ComputerBase Menü
Aktuelles

Notiz Passwort-Manager: Dropbox Passwords Beta für Android und iOS erschienen

new Account() schrieb:
Diese empfehlen Open Source Software
Zum Vergrößern anklicken....

Ich frage mich, ob die Leute, die Open Source bevorzugen, da sie den Unternehmen nicht vertrauen, auch immer selbst kompilieren und nicht einfach die .exe nutzen.
Kann man denn sonst wissen, ob dort auch tatsächlich der Quellcode drinsteckt oder vertraut man hier wieder dem Unternehmen?
 
@Mithos genau deshalb wird z. B. der Hashwert zur Verfügung gestellt ...
 
  • Gefällt mir
Reaktionen: dr. lele, Stofftier und BachUhr
devebero schrieb:
Schuster bleib bei deinen Leisten...Ich bleibe bei Dashlane.
Zum Vergrößern anklicken....
Das war mal.
Heutzutage kann man sich Erfahrung und Wissen erkaufen und somit ebenfalls ein gutes Produkt auf den Markt bringen. Zudem gibt es so Konkurrenz

@T
Nutze seit einiger Zeit KeePass und Google Drive.
Zwar gibt es sicherlich vertrauenswürdigere Unternehmen als Google aber meiner Meinung verstehen die etwas von Software und können einen guten Schutz vor Angreifern ermöglichen.
 
  • Gefällt mir
Reaktionen: beercarrier
Knuddelbearli schrieb:
@Mithos genau deshalb wird z. B. der Hashwert zur Verfügung gestellt ...
Zum Vergrößern anklicken....
Habe mir fast gedacht, dass es damit gemacht wird, hatte aber keine Ahnung.
Vermutlich werden den aber auch nur die wenigsten vergleichen, aber tatsächlich eine gute Möglichkeit.
 
Reicht wenn es nur wenige machen, solange man es auf offiziellen Seiten macht, ist das Risiko eh gering, und wenn da mal was durchrutscht ist die Publicity danach garantiert.
 
@Mithos
Ich habe entsprechende Programme so eingerichtet, dass das Signaturen überprüfen sehr einfach und schell geht.
Letztendlich ist es Gewohnheit.
 
  • Gefällt mir
Reaktionen: Mithos
was spricht bei iOS gegen die integrierte Lösung?
 
  • Gefällt mir
Reaktionen: knoxxi
Keepass taugt leider nur für Einzelnutzer was. Gruppenfunktionen wo mehrere Leute gleichzeitig was eintragen können gibts so nicht und auf anderen Systemen braucht man schon irgendwelche Forks, denen man auch noch vertrauen muss.
 
  • Gefällt mir
Reaktionen: BeBur
Kalsarikännit schrieb:
was spricht bei iOS gegen die integrierte Lösung?
Zum Vergrößern anklicken....
Im Grunde nichts außer der Tatsache, daß niemand den Quellcode validieren und Hintertüren ausschließen kann. Da bleibt einem nichts anderes außer Apple zu vertrauen. Dasselbe wie bei allen proprietären Schlüsselverwaltungs- bzw Passwortprogrammen.
 
  • Gefällt mir
Reaktionen: Kalsarikännit und BachUhr
tox1c90 schrieb:
Und das weißt du bei Open Source? Du guckst dir also den kompletten Quellcode des Passwortmanagers durch, bevor du ihn verwendest? Und das auch nach jedem Update aufs Neue?

Dass "irgendein Experte wird es sich schon angeguckt und kontrolliert haben" nicht funktioniert, hat man ja beim OpenSSL-Skandal gesehen. Ein grober extrem sicherheitsrelevanter Fehler, der jahrelang überlebt weil sich keine Sau das nochmal angeguckt hat.
Du musst davon ausgehen, dass auch bei Open Source der Großteil des Codes von keiner anderen Person außer der, der diesen geschrieben hat, auch wirklich kontrolliert wurde.
Bzw du kannst es einfach nicht wissen.

Folglich ist das Open Source Programm für dich höchstwahrscheinlich genauso eine Black Box wie ein Closed Source Programm.

Ich würde behaupten, wenn der Entwickler eines Open Source Passwortmanagers geschickt eine Backdoor einbauen oder auch ganz simpel die Passwörter im Klartext verschicken würde, fällt das monatelang keinem auf. Und wenn doch irgendwann - tja Mist, Fehler gemacht, shit happens und er verdünnisiert sich.
Ich sehe das eher so, dass eine große Softwarefirma sich sowas niemals leisten würde, weil es wirtschaftlich für sie den Ruin bedeuten würde. Darum habe ich mehr Vertrauen in ein solches Produkt, auch wenn es Closed Source ist.
Zum Vergrößern anklicken....
Also ich kenne einige Entwickler die damit ihre Brötchen verdienen und hatte die eine oder zwei Möglichkeiten Teile ihre Arbeit zu sehen. Und das Ergebnis war sehr gemischt, daraus lässt sich wirklich keine allgemeine Aussage treffen. Jemand aus einer Frickelbude hat super kommentierten klar strukturierten Code und wieder ein anderer aus einer größeren seriösen Firma missbrauchte Commands für Dinge die so nie im Leben sauber sind. Aber du wirst es nie bemerken solange die Software tut was sie verspricht.
oss führt sicher nicht instand zu besserem Code, es ist eher eine Erziehungsmaßnahme. Wir können uns jetzt über Frickellinux streiten, aber öffne einfach mal die GRUB cfg, dann siehst du das wenn man das lang genug macht und es nicht nur ne Kurzzeitlösung ist es deutlich sauberer wird. Zieht sich jeder den Code rein, sicher nicht. Aber wenn bei einem Aluhut die Alarmglocken klingen weil die Firewall zuckt dann wird nachgeguckt. Das ist soviel mehr als die Standardandroidapp zu installieren die erstmal sämtliche Berechtigungen zum starten braucht und 30 Tracker installiert.
btt
Dropbox hat für sein Storagesystem sicher einige fähige Programmierer nur frage ich mich ob die Geschäftsleitung sowas zu Ende denkt. Irgendwas zusammenbasteln mag ja noch recht fix gehen, das dann aber abzusichern kostet ne Menge Zeit ergo Geld. Und dann muss das auch weiter gepflegt werden, am besten mit Bug-Bounty und Sicherheitsteam, das heißt da gibt es auch relativ hohe laufende Kosten. Und es gibt da gute oss Tools mit ausreichend großen Community die das pflegt. Man konkurriert natürlich auch mit sämtlichen Unis der Welt. Und damit will man dann Geld verdienen? So richtig seriös klingt das für mich nicht. Klar ist es schick wenn man sowas als "Cloud"anbieter auch im Portfolio hat aber warum kauft man sowas nicht extern und labelt das dann?

Brink_01 schrieb:
Nutze seit einiger Zeit KeePass und Google Drive.
Zwar gibt es sicherlich vertrauenswürdigere Unternehmen als Google aber meiner Meinung verstehen die etwas von Software und können einen guten Schutz vor Angreifern ermöglichen.
Zum Vergrößern anklicken....
Ja das man muss man Google lassen. Sie sind fähig dafür zu sorgen das sie als einziger die Daten auswerten. Gut sie verkaufen sie dann zwar mehr oder weniger anonymisiert aber allen anderen graben sie schön das Wasser ab. Ich würd´ ja klatschen wenn sie mich vor dem Verkauf der Daten an meine Lebensversicherung noch mal kontaktieren würden.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: FeelsGoodManJPG und BachUhr
tox1c90 schrieb:
Ich sehe das eher so, dass eine große Softwarefirma sich sowas niemals leisten würde, weil es wirtschaftlich für sie den Ruin bedeuten würde. Darum habe ich mehr Vertrauen in ein solches Produkt, auch wenn es Closed Source ist.
Zum Vergrößern anklicken....

Die jüngere Vergangenheit hat ja auch gezeigt, daß große Softwarefirmen machen können was sie wollen. Emails mitlesen/scannen (bei Googe Mail) war da so ein Beispiel. Ist Google pleite? Nö.
 
Dropbox hat 2011 die Accounts von allen Usern offengelegt. Jeder konnte sich überall einloggen. Mit jedem Passwort. Vier Stunden lang. Link
Wusstest du das? Wie viele wissen das heute wohl noch? Sarkasmus: So wichtig ist es, professionell und sorgfältig zu arbeiten.
Die Wahrheit ist: Solange es toll funktioniert und günstig ist ist alles andere komplett egal.
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, teufelernie, Kalsarikännit und eine weitere Person
Es wird behauptet, als Nutzer müsse man Software eines Unternehmens vertrauen können oder sogar müssen (steht ansonsten im Widerspruch des Geschäftsmodells). Prinzipiell ist das richtig, Sicherheit besteht aus einem großen Teil aus Vertrauen.

Jedoch ist Vertrauen für mich keine Einbahnstraße. Als Unternehmen, dem (sicherheitsrelevante) Daten anvertraut werden, kann man doch offenlegen, wie diese verarbeitet werden. Dass mich das im Normalfall erst einmal nicht interessiert, spielt keine Rolle. Stichwort Vertrauen.

Nur, falls ich einmal Zweifel an dem Versprechen "Deine Daten sind sicher!" haben sollte, wäre es doch nicht verkehrt, könnte ich die Datenverarbeitung nachvollziehen. Oder jemanden mit Expertise und Unabhängigen damit beauftragen.
 
  • Gefällt mir
Reaktionen: BachUhr
Dropbox, waren das nicht die, bei denen man mal ohne Passwort die Accounts anderer Leute sehen konnte? Die, die alle Daten unverschlüsselt speichern? Die, bei denen plötzlich vor Jahren gelöschte Dateien wieder aufgetaucht sind? Denen soll ich jetzt meine Passwörter anvertrauen?
 
  • Gefällt mir
Reaktionen: FeelsGoodManJPG, teufelernie und BachUhr
Knuddelbearli schrieb:
Wie sicher sind die Teile eigentlich? Bin schon lange am überlegen, hab bisher immer noch Keepass, aber inzwischen brauch ich meine Passwörter immer öfters auch Mobil. Selbst Hosten will ich da eher nix ein Fehler oder sich mal paar Wochen nicht um Updates kümmern und zack wirds riskant ...
Zum Vergrößern anklicken....

Edward Snowden: vernichtet eure Dropbox

Ich hab mein sicheres(!) keepass in der Auto-Update nextcloud liegen. Auf nem Autoupdate ubuntu(quasi rebootless Updates).

NC Clients auf den Mobilgeräten. Klappt sehr gut!

Alternativ hat es in NC auch eine PW Integration, die habe ich aber noch nicht seziert.
Ergänzung ()

Kalsarikännit schrieb:
was spricht bei iOS gegen die integrierte Lösung?
Zum Vergrößern anklicken....

Es ist bequem.
Aber du müsstest Apple dazu vertrauen.
 
  • Gefällt mir
Reaktionen: BachUhr
jimmy13 schrieb:
@Knuddelbearli
Leider weiß ich nicht, welches mobile Gerät du nutzt. Allerdings habe ich meine Keepass Datenbank auf Dropbox liegen und lasse die auch auf meinem Android-Gerät synchronisieren.
Darauf wiederum läuft Keepass2Android und das leistet mir sehr gute Dienste. Auch mit meinem Yubikey kommen beide Geräte gut klar.
Nachteil ist jedoch, dass das kostenlose Dropbox die Anzahl der Geräte einschränkt. Das kann, je nach Menge, zu wenig sein oder man muss bezahlen. Auch das gleichzeitige geöffnet lassen am PC und Bearbeiten am Handy verursacht Komplikationen, da nicht gleichzeitig auf die Datei zugegriffen werden kann. Dropbox erzeugt dann eine Kopie in deinem Speicher.
Zum Vergrößern anklicken....

Ich habe es ähnlich gemacht wie du, ausser das ich statt Dropbox Google Drive benutzt habe. und jetzt auf mein NAS umgestiegen bin. Klappt alles sehr gut. Bei KeePass noch das Plugin für das 2FA installiert und Keepass2Android kann mit 2FA ohne weiteres umgehen. Dann noch bei KeePass das Plugin für ein Datenbank Backup installiert, für den Fall der Fälle wenn mal was schief laufen sollte.

Vorher hatte ich den Avira PWM (Kann auch mit 2FA umgehen) aber hatte immer etwas mulmiges Gefühl dabei.

Will jetzt aber noch KeePassDX und XC testen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: jimmy13
bleibe bei Keepass. Kostenlos zweiten Faktor mit einer Datei, Opensource usw...
 
Kalsarikännit schrieb:
was spricht bei iOS gegen die integrierte Lösung?
Zum Vergrößern anklicken....

Wie immer du jetzt darauf kommst.

Prinzipiell spricht nichts gegen die integrierte Lösung.
Setzt aber eben voraus, dass man iOS nutzt und gleichzeitig seine Passwörter nicht noch unter Windows oder Android nutzen möchte.

Daher sind die plattformübergreifenden Lösungen einfach interessanter.
 
  • Gefällt mir
Reaktionen: nap
Nein Danke, Dropbox.

Ich bin von KeePass auf Bitwarden umgestiegen und der Gewinn an Komfort ist immens - insbesondere auf Smartphone/Tablet. Zudem ist Bitwarden OpenSource (im Gegenteil zu Dashlane) und wurde immerhin schon mal von Dritten auditiert.
 
Ich bleib' bei Keepass.
Es gefällt mir, Sicherheitskopien der Passwortdatenbank auf den unmöglichsten Geräten abzulegen, wenn sie nur genug Speicherplatz dafür haben. :D Jahaaa meine Geheimnisse!!!111einself
Kommt und holt sie euch! Nein halt stopp
 
  • Gefällt mir
Reaktionen: BachUhr
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SVΞN
Notiz App-Flatrate: Abo-Dienst Setapp auch für iOS erschienen
Antworten
7
Aufrufe
3.754
MXE
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz