Eure Passwortverwaltung

[Kausu]

Ja natürlich macht man das anders herum!
Eine Schlüsseldatei gehört auf die Endgeräte und auf die Endgeräte only!

Jetzt funktioniert es

 

[Old Knitterhemd]

Über die "teilen" Funktion des Browsers kann man doch Keepass2android wählen und dann wird die DB geladen, entsperrt, der Eintrag gesucht, in die Keepass2android Tastatur geladen und wieder zum Browser gewechselt.
Bis auf das Entsperren(bei nur nem keyfile muss man 1* entsperren drücken, bei nem PW muss man es natürlich eingeben) passiert das alles automatisch.

In Apps kann man über die keepass2android Tastatur einfach den Eintrag suchen lassen, mit entsprechenden Einträgen für die android "urls".

 

[new Account()]

In Apps kann man über die keepass2android Tastatur einfach den Eintrag suchen lassen, mit entsprechenden Einträgen für die android "urls".

Danke für den Tipp.
Die URLs muss ich wohl noch eintragen - defaultmäßig geht da ja garnix.

 

[Old Knitterhemd]

Die App URL wird einem ja angezeigt.
Als Beispiel für Chrome:




Hab ein Video angehangen zur Veranschaulichung wie es für Webseiten funktioniert.

Habe mein Passwort übrigens danach noch mal geändert und dabei die 2fA für Computerbase entdeckt

 

[BeBur]

Wenn man es nicht schafft einen Zettel zwei mal zu schreiben oder zu kopieren ist das natürlich wahr.

Zweimal schreiben. Dauerhaft synchron halten. Regelmäßig kopieren. An verschiedenen Orten aufbewahren. Urgs.
Keine Lösung für ein Problem, sondern ein Problem für das man sich Lösungen ausdenken kann.

 

[gaym0r]

War gedacht als ein per USB angeschlossenen uC

uC? Unified Communications?
µC? MirkoController?

der nach Eingabe eines Master-Passworts auf ihm

Kann KeePass.

plus Einlegen einer SD Karte mit Key seine PW-Datenbank entschlüsselt

Kann KeePass

und dann das gewünschte PW als USB Tastatur am PC "eingibt".

Ich nehme an du meinst, dass der Mikrocontroller(?) Tastatur spielt und dem Computer per USB entsprechende Signale schickt?

Weitere Gegenfragen, weißt Du was unterhalb Deines OS so läuft bzw. was eben jenes überhaupt an sich so treibt?

Nein, weiß ich nicht. Aber ich hab auch mal ne Gegenfrage: Wenn ich nicht weiß was mein OS so treibt, was ändert es, wenn ich die Passwörter von einem Zettel per Hand eintippe? Hat das Betriebssystem dann plötzlich keine Chance mehr?

Wie vielen Audits hast Du denn deinen PW Manager unterzogen?

Keins, das haben andere schon zu Hauf gemacht ;-)

Die oft genutzten weiß ich auswendig, die selten verwendeten werden eben abgetippt. Dauert z.B. bei einem PW aus 32 völlig zufälligen Zeichen um die 5-10 Sekunden und tritt pro Woche keine fünf mal ein.

Wems Spaß macht... Ist übrigens relativ anfällig gegenüber simplen Keyloggern, aber das weißt du ja sicherlich.

Wer große Angst vor Diebstahl hat legt den Zettel halt in einen Safe. Bei wem diese Angst hinsichtlich Datendiebstahls tatsächlich berechtigt ist sollte auch seine HW dorthin verfrachten denn der Einbrecher könnte sie ja manipulieren.

Da bei mir tatsächlich schonmal eingebrochen wurde, bin ich inzwischen recht froh, dass ich keinen Zettel mit Passwörtern hatte. Der Durchschnittseinbrecher wird damit nichts anfangen können, aber er wird schon entsprechende Kontakte haben, die da bestimmt Interesse dran hätten. Da mach ich doch lieber meinen Rechner zu einem Safe.

 

[K7Fan]

Zweimal schreiben.

Durchschlag, dann reicht ein mal.

Dauerhaft synchron halten. Regelmäßig kopieren.

Alle 6 Monate werden die PW von wichtigen Diensten idealerweise gewechselt, der Aufwand hält sich in Grenzen. Mal ehrlich, wer wechselt im privaten Umfeld denn ohne besonderen Anlass noch öfter? Regelmäßige Audits des PW-Managers nach Updates nehmen deutlich mehr Zeit in Anspruch als das bisschen Geschreibsel.

An verschiedenen Orten aufbewahren.

Ist nicht so schwer, ein Exemplar liegt im (feuerbeständigen)
Safe, das andere im Zweitwohnsitz. Ein paar Blätter Papier hin-und-her zu transportieren ist vom Aufwand sehr überschaubar.

µC? MirkoController?

Genau das, entschuldige das u statt µ.

Ich nehme an du meinst, dass der Mikrocontroller(?) Tastatur spielt und dem Computer per USB entsprechende Signale schickt?

Korrekt.

Wenn ich nicht weiß was mein OS so treibt, was ändert es, wenn ich die Passwörter von einem Zettel per Hand eintippe? Hat das Betriebssystem dann plötzlich keine Chance mehr?

Richtig, dieses eine möglicherweise kompromittierte OS hat keine Chance an Passwörter von dem Zettel zu kommen die nicht an ihm eingetippt werden, also alle die es nicht betreffen bzw. auf ihm nicht verwendet werden weil es diese Daten niemals zu Gesicht bekommt. Weder im Klartext noch verschlüsselt.

Die Kiste zum Surfen kann beispielweise im schlimmsten Falle daher niemals an irgendein Passwort des Rechners zum Programmieren meiner Simatic Steuerung oder an die Fernwartungssysteme kommen.
Ein PW Manager bräuchte dazu für jedes System eine eigene DB mit eigenen Passwörtern und eigenen Schlüsseldateien auf eigenen Datenträgern. Nicht sonderlich einfacher als ein paar Zettel.

Keins, das haben andere schon zu Hauf gemacht ;-)

Na dann.
Sind hoffentlich erfolgreicher als jene die in Vergangenheit an openssl und SSH gearbeitet haben.

Wems Spaß macht... Ist übrigens relativ anfällig gegenüber simplen Keyloggern, aber das weißt du ja sicherlich.

Natürlich, nur wenn das System bereits derart kompromittiert ist dass der Angreifer einen "simpler Keylogger" darauf starten konnte ist es sowieso verloren, da nützt kein PW Manager etwas. Im Gegenteil, er hat dann dessen DB-Passwort bzw. Keyfile und damit einen Haufen Passwörter.
Hatte der Angreifer physischen Zugang um entsprechende Manipulationen an der Hardware durchzuführen ist die Show sowieso gelaufen.

Da bei mir tatsächlich schonmal eingebrochen wurde, bin ich inzwischen recht froh, dass ich keinen Zettel mit Passwörtern hatte. Der Durchschnittseinbrecher wird damit nichts anfangen können, aber er wird schon entsprechende Kontakte haben, die da bestimmt Interesse dran hätten. Da mach ich doch lieber meinen Rechner zu einem Safe.

Bei mir schon zwei mal. Den typischen Täter interessieren Passwörter nicht die Bohne. Nicht einmal als Beifang, mir wäre aus meinem gesamten Land kein einziger Fall bekann bei dem im Zuge eines Einbruchdiebstahls zufällig aufgefundene Passwörter zu weiterer Bereicherung eingesetzt wurden.

Würde ich das Szenario fürchten würde mein Zettel auch im Safe liegen womit der Zugriff für Unbefugte ebenfalls unterbunden wäre.

 

[BeBur]

Wer das so verteidigt, der möge das gerne so machen.
Wer hier mitliest und sich bildet, der möge sich einfach an etablierte good practice halten und das sind Password Safes und keinesfalls händisch aufgeschriebene Passwörter.

 

[LaraMedi]

ich benutze Enpass auf PC und Smartphon und hoffe dass ich damit auf der sichern Seite bin, und wenn möglich
eine Zwei-Wege-Authentifizierung.

 

[Snowi]

KeePass, alle Passwörter min. 32 Zeichen lang (Außer der Dienst nötigt mich zu etwas anderem *Zu Barclaycard schau* und *Zu Sparkasse schau*)
Die Passwörter ändere ich auch mindestens jährlich.
Die Passwörter manage ich über mehrere Dateien - Eins Master-Datei, die ich auf meinem Desktop habe, sowie 2 weitere (1 fürs iPhone und 1 für meinen Laptop für Uni/Unterwegs).
Das Passwort für KeePass hab ich auch nicht im Kopf, dafür benutze ich einen OnlyKey (Google). Im Prinzip ein Passwort-Safe als USB Stick, der sich nach PIN-Eingabe als Tastatur ausgibt und dann das ausgewählte Passwort eintipp. Google hilft, ist doof zu beschreiben. Kostet leider mit 50€ ziemlich viel, ist dafür aber vollständig OpenSource.
Die Dateien schieb ich Offline auf die Devices, da ich die Passwörter nur 1x im Jahr ändere, und das alle auf einmal.

Ich denke/hoffe dass ich damit erstmal auf der sicheren Seite bin

 

[gaym0r]

Der trollt doch.

"Ist nicht so schwer, ein Exemplar liegt im (feuerbeständigen) Safe, das andere im Zweitwohnsitz."

 

[K7Fan]

Der trollt doch.

Tut er nicht, aber schöner Post mit nichts als ad hominem.
Der Safe ist noch von meinen Eltern da die darin u.A. beruflich Dokumente aufbewahrten, vor >30 Jahren war eben noch viel mehr auf Papier als heute und "Backup" hatte andere Formen. Weshalb den also nicht nutzen?

Was an einem Zweitwohnsitz so trollig ist weisst wahrscheinlich auch nur Du aber bitte, jeder wie er meint.

 

[gaym0r]

Du redest Passwortmanager schlecht mit ganz abstrusen Argumenten.
"Mein Backup ist mein Zweitwohnsitz"

Merkste selbst oder?

Du kannst auch sagen, dass Passwordmanager schlecht sind und du dir einen Asiaten eingestellt hast, der sich 2310417321 Passwörter im Kopf merken kann und dich stets begleitet. Falls er mal hinüber sein sollte, springt sein Bruder ein, der auch alle deine Passwörter im Kopf hat.

Göttlich.

 

[BeBur]

Backups sollten stets automatisiert passieren. Allein diese Anforderung schließt eine handschriftliche Liste aus.
Davon abgesehen ist wie schon ausgeführt die Usability generell deutlich schlechter.

Um sich gegen ein kompromitiertes OS abzusichern würde man eher den Weg gehen, ein von der Alltagsnutzung getrenntes OS zu verwenden. Das hat auch den Vorteil, dass auf diese Weise gar kein Passwort kompromittiert werden würde. Bei der handschriftlichen Variante würde der Angreifer ja Zugriff auf alle zwischenzeitlich verwendeten Passwörter erhalten.

 

[Nutzerkennwort]

Ich nutze "Keepass" für PC und Android! Für mehr Text nehme ich noch "PC-Notizz!".

 

[andy_m4]

Das finde ich ja eh den Knaller. Die Diskussion um den besten/sichersten Passwortmanager und dann wird das Ganze irgendwie auf nem klapprigen Android oder Windows betrieben, was natürlich jegliche Schutzmaßnahmen ins ad absurdum führt.

 

[Nutzerkennwort]

... irgendwie auf nem klapprigen Android oder Windows betrieben, was natürlich jegliche Schutzmaßnahmen ins ad absurdum führt.

Naja, man hat was man hat. Das ist die Basis für viele User und auch für mich und daher schütze ich mich so, wie ich denke, dass es der beste Schutz ist. Solange keine anderere für - mich machbare Alternative auftaucht, solange ist das so.

 

[andy_m4]

Naja, man hat was man hat. Das ist die Basis für viele User und auch für mich und daher schütze ich mich so, wie ich denke

Erstens ging es gar nicht darum, ob Passwortmanager oder nicht. Sondern ob es Sinn macht verschiedene Passwortmanager ob ihrer Sicherheit zu vergleichen, wenn man das Ganze dann eh wieder auf einem ranzigen Gerät ausführt.

Und der Punkt den Du ansprichst. Wenn wir mal ehrlich sind, wollen zwar alle sicher sein aber das bequem. Wenns um Sicherheit vs. Bequemlichkeit geht, entscheidet man sich im Zweifel für Letzteres.
Um das vor sich selbst zu rechtfertigen nennt man das halt alternativlos.
Hört auf euch was vorzumachen.

 

[K7Fan]

Du redest Passwortmanager schlecht mit ganz abstrusen Argumenten.
"Mein Backup ist mein Zweitwohnsitz"

Ich schrieb eingangs dass es für mich zu aufwändig wäre einen PW-Manager meinen Anforderungen entsprechend einzusetzen und daher Papier verwende. Wenn man das OS darunter hinzuzieht ist es mir nicht mehr möglich das auch nur im Ansatz zu validieren.
Ist das für den normalen Nutzer notwendig? Nein, nicht im geringsten, er kann der Software blind vertrauen wenn er denn möchte, reicht für ihn und komfortabel ist es auch. Ich persönlich mag blindes Vertrauen eben nicht wenn es um Sicherheit geht und die Frage des OP war auch "wie geht ihr mit Passwörtern um", nicht welche Methoden man für allgemeine Anwendung empfiehlt.

Weiters ist das Papier doch auch ein Passwortmanager, nur eben offline, händisch geführt und abgesehen von Diebstahl der Listen, also physischem Zugriff, nicht als Gesamtes kompromittierbar.

Die ganze Diskussion ist sowieso in einigen Jahren hinfällig, die Zeiten als klassische username/password Authentifikation mit "good practice" vereinbar wäre sind zum Glück vorbei und sie wird besser früher als später überall abgelöst. Alternativen stehen genug bereit, bis dahin muss die bad practice halt irgendwie verwaltet werden.

Um sich gegen ein kompromitiertes OS abzusichern würde man eher den Weg gehen, ein von der Alltagsnutzung getrenntes OS zu verwenden.

Das mache ich grundsätzlich, genau aus dem genannten Grund - ein OS kann nicht mehr als die auf ihm verwendeten Zugangsdaten abgreifen. Die SPS Programmierung hat eine eigene Maschine, die Fernwartung, normales Surfen und Spiele, eine für Onlinebanking, usw usf.
Es gibt für einen Angreifer dadurch keine Möglichkeit ohne physischen Zugriff an die gesamte Liste zu kommen. Ganz obskure Dinge wie die Analyse von Tastenanschlaggeräuschen über ein gekapertes Mikrophon lassen wir mal weg da die Wahrscheinlichkeit dem als Privatperson zum Opfer zu fallen geringer ausfallen dürfte als 10 Lottogewinne in Serie zu machen und beim letzten von einem Meteoriten erschlagen zu werden.

 

[Nutzerkennwort]

Um das vor sich selbst zu rechtfertigen nennt man das halt alternativlos. Hört auf euch was vorzumachen.

O.K. Treffen wir uns in der Mitte