finden.
3. Familie und enge Freunde ... Okay zugegeben, hier könnte es schwierig werden ... wenn jemand weis, dass das Passwort Eselsbrücken sind UND weis, dass ich mit Hamburg und dieser speziellen Postleitzahl in Verbindung gebracht werden kann müsste nur noch herausbekommen dass er Dinge im Wechsel eingeben muss und könnte das Passwort knacken ... Ich bin der Meinung, das Risiko ist over all klein genug

gruß
Pyrukar

 

[Evil E-Lex]

@Pyrukar Klassisches Bruteforce ist tot. Heutzutage nutzt man dafür den Mask Attack Modus von hashcat. Menschen erzeugen in ihren Passwörtern immer Muster, dies kann man ausnutzen.

 

[hautschi]

Ich nutze schon länger 1password. Man kann die aktuelle Version auch weiterhin kaufen, dazu installiert man sich die Software (ist ohne Lizenz auf eine bestimmte Anzahl verwaltbarer Objekte beschränkt) und findet anschließend im Lizenz-Dialog eine unauffällige Option um eine klassische Stand-Alone-Lizenz zu kaufen. Wird auf der Webseite leider nirgends erwähnt.

Und dann hast du 1Password 7.2 oder 4.6? Das wär ja die komplette Verarsche der Bestandskunden...

BitWarden ist für mich nur nutzbar, wenn man selbst hostet - und das sind halt auch wieder Zusatzaufwand und Zusatzkosten. Da hab ich meinen Tresor lieber bei der Telekom in Deutschland liegen als irgendwo im Ausland.

KeePass ist natürlich nett, aber irgendwie wirkt es wie eine Bastellösung. Für jedes OS eigene GUIs/Apps von verschiedensten Entwicklern, verschiedene Tresor-Dateiformate, welche wiederum nicht von jeder GUI verstanden werden, usw. Eine Lösung ist das nur für IT-Profis, die gern basteln...meiner Frau könnt ich sowas nicht vermitteln. Und ihr bisheriges Vorgehen (ein Passwort für alle Accounts, 4 Buchstaben, 4 Zahlen) war definitiv unsicherer als ein Software-Passwortmanager mit Daten in einer deutschen Cloud.

Sofern der Entwickler kein A****loch ist und Hintertürchen einbaut, sollten die Daten am Gerät verschlüsselt werden und nur der verschlüsselte Tresor in der Cloud landen. Ist das Masterpasswort dann gut genug, steht den Gangstern dann AES-256 im Weg. Mir reicht das...ist eh wenig zu holen bei mir

Edit:
@Pyrukar: Ich hab über 250 Einträge im Passwortsafe...die merk ich mir mit deinem System auch nicht bzw. dein Cheatsheet wär ein DIN-A0-Poster. Etwas unhandlich für den Geldbeutel.

 

[Pyrukar]

Heutzutage nutzt man dafür den Mask Attack Modus von hashcat.

Ja und wenn du nicht weist, wie das Passwort aufgebaut ist, wird das auch sehr lange dauern ... wenn du natürlich weist, dass es immer Buchstabe-Zahl-Buchstabe ist dann bist du schneller aber das ist über die Masse der Passwörter schon ein sehr spezieller Guess findest du nicht auch

da stellt sich eben wieder die Frage, vor wem willst du schützen

 

[Evil E-Lex]

Nein finde ich nicht. Du bist naiv.