Wie sieht euer Passwort-Management aus?

[wrglsgrft]

Man muss also nicht in einer Beziehung sein " in der was gehörig schief läuft " damit man seinen Facebook-Hack " rumposaunen " kann.

Deswegen habe ich ja auch geschrieben:

In den allermeisten Fällen ist das Phishing, Zugangsdaten die im Rahmen eines Datenlecks veröffentlicht wurden oder mit Malware verbudnen.

Mir ging es eher drum, dass man eben eigentlich nicht oder nur sehr selten wirklich aktiv gehackt wird. Das bedeutet für mich, dass sich jemand durch einen gezielten Angriff Zugang zu einem ganz bestimmten Account verschafft.
Massenhaftes Abgreifen von Log-In-Daten via Phishing oder Malware, etc. ist halt deutlich simpler und hat meiner Meinung nach nichts mit "Hacken" zu tun.

Die Geschichte mit den Beziehungen war mehr als Randnotiz gedacht. Weil es eben leider doch relativ häufig vor kommt.

War also nicht böse gemeint.

 

[BassCatBall]

War also nicht böse gemeint.

" Ausgezeichnet " - Mr. Burns (Simpsons)



Ich würde sagen " Hacken " ist der Oberbegriff.
Per Malware Passwörter abgreifen ist quasi eine der vielen Hack-Varianten.

 

[wrglsgrft]

Ich war halt persönlich schon von beide Varianten betroffen und habe deswegen mal alles erwähnt.
In grauer Vorzeit war ich der Meinung, ein relativ sicheres Passwort für mehrere Accounts verwenden zu können. Unter anderem habe ich das damals für meine E-Mail-Adresse, meinen MySpace-Account und meinen battle.net-Zugang verwendet. Dann gab es das große Datenleck bei MySpace (von dem ich damals akut gar nichts mitgekriegt habe). Aber irgendwann kam dann eine Email von Blizzard, dass mein WOW-Account aufgrund Verstoßes gegen die Nutzingsbedingungen gesperrt wurde (ich habe selber nie WOW gespielt). Da hab ich dann überrissen was Sache ist und seit dem nie wieder ein Passwort zwei mal verwendet.
Und etwa zum gleichen Zeitpunkt hatte ich mit einer sehr eifersüchtigen jungen Dame zu tun, die eben das von dir genannte "angemeldet bleiben" genutzt hat um meine Social-Media-Accounts nach Kontakten zu anderen jungen Damen zu durchsuchen während ich unter der Dusche war und eben potentiellen Nebenbuhlerinnen böse Nachrichten geschrieben hat. Ähnliche Geschichten habe ich auch im Bekanntenkreis schon öfter erlebt.

Wenn man ehrlich ist: Gerade diese Leute geben doch nicht jedes mal ein 12 meter langes Passwort ein. Sie speichern es aus Bequemlichkeit im Browser. ( " Auf diesem PC angemeldet bleiben " )

Gerade für sowas ist ein Passwort-Manager halt enorm hilfreich. Die können sowas relativ sicher übertragen und erleichtern einem die Verwendung so langer Passwörter enorm.

 

[yelljell]

Benutze jetzt auch einen Passwort-Manager (Dashlane). Allerdings noch mit meinen eigenen Passwörtern. Würde auch gerne auf die Möglichkeit umsteigen, meine Passwörter mit ~40-60 Zeichen generieren zu lassen um sie dann mit Autofill eintragen zu lassen. Jedoch kommen mir dann immer die Bedenken, falls der Service mal ausfallen soll, die Server down gehen, das Unternehmen pleite etc...., ich auf sämtlichen 40 Zeichen Passwörtern sitzenbleibe, die ich nicht kenne.

Ist das eine berechtigte Sorge oder eher zu vernachlässigen?

 

[TomH22]

ich auf sämtlichen 40 Zeichen Passwörtern sitzenbleibe, die ich nicht kenne.

Ist das eine berechtigte Sorge oder eher zu vernachlässigen?

Solange man noch Zugriff auf seinen EMail Account hat, kann man die meisten Passwörter ja einfach zurücksetzen. Insofern ist ein Verlust der Passwort-Datenbank zwar nervig, aber nicht besonders schlimm.

Wichtig ist, das man die Zugangsdaten für das Haupt EMail Konto nicht verliert (da tut es auch durchaus ein Zettel der irgendwo in einer Schublade versteckt wird). Wenn möglich sollte dieses Konto auch per 2FA abgesichert sein, dann kann man übrigens auch ein Passwort wählen, das man noch auswendig lernen kann.

Bei 2FA muss man aber immer darauf achten, das man sich über die Recovery Option im Falle des Verlustes des zweiten Faktors vorher informiert, und ggf. dafür notwendige Daten (Handynummer für SMS, Recovery codes, etc.) aktuell hält.

 

[wrglsgrft]

Ist das eine berechtigte Sorge oder eher zu vernachlässigen?

Absolut berechtigt. Mit Passwörtern ist es aber letztendlich wie mit allen anderen Daten auch: Ein Backup sollte (vor allem bei so wichtigen Daten) immer mehrfach existieren.
Weiß nicht wie das bei Dashlane ist, aber bei den ganzen Keepass-Geschichten liegt die Passwort-Datenbank in einer Datei und die lässt sich beliebig kopieren und eben sichern. Auch ein Export als CSV- oder HTML-Datei ist möglich. Letztere lässt sich dann sogar ausdrucken.
Wenn Dashlane keine Möglichkeit bietet ein Backup zu erstellen, dass auch ohne Dashlane geöffnet werden kann würde ich persönlich wohl eine Alternative suchen.

 

[crashbandicot]

Jedoch kommen mir dann immer die Bedenken, falls der Service mal ausfallen soll, die Server down gehen, das Unternehmen pleite etc

Wechsel einfach auf ein offline Produkt wie z.B. KeePass. Ist zudem noch kostenlos.

 

[TomH22]

Die Entscheidung zwischen Online und Offline Password-Managern ist natürlich immer ein Tradeoff.

Wenn man viele Verschiedene, auch mobile Geräte hat, Passwörter innerhalb der Familie teilen möchte, usw. und gleichzeitig sind die Online Tools halt unschlagbar komfortabel. Nachteil ist, das man eben dem Anbieter vertrauen muss. Wenn man solche Tools nutzt, sollte man wenigstens keine Nischenanbieter nutzen, sondern die Bekannteren, wo man von ausgehen kann, dass sie auf dem Radar von Sicherheitsforschern, etc. sind.

Keepass o.ä mit manuellem Management der Datenbank erfordert bei mehreren Geräten Disziplin.

Auch ein Export als CSV- oder HTML-Datei ist möglich.

Export bieten auch alle mir bekannten Online-Tools. Man muss sich nur immer bewusst sein, das ein CSV Export alle Passwörter auf einmal bequem an einem relativ leicht zugänglichen Ort (Dateisystem) exponiert.
Alles was man einmal im Klartext im Dateisystem gespeichert hat, muss man auch als "für immer dort" betrachten, da ja auch das "Löschen" der Datei eben nur den Verzeichniseintrag löscht.

Wer keine öffentliche Cloud, aber den Komfort eines Online Tools möchte, sollte sich bei Dingen wie Nextcloud umsehen, da man Nextcloud auch privat hosten kann.

Man sollte sich immer über eines klar sein: Wirklich sicher sind nur Einmalpasswörter (OTP).
Wiederholt benutze Passwörter (also die Meisten...) sind anfällig gegen Ausspähung, weil sie halt irgendwann mal unverschlüsselt in das Passwort Eingabefeld eingetragen werden müssen. Werden sie per Copy/Paste übertragen, befinden sie sich in einem für alle Anwendungen auf dem Gerät sichtbaren und zugreifbaren geteilten Speicher. Speziell unter Windows können Anwendungen auch "still", d.h. ohne Benutzerinteraktion, auf die Zwischenablage zugreifen.

Es ist eine gute Idee jedes Passwort grundsätzlich als potentiell kompromittiert zu betrachten.

Daher ist 2FA für die wichtigen Dinge (d.h. EMail Accounts die zur Kontoverfikation oder Passwortrücksetzung verwendet werden, alle Accounts über die Finanztransaktionen abgewickelt werden, usw.) heutzutage eigentlich unverzichtbar.

Zusammen mit 2FA kann man es sich bei den Passwörtern auch etwas leichter machen, sodass man sie sich merken kann.

Idealerweise kombiniert man 2FA mit merkbaren Passphrasen:


https://xkcd.com/936/

Leider bestehen viele Websites noch auf, eigentlich als veralteten, Regeln die Sonderzeichen und Ziffern erfordern. In diesem Fall hängt man halt sowas wie "%0" an die Passphrase.

Das mit der Passphrase funktioniert aber nicht vernünftig für 150 Passwörter, speziell für die selten benutzen, wo man sich einmal im Jahr einloggt. Aber genau dafür setzt man dann eben Passwortmanager ein. Mir persönlich reicht für diese Accounts einer der bequem nutzbaren Cloud Produkte.

 

[BalthasarBux]

Ich hab KDBX-Datenbanken, die ich zu Hause via WebDAV bzw. SynologyDrive synce.

• Windows und Linux: KeePassXC,
• Mac: KeePassXC und StrongBox
• iOS: StrongBox

 

[kim88]

Nutze seit vielen vielen Jahren 1Password auf allen Geräten egal ob Windows, MacOS, Linux, Android, iOS oder iPadOS.

Warum habt ihr euch gegen die Browser-Extension und für die Desktop-App entschieden?

Die Desktop App kannst du mit Biometrie entsperren. Also z.b. Durch Fingerabdruck-Sensor oder Windows Hello Infrarot Gesichtsnetsperrung - so musst du nicht jedesmal dein (möglichst langes, und kompliziertes) Masterpasswort eingeben - sondern z.b. nur noch alle 2 Wochen (kannst du in der APP konfigurieren).

Kann die Autofill auch auf Webseiten?

Ja und Nein. Wenn du die Desktop App installiert hast, installierst du dennoch die Browser Erweiterung. Die Browser Erweiterung hat 2 Funktionen.

Beim Start vom Browser prüft sie ob die Desktop App installiert ist, wenn ja ladet sie die Vorschläge für das autoausfüllen, etc direkt von dort. Wenn nicht kann man sich über die Erweiterung anmelden und so alle Funktionen nutzen.

Ein weiterer Vorteil bei mir, ich bin Web-Entwickler und habe regelmässig verschiedene Browser offen - Chrome, Firefox, Firefox Develoepr Edition, etc. Die App muss ich nur einmal entsperren - und habe dann direkt Zugriff auf alle Passwörter und Autofill in allen offenen Browsern - sonst müsste ich das bei jedem Browser einzeln das Master-Passwort eingeben.

 

[m.c.ignaz]

Nutze seit vielen vielen Jahren 1Password auf allen Geräten egal ob Windows, MacOS, Linux, Android, iOS oder iPadOS...

Super, danke für die Erläuterung. So ergibt das natürlich Sinn. Das werde ich auch ausprobieren!

 

[nadiyen924]

Das Thema ist hier wunderbar zusammengefasst: https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager

Für Profis ergänzend: Zu beachten ist, dass übliche x86-Geräte nicht den Key in einen besonders geschützten Speicher hinterlegen wie dies alle ARM basierende Android Geräte mit GrapheneOS tun können.

 

[wrglsgrft]

wie dies alle ARM basierende Android Geräte mit GrapheneOS tun können.

Also ein paar Pixel und ein Xaomi?

 

[Lord_Dragon]

Ich hatte eine zeitlang mal den Passwortmanager von Firefox genutzt, war erstmal ganz cool und angenehm. Dann hatte ich aber Keepass irgendwann entdeckt und bin darauf umgestiegen. Vor 2 Jahren dann der Wechsel zu KeepassXC.

Da sind einige Funktionen schon an Bord, die man beim normalen Keepass per Addon nachrüsten muss. Bspw die Borwserintegration. Ich weis dass das wieder eine Lücke sein kann, aber ich denke mal das es ein sehr überschaubares Risiko ist.

Inzwischen nutze ich auf Arbeit oder dem Handy Keepass und habe sogar meine Freundin und Freunde dazu gebracht, Keepass zu nutzen. Die sind alle dankbar dafür keine gefühlt 391023 Zettel mit Logins mehr aufheben zu müssen bei denne man den Überblick verliert oder den Zettel ganz verbummelt.

 

[Oli_P]

Ich nutze nun seit ein paar Jahren nur noch Keepass 2 bzw. Keepass2Android. Privat wie auch beruflich. Ist zu Beginn tatsächlich etwas "Frickelei", aber wenns mal läuft dann läufts Ich mag die flexiblen Konfigurationsmöglichkeiten und alles für lau Plugins brauch ich aber keine.

 

[NotNerdNotDau]

Ich nutze gar keine Anwendung dieser Art von Drittanbietern.
Ich nutze dafür PowerShell und 7z und habe mir damit eine Anwendung, die im Endeffekt genau das bewirkt, was diese Tools bieten, gezimmert.
Funktioniert ohne Fehl und Tadel.

 

[Oli_P]

Das Killer-Feature bei Keepass 2 für mich schlechthin ist Autotype. Kannst du mit deiner Lösung sowas realisieren? Also Login beim betätigen einer Tasten-Kombination. Weil du schriebst dass du eine Anwendung hast, die das bewirkt was andere Tools auch bewirken. Ich fänd das interessant, wenn Leute sich sowas selber basteln mit 0815-Tools.
Anderes Killer-Feature speziell bei Keepass 2 sind die Trigger. Damit kann man das Programm nochmals feiner personalisieren. Total unverzichtbar, damit kann ich z.B. mehrere Datenbanken gleichzeitig starten beim Programmstart (mit automatischem Login mittels Keyfiles) und auch automatisierte Sicherungskopien der Datenbanken hab ich so eingerichtet.

 

[NotNerdNotDau]

Das Killer-Feature bei Keepass 2 für mich schlechthin ist Autotype. Kannst du mit deiner Lösung sowas realisieren? Also Login beim betätigen einer Tasten-Kombination.

Das kann mein Tool nicht, aber das möchte ich auch nicht.

So sieht das bei mir aus:

 

[Oli_P]

Interessant. Das ist mal ganz was anderes Haste bestimmt viel gefrickelt dran
Bei Keepass ist das Autotype toll, weil man sich dann gar kein Passwort mehr merken muss. Man kann diese nach belieben ändern ohne sich was merken zu müssen. Gepaart mit den Keyfiles für das automatische Login in die Datenbank braucht man auch kein Master-Passwort mehr. So kann man sich ein relativ Passwort-freies Leben ermöglichen. Das ist der eigentliche Grund dafür dass ich diese Software nutze. Es gibt ja nix lästigeres als Passwörter Also man kann Keepass so einstellen, dass man es 99% der Zeit am Computer gar nicht sieht. Es ist immer im Hintergrund da und loggt mich auf Tastendruck ein.

 

[WhiteHelix]

VaultWarden als Bitwarden Fork selbst gehostet auf meiner HA Instanz. Früher hatte ich mal Lastpass im Einsatz, testweise 1Password und for Bitwarden lange Enpass. Als nächstes in der Konstellation will ich da noch n FIDO Stick zur Authentifizierung mit einbauen.