Wie Passwörter speichern/verwalten, welchen Passwort Manager verwenden?

[Malaclypse17]

Hab ich zwar jetzt auch schon in tausende Threads geschrieben, aber here we go again: Vaultwarden selfhosted, viel sicherer kann es nicht werden, liegt auf eigener Hardware und ist Open Source.

 

[tollertyp]

Wenn ich von meinem ISP eine eigene öffentliche IP bekommen würde, hätte ich das auch schon self-hosted gemacht btw.

Dennoch habe ich tatsächlich ein ausreichendes Vertrauen in den Dienst Mal sehen ob es sich mal rächt :-)

 

[Malaclypse17]

Wenn ich von meinem ISP eine eigene öffentliche IP bekommen würde, hätte ich das auch schon self-hosted gemacht btw.

Mit einer eigenen Domain für ein paar Euro und einem Raspberry Pi kann man unglaublich viel erreichen.
Konnte mich so von vielen proprietären Diensten los lösen.

 

[tollertyp]

@Malaclypse17: Ja, aber wie du das Provider-NAT von Außern damit überwindest, das würde ich gerne mal sehen.

 

[Giggity]

Wenn man ein starkes PW nutzt also zb ein Satz mit Sonderzeichen dann kann man die Datenbank ruhig bei den bekannten Cloud Anbietern hochladen ohne fürchten zu müssen das das geknackt wird.

 

[madmax2010]

@tollertyp keine v6 adresse? Diverse ISPs geben einem doch inzwischen sogar ein /48 wenn man lieb bitte sagt

 

[tollertyp]

@madmax2010:
Nein, sonst hätte ich es ja gesagt... Wird man hier eigentlich bewusst für dumm gehalten?

Naja, ich teste es mal im Router erneut.

 

[madmax2010]

@Giggity Passwoerter haben strenggenommen nicht viel mit dem Knacken von verschluesselungen zu tun - Sie haerten vor allem gegen Bruteforce, Woertberbuch, und aehnliche Attacken ab. Das reduziert die Angriffsflaeche ein klein wenig.
Da braucht nur mal irgendwo eine AES Runde falsch implementiert sein, $Jemand hat eine Kope deiner Datenbank -> angreifbar


@tollertyp -Absolut nicht - sorry. Ich war auch schon ausgesprochen erstaunt. Du halte was sowas angeht sehr viel von dir und deienr meinung.

 

[Rickmer]

Dieses passwort nirgends Speichen / aufschreiben

Man sollte zumindest sicherstellen, dass im Notfall diejenigen rankommen, die im Todesfall sich um deine letzten Angelegenheiten kümmern.

In meinem Fall haben meine Eltern das Kennwort zu meiner Keepass Datenbank (und eine Kopie von dieser) - eingelagert in deren eigenen Passwortverwaltung.
Im Gegenzug weiß ich, wie ich mir Zugriff auf genau diese verschaffen kann, falls notwendig.

Dafür muss natürlich ein gewisses Vertrauen bestehen...

Warum laden denn si viele hier ihre passwort Datenbank zu irgendwelchen, teils anchweislich, nicht vertrauenswuerdigen Anbietern o.O

In Theorie könnte ich jetzt behaupten, dass die Keepass Datenbank so gut verschlüsselt ist, das Microsoft auf absehrbare Zeit nicht rankommt auch wenn die ein ganzes Rechenzentrum darauf setzt, die zu knacken.

In Praxis war das Problem immer, dass die meisten Keepass Smartphone Apps Nextcloud nicht unterstützen. Ich probiere aktuell Strongbox aus, welches Webdav unterstützt - und das wiederum kann Nextcloud. Yay.

@Malaclypse17: Ja, aber wie du das Provider-NAT von Außern damit überwindest, das würde ich gerne mal sehen.

Manche haben noch das Glück und bekommen eine IPv4 ohne Provider-NAT. DynDNS muss trotzdem noch, aber sonst alles prima.

Alternative: 1€ VPS und das per VPN mit deinem Hausnetz verknüpfen müsste funktionieren.

 

[Giggity]

Mit knacken war der brute force aufs masterpasswort gemeint

 

[madmax2010]

jo, klar. Aber das ist halt nur einer von vielen Angriffsvektoren.
Ich auch mal was

 

[tollertyp]

@Rickmer. Das mit dem VPS überlege ich mir tatsächlich, wenn es sich wirklich so günstig realisieren lässt (selbst wenn das 1 Euro ja nur ein Lockangebot ist, die 2 Euro wären auch noch absolut okay). Selbst zu hosten wäre mir auch lieber. Habe ja extra auch meinen Raspi entsprechend konfiguriert und Vaultwarten auch drauf im Docker.

@madmax2010: Ja, hab vielleicht auch ein wenig überreagiert. Weil es mich auch nervt.

 

[Malaclypse17]

Nein, sonst hätte ich es ja gesagt...

Wollte hier auch nicht ein ganzes Setup aufzählen, was dem TE am Ende vielleicht gar nicht weiterhilft.
Aber mit einem recht ordentlichen VPS verbunden über Wireguard mit dem Raspberry Pi, übernimmt der VPS die Webserver Rolle, womit man sich ganz gut behelfen kann, kostet dann natürlich wieder ein paar Euro mehr.
Natürlich will das auch nicht jeder, ist ja doch einiges mehr an Aufwand als einfach eine Komplettlösung einkaufen.

 

[tollertyp]

@Rickmer: Ja, der App-Support für NextCloud ist echt leider gering... ganz unabhängig von KeePass.

 

[Rickmer]

wenn das 1 Euro ja nur ein Lockangebot ist, die 2 Euro wären auch noch absolut okay

Das war irgendwann mal 1€ forever, das hatte ich noch so im Kopf
Schade, dass der Preis sich verdoppelt hat seitdem.

Immernoch übersichtliche Kosten für eine static IPv4 Adresse.

@Rickmer: Ja, der App-Support für NextCloud ist echt leider gering... ganz unabhängig von KeePass.

Yep. Wenn WebDAV, CardDAV und CalDAV nicht wären, würde zwischen meinem Telefon und meiner Cloud Instanz nichts laufen...

 

[Col. Jessep]

Wie sollte ein Passwort aussehen!?

 

[so_la_la]

Keepass!
Die meisten Browser bieten auch einen Passwort-Safe an. Was für unwichtige Passwörter (zB hier, nicht dein Bankkonto!) ok ist, wenn man nur einen Browser nutzt.

 

[Picard87]

Warum laden denn si viele hier ihre passwort Datenbank zu irgendwelchen, teils anchweislich, nicht vertrauenswuerdigen Anbietern o.O
Bitte nicht

Ich könnte dir gerne meine Keepass Datei zuschicken oder gleich hier im Thread hochladen. Mein Passwort ist lang und komplex genug, dass ich keine Befürchtungen haben müsste, dass es geknackt werden kann. Deshalb ist der Upload in die cloud auch mMn unproblematisch.

 

[BeBur]

Wie sollte ein Passwort aussehen!?

Die Grafik ist falsch, die Dauer hängt selbstredend vom verwendeten Verfahren ab. Bei KeePass kannst du sogar explizit einstellen, wie aufwendig die Schlüsselableitung sein soll.

Deshalb ist der Upload in die cloud auch mMn unproblematisch.

Sehe ich auch so.

Man sollte zumindest sicherstellen, dass im Notfall diejenigen rankommen, die im Todesfall sich um deine letzten Angelegenheiten kümmern.

Dies. Ebenso, was ist bei Brand/Hochwasser/Krankenhaus? Absicherung gegen solche Dinge ist weit wichtiger als sich dagegen abzusichern, dass die NSA dir den Container aus der Cloud klaut und dannn mit ihrem Supercomputer 5 Jahre lang versucht an deine Passwörter zu kommen.
Erst recht wenn man eine ganze Infrastruktur um den Passwortsafe gebaut hat mit domain, server/rpi, manuell konfigurierte Backups, ... Kosten-Nutzen-Risiko Verhältnis davon ist mMn extrem schlecht. Man muss mindestens schauen, dass es keinen single point of failure gibt.

 

[andy_m4]

Ich könnte dir gerne meine Keepass Datei zuschicken oder gleich hier im Thread hochladen. Mein Passwort ist lang und komplex genug, dass ich keine Befürchtungen haben müsste, dass es geknackt werden kann.

Wie hier im Thread schon angemerkt steht und fällt die Sicherheit nicht nur mit dem Verschlüsselungsalgorithmus, sondern auch mit dessen Implementierung. Und da gabs ja nun in den vergangenen Jahren schon eine ganze Reihe an Vorfällen in verschiedenen Softwarekomponenten wo genau da Bugs (oder gar Backdoors ; woher weißt Du z.B. das Dein Keepass "sauber" ist?) aufgetreten sind.
Angesichts dessen irgendwas von unknackbar zu faseln, zeugt schon von nem gewissen Realitätsabstand. :-)

Letztlich muss es ja jeder für sich selbst entscheiden aber generell ist es kein schlechter Ansatz Risiken zu minimieren und sich nicht auf eine einzelne Sache zu verlassen. Sprich: Man kann ja auf die Verschlüsselung des Passwortmanagers setzen und dafür sorgen das die Passwort-Datenbank nirgendwo landet.