Chrome Passwort Manager als Keepass Alternative?

[GlockMane88]

Hey Leute..

Da ich in letzter Zeit immer häufiger mein Chromebook nutze und mittlerweile ein zweites Gerät (altes Notebook mit ChromeOS Flex) habe und auch Chrome Browser auf den PCs, überlege ich ernsthaft den integrierten Passwort Manager zu verwenden, einfach weil es schön einfach klingt, auch direkt alles synchronisiert zu haben..

Aktuell nutze ich Keepass über OneDrive..

Was meint ihr, hat der Chrome Passwort Manager entscheidende Nachteile (vor allem in Bezug auf die Sicherheit?).. Und ist es möglich, einen zweiten Faktor einzurichten für alle oder bestimmte gespeicherten Passwörter? Also dass ich quasi einen Eintrag "Chrome Passwörter" in der Authenticator App habe..

Bin gespannt über eure Meinungen, mache mir aber nicht viele Hoffnungen, dass es sich um eine sichere Alternative handelt

 

[SI Sun]

Was ist dir wichtiger?
Komfort und Design oder maximale Sicherheit?

KeePass ist die sichere Methode. Den Entwicklern geht es um die Sicherheit allgemein, nicht deine Daten.
Google ist ein Unternehmen, welches mit Daten handelt und diese Daten mit allen technisch möglichen Mitteln sammelt, selbst wenn die gegen Gesetze verstoßen.

Bei KeePass liegt die Verantwortung und Datenvollmacht bei dir selbst.
Bei Googles Software gibst du die Datenvollmacht auf.

Selbst wenn beide Varianten - aktuell - gleich sicher sein sollten, ist die Wahrscheinlichkeit um ein vielfaches höher, dass einer der beiden Anbieter den Kurs ändert.
Dazu braucht es keinen Krieg. Nicht mal einen Wirtschaftskrieg. Ein Konflikt könnte ausreichen und die Datenhoheit wird von heute auf morgen absolut geändert. Vielleicht nicht in naher Zukunft, aber die Option ist immer vorhanden.

Entscheide selbst.
Am Ende ist es reine Vertrauenssache.

 

[andy_m4]

Bei Googles Software gibst du die Datenvollmacht auf.

Wobei das ja schon dadurch geschieht das man ChromeOS einsetzt. Ob man da noch mit der Wahl des Passwortmanagers was reißen kann ist fraglich. :-)

 

[GlockMane88]

Wobei das ja schon dadurch geschieht das man ChromeOS einsetzt. Ob man da noch mit der Wahl des Passwortmanagers was reißen kann ist fraglich. :-)

Windows wird auch nicht besser sein.. Glaube den Chrome Passwort Manager kann man vergessen, da man die Passwörter wohl direkt ohne Masterkey auslesen bzw. anzeigen lassen kann..

Werde mir mal Bitwarden anschauen (den Familienplan), da es wahrscheinlich komfortabler ist und nahtloser integriert (als Chrome Addon)..

 

[Oli_P]

Windows wird auch nicht besser sein.. Glaube den Chrome Passwort Manager kann man vergessen, da man die Passwörter wohl direkt ohne Masterkey auslesen bzw. anzeigen lassen kann..

Das ist dann aber wiederum am Windows-Konto gebunden glaub ich. Nee, speichert eure Passwörter nicht im Browser und syncht diese nicht online. So seid ihr am sichersten. Vielleicht nicht am bequemsten, aber es soll ja in erster Linie sicher sein. Aber macht was ihr wollt

 

[PC295]

Am besten Chrome ohne Konto bzw. Synchronisierung verwenden.
Wenn dein Rechner entsprechend abgesichert ist, dann kommt auch keiner an die im Browser gespeicherten Passwörter.

Auf der anderen Seite bleiben Passwortmanager von Drittanbietern auch nicht vor Sicherheitslücken verschont:
https://www.heise.de/news/Update-fu...tigt-kritische-Sicherheitsluecke-4860349.html

 

[andy_m4]

Wenn dein Rechner entsprechend abgesichert ist, dann kommt auch keiner an die im Browser gespeicherten Passwörter.

Das Problem bei "Im Browser gespeicherte Passwörter" ist ja, das wenn der Browser erfolgreich angegriffen wird der Angreifer auch leichteren Zugriff auf die Passwörter hat da das Password-Wallet im selben Process-Space liegt.
Mit einer externen Anwendung vermeidest Du schon mal dieses Problem.

Auf der anderen Seite bleiben Passwortmanager von Drittanbietern auch nicht vor Sicherheitslücken verschont:

Lustigerweise demenonstriert genau diese Lücke, warum man sein Passwort-Manager nicht im Process-Space des Browsers haben will. Der Fehler hier ist halt dieses dämliche Plugin zu verwenden, wodurch man quasi den Zugriff aufs Password-Wallet in den Browser-Process-Space hineinzieht.

 

[PC295]

Mit einer externen Anwendung vermeidest Du schon mal dieses Problem.

Nein, die Programme müssen ja laufen, damit die Zugangsdaten in den Browser übernommen werden können.
Die meisten Programm starten mit Windows, welches dafür andere Risiken mitbringt:
https://www.handelsblatt.com/techni...hillesferse-der-passwortmanager/24024292.html

 

[andy_m4]

Nein, die Programme müssen ja laufen, damit die Zugangsdaten in den Browser übernommen werden können.

Das Problem welches ich skizziert habe ist, das eine Prozess nicht so ohne weiteres den Speicher eines anderen Prozesses lesen kann.
Wie kriegt man dann die Passwörter aus dem Passwort-Manager in den Browser? Naja. Gängige Möglichkeiten sind z.B. via Zwischenablage oder auch Tastatureingaben gegenüber den Browser zu simulieren. Das ist auch alles andere als sicher weil das nicht besonders sichere Kanäle sind. Aber zumindest ist dann nur das benutzte Passwort betroffen und nicht Dein ganzes Wallet.

https://www.handelsblatt.com/techni...hillesferse-der-passwortmanager/24024292.html

Wenn Du einen infiziertes System hast hast Du eh ein Problem.
Was Reste im Arbeitsspeicher angeht: Wenn der Passwortmanager halbwegs was taugt räumt er den Speicher auf bevor er ihn wieder ans Betriebssystem zurück gibt. Außerdem sollte man ihn als "not-swapable" markieren, damit Passwörter nicht im Swapfile landen.
Je nach Betriebssystem gibts auch die Möglichkeit direkt vom System einen speziellen Secure-Space anzufordern wenn man sensible Daten ablegen möchte.

 

[BeBur]

Mit einer externen Anwendung vermeidest Du schon mal dieses Problem.

Viele verwenden allerdings ein Browser-Addon als Schnittstelle zwischen Passwortsafe und Browser. Dann ist die Trennung natürlich hinfällig, zumal meiner Erinnerung nach zumindest KeePass die gesamte Datenbank gegenüber dem Addon exponiert bzw. exponieren (muss).

Wenn Du einen infiziertes System hast hast Du eh ein Problem.

Das sehe ich auch so.

Hauptsache, man verwendet einen Passwortmanager, abgesichert mit einem guten Passwort. Der Rest ist zweitrangig.

 

[andy_m4]

Viele verwenden allerdings ein Browser-Addon als Schnittstelle zwischen Passwortsafe und Browser. Dann ist die Trennung natürlich hinfällig

Eben.

 

[thrawnx]

Also eines vorweg, weder kommerzielle Passwordmanager, noch der von Browsern bieten irgendeine Art von Sicherheit. Das sind Tools die es bequem machen Passwörter zu benutzen die man sich nicht merken könnte und verschiedene Passwörter für verschiedene Dienste zu nutzen. Das ist die eigentliche Sicherheit, da die meisten Login Daten eher durch Leaks bei Websites exponiert werden, als durch zielgerichtete Hacks.

Bei einer Infektion mit Schadsoftware bringen Passwordmanager rein gar nichts, da jede Schadsoftware einen Keylogger hat und mit dem Masterpassword den Zugang zu allen anderen Passwörtern abgreift.

 

[Oli_P]

Da bin ich nicht mit einverstanden. Ein separater Passwort-Manager kann schon zusätzliche Sicherheit bringen. Und der muss auch nicht zwangsläufig kommerziell sein. Wie hier im Thread bereits erwähnt wurde, sollte man auf jeden Fall auf Plugins verzichten, die Browser und PW-Manager verbinden. Bei Keepass kannste immer noch Autotype nutzen und man sollte auch die Funktion "Hauptschlüssel auf sicherem Desktop eingeben" aktivieren. Oder auch ganz aufs Master-Passwort verzichten und mit Keyfiles arbeiten.
Übrigens ist Version 2.51 nun raus...

 

[BeBur]

Da bin ich nicht mit einverstanden. Ein separater Passwort-Manager kann schon zusätzliche Sicherheit bringen.

Sehe ich im Detail auch so, aber von der Sache her hat thrawnx nicht unrecht, mir sind zumindest keine Angriffe in the wild bekannt, bei denen Malware nach Passwortlisten sucht. Oder den RAM nach Passwörtern durchsucht.

Wie hier im Thread bereits erwähnt wurde, sollte man auf jeden Fall auf Plugins verzichten, die Browser und PW-Manager verbinden.

"Auf jeden Fall" würde ich nicht sagen, man muss Sicherheit immer gegen Usability abwägen. Ich würde das so empfehlen, wie ich das gerne mache: 2 Safes verwenden, einen für normale Website Logins der mit dem Browser verbunden ist und der andere Safe für E-Mail, Paypal und andere wirklich sensible Dinge und das eben nicht mit dem Browser verbinden.

man sollte auch die Funktion "Hauptschlüssel auf sicherem Desktop eingeben" aktivieren.

Nutzt du die Funktion? KeePass selber schreibt ja selber nichts gutes darüber und hat es deswegen auch standardmäßig deaktiviert.

 

[Oli_P]

2 Safes nutze ich nur an der Arbeit, für persönliche und geteilte Logins. Privat nutz ich je eine getrennte Datenbank für den Rechner und fürs Smartphone. Plugins nutz ich gar keine und Keepass selber nutz ich auf dem Rechner nur als portable Version. Aber Autotype funktioniert so und das reicht mir (auch wenns manchmal kniffelig sein kann das für manche Webseiten einzurichten). Ja, ich nutze seit einer Weile testweise "Hauptschlüssel auf sicherem Desktop" eingeben.
edit: Okay, hab mal nach den Problemen mit dem Secure Desktop gesucht und das gefunden. Ich sag mal so, es ist ein zusätzliches Feature welches zwar nicht perfekt ist, aber doch meistens ein Mehr an Sicherheit bietet... ausser es gibt ne Schadsoftware, die genau diesen Punkt angreift. Aber ich versteh noch nicht ganz genau wie das funktioniert. Die schreiben vom Windows Lockscreen, den man auch mit Win-L aktiviert. Versetzt Keepass den Rechner in diesen Zustand und legt sich irgendwie gleichzeitig noch davor, damit man das Master-Passwort eingeben kann?

 

[BeBur]

Aber ich versteh noch nicht ganz genau wie das funktioniert. Die schreiben vom Windows Lockscreen, den man auch mit Win-L aktiviert. Versetzt Keepass den Rechner in diesen Zustand und legt sich irgendwie gleichzeitig noch davor, damit man das Master-Passwort eingeben kann?

Ich kenne keine Details, aber der Secure Desktop ist eine Funktion die Windows selber bietet soweit ich weiß und auch genau für so einen Anwendungsfall gedacht ist. KeePass nutzt das nur.