Passwortmanager-Empfehlungen/-Meinungen?

[Oli_P]

Mir EIN wirklich sicheres Passwort ausdenken und merken wird definitiv nicht das Problem werden.

Dann haste jetzt schonmal ne dicke Sorge weniger Das sind halt so Grundsatzfragen, wenn man nen PW-Manager einrichtet.

Bisher bestand das Problem ja darin, sich viele, sichere und individuelle Passwörter auszudenken... Und sich dran zu erinnern, wo man welches genutzt hat.

Aus diesem Grund gibts Passwort-Manager Man merkt sich nur noch ein Passwort, das Master-Passwort. Das hat gewisse Risiken; kennt jemand dein Master-Passwort und hat Zugriff auf deine Keepass-Datenbank, dann hat die Person alle deine Passwörter. Deswegen muss man die Datenbank ein bisschen absichern.

 

[BeBur]

Die Frage ging da aber eher um die Absicherung des Bitwarden-Accounts durch 2FA per Authenticator-App, ob das sicher ist.

Ohne Backup des zweiten Faktors ist es ziemlich sicher, dass du irgendwann den Zugriff auf den Safe verlierst ;-).

 

[ulfied]

Hallo, ich verwende seit Jahren den Gratis-PW-Manager "Alle meine Passworte". Der wird hier nirgends erwähnt. Aus gutem Grund? Wegen mangelnder Sicherheit? In "AmP" habe ich bestimmt um die mehr als 50 in verschiedenen Kategorien und Einträgen organisierte Zugangsdaten geordnet übersichtlich abgespeichert. Und der lässt sich gut verwalten. Was haltet ihr von diesem guten Stück?

 

[Eletron]

@ulfied

Ich bin der Auffassung, dass man das verwenden sollte, was einem gefällt und womit man klarkommt. Das von dir genannte Programm kenne ich jedoch nicht.

Weshalb hier meistens Keepass 2 bzw. KeepassXC oder Bitwarden empfohlen wird, ist der Grund, dass diese Programme Open Source sind. Auch kannst du selbst entscheiden, wie du deine Datenbank verwaltest und wo du diese bei Bitwarden hostest bzw. bei Keepass(XC) speicherst.

Auch wurde Keepass 2 durch EU Fossa auditiert und unterliegt dem strengen Auge der Community, da Open Source.

Das von dir genannte Programm beinhaltet Werbung, sofern man nicht die Lizenz für 14 Euro erwirbt. Kann man machen, muss man aber nicht. Meines Erachtens gehört Werbung nicht in einen PW-Manager hinein, da Werbe-PopUps eine Angriffsfläche bieten.

Auch erinnert die Oberfläche von AmP zumindest teilweise an Keepass.

Daher die Frage, warum man nicht direkt Keepass (2) verwendet und die 14 Euro spendet. Ich will hier nichts böses über das Programm sagen, aber viel dazu gefunden, habe ich auch nicht.

 

[Apopex]

Und was passiert wenn das Master Passwort gehackt wird?
Hat dann der angreifer zugriff auf alle dort gespeicherten passwörter?

 

[frazzlerunning]

@Apopex Ja. Deswegen ist das Master Passwort auch besonders lang/sicher, da es das einzige Passwort ist, das man sich merken muss.

Wenn man will, kann man ja noch auf Nummer extra-sicher gehen und die Passwörter im Manager gesalzen eintragen (also mit extra Zeichen, die nicht zum Passwort gehören), und beim Login die Passwörter dann noch pfeffern (also Zeichen ergänzen, die nicht im PW-Manager eingetragen sind).

Bei Banking- und Email-Zugängen mache ich das gerne. Da steht dann im Passwort-Manager als Passwort (frei generiert): "L7YQ%wFy%-5d7a", während das echte Passwort "8291-L7YQ%wFy%" ist.
Wenn nur ich weiß, dass ich vom Passwort-Manager die letzten 5 Zeichen weglöschen muss, und dann noch den Geburtstag meiner Urgroßmutter vorne einfügen muss, hilft einem das geknackte Master Passwort auch nichts.

 

[Capet]

Und was passiert wenn das Master Passwort gehackt wird?
Hat dann der angreifer zugriff auf alle dort gespeicherten passwörter?

Ja. Neben der Verwendung eines starken Master-Passwortes, kann man zusätzliche Faktoren einbringen.

Ich verwende bspw. KeePassXC zusammen mit einem Yubikey. Um auf die Passwörter in der Datenbank des Paswortmanagers zugreifen zu können, benötigt man so nicht nur das Master-Passwort, sondern zusätzlich den Yubikey, der bei mir per USB am Rechner (je nach Keymodell auch per NFC für mobilie Geräte) eingesteckt ist.

 

[Oli_P]

Kannst alternativ auch ein Keyfile auf nen USB-Stick kopieren und diesen zum entsperren der Datenbank nutzen. Ich hatte mich auch schonmal für einen Yubikey interessiert. Aber was passiert, wenn dieser verloren/kaputt geht? Gibts einen "Zweitschlüssel"?

 

[Capet]

Ich hatte mich auch schonmal für einen Yubikey interessiert. Aber was passiert, wenn dieser verloren/kaputt geht? Gibts einen "Zweitschlüssel"?

Ich habe einen Backup-Yubikey für diesen Fall.

 

[Oli_P]

Oh, das geht? Man kauft einfach 2 Yubikeys?

 

[frazzlerunning]

Gibts einen "Zweitschlüssel"?

Nur, wenn du einen zweiten YubiKey im Tresor liegen hast.
Verlust ist ein Thema, bei mir ist er am Schlüsselbund, wenn ich den verliere komm ich auch nicht mehr in die Wohnung. Aber jemand anderes erhält mit dem YubiKey alleine keine Infos von mir.

Kaputt... Mechanische Zerstörung wäre natürlich ein Problem. Grundsätzlich sind die YubiKeys aber Wasserfest und haben auch sonst keine beweglichen Teile.

Ergänzung (25. September 2023)

Man kauft einfach 2 Yubikeys?

Man muss dann auch beide einrichten, aber ja.

 

[Oli_P]

Okay, dachte das geht nicht. Dachte, dass ein Yubikey ein Unikat ist, wenn dieser mal eingerichtet ist.

 

[frazzlerunning]

Dachte, dass ein Yubikey ein Unikat ist,

Im Prinzip ist er das auch. Du musst eben beide einrichten, damit du beide Keys nutzen kannst.

 

[BeBur]

Ja. Neben der Verwendung eines starken Master-Passwortes, kann man zusätzliche Faktoren einbringen.

Wobei das vor allem etwas bringt, wenn E-Mail und andere wichtige Logins mit einem zweiten Faktor abgesichert sind (und die ggf. zugehörigen Backup Codes natürlich nit im KeePass Safe hinterlegt sind). Der Nutzen eines zweiten Faktors beim KeePass Safe ist eher begrenzt.

 

[DerKoernel]

Und was passiert wenn das Master Passwort gehackt wird?
Hat dann der angreifer zugriff auf alle dort gespeicherten passwörter?

Wenn der Angreifer Zugriff auf das Masterpasswort hat, dann sitzt er entweder bereits neben dir oder muss es durch deinen Reverse Proxy geschafft UND Zugriff auf deinen Docker Container haben. Denn anders lässt sich die administrative Oberfläche von VaultWarden nicht öffnen wo er mit Hilfe des Masterpassworts Schaden verursachen könnte. Über die App selber geht das nicht. Nach Eingabe des Masterpassworts sieht er aber nicht automatisch alle Kennwörter.

 

[BeBur]

Wenn der Angreifer Zugriff auf das Masterpasswort hat, dann sitzt er entweder bereits neben dir

Also wenn man sich z.B. Malware eingefangen hat.

 

[Apopex]

Ich habe es bisher so gemacht, alle meine passwörter bestehen aus 16 Zeichen, Zahlen und Buchstaben und das wild gewürftelt, z.b. so: E4+T5zi@gH3b1Xyq
Ich habe alle Passwörter auf mehreren USB-Sticks in einer Textdatei gesichert.
Die wichtigen Passwörter (online banking, paypal etc) habe ich nur auf den externen USB-Sticks und logge mich wenn benötigt per eingabe damit immer frisch ein.
Bei den weniger wichtigen sachen, da habe ich die passwörter zusätzlich im Browser gespeichert (Facebook, Foren etc.).
Dort ist es nicht so wild falls mal was wäre.

Somit fahre ich eigentlich schon viele jahre sehr gut, nur unterwegs kann ich mich halt nirgendwo einloggen da ich mir die passwörter logischerweise nicht merken kann.
Was ich bisher aber auch nie vermisst habe.