Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Regelmäßig kenne ich nur bei Bitwarden: https://bitwarden.com/blog/post/bitwarden-network-security-assessment-2020/BeBur schrieb:
Gibt es reine browser-basierte Passwort-Manager (AddOns) ?
- Ersteller bensto
- Erstellt am
Ah ok, ja das leuchtet ein. Bitwarden ist in der guten Position, dass es a) OpenSource ist aber b) da eine Firma hinter steckt, die auch Geld damit verdient. Das ist eine gute Mischung, speziell auch bei sowas.Autokiller677 schrieb:
Ich würde nun einem Laien keinesfalls raten, sich selber Bitwarden aufzusetzen, aber jemand den es nicht stört, dass die Passwörter verschlüsselt auf einem Server einer Firma landen, der sollte mMn wenn dann zu Bitwarden gehen.
T
T.N.
Gast
Naja, also jetzt drückst Du mir ein wenig zu stark auf die Tränendrüse. Was für ein Ton denn? Das war eine klassische Einleitungsfrage. Mit Safe space Gelaber kann ich nichts anfangen und will damit auch nicht weiter behelligt werden.BeBur schrieb:
So wie bei jeder anderen Grundsatzfrage im IT Bereich, welche wohl die beste CPU/GPU oder das beste Mainboard sei, gibt es bei der Sicherheit immer wieder eine quasi religiöse Debattenqualität. Darauf habe und hatte ich nie Lust. Im Firefox kann man sich alle Passwörter einfach so anzeigen lassen, wenn man das Hauptpasswort nicht nutzt. Konnte man vorher auch. Im Browser haben Passwörter nichts aber auch wirklich gar nichts verloren. Die Stichworte sind Sicherheit vs. Bequemlichkeit. Mein ganz persönliches Pendel zeigt bei der Masse der heutigen Passwörter und der sicherheitsrelevanten Datenbänke, auf die man mit denen so zugreift, klar und deutlich in Richtung Sicherheit.
Amazon, e-bay, Banken, Mobilfunkprovider, Mail Provider und viele andere, geben seit Jahren Unsummen für die Abwehr aus. Das machen die nicht, weil Sicherheit ein Spielfeld verrückter IT Spezies ist, sondern weil es ganz einfach nötig ist. Der gemeine Nutzer ist viel zu bequem, um sich dauerhaft mit dem Thema Sicherheit zu beschäftigen, weshalb bei diesen Delikten seit Jahren ein Aufwuchs festzustellen ist und die Gewinne der Kriminellen märchenhaft sind. Und es fängt zu Hause an, wenn man am heimischen PC mit Passwörtern hantiert.
Als ein Art Kompromiss könnte man über einen Passwortmamanger mit oder ohne Anbindung an den Browser durchaus nachdenken. Es wäre jedenfalls viel gewonnen, wenn das mehr Leute machen würden. Kritisch müsste man aber beleuchten wo und wie Passwörter gespeichert werden, wer die speichert, wer und wieviele dort arbeiteten und in welchem Land Server stehen, sofern Cloud Dienste bemüht werden. Ab und an war Firefox bzw. der dortige Passwortmanager ein offener Tresor. Man muss den Entwicklern aber auch zu Gute halten sich schnell um Probleme zu kümmern, wenn das öffentlich wird.
Am Ende soll das jeder machen wie er kann und will, aber Passwörter haben in einem Browser eben nichts verloren.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Nur weil es irgendwann mal so üblich war, sein Gegenüber mit so einer abwertend konnotierten Frage schonmal von Anfang an als dumm darstellen zu wollen, ist das trotzdem schlechter Stil und hat in einer sachlichen Diskussion nix zu suchen.T.N. schrieb:
Und eigentlich hat sich die Diskussionkultur in solchen Aspekten auch weiterentwickelt.
Gerne tu ich dir den Gefallen.T.N. schrieb:
Egal wie ausschweifend du wirst, das stimmt so nicht, du verbreitest hier unfundiert deine Meinung, du kannst ja darüber sprechen, was dir ein besseres Gefühl gibt, aber dadurch wird es nicht richtig.T.N. schrieb:
Wenn dein Kompetenzlevel nur bis "Passwörter haben in Browsern nichts verloren" reicht, dann schreib das halt, aber bitte nur einmal und nicht mehrmals und lies stattdessen mehr, vielleicht schaffst du es ja noch was dazu zu lernen.
T
T.N.
Gast
(Luft hol, kurz überlegen, nachdenken, einordnen, Antworten)BeBur schrieb:
Ja, ja.
Als ob man für die Ablage von Zugängen von zum Teil sehr sensiblen und höchstpersönlichen Datenbeständen innerhalb einer vornehmlich nach außen gerichteten Software diesbezügliche Überlegungen und Schlussfolgerungen anstellen müsste oder irgendein "Kompetenzlevel" benötigte. Das ist eine heutzutage thematisch genuine und umfänglich evidente Conclusio. Schon bei oberflächlicher Überlegung und wenn man nicht gerade in einem Wald in einer Lehmhütte wohnt und mit der Außenwelt nur bei der Notdurft in Berührung kommt.
Ich bin schon erstaunt über welche Selbstverständlichkeiten hier noch kontrovers/persönlich debattiert wird.
Mir ist schon klar, dass die überwältigende Mehrheit der Nutzer (vielleicht nicht hier) auf Links in Mails klickt, Verlinkungen in SMS annimmt, die automatische Speicherung von Passwörtern innerhalb eines Browsers aus Bequemlichkeit präferiert, Vorratsdatenspeicherung bzw. jede andere personenbezogene Speicherung seiner Daten hinnimmt und über die Nachverfolgungsproblematik im Internet nur sporadisch nachdenkt und insgesamt eher unkritisch bis genervt solchen Problemen gegenübersteht, nur wird es nicht dadurch richtig, weil die Mehrheit das so macht.
Wenn Dir meine Art zu ausschweifig ist, dann musst Du an der sog. Aufmerksamkeitsspanne arbeiten.
Zuletzt bearbeitet von einem Moderator:
Das KeePassXC Firefox browser plugin kommt wohl doch nicht OHNE extern installiertes KeePassXC aus.
Ähnlich sieht es bei den anderen passwortmanagern aus.
Wenn man die Installation von solchen externen Programmen vermeiden will, dann bleibt wohl doch nur der eingebaute Firefox Passwort-Manager übrig
Ähnlich sieht es bei den anderen passwortmanagern aus.
Wenn man die Installation von solchen externen Programmen vermeiden will, dann bleibt wohl doch nur der eingebaute Firefox Passwort-Manager übrig
cartridge_case
Fleet Admiral
- Registriert
- Feb. 2009
- Beiträge
- 33.765
Was war daran gleich nochmal so schlimm?bensto schrieb:
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
cartridge_case
Fleet Admiral
- Registriert
- Feb. 2009
- Beiträge
- 33.765
Der PW-Manager vom FF ist ein Extraprogramm, welches man starten muss?Autokiller677 schrieb:
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Sorry, da hatte ich mich verlesen. Hatte da irgendwie KeepassXC reingebastelt in meinem Kopf...
Unabhängig davon, welche Lösung gewählt wird muss ein starkes Master-Passwort gewählt werden.
14-16 Zeichen sollten es Minimum sein, wobei angehängte Zeichen wie "123", "!123", "!" u.ä. nicht mit dazu zählen, da das sehr oft gemacht wird und daher erwartet wird und daher kein echter Zugewinn an "Unbekanntheit/Entropie" ist. Ebenso sind selber ausgedachte Worte "GlasSchreibtischMonitor" nicht gut, Da die Worte nicht zufällig gewählt wurden ist das ebenfalls sehr vorhersehbar.
Ich persönlich nutze gerne Alltagsworte + Spezial-Begriffe aus meinem Leben, aber nicht als Ganze Worte, sondern nur die ersten 1-3 Buchstaben. Beispiel "BeBurschhiCBFgvB" -> BeBur schreibt hier im CB Forum ganz viele Beiträge. Die systematik muss jedoch vor allem für dich selber spontan einsichtig sein (z.B. das 'sch'), sonst musst du alle drei Monate 20 Passwörter durchprobieren
. Außerdem solltest du irgendwo ein Backup des Passworts aufbewahren.
14-16 Zeichen sollten es Minimum sein, wobei angehängte Zeichen wie "123", "!123", "!" u.ä. nicht mit dazu zählen, da das sehr oft gemacht wird und daher erwartet wird und daher kein echter Zugewinn an "Unbekanntheit/Entropie" ist. Ebenso sind selber ausgedachte Worte "GlasSchreibtischMonitor" nicht gut, Da die Worte nicht zufällig gewählt wurden ist das ebenfalls sehr vorhersehbar.
Ich persönlich nutze gerne Alltagsworte + Spezial-Begriffe aus meinem Leben, aber nicht als Ganze Worte, sondern nur die ersten 1-3 Buchstaben. Beispiel "BeBurschhiCBFgvB" -> BeBur schreibt hier im CB Forum ganz viele Beiträge. Die systematik muss jedoch vor allem für dich selber spontan einsichtig sein (z.B. das 'sch'), sonst musst du alle drei Monate 20 Passwörter durchprobieren
. Außerdem solltest du irgendwo ein Backup des Passworts aufbewahren.
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.010
Und warum nimmt man dann nicht gleich "BeBur schreibt hier im CB Forum ganz viele Beiträge" ?BeBur schrieb:
Dann hat man nämlich nicht nur 16 Zeichen, sondern 51. Und dann spielt es ja vielleicht auch fast keine Rolle, das da Wörterbuchwörter drin vorkommen oder keine Zahlen und Sonderzeichen enthalten ist. Weil der Suchraum schon durch die pure Zeichenanzahl aufgebläht wird.
Warum man (künstlich) kürzere Passwörter nehmen sollte, erschließt sich mir nicht so ganz. Gut. Man spart sich Tipparbeit. Aber wenns nur für das Masterpasswort ist, dann ist der Aufwand überschaubar. Vor allem weil sich ein Satz auch relativ flüssig wegschreibt, während man bei einem verkürzten Passwort beim tippen doch immer ein wenig ausgebremst wird.
Ein reales Problem warum lange Passwörter manchmal nicht so gut funktionieren ist manche Diensteanbieter. Ich denk da nur so an diverse Online-Banking-Angebote wo dann irgendwie Passwörter maximal 8 Zeichen lang sein dürfen und so ein Sch**ß, wo man sich echt fragt: WTF??
Aber es geht ja hier um Passwortmanager und ein Passwortmanager der nicht quasi beliebig lange Master-Passwörter zulässt, der hat eh sein Zweck verfehlt. Und die eigentlichen Nutzpasswörter dürfen dann ja auch ruhig kürzer sein und zum Ausgleich kryptisch. Die muss ich mir ja weder merken noch tippen.
PS:
Denk dran, Leute. Die hier genannten Passwörter von BeBur sind verbrannt. Bitte nicht übernehmen! ;-)
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Obligatorischer xkcd: https://xkcd.com/936/
Ja. Mir erschließt sich das auch nicht ganzandy_m4 schrieb:
. Ich hab zum Teil auch solche ganze Sätze genommen. Aber 51 Zeichen wären mir dann auch ein kleines bisschen zu viele zum täglichen tippen. Mit den Wortfetzen passen zumindest mehr, ich nenn es mal "Wort-Level Entropie" in weniger Zeichen rein. Praxisrelevanz vermutlich = Null. Ist eine persönliche Neigung oder Gewohnheit, wobei ich immer darauf achte, dass die Länge des Passwortes passt.Als Rat ist es womöglich besser, wirklich diese vollständigen Sätze zu empfehlen.
Was wieso, hat man direkt ein Backup vom Passwort hier im Thread gespeichert, ist doch praktischandy_m4 schrieb:
.
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.010
Was mir noch zur Passwortlänge einfällt:
Man weiß ja auch nicht, wie das auf der Webseite (oder welcher Service auch immer) verarbeitet wird. Normalerweise wird das ja gehasht gespeichert und so.
Aber mal angenommen: wenn die jetzt nur die ersten 16 Zeichen für die Hashberechnung nehmen (weil sie Rechenzeit sparen wollen oder was auch immer), dann ist das lange Passwort was allein nur durch seine pure Länge sicher war natürlich plötzlich wieder unsicher.
Auf der anderen Seite müssen kürze Passwörter mit Sonderzeichen nicht unbedingt sicherer sein. Vielleicht fliegen ja bei der Input-Filterung erst mal alle Sonderzeichen raus, weil sonst die WebApp abstürzt weil sie mit Zeichensatzproblemen überfordert ist. Klingt erst mal schwachsinnig. Aber Programmierer kommen ja auf die dollsten Ideen. Und gerade so in dem PHP und node.js Sumpf treibt sich ja nicht unbedingt immer das absolute Spitzenpersonal rum. :-)
Man weiß ja auch nicht, wie das auf der Webseite (oder welcher Service auch immer) verarbeitet wird. Normalerweise wird das ja gehasht gespeichert und so.
Aber mal angenommen: wenn die jetzt nur die ersten 16 Zeichen für die Hashberechnung nehmen (weil sie Rechenzeit sparen wollen oder was auch immer), dann ist das lange Passwort was allein nur durch seine pure Länge sicher war natürlich plötzlich wieder unsicher.
Auf der anderen Seite müssen kürze Passwörter mit Sonderzeichen nicht unbedingt sicherer sein. Vielleicht fliegen ja bei der Input-Filterung erst mal alle Sonderzeichen raus, weil sonst die WebApp abstürzt weil sie mit Zeichensatzproblemen überfordert ist. Klingt erst mal schwachsinnig. Aber Programmierer kommen ja auf die dollsten Ideen. Und gerade so in dem PHP und node.js Sumpf treibt sich ja nicht unbedingt immer das absolute Spitzenpersonal rum. :-)
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Stimmt leider. Aber vieles davon kann man recht einfach selbst testen, in dem man z.b ein sehr langes Passwort nimmt und dann einfach mal ein bisschen was hinten weglässt. Wenn man trotzdem reinkommt, wird wohl irgendwo abgeschnitten.
Nur eine weitere Idee, keine Ahnung ob das für dich taugt: KeeWeb
Und zur Diskussion: ich entdecke gerade, obwohl ich Keepass nun schon viele Jahre nutze, gerade erst die Autotype Funktion für mich.
Brauch ich dann mehr als Keepass? Das Programm lungert ohnehin ständig im Tray, will ich mich irgendwo anmelden wird der globale (oder auch individualisierte) Shortcut genutzt, ich gebe mein PW ein und Keepass sucht mir die korrekten Login Informationen raus. Bums, fertig ist die Laube.
Die Datenbank kann ich auf dem Smartphone mit entsprechender App, auf den privaten und beruflichen Rechnern nutzen, via Cloud syncen, auf'm Stick umher tragen und habe somit auch immer redundante Kopien irgendwo rumfliegen.
Im Browser mochte ich gespeicherte PW schon lange nicht mehr. Zügige Aktualisierungen hin oder her. Da schenke ich einem externen Programm welches seit Jahren stets weiterentwickelt wird mehr Vertrauen in seiner Hauptaufgabe das zu tun, was es vorgibt tun zu können: PW verwalten.
In der Firma haben wir auch immer mal wieder Diskussionen mit u.a. von @Autokiller677 vorgebrachten Argumenten. Bekommt man die Leute davon überzeugt und muss sie nicht überreden dann sehen es sogar it-ferne User ein und machen es sich allmählich zu eigen.
Und zur Diskussion: ich entdecke gerade, obwohl ich Keepass nun schon viele Jahre nutze, gerade erst die Autotype Funktion für mich.
Brauch ich dann mehr als Keepass? Das Programm lungert ohnehin ständig im Tray, will ich mich irgendwo anmelden wird der globale (oder auch individualisierte) Shortcut genutzt, ich gebe mein PW ein und Keepass sucht mir die korrekten Login Informationen raus. Bums, fertig ist die Laube.
Die Datenbank kann ich auf dem Smartphone mit entsprechender App, auf den privaten und beruflichen Rechnern nutzen, via Cloud syncen, auf'm Stick umher tragen und habe somit auch immer redundante Kopien irgendwo rumfliegen.
Im Browser mochte ich gespeicherte PW schon lange nicht mehr. Zügige Aktualisierungen hin oder her. Da schenke ich einem externen Programm welches seit Jahren stets weiterentwickelt wird mehr Vertrauen in seiner Hauptaufgabe das zu tun, was es vorgibt tun zu können: PW verwalten.
In der Firma haben wir auch immer mal wieder Diskussionen mit u.a. von @Autokiller677 vorgebrachten Argumenten. Bekommt man die Leute davon überzeugt und muss sie nicht überreden dann sehen es sogar it-ferne User ein und machen es sich allmählich zu eigen.
Sepp Depp
Lieutenant
- Registriert
- Mai 2011
- Beiträge
- 688
Tom_top schrieb:
Das passiert leider recht häufig. Vielleicht beschäftigt man sich heute auch einfach nicht mehr mit der Software die man sich so installiert, was brandneues ist die Funktion ja nun nicht. Und läßt so immer wieder die Frage entstehen, wozu man eigentlich ein Addon braucht?
Info-Material ist jedenfalls genug vorhanden.
https://keepass.info/help/base/autotype.html
https://keepass.info/help/v2/autotype_obfuscation.html
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Ich kannt die Funktion bis gerade auch nicht - sieht tatsächlich so aus, als ob sie ein Browser Plugin ziemlich unnötig macht.Sepp Depp schrieb:
Das dagegen ist einfach: Wenn ich bei Google "Keepass Autofill Browser" eintippe, kommt (für mich) Autotype das erste mal auf Seite 2 vor. Auf Seite 1 hab ich nur Links zu den diversen 3-rd Party Browser Plugins und Forumposts, wie man die über die Plugin-API zum Laufen bekommt, weil es Probleme gibt.Sepp Depp schrieb:
Und während ich früher noch häufig mehrere Seiten Sucherergebnisse durchgegangen bin, ist Google mittlerweile so gut, dass ich das quasi nicht mehr mache. In 99% der Fälle gilt da: Wenn es auf Seite 1 nicht steht, gibt es das nicht, und ab Seite 2 kommt nur noch irrelevanter Schrott.
Der Name Auto-Type ist halt sehr ungünstig gewählt, weil danach keiner sucht. Ja, es beschreibt die Funktion besser, stimmt. Aber es wäre vermutlich schon massiv hilfreich, wenn auf der von dir verlinkten AutoType Hilfeseite einfach ein paar Mal das Wort "Autofill" vorkäme, so nach dem Motto "AutoType ermöglicht das automatische Ausfüllen (auch autofill genannt) von Login-Feldern" oder so.
So hat das Tool zwar eine coole Funktion, solange man aber nicht auf der (überladenen & altmodischen) Seite rumklickt, findet man sie kaum. Ein Tutorial zum Programmstart gibt's auch nicht, neue Features werden nach einem Update auch nicht vorgestellt. Wie also drauf kommen?
KeePass ist kein schlechtes Tool, aber der Mindest dahinter scheint echt "von Nerds für Nerds" zu sein. Unintuitive Oberfläche, die einen nicht gut leitet (selbst nach 3 Jahren Benutzung klicke ich fast immer auf "Neue Datenbank" wenn ich einen neuen Eintrag will - wieso ist das typische "Neu" Icon mit der Datenbank belegt, einen neuen Eintrag erstelle ich doch viel öfter und muss die Funktion intuitiv finden?!), uralte Website, offenbar null SEO... Da verbockt man sich einfach viel selbst.
Gut, da keine kommerziellien Interessen dahinterstehen, ist es dem Entwickler vermutlich schlicht egal. Trotzdem schade.
EDIT: Gerade nochmal probiert. Das Wort "AutoFill" kommt auf keepass.info und allen Unterseiten exakt einmal vor - hier: https://keepass.info/help/base/security.html im Bezug auf die iOS App Argon2. Joa, wirklich gar kein Wunder, dass das kaum jemand kennt oder findet...
