Die Entscheidung zwischen Online und Offline Password-Managern ist natürlich immer ein Tradeoff.
Wenn man viele Verschiedene, auch mobile Geräte hat, Passwörter innerhalb der Familie teilen möchte, usw. und gleichzeitig sind die Online Tools halt unschlagbar komfortabel. Nachteil ist, das man eben dem Anbieter vertrauen muss. Wenn man solche Tools nutzt, sollte man wenigstens keine Nischenanbieter nutzen, sondern die Bekannteren, wo man von ausgehen kann, dass sie auf dem Radar von Sicherheitsforschern, etc. sind.
Keepass o.ä mit manuellem Management der Datenbank erfordert bei mehreren Geräten Disziplin.
wrglsgrft schrieb:
Auch ein Export als CSV- oder HTML-Datei ist möglich.
Export bieten auch alle mir bekannten Online-Tools. Man muss sich nur immer bewusst sein, das ein CSV Export alle Passwörter auf einmal bequem an einem relativ leicht zugänglichen Ort (Dateisystem) exponiert.
Alles was man einmal im Klartext im Dateisystem gespeichert hat, muss man auch als "für immer dort" betrachten, da ja auch das "Löschen" der Datei eben nur den Verzeichniseintrag löscht.
Wer keine öffentliche Cloud, aber den Komfort eines Online Tools möchte, sollte sich bei Dingen wie Nextcloud umsehen, da man Nextcloud auch privat hosten kann.
Man sollte sich immer über eines klar sein: Wirklich sicher sind nur Einmalpasswörter (OTP).
Wiederholt benutze Passwörter (also die Meisten...) sind anfällig gegen Ausspähung, weil sie halt irgendwann mal unverschlüsselt in das Passwort Eingabefeld eingetragen werden müssen. Werden sie per Copy/Paste übertragen, befinden sie sich in einem für alle Anwendungen auf dem Gerät sichtbaren und zugreifbaren geteilten Speicher. Speziell unter Windows können Anwendungen auch "still", d.h. ohne Benutzerinteraktion, auf die Zwischenablage zugreifen.
Es ist eine gute Idee jedes Passwort grundsätzlich als potentiell kompromittiert zu betrachten.
Daher ist 2FA für die wichtigen Dinge (d.h. EMail Accounts die zur Kontoverfikation oder Passwortrücksetzung verwendet werden, alle Accounts über die Finanztransaktionen abgewickelt werden, usw.) heutzutage eigentlich unverzichtbar.
Zusammen mit 2FA kann man es sich bei den Passwörtern auch etwas leichter machen, sodass man sie sich merken kann.
Idealerweise kombiniert man 2FA mit merkbaren Passphrasen:
https://xkcd.com/936/
Leider bestehen viele Websites noch auf, eigentlich als veralteten, Regeln die Sonderzeichen und Ziffern erfordern. In diesem Fall hängt man halt sowas wie "%0" an die Passphrase.
Das mit der Passphrase funktioniert aber nicht vernünftig für 150 Passwörter, speziell für die selten benutzen, wo man sich einmal im Jahr einloggt. Aber genau dafür setzt man dann eben Passwortmanager ein. Mir persönlich reicht für diese Accounts einer der bequem nutzbaren Cloud Produkte.