ComputerBase Menü
Aktuelles

Frage zu Sinn oder Unsinn von Passwordmanagern

K

kluth-family

Lieutenant
Registriert
Apr. 2005
Beiträge
835
Ich hätte da mal eine grundsätzliche Frage zu den frei erhältlichen Passwordmanagern (Lastpass, Keypass usw.)
So sicher, wie die auch sein mögen, ist es aber doch auch so, wenn ich das Passwort
"öokdpweuor))==?`?7588PPpp=ölkutv55&&78$$3209gjsccdouznb)$ErTz22"
oder so ähnliche für einen Online Shop generiere, sieht das ja erst mal unknackbar aus, weil sehr gut verschlüsselt und weil es kein Passwort von der Stange ist.
Aber: wenn es nun jemandem gelingt, das so hinterlegte Password bei diesem Online Shop in Klarschrift abzuziehen, wie auch immer, dann ist doch so eine Passwortverwaltung eigentlich für den Ar***, oder?
Daher stellt sich für mich die Frage, ob diese Passwordmanager Sinn machen. Den einzigen Sinn, den ich da sehe, ist das man halt ein Password wie hier als Beispiel beschrieben generieren kann und es sich nicht merken braucht, weil man es sich eh nicht merken könnte.
Aber wie gesagt, wenn es in Klarschrift vom Server gehackt wird, ist doch alles für die Katz, korrigiert mich, wenn ich da falsch liege...
 
ein Paswort Manager hat ja nichts mti dem Hacken der Internet Seite/Shop zu tun.

du kannst auch 1234 als Passwort nehmen und wenn jemand es schaft die Daten des Sops zu hacken, kommt er damit auch an die Daten.

der Sinn von Passwordmanagern ist ja eher, das darin alle Passwörterverwaltet werden, da man eingentlich für jede seite ein anderes Paswort nehmen solle.
merk dir dann mal ohne so ein Manager 10 verschiedene Paswörter, viel spaß
 
Absolut richtig. Dennoch sinnvoll, wenn du daran denkst, regelmäßig deine Passwörter zu wechseln. Das kann man dann mit solchen Programmen gut machen. Wichtig auch etwaige Master Keys oder Passwörter gut unter Verschluss zu halten.
 
Du hast recht, sofern das PW in Klarschrift auf dem Server liegt ist da halt ein Eingriffspunkt.

Der Sinn von Passwortmanagern besteht aber gerade dadrin, für jeden Login ein anderes, so kryptisches Passwort zu generieren und dadurch potenziellen Angreifern nicht durch das ergattern von EINEM Passwort Tür und Tor zu allen Logins zu eröffnen.

Die Sicherheit verbessern PW Manager nur dadurch. Der Rest liegt bei den Servern und wie dort mit deinen Daten umgegangen wird.
 
Und welcher Passwort Manager geht denn nun gut mit meinen Daten um? ;)

Momentan benutze ich Passwort Safe, das ist Lokal auf dem PC. Nützt mir leider auf dem Smartphone wenig.. :(
 
KeePass ist zum Beispiel immer eine Empfehlung.

Ich nutze aber 1Password. Hab das in einer Aktion günstiger bekommen (auf dem Mac -den ich nutze- ist es wohl besser als die Windows Version). Um die Passwortdatenbank auch mobil zu haben nutze ich dort den Wlan Sync und als Sicherung noch mein NAS.
So verlassen die Daten (auch wenn die Container verschlüsselt sind) zumindest nicht mein Netzwerk wie es bei einem Sync mit Dropbox der Fall wäre (oder gar LastPass)
 
killertomate285 schrieb:
Momentan benutze ich Passwort Safe, das ist Lokal auf dem PC. Nützt mir leider auf dem Smartphone wenig.. :(
Zum Vergrößern anklicken....
Gibt es doch für alle gängigen Smartphones:
http://www.passwordsafe.de/de/support/features/mobile-geraete-apps.html

Ein Problem ist immer mal wieder der Sync zwischen lokalem PC und App, ich löse es daher so,
dass ich mir einen HTML-Export anlege: http://www.passwordsafe.de/support/features/html-webviewer.html

Wie man das für seine Verhältnisse "sicher" gestaltet bleibt zum Glück jedem selbst überlassen. ;)
 
Die Passwortverwaltung von Chrome funktioniert sehr gut auch Geräteübergreifend. Verschlüsselung ist auch mit eigener Passphrase und Clientseitig möglich, d.h. Entschlüsselung der Daten nur auf deinem Device.
 
kluth-family schrieb:
Aber: wenn es nun jemandem gelingt, das so hinterlegte Password bei diesem Online Shop in Klarschrift abzuziehen, wie auch immer, dann ist doch so eine Passwortverwaltung eigentlich für den Ar***, oder?
Zum Vergrößern anklicken....

In der Regel liegen Passwörter auf Servern in deren Datenbanken nicht im Klartext vor, sondern sind gehashed. Hashes sind Einwegfunktionen, d.h. man kann nicht zurück auf das ursprüngliche Passwort schließen. Alles was passiert ist, dass Dein Passwort bei einer Anmeldung durch die Hashfunktion geschickt wird und dann der Hash mit dem in der Datenbank vergleichen wird. Anschließend wird der temporäre Hash verworfen.
 
und wenn es jemanden gelingt an dein PW und deinen Safe zu kommen ( Keylogger ganz easy ) hat er alle deine PW!
PW haben nur an einer Stelle gespeichert zu werden: dein Gehirn! Da hilf dann nur noch rohe Gewalt ;p
Und wenn du Probleme mit dem Merken hast ;p Dr. Kawashima hilft ;p

PW Safes sind Placebos für DAUs.

In der Regel liegen Passwörter auf Servern in deren Datenbanken nicht im Klartext vor, sondern sind gehashed.
Zum Vergrößern anklicken....

Die Realität sieht anders aus ;p ... wie unzählige Hacks in der Vergangenheit beweisen!
 
Zuletzt bearbeitet:
Luxuspur schrieb:
und wenn es jemanden gelingt an dein PW und deinen Safe zu kommen ( Keylogger ganz easy ) hat er alle deine PW!
Zum Vergrößern anklicken....
Wenn n Keylogger drauf sein sollte, hat er ganz andere Probleme...
Luxuspur schrieb:
PW haben nur an einer Stelle gespeichert zu werden: dein Gehirn!
Zum Vergrößern anklicken....
Stimmt, du merkst dir 600 Passwörter. Gratulation du Superhirn!
 
Wenn sich die Experten schon versammeln: spricht etwas und wenn, was spricht gegen gängige in Browser integrierte/ im OS integrierte "Passwort"-merker? Ich meine klar, ich darf mein Gerät nicht ungesichert rumliegen lassen aber sonst? Erfüllen diese ihren Zweck nicht ausreichend?
 
wie sieths mit zettel und stift + gehirn aus? man muss ja nicht das ganze pw aufschreiben;)
 
blackshuck schrieb:
wie sieths mit zettel und stift + gehirn aus?
Zum Vergrößern anklicken....
Und den Aktenordner schleppst du dann mit dir rum oder wie sieht das dann aus? Daheim + Arbeit + Smartphone + Tablet + Server + ...?
blackshuck schrieb:
man muss ja nicht das ganze pw aufschreiben;)
Zum Vergrößern anklicken....
Bei nem halben PW von mZcnwCSr4z9sTv36 lohnt sich das bestimmt.
 
Na ja, das eine oder andere nützliche ist schon dabei...

Ist halt in jedem Forum das Gleiche, meist wird irgendwann vom Thema abgeschweift, kann aber nix dran machen, ist überall so. Grundsätzlich wird aber hier auf CB schon kompetent weitergeholfen.
 
Yuuri schrieb:
Und den Aktenordner schleppst du dann mit dir rum oder wie sieht das dann aus? Daheim + Arbeit + Smartphone + Tablet + Server + ...?
Zum Vergrößern anklicken....


kleiner zettel im portemonnaie. 4-x stelliges "masterpasswort" im kopf, was an eine bestimmte stelle eingefuegt werden muss, fertig.
 
Da würde man PW nach einem bestimmten Muster verwenden. Sicherlich besser, als (überall) nur 1234, aber es geht halt sicherer. Zumal in der heutigen Zeit nicht nur Passwörter zu merken sind.

Was ist mit Wiederherstellungscodes? Den Angaben bei Geheime Frage / Antwort? Sicherungstoken in Form einer Datei? GGf. nutzt man auch nicht jeden Dienst mit ehrlichen Angaben (Name, etc.), aber im Fall der Fälle kann es durchaus gut sein, wenn man nachschauen kann, was man dort verwendet hat.


zeromaster schrieb:
Erfüllen diese ihren Zweck nicht ausreichend?
Zum Vergrößern anklicken....
Kommt darauf an, was man selbst als ausreichend ansieht. Im Grunde ist es für 99,99% der Leute eine Vertrauensfrage (Weil man selbst bei Quelloffener Software nix verstehen würde, wenn man sich die anschaut.).

Vertraut man etwa Google / Google-Software seine Kennwörter an, oder Microsoft, einer Cloud-Software oder vielleicht einer Offline-Lösung von Hersteller XY? Dazu kommt ggf. auch wo man die PWs überall haben / nutzen möchte. Für Webseite / Forum XY mag einem das auch egal sein, wenn das was eher „unsicher“ im Browser gespeichert ist.



Luxuspur schrieb:
und wenn es jemanden gelingt an dein PW und deinen Safe zu kommen ( Keylogger ganz easy ) hat er alle deine PW!
Zum Vergrößern anklicken....
Über einen Key-Logger hat der Angreifer noch lange nicht den Safe. Zumal ein Safe auch nicht nur an ein PW gebunden sein muss. Dann brauch der Angreifer noch mehr. Oder man betreibt den Safe auf einem Offline-System.

Natürlich kann man auch da munter weiter irgendwelche Bedrohungen konstruieren, aber die Angriffe werden immer unrealistischer. Warum einen gigantischen Aufwand betreiben, wenn die große Masse entweder überall nur 1234 verwendet oder meint Brain.exe würde reichen. Ist doch viel leichter zu knacken / abzugreifen. Die Leute geben doch auch im Jahr 2015 noch ihre Daten irgendwo auf Seite XY ein, wenn sie eine Mail bekommen, die dazu auffordert.

Luxuspur schrieb:
Da hilf dann nur noch rohe Gewalt
Zum Vergrößern anklicken....
Oder ein Keylogger. Aber das ist im Hirn noch nicht angekommen. ^^ :D
 
Zuletzt bearbeitet:
Falls du Chrome verwendest: Nimm dessen PW-Verwaltung. Funktioniert geräteübergreifend und ist client-seitig verschlüsselt.

Und hör nicht auf die Kommentare die hier von DAUs schwafeln etc. Die leben halt in ihrer kleinen soziopthaischen praxisfernen Welt.
 
M@rsupil@mi schrieb:
Warum einen gigantischen Aufwand betreiben, wenn die große Masse entweder überall nur 1234 verwendet oder meint Brain.exe würde reichen. Ist doch viel leichter zu knacken / abzugreifen.
Zum Vergrößern anklicken....

Zum einen ist der Aufwand gar nicht so gigantisch, da es längst diverse mietbare Dienste gibt, die das (ggf. noch mit verteiltem Rechnen) übernehmen, zum anderen lockt statt einigen wenigen leicht abgegriffenen Logins gleich das komplette Paket. Genauso gut könnte ich fragen: Warum darauf verzichten, wenn es doch geht?

Natürlich gibts Kriminelle, die sich auf leichte Beute konzentrieren. Aber das kann man nicht verallgemeinern und dann als Basisargument für ein falsches Gefühl der Sicherheit benutzen.

Die große Schwäche der Passwortmanager ist ihre prinzipielle Angreifbarkeit und die Menge der potenziell zu erbeutenden Daten.

Lesestoff:

http://heise.de/-1792413

http://heise.de/-1830188

http://heise.de/-2691498
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

1lluminate23
Sinn oder Unsinn, Archive scannen zu lassen?
Antworten
19
Aufrufe
1.180
1lluminate23
1lluminate23
larshamm
Kaufberatung 2 x Homeserver / NAS Sinn oder Unsinn?
Antworten
12
Aufrufe
3.142
andy_m4
andy_m4
Vitche
Notiz CB-Funk-Podcast #64: Über Sinn und Unsinn von AI-PCs und RTX-50-Gerüchten
2
Antworten
21
Aufrufe
3.108
Cabranium
C
P
Sinn und Unsinn von Gaming Smartphones
Antworten
18
Aufrufe
1.790
Abe81
Abe81
C
Passwort Manager Sinn oder Unsinn?
4 5 6
Antworten
100
Aufrufe
10.695
zeXez
zeXez
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz