Passwort Manager Sinn oder Unsinn?

[Christian_b219]

Hallo zusammen,

ich spiele immer mal wieder mit dem Gedanken mir einen Passwortmanager außerhalb von Chrome anzulegen, habe hier aber immer wieder dieselben Gedanken "eigentlich kann man diesen Passwortmanagern nicht vertrauen", "selbst wenn man diesen vertrauen kann, heisst es nicht, dass diese sicher sind". Aus den genannten Überlegungen heraus bin ich bisher beim Chrome Passwortmanager geblieben, schlichtweg aus dem Gedanken heraus, dass ich da nur einem vertrauen muss und google - wenn sie wollen - so oder so an meine Passwörter käme.

Jetzt gab es da einen Bericht der mich da etwas verunsichert (insbesondere der letzte Satz) und daher wüsste ich gerne eure Meinung dazu.

"Inzwischen kann etwa Google Chrome die Passwörter lokal verschlüsselt ablegen, sodass Google theoretisch keinen Zugriff darauf hat. Das müssen (Alt-)Nutzer jedoch selbst aktivieren, was erfahrungsgemäß also nicht stattfindet.

Die Passwörter können Cyberkriminelle jedoch aus den Browser-Speichern oftmals einfach auslesen."

Quelle: https://www.heise.de/hintergrund/We...-ein-grosser-Sicherheitszugewinn-7358142.html

 

[till69]

KeePass ist prima:

https://www.computerbase.de/downloads/sicherheit/passwortmanager/keepass/

 

[Lord_Dragon]

Schau dir einfach mal Keepass oder KeepassXC an. Das sind Passwortmanager die deine Daten mit einer Verschlüsselung deienr Wahl sichern und die DB dazu an einem Ort deiner Wahl ablegen. Wenn dir danach ist kannst du auch irgendwelche Dateien als Schlüssel nutzen zb. ein Bild deiner Mutter oder so.

 

[WhiteHelix]

Bitwarden, Enpass, gibt genug Zeug. Und alles um Welten besser als der Browser Integrierte Kram.

 

[madmax2010]

Iel mehr ist dazu nicht zu sagen. und dann immer schick einzigartige PWs mit keepass generieren.

nimm halt keinen cloud-password manager.. da werden alle par jahre Daten raus getragen.

Lastpass dieses jahr schon 2x mit dem selben "Fehler" Auf Dienstleisterseite

 

[rpsch1955]

Bei mir sind das ein paar Blätter Papier und nur ich kenn wirklich die Passwörter

 

[seluce]

Auf der Arbeit nutzen wir Keepass(XC) und privat nutze ich Bitwarden. Läuft super.

 

[Garmor]

habe hier aber immer wieder dieselben Gedanken "eigentlich kann man diesen Passwortmanagern nicht vertrauen",

Auf welcher Grundlage?

 

[brubbelmichi]

Dem Browser den du benutzt musst du natürlich vertrauen. Wenn du zufällig an einen "Fake"-Browser gerätst (egal wo du den herhast), kann der natürlich alle deine Eingaben speichern und anderweitig übertragen, bevor er das Passwort dann an die richtige Adresse schickt, und es so aussieht, als ob alles seine Richtigkeit hätte.
Deswegen: Alle Programme, die man so installiert, ausschließlich aus vertrauenwürdigen Quellen laden. (Was keine Garantie ist, aber was soll Otto Normaluser sonst machen)

Hast du ein Masterpasswort im Browser gesetzt? Ansonsten kann man dummerweise sehr einfach alle Passwörter auslesen, aber dafür bräuchte man wahrscheinlich physischen Zugriff auf deinen PC.

Wie ich Passwortmanager nutze:
Nicht Cloudbasiert. Schon garnicht, wenn die serverseitig deine Keys generieren.
Um trotzdem flexibel zu sein, benutze ich eine selbst eingerichtete Nextcloud Instanz, um meine Datenbank zu synchronisieren.
Mit dem Browsermanager bist du wahrscheinlich auf Browserfenster begrenzt. Was ist mit Steam oder anderen Programmen, die nicht in einem Browserfenster ausgeführt werden? Ein extra Passwortmanager kann auch die Passwörter dafür speichern und automatisch eintippen.
Letztlich muss man den Passwortmanagern natürlich auch voll vertrauen. Deswegen nutze ich dafür gerne Open-Source Software. Das ist zwar keine Garantie, aber die gibts ja eh nicht im Leben.

 

[AlMaiWin]

Ich sag' mal Keepass. Bin seit Jahren zufrieden damit.

 

[nscharrn]

Ich nutze KeePass und bin sehr zufrieden

 

[HansWoke]

Du machst Dir zu viele Gedanken. Passwortmanager im Browser sind dem Sinn eines sicheren Passwortes nach völlig widersprüchlich.

Ein externes Tool ist selbstredend Pflicht und das weiter oben vorgeschlagegene KeePass eine sehr gute Wahl.

Auf irgendeinem Server hatten und haben Passwörter gar nichts zu suchen, schon gar nicht auf Google Servern.

 

[Teleschirm]

Etwas seltsame Ansicht, du vertraust Google und Chrome, aber nicht open source Software mit regelmäßigen Audits?

 

[s1ave77]

Auf irgendeinem Server hatten und haben Passwörter gar nichts zu suchen, schon gar nicht auf Google Servern.

Kommt drauf an . Die KDBX auf dem Googledrive (nur für den Sync zwischen mehreren Geräten) und zusätzlich zum Passwort eine Schlüsseldatei, die nur lokal auf den Geräten liegt. Wer will da was lesen. Weder Google noch im Fall jemand knackt die 2FA + Passwort des Accounts kann mit der Datei etwas anfangen.

 

[Giggity]

Das im Browser ist kein richtiger PW Manager und kann dementsprechend auch leichter abgegriffen werden.

KeePass ist ein Passwortmanager

 

[WhiteHelix]

Bei mir sind das ein paar Blätter Papier und nur ich kenn wirklich die Passwörter

How to not password safe.

 

[de_Jo]

KeepassXC wäre dann das was du brauchst, mit der Erweiterung für deinen Browser, wenn du Auto-Fill haben willst. Musst du erst manuell nach Anleitung einrichten, ist aber nicht schwer.

Bei wem Manager kann keiner mitlesen, weil keine Server involviert sind.
Dafür erfolgt die Sync zwischen mehreren Gerät dann manuell durch dich.

Aber manmanman, keinem Passwort-Manager vertrauen, aber Google & Chrome...

 

[Christian_b219]

Klar ist google keine perfekte Lösung, klar, dass da die NSA und google mitlesen. Aber lieber die NSA und google als die Russenmafia oder Gott weiss.

Auf welcher Grundlage?

kennst du den Code? weisst du, dass die nichts aus dem PW Manager rausschaffen? Wenn du das nicht weisst kannst du denen nicht trauen. Ich traue auch google nicht. Aber bei google kennt man zumindest die Firma man weiss dass die Börsennotiert sind man weiss, dass die sich so einen Vertrauensverlust nicht leisten wollen/können, das weiss ich bei nem kleinen open source tool alles nicht, es sei denn irgendwer der vertrauenswürdig ist hat den Code geprüft.

How to not password safe.

sorry aber find ich absolut dämlich den Kommentar! Wie oft wurde bei dir schon eingebrochen? und wie oft hattest du schon Malware am PC?

Etwas seltsame Ansicht, du vertraust Google und Chrome, aber nicht open source Software mit regelmäßigen Audits?

exakt das wissen welche auditiert wurden fehlt mir halt und ich würde wetten mindestens 50% der leute hier die behaupten wie dumm ich wäre (oder den Post liken) wissen es auch nicht und installieren sich dann einen der nicht auditiert wurde ...das ist dumm! Wie gesagt wenn die auditiert wurden absolut ok, aber hier einen PW Manager empfehlen der es nicht wurde, dann geh ich lieber zu google!

...welche wurden denn auditiert? und die nächste Frage ist dann von wem, sind die vertrauenswürdig? Danke schon mal!

Bei wem Manager kann keiner mitlesen, weil keine Server involviert sind.

die Aussage ist halt null Wert solange du nicht zu 100% ausschließen kannst, dass da eine Backdoor drinnen ist

 

[Piak]

Also, alle haben dir dasselbe empfohlen hier. Dann sag schön: danke und gut.

 

[Christian_b219]

Beitrag entfernt