Passwort Manager Sinn oder Unsinn?

[Oli_P]

Vielleicht hier mal eine Frage an alle.

Bieten Passwort Manager mehr Sicherheit als eigene Passwörter welche man zuhause auf einem Blatt Papier notiert? Also ich meine gute Passwörter und nicht 1234 oder so.

Kommt immer drauf an, wie sicher du das Blatt Papier lagerst. Je nachdem wie wichtig die Logins sind, am besten in den Safe damit Du musst natürlich auch hier ein "Backup" haben, welches selbstverständlich sicher gelagert ist. Einen PW-Manager zu nutzen ist aber auch ganz klar eine Komfort-Sache. Ich hätte keine Lust, andauernd Passwörter von einem Blatt Papier abzulesen und einzutippen. Müsste ich machen, da ich nie eigeloggt bleibe auf Webseiten, wenn ich den Browser schließe. Sprich, die Cookies werden gelöscht beim schließen des Browsers. Da bietet sich definitiv ein Passwort-Manager mit Autofill/Autotype-Funktion an. Wenn du einen PW-Manager nutzt ist dieser auch nur so sicher, wie du diesen handhabst. "1234" u.ä. sind auch keine Passwörter. Bei vielen Diensten wird sowas doch gar nicht akzeptiert als Passwort. Ist auch gut so

 

[WhiteHelix]

Also ich meine gute Passwörter und nicht 1234 oder so

Ich bin da auch n bisschen der Meinung dass du solche Kennwörter in der Komplexität wie du die mit einem PW Manager bekommst, vermutlich nicht so konsequent umsetzen kannst wenn du den Kram auf Papier machst. Noch eher fast wenn’s dann um Anmeldungen geht, jedes mal 30-40 Zeichen, inkl. Sonderzeichen abtippen, das zieht doch niemand langfristig ernsthaft durch.

 

[BeBur]

Noch eher fast wenn’s dann um Anmeldungen geht, jedes mal 30-40 Zeichen, inkl. Sonderzeichen abtippen, das zieht doch niemand langfristig ernsthaft durch.

Ist aber auch die Frage, wie wichtig das ist. Für so ziemlich jeden Online-Login ist die Passwortstärke halbwegs irrelevant, solange das Passwort nicht gut zu erraten ist.

 

[Woking]

Danke für die Antworten

Ja. Also ein Punkt welchen ich überlege.
Was ist wahrscheinlicher? Das jemand deine Passwörter aus der eigenen Wohnung klaut oder ein Cyberangriff auf den Passwort Manager?

Und was passiert wenn ich zum Beispiel mein Handy verliere auf dem sich der Passwort Manager befindet?

 

[Incanus]

Dein Smartphone sollte ja verschlüsselt und mit Biometrie gesichert sein. Und nicht jeder Passwort Manager wird über eine öffentliche Cloud synchronisiert, das kann man auch lokal, bzw die eigene machen.

Aber wie ich schon oben sagte, es gibt keine absolute Sicherheit, jede Maßnahme hat ihre eigenen Schwachpunkte. Das kann man nur für sich selber abwägen und versuchen zu minimieren.

 

[BeBur]

Ja. Also ein Punkt welchen ich überlege.
Was ist wahrscheinlicher? Das jemand deine Passwörter aus der eigenen Wohnung klaut oder ein Cyberangriff auf den Passwort Manager?

Ein Verlust durch Unfall oder Fahrlässigkeit ist vermutlich 100mal so wahrscheinlich wie ein Diebstahl durch Einbruch oder Umgehung technischer Maßnahmen. Im übrigen gehe ich schwer davon aus, dass die gesammelten Login-Daten einer üblichen Einzelperson kaum einen monetären Wert haben, vielleicht 100 Euro, vielleicht weniger. Damit kann man im Regelfall eher wenig anfangen das sich leicht zu Geld machen lässt und dazu einen Gewinn erwirtschaftet. Arbeitszeit ist schließlich kostbar, das gilt auch für organisierte Kriminelle.

Weit wichtiger sind verhaltensbasierte Ansätze. Lernen, Phishing und Scams zu erkennen. Das Passwortbuch nicht offen herumliegen haben. Im Internet nicht damit prahlen, wie viel Millionen Euro man in Form von Kryptowährung auf dem Yubikey zuhause im Safe im Keller hinter der grünen Tür gelagert hat. Und so die Grundlagen: Immer alle Updates aufspielen, keine veraltete Software (z.B. Windows 8.1) verwenden. Keine Programme aus fragwürdigen Quellen ausführen.

Privatpersonen werden nicht gehackt, weil sie die falsche Technologie einsetzen, sondern weil sie fleißig mitgeholfen haben und dagegen hilft keine Technologie.

 

[schwimmcoder]

Vielleicht hier mal eine Frage an alle.

Bieten Passwort Manager mehr Sicherheit als eigene Passwörter welche man zuhause auf einem Blatt Papier notiert? Also ich meine gute Passwörter und nicht 1234 oder so.

Kommt halt drauf an, wie deine Art ist zu leben, verlierst du schnell Zettel, ist ein Blatt Papier die schlechtere Lösung. Für ein Argument pro PW Manager zitiere ich mich mal selbst

PW Manager haben neben den bereits erwähnten Vorteilen auch den Vorteil, das Fishing weniger klappt, da die Passwort Manager nur der hinterlegen Website die Daten automatisch ausfüllen, bei Fishing Mails wird die orginale Domain ja nachgeahm, aber groß I durch klein L ersetzt, das es dem Nutzer kaum auffällt, PW Manager füllen dann aber nicht das Feld aus und man sollte stuzig werden.

Wobei ich gerade merke, das Beipsiel mit großes I und klein L ist blöd, n oder m ist glaub ich passender. amazon.de oder anazon.de fällt glaiube ich nicht im ersten Moment auf, Autofill klappt da aber nicht.

Passwörter auf Papier neigen dazu, schwächer zu sein, muss man ja immer wieder abtippen, Komportgewinn durch Autofill.

Dafür halt dann oft halt an die Sicherheit des Anbieters gebunden, bei PW Managern, die über die Cloud sich syncen, ist die Frage, wie sicher ist die Cloud, über die die Daten laufen.

 

[Azdak]

Was ist wahrscheinlicher? Das jemand deine Passwörter aus der eigenen Wohnung klaut oder ein Cyberangriff auf den Passwort Manager?

Passwörter auf Papier neigen dazu, schwächer zu sein, muss man ja immer wieder abtippen, Komportgewinn durch Autofill.

This☝️

Papier bedeutet leider oft

• zu kurze Passwörter
• keine zufälligen Passwörter
• Passwortwiederverwendung

 

[GutGilliganHyde]

kennst du den Code?

ja...

 

[Woking]

This☝️

Papier bedeutet leider oft

• zu kurze Passwörter
• keine zufälligen Passwörter
• Passwortwiederverwendung

Dafür kann der Passwort Manager gehackt werden. Mich würde nicht überraschen wenn genau solche Dienste immer mehr ins Visier von Hackern geraten.

Die Passwörter auf dem Papier sind dafür im Schnitt nicht so komplex, dafür kennt man die erstmal nur selbst.

 

[BeBur]

Das größte Problem an KeePass sind die kleineren inoffiziellen Ableger für Smartphones. Die hatten schon schwere Sicherheitslücken und Fehler, sind üblicherweise nicht auditiert und die Projekte sind zu klein, als das Scharen von Sicherheitsforschern da drüber schauen.

Ich würde womöglich so weit gehen zu sagen, wenn man seinen Safe auf dem Smartphone benötigt, dann ist man mit einer alternativen Lösung besser bedient.

 

[Oli_P]

Dafür kann der Passwort Manager gehackt werden. Mich würde nicht überraschen wenn genau solche Dienste immer mehr ins Visier von Hackern geraten.

Dann nutzt man eben keine "Dienste", sprich Cloud-Lösungen, sondern man nutzt Offline-Lösungen. Mit ein bißchen Motivation und auch Disziplin geht das sehr gut. Wenn man offline arbeitet, dann weiss man immer wo seine Daten sind

 

[WhiteHelix]

Das ist mit ein Grund warum ich zu Bitwarden gewechselt bin. Die Entschlüsselung findet lokal statt und das ganze ist OpenSource. Nein ich kann den Code nicht prüfen, aber gerade bei der Beliebtheit haben da doch ein paar Leute ein Auge drauf. Daneben gibt es noch als Fork Vaultwarden und du kannst das ganze bei dir lokal hosten.

 

[Oli_P]

Wenns um Open Source geht werden eigentlich immer hier Bitwarden und Keepass samt ihrer Forks genannt. Gibts eigentlich noch andere erwähnenswerte im Open Source-Bereich? Alle anderen die mir einfallen sind Closed Source.

 

[andy_m4]

Gibts eigentlich noch andere erwähnenswerte im Open Source-Bereich?

Wo Du Keepass genannt hast, wäre noch KeeWeb erwähnenswert.
Ansonsten fällt mir noch Password Safe ein oder wenns eher pure-commandline sein soll: pass

 

[brianmolko]

Er hat Keypass doch gar nicht erwähnt.

 

[andy_m4]

Ähm ja danke. Tippfehler meinerseits.
KeePass meinte ich natürlich

 

[Oli_P]

KeeWeb scheint ja auch "nur" ein KeePass-Fork zu sein. Zumindest können KeePass-Datenbanken genutzt werden. Password Safe und pass scheinen eigenständig zu sein. Hab aber nie von den genannten Programmen gehört vorher. Interessant, dass es noch Alternativen gibt. Aber pass wär jetzt auch mir zu puristisch Ich mag schon zumindest den "alten" Windows-Look Password Safe erinnert vom Look her an KeePass.

 

[BeBur]

Ich will nur kurz einwerfen, dass sich dabei nicht um Forks handelt. Das sind Eigenentwicklungen und das ist eher negativ zu bewerten, da der Code in aller Regel kein Audit hatte und generell weniger bzw. niemand über den Code drüber schaut, da die Projekte deutlich kleiner sind.

 

[zeXez]

Ich nutze immer noch RoboForum 2 Go. Egal wo ich bin Stick rein Fingerprint und ich komme an meine Passwörter. In meiner RoboForm free Version habe ich 500 Passwörter frei und 50 wichtige belegt. Werde ich auch nicht ändern seit 2004 nix abhanden gekommen. Warum moderne aufgezwungene Features wenn es auch einfacher geht.