Passwortmanager und Management - was verwendet ihr?

Registrierte und angemeldete Benutzer sehen den BMW-Treff ohne Werbung
Hier registrieren oder anmelden!
Auch aufgrund massiver Botzugriffe limitieren wir eventuell die Anzahl der eingeblendeten Beiträge für Gäste.
  • 2-Faktor Authentifizierung. Die Geißel der Menschheit...... :teufel:

    Nur mit "Authenticator App", lauffähig lediglich auf neuestem iOS?

    Ähnlich wie die Passwortforschriften, die mir das Leben zur Hölle machen. Nicht ohne Groß-und-kleinschreibung, min. 3 Zahlen 2 Sonderzeichen..... Wechsel alle 60 Tage.... :kotz:

    Munter bleiben: Jan Henning

    Ich kann 1Password empfehlen, damit wären deine ganzen Probleme gelöst ;)

  • Oder Keepass - das hat sich schon seit X Jahren etabliert

    Auch ich gehe mit der Zeit und fahre E-Autos: E30, E31 und E46! :daumen:

    Das BMW Cabrio ist eines jener sachlichen Transportmittel, das grundsätzlich offen, vollgetankt und mit dem Schlüssel im Zündschloß in der Garage stehen muß - für alle dringenden Fälle.

  • Ich kann 1Password empfehlen, damit wären deine ganzen Probleme gelöst ;)

    Das wäre meine Empfehlung gewesen bis sie mit Version 8 drauf bestanden haben meine Passwörter ausschließlich auf ihren Servern zu speichern. Vielleicht bin ich altmodisch, aber solche Daten werden mein eigenes Netz nie verlassen, verschlüsselt oder nicht.

    Solange 1PW 7 noch läuft werde ich das nutzen, zum Glück habe ich damals eine Lizenz gekauft und kein Abo abgeschlossen. Nachdem ich Bach den Änderungen bei 1PW etwas recherchiert und getestet habe werde ich dann zu Bitwarden wechseln, wobei ich den Server selbst hoste, dazu allerdings nicht die offizielle Variante sonder Vaultwarden einsetze (https://github.com/dani-garcia/vaultwarden). Das habe ich seit einigen Monaten als Testinstallation laufen und bin soweit zufrieden, optisch gefällt mir 1PW allerdings besser.

    Oder Keepass - das hat sich schon seit X Jahren etabliert

    Keepass (ich nutze KeepassXC unter Linux) hat den großen Vorteil des etablierten Dateiformats, es gibt kein System für das es keine Clients gibt und Möglichkeiten die Daten so abzugleichen, dass sie unter der eigenen Kontrolle bleiben. Das UI ist aber, vorsichtig gesagt, gewöhnungsbedürftig und wenn man mehr speichern will als ein Passwort pro angelegtem Account kommt es auch recht schnell an die Grenzen. Aber insgesamt sollte man sich das durchaus anschauen.

    Grundsätzlich kann man sich natürlich darüber streiten, ob man die Daten zur 2FA an der gleichen Stelle speichern sollte wie das Kennwort. Ich nutze, für die wirklich wichtigen Accounts, dazu lieber eine eigene Anwendung. Gleichzeitig sichere ich die QR-Codes oder Keys (verschlüsselt, ausdrucken geht natürlich auch), so dass ich die Authentifizierung jederzeit wieder einrichten kann und mich nicht aussperre.

    Alles in allem halte ich 2FA für wichtige Accounts für durchaus sinnvoll, noch wichtiger ist aber die Kennwörter nicht für verschiedene Accounts zu nutze und ausreichend lange und zufällige zu verwenden, Sonderzeichen und Ziffern sind bei ausreichender Länge nicht mehr so wichtig. Ob man den Treff jetzt per 2FA absichern muss, vermutlich eher nicht, ein eigens Kennwort verwende ich aber auch hier.

  • Das wäre meine Empfehlung gewesen bis sie mit Version 8 drauf bestanden haben meine Passwörter ausschließlich auf ihren Servern zu speichern. Vielleicht bin ich altmodisch, aber solche Daten werden mein eigenes Netz nie verlassen, verschlüsselt oder nicht.

    Solange 1PW 7 noch läuft werde ich das nutzen, zum Glück habe ich damals eine Lizenz gekauft und kein Abo abgeschlossen. Nachdem ich Bach den Änderungen bei 1PW etwas recherchiert und getestet habe werde ich dann zu Bitwarden wechseln, wobei ich den Server selbst hoste, dazu allerdings nicht die offizielle Variante sonder Vaultwarden einsetze (https://github.com/dani-garcia/vaultwarden). Das habe ich seit einigen Monaten als Testinstallation laufen und bin soweit zufrieden, optisch gefällt mir 1PW allerdings besser.

    Ich habe schon seit längerem 1P mit den Passwörtern in der "Cloud". Für mich gibt es leider bisher keine brauchbaren Alternativen. Bitwarden ist für mich leider keine Alternative. Wir setzen im Geschäft auf Bitwarden (selbstgehostet) und ich finde die Lösung einfach vom UI her gesehen schrecklich und von den Funktionen her 1P unterlegen. Auch fehlt Bitwarden die Übersichtlichkeit von 1P. Bitwarden_RS (neu ja jetzt Vaultwarden) habe ich mal für ein anderes Projekt angeschaut. Damals aber nicht umgesetzt. Evtl. muss ich es mir dafür nochmals anschauen.

  • 1PW ist insgesamt eine gute Anwendung und die Optik gefällt mir auch von allen die ich bislang gesehen habe am besten. Aber mit dem Speichern der Passwörter auf deren Servern sind sie bei mir einfach raus, als Softwareentwickler sehe ich da einfach viel zu viel Potential wie das schief gehen kann. Und da muss ich noch nicht einmal darüber nachdenken, dass 1PW aus einem der "Five Eyes" Staaten kommt, das Problem habe ich bei einer lokalen Installation ja auch. Letztlich muss das aber jeder für sich selbst abwägen.

    Optisch kommt Enpass an 1PW heran, da bin ich mir aber nicht sicher, was ich von der Firma dahinter halten soll.

    Hier in dem Thread werden noch eine ganze Reihe anderer Alternativen genannt: https://forums.macrumors.com/threads/1passw…thread.2307443/


    Bitwarden_RS (neu ja jetzt Vaultwarden) habe ich mal für ein anderes Projekt angeschaut. Damals aber nicht umgesetzt. Evtl. muss ich es mir dafür nochmals anschauen.

    Es hat in meinen Augen vor allem den Vorteil, dass es deutlich weniger Komplex in der Installation ist, ein Docker Container und fertig. Zusätzlich muss man sich nicht Gedanken um die TLS Zertifikate machen. Ich habe dabei zwei Varianten getestet: Eine eigene kleine CA mit der ich selber Zertifikate generiere und LetsEncrypt. Bei LetsEncrypt kann man auch Zertifikate für lokale Server, die nicht aus dem Internet erreichbar sind, generieren wenn man die Möglichkeit hat den DNS der "öffentlichen" Domain zu setzen und die DNS-Challenge nutzen kann. Ich nutze dazu eine .org Domain bei Godaddy und einen DNS von Cloudflare, irgendwo gibt es auf der Webseite von Vaultwarden eine Anleitung dazu.

    Es funktioniert beides, die LetsEnrypt Variante ist etwas bequemer wenn einmal eingerichtet.

  • Jede Passwortsoftware ist mir suspekt. Ob da einer Hintertürchen eingebaut hat, lässt sich nur schwer oder gar nicht herausfinden.

    Ich sichere geheime Daten, so auch die Passwörter, über Veracrypt (früher Truecrypt) Container, in denen ich einfache Textdateien, Exceldateien oder Bilder ablegen kann. Und das wird ausschließlich auf lokalen Systemen gespeichert.

    Jede Anwendung bzw. jeder Zugang hat ein eigenes, uniques cryptisches Passwort, das ich über Herumklimpern auf der Tastatur generiere. Das geht meist sogar schneller, als wenn ich einen Passwortgenerator starten würde.

    Vielleicht bin ich übervorsichtig, ich fühle mich jedoch wohl dabei und habe alles schnell zur Verfügung.

  • Ich habe die Passwortmanagementdiskussion mal hierher rausgetrennt, ist ein eigenes Thema wert.

    Knowledge is knowing that a tomato is a fruit. Wisdom is knowing not to put it in a fruit salad

  • Ich sichere geheime Daten, so auch die Passwörter, über Veracrypt (früher Truecrypt) Container, in denen ich einfache Textdateien, Exceldateien oder Bilder ablegen kann. Und das wird ausschließlich auf lokalen Systemen gespeichert.

    Das habe ich früher auch so gemacht und unter macOS nutze ich auch immer noch diverse verschlüsselte Disk Images, allerdings über die im OS eingebaute Funktionalität. Der Ansatz hat für mich aber gleich mehrere Nachteile: Die Passwörter sind umständlich zu finden (habe inzwischen einige hundert Einträge im PW Manager), sie sind nicht leicht auf mobilen Geräten verfügbar, Synchronisation klappt nur per Hand und ist fehleranfällig und automatisches Ausfüllen klappt nicht.

    Das letzte Argument wiegt für mich unter dem Aspekt der Sicherheit am schwersten. Wenn Du die Passwörter selbst eintippst hat ein Keylogger Zugriff, wenn Du sie über die Zwischenablage überträgst jede Anwendung die zu diesem Zeitpunkt auf dem Rechner läuft. Je nach Betriebssystem können Kennwörter sogar in der Historie der Zwischenablage landen.

    Mir ist es früher auch immer mal wieder passiert, dass ich Kennwörter über die Zwischenblage in Felder befördert habe in die sich nicht gehörten oder das ich vergessen habe, die Zwischenablage zeitnah zu leeren. Das Ausfüllen per PW Manager prüft zudem, dass man auf der richtigen Webseite gelandet ist, bei wichtigen Seiten prüfe ich aber eh jedes mal das Zertifikat.

    Jede Passwortsoftware ist mir suspekt. Ob da einer Hintertürchen eingebaut hat, lässt sich nur schwer oder gar nicht herausfinden.

    Sowohl 1PW als auch Bitwarden haben unabhängige Sicherheitsaudits bestanden, Bitwarden oder auch Keepass sind zudem Open Source Software und lassen sich durchaus auch selbst übersetzen. Beide wurden, neben einigen anderen, vor einiger Zeit auch mal von der Ct darauf getestet, welche Daten im Hintergrund übertragen werden. Letztendlich musst Du bei Deinem Ansatz aber auch immer noch einer Software vertrauen, nur dann halt Veracrypt. Irgend einer obskuren Software, von der ich vorher noch nie gehört habe, würde ich aber auch nicht vertrauen.

    Ein weiteres Problem: In dem Moment wo der Container gemundet ist, haben andere Anwendungen Zugriff darauf.

    Jede Anwendung bzw. jeder Zugang hat ein eigenes, uniques cryptisches Passwort, das ich über Herumklimpern auf der Tastatur generiere. Das geht meist sogar schneller, als wenn ich einen Passwortgenerator starten würde.

    Eigene, ausreichend lange, Passwörter für jede Anwendung sind natürlich das wichtigste. Der Mensch ist aber notorisch schlecht im tippen von Zufälligen Kennwörtern, auch bei zufälligem klimpern auf der Tastatur. Da würde ich zumindest so etwas wie pwgen benutzen.

    Letztlich ist es immer eine Abwägung zwischen Sicherheit und Bequemlichkeit, wobei der Aspekt Sicherheit eben vielschichtig ist und auch menschliche Fehler einschließt. Ich persönlich nutze für wichtige Webseiten 2FA und habe die Daten dazu nicht zusammen mit den Kennwörtern im PW Manager sondern in einer zweiten Anwendung. Sehe wenige, sehr wichtige Kennwörter habe ich zudem ausschließlich auf Papier.

  • Es hat in meinen Augen vor allem den Vorteil, dass es deutlich weniger Komplex in der Installation ist, ein Docker Container und fertig. Zusätzlich muss man sich nicht Gedanken um die TLS Zertifikate machen. Ich habe dabei zwei Varianten getestet: Eine eigene kleine CA mit der ich selber Zertifikate generiere und LetsEncrypt. Bei LetsEncrypt kann man auch Zertifikate für lokale Server, die nicht aus dem Internet erreichbar sind, generieren wenn man die Möglichkeit hat den DNS der "öffentlichen" Domain zu setzen und die DNS-Challenge nutzen kann. Ich nutze dazu eine .org Domain bei Godaddy und einen DNS von Cloudflare, irgendwo gibt es auf der Webseite von Vaultwarden eine Anleitung dazu.

    Es funktioniert beides, die LetsEnrypt Variante ist etwas bequemer wenn einmal eingerichtet.

    Es hat meines Erachtens nach noch einen weiteren Vorteil: Auch für das selbst gehostete Bitwarden musst du soweit ich weiss für jeden Benutzer monatlich Betrag X abdrücken (damit so angenehme Sachen wie z. B. SSO gehen). Bei Vaultwarden fällt das meiner Erinnerung nach weg.

    Ich habe mich selbst auch lange dagegen gewehrt, meine Passwörter zu 1P in die Cloud zu verschieben. Aber ich habe damals den Zeitpunkt verpasst, 1P zu kaufen, als noch die lokale Abspeicherung der PW möglich war. In der Zwischenzeit muss ich sagen, habe ich mich gut damit abgefunden. Die kritischsten Sachen sind per MFA gesichert. Der Rest eher unkritisch. Hier gewinnt dann in einem gewissen Masse auch einfach die Bequemlichkeit. Es ist einfach schon praktisch, automatisch unter Windows, iOS, iPadOS, MacOS alle Passwörter zu Verfügung zu haben. Eine rein lokale Lösung wäre daher für mich keine mehr. Gerade auch, da ich aktuell 6 Geräte im Einsatz habe.

    Zudem: Die werden mit in der Zwischenzeit über 500 (!) Mitarbeiter wohl den einen oder anderen fähigen haben :boese:

  • Zudem: Die werden mit in der Zwischenzeit über 500 (!) Mitarbeiter wohl den einen oder anderen fähigen haben :boese:

    Statistisch gesehen aber auch einen Haufen unfähige ;) Wobei man sich ja schon fragen kann, wozu es für eine recht simple Anwendung wie einen PW Manager 500 Mitarbeiter braucht und die Firma inzwischen mit mehreren Milliarden bewertet ist...

    Das Problem bei der zentralen Speicherung ist für mich, dass es neue Angriffsvektoren eröffnet und gleichzeitig ein Angriff sehe attraktiv ist, da gleichzeitig ein ganzer Haufen Passwörter abgegriffen werden könnte.


    Eine rein lokale Lösung wäre daher für mich keine mehr. Gerade auch, da ich aktuell 6 Geräte im Einsatz habe.

    Mit 1PW 7 nutze ich die Synchronisierung per WLAn im lokalen Netz, das reicht mir. Aber eine Lösung wie z.B. Bitwarden/Vaultwarden wäre da schon bequemer, stimmt.

    Es hat meines Erachtens nach noch einen weiteren Vorteil: Auch für das selbst gehostete Bitwarden musst du soweit ich weiss für jeden Benutzer monatlich Betrag X abdrücken (damit so angenehme Sachen wie z. B. SSO gehen). Bei Vaultwarden fällt das meiner Erinnerung nach weg.

    Ja, das stimmt, Vaultwarden implementiert einige der Funktionen die bei Bitwarden selbst kostenpflichtig wären, ich habe mich aber nicht damit beschäftigt, welche genau das sind. Auf der anderen Seite implementiert Vaultwarden den Funktionsumfang von Bitwarden nicht vollständig. Nach meinen Tests reicht es für mich aber ohne Einschränkung. Wäre auch nicht mein Hauptgrund, ich hätte keine Problem z.B. für die Clients bei Bitwarden zu bezahlen, mir ist einzig wichtig, dass die Daten im lokalen Netz bleiben.

  • Hey Zusammen, ich häng mich hier mal dran.

    Habe meine Passwörter eigentlich über Chrome organisiert, aber leider hat mein Arbeitgeber jetzt die Sync Funktion deaktiviert. Super nervig...

    Deswegen die konkrete Frage: Kennt ihr ein Tool, welches sich mit dem Chrome Passwort manager synct? Um quasi erst mal alle PWs da rein zu bekommen? Danke und Grüße

    Viele Grüße - Benjamin

  • Statistisch gesehen aber auch einen Haufen unfähige ;) Wobei man sich ja schon fragen kann, wozu es für eine recht simple Anwendung wie einen PW Manager 500 Mitarbeiter braucht und die Firma inzwischen mit mehreren Milliarden bewertet ist...

    Weshalb die 500 Mitarbeiter brauchen, habe ich mich auch schon gefragt. Da aber auch durchaus grössere Firmen auf 1Password setzen, gehe ich davon aus, dass unter diesen 500 Mitarbeitern auch der eine oder andere dabei ist, der sich im Bereich Security und Patch Management besser auskennt wie ich ;) Zudem: Ein Sicherheitsvorfall, und das Geschäftsmodell von Agilebits ist unter Umständen keines mehr. Also gehe ich schon davon aus, dass da durchaus der nötige Hirnschmalz sowie entsprechende Sicherheitssysteme implementiert wurden.

    Was ich nicht verstehe: 1P ist im Moment nicht gegen Brute-Force geschützt. Sprich, ein Angreifer kann solange er den Benutzernamen sowie die ID des Accounts hat, so viel Mal versuchen, sich einzuloggen, bis er erfolgreich war, ohne dass irgendwann ein Account-Lockout greift :-/

    Zitat

    Das Problem bei der zentralen Speicherung ist für mich, dass es neue Angriffsvektoren eröffnet und gleichzeitig ein Angriff sehe attraktiv ist, da gleichzeitig ein ganzer Haufen Passwörter abgegriffen werden könnte.

    Ja, das ist in der Tat so. Aber das Problem hast du bei Bitwarden auch ;) Zudem: Ich attestiere jetzt einfach mal, dass Agilebits einen allfälligen Angriff auf die Infrastruktur besser und früher erkennen kann, wie ich bei einer selbst gehosteten Lösung (welche aus Komfortgründen (sonst macht sie ja auch nur wieder begrenzt Sinn), aus dem Internet erreichbar ist).

  • Ja, das ist in der Tat so. Aber das Problem hast du bei Bitwarden auch ;) Zudem: Ich attestiere jetzt einfach mal, dass Agilebits einen allfälligen Angriff auf die Infrastruktur besser und früher erkennen kann, wie ich bei einer selbst gehosteten Lösung (welche aus Komfortgründen (sonst macht sie ja auch nur wieder begrenzt Sinn), aus dem Internet erreichbar ist).

    Bitwarden funktioniert bei mir im Test problemlos mit einem Server, der nur intern zu erreichen ist. Der Client macht die Kennwörter, so dass sie auch ohne Kontakt zum Server verfügbar sind.

    Einen selbst gehosteten PW Server ins Internet zu hängen würde ich noch deutlich weniger machen als die Kennwörter bei 1PW zu speichern. Immerhin hätte diese Lösung aber den Vorteil, als Angriffsziel nicht so attraktiv zu sein wie ein Anbieter wie 1PW.


    Was ich nicht verstehe: 1P ist im Moment nicht gegen Brute-Force geschützt. Sprich, ein Angreifer kann solange er den Benutzernamen sowie die ID des Accounts hat, so viel Mal versuchen, sich einzuloggen, bis er erfolgreich war, ohne dass irgendwann ein Account-Lockout greift :-/

    Wenn ich deren White Paper richtig in Erinnerung habe, gibt es neben dem Benutzerkennwort noch einen weiteren automatisch generierten Schlüssel, das Benutzerkennwort dürfte oft genug viel zu anfällig gegenüber Brute Force angriffen sein. Eigentlich sollte das also auch gegen Brute Force schützen, aber "eigentlich sollte " war halt schon oft genug der Anfang eines Desasters. Eine Beschränkung, z.B. nicht mehr als 10 Versuche in 5 Minuten wäre da sicher hilfreich, eröffnet aber wiederum Möglichkeiten für einen "Deny of Service" Angriff.


    Also gehe ich schon davon aus, dass da durchaus der nötige Hirnschmalz sowie entsprechende Sicherheitssysteme implementiert wurden.

    Da laufen sicher nicht nur Idioten herum. Aber wenn sie z.B. das kanadische Äquivalent eines National Security Letters bekommen, ist ihnen wahrscheinlich das Hemd auch näher als die Hose. Bei Bitwarden könnte zumindest theoretisch irgendwem die Änderungen im Quellcode auffallen. Und Menschen machen halt auch Fehler, mache ich ja auch ständig...

  • Ich habe schon seit längerem 1P mit den Passwörtern in der "Cloud". Für mich gibt es leider bisher keine brauchbaren Alternativen.

    Cloud und Passwortsafe ist für mich schon ein grosses Fragezeichen


    Jede Passwortsoftware ist mir suspekt. Ob da einer Hintertürchen eingebaut hat, lässt sich nur schwer oder gar nicht herausfinden.

    - Ist Windows/Mac besser
    - Cloud
    - VPN

    - dein Provider etc.

    Der Sicherste Passwortschutz ist immer noch, wie bei meiner Mutter.
    Die hat ein kleines blaues Büchlein mit all ihrer Usernamen und dem Passwort drinnen. :sz:

    Tatsachen muss man kennen, bevor man sie verdrehen kann. Mark Twain

  • Der Sicherste Passwortschutz ist immer noch, wie bei meiner Mutter.
    Die hat ein kleines blaues Büchlein mit all ihrer Usernamen und dem Passwort drinnen.

    Ja, wenn die Kennwörter dann trotzdem ausreichend lang und zufällig sind, ist das recht sicher. Es bleibt aber immer noch den Angriffsvektor Keylogger und der Verlust. Außerdem skaliert es nicht sonderlich gut und immer dabei möchte ich so ein Büchlein auch nicht haben.

    Insgesamt finde ich das Aufschreiben von Kennwörtern aber besser als sein Ruf, selbst wenn der Zettel am Monitor klebt ist er online nicht abzugreifen.

    - Ist Windows/Mac besser
    - Cloud
    - VPN

    - dein Provider etc.

    Dem Betriebssystem musst Du immer vertrauen, egal wie Du die Kennwörter eingibst, selbst eine 2FA würde daran nichts ändern. Dein Provider kann ein problem werden, wenn die Verschlüsselung auf der Übertragungsstrecke nicht richtig implementiert ist. Außerdem ist er in der Position einen "man in the middle" Angriff zu fahren. Dagegen hilft, die Zertifikate zu besuchen oder z.B. für das Onlinebanking eine Anwendung zu benutzen die Fehler auswirft, wenn sich das einmal hinterlegte Zertifikat ändert. Dann muss man natürlich dieser Anwendung trauen. Bei wichtigen Seiten überprüfe ich das Zertifikat grundsätzlich, aber wer macht das schon.

  • Ich habe Last Pass aber überlege, das zu wechseln.

    Einige Autofills auf diversen Websites klappen nicht - z. B. bei der Deutschen Bank.

    Mit 2 Faktor da gibt es glaube ich keine Sonderfunktion.... muss mich mal mit den anderen Systemen befassen, die hier genannt wurden. Nutzt jemand sonst LastPass?

    Viele Grüße
    Oliver

  • Nutzt jemand sonst LastPass?

    Nein, aber dazu gibt es in dem oben verlinkten Thread auch Beiträge, ob für Mac oder Windows sollte bei der Beurteilung eigentlich egal sein.

    Aber dass einige Autofills nicht funktionieren wirst Du bei jedem PW Manager haben, hab ich bei 1PW (sehr selten) auch.

  • Das mit der Cloud hatte ich auch mal überlegt, mich dann aber dagegen entschieden, zumindest für einen Teil meiner Daten, z.B. Finanzinformationen Passwörter u.ä. Ja, ich weiß, Paranoiker ;)

    Das ist mein Stichwort. Passwörter....

    Ich hab aktuell ne Liste mit Passwörtern.... Egal wo jetzt genau.

    Aber das ist ja auch nicht im Sinne des Erfinders.... Wie stellt ihr sicher dass eure PW dokumentiert sind aber das dann sicher?