Passwortmanager-Empfehlungen/-Meinungen?

[iGameKudan]

Hi,

ich weiß, dass die Frage vermutlich schon 100.000mal gestellt wurde, aber wie das mit den individuellen Anforderungen so ist...
Aus gewissen Gründen habe ich mit dazu überzeugt, endgültig auf einen Passwort-Manager zu setzen. Bei so vielen Konten wird es langsam schwer, sich halbwegs individuelle Passwörter auszudenken... Und im Überblick zu behalten. Da wird es wohl im Schnitt doh einfacher sein sich ein sehr starkes Masterpasswort auszudenken anstatt jahrealte, teils mehrfach genutzte Passwörter zu nutzen?

Wichtig wäre:

• eine Generator-Funktion
• Synchronisation zwischen diversen Geräten (Windows, iOS)
• auf dem PC muss ein AddOn für Firefox verfügbar sein
• Wiederherstellungsfunktion (Hand aufs Herz... Wär scheiße, wenn ich das MasterPW verschlampe und das unmerkbare Passwörter wären.)

Natürlich habe ich mich mal selbst nach Passwortmanagern und Empfehlungen sachkundig gemacht, jedoch finde ich da mehr Werbung wie wirkliche Pro-Contra-Argumente.

Folgende Kandidaten habe ich nach einer mittelkurzen Suche ins Auge gefasst:

• Bitwarden
• 1Password
• Dashlane

Theoretisch würde der iCloud-Schlüsselbund in Frage kommen, jedoch fällt diese Option mangels Firefox-AddOn raus.

Mich persönlich spricht Bitwarden am meisten an, da OpenSource, für alle Plattformen und Browser verfügbar und weitesgehend kostenfrei. Wobei die Passwort-Manager alle nich die Welt kosten... Den 10er für den Passwortcheck bei Bitwarden würd ich auch hinlegen. Haben 1Password oder Dashlane irgendwelche nennenswerten Vorteile?

Mit freundlichen Grüßen...

 

[TheHille]

KeepassXC auf dem Rechner, Datenbank im Syncthing-Ordner, dafür SyncTrayzor auf Windows.
Auf Iphone Strongbox und Möbius-Sync.

Bei Android kenne ich mich nicht so aus, da dürfte es aber sogar noch einfacher sein.

Vorteil: Alles ist bei dir "gehostet", keiner hat außer dir Zugriff auf die Daten. Einzige Schwachstelle ist in dem Fall, wie du die Datenbank absicherst (Kennwort, Token, Zertifikat). Aber ein langes und komplexes Kennwort sollte als Masterpasswort reichen.

 

[Termy]

Folgende Kandidaten habe ich nach einer mittelkurzen Suche ins Auge gefasst:

• Bitwarden
• 1Password
• Dashlane

Da davon nur Bitwarden nicht proprietär ist wäre die Wahl dafür mich recht eindeutig

Generell empfehle ich Bitwarden für Faule und ggf. KeepassXC, wenn man lieber selbst synchronisiert.

 

[Telechinese]

KeePass und gut isses - verwende ich schon seit vielen Jahren 👍
Aber Vorsicht: Wennst das Master-PW vergißt, ist das gesicherte File, in dem die Passwörter gespeichert sind, für immer verloren.
Das ist der Preis der Sicherheit...

 

[wahli]

Viele Zettel am Monitor

Ich verwende keepass auf dem Smartphone und am PC und synchronisiere das Passswort File.

 

[Telechinese]

...ich hab für "jedes" Passwort "ein" Post-it am Monitor kleben!

 

[frazzlerunning]

Bitwarden funktioniert für mich gut. Kann man mit Vaultwarden auch selbst hosten, falls gewünscht.

Ich habe für die Familie das Familien-Abo geholt, damit kann man auch für geteilte Zugänge (zb. ein Amazon Konto für den Haushalt, Netflix Konto, usw) die Zugangsdaten allen zugänglich machen.

Zur Sicherheit könnte man das Master-PW auch Teilen, dann würde ich es aber Salted eintragen.

 

[Oli_P]

• Wiederherstellungsfunktion (Hand aufs Herz... Wär scheiße, wenn ich das MasterPW verschlampe und das unmerkbare Passwörter wären.)

Das wär nicht scheiße, das wär das gewünschte Verhalten; dass man nicht an die Passwörter kommt ohne Master-Passwort. So einen Passwort-Manager würd ich nicht nutzen wollen, also einen mit eingebauter Hintertür. Wenn du das machen willst, dann empfehle ich dir eher ne blöde Excel-Datei zu erstellen mit all deinen Zugangsdaten. Du sollst ja nicht das Master-Passwort verschlampen. Die Sicherheit eines Master-Passworts ist dann auch nochmal ein eigenes Thema Aber wenn du vom Master-Passwort weg willst, da gibts auch Alternativen. So ein Yubikey z.B. Aber den darfste auf keinen Fall verlieren
Was du z.B. bei KeePass machen kannst, ist die Datenbank mit deinem Windows-Konto zu entsperren. Aber Achtung: Sobald du die Windows-Installation änderst (das schließt Neu-Installation mit ein), kannst du die Datenbank so nicht mehr öffnen. Du musst diese dann unbedingt vor der Änderung entsperren und diese Art des Entsperrens deaktivieren.

 

[Korben2206]

Ich verwende seit Jahren Bitwarden mit selbstgehostetem Vaultwarden-Container. Bin sehr zufrieden und alles ist in meiner Hand.

 

[iGameKudan]

Erstmal danke für Antworten.

@TheHille Selbst hosten wird schwierig, ich nutze kein GoogleDrive/OneDrive/iCloud oder so, sondern nen anderen Anbieter. Wie schaut es da mit der Synchronisation der Passwörter bzw. Key-Datei aus? Windows ist ja kein Ding, aber iOS... (EDIT: Ach, dafür wäre MöbiusSync...)

Das UI von KeepassXC sieht ja schonmal ganz nett aus...

@Oli_P Mit Wiederherstellungsfunktion meinte ich was in der Art "Passwort vergessen". Aber zugegeben, so im zweiten Gedanken wiederspricht das stark dem Sicherheitsgedanken. Vergessen wir diesen Gedanken mal, da muss es halt nen analoges "Backup" für das Master PW/die PWs tun (wiegesagt, Hand auf Herz, wär blöd, wenn ich das MasterPW vergesse und alles weg ist - deshalb hab ich mich auch lange gegen PW-Manager gesträubt).

An den Rest: Erstmal danke für eure mehr oder weniger ernsten Einwürfe. Zettel am Monitor... Joa. 😂 Das analoge Backup würd ich schon etwas besser verstecken.

Scheint so, als scheint die Meinung stark in Richtung Bitwarden (idealerweise selbst gehostet, dazu hab ich aber nicht so unmittelbar die Möglichkeit - Thema fürn anderes Mal...) oder KeePassXC zu gehen.

Ich schaue später mal, wie es mit KeePassXC und der Synchronisation aussieht, aber ich bin ehrlich, derzeit tendiere ich zu Bitwarden.

Grundsätzlich noch an der Stelle die Frage: 2FA-Authentifizierung per App ginge aber cool? Oder gibt es da wieder irgendeine Unlogik bzw. Sicherheitsrisiko das ich nicht aufm Schirm habe?

 

[TheHille]

Sorry, falsch ausgedrückt... Syncthing ist dezentrales syncen von Dateien.

Du legst die Datei auf deinem Rechner in einen von Syncthing gesyncten Ordner ab, danach synct er dezentral, also ohne, dass du einen Server o.Ä. brauchst, die Daten auf dein Handy. Wenn aber z.B. dein Rechner aus ist, wird nichts mehr gesynct. "SyncTrayzor" heißt das Tray-Programm.

So wie du schon sagtest, ich würde auch diese Datei nicht in eine öffentliche Cloud stecken. Deswegen auch der Umweg über Syncthing. Es ginge auch eine eigene Cloud, im Stile von Nextcloud, etc. Aber dass ist dann nicht mehr so ohne Weiteres ohne Fachkenntnis erreichbar.

"Meine" Lösung legt den Focus auf Sicherheit vor Bequemlichkeit. Ob das für dich passt, musst du einmal testen. Kostet dich nur Zeit (und ggf. Nerven).

 

[Oli_P]

@TE: Ja, so wie bei Webseiten... vergisste dein Passwort, schickste ne Anfrage für ein neues Passwort und die schicken dir dann nen Link per Email mit weiteren Instruktionen. So sollte das aber nicht bei PW-Managern funktionieren. Es gibt ja Techniken, ein Passwort zu erstellen, welches man sich auch gut merken kann. Kannst es natürlich auch auf ein Blatt Papier schreiben und in einen Safe stecken. Aber den Safe musste ja auch immer öffnen können bei Bedarf (Mist, wie war noch mal der Code? ). Du sollst schlicht dein Master-Passwort nicht vergessen, das ist der Preis. Und ich hatte dir ja auch geschrieben, dass es auch ohne Master-Passwort gehen kann.

 

[DerKoernel]

Jepp, ganz klar VaultWarden (also die kostenlose Enterprise Version von Bitwarden mit der Nutzung von deren App) mit 2FA oder Gesichtserkennung. Alles bleibt bei dir zu Hause und kostet nur deinen Strom.

 

[frazzlerunning]

2FA-Authentifizierung per App

Wenn du meinst, dass du die 2FA in Bitwarden speichern willst, damit alles an einem Ort ist: Ja Bitwarten kann TOTP. Und nutze ich auch so, dass mein Amazon Passwort und TOTP in Bitwarden hinterlegt sind. Macht halt den 2ten Faktor etwas weniger sicher, da Passwort und Code in der App sind. Damit kommt man mit einem Master-Passwort an alle Zugangsdaten.

Hier siegt bei mir eindeutig die Bequemlichkeit. Hätte ich einen Keylogger am PC, könnte der dann zwar mein Passwort Abgreifen, aber mit dem 6 stelligen Code fängt er schon wieder wenig an, da das ja nur eine kurze Zeit gilt.

Und das Master-Passwort greift auch der Keylogger nicht ab, da ich mich bei Bitwarden am PC mit dem PIN anmelde, statt mit dem Master-Passwort. Und die PIN gilt nur auf diesem PC.

 

[Oli_P]

Also wegen 2FA... du musst dich ja auch erstmal irgendwo anmelden (mit deinem Passwort, welches du nicht vergessen darfst) und dann bimmelt dein Handy. Z.B. Google Authenticator. Amazon z.B. schickt mir ne SMS mit nem Zahlencode, den ich eintippen muss auf der Amazon-Seite. Bei Steam meldet sich plötzlich die Steam-App auf dem Handy, wenn ich mich auf dem Rechner ausgeloggt und wieder eingeloggt habe... Sonst wärs ja kein 2FA.

 

[TheHille]

Theoretisch sollte man den 2. Faktor in einer gesonderten Datenbank aufbewahren. Aber da bin ich auch bequem und lass das sein.

 

[Mickey Mouse]

ich nutze nur noch die Keepass Derivate!

Vorteile aus meiner Sicht:
- es gibt wirklich für jede(?) Plattform Apps in verschiedenen Versionen (KeepassXC für Mac und Linux, das "alte" für Windows (wenn man da kein XC will), Keepassium für das iPad, Keepass2Android usw. usf.) und alle Browser PlugIns. Alle nutzen das gleiche Datenbankformat und man kann sich die "Oberfläche" auswählen

- man kann selbst entscheiden, wie viel Aufwand man bei der Sicherheit treiben möchte. Mit/ohne zusätzlichen Zertifikat, eigenes Share per VPN oder auch in der Cloud. Ich persönlich halte es für mich(!) für akzeptabel, meine Datenbank auf dem OneDrive abzulegen (Passphrase ist ellenlang, ich kann ja biometrisch entsperren). Wem das zu heikel ist, der löst es halt anders.

- (T)OTP wird gleich mit erledigt, auch wenn das 2FA/MFA etwas ad absurdum führt, aber s.o. jeder kann selbst entscheiden ob/wie er es macht

inzwischen halte ich wirklich alles darin und nicht nur Passwörter: Seriennummern (von der DSLR bis zum Fahrrad), Vertragsdaten usw. usf. und freue mich immer wieder darüber, wenn ich solche Dinge immer zur Hand habe.

das meiste gilt vermutlich auch für Bitwarden, aber ich habe mich damals für Keepass entschieden. Ich hatte vorher wegen Mac/iPhone 1Password und wegen des Abo-Zwanges habe ich mich dazu gezwungen gefühlt, etwas anderes zu suchen und mir geschworen, dass ich mich nicht wieder von einer Firma abhängig mache, definitiv NEIN!

 

[Legolas]

Auch hier KeePassXC + Syncthing. M.E. eine der besseren Lösungen

 

[Dante2000]

Eindeutig Bitwarden. Sowohl kostenlos selbst hostbar als auch kostenlos "online" verwendbar dazu noch Open Source. Zudem für alle Endgeräte mit "nativen" Clients oder per Web oder Addon verwendbar. In meinen Augen gibt es keinen besseren Passwortmanager.

 

[iGameKudan]

@TheHille Mir dann in mehr oder weniger ferner Zukunft mal die Fachkenntnis anzueignen um ne Nextcloud-Instanz anzumieten und dann mit KeepassXC und Syncthing ne eigene Lösung auf die Beine zu stellen ist ja nicht ausgeschlossen.

Erstmal geht es darum, den Schritt auf einen Passwort-Manager zu machen. Also wäre ein Mittelweg aus mehr Sicherheit und Bequemlichkeit zu finden.

@Oli_P In nen Safe käme das MasterPW nicht, so besonders bin ich definitiv nicht. 😂 Aber die ein oder andere kreative Idee fürn Versteck hab ich schon, keine Sorge.

Mir EIN wirklich sicheres Passwort ausdenken und merken wird definitiv nicht das Problem werden. Bisher bestand das Problem ja darin, sich viele, sichere und individuelle Passwörter auszudenken... Und sich dran zu erinnern, wo man welches genutzt hat.

Und wegen 2FA: Keine Sorge, ich weiß wie 2FA funktioniert und genutzt wird. Die Frage ging da aber eher um die Absicherung des Bitwarden-Accounts durch 2FA per Authenticator-App, ob das sicher ist.

Wobei die Frage hinfällig ist. Ich war der Meinung, dass bei den YouTube-Hacks vor geraumer Zeit 2FA ein Angriffspunkt war, aber das waren ja geklaute Cookies... 2FA ist halt erst dann ne trügerische Sicherheit, wenn die Geräte verseucht sind. Und da hab ich dann ganz andere Probleme...

Die 2FA-Codes sind in ner separaten App hinterlegt.

@DerKoernel VaultWarden (=selbst gehostetes Bitwarden) ist definitiv aufm Schirm, aber als "Schritt drei" (nach ner KeepassXC-Synchting-Lösung), das wäre ja doch etwas mehr Aufwand (Fachkenntnisse und Möglichkeiten zum selbst hosten aneignen...).

@frazzlerunning Ich finde deine Erklärung tatsächlich ganz einleuchtend, weshalb das speichern der TOTP-Codes direkt im PW-Manager nicht direkt ein Weltuntergang ist. Allerdings bleibt halt das kurze Zeitfenster, in den der Code gültig ist, problematisch. Mal schauen... Wiegesagt, die sind eh in ner separaten App gespeichert.

Erstmal danke für eure Einwürfe, aber wie oben erwähnt, geht es erstmal darum den Umstieg auf einen halbwegs empfehlenswerten PW-Manager zu machen und dabei den Grat aus Sicherheitsgewinn und Bequemlichkeit zu finden.

Scheint mir so, als wäre da Bitwarden für den Einstieg wohl die beste Lösung. OpenSource, alle Features und mit schlimmstenfalls <1€/Monat sehr günstig. Keepass(XC)-Lösungen wären dann wohl Schritt zwei...