Frage zu Sinn oder Unsinn von Passwordmanagern

kluth-family

Lieutenant
Dabei seit
Apr. 2005
Beiträge
741
Ich hätte da mal eine grundsätzliche Frage zu den frei erhältlichen Passwordmanagern (Lastpass, Keypass usw.)
So sicher, wie die auch sein mögen, ist es aber doch auch so, wenn ich das Passwort
"öokdpweuor))==?`?7588PPpp=ölkutv55&&78$$3209gjsccdouznb)$ErTz22"
oder so ähnliche für einen Online Shop generiere, sieht das ja erst mal unknackbar aus, weil sehr gut verschlüsselt und weil es kein Passwort von der Stange ist.
Aber: wenn es nun jemandem gelingt, das so hinterlegte Password bei diesem Online Shop in Klarschrift abzuziehen, wie auch immer, dann ist doch so eine Passwortverwaltung eigentlich für den Ar***, oder?
Daher stellt sich für mich die Frage, ob diese Passwordmanager Sinn machen. Den einzigen Sinn, den ich da sehe, ist das man halt ein Password wie hier als Beispiel beschrieben generieren kann und es sich nicht merken braucht, weil man es sich eh nicht merken könnte.
Aber wie gesagt, wenn es in Klarschrift vom Server gehackt wird, ist doch alles für die Katz, korrigiert mich, wenn ich da falsch liege...
 

bisy

Fleet Admiral
Dabei seit
März 2015
Beiträge
14.937
ein Paswort Manager hat ja nichts mti dem Hacken der Internet Seite/Shop zu tun.

du kannst auch 1234 als Passwort nehmen und wenn jemand es schaft die Daten des Sops zu hacken, kommt er damit auch an die Daten.

der Sinn von Passwordmanagern ist ja eher, das darin alle Passwörterverwaltet werden, da man eingentlich für jede seite ein anderes Paswort nehmen solle.
merk dir dann mal ohne so ein Manager 10 verschiedene Paswörter, viel spaß
 
O

Out_of_CTRL

Gast
Absolut richtig. Dennoch sinnvoll, wenn du daran denkst, regelmäßig deine Passwörter zu wechseln. Das kann man dann mit solchen Programmen gut machen. Wichtig auch etwaige Master Keys oder Passwörter gut unter Verschluss zu halten.
 

Repi

Lieutenant
Dabei seit
Dez. 2003
Beiträge
769
Du hast recht, sofern das PW in Klarschrift auf dem Server liegt ist da halt ein Eingriffspunkt.

Der Sinn von Passwortmanagern besteht aber gerade dadrin, für jeden Login ein anderes, so kryptisches Passwort zu generieren und dadurch potenziellen Angreifern nicht durch das ergattern von EINEM Passwort Tür und Tor zu allen Logins zu eröffnen.

Die Sicherheit verbessern PW Manager nur dadurch. Der Rest liegt bei den Servern und wie dort mit deinen Daten umgegangen wird.
 

killertomate285

Lt. Commander
Dabei seit
Mai 2011
Beiträge
1.180
Und welcher Passwort Manager geht denn nun gut mit meinen Daten um? ;)

Momentan benutze ich Passwort Safe, das ist Lokal auf dem PC. Nützt mir leider auf dem Smartphone wenig.. :(
 

Black_Eagle

Lt. Junior Grade
Dabei seit
Apr. 2007
Beiträge
404
KeePass ist zum Beispiel immer eine Empfehlung.

Ich nutze aber 1Password. Hab das in einer Aktion günstiger bekommen (auf dem Mac -den ich nutze- ist es wohl besser als die Windows Version). Um die Passwortdatenbank auch mobil zu haben nutze ich dort den Wlan Sync und als Sicherung noch mein NAS.
So verlassen die Daten (auch wenn die Container verschlüsselt sind) zumindest nicht mein Netzwerk wie es bei einem Sync mit Dropbox der Fall wäre (oder gar LastPass)
 

updater14

Lt. Commander
Dabei seit
Juni 2014
Beiträge
1.227
Momentan benutze ich Passwort Safe, das ist Lokal auf dem PC. Nützt mir leider auf dem Smartphone wenig.. :(
Gibt es doch für alle gängigen Smartphones:
http://www.passwordsafe.de/de/support/features/mobile-geraete-apps.html

Ein Problem ist immer mal wieder der Sync zwischen lokalem PC und App, ich löse es daher so,
dass ich mir einen HTML-Export anlege: http://www.passwordsafe.de/support/features/html-webviewer.html

Wie man das für seine Verhältnisse "sicher" gestaltet bleibt zum Glück jedem selbst überlassen. ;)
 

R4Z3R

Lieutenant
Dabei seit
Dez. 2006
Beiträge
611
Die Passwortverwaltung von Chrome funktioniert sehr gut auch Geräteübergreifend. Verschlüsselung ist auch mit eigener Passphrase und Clientseitig möglich, d.h. Entschlüsselung der Daten nur auf deinem Device.
 

Faust2011

1+1=10
Teammitglied
Dabei seit
Aug. 2011
Beiträge
10.589
Aber: wenn es nun jemandem gelingt, das so hinterlegte Password bei diesem Online Shop in Klarschrift abzuziehen, wie auch immer, dann ist doch so eine Passwortverwaltung eigentlich für den Ar***, oder?
In der Regel liegen Passwörter auf Servern in deren Datenbanken nicht im Klartext vor, sondern sind gehashed. Hashes sind Einwegfunktionen, d.h. man kann nicht zurück auf das ursprüngliche Passwort schließen. Alles was passiert ist, dass Dein Passwort bei einer Anmeldung durch die Hashfunktion geschickt wird und dann der Hash mit dem in der Datenbank vergleichen wird. Anschließend wird der temporäre Hash verworfen.
 

Luxuspur

Banned
Dabei seit
Apr. 2012
Beiträge
5.662
und wenn es jemanden gelingt an dein PW und deinen Safe zu kommen ( Keylogger ganz easy ) hat er alle deine PW!
PW haben nur an einer Stelle gespeichert zu werden: dein Gehirn! Da hilf dann nur noch rohe Gewalt ;p
Und wenn du Probleme mit dem Merken hast ;p Dr. Kawashima hilft ;p

PW Safes sind Placebos für DAUs.

In der Regel liegen Passwörter auf Servern in deren Datenbanken nicht im Klartext vor, sondern sind gehashed.
Die Realität sieht anders aus ;p ... wie unzählige Hacks in der Vergangenheit beweisen!
 
Zuletzt bearbeitet:

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.578

zeromaster

Lt. Commander
Dabei seit
Juli 2014
Beiträge
1.893
Wenn sich die Experten schon versammeln: spricht etwas und wenn, was spricht gegen gängige in Browser integrierte/ im OS integrierte "Passwort"-merker? Ich meine klar, ich darf mein Gerät nicht ungesichert rumliegen lassen aber sonst? Erfüllen diese ihren Zweck nicht ausreichend?
 

blackshuck

Commander
Dabei seit
Juli 2012
Beiträge
2.726
wie sieths mit zettel und stift + gehirn aus? man muss ja nicht das ganze pw aufschreiben;)
 

Yuuri

Fleet Admiral
Dabei seit
Okt. 2010
Beiträge
12.578

kluth-family

Lieutenant
Ersteller dieses Themas
Dabei seit
Apr. 2005
Beiträge
741
Na ja, das eine oder andere nützliche ist schon dabei...

Ist halt in jedem Forum das Gleiche, meist wird irgendwann vom Thema abgeschweift, kann aber nix dran machen, ist überall so. Grundsätzlich wird aber hier auf CB schon kompetent weitergeholfen.
 

blackshuck

Commander
Dabei seit
Juli 2012
Beiträge
2.726

M@rsupil@mi

Rear Admiral
Dabei seit
Jan. 2013
Beiträge
5.461
Da würde man PW nach einem bestimmten Muster verwenden. Sicherlich besser, als (überall) nur 1234, aber es geht halt sicherer. Zumal in der heutigen Zeit nicht nur Passwörter zu merken sind.

Was ist mit Wiederherstellungscodes? Den Angaben bei Geheime Frage / Antwort? Sicherungstoken in Form einer Datei? GGf. nutzt man auch nicht jeden Dienst mit ehrlichen Angaben (Name, etc.), aber im Fall der Fälle kann es durchaus gut sein, wenn man nachschauen kann, was man dort verwendet hat.


Erfüllen diese ihren Zweck nicht ausreichend?
Kommt darauf an, was man selbst als ausreichend ansieht. Im Grunde ist es für 99,99% der Leute eine Vertrauensfrage (Weil man selbst bei Quelloffener Software nix verstehen würde, wenn man sich die anschaut.).

Vertraut man etwa Google / Google-Software seine Kennwörter an, oder Microsoft, einer Cloud-Software oder vielleicht einer Offline-Lösung von Hersteller XY? Dazu kommt ggf. auch wo man die PWs überall haben / nutzen möchte. Für Webseite / Forum XY mag einem das auch egal sein, wenn das was eher „unsicher“ im Browser gespeichert ist.



und wenn es jemanden gelingt an dein PW und deinen Safe zu kommen ( Keylogger ganz easy ) hat er alle deine PW!
Über einen Key-Logger hat der Angreifer noch lange nicht den Safe. Zumal ein Safe auch nicht nur an ein PW gebunden sein muss. Dann brauch der Angreifer noch mehr. Oder man betreibt den Safe auf einem Offline-System.

Natürlich kann man auch da munter weiter irgendwelche Bedrohungen konstruieren, aber die Angriffe werden immer unrealistischer. Warum einen gigantischen Aufwand betreiben, wenn die große Masse entweder überall nur 1234 verwendet oder meint Brain.exe würde reichen. Ist doch viel leichter zu knacken / abzugreifen. Die Leute geben doch auch im Jahr 2015 noch ihre Daten irgendwo auf Seite XY ein, wenn sie eine Mail bekommen, die dazu auffordert.

Oder ein Keylogger. Aber das ist im Hirn noch nicht angekommen. ^^ :D
 
Zuletzt bearbeitet:

R4Z3R

Lieutenant
Dabei seit
Dez. 2006
Beiträge
611
Falls du Chrome verwendest: Nimm dessen PW-Verwaltung. Funktioniert geräteübergreifend und ist client-seitig verschlüsselt.

Und hör nicht auf die Kommentare die hier von DAUs schwafeln etc. Die leben halt in ihrer kleinen soziopthaischen praxisfernen Welt.
 
I

IRON67

Gast
Warum einen gigantischen Aufwand betreiben, wenn die große Masse entweder überall nur 1234 verwendet oder meint Brain.exe würde reichen. Ist doch viel leichter zu knacken / abzugreifen.
Zum einen ist der Aufwand gar nicht so gigantisch, da es längst diverse mietbare Dienste gibt, die das (ggf. noch mit verteiltem Rechnen) übernehmen, zum anderen lockt statt einigen wenigen leicht abgegriffenen Logins gleich das komplette Paket. Genauso gut könnte ich fragen: Warum darauf verzichten, wenn es doch geht?

Natürlich gibts Kriminelle, die sich auf leichte Beute konzentrieren. Aber das kann man nicht verallgemeinern und dann als Basisargument für ein falsches Gefühl der Sicherheit benutzen.

Die große Schwäche der Passwortmanager ist ihre prinzipielle Angreifbarkeit und die Menge der potenziell zu erbeutenden Daten.

Lesestoff:

http://heise.de/-1792413

http://heise.de/-1830188

http://heise.de/-2691498
 
Top