Passwörter und Zugangsdaten im Googlekonto speichern: Sicherheitsrisiko ?
- Ersteller Ralfii
- Erstellt am
be_myself
Lt. Commander
- Registriert
- März 2012
- Beiträge
- 1.353
Wenn man die Passwörter exportiert werden diese als CSV Datei auf dem PC/Laptop abgespeichert und können im Klartext gelesen werden. Jetzt liegt es am Nutzer selber, das Lesen der Datei und somit, der Passwörter zu verhindern.Kronos60 schrieb:
be_myself
Lt. Commander
- Registriert
- März 2012
- Beiträge
- 1.353
Ich habe es gerade ausprobiert. Die Passwörter werden als CSV Datei auf dem PC/Laptop gespeichert. Im Speichern Dialog wird man noch gefragt, wohin man die Datei speichern will. Hier hat man die Möglichkeit ein externes Medium auszuwählen, also USB Stick oder externe Festplatte, zum Beispiel.Nilson schrieb:
PC295
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.542
In Chrome nicht. Dort liegen sie verschlüsselt.Kronos60 schrieb:
Der Zugriff ist auch an das Benutzerkonto gebunden. Dass heisst, allein um sich die Passwörter anzeigen zulassen ist eine Bestätigung mittels Windows-Anmeldepasswort notwendig.
Wenn sich jemand das Chrome-Profil bzw. die Passwort-Datenbank kopiert, kann sie nicht auf einem anderen Rechner verwendet werden.
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Das ist eine Fehleinschätzung. Bei gehackten Accounts werden in der Regel auch alle personenbezogenen Daten entwendet und ggf. später in anderen Kontexten missbräuchlich verwendet (z.B. Identitätsdiebstahl, Auslesen der E-Mail-Adressen Dritter und Spam-/Phishing-/Malwareversand an diese, etc.). Gerade diese Fehleinschätzungen zu Malware machen es den Verbreitern und Nutznießern derselben leichter.Ralfii schrieb:
Das musst Du dringend und sehr zeitnah ändern. Auch aus diesen Accounts können missbräuchlich Daten verwendet werden, es können in Deinem Namen schädigende / strafrechtlich relevante Beiträge abgesetzt werden, usw. Jeder Account im Web braucht ein starkes und stark unterschiedliches Passwort zu anderen Accounts im Web.Ralfii schrieb:
Nein, angesichts Deiner Schilderungen und Einschätzungen zur Sache, bist Du nicht sicher genug unterwegs und musst einiges optimieren (siehe oben und folgend).Ralfii schrieb:
Bitte keine Passwort-Daten "nackt" im Google-Konto hinterlegen! Verwende mindestens einen Passwortsafe wie Keepass, das wurde ja bereits vorstehend mehrfach empfohlen.Ralfii schrieb:
Ich habe mit dem gleichen Thema gerade in einem anderen Thread hier gelernt und habe vor 2 Tagen mit KeepassXC ein funktionierendes (auf 4 Geräten und unterschiedlichen OS) PW Management System aufgebaut.
Ich gebe meine .kdbx Datenbank in meine Google Drive und kann somit von allen Geräten nicht nur darauf zugreifen und lesen, sondern eben auch von allen Geräten neue Accounts bzw. Passwörter erstellen. Google Drive an sich kann ja ohne Master PW mit dieser Datei nix machen.
Was mir noch aufgefallen ist in dem ganzen Prozess:
bei mir sind wohl weniger als 30% der in Chrome/Safari gespeicherten Passwörter wirklich wichtige Zugänge zu Portalen wie Banken, Emails, Arbeit etc. Diese habe ich alle mit einem von Keepass generierten (min 100 Bit) erstellen lassen und in der Datenbank abgespeichert. Dabei hab ich für mein Haupt E-Mail Konto ein PW selbst generiert, das zwar mit 120 Bit sehr sicher sein sollte, aber das ich mir auswendig merken kann. Ist mir wichtig, da ich so im Notfall (kein Laptop/Handy mit bzw. nicht funktionstüchtig) so doch noch Zugang von jedem Gerät auf mein Haupt Mail Konto habe (Internet Cafe, Uni/Arbeits/Hotel PC im Urlaub etc.)
Ich habe gemerkt, dass eben diese E-Mail, die beim Erstellen der meisten Accounts benutzt wird, die allerwichtigste Adresse ist, da man ja fast überall seine Accounts mit "Passwort vergessen" in wenigen Sekunden rücksetzen kann. Gleichzeitig sollte diese E-Mail wohl auch am Besten geschützt werden, da ein Angreifer mit Zugang zu dieser einen E-Mail auch alle anderen Accounts mit "Passwort zurücksetzen" ändern kann, da hilft einem sein super PW Manager dann auch nix, wenn alle Accounts mit dem gleichen E-Mail Account erstellt wurde und dieses nicht mehr sicher ist.
Die rund 70% nicht so wichtigen Accounts habe ich immer noch mit dem AutoFill von Chrome/Safari am Laufen und ich werde wohl nur im Laufe der Zeit diese ändern bzw. in Keepass übernehmen.
Ich gebe meine .kdbx Datenbank in meine Google Drive und kann somit von allen Geräten nicht nur darauf zugreifen und lesen, sondern eben auch von allen Geräten neue Accounts bzw. Passwörter erstellen. Google Drive an sich kann ja ohne Master PW mit dieser Datei nix machen.
Was mir noch aufgefallen ist in dem ganzen Prozess:
bei mir sind wohl weniger als 30% der in Chrome/Safari gespeicherten Passwörter wirklich wichtige Zugänge zu Portalen wie Banken, Emails, Arbeit etc. Diese habe ich alle mit einem von Keepass generierten (min 100 Bit) erstellen lassen und in der Datenbank abgespeichert. Dabei hab ich für mein Haupt E-Mail Konto ein PW selbst generiert, das zwar mit 120 Bit sehr sicher sein sollte, aber das ich mir auswendig merken kann. Ist mir wichtig, da ich so im Notfall (kein Laptop/Handy mit bzw. nicht funktionstüchtig) so doch noch Zugang von jedem Gerät auf mein Haupt Mail Konto habe (Internet Cafe, Uni/Arbeits/Hotel PC im Urlaub etc.)
Ich habe gemerkt, dass eben diese E-Mail, die beim Erstellen der meisten Accounts benutzt wird, die allerwichtigste Adresse ist, da man ja fast überall seine Accounts mit "Passwort vergessen" in wenigen Sekunden rücksetzen kann. Gleichzeitig sollte diese E-Mail wohl auch am Besten geschützt werden, da ein Angreifer mit Zugang zu dieser einen E-Mail auch alle anderen Accounts mit "Passwort zurücksetzen" ändern kann, da hilft einem sein super PW Manager dann auch nix, wenn alle Accounts mit dem gleichen E-Mail Account erstellt wurde und dieses nicht mehr sicher ist.
Die rund 70% nicht so wichtigen Accounts habe ich immer noch mit dem AutoFill von Chrome/Safari am Laufen und ich werde wohl nur im Laufe der Zeit diese ändern bzw. in Keepass übernehmen.
Ich wollte den Thread nochmal aktivieren, da ich aktuell vor der selben Entscheidung stehe.
Hatte noch nie Probleme mit PWs/Datendiebstahl obwohl ich sehr einfache PWs und oft die gleichen verwende.
Aktuell habe ich alles in Chrome gespeichert, was gut mit allen Geräten synchronisiert.
Bei finanziellen Transaktionen benötigt man ja zudem immer 2FA in Form von SMS oder App.
Ist das Setup so ausreichend? Keepass XC war okay, aber ist eben auf dem Handy nicht so praktisch.
Außerdem scheint durch Autofill dann doch überhaupt keine Sicherheit zu herrschen?
Manuell kopieren möchte ich jedenfalls nicht. Gibts eine sichere Autofill Option oder einfach bei Chrome bleiben?
Hatte noch nie Probleme mit PWs/Datendiebstahl obwohl ich sehr einfache PWs und oft die gleichen verwende.
Aktuell habe ich alles in Chrome gespeichert, was gut mit allen Geräten synchronisiert.
Bei finanziellen Transaktionen benötigt man ja zudem immer 2FA in Form von SMS oder App.
Ist das Setup so ausreichend? Keepass XC war okay, aber ist eben auf dem Handy nicht so praktisch.
Außerdem scheint durch Autofill dann doch überhaupt keine Sicherheit zu herrschen?
Manuell kopieren möchte ich jedenfalls nicht. Gibts eine sichere Autofill Option oder einfach bei Chrome bleiben?
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Dann hast du bisher einfach nur großes Glück gehabt. Es reicht alleine nur einer all dieser Accounts, bei dem ein Dienstleister Probleme mit einem Datenleck hat, und alle Deine anderen Accounts mit identischen Passwörtern sind akut gefährdet. Das ist aber nur ein Beispiel von vielen möglichen Szenarien. Du solltest Deinen Umgang mit Passwörtern grundsätzlich ändern, damit du künftig weniger auf Glück angewiesen bist.tz1986 schrieb:
Nein, absolut nicht, weil:tz1986 schrieb:
Weit entfernt von "ausreichend". Sehr weit.tz1986 schrieb:
Ja die Entscheidung zu starken unique PWs ist ja getroffen. Die Frage ist nun Bitwarden oder Chrome PW Manager.
Ist Bitwarden überhaupt sicherer, insbesondere wenn Autofill genutzt wird? Wie gesagt aus Desktop App zu manuell zu kopieren, kommt für mich im Alltag nicht in Frage.
Ist Bitwarden überhaupt sicherer, insbesondere wenn Autofill genutzt wird? Wie gesagt aus Desktop App zu manuell zu kopieren, kommt für mich im Alltag nicht in Frage.
PC295
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.542
Von der Sicherheit macht es kaum unterschied. Jedoch fallen in letzter Zeit immer wieder Anbieter von Passwortmanagern negativ auf, wenn es um Sicherheit geht.tz1986 schrieb:
Google hat hingegen einen sehr hohen Standard bei der Sicherheit.
Externe Passwortmanager bringen oft mehr Features mit als browsereigene Passwortmanager mit (z.B. das generieren von sicheren Passwörtern oder Prüfung von Mehrfachverwendung).
Kronos60
Commander
- Registriert
- Feb. 2015
- Beiträge
- 2.822
Meines Wissens wurde nur Lastpass gehackt, die Speichern die Passwörter in der Cloud.PC295 schrieb:
Bei Bitwarden oder Keepass ist das nie passiert, da wird die Datenbank lokal auf dem PC gespeichert, und man kann sie auf einem Stick oder einer externen Festplatte sichern.
PC295
Captain
- Registriert
- Apr. 2010
- Beiträge
- 3.542
Zwar kein Hackangriff, mit Sicherheit glänzen aber auch die nicht:Kronos60 schrieb:
Bitwarden Passwort-Manager sichert Anmeldeinformation ungenügend
KeePass Sicherheitslücke erlaubt Passwort-Export im Klartext
