ComputerBase Menü
Aktuelles

Passwort Manager Sinn oder Unsinn?

Ich nutze seit Jahren Bitwarden Fee und bin echt zufrieden mit dem Manager, benutze es auf mein PC und Smartphone, man kann es auch mit einem eigenen Server Horsten.
 
cosmo45 schrieb:
Ich nutze seit Jahren Bitwarden Free
Zum Vergrößern anklicken....

Ich ebenfalls. Habe vorher auch 1Password und LastPass genutzt. Bin bisher mit Bitwarden am zufriedensten, nutze allerdings die Cloud-Lösung.
 
PC295 schrieb:
Das wurde z.B. aus den Sicherheitsempfehlungen für sichere Passwörter die u.a. das BSI herausgibt entfernt.

Das Problem: Wenn Nutzer häufig dazu gezwungen werden Passwörter zu ändern, verleitet es sie dazu einfache Passwörter zu verwenden, nicht nur aus Bequemlichkeit sondern auch die Gefahr zu verringern, das neue Passwort zu vergessen.

https://www.mittelstand-heute.com/artikel/regelmaessiger-passwortwechsel-kann-schaedlich-sein?
Zum Vergrößern anklicken....

Microsoft sagt dazu auch Fordern Sie kein obligatorisches periodisches Zurücksetzen der Kennwörter für Benutzerkonten., allerdings soll man gleichzeitig auch MFA erzwingen. „Regelmäßig“ kann ja auch „alle zwei Jahre“ bedeuten. D.h., wenn es keinen regelmäßigen Wechsel mehr geben soll, müssen andere Maßnahmen getroffen werden.

Und bezüglich Vertrauen in dies oder das:
Wenn man es auf die Spitze treibt, müßte man auch den Hardwareherstellern (Maus, Tastatur, Mainboard…), dem Betriebssystem usw. vertrauen. Irgendwo muß man halt Kompromisse eingehen, oder tatsächlich Stift und Papier benutzen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: jmockert89
WhiteHelix schrieb:
Und was soll das Kennwort wechseln bringen wenn das generiert mit 20+ Zeichen ist?
Zum Vergrößern anklicken....
Szenario: Eifersüchtiger Freund installiert Keylogger/Spionagemalware auf seinem System und lässt Freundin den Rechner "großzügig" nutzen. Freundin trennt sich einige Zeit später, Ex-Freund kann weiterhin E-Mails lesen, bis das Passwort geändert wird.

Ich wechsle meine Passwörter jetzt auch nicht nach einem festen Zeitplan, alle x Monate. Aber ich gehe regelmäßig jedes Jahr durch meine Accounts im PW Manager und deaktiviere nicht mehr benötigte Accounts, aktualisiere Daten, aktiviere 2FA wenn das als neue Funktion bereitgestellt wurde und aktualisiere hier und da auch mal ein Passwort.
 
  • Gefällt mir
Reaktionen: MiniGamer und jmockert89
Ein Passwort kann wie hier schon geschrieben prinzipiell an unterschiedlichsten Stellen, sei es nun Anwender- oder Serverseite- unbemerkt ausgelesen werden. Insofern kann es bei besonders kritischen Anwendungen tatsächlich sinnvoll sein, ein Passwort hin und wieder (durch gleichfalls sicheres) zu ersetzen.

Danke für den Hinweis auf die BSI Empfehlung, die Änderung war mir so noch nicht bekannt. Ob das so uneingeschränkt seine Berechtigung hat, wage ich zu bezweifeln, muss ja jeder selbst für seine Umgebung und Anwendungen entscheiden.
 
Dann wäre
calippo schrieb:
Szenario: Eifersüchtiger Freund installiert...
Zum Vergrößern anklicken....
Es ging um den regelmäßigen vorsorglichen Wechsel der Passwörter. Wenn die Sicherheit kompromittiert ist, ist ein Wechsel natürlich obligatorisch.
 
Incanus schrieb:
Wenn die Sicherheit kompromittiert ist, ist ein Wechsel natürlich obligatorisch.
Zum Vergrößern anklicken....
Es muss ja nicht immer so offensichtlich und klar erkennbar sein, dass eine Kompromittierung stattgefunden hat.
Es gibt so viele Szenarien, in denen ein Passwort mal abgefischt werden kann, ohne dass der Nutzer das bemerkt.

Gebrauchten Rechner gekauft und mit bestehendem System mal hochgefahren um zu testen, ob er überhaupt läuft. Irgendwas lenkt einen ab und trotz aller guten Vorsätze und gegen jede Vernunft loggt man sich dort schnell irgendwo rein (gut, beim Einsatz von PW Managern kann mir das nicht passieren, weil ich ja erst mal aktiv den Manager installieren muss und das Keyfile lokal übertragen muss) und vergisst es.

Oder im Großraumbüro oder Zug: Der Stalker dreht die Webcam ein bisschen schräg, so dass die Tastenanschläge gefilmt werden können. Bei Gebrauch von langen Wörterketten (CorrectHorseBatteryStaple), die ja u.a. empfohlen werden, kann man nach ein paar Eingaben vielleicht schon das Passwort rekonstruieren.
 
  • Gefällt mir
Reaktionen: Iqra und jmockert89
In der aktuellen BSI Empfehlung heißt es: "IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. Standardpasswörter MÜSSEN durch ausreichend starke Passwörter ersetzt und vordefinierte Kennungen MÜSSEN geändert werden. […]. Nach einem Passwortwechsel DÜRFEN alte Passwörter NICHT mehr genutzt werden. […].“

Demnach wird nicht vom Passwortwechsel allgemein abgeraten, sondern lediglich vom rein zeitgesteuerten Wechsel. Dir neue Empfehlung ist also eine Konkretisierung der alten und auf dieser Grundlage ergibt es m.E. auch Sinn.
 
  • Gefällt mir
Reaktionen: Christian_b219, calippo, BeBur und eine weitere Person
PW Manager haben neben den bereits erwähnten Vorteilen auch den Vorteil, das Fishing weniger klappt, da die Passwort Manager nur der hinterlegen Website die Daten automatisch ausfüllen, bei Fishing Mails wird die orginale Domain ja nachgeahm, aber groß I durch klein L ersetzt, das es dem Nutzer kaum auffällt, PW Manager füllen dann aber nicht das Feld aus und man sollte stuzig werden.

Persönlich nutze ich 1Password, KeePass wäre warscheinlich noch etwas besser, da keine Cloud, aber mir ist dann die Bedienungsfreundlichkeit nicht komplett egal. Gibt aber genug Alternativen, wie Bitwarden,Vaultwarden, Enpass, etc..

Jedenfalls alles besser als den Browser Passwort Manager.
 
jmockert89 schrieb:
Demnach wird nicht vom Passwortwechsel allgemein abgeraten, sondern lediglich vom rein zeitgesteuerten Wechsel. Dir neue Empfehlung ist also eine Konkretisierung der alten und auf dieser Grundlage ergibt es m.E. auch Sinn.
Zum Vergrößern anklicken....
Gekoppelt mit 2FA ist das Passwort eh nur noch eine Komponente, die ohne die 2. Authentifikationsebene wenig Nutzen bringt. Den Zahlencode, den die TOTP-App anzeigt, im Gültigkeitszeitraum (1 min bei meiner) zu erraten ist eher Illusorisch :).
 
mae1cum77 schrieb:
Gekoppelt mit 2FA ist das Passwort eh nur noch eine Komponente, die ohne die 2. Authentifikationsebene wenig Nutzen bringt.
Zum Vergrößern anklicken....
Wobei ich offen gestanden 2FA auch nur in ganz bestimmten Bereichen wie Online-Banking etc. einsetze. Wenn man jetzt bspw. an 'normale' Web Anwendungen wie an den Zugang hier zu ForumBase denkt, wäre es ebenfalls sehr unschön, wenn sich hierzu fremde Personen Zugang verschaffen würden. Gleichwohl verwende ich hier wie für viele andere Anwendungen keine 2FA. Es ist anzunehmen, dass das 'normale' Passwort in vielen Bereichen bis auf weiteres weiterhin eine einschlägige Rolle spielen wird.
 
jmockert89 schrieb:
Es ist anzunehmen, dass das 'normale' Passwort in vielen Bereichen bis auf weiteres weiterhin eine einschlägige Rolle spielen wird.
Zum Vergrößern anklicken....
Bei Zugängen, die kritisch im Bezug auf Impersonation und Datensicherheit sind, ist bei mir 2FA Pflicht. Das betrifft meine private 'Cloud' ebenso wie Paypal, Email, Webspace mit Domain und viele andere. Da ist das mittlerweile Usus, das anzubieten, sollte man halt auch nutzen. Moderative/Administrative Accounts bieten das meines Wissens auch.

AES-verschlüsselte Backups meiner TOTP-App und die Speicherung von Recoverypasswörtern in KeePass sorgen für stressfreien Umgang, durch die Möglichkeit alles auf einem anderen Gerät wiederherzustellen.
 
  • Gefällt mir
Reaktionen: jmockert89
Hach, Password-Manager Threads. Hat man in kurzer Zeit mehrere Seiten voller Beiträge. Aber da sind auch durchaus manchmal nützliche Denkansätze bei. Ganz zu Beginn fand ich das Gegenargument zum Einsatz eines PM-Managers ganz schön, da Google ja sowieso an die Passwörter käme wenn sie denn wöllten. Also ich bin überzeugt, dass die nicht an meine ran kommen. Es ist eher ein Argument gegen den Einsatz z.B. des Chrome-Browsers als PM-Manager, weil dann speichert man seine Passwörter ja in einem Google-Produkt und synchronisiert diese schlimmstenfalls auch noch mit Google-Servern (damit man auf allen Geräten immer seine Passwörter synchron hat). Die beste Lösung ist tatsächlich eine Drittanbieter-App wie Keepass oder die Alternativen. Aber quelloffenen Code sollten diese Apps haben. Und dann macht man sich seine eigene Infrastruktur im eigenen LAN, um die Passwörter auf verschiedenen Geräten synchron zu halten. Das kann man alles offline machen, ohne dass die sensiblen Daten jemals ins Internet gelangen.
 
jmockert89 schrieb:
Ob das so uneingeschränkt seine Berechtigung hat, wage ich zu bezweifeln
Zum Vergrößern anklicken....
Naja, das BSI ist ja weniger für Privatis da als für Einrichtungen, und da unterstelle ich mal hat nur ein statistisch insignifikanter Teil der Anwender "in etwa" Ahnung "von PCs". Dann sollen die sich alle paar Monate ein neues und vor allem sicheres Paßwort ausdenken? Natürlich nicht, die erfüllen vielleicht die Domain Policies aber mehr auch nicht, dann hatten die grad so ABCD1234 und ein Ausrufezeichen hinten dran und weil es ne PW Historie über 2 Jahre gibt wo sie die bisherigen 24 Passwörter nicht verwenden *können, naja dann wird das halt ABCD1235, 36 und so weiter. Absolut sicher... oder eher, absolut sicherer Fall wo die Vorgaben exakt das erreichen würden was sie eigentlich vermeiden sollten.

Otto Normal Computerbasler sollte (hoffentlich) in der Lage sein (A) zu kapieren daß von jetzt auf eben schon mal ein Algorithmus kompromittiert werden kann, wir denken an MD5 und SHA1 und daß es (B) ja schon irgendwie weg von proof-of-knowledge in Richtung proof-of-ownership geht und daß letztere Option, vorbehaltlich "sicherer" Algorithmen, die zu bevorzugende Idee ist - Wissen kann abfließen, Ownership nicht, jedenfalls nicht unbemerkt.

PW Manager der selber noch mehrteilig abgesichert werden kann ist, vor allem in Verbindung mit Empfehlungen oder Generatoren für neue Passwörter, definitiv die bessere Option. Aber auch da gilt, je mehr Hansel da zugreifen können "sollen" desto problematischer wird es, und wenn man ssh keypairs, FIDO oder dergleichen im Sinne von "hab ich" anstelle von "weiß ich" verwenden kann, dann sollte man das auch tun. Muß man sich gar nix merken. Nur den Key dran halten. Und ihn halt nicht verlieren.
 
Iqra schrieb:
Naja, das BSI ist ja weniger für Privatis da als für Einrichtungen, und da unterstelle ich mal hat nur ein statistisch insignifikanter Teil der Anwender "in etwa" Ahnung "von PCs".
Zum Vergrößern anklicken....
Hinsichtlich BSI Empfehlung zu PW Wechsel ist mittlerweile aufgeklärt siehe meinen anderen Post oben.
 
Zuletzt bearbeitet:
rpsch1955 schrieb:
Bei mir sind das ein paar Blätter Papier und nur ich kenn wirklich die Passwörter
Zum Vergrößern anklicken....
WhiteHelix schrieb:
How to not password safe.
Zum Vergrößern anklicken....
Vielleicht hier mal eine Frage an alle.

Bieten Passwort Manager mehr Sicherheit als eigene Passwörter welche man zuhause auf einem Blatt Papier notiert? Also ich meine gute Passwörter und nicht 1234 oder so.
 
Kommt darauf an, wofür und wie man es nutzt. Es gibt immer verschiedene Angriffsvektoren. Den Zettel zu Hause, kann jemand kopieren, oder man nimmt recht kurze, unkomplizierte Passwörter, damit das Merken und Eintippen nicht so schwer fällt, während man unterwegs ist.
Ein Passwortmanager kann auch auf mobilen Geräten sicher verwendet werden. Die Passwörter können beliebig aufwändig sein, weil man sie nicht eintippen muss etc.
 
  • Gefällt mir
Reaktionen: Woking
Woking schrieb:
Vielleicht hier mal eine Frage an alle.
Zum Vergrößern anklicken....
Das haengt ein bisschen von deiner Wohnsituation ab.
Aber solange nicht Gott und die Welt bei dir vorbeikommen kann um mal durch das Passwortbuch zu blaettern, halte ich ein solches fuer nicht die schlechteste Idee.

Ein paar Haken hat es natuerlich: Aufgrund dessen das du kein Copy/Paste oder Autotype verwenden kannst, um ein Passwort einzugeben, wirst du mit einem solchen Buch tendenziell schwaechere Passwoerter verwenden.
Bei einem Passwortmanager auf dem Rechner gibst du deine Passwoerter nicht mehr manuell ein, es ist also kein Problem an das Maximum fuer Komplexitaet und Laenge zu gehen.

Auf der anderen Seite ist ein Buch vor direkten Cyberangriffen sicherer. Einzelne Passwoerter kann ein Keylogger natuerlich dennoch abgreifen, aber nicht die ganze Datenbank.
 
  • Gefällt mir
Reaktionen: Woking
Ein auf mehreren Geräten abgespeicherter Passwortsafe ist vor allem sicherer vor Wasserschäden, Bränden, Blitzeinschlägen, Neffen, Kaminen, Unordnung, etc.. Er ist auch deutlich komfortabler, da man Passwörter einfach kopieren und einfügen kann (und selbst das übernehmen Safes bei Bedarf ebenfalls).

Das mit Abstand wichtigste ist, dass für jeden Login ein eigenes Passwort verwendet wird.

Ranayna schrieb:
Einzelne Passwoerter kann ein Keylogger natuerlich dennoch abgreifen, aber nicht die ganze Datenbank.
Zum Vergrößern anklicken....
Ein Keylogger holt sich einfach das Passwort zum öffnen des Safes ;-). In dem Szenario, dass der Computer kompromittiert ist, ist das händische Eintippen aus einem Buch deutlich sicherer, denn monatelang darauf warten, dass Herr Maier aus Obersdorf Passwort X eintippt ist schlicht nicht ökonomisch. Außer natürlich, er hat viel Geld auf Blockchains.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Drexel
Passkeys mit Google Passwortmanager
Antworten
7
Aufrufe
768
Thomrock
Thomrock
root@linux
  • Artikel
Leserartikel Konfiguration der Web-Browser-Firewall
Antworten
13
Aufrufe
2.747
mykoma
mykoma
Kettenhunt
Leserartikel How-To: Rsync, SSH und/oder DynDNS am Raspberry Pi Zero benutzen
Antworten
2
Aufrufe
3.563
Kettenhunt
Kettenhunt
S
  • Artikel
Leserartikel Synology - Active Backup for Microsoft365 M365 Office365 O365
Antworten
2
Aufrufe
12.302
SVΞN
SVΞN
C
AOL-ACC oder Iphone versendet automatisch SPAM-Mails
Antworten
9
Aufrufe
1.912
chrisbyRRC
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz