Notiz Passwort-Manager: Dropbox Passwords Beta für Android und iOS erschienen

devebero

Commodore
Dabei seit
Juli 2003
Beiträge
5.015
Schuster bleib bei deinen Leisten...Ich bleibe bei Dashlane.
 

Knuddelbearli

Captain
Dabei seit
Nov. 2009
Beiträge
3.781
Wie sicher sind die Teile eigentlich? Bin schon lange am überlegen, hab bisher immer noch Keepass, aber inzwischen brauch ich meine Passwörter immer öfters auch Mobil. Selbst Hosten will ich da eher nix ein Fehler oder sich mal paar Wochen nicht um Updates kümmern und zack wirds riskant ...
 

jimmy13

Cadet 4th Year
Dabei seit
Juli 2018
Beiträge
82
@Knuddelbearli
Leider weiß ich nicht, welches mobile Gerät du nutzt. Allerdings habe ich meine Keepass Datenbank auf Dropbox liegen und lasse die auch auf meinem Android-Gerät synchronisieren.
Darauf wiederum läuft Keepass2Android und das leistet mir sehr gute Dienste. Auch mit meinem Yubikey kommen beide Geräte gut klar.
Nachteil ist jedoch, dass das kostenlose Dropbox die Anzahl der Geräte einschränkt. Das kann, je nach Menge, zu wenig sein oder man muss bezahlen. Auch das gleichzeitige geöffnet lassen am PC und Bearbeiten am Handy verursacht Komplikationen, da nicht gleichzeitig auf die Datei zugegriffen werden kann. Dropbox erzeugt dann eine Kopie in deinem Speicher.
 

FeelsGoodManJPG

Lieutenant
Dabei seit
Juni 2008
Beiträge
905
Da bleibe ich lieber bei Bitwarden, das ist Open Source und man kann es auch selbst hosten, was ich allderings nicht tue.
Bis zu zwei User ist es kostenlos. Die Browseraddons dazu sind auch gut.
 

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.466

new Account()

Vice Admiral
Dabei seit
Mai 2018
Beiträge
6.486

BeBur

Lt. Commander
Dabei seit
Nov. 2018
Beiträge
1.466
OpenSource ist definitiv nicht sicherer nur weil es OpenSource ist. Dieser Mythos wurde doch schon längst begraben!?
Software neigt dazu so schlecht programmiert zu sein, dass es gruselig ist. Ja, auch in großen Unternehmen mit toll aussehenden Apps. Das zumindest geht bei Open Source nicht. Dazu das, was new Account() geschrieben hat.
 

JDBryne

Lieutenant
Dabei seit
Juni 2010
Beiträge
571
@BeBur ClosedSource kann aber Geld, Ruf und die Marke schädigen. OpenSource bedingt. ClosedSource kann entwickler auch für mühsame Code Analyse bezahlen. Klar wenn du den Code lesen kannst ist doch super, aber da bist du eine Ausnahme.

@new Account() du gehörst zu einer Minderheit.
 

new Account()

Vice Admiral
Dabei seit
Mai 2018
Beiträge
6.486
Klar wenn du den Code lesen kannst ist doch super, aber da bist du eine Ausnahme.
Um zu wissen was mit meinem PW passiert, muss nicht ich unbedingt Code lesen können.

Bei beliebteren Sachen schauen da schon auch einige andere Leute drüber (und erzählen ggf. davon).


@new Account() du gehörst zu einer Minderheit.
Das heißt der Mehrheit ist es egal was mit ihren Passwörtern passiert?
hmm - wäre mir da nicht so sicher.
 

knoxxi

Azubi
Teammitglied
Dabei seit
Mai 2015
Beiträge
5.855
Da bleibe ich lieber beim guten alten Schlüsselbund.
 

tox1c90

Lieutenant
Dabei seit
März 2007
Beiträge
818
Ich würd aber gerne wissen, was mit meinen Passwörtern so passiert.
Und das weißt du bei Open Source? Du guckst dir also den kompletten Quellcode des Passwortmanagers durch, bevor du ihn verwendest? Und das auch nach jedem Update aufs Neue?

Dass "irgendein Experte wird es sich schon angeguckt und kontrolliert haben" nicht funktioniert, hat man ja beim OpenSSL-Skandal gesehen. Ein grober extrem sicherheitsrelevanter Fehler, der jahrelang überlebt weil sich keine Sau das nochmal angeguckt hat.
Du musst davon ausgehen, dass auch bei Open Source der Großteil des Codes von keiner anderen Person außer der, der diesen geschrieben hat, auch wirklich kontrolliert wurde.
Bzw du kannst es einfach nicht wissen.

Folglich ist das Open Source Programm für dich höchstwahrscheinlich genauso eine Black Box wie ein Closed Source Programm.

Ich würde behaupten, wenn der Entwickler eines Open Source Passwortmanagers geschickt eine Backdoor einbauen oder auch ganz simpel die Passwörter im Klartext verschicken würde, fällt das monatelang keinem auf. Und wenn doch irgendwann - tja Mist, Fehler gemacht, shit happens und er verdünnisiert sich.
Ich sehe das eher so, dass eine große Softwarefirma sich sowas niemals leisten würde, weil es wirtschaftlich für sie den Ruin bedeuten würde. Darum habe ich mehr Vertrauen in ein solches Produkt, auch wenn es Closed Source ist.
 
Zuletzt bearbeitet:

new Account()

Vice Admiral
Dabei seit
Mai 2018
Beiträge
6.486
Und das weißt du bei Open Source? Du guckst dir also den kompletten Quellcode des Passwortmanagers durch, bevor du ihn verwendest? Und das auch nach jedem Update aufs Neue?
Warum sollte man das machen?
I.d.R. sieht man direkt die Änderungen die durch ein Update gemacht werden.

Und letztendlich ändert sich für gewöhnlich auch nicht mit jedem Update das ganze Programm, sondern es kommt ein Bugfix oder ein Feature dazu.
Und, sollte das etwas kritisches sein, ist das bei bekannteren Sachen i.d.R. sofort auf einschlägigen Techseiten zu finden.

Dass "irgendein Experte wird es sich schon angeguckt und kontrolliert haben" nicht funktioniert, hat man ja beim OpenSSL-Skandal gesehen.
Sorry, ziemlich irrelevant.
Heartbeed war ein Bug, und kein "unerwünschtes Feature" oder ähnliches. Im Code stand nicht "createNewSecurityIssue();"
Nur weil viele Leute drüber schauen, heißt das auch nicht, dass etwas bugfrei ist. Bestes Beispiel dafür dürfte wohl der Linuxkernel sein: Tausende Leute und Unternehmen entwickeln mit und doch gibt es eine Reihe von Bugs.

Folglich ist das Open Source Programm für dich höchstwahrscheinlich genauso eine Black Box wie ein Closed Source Programm.
Nein.
Sonst würde es z.B. bei Matrix nicht hunderte an Meldungen geben, welche u.a. auch kleine Details melden/kritisieren.
z.B. https://github.com/matrix-org/matrix-doc/issues/1281
Kannst gerne mal durch GitHub repos browsen, wer da was sich anschaut und Feedback gibt.
Darüber hinaus gibt es sogar wissenschaftliche Arbeiten/Paper darüber (Datenschutz, DSGVO, Verschlüsselung, etc.).
Einfach mal recherchieren...


Ganz abgesehen vom impliziten Druck auf die Maintainer der Software.


Und nein, ich sage nicht, dass das bei allem der Fall ist, sondern eher bei beliebteren Sachen und/oder Sachen, an denen es auch höhere Mitarbeit durch externe gibt (wie es auch bei Matrix der Fall ist: So hat nicht nur Frankreichs Regierung, sondern auch die deutsche Bundeswehr Server und die Chatapp geforked und für sich eigens angepasst)


Eine Organisation, welche sich z.B. für Consumerinteressen in Privacy & Security einsetzt, ist das oben schon aufgeführte privacytools.io.
Diese empfehlen Open Source Software, und aktualisieren je nach Status auch deren Empfehlungen.
Hier beispielsweise die Gründe, warum die Empfehlung von Wire als Messenger entfernt worden ist:
https://forum.privacytools.io/t/delisting-wire-from-privacytools-io/2087/28


TLDR: Weit gefehlt
PS: Fokus auf Chatanwendungen, da ich da selbst informierter bin.
 
Zuletzt bearbeitet:

luckysh0t

Lt. Commander
Dabei seit
Nov. 2007
Beiträge
1.672
Top