Passwörter und Zugangsdaten im Googlekonto speichern: Sicherheitsrisiko ?

[Ralfii]

Hallo.

Als Windows und Android Nutzer ist es natürlich sehr bequem, wenn immer alle Passwörter und Zugangsdaten auf den Geräten gespeichert sind.

Auch die gemeinsamen Lesezeichen, Kontakte, Kalender usw. erleichtern vieles.


Nun wurden in der Vergangenheit schon ab und zu irgendwelche Zugangsdaten von bekannten gehackt, meist aber nur mit unschädlichen Spam, Markierungen von bekannten auf Facebook usw. es ist nichts gravierendes passiert.


Für das Google-Konto verwende ich eine 2 Faktor Authentifizierung

Für die wichtigen Anwendungen wo es um Geld geht (Amazon, Paypal, eBay) habe ich auch eine 2 Faktor Authentifizierung eingerichtet, dort sind auch komplexere Passwörter gesetzt.


Für Foren und sonstiges sind leider oftmals die gleichen Passwörter am Start, aber da ist halt im Zweifelsfall der Account weg....


Wie schätzt ihr die Sache ein, bin ich sicher genug unterwegs, und was könnte man noch optimieren?


Wenn ich einen Passwortmanager habe, und jemand anderes das Master-Passwort hat, dann ist das auch ein gewisses Risiko, ähnlich ist es wenn jemand auf meinen Google Account kommt, wo alle Daten gespeichert sind.....



Eine handgeschriebene Passwortliste habe ich zu Hause, aber für Unterwegs ist das ja eher unpraktisch....



Gruß und Danke für eure Infos.

 

[cyberpirate]

Moin,

ich speichere gar nichts in der Cloud Und schon gar keine Passwörter. Sieht man ja immer wieder wie sicher das am Ende ist. Ich sichere alles in Veracrypt Containern. So kann ich auch alles was ich möchte jederzeit und überall nutzen. Auch meine Passwörter.

MfG

 

[coasterblog]

Jedes PW oder jeden Zugang den du aus deiner Hand gibst kann zum Risiko werden. Es gibt ja genug Beispiele von Datenraub oder tech. Pannen.

 

[Noninterlaced]

Wenn ich einen Passwortmanager habe, und jemand anderes das Master-Passwort hat

Bei Keepass, und höchstwahrscheinlich vielen anderen Managern auch, kann man eine sog. Schlüsseldatei erstellen und lokal ablegen oder evtl auf nem USBStick, erst mit dem PW und der Schlüsseldatei zusammen kann man auf die PW zugreifen, der Hacker bräuchte beides.
Verliert man allerdings den Schlüssel, geht's einem selbst genauso.

Die meisten PW Manager gibt es als Apps für viele Devices, PC, Apple, Android, IOS, Linux, und natürlich die Browser Plugins für Edge, Chrome, Opera etc.
Sehr bequem das ganze, zwar ein paar Klicks mehr, und viel Arbeit, bis man alle PWs drin hat, beinder Gelegenheit am besten alle neu vergeben, aber dann ist eigentlich für immer Ruhe

 

[cyberpirate]

Und die meisten PW manager sind auch Cloudbasiert oder?

 

[b1nb4sh]

@cyberpirate
Keepass ist eine Desktopanwendung. Es gibt auch cloudbasierte Passwormanager wie Lastpass oder Self Hosted Anwendungen wie Bitwarden/Vaultwarden.
Für den Heimgebrauch reicht aber Keepass inkl. Schlüssel super aus.
Du kannst auch die DB von Keepass aufs googledrive/onedrive legen, wichtig ist nur, dass das Kennwort und der Schlüssel nicht weitergegeben wird.

 

[Der Lord]

Genau, zum Glück nicht alle mit Cloudzwang... KeePass zb ist da schön oldschool. Bietet zwar auch eine Unterstützung die Datenbank direkt in die Cloud zu legen, muss man aber nicht. Bei mir liegt sie zuhause im LAN und benötige ich von unterwegs ein Passwort, wird vorher am Handy einfach kurz eine VPN-Verbindung zur Fritzbox geöffnet und danach Keepass auf dem Handy - fertig.

Ich würde PWs auch nie in irgendeine Cloud packen wollen.

 

[Nilson]

Ich bin der Meinung. Ein cloudbasierter Passwortmanager, der genutzt wird, ist besser, als was selbst synchronisiertes, was dann aus Bequemlichkeit nicht genutzt wird.
Denn dann hat man immerhin bei den meisten Diensten einzigartige und ausreichend lange Passwörter. Und das allein ist viel wert.
Klar, wenn man sich die Mühe macht sein Keepass Container selbst zu synchronisieren bzw. auf allen Geräten aktuell zu halten ist das noch besser.

 

[Teuti]

Moin, ich nutze Keepass lokal (starkes Passwort) + Schlüsseldatei (kann in zwei Clouds liegen) und synchronisiere zu Hause mit Syncthing. Meines Erachtens ist das ausreichend.

 

[Conqi]

Es gibt ja genug Beispiele von Datenraub oder tech. Pannen.

Und es gibt hundert Mal so viele Fälle von gehackten Accounts, weil die Leute zu einfache Passwörter nutzen und die gleich mehrfach. Am Ende hängen die meisten Accounts sowieso an der Mailadresse, die kaum einer selbst hostet (aus gutem Grund). Also wenn ich Google mit meinen Mails vertrauen kann, dann auch mit meinen Passwörtern. Zumal die bei Google auch nicht im Klartext rumliegen. So leicht extrahiert da keiner was.

Das heißt nicht, dass ich Cloudgedöns uneingeschränkt empfehle. Ich selbst nutze auch KeePass, aber das liegt primär daran, dass ich an keinen Anbieter gebunden sein will.

 

[the_ButcheR]

Benutze auch KeePass mit einer Schlüsseldatei. Das Masterpasswort muss natürlich sehr stark sein, da man sich allerdings nur noch das merken muss ist das weniger ein Problem. Mit der Diceware Methode kann man leicht zu merkende starke Passwörter erzeugen.
Meine Datenbank liegt in einer Cloud. So habe ich auf mehreren Geräten einfach Zugriff. Ich vertraue darauf, dass die Verschlüsselung korrekt implementiert ist. Die Schlüsseldatei liegt entsprechend auch auf mehreren Geräten und Backups, damit sie immer irgendwie wieder herstellbar ist auch wenn es zu einem Schaden, Diebstahl, etc. kommt.

 

[HansDetflefAndi]

Hier KeePass aber ohne Schlüsseldatei. Weil sollte diese weg sein 1000_Gründe ist alles weg.
KeePass DB wird 1x im Monat mit Gmail gesichert (somit Zugriff über Android), USB Stick und auf 1x inaktiver NVME. MasterPW kennt Google ja nicht...

 

[SSD960]

Die keepass Datenbank kann in die Cloud wenn die Schlüsseldatei separat liegt.

 

[|Moppel|]

Sehe es wie @Conqi in#10.

Du kannst ja selbst schauen wie viel Aufwand es ist an deine Datenbank zu kommen bei gegebenem Passwort.

Das im Verhältnis zum Interesse von Institutionen mit massiver Rechenleistung an deiner Datenbank setzen und du hast dein mMn üppig berechneten Risiko der Cloudspeicherung.

 

[be_myself]

Ich nutze den im Chrome hinterlegten Passwort-Manager. Google Account ist mit Zwei Wege Anmeldung gesichert. Alle Passwörter die gespeichert sind, sind sehr komplex und nirgends das gleiche Passwort. Fast überall (soweit möglich), nutze ich die Zwei-Wege Authentifizierung. Bisher keine Probleme gehabt.

 

[calippo]

Weil sollte diese weg sein 1000_Gründe ist alles weg.

Ja, das ist der Sinn und Zweck. Aber die Schlüsseldatei kann man kopieren und an mehreren Orten sicher aufbewahren.
Bei meinem Enpass ist die Schlüsseldatei einfach ein Textfile mit einem 64 Stellen Passwort. Das habe ich ausgedruckt und bewahre es sicher auf.

 

[BeBur]

Irgendwo außerhalb des eigenen Hauses bzw. der Wohnung sollte jedenfalls ein Backup des Passwortsafes sein. Ich sehe nicht, wie das ohne Cloudanbieter zuverlässig und ohne größeren Aufwand umgesetzt werden kann.

Die einzige Alterantive ist ein deterministischer Safe. Bei diesem lässt sich jedes Passwort aus dem Seed rekonstruieren. Da reicht es dann, den Seed sicher zu verwahren, z.B. in einem Bankschließfach. Aber diese Safes können prinzipbedingt viele Komfortfunktionen nicht anbieten (z.B. abspeichern von Dateien im Safe).

 

[Kronos60]

Ich nutze den im Chrome hinterlegten Passwort-Manager

Im Browser speichere ich keine Passwörter, bei einem Systemabsturz etc. wären alle weg.
Ich benutze Keepass und die Datenbank habe ich auf zwei externen Festplatten gespeichert.

 

[be_myself]

..bei einem Systemabsturz etc. wären alle weg.

Systemabsturz vom PC oder Google? Wenns am PC wäre, dann habe ich noch mein Laptop, welches via Google Account (Browser) synchronisiert ist. Wenn es Google betreffen würde, dann habe ich natürlich die Ar****karte, das stimmt.

 

[Nilson]

Man kann die Passwörter aus Chrome auch exportieren. Dann hat man ein unabhängiges Backup.