Passwort-Verwaltung - brauche Beratung / Erfahrung!

[snoop83]

@BeBur ja mag sein, ich hab mich nur > 10 Jahre dran gewöhnt

Hab die Einträge schön nach Kategorien getrennt. Bei den ISP / SP habe ich halt Kundennummer mit drin, bei Foren hingegen zumindest einen Benutzername

Ich schau mir jetzt doch erstmal offline-Lösungen keepassXC und Enpass an. Man kann wohl nicht alles haben ..

--- Ergänzung ---

Yippie - Enpass bietet schonmal Kategorien und Vorlagen und man kann sich seine eigene Vorlage zusammenbauen - vorbildlich :-)

 

[Yuuri]

Eine Auto-Ausfüll-Funktion benötige ich nicht.

Also prinzipiell keinen herkömmlichen Passwortmanager (mit Autofill, TOTP usw.), sondern einfach nur ne Datenbank, in welche du Sachen einpflegen kannst? Ganz ehrlich... Nutz Excel und verwende nen Passwortschutz (keinen Blattschutz). Ab 2016 wird auch AES verwendet. Nutzt zwar keine abgeleiteten Schlüssel und kein Argon2 bspw., aber ist ausreichend sicher. Zur Not nutz simple Textdateien und pack diese entsprechend mit 7z und aktivierter Verschlüsselung. Das ist transportabel, kompatibel und mit nem simplen Texteditor umsetzbar, egal ob auf PC, Tablet, Handy oder der Konsole. Als Sync kannst du dann jeden x-beliebigen Hoster verwenden.

Im Prinzip kannst du jedes Tool verwenden, so lange du die Daten nach Bearbeitung entsprechend verschlüsselt ablegst. Passwortmanager haben halt andere Prioritäten als ne simple Datenbank zu sein. Verschlüsselung erledigen dann andere Tools, auch wenn diese weniger State of the Art als Passwortmanager sind.

Das kannst du aber wie gesagt auch einfach in die Notizen mit aufnehmen, bspw. in MarkDown für bessere Übersicht:

# Kundennummer
abcdef

# Vertragsnummer
1234567890

# usw
456789

# usf
789123

Aber mal zu deinen Angaben von vorhin:

• Anbietername
• Typ ( Internet | Strom | Gas | Wasser | Sonstiges )

Ergibt sich gleich durch den Eintragsnamen. Wenn der Stadtwerke Strom heißt, brauchst du da gar nichts mehr kategorisieren oder in irgendwelche Felder übernehmen.

• Webseite

Trägst du bereits ein.

• Benutzername
• Mail-Adresse
• Passwort

Benutzername/Mail-Adresse + Passwort sind bereits vorhanden. Wenn du das extra führen willst, nimm es als eigenes Feld in den Notizen auf.

• Pin
• Telefon-Pin
• Kundennummer
• Vertragsnummer
• Notiz

Dann nimm es im Notizfeld auf:

# PIN
1234

# Telefon PIN
5678

# Kundennummer
abcd

# Vertragsnummer
efgh

# Vertragsbeginn
01.01.2100

# Vertragsende
01.01.2200

# Kommentar
Das ist der super tolle Eintrag von meinem Stromanbieter.

Mach ich ganz genauso, allerdings nutze ich den Passwortmanager primär für seinen eigentlichen Zweck - Ausfüllen von Logins mit TOTP.

Prinzipiell kannst du da einfach jedwede Notiz-Funktion von den Passwortmanagern zweckentfremden. Ist zwar nicht Sinn der Sache, erfüllt ihn aber mit guter Sicherheit. Und in Bitwarden werden Notizen und Notizfelder ebenfalls mit durchsucht.

Wie gesagt: Du kannst auch einfach herkömmliche Textdateien verwenden und diese mit 7z und AES packen. Ist wahrscheinlich zehnmal besser, als sich auf irgendwelche ominösen Tools von ominösen Herstellern zu verlassen, weil du damit von Anfang bis Ende die Kontrolle behälst. Wenn du dann AsciiDoc als Formatierung verwendest, kannst du dir auch gleich automatisch hübsche PDFs zaubern lassen und die dann ausdrucken und im Safe verstecken und und und und... Der Sync geschieht dann über irgend nen x-beliebigen Hoster. Hauptsache du verschlüsselst in der Kette irgendwo.

 

[snoop83]

@Yuuri Hallo, ich will hier nicht alles schlecht reden, also versteh' mich bitte nicht falsch.

Im Prinzip könnte ich Excel nehmen und mir dort Blätter einrichten mit meinen benötigten Spalten. Jedoch geht dann die Bedienbarkeit auf dem Tablet / Smartphone flöten. Ich suche also schon einen klassischen Passwortverwalter, halt nur einen, in dem man flexibel Felder pflegen kann. Ich möchte auch nicht 50x im Programm "Kundennummer" eintippen, sondern mir für ISPs / SPs das Feld "Kundennummer" einmalig einrichten und fortan nutzen können.

Bei Enpass siehts bisher erstmal gut aus :-)

 

[Drewkev]

Jedoch geht dann die Bedienbarkeit auf dem Tablet / Smartphone flöten.

Office gibt's auch für Android.

Ich möchte auch nicht 50x im Programm "Kundennummer" eintippen, sondern mir für ISPs / SPs das Feld "Kundennummer" einmalig einrichten und fortan nutzen können.

Auch das ginge mit Excel easy.

 

[snoop83]

Enpass gefällt mir bisher sehr gut. So will ich das haben:

 

[andy_m4]

So jetzt brauche ich noch einen Cloudanbieter, der vor dem Hochladen verschlüsselt ..

Häh?
Verschlüsselung ist doch Deine Aufgabe und nicht die des Cloudanbieters.

 

[Knecht_Ruprecht]

Was soll der Cloudanbieter da verschlüsseln?

 

[calippo]

Also prinzipiell keinen herkömmlichen Passwortmanager (mit Autofill, TOTP usw.),

Ich nutze auch kein Autofill, aber PW-Manager bringen ja noch deutlich mehr Vorteile.
Neben den unterschiedlichen Vorlagen kann ich Dateien anhängen (Foto oder kleine Txt), ich kann taggen, ich kann mir meine Passwörter nach Alter sortieren, ich kann kompromittierte PW anzeigen lassen, ich kann ein Keyfile zusätzlich nutzen....

Das wäre ein immenser Komfortverzicht, wenn ich das in Excel oder einer Textdatei umsetzen würde, auch wenn ich unter Android Excel nutzen kann.

Die Verschlüsselung übernimmt natürlich der PW Manager selbst. Ich nutze noch ein lokales Keyfile, so dass mein Masterpasswort nicht die Schwachstelle werden kann.

 

[snoop83]

Ich weiß nicht, ob der Cloud-Anbieter meine Dateien unverschlüsselt hochlädt. Und wir wissen ja: 1x in der Cloud, immer in der Cloud. Sollte so ein Passwort-Vault mal kompromittierbar sein, hätte ich gern keine unverschlüsselte Version davon in der Cloud.

Nennt mich paranoid aber ich hatte schon Datenverlust privat und in der Firma, Ransomware, Phishing-Attacken, ...

Heute heißt es immer, es würde Jahre dauern so einen PW-Vault zu knacken, in 5 Jahren kann das ganz anders aussehen. Die Knackbarkeit wird ja rein an der Rechenpower festgemacht (Bruteforce).

Ich hatte nur mal vor wenigen Jahren gelesen, dass einige Cloud-Anbieter die Dateien von meiner Festplatte aus unverschlüsselt hochladen. Da hätte ich gern einen Cloud-Anbieter, der meine Dateien vor dem Hochladen zusätzlich verschlüsselt, damit sie nicht 1:1 wie auf meiner Platte auch in der Cloud liegen.

 

[calippo]

In Onedrive gibt es so eine Tresorfunktion, aber ob das mit der Integration funktioniert?

Da bleibt noch die Alternative, das in die private Cloud zu legen. Eine Nextcloud im lokalen Netz z.B. auf einem Raspi aufziehen und wenn man remote zugreifen will, dann vorher eine VPN Verbindung öffnen.
Oder halt dieses Wifi-Sync von Enpass nutzen, wobei da auch ein Server im lokalen Netz laufen muss, wenn ich das richtig verstehe.

 

[andy_m4]

Ich weiß nicht, ob der Cloud-Anbieter meine Dateien unverschlüsselt hochlädt.

Ähm noch mal: Das ist doch Deine Sache. Da musst Du Dich drum kümmern (worin ich jetzt aber auch kein Problem sehe).

Der Cloudanbieter stellt in erster Linie nur den Server/Speicherplatz.

 

[snoop83]

Wird jetzt glaube ich off-topic bzgl. der Cloud-Geschichte.

Ich geb' später nochmal Rückmeldung ob ich bei Enpass geblieben bin. Ich fand' es jetzt zumindest ansprechender und übersichtlicher als keepass, aber das ist bestimmt Geschmackssache.

 

[M-X]

Ich persönlich nutze Bitwarden seit einigen Jahren. Bei Bedarf kann man sich das System selber hosten.

Ja aber nur wenn man weiß was man macht. Sonst stellt man gleich die eigene Passworliste ins Internet...

 

[andy_0]

Das gilt natürlich für alles.

 

[snoop83]

Ich habe mich jetzt für Enpass entschieden. Durch die Kategorien ist das Programm sehr flexibel. Es kommt mit guten Vorlagen und lässt sich wunderbar erweitern. Die Suche funktioniert tadellos über alle Felder. Die Einträge lassen sich mit Tags markieren, so dass man zusätzlich zu den Kategorien eine gute Möglichkeit erhält, seine Einträge zu strukturieren.

Die Synchronisierung habe ich über Enpass Cloud-Sync über MS OneDrive realisiert. Es funktioniert für meine Windows- und Android-Geräte problemlos, auch wenn ich quasi "parallel" oder offline auf verschiedenen Geräten Einträge hinzugefügt habe (echtes Entry-Sync, kein File-Sync).

Bin endlich happy und kann meinen alten Passwort-Verwalter für Windows (Dot Net) in Rente schicken.

 

[Ylem]

Wie sieht das denn aus, sie man beim Generator des Managers immer die maximale Passwortlänge nehmen nach dem Motto viel hilft viel? Weil einige haben doch ein Limit an Zeichen die ein Passwort haben kann.

 

[BeBur]

Wie sieht das denn aus, sie man beim Generator des Managers immer die maximale Passwortlänge nehmen nach dem Motto viel hilft viel? Weil einige haben doch ein Limit an Zeichen die ein Passwort haben kann.

Würde ich nicht machen, der praktische Nutzen ist nahe Null aber eines Tages musst du eines der Teile dann doch mal abtippen. Oder es gibt andere Probleme wie mit dem von dir erwähnten Limit.
Speziell wenn es um Passwörter für Websites geht ist es weitesgehend irrelevant, solange das Passwort 'halbwegs sicher' ist. Der Grund dafür ist, dass du ja für jeden Login versuch eine Anfrage an den Webserver machen musst und das ist soooooo lahm, dass es sich nicht lohnt (und nicht geht) für irgendeinen Account millionen Versuche zu machen.
Und wenn jemand Zugriff auf die Account-Datenbank hatte dann ist es auch ziemlich egal, ob du nun ein super sicheres Passwort genommen hast oder einfach eines mit z.B. 12 Zeichen.

 

[wirelessy]

Würde ich nicht machen, der praktische Nutzen ist nahe Null aber eines Tages musst du eines der Teile dann doch mal abtippen. Oder es gibt andere Probleme wie mit dem von dir erwähnten Limit.
Speziell wenn es um Passwörter für Websites geht ist es weitesgehend irrelevant, solange das Passwort 'halbwegs sicher' ist. Der Grund dafür ist, dass du ja für jeden Login versuch eine Anfrage an den Webserver machen musst und das ist soooooo lahm, dass es sich nicht lohnt (und nicht geht) für irgendeinen Account millionen Versuche zu machen.
Und wenn jemand Zugriff auf die Account-Datenbank hatte dann ist es auch ziemlich egal, ob du nun ein super sicheres Passwort genommen hast oder einfach eines mit z.B. 12 Zeichen.

Nein. Würde ich absolut machen, und für Webseiten, die es nicht erlauben (fuck them!) halt Ausnahmen machen.
Es macht absolut nen Unterschied, wenn man die Datenbank hat. Genau darauf zielt die Länge ab. Hast es mal selbst versucht? Deine Antwort lässt ein nein erwarten.

 

[BeBur]

Es macht absolut nen Unterschied, wenn man die Datenbank hat.

Angreifer holt sich die Datenbank mit den Logins z.B. von Computerbase. Und dann crackt er mein Passwort. Was macht er dann damit? Beiträge in meinem Namen schreiben? Das Passwort ändern? Ein CB Pro Abo abschließen?
Das alles unter der Annahme, dass CB nichts davon mitbekommt. Und das der Angreifer NUR Zugriff auf die Account Daten hatte, aber nicht sowieso weitergehenden Zugriff (z.B. auf die privaten Nachrichten). Oder Netflix, stellt die Person dann mein Abo um? Was soll hier das Endgame sein?

Dinge die mit Geld zu tun haben, z.B. Paypal: Ja, besser auf Nummer sicher gehen, vor allem wenn kein 2FA. E-Mail Adresse: Auch, die ist schließlich kritisch heutzutage.

Aber generell ist die Angriffsfläche sehr gering, Passwörter werden gestohlen, weil Menschen sie gerne mehrfach verwenden sowie für die E-Mail Adressen, nicht weil man ausgerechnet an den CB Accountdaten interessiert ist.

 

[andy_0]

Die Limits bei den jeweiligen Seiten ist leider ein Problem. Manchmal sind sie gut gebaut, dann weiß man zumindest was das jeweilige Limit ist (Zeichenlänge, verbotene Zeichen etc.). Relativ häufig ist das aber nicht ausreichend der Fall. Es gab schon einige Fälle, wo das Passwort beim zuweisen zwar akzeptiert wurde, beim Login aber nicht ging.

Ich persönlich versuche schon möglichst lange Zeichenfolgen zu nutzen. Ich würde es auch jeden empfehlen, möglichst lange Passwörter einzusetzen. Bitwarden z.B. bietet die Möglichkeit Passphrases anstatt Passwörter zu generieren, was in vielen Fällen auch viel sinnvoller ist. Leider wurden die Menschen in den letzten 20 Jahren schlecht erzogen.