supertux22
Cadet 3rd Year
- Registriert
- Dez. 2012
- Beiträge
- 40
Würdet ihr KeePass 2.50 oder KeePass 1.40 empfehlen?
Wie Passwörter speichern/verwalten, welchen Passwort Manager verwenden?
- Ersteller Goldi708
- Erstellt am
brianmolko
Lieutenant
- Registriert
- März 2014
- Beiträge
- 1.014
Ich sehe auch keinen Grund, der dagegen spricht 2.x zu nutzen. 2.x ist auch schon relativ alt, also ganz gut abgehangen, hatte auch afaik ein recht umfangreiches audit.
Das 'Problem' sind vielmehr die hundert KeePass Ableger. Die meisten der "Unofficial KeePass Ports" dürfte eine eigene Codebase haben und damit ist nicht gesichert, ob diese wirklich sicher sind bzw. professionell gebaut sind. In mindestens einem Ableger gab es afair auch schon eine kritische Sicherheitslücke die unter Umständen das Auslesen des Masterpassworts erlaubt hat.
Ich persönlich würde daher eher Bitwarden bevorzugen, wenn das Smartphone besonders wichtig wäre.
Das wichtigste ist aber, dass man einen der bekannten Password Safes nutzt und nicht ne Excel Tabelle o.ä. pflegt. Ob dann KeePass oder Bitwarden oder oder das ist verglichen damit erstmal zweitrangig.
Das 'Problem' sind vielmehr die hundert KeePass Ableger. Die meisten der "Unofficial KeePass Ports" dürfte eine eigene Codebase haben und damit ist nicht gesichert, ob diese wirklich sicher sind bzw. professionell gebaut sind. In mindestens einem Ableger gab es afair auch schon eine kritische Sicherheitslücke die unter Umständen das Auslesen des Masterpassworts erlaubt hat.
Ich persönlich würde daher eher Bitwarden bevorzugen, wenn das Smartphone besonders wichtig wäre.
Das wichtigste ist aber, dass man einen der bekannten Password Safes nutzt und nicht ne Excel Tabelle o.ä. pflegt. Ob dann KeePass oder Bitwarden oder oder das ist verglichen damit erstmal zweitrangig.
Goldi708 schrieb:
Ich möchte zu diesem Punkt noch anmerken, dass die Sicherheit auch damit fällt, sobald der Pc mit einem Virus infiziert wird. Denn in der Regel wird das Passwort dann bei Eingabe einfach "mitgelesen", oder die entschlüsselte Datenbank wird ausgelesen und der Täter hat Zugang zu allen Accounts.
Und ich vermute, dass die Infizierung durch einen Virus mit die häufigste Methode ist, wodurch Accounts "gehackt" werden.
Deshalb ist es sehr zu empfehlen, noch eine 2Faktor-Authentifizierung für die wichtigsten Accounts wie Email, Banking, Paypal usw. auf einem unabhängigen Gerät (z. B. Handy) einzurichten, auf den der Virus bei Befall keinen Zugriff hat.
Aorus Elite
Cadet 2nd Year
- Registriert
- Nov. 2019
- Beiträge
- 20
Vielleicht übertreibe ich es ja ein wenig, aber ich habe meine Passwörter wie folgt abgesichert:
Ich nutze für das Speichern meiner Passwörter ebenfalls KeePass 2.x (aktuell 2.51) und habe zusätzlich zu dem Master-Passwort für meine Datenbank den Zugriff mit einem YubiKey eingerichtet.
D.h. nur, wenn der YubiKey in einem USB-Slot eingesteckt wird, lässt sich die Datenbank mittels Challenge Response Authentifizierung und Eingabe des Master-Passwort entschlüsseln. Den YubiKey ziehe ich vom PC ab wenn ich weggehe (der hängt nämlich am Schlüsselbund). Sobald der YubiKey aus dem USB-Slot entfernt wird, ist ein erneuetes Öffnen der KeyPass-Datenbank nicht mehr möglich.
Ein Backup der so verschlüsselten KeyPass-Datenbank wird täglich in einen VeraCrypt-Container kopiert, den ich dann täglich zu zwei Cloud-Anbietern hochlade.
Damit fühle ich mich recht sicher, wohl wissend, dass es keine 100%-ige Sicherheit gibt. Mit dem YubiKey habe ich weiterhin alle Accounts, die YubiKey unterstützen, abgesichert. Und für den Worst Case liegt natürlich ein zweiter YubiKey, der identisch aufgesetzt wurde, als Backup im Bankschließfach.
Noch zu erwähnen wäre, dass ich überall dort, wo 2FA angeboten wird, auch 2FA eingerichtet habe.
Ich nutze für das Speichern meiner Passwörter ebenfalls KeePass 2.x (aktuell 2.51) und habe zusätzlich zu dem Master-Passwort für meine Datenbank den Zugriff mit einem YubiKey eingerichtet.
D.h. nur, wenn der YubiKey in einem USB-Slot eingesteckt wird, lässt sich die Datenbank mittels Challenge Response Authentifizierung und Eingabe des Master-Passwort entschlüsseln. Den YubiKey ziehe ich vom PC ab wenn ich weggehe (der hängt nämlich am Schlüsselbund). Sobald der YubiKey aus dem USB-Slot entfernt wird, ist ein erneuetes Öffnen der KeyPass-Datenbank nicht mehr möglich.
Ein Backup der so verschlüsselten KeyPass-Datenbank wird täglich in einen VeraCrypt-Container kopiert, den ich dann täglich zu zwei Cloud-Anbietern hochlade.
Damit fühle ich mich recht sicher, wohl wissend, dass es keine 100%-ige Sicherheit gibt. Mit dem YubiKey habe ich weiterhin alle Accounts, die YubiKey unterstützen, abgesichert. Und für den Worst Case liegt natürlich ein zweiter YubiKey, der identisch aufgesetzt wurde, als Backup im Bankschließfach.
Noch zu erwähnen wäre, dass ich überall dort, wo 2FA angeboten wird, auch 2FA eingerichtet habe.
Vllt bin ich schlicht "out of the loop" oder so, aber ich habe noch nie davon gehört, dass Viren Passwort Safes und Masterpasswörter stehlen.mxb1n schrieb:
Finde ich nicht, das was du machst ist ein sinnvoller Weg, hat eine gute Usability und gute Ausfallsicherheit und einen sehr hohen Grad an Sicherheit ja sowieso.Aorus Elite schrieb:
Ich nutze aktuell keinen Yubikey, der Grund liegt u.a. in der für mich etwas unübersichtlichen Menge unterschiedlicher Verfahren und verschiedener Implikationen. Soweit ich verstehe kann ja für die meisten gängigen Verfahren (z.B. Challenge Response) keine "Yubikey Kopie" erstellt werden, sondern bei einem neuen Dienst musst du schlicht beide Keys registrieren.Aorus Elite schrieb:
