Passwörter und Zugangsdaten im Googlekonto speichern: Sicherheitsrisiko ?

[crashbandicot]

nicht wenn man es richtig benutzt.

Das hat nichts mit der richtigen Nutzung zu tun. Das Addon agiert als Mittelsmann zwischen KeePass und Browser und ist damit in der Lage, die Passwörter auszulesen (sonst würde es ja nichts funktionieren). Auch wenn du dem Hersteller des Addons vertraust, es ist und bleibt ein weiterer Angriffsvektor. KeePass kann von Haus aus Auto-Ausfüllen, keine Ahnung warum man da noch ein separates Addon im Browser benötigt.

 

[GutGilliganHyde]

Auch wenn du dem Hersteller des Addons vertraust

Vllt erst mal informieren....

KeepassXC hat ein eigenes Addon...

Wenn ich dem nicht trauen würde, würde ich keepass selbst nicht trauen.

Einer der vielen Gründe, wieso ich keepassXC nutze, ist das bessere und sicherere Addon, von den gleichen Entwicklern.

 

[Oli_P]

Für mich aber ein kleiner Widerspruch.

1. Hacks bei großen Cloud Services passieren wohl deutlich weniger oft, als dass du versehentlich vergisst etwas manuell zu synchronisieren (will nicht pauschalisieren, wenn ich du schreibe meine ich natürlich mich selber ).
Wär für mich aber blöd, wenn ich irgendwo am Flughafen stehe und dann kurz vor Checkin mit dem handy nicht ins Portal komme, weil ich das PW zuhause mit Keepass erstellt habe und dann das File nicht aktualsiert habe.

2. und das ist für mich der eigentliche Widerspruch für mich hierbei. Wenn du sozusagen der eigentlichen Verschlüsselung an sich nicht vertraust, weil das tust du ja nicht, wenn du sagst eine verschlüsselte Datei hat auf Clouds nicht zu suchen, dann kannst du ja das ganze Passwort Management ja generell nicht vertrauen. Basiert ja alles darauf.

Ich hab nie geschrieben, dass ich der Verschlüsselung an sich nicht traue. Du willst ausdrücken, ob die Datei nun verschlüsselt lokal auf dem Rechner liegt oder eben in der Cloud, ist egal, da verschlüsselt. Mit diesem Argument kannst du natürlich punkten. Wegen der manuellen Synchronisation muss man natürlich eine gewisse Disziplin haben. Wird eine Änderung an der Datenbank gemacht, muss zwingend die manuelle Synchronisation damit einhergehen.
Ich will aber grundsätzlich versuchen, meine persönlichen Daten aus der Cloud fernzuhalten. Das ist nicht immer so einfach, aber wenigstens über meine Zugangsdaten behalte ich die Kontrolle.
Ich handhab das synchronisieren so... ich mache eine Änderung an meiner Datenbank und speichere; dann fragt Keepass mich ob ich die Datei sofort an einen weiteren voher definierten Ort in meinem LAN kopieren will. Von diesem Speicherort mach ich regelmäßig Backups auf einen weiteren Datenträger. Ändere ich etwas an meiner Datenbank im Handy, dann synche ich die Datei mit MyPhoneExplorer an einen vorher definierten Speicherort in meinem LAN. Also ich nutze nicht dieselbe Datenbank, wenn ich den PC oder das Handy nutze. Um das alles zu machen, brauch ich nicht Online zu sein im Internet.

 

[crashbandicot]

Vllt erst mal informieren....

Vllt erst mal lesen und verstehen....

Es geht nicht um Vertrauen, sondern um Angriffsvektoren, Schwachstellen und die Ausnutzubarkeit ebendieser.

 

[Der Lord]

Ich nutze ebenfalls KeePass. Die Datenbank liegt auf einer SMB-Freigabe im Netzwerk und ist somit von allen Geräten erreichbar. Selbst von unterwegs, da mit einem Klick ein VPN-Tunnel nach Hause aufgebaut wird (und selbst ohne VPN hält der Android-Client eine Kopie im Cache bereit). Quasi Cloudfunktionalität vorhanden ohne die Daten rauszugeben. Schafft man mittlerweile auch ohne Expertenwissen.

PS: Keepass hat auch eine ziemlich gut funktionierende Autofill-Funktion - da braucht es gar kein Browser-Addon, das ggf. wieder einen Angriffsvektor öffnet. Klar, mit ist es bequemer, aber wie so oft muss man sich einen für sich geeigneten Weg zwischen Komfort und Sicherheit auswählen.

 

[Kronos60]

Ich nutze Keepass ohne Addon, ich kaufe selten ein.

Die Datenbank habe ich auf 2 externen Festplatten gespeichert.

 

[tz1986]

Ich nutz mittlerweile Keepass in ner Cloud. Für meine Frau bin ich aber noch sehr am überlegen, ob ich sie auch umstelle.
Wir haben vorher beide MS Edge/Authenticator benutzt (sie jetzt immer noch), das hat schon etwas Arbeit gekostet sie davon zu überzeugen und sich davon auch sichere Passwörter generieren zu lassen.
Ich vermute, mit Keepass würde die Akzeptanz sinken, was am Ende dazu führt, dass sie zu einfache und immer gleiche Passwörter benutzt. Da kann man diskutieren wie man will, aber PW Manager in Chrome und Edge sind einfach nochmal komfortabler als Lösungen wie Keepass und das ist gerade für technisch Uninteressierte ein riesen Pluspunkt.

Ich vermute die Passwortmanager in Chrome / Edge zu nutzen ist sicherer, als jeden tollen PW Manager zu installieren und dann nicht zu nutzen.

Das sowieso, ich bin jetzt nicht absolut ungeschickt aber finde diese externen Lösungen doch fummelig und außerdem ob eine ein Mann (free) Entwicklung dann sicherer sein soll wie Google sei mal dahin gestellt.

Dazu kommt das nach meinen Ausführungen kein Sicherheitsrisiko besteht, sofern die verbundenen Geräte selbst verschlüsselt sind (bei Mac/Android/Windows ja mittlerweile Standard) und dadurch eben nicht mehr einfach das OS Passwort umgangen werden kann.

Somit kommt man Lokal nicht mehr an die Passwortdaten und online brauch man 2FA für den Google Account.

Dazu kommt dann nochmal, selbst wenn die Passwörter bekannt werden, hat heute jeder Zahlungsdienstleister eigene Antifraud und 2FA Lösungen. Und selbst wenn diese auch nicht helfen, haftet sowieso die Bank (zumindest in Deutschland).

Ihr könnt mich gerne korrigieren, aber wo soll hier das Risiko bestehen?

 

[phl92]

Mir ist gerade was aufgefallen, was eigentlich nicht ganz sicher sein kann!!

Ich benutze KeepassXC und Strongbox auf Linux/Win und MacOS. Ich habe keine Keepass Browser Plugins sondern habe den Browser Login Fenster gemeinsam mit Keepass offen und mache dann "Copy Password" von Keepass und dann Strg + V ins Browser Login Fenster.
Soweit so gut. Dachte das wäre eigentlich safe, aber da ich in Linux und MacOS Clipboard Manager benutze (und diese auch ständig geöffnet habe mit den letzten 35 Einträgen), ist es doch etwas blöd, dass diese dort aufscheinen. Nicht nur, dass sie somit gespeichert werden, es könnt auch sein, dass ich kA in Zoom in einer Video Konferenz kurz mein Clipboard zeigen muss und man sieht dann all meine Passwörter.

Mir ist das grad in Linux Mint mit Diodon aufgefallen, in MacOS benutz ich Maccy Clipboard und da passiert es nicht. Entweder ist Strongbox so klug oder eben Maccy (oder MacOS =).
Auf jeden Fall ist das unter Linux eine große Sicherheitslücke?!?

 

[GutGilliganHyde]

Ich nutze Keepass ohne Addon, ich kaufe selten ein.

Was hat das eine denn mit dem anderen zu tuen?

 

[Oli_P]

@phl92: Keepass kann die Zwischenablage automatisch leeren.

 

[phl92]

Muss ich mir anschauen. Nutze KeepassXC. Aber Auto Ausfüllen sollte auch nix ins Clipboard hinzufuegen nur ist das oft nicht moeglich oder buggy bei mir

 

[Oli_P]

Nee, eigentlich nicht. Ich hab mich grad mit Keepass und Autotype im Forum angemeldet. Mein Passwort war danach nicht in der Zwischenablage. Wenn man die Passwörter aber "copy&pasted" aus der Keepass-Datenbank, dann ist das was anderes. Deswegen hab ich in Keepass eingestellt, dass in regelmäßigen Zeitabständen die Zwischenablage geleert wird. Kann passieren, dass Autotype aus irgendeinem Grund mal nicht richtig will... Hab ich hier und da z.B. bei Amazon. Ist dann immer ein temporäres Problem gewesen. Hatte nix geändert und plötzlich funktionierte es wieder.

 

[anywish]

Ich verwende das Speichern der Passwörter in Google Chrome, bin aber seit einigen Tagen daran, mich mit KeePass zu beschäftigen.

Man kann die Google-Passwörter exportieren und in KeePass importieren. So hab ich jetzt alle in Chrome gespeicherten Passwörter auch in der KeePass-Datenbank. Ich nutze nur das Masterpasswort und keine Schlüsseldatei.

Man kann ja KeePass zusammen mit dem Windows-Start automatisch öffnen lassen, sogar als Minimized-Anwendung. Nur was ich nicht herausgefunden habe: wie kann ich das Masterpasswort der KeePass-Datenbank automatisch eintragen lassen?

Wenn ich da jedes Mal das lange, komplizierte Masterpasswort von Hand eintippen oder reinkopieren muss, geht halt viel Zeit drauf.

 

[Kronos60]

Wenn ich da jedes Mal das lange, komplizierte Masterpasswort von Hand eintippen oder reinkopieren muss, geht halt viel Zeit drauf.

Das Masterpasswort sollte man sich merken und nicht am PC speichern.
Man kann es sich auf einen Zettel aufschreiben.

 

[GutGilliganHyde]

Wenn ich da jedes Mal das lange, komplizierte Masterpasswort von Hand eintippen oder reinkopieren muss, geht halt viel Zeit drauf.

Der ganze Sinn des Master Kennwortes besteht darin, dass es das einzige und letzte Kennwort ist, dass du dir merken musst.

Das kann man einfacher haben durch lange Wortverknüpfungen oder man kann sowas wie einen fido stick (yubikey usw) oder ähnliches nutzen.

 

[anywish]

Ach so - das Masterpasswort muss ich immer händisch eingeben - entweder mit Copy/Paste oder eintippen!

Noch verwende ich die Google-Passwörter, aber es ist mir halt wichtig, auch KeePass schon so weit aufgebaut zu haben, dass ich jederzeit wechseln könnte.

 

[Ton 618]

Was haltet ihr denn vom geschützten Ordner beim Pixel, keine Ahnung ob andere Handys mit Andoid das auch haben.
Ich habe bei mir z.B. ein Foto mit den wichtigsten Passwörtern im geschützten Ordner hinterlegt.
Der geschüzte Ordner ins nur lokal auf dem Handy und wird nicht mit der Cloud synchronisiert.
Der Zugriff funktioniert nur über meinen Fingerabdruck.

 

[siggi%%44]

ich speichere gar nichts in der Cloud Und schon gar keine Passwörter. Sieht man ja immer wieder wie sicher das am Ende ist. Ich sichere alles in Veracrypt Containern

In der Cloud liegt auch keine Datei namens passwort.txt, wo alle Passwörter alphabetisch sortiert in Klartext gespeichert werden.

 

[Oli_P]

Noch verwende ich die Google-Passwörter, aber es ist mir halt wichtig, auch KeePass schon so weit aufgebaut zu haben, dass ich jederzeit wechseln könnte.

Ja, so ein Grundgerüst aufbauen und dann später nur noch Detail-Änderungen machen Programme wie Keepass wollen konfiguriert und personalisiert weden. Kann ein bisschen dauern, bis man alles so hat wie man das möchte. Wenn du soweit bist, kannste komplett auf die Passwortverwaltung im Browser verzichten. Keepass übrigens interagiert mit dem Browser und anderen Programmen auch ganz ohne Plugins. Sowas brauchste nur, wenn du ganz spezielle Anforderungen hast.