Passwort Manager Sinn oder Unsinn?

[FfaM]

Also ich kann Deiner Argumentation auch nicht folgen.

Ausgerechnet Google und dem amerikanischen Datenschutz / Praktiken vertrauen und alles andere blocken.

Wurde denn Google auditiert?

Ja, es gibt keine 100 prozentige Sicherheit. Aber Deine Argumentation klingt ein bisschen, so, als sollte man besser im Bett liegen bleiben, weil man sonst überfahren wird.

Der Vorteil bei OpenSource und damit KeePass, den ich auch verwende, ist, dass jeder den Code einsehen kann. Gäbe es also eine Sicherheitslücke oder eine Backdoor, damit ein Server Daten abgreifen kann, dann würde es bestimmt entdeckt werden. Mir sind keine Berichte bekannt.

Wenn bei Google Daten geklaut werden, bekommst Du es im schlimmsten Fall erst Wochen später mit, weil Google es erst einmal für sich behält. Bei Google hast Du überhaupt keine Möglichkeiten, einzusehen, welche Technik dahinter steht bzw. wie sicher sie ist.

Edit: um Deine Frage zu beantworten: Sinn. Die Daten sind verschlüsselt und Du kannst sichere Passwörter mit einem geringen Aufwand erstellen.

Wenn KeePass über Nextcloud synchronisiert werden, ist das übrigens auch recht sicher.

 

[de_Jo]

(...) Aus den genannten Überlegungen heraus bin ich bisher beim Chrome Passwortmanager geblieben, schlichtweg aus dem Gedanken heraus, dass ich da nur einem vertrauen muss und google - wenn sie wollen - so oder so an meine Passwörter käme. (...)

Klar ist google keine perfekte Lösung, klar, dass da die NSA und google mitlesen. Aber lieber die NSA und google als die Russenmafia oder Gott weiss.

kennst du den Code? weisst du, dass die nichts aus dem PW Manager rausschaffen? Wenn du das nicht weisst kannst du denen nicht trauen. Ich traue auch google nicht. Aber bei google kennt man zumindest die Firma man weiss dass die Börsennotiert sind man weiss, dass die sich so einen Vertrauensverlust nicht leisten wollen/können, das weiss ich bei nem kleinen open source tool alles nicht, es sei denn irgendwer der vertrauenswürdig ist hat den Code geprüft.

(...)


...welche wurden denn auditiert? und die nächste Frage ist dann von wem, sind die vertrauenswürdig? Danke schon mal!

die Aussage ist halt null Wert solange du nicht zu 100% ausschließen kannst, dass da eine Backdoor drinnen ist

Nur damit ich dich richtig verstehe:

Bei KeepassXC ist bspw. der Quellcode komplett offen einsehbar. Ich habe ihn nicht kontrolliert (kann ich auch nicht), aber allein die Offenlegung erscheint mir doch Vertrauen erweckend.

Ein Argument für dich ist ja: Google ist bekannt und börsennotiert, und kann sich keinen Vertrauensverlust leisten.

Verstehe ich dann richtig, dass du demnach auch Google Chrome, MS Windows und AppleOS mehr vertraust als bspw. Tails Linux, Whonix Linux oder Kali Linux (auch da steckt ja kein bekanntes, börsennotiertes Unternehmen dahinter, sondern eine Gruppe von Entwicklern auf Spendenbasis) ?

Anmerkung @ Christian_b219 :
Die Frage ist ehrlich gemeint!!! Mir scheint nämlich, dass die Kommentatoren und Empfehlungen an dem vorbeigehen, was dein Anliegen ist, und wie du Empfehlungen als "sicher" oder "gut" einstufst.

 

[Eletron]

Keepass 2 wurde durch u. a. durch EU-FOSSA auditiert. Der Quellcode ist offen und dennoch vertraut man Google, weil es börsennotiert ist.

Sehr interessante denkweise.

Bei Keepass2 kann man selbst entscheiden, wo man seine Datenbank speichert, was bei der Passwortlösung von Chrome nicht möglich ist.

 

[FfaM]

Keepass 2 wurde durch u. a. durch EU-FOSSA auditiert.

Das habe ich auch nicht gewusst. Wäre aber durch eine einfache Suche in Erfahrung zu bringen gewesen: https://keepass.info/ratings.html

 

[Christian_b219]

Leute ich habe Kriterien genannt, die erstmal nur meine Gedanken widerspiegeln. Wann etwas vertrauenswürdig ist und wann nicht, kann ich nicht vollends beurteilen, ich bin kein Fachmann und wenn ich es nicht zu einem Grad beurteilen kann, bei dem ich ein gutes Gefühl habe, lasse ich es lieber sein (würde ich an der Stelle "brain.exe" nennen) ...oder ich informiere mich (was hiermit geschieht).

Anmerkung @ Christian_b219 :
Die Frage ist ehrlich gemeint!!! Mir scheint nämlich, dass die Kommentatoren und Empfehlungen an dem vorbeigehen, was dein Anliegen ist, und wie du Empfehlungen als "sicher" oder "gut" einstufst.

das spreche ich dir nicht ab! Ich finde es allerdings erschreckend, dass sich anscheinend fast keiner der hier schreibt darüber Gedanken macht. Sobald man google erwähnt haben sie ihr Feindbild, aber open source ist immer super, finde ich total naiv, das ist so als würde man den Zentralbanken nicht trauen und sich dann Bitcoin über FTX kaufen. Man kann auch aus den richtigen Gründen das Falsche tun.

Die Daten sind verschlüsselt

ich fürchte wir drehen uns im Kreis, du musst der Verschlüsselung ja Vertrauen

Verstehe ich dann richtig, dass du demnach auch Google Chrome, MS Windows und AppleOS mehr vertraust als bspw. Tails Linux, Whonix Linux oder Kali Linux (auch da steckt ja kein bekanntes, börsennotiertes Unternehmen dahinter, sondern eine Gruppe von Entwicklern auf Spendenbasis) ?

das ist in der Tat eine fiese aber berechtigte Frage... aber zumal es beide Systeme ja schon seit ca. 30(?) Jahren gibt und ich noch nie was von gestohlenen Passwörtern gehört habe (auch nicht bei Linux) und zumindest Microsoft ein funktionierendes Geschäftsmodell hat, würde ich in der Hinsicht zwar beiden Vertrauen, aber mit der Einschränkung: ein nicht erkennbares Geschäftsmodell finde ich in der Tat weniger vertrauenswürdig, sorry das ist so.

Wenn ihr sagt, dass Tool ist schon 20 Jahre online und jeder kann das einsehen ist das n Argument, würde ich sagen dann ist es vertrauenswürdig. Wenn ihr sagt, dass Tool ist seit nem Jahr online wäre das jetzt für mich eher kein Argument. Vll fallen euch aber auch andere Argumente ein?

Aber Deine Argumentation klingt ein bisschen, so, als sollte man besser im Bett liegen bleiben, weil man sonst überfahren wird.

Wenn ich auf den FTX Vergleich zurückkommen darf: Es macht nen Unterschied ob ich für 100 Euro Gold bei nem Goldhändler kaufe den es seit 100 Jahren gibt oder für 100 Euro Bitcoin bei FTX, in meinem Fall ist der Goldhändler eben Google weil ich ihn schon lange kenne und google schon lange ein funktionierendes Geschäftsmodell hat!

Keepass 2 wurde durch u. a. durch EU-FOSSA auditiert.

Danke!

Ergänzung (5. Dezember 2022)

Das habe ich auch nicht gewusst. Wäre aber durch eine einfache Suche in Erfahrung zu bringen gewesen: https://keepass.info/ratings.html

Kannst du denn die Ratings beurteilen?

 

[Retrocloud]

Bitwarden mit eigenem Server wäre auch was wenns portable sein soll

 

[chris12]

ich habs auch portabel:
papier und kugelschreiber.

 

[Giggity]

Passwörter die im Browser hinterlegt sind kann man leichter abgreifen als Passwörter die im Passwortmanager deiner Wahl hinterlegt sind.

Das ist Fakt und allgemein bekannt. Alleine aus diesem Grund sollte ein Passwortmanager und nicht der Browser verwwndet werden.

 

[HansWoke]

Klar ist google keine perfekte Lösung, klar, dass da die NSA und google mitlesen. Aber lieber die NSA und google als die Russenmafia oder Gott weiss.

Lass Gott aus Deinem Erwägungen raus.

Wenn der Passwörter mitlesen könnte, würde man auch keinen Passwortmanager benötigen. Wenn man zudem alle nur denkbaren Eventualitäten, seien sie auch noch so unwahrscheinlich, in sein Verhalten einbeziehen würde, dürfte man auch nicht mehr vor die Tür gehen. Eine internationale Terrorgruppe könnte sich ja dazu entschlossen haben alle deutschen "Christians"zu entführen, um dann mit Alientechnologie alle Passwörter aus deren Gehirnen zu extrahieren. Kurzum, die Debatte, die Du da anstößt, ist schon ca. eine Million mal geführt worden, quasi unendlich und daher sinnlos. Jeder beliest sich am besten selbst und formuliert so seine eigene Handlungsmaxime in Sachen Sicherheit.

Es genügt fürs Erste völlig, wenn Du dich zunächst mit einem externen Passwortmanager vertraut machst und Browser und die Nutzung von Passwörtern strikt voneinander trennst. Und es beginnt damit, dass Dein Masterpasswort so ungefähr 20 Zeichen lang, natürlich mit Sonderzeichen versehen und nirgends hinterlegt/aufgeschrieben ist/wird, sondern nur in Deinem Kopf existiert.

2015 lief in den USA der Patriot Act aus und wurde durch den Freedom Act ersetzt. Der Patriot Act war unmittelbare Folge der Terroranschläge 2001 in New York. Die Behörden, also auch die Geheimdienste, durften quasi alles und der Richtervorbehalt war de facto aufgehoben. Mit dem Freedom Act ist es etwas besser geworden, die nicht zweckgebundene Speicherung von Daten allerdings gibt es noch immer ohne das der Betroffene dagegen irgendetwas tun könnte. Man kann also davon ausgehen, dass alle jemals auf einen Server auf US Boden abgelegtes Passwort auch den dortigen Behörden zur Verfügung steht. Jedenfalls theoretisch. Und wenn Behörden sich Zugang zu Passwortdatenbanken verschaffen, darf man davon ausgehen, dass das interessierte Kreise außerhalb jeder Staatlichkeit auch tun können. Jedenfalls theoretisch.

"PIAK" hat im Beitrag 19 alles in einem Satz zusammengefasst. Ich wollte zusätzlich nur ein paar Denkanstöße formulieren.

Ergänzung (6. Dezember 2022)

Kommt drauf an . Die KDBX auf dem Googledrive (nur für den Sync zwischen mehreren Geräten) und zusätzlich zum Passwort eine Schlüsseldatei, die nur lokal auf den Geräten liegt. Wer will da was lesen. Weder Google noch im Fall jemand knackt die 2FA + Passwort des Accounts kann mit der Datei etwas anfangen.

Ich weiß schon, was Du meinst, aber ich bin in derlei Sachen eher dogmatisch und kann behaupten kein gebranntes Kind zu sein. Ich habe mir über die Jahre einfach gewisse Abläufe angewöhnt, die manchmal etwas umständlich, dafür aber unter den Aspekten von Sicherheit vs. Komfort trotzdem für meine Belange sicher genug sind. Die in KeePass zur Anwendung kommende Verschlüsselung ist nach aktuellem Stand der Technik in Bezug auf den Aufwand, der betrieben werden müsste, um sie mit vernünftigen Zeitaufwand zu knacken, sicher. Da gebe ich Dir völlig recht. Ich habe meine Daten aber trotzdem einfach immer bei mir.

 

[FfaM]

Kannst du denn die Ratings beurteilen?

Okay, ich verstehe inzwischen durchaus auch, worauf Du hinaus willst. Nein, das kann ich ohne weiteres nicht.

Wenn ich Deinen Fragen, Ansprüchen bzw. Voraussetzungen folge und sie auf anderen Situationen (konsequenter Weise) umsetzen, hätte ich auch ein Problem mir zum Beispiel ein Auto zu kaufen, denn über die Wertigkeit der Crashtests von ADAC und Co. kann ich auch nicht urteilen.

Ich treffe meine Entscheidungen immer auf einer Summe von Informationen. Wenn mehrere Quellen, die sich auskennen sollten und zum Teil in der Lage sind, den Sachverhalt zu prüfen, ein Produkt empfehlen und ich nichts gegenteiliges finde, dann vertraue ich erst einmal darauf. Und ich bin mir aber auch bewusst, dass es keine 100 prozentige Sicherheit gibt.

 

[s1ave77]

Die in KeePass zur Anwendung kommende Verschlüsselung ist nach aktuellem Stand der Technik in Bezug auf den Aufwand, der betrieben werden müsste, um sie mit vernünftigen Zeitaufwand zu knacken, sicher. Da gebe ich Dir völlig recht. Ich habe meine Daten aber trotzdem einfach immer bei mir.

Mit der gefühlten Sicherheit und Kontrolle kauft man sich schnell ein Problem ein. Ungeübte User haben hier gezeigt, ein Fehler bei der manuellen Synchronisation und wichtige Passwörter sind weg.

Der manuelle Weg ist einseitig und ersetzt immer die komplette Datei. Das AddOn für Keepass2 synct in beide Richtungen und stellt immer einen Gleichstand zwischen der lokalen und der online KDBX her. Sobald ich Keepass öffne, findet als erstes ein Sync statt, ebenso beim Speichern neuer Passwörter. Nur bei den mobilen Geräten passiert das manuell, da ich Änderungen primär auf einem Rechner mache, gleiche ich mobil nur beim Start einmal die Datenbanken ab.

 

[PC295]

Jetzt gab es da einen Bericht der mich da etwas verunsichert (insbesondere der letzte Satz) und daher wüsste ich gerne eure Meinung dazu.

[...]

Die Passwörter können Cyberkriminelle jedoch aus den Browser-Speichern oftmals einfach auslesen."

Quelle: https://www.heise.de/hintergrund/We...-ein-grosser-Sicherheitszugewinn-7358142.html

Das ist nur eine stumpfe Behauptung. Es gibt weder eine Erklärung oder Praxisbeispiel hierfür.
Mit einem Passwortwortmanager hast du mehr Funktionen nicht mehr Sicherheit.

Letztendlich müssen auch bei der Verwendung von Passwortmanagern die Passwörter durch den Browser auf die Webseite.

Bei allen gängigen Browsern liegen die Passwörter in einer verschlüsselten Datei, wie es auch Passwortmanager machen.
Bei Chrome sind auch die Einstellungen geschützt. Es kann sich dort also keiner einfach so die gespeicherten Passwörter anschauen, wenn du deinen PC unbeaufsichtigt lässt.
Hierfür ist zusätzlich das Windows-Anmeldepasswort erforderlich. Andere Browser bieten ein Masterpasswort an.

Sicherheitslücken können auch bei Passwortmanagern vorkommen.
Bei KeePass, LastPass und Co. gab es schon oft Vorfälle. Von den Browser-Passwortmanagern sind mir keine Berichte bekannt.

Du solltest dich da also nicht verunsichern lassen.
Achte lieber mehr darauf, wo du deine Passwörter eingibst.
Denn die meisten Passwörter gehen immernoch durch Phishing verloren, nicht durch löchrige Passwortmanager

 

[BeBur]

du musst der Verschlüsselung ja Vertrauen

Wenn ihr sagt, dass Tool ist schon 20 Jahre online und jeder kann das einsehen ist das n Argument, würde ich sagen dann ist es vertrauenswürdig. Wenn ihr sagt, dass Tool ist seit nem Jahr online wäre das jetzt für mich eher kein Argument. Vll fallen euch aber auch andere Argumente ein?

Irgendwem musst du immer vertrauen. Es gilt sogar das jeder irgendwem immer vertrauen muss.
Worauf du bei KeePass1, KeePass2 und KeePassXC vertraust ist, dass Offenlegung des Quellecodes von solcher sehr breit genutzter Software und veröffentlichte Code-Audits einen kontinuierlichen Dialog über die Sicherheit dieser Technologien (auch im Vergleich zu Alternativen) bedingt und dass dieser Dialog insofern funktioniert, als das sich KeePass1/2/XC zu recht als eine vertrauenswürdige Lösung etabliert hat.

Es gibt ja genug Menschen, die sich seit Jahrzehnten mit solchen Fragen auseinander setzten (z.B. Bruce Schneier) und ich habe noch nie grundlegende oder wesentliche Bedenken von diesen Menschen bezüglich KeePass1/2/XC vernommen. Das ist eine Technologie, die wird von den Menschen genutzt, die von anderen angerufen werden, wenn sie was über IT wissen wollen. Diese wiederum haben auch ihre Telefonnummern mit Menschen welche diese wiederum anrufen bei einer IT Frage und auch diese Menschen nutzen diese Technologien.

Also soweit du ganz allgemein auf die weltweite Community von "IT Experts" vertrauen willst, dann solltest du KeePass1/2/XC verwenden.

Generell ist aber weiterhin das absolut wichtigste, dass du einen Passwortsafe verwendest (anstatt immer das selbe Passwort zu verwenden).

 

[jmockert89]

Die Wahl des PM ist ja auch nur eine von vielen Fragen wenn es um Passwortsicherheit geht. Weiterhin ist es auch nicht unerheblich, eine hinreichend komplexe Syntax zu verwenden und die Passwörter in regemäßigen Abständen zu wechseln bzw. auf ganz andere Möglichkeiten der Authentifizierung zurückzugreifen.

Wie im Vorpost schon gesagt wird man wohl oder übel nicht alle Randbedingungen eigens abprüfen können und muss ab einem gewissen Punkt, je nach individuellem Vorwissen, diversen Testergebnissen und auch Audits von Software etc. vertrauen. Klar ist auch dass es trotz aller Vorkehrungen keine 100prozentige Sicherheit gibt.

 

[s1ave77]

Weiterhin ist es auch nicht unerheblich, eine hinreichend komplexe Syntax zu verwenden und die Passwörter in regemäßigen Abständen zu wechseln bzw. auf ganz andere Möglichkeiten der Authentifizierung zurückzugreifen.

Eher überall, wo es geht, 2FA nutzen. Dann müssen die Passwörter nicht übertrieben komplex sein und auch nicht ständig geändert werden. Letzteres bringt eh weniger als gedacht, ohne Passwortmanager verleitet es nur, zu einfache zu verwenden oder auf einem PostIt unter die Tastatur zu kleben . Ist nur nach Leaks zu empfehlen.

 

[Teleschirm]

Die Empfehlung, Passwörter in regelmäßigen Abständen zu wechseln ist längst überholt,
wichtig sind sichere und für jeden Dienst ein eigenes.

 

[calippo]

Die Empfehlung, Passwörter in regelmäßigen Abständen zu wechseln ist längst überholt,

Naja, liegt vermutlich daran, dass der DAU dann immer schlechtere Passwörter wählt oder sich ein zu leicht zu durchschauendes System überlegt oder das Passwort auf einem Post-it an den Monitor hängt.

Sichere PW und für jeden Dienst ein eigenes und ab und zu mal wechseln schließt sich ja nicht aus.

Wer z.B. ab und zu auf fremden Rechnern in seine E-Mails schaut (falls das heute noch jemand tut), der könnte mit einem regelmäßigen Wechsel ein bisschen Sicherheit dazu gewinnen.

 

[jmockert89]

Sichere PW und für jeden Dienst ein eigenes und ab und zu mal wechseln schließt sich ja nicht aus.

Eben, das würde ich auch so sehen. Die Ansicht, dass die Empfehlung, Passwörter ab und an mal zu wechseln überholt sein soll, ist mir so noch nicht untergekommen und halte ich für unsinnig. Natürlich sollte auch für jede Anwendung ein anderes Passwort verwendet werden aber das versteht sich heute im Jahre 2022 schon fast von selbst und ist dank der PM einfach umzusetzen.

 

[WhiteHelix]

Und was soll das Kennwort wechseln bringen wenn das generiert mit 20+ Zeichen ist? Wenn der Dienst so schlecht abgesichert ist das das Kennwort in nutzbarer Form abgreifbar ist, dann ist das komplett egal wie oft ich das wechsle. Hauptsache das ist nur da im Einsatz. Gegen Umstände wie Internet Café, China Firewall o.ä. hilft das dann auch nix mehr. Da muss ich dann schon an der richtigen Stelle ansetzen. Das bringt exakt nix außer Pseudo Sicherheit

 

[PC295]

Die Ansicht, dass die Empfehlung, Passwörter ab und an mal zu wechseln überholt sein soll, ist mir so noch nicht untergekommen und halte ich für unsinnig.

Das wurde z.B. aus den Sicherheitsempfehlungen für sichere Passwörter die u.a. das BSI herausgibt entfernt.

Das Problem: Wenn Nutzer häufig dazu gezwungen werden Passwörter zu ändern, verleitet es sie dazu einfache Passwörter zu verwenden, nicht nur aus Bequemlichkeit sondern auch die Gefahr zu verringern, das neue Passwort zu vergessen.

https://www.mittelstand-heute.com/artikel/regelmaessiger-passwortwechsel-kann-schaedlich-sein?