Passwortmanager unterschiede, was können sie speichern etc.

[senoyches]

Hallo zusammen,

ich persönlich bin ja nicht unbedingt ein Befürworter von Passwortmanagern, was ich jetzt hier nicht näher Begründen will, da das etwas am Thema vorbei schießt.

Was mich aber mal interessieren würde, nach welchem Prinzip arbeiten die Passwort“manager“?

Es gibt ja die etwas einfacheren Varianten wie z.B. Samsung Pass oder der Apple Schlüsselbund, oder in jedem Browser ist einer integriert, diese erkenne auf den meisten Webseiten oder Apps, dass nach einem Login gefragt wird und bieten mir per Authenfikationsmethode an, auf meine Passwörter zuzugreifen, oder diese abzuspeichern.

Beide haben jedoch ihre schwächen, so ist es beiden z.B. nicht möglich das FritzBox Login Feld auszufüllen? Daher die frage können sich Webseiten irgendwie gegen die Abfrage von Passwortmanagern sperren?
Außerdem z.B. die Benutzeroberfläche von meinen Siemens TRA Controllern die ich tagtäglich im Web aufrufe unter der IP Adresse, Samsung Pass erkennt bei dem erscheinenden Login Feld kein Passwort, auch der Opera Browser, den ich auf dem Laptop nutze, erkennt nichts.
Lediglich der Apple Schlüsselbund reagiert und speichert unter den IP ein Passwort, was eine enorme Zeitersparnis bedeutet, warum aber reagieren die einen und die anderen nicht und warum lassen sich bei diesen Varianten keine Passwörter manuell hinzufügen, die man selbst definieren kann?

Und was unterscheidet sie von den großen Passwortmanagern, wie LastPass, 1Pass und wie sie alle heißen? Sowohl evtl. in der Erkennung als in der Konfigurierbarkeit. Wie werden die Passwörter gespeichert, ich lese immer wieder was von Hashwerten, was bedeutet das für mich als Benutzer? Denn ich lese ja nur den Klartext, den ich mir ggf. anzeigen lasse, wenn ich ggf. überprüfen will, ob das Passwort noch das ist, was auf der Webseite eingestellt ist.

Ich bedanke mich schonmal für Eure Erklärungen.

Gruß
Senoyches

 

[ryan_blackdrago]

Unterschiede und Vergleich

Ohne Selbsttest / Eigeninitiative / Eigenrecherche wird es nicht gehen. Alleine die Handhandhabung einer Anwendung muss einem nicht zusagen...

@ gaym0r
schon. Es scheitert an Eigeninitiative, Recherche und Forensuche.

 

[gaym0r]

@ryan_blackdrago
Wow, hast du dir seinen Post überhaupt durchgelesen?

 

[benneq]

Was mich aber mal interessieren würde, nach welchem Prinzip arbeiten die Passwort“manager“?

Grundsätzlich ist so ein Passwortmanager erst einmal einfach nur eine verschlüsselte Datenbank.
Schau dir einfach mal Keepass an. Das Tool kann erst mal "nichts" - außer halt eine verschlüsselte Datenbank verwalten.

Dazu kommen dann - je nach verwendetem Passwortmanager - noch Tools mit Integration in Browser oder Apps etc. Die "großen" bringen sowas halt gleich mit.

Ob und wie gut Formulare erkannt und ausgefüllt werden hängt dann maßgeblich von der "Intelligenz" dieser Tools ab. Manche füllen nur Formulare aus wo die Felder z.B. explizit "username" und "password" heißen. Andere akzeptieren jedes Formular und können auch Bankdaten und Adressen eintragen.

Dann gibt's welche, die Formulare nicht ausfüllen, wenn die Seiten kein SSL benutzen. Weil das nicht gut für die Sicherheit der Login Daten wäre.

Die Bezahllösungen bieten oft auch noch einen Cloudspeicher an, sodass du deine verschlüsselte Datenbank über's Internetz einfach synchronisieren kannst. Mit z.B. Keepass wäre da Handarbeit angesagt, indem man die Datenbank Datei in einer Dropbox, Nextcloud oder sonstwo ablegt.

Ansonsten liefert Google - wie üblich - haufenweise Antworten dazu: https://www.google.com/search?q=passwort+manager+vergleich

Wie werden die Passwörter gespeichert, ich lese immer wieder was von Hashwerten, was bedeutet das für mich als Benutzer?

Keine Ahnung was es mit den Hashwerten auf sich hat. Die Passwörter liegen innerhalb der verschlüsselten Datenbank natürlich im Klartext vor. Sonst könnte man sie ja nicht in Formulare eintragen lassen.

 

[Hauro]

z.B. nicht möglich das FritzBox Login Feld auszufüllen?

Funktioniert bei Firefox.

Daher die frage können sich Webseiten irgendwie gegen die Abfrage von Passwortmanagern sperren?

Eine einfache Möglichkeit ist das HTML autocomplete Attribute, es gibt noch andere, wie versteckte Felder, über JavaScript das Eingabefeld zu sperren, usw.

How to turn off form autocompletion
To disable autocompletion in forms, you can set the autocomplete attribute to "off":

autocomplete="off"

You can do this either for an entire form, or for specific input elements in a form:

<form method="post" action="/form" autocomplete="off">
[…]
</form>

<form method="post" action="/form">
  […]
  <div>
    <label for="cc">Credit card:</label>
    <input type="text" id="cc" name="cc" autocomplete="off">
  </div>
</form>

Wie werden die Passwörter gespeichert, ich lese immer wieder was von Hashwerten, was bedeutet das für mich als Benutzer?

Siehe z.B. die Beschreibung bei KeePass Security

KeePass database files are encrypted. KeePass encrypts the whole database, i.e. not only your passwords, but also your user names, URLs, notes, etc.

SHA-256 is used for compressing the components of the composite master key (consisting of a password, a key file, a Windows user account key and/or a key provided by a plugin) to a 256-bit key K.

SHA-256 is a cryptographic hash function that is considered to be very secure. It has been standardized in NIST FIPS 180-4. The attack against SHA-1 discovered in 2005 does not affect the security of SHA-256.

In order to generate the key for the encryption algorithm, K is transformed using a key derivation function (with a random salt). This prevents precomputation of keys and makes dictionary and guessing attacks harder. For details, see the section 'Protection against Dictionary Attacks'.

Kurz: Hier geht um den Secure Hash Algorithm im Zusammenhang mit der Verschlüsselung.

Hashwerte und Hashfunktionen einfach erklärt | Datenschutzbeauftragter Info

 

[TheCadillacMan]

Wie werden die Passwörter gespeichert, ich lese immer wieder was von Hashwerten, was bedeutet das für mich als Benutzer?

Passwort-Hashing ist für Passwort-Manager nicht relevant, da man damit nur die Korrektheit eines Passworts verifizieren kann, jedoch nicht an den Klartext kommt.
Die Technik wird von den meisten Webseiten eingesetzt um die Passworte der Nutzer nicht im Klartext in der Datenbank zu haben, falls diese mal entwendet werden sollte.

Passwort-Manager legen die Passworte verschlüsselt ab und können dementsprechend den Klartext zur Anzeige und Eingabe wiederherstellen.
Der Schlüssel ist dabei meist direkt aus deinem Passwort für den Passwort-Manager abgeleitet.

 

[Yuuri]

Beide haben jedoch ihre schwächen, so ist es beiden z.B. nicht möglich das FritzBox Login Feld auszufüllen? Daher die frage können sich Webseiten irgendwie gegen die Abfrage von Passwortmanagern sperren?

"Ja", allerdings kann das jeder ordentliche Passwortmanager umgehen. Es wird ggf. nur nicht automatisch gemacht und wenn kannst du es immer noch manuell ausfüllen.

warum aber reagieren die einen und die anderen nicht und warum lassen sich bei diesen Varianten keine Passwörter manuell hinzufügen, die man selbst definieren kann?

Weil das prinzipiell keine "Passwortmanager" sind, sondern einfach simple Speichern und Löschen "Manager". Managen kann man da eigentlich überhaupt nichts.

Und was unterscheidet sie von den großen Passwortmanagern, wie LastPass, 1Pass und wie sie alle heißen?

Probier nur einen "Großen" aus, dann siehst du eklatante Unterschiede bspw. zum FF.

Wie werden die Passwörter gespeichert, ich lese immer wieder was von Hashwerten, was bedeutet das für mich als Benutzer?

Aus deinem Master-PW wird ein Hash gebildet (argon, bcrypt, PBKDF#2, ...) mit entsprechend hoher Rechenlast und dieser Hash (PBKDF = Password-Based Key Derivation Function) wird als Eingabe für die Verschlüsselung im Passwortmanager verwendet.

 

[senoyches]

Grundsätzlich ist so ein Passwortmanager erst einmal einfach nur eine verschlüsselte Datenbank.

Gut das hatte ich soweit schon verstanden, was auch der Kritikpunkt für mich ist, denn keine Datenbank die ich kenne wurde bisher nicht irgendwann kompromittiert oder zumindest versucht, also alles nur eine Frage der Zeit und dann hat jemand ALLES von mir, also quasi mein komplettes Leben. Denn was ist heutzutage nicht irgendwo online abgelegt / synchronisiert.

Ob und wie gut Formulare erkannt und ausgefüllt werden hängt dann maßgeblich von der "Intelligenz" dieser Tools ab. Manche füllen nur Formulare aus wo die Felder z.B. explizit "username" und "password" heißen. Andere akzeptieren jedes Formular und können auch Bankdaten und Adressen eintragen.

Dann gibt's welche, die Formulare nicht ausfüllen, wenn die Seiten kein SSL benutzen. Weil das nicht gut für die Sicherheit der Login Daten wäre.

Das ist dann vermutlich auch der Grund warum die Controller Weboberfläche von Samsung Pass und Opera nicht gespeichert werden, denn die sind alle http, es kommt ja auch jedes mal beim Aufruf der „Webseite“ eine Warnung, dass die Seite nicht sicher wäre, was man in dem Falle halt ignorieren kann, da die Übertragung ja local innerhalb des Netzwerks ist.

Die Bezahllösungen bieten oft auch noch einen Cloudspeicher an, sodass du deine verschlüsselte Datenbank über's Internetz einfach synchronisieren kannst. Mit z.B. Keepass wäre da Handarbeit angesagt, indem man die Datenbank Datei in einer Dropbox, Nextcloud oder sonstwo ablegt.

Gut Cloud ist nun wirklich nicht meine Welt, trotz toller Verschlüsselung, ich vertraue diesen Diensten schlicht und ergreifend nicht genug, da können Sie sich noch so sehr bemühen.

Da wäre mir eine Verbindung die die Passwörter manuell austauscht, sobald sich die Geräte in (meinem) sicheren Netzwerk befinden lieber, auf welche Weise das auch immer geschehen mag,

Ansonsten liefert Google - wie üblich - haufenweise Antworten dazu: https://www.google.com/search?q=passwort+manager+vergleich

Ja da hab ich schonmal reingelesen aber nach sehr kurzer Zeit wird man zugeflutet mit Infos. Und am Ende ist es alles eine Glaubensfrage unter anderem gerade was die Cloud Sachen angeht. Ich bin da absolut kein Freund von, andere schwören drauf.

Ergänzung (17. Februar 2020)

Weil das prinzipiell keine "Passwortmanager" sind, sondern einfach simple Speichern und Löschen "Manager". Managen kann man da eigentlich überhaupt nichts.

Das hatte ich mir schon gedacht, daher hatte ich es extra in „“ geschrieben, da erstens kostenlos und 2. direkt von System mitgebracht.

Aus deinem Master-PW wird ein Hash gebildet (argon, bcrypt, PBKDF#2, ...) mit entsprechend hoher Rechenlast und dieser Hash (PBKDF = Password-Based Key Derivation Function) wird als Eingabe für die Verschlüsselung im Passwortmanager verwendet.

Okay, dass muss ich mir mal in aller Ruhe durchlesen, genau auf solche kryptischen Botschaften bin ich immer wieder gestoßen und stand dann wie der Ochse vorm Berg, ich bin zwar mit der IT recht vertraut, aber gerade das Thema Verschlüsselung in solchem Bereich hat mich bisher nicht so tangiert, da ich sensible Daten einfach per Abschottung aus dem Internet ferngehalten habe (Geräten/SW) verbieten das Internet zu nutzen.

Ergänzung (17. Februar 2020)

Passwort-Hashing ist für Passwort-Manager nicht relevant, da man damit nur die Korrektheit eines Passworts verifizieren kann, jedoch nicht an den Klartext kommt.
Die Technik wird von den meisten Webseiten eingesetzt um die Passworte der Nutzer nicht im Klartext in der Datenbank zu haben, falls diese mal entwendet werden sollte.

Das Hashing erfolgt ja hoffentlich pro Webseite nach eigenen „Rechenkünsten“?

..... ansonsten jetzt mal blöd fantasiert, irgend eine Gruppe macht es sich zum Ziel alle möglichen Passwörter dieser Welt abzutippen in einen Hashwert nach der „allg“ gültigen Methode umzurechen (die es hoffentlich nicht gibt, aber sicher immer wieder eine sehr ähnliche oder an mehreren Stellen eben die gleiche). dann entsteht aus jeden Passwort der Hash und dieser lautet ja für 123456, bei ein und der gleichen Hastwertbildung immer gleich somit hätte man dann irgendwann Jahre später eine Übersetzungsliste für alle Passwörter, somit wären die Passwörter doch indirekt auch im Klartext nur noch mit einem zusätzlichen Zwischenschritt?

Passwort-Manager legen die Passworte verschlüsselt ab und können dementsprechend den Klartext zur Anzeige und Eingabe wiederherstellen.
Der Schlüssel ist dabei meist direkt aus deinem Passwort für den Passwort-Manager abgeleitet.

okay vielen dank für den Unterschied, bedeutet aber für mich bei einem Passwortmanager müsste das Masterpasswort auch entsprechend lang und sicher sein, da ich mir das wahrscheinlich nicht merken können sollte, damit es sicher ist. Bedeutet aber, ich brauche dafür schon fast wieder einen neuen Passwortmanager, der sich nur das eine Passwort speichert ...... hmmmm

 

[Yuuri]

Gut das hatte ich soweit schon verstanden, was auch der Kritikpunkt für mich ist, denn keine Datenbank die ich kenne wurde bisher nicht irgendwann kompromittiert oder zumindest versucht

Alles kann kompromittiert werden. Und wenn jemand in zehn Jahren deine Daten von heute hat... Was ist davon noch relevant? Passwörter sind mittlerweile geändert, Daten stimmen großteils nicht mehr. Schön, dann weiß er, dass vor zehn Jahren dein Passwort 0943ujtzhg war. Und nun? Damit kann er heute nichts anfangen.

also alles nur eine Frage der Zeit und dann hat jemand ALLES von mir, also quasi mein komplettes Leben.

Kommt drauf an was du darin speicherst.

Denn was ist heutzutage nicht irgendwo online abgelegt / synchronisiert.

Keypass liegt nur lokal vor, Bitwarden kann selbst gehostet werden. Du musst nicht Lastpass, 1Password und Co. verwenden.

da ich sensible Daten einfach per Abschottung aus dem Internet ferngehalten habe (Geräten/SW) verbieten das Internet zu nutzen.

Was ist deine Alternative? Das Gedächtnis? Zettel unter der Tastatur? Passwortgeschützte Excel-Tabelle? Textdatei in passwortgeschützter Zip? Also Passwortmanager in mangelhaft sozusagen...

Schlimmster Fall: Was wenn du ab morgen im Koma liegst oder gar ein Todesfall eintritt und deine Eltern/Mann/Frau/Kinder Zugriff auf deine Hinterlassenschaften benötigen? Jeder ordentliche Passwortmanager hat auch das geregelt - Lastpass bspw. hat einen Emergency Access. Wenn ein Familienmitglied Zugriff auf deinen Tresor haben will, gibt er seinen Zugang ein und wenn du diese Abfrage nach selbst definierter Zeitspanne x nicht unterbindest, bekommt er Zugriff darauf. https://helpdesk.lastpass.com/de/emergency-access/

Ich hab aktuell 664 Einträge in meinem Tresor. Das kann ich mir nicht merken oder wirklich sicher notieren.

Das Hashing erfolgt ja hoffentlich pro Webseite nach eigenen „Rechenkünsten“?

Deinen Gedankengang nennt man Rainbow Table. Wer den Grad an Sicherheit heutzutage noch anwendet, hat aber keine Ahnung.

Ein Hash wird immer mit einem Salt verknüpft. Ganz banal: Dein Passwort abc ist in MD5 900150983cd24fb0d6963f7d28e17f72. Hinzu kommt ein Salt, irgend ein zufällig, hoffentlich kryptografisch sicher, erzeugter Wert - bspw. XhwP22mU. Dein eigentlicher Hash in der DB ist somit nicht mehr hash( 'abc' ), sondern hash( hash( 'abc' ) + 'XhwP22mU' ) - ergo cf25e916bdf5fb2ecc292840da34729c. Du musst nun also eine Rainbow-Table über dein Passwort und eine Rainbow-Table für die Kombination erzeugen. Das dauert jeweils ein paar Jahrezehnte.

MD5 ist aber gänzlich unbrauchbar dafür. Beispiele wie Argon2, BCrypt oder PBKDF2 hab ich genannt. MD5, SHA und Co. sind für Geschwindigkeit optimiert - heißt schnellstens eine Prüfsumme einer Datei zu erstellen - und teilweise sogar bereits gebrochen. Genannte Vertreter aber machen sich zur Aufgabe, die Erzeugung des Hashes möglichst lange und "ineffizient" hinauszuzögern. U.a. ist Argon2 resistent gegen massive Parallelisierung mit GPUs oder ASICS, da einfach Parameter bei der Erzeugung gewählt werden können, die jegliche Grenzen dieser Chips (Speicher, Threads, Zeit) sprengen würden. Mit "richtigen" Parameter kann so eine Hashberechnung also auch gern zehn Sekunden dauern. Experimentieren kannst du hier. Was das mit einer Rainbow-Table macht, kannst du dir entsprechend selbst hochrechnen. Wenn du dein Passwort weißt, dauert ein Login also zehn Sekunden. Wenn du raten musst, bist du durch sinnloses Bruteforcen auch gern bei nem Monat. Was das für Rainbow-Tables bedeutet...

Bedeutet aber, ich brauche dafür schon fast wieder einen neuen Passwortmanager, der sich nur das eine Passwort speichert ......

Nein. Genau das Masterpasswort behälst du dir nur im Kopf und nirgendwo anders. Nicht auf einem Zettel, nicht im Tresor, nirgendwo.

 

[calippo]

Gut das hatte ich soweit schon verstanden, was auch der Kritikpunkt für mich ist, denn keine Datenbank die ich kenne wurde bisher nicht irgendwann kompromittiert oder zumindest versucht, also alles nur eine Frage der Zeit und dann hat jemand ALLES von mir, also quasi mein komplettes Leben. Denn was ist heutzutage nicht irgendwo online abgelegt / synchronisiert.

Naja, theoretisch können vielleicht bald mal Quantencomputer AES verschlüsselte Dateien knacken. Das verbleibt aber lange Zeit ein Privileg der "ganz großen" Organisationen.
Die können nach meiner persönlichen Auffassung ohnehin bereits jetzt auf alle relevanten Daten zugreifen, Bank, Versicherung, Krankenkasse, Einwohnermeldeamt, Steuer, Email, Internettraffic, alles Daten außerhalb meines Einflussbereichs.

Man muss also in Szenarien denken, Risiken abbilden und sich dann über die Maßnahmen Gedanken machen.
Das ganze muss dann in die allgemeinen Gefahren des Lebens eingeordnet werden. Im schlimmsten Fall kann ich z.B. in der nächsten Sekunde von einem Meteorit getroffen werden, dafür existiert eine Wahrscheinlichkeit.

..... ansonsten jetzt mal blöd fantasiert, irgend eine Gruppe macht es sich zum Ziel alle möglichen Passwörter dieser Welt abzutippen in einen Hashwert nach der „allg“ gültigen Methode umzurechen (die es hoffentlich nicht gibt, aber sicher immer wieder eine sehr ähnliche oder an mehreren Stellen eben die gleiche). dann entsteht aus jeden Passwort der Hash und dieser lautet ja für 123456, bei ein und der gleichen Hastwertbildung immer gleich somit hätte man dann irgendwann Jahre später eine Übersetzungsliste für alle Passwörter, somit wären die Passwörter doch indirekt auch im Klartext nur noch mit einem zusätzlichen Zwischenschritt?

Das gibt es längst, nennt sich Rainbow Tables. Das sind riesige Dateien mit Hashwerten, allerdings nur für Passwörter bis zu einer bestimmten Länge.
Meine Passwörter sind soweit möglich 32 Stellen lang, keine Ahnung, wie viel mehr das bringt als 20 Stellen oder 12, aber allemal sicherer als 6-8 ist das wohl schon und kostet mich keine Sekunde mehr Aufwand.

okay vielen dank für den Unterschied, bedeutet aber für mich bei einem Passwortmanager müsste das Masterpasswort auch entsprechend lang und sicher sein, da ich mir das wahrscheinlich nicht merken können sollte, damit es sicher ist. Bedeutet aber, ich brauche dafür schon fast wieder einen neuen Passwortmanager, der sich nur das eine Passwort speichert ...... hmmmm

Richtig, deswegen kann man zusätzlich Keyfiles nutzen, zu denen man nur selbst Zugang hat. Je nach persönlichem Szenario (s.o.) organisiert man die so sicher/unsicher wie den Zettel mit den aufgeschriebenen Passwörtern.

 

[benneq]

Gut das hatte ich soweit schon verstanden, was auch der Kritikpunkt für mich ist, denn keine Datenbank die ich kenne wurde bisher nicht irgendwann kompromittiert oder zumindest versucht, also alles nur eine Frage der Zeit und dann hat jemand ALLES von mir, also quasi mein komplettes Leben. Denn was ist heutzutage nicht irgendwo online abgelegt / synchronisiert.

"Datenbank" bedeutet einfach nur, dass es sich um eine Datei mit strukturiertem Inhalt handelt.
Du könntest auch eine Excel Tabelle in ein verschlüsseltes Zip Archiv packen. Das wäre im Grunde auch eine verschlüsselte Datenbank.
Das Zeug ist also genau so sicher wie deine Festplatte, die du mit VeraCrypt / BitLocker / FileVault verschlüsselt hast.
Die Verwendeten Algorithmen zur Ver-/Entschlüsselung sind überall dieselben - egal ob Festplatte, Zip-Archiv, WLAN, Keepass Datenbank oder SSL Verbindung im Browser. Es gibt nur eine Handvoll Algorithmen, die heutzutage noch großflächig genutzt werden. Deren Korrektheit wurde mehrfach von Mathematikern bewiesen. Soll heißen: Der einzige wirkliche "Schwachpunkt" ist die jährlich steigende Rechenleistung für BruteForce Angriffe. Aber das ist kein Problem der verwendeten Algorithmen.
Das gilt natürlich nur, wenn die Algorithmen exakt so umgesetzt wurden, wie sie auf dem Papier stehen. Mit gezielter Manipulation bei z.B. der Generierung von nicht-ganz-so-zufälligen Zufallszahlen, lassen sich die nötigen Versuche einer BruteForce Attacke um viele viele Millionen senken. Aber auch das ist kein Problem des Algorithmus, sondern der (gezielt) falschen Umsetzung.

Also: Entweder traust du all diesen Verfahren, oder gar keinem. Im letzten Fall, solltest du schleunigst irgendwohin auswandern, wo es keinen Strom aus der Steckdose gibt. Ich kann die dunkle Seite des Mondes empfehlen.

 

[senoyches]

Keypass liegt nur lokal vor, Bitwarden kann selbst gehostet werden. Du musst nicht Lastpass, 1Password und Co. verwenden.

Damit hätte ich dann schonmal einen Favoriten, wenn ich mich tatsächlich mal überzeugen lasse.

Was ist deine Alternative? Das Gedächtnis? Zettel unter der Tastatur? Passwortgeschützte Excel-Tabelle? Textdatei in passwortgeschützter Zip? Also Passwortmanager in mangelhaft sozusagen...

Nein meine alternative ist bisher wirklich mein Kopf, meine Passwörter sind sehr verschieden und zwischen 1 und 22 Stellen lang, ich sortiere recht genau alles was für mich entbehrlich ist, bekommt eben eher schwächere Passwörter und ggf. auch gleiche, wo ich hohe Sicherheitsansprüche habe, dort kommen dann auch sehr starke dran und es sind alles Unikate + mehr oder minder ungewöhnliche Zeichenkombinationen, ja ich habe ein gutes nummerisches Gedächtnis, was mich bisher vielleicht in dem Punkt bevorteilt, gegenüber vielen die schon mit 3 verschiedenen 6-stelligen Probleme haben. Ich wage mal zu behaupten, ich habe den Passwort Vergessen Button vielleicht maximal 10x in meinem leben betätigt.

Finde es hingegen eher nervig, dass das 0815 Forum oder die 0815 Community Seite mich auffordert mindestens 8 Stellen einzugeben etc. da würde mir persönlich auch 1 reichen (z.B.) das Ø Zeichen, ist jetzt nicht ganz so üblich, noch nerviger finde ich es allerdings wenn mir dann wiederum gewisse Zeichen verboten werden und warum braucht ihr dann gleich nochmal ein sicheres Passwort?

Schlimmster Fall: Was wenn du ab morgen im Koma liegst oder gar ein Todesfall eintritt und deine Eltern/Mann/Frau/Kinder Zugriff auf deine Hinterlassenschaften benötigen? Jeder ordentliche Passwortmanager hat auch das geregelt - Lastpass bspw. hat einen Emergency Access. Wenn ein Familienmitglied Zugriff auf deinen Tresor haben will, gibt er seinen Zugang ein und wenn du diese Abfrage nach selbst definierter Zeitspanne x nicht unterbindest, bekommt er Zugriff darauf. https://helpdesk.lastpass.com/de/emergency-access/

Lustig dass du genau das auch nennst, ähnlich habe ich es auch schon gesehen, wo ich das Risiko "meiner" Passwörter sehe, oder aber eine persönliche Amnesie, durch eine Unfall.
Ja das ist tatsächlich das Risiko

Deinen Gedankengang nennt man Rainbow Table. Wer den Grad an Sicherheit heutzutage noch anwendet, hat aber keine Ahnung.

Ein Hash wird immer mit einem Salt verknüpft. Ganz banal: Dein Passwort abc ist in MD5 900150983cd24fb0d6963f7d28e17f72. Hinzu kommt ein Salt, irgend ein zufällig, hoffentlich kryptografisch sicher, erzeugter Wert - bspw. XhwP22mU. Dein eigentlicher Hash in der DB ist somit nicht mehr hash( 'abc' ), sondern hash( hash( 'abc' ) + 'XhwP22mU' ) - ergo cf25e916bdf5fb2ecc292840da34729c. Du musst nun also eine Rainbow-Table über dein Passwort und eine Rainbow-Table für die Kombination erzeugen. Das dauert jeweils ein paar Jahrezehnte.

MD5 ist aber gänzlich unbrauchbar dafür. Beispiele wie Argon2, BCrypt oder PBKDF2 hab ich genannt. MD5, SHA und Co. sind für Geschwindigkeit optimiert - heißt schnellstens eine Prüfsumme einer Datei zu erstellen - und teilweise sogar bereits gebrochen. Genannte Vertreter aber machen sich zur Aufgabe, die Erzeugung des Hashes möglichst lange und "ineffizient" hinauszuzögern. U.a. ist Argon2 resistent gegen massive Parallelisierung mit GPUs oder ASICS, da einfach Parameter bei der Erzeugung gewählt werden können, die jegliche Grenzen dieser Chips (Speicher, Threads, Zeit) sprengen würden. Mit "richtigen" Parameter kann so eine Hashberechnung also auch gern zehn Sekunden dauern. Experimentieren kannst du hier. Was das mit einer Rainbow-Table macht, kannst du dir entsprechend selbst hochrechnen. Wenn du dein Passwort weißt, dauert ein Login also zehn Sekunden. Wenn du raten musst, bist du durch sinnloses Bruteforcen auch gern bei nem Monat. Was das für Rainbow-Tables bedeutet...

Danke für die Aufklärung, verstehe das nun ein bisschen klarer, werde mich aber nochmal in die Thematik einlesen, da das so auf die schnelle zwar im Groben in meinen Kopf reingeht. Aber auch nur im Groben.

Nein. Genau das Masterpasswort behälst du dir nur im Kopf und nirgendwo anders. Nicht auf einem Zettel, nicht im Tresor, nirgendwo.

Hmmmm..... ja ich fantasiere mal wieder, mal angenommen in 20 Jahren bin ich ein frustrierter isolierter Eigenbrötler. Ich erleide einen Unfall, dann ist mit dem Masterpasswort ebenso alles weg. Der Vorteil, dass erkenne ich offen und ehrlich sobald ich mindestens einen Teilhaber habe, der Emergency Zugriff hat komme ich wieder an die Daten ran, aber nur dann.

Ergänzung (17. Februar 2020)

Also: Entweder traust du all diesen Verfahren, oder gar keinem. Im letzten Fall, solltest du schleunigst irgendwohin auswandern, wo es keinen Strom aus der Steckdose gibt. Ich kann die dunkle Seite des Mondes empfehlen.

Der Part mit der Datenbank habe ich jetzt mal rausgekürzt, war mir soweit klar und auch verständlich, dass es ein gehobenes Maß an Sicherheit gibt.

Aber zu dem letzen Satz bin ich halt einfach skeptisch, denn auf der einen Seite werden immer bessere Verschlüsselungen "erfunden" auf der anderen Seite ist der Schrei Seitens der Regierung nach mehr Transparenz (natürlich nur wegen dem Terror) groß. Was sich beides widerspricht und leider zu oft hat sich gezeigt, dass man gezielt Schlupflöcher einbaut um einem eingeschränkten Kreis quasi einen Masterschlüssel zur Verfügung stellen, solange dies geheim bleibt, hätte ich noch nicht mal so ein riesen Problem damit (sofern es nicht ausgewertet, denn meine Daten sind meine Daten). Aber was ist wenn dieses "Geheimnis" auffliegt und Hacker Gruppen es nutzen und die nutzten es sicher nicht um die Katzenbilder von Gertrud aus dem Googlephotos Account online ins Netz zu stellen.

Und ja ich muss zugeben, ich habe nicht wirklich was dramatisches über Passwortmanager gehört, aber so alt ist diese Technologie ja auch noch nicht, oder täusche ich mich?

Um der Sache etwas Humor beizulegen, dann muss ich aber so oft umziehen um immer auf der dunklen Seite zu bleiben, ist mir etwas zu stressig .....

 

[benneq]

Aber zu dem letzen Satz bin ich halt einfach skeptisch, denn auf der einen Seite werden immer bessere Verschlüsselungen "erfunden" auf der anderen Seite ist der Schrei Seitens der Regierung nach mehr Transparenz (natürlich nur wegen dem Terror) groß. Was sich beides widerspricht und leider zu oft hat sich gezeigt, dass man gezielt Schlupflöcher einbaut um einem eingeschränkten Kreis quasi einen Masterschlüssel zur Verfügung stellen, solange dies geheim bleibt, hätte ich noch nicht mal so ein riesen Problem damit (sofern es nicht ausgewertet, denn meine Daten sind meine Daten). Aber was ist wenn dieses "Geheimnis" auffliegt und Hacker Gruppen es nutzen und die nutzten es sicher nicht um die Katzenbilder von Gertrud aus dem Googlephotos Account online ins Netz zu stellen.

Ja, das Übliche. Was wäre wenn, und ob, und vielleicht, und überhaupt und so.
Ob du deine Passwörter und E-Mails jetzt über eine potenziell kompromittierte SSL Verbindung schickst, sie in einen Browser von Google eingibst, und dazu noch ein Betriebssystem von Microsoft nutzt, das auf einer löchrigen Intel CPU mit löchriger Management Engine läuft. Dazu noch hunderte weiter Closed Source Programme installiert, bei denen niemand kontrollieren kann was sie wirklich genau im Hintergrund tun. Aber selbst Open Source gewährt da nur einen begrenzten Schutz, wenn die relevanten Technologien von Tarnfirmen der NSA und des BND entwickelt werden - was aber natürlich keiner weiß. Nur die wenigsten verstehen hochkomplexen Code für Krypto Algorithmen und noch deutlich weniger wären in der Lage darin sehr gut versteckte Sicherheitslücken aufzudecken.
Das ganze wird dann mit einem Microsoft Compiler kompiliert - wer weiß was der noch automatisiert für Schwachstellen in ansonsten sicheren Code einbauen kann?
Nicht zu vergessen, dass bei deinem Internet Provider ein eigener SSL Dienst installiert sein könnte, der transparent läuft und dort dein gesamter Internettraffic im Klartext mitgeschnitten werden könnte - klassischer Man in the Middle Angriff.

Ja, das alles wäre möglich. Absolut problemlos sogar.

Und dann machst du dir sorgen, dass die Datenbank deines Passwortmanagers eventuell unsicher sein könnte? Schreib doch deinen eigenen Oder nutze halt Keepass. Das Format ist offen und die meisten Implementierungen auch, Source Code auf GitHub. Da kann man zumindest davon ausgehen, dass schon viele Menschen den Code begutachtet haben. Aber dann solltest du natürlich auf keinen Fall die Binarys herunterladen, die müssen ja nicht zwangsläufig dem veröffentlichen Source Code entsprechen und du weißt auch nicht mit welchem bösartigen Compiler sie erstellt wurden. Also Source Code selbst herunterladen, dann noch mal byte für byte schauen, ob wirklich alles 1 zu 1 dem entspricht was du vorher als sicheren Code verifiziert hast. Und dann selbst kompilieren. Für den Compiler gilt aber natürlich dasselbe: Source Code runterladen, analysieren und selbst kompilieren!

aber so alt ist diese Technologie ja auch noch nicht, oder täusche ich mich?

Diese "Technologie" nennt sich Kryptographie, gepaart mit einer GUI deiner Wahl. Da ist absolut nichts neues dran.

Um der Sache etwas Humor beizulegen, dann muss ich aber so oft umziehen um immer auf der dunklen Seite zu bleiben, ist mir etwas zu stressig .....

Ich meinte die erdabgewandte Seite. Dafür muss man nicht umziehen.

 

[senoyches]

Ja, das Übliche. Was wäre wenn, und ob, und vielleicht, und überhaupt und so.
Ob du deine Passwörter und E-Mails jetzt über eine potenziell kompromittierte SSL Verbindung schickst, sie in einen Browser von Google eingibst, und dazu noch ein Betriebssystem von Microsoft nutzt, das auf einer löchrigen Intel CPU mit löchriger Management Engine läuft. Dazu noch hunderte weiter Closed Source Programme installiert, bei denen niemand kontrollieren kann was sie wirklich genau im Hintergrund tun. Aber selbst Open Source gewährt da nur einen begrenzten Schutz, wenn die relevanten Technologien von Tarnfirmen der NSA und des BND entwickelt werden - was aber natürlich keiner weiß. Nur die wenigsten verstehen hochkomplexen Code für Krypto Algorithmen und noch deutlich weniger wären in der Lage darin sehr gut versteckte Sicherheitslücken aufzudecken.
Das ganze wird dann mit einem Microsoft Compiler kompiliert - wer weiß was der noch automatisiert für Schwachstellen in ansonsten sicheren Code einbauen kann?
Nicht zu vergessen, dass bei deinem Internet Provider ein eigener SSL Dienst installiert sein könnte, der transparent läuft und dort dein gesamter Internettraffic im Klartext mitgeschnitten werden könnte - klassischer Man in the Middle Angriff.

Ja, das alles wäre möglich. Absolut problemlos sogar.

Und dann machst du dir sorgen, dass die Datenbank deines Passwortmanagers eventuell unsicher sein könnte? Schreib doch deinen eigenen Oder nutze halt Keepass. Das Format ist offen und die meisten Implementierungen auch, Source Code auf GitHub. Da kann man zumindest davon ausgehen, dass schon viele Menschen den Code begutachtet haben. Aber dann solltest du natürlich auf keinen Fall die Binarys herunterladen, die müssen ja nicht zwangsläufig dem veröffentlichen Source Code entsprechen und du weißt auch nicht mit welchem bösartigen Compiler sie erstellt wurden. Also Source Code selbst herunterladen, dann noch mal byte für byte schauen, ob wirklich alles 1 zu 1 dem entspricht was du vorher als sicheren Code verifiziert hast. Und dann selbst kompilieren. Für den Compiler gilt aber natürlich dasselbe: Source Code runterladen, analysieren und selbst kompilieren!


Diese "Technologie" nennt sich Kryptographie, gepaart mit einer GUI deiner Wahl. Da ist absolut nichts neues dran.

Wie Recht du hast!

Man macht sich halt immer Sorgen über das was man im Blick hat und wo man die Gefahren sieht. Nicht aber das wo man sich 100 Gefahren aussetzt, die man gar nicht so mitbekommt, weil es einfach zu einer Selbstverständlichkeit geworden ist.

Mich hat jetzt weniger interessiert den Passwortmanager zu finden der der tollste ist, sondern eher der Sicht anderer User darauf. Bin ich nur der verbohrte der Gefahren sieht, die gar nicht existent sind oder geht es anderen ähnlich oder will es nur keiner sehen, weil es ein Modeerscheinung ist.

Mehr Komfort bedeutet halt oft ein aufgeben von Sicherheit oder ein Vertrauen in Techniken, die man selbst nicht kontrolliert.

 

[benneq]

Bin ich nur der verbohrte der Gefahren sieht, die gar nicht existent sind oder geht es anderen ähnlich oder will es nur keiner sehen, weil es ein Modeerscheinung ist.

Die Gefahren sind natürlich existent - alles was ich oben genannt habe ist praktisch umsetzbar.
Aber die Frage ist doch eher: Wird das tatsächlich gemacht? Die Antwort darauf wird dir hier keiner geben können. Auf der einen Seite stehen die Schwarzmaler, die überall Gefahren sehen und auf der anderen Seite die blauäugigen, die sich darüber überhaupt keine Gedanken machen.

Die Wahrheit liegt sicherlich irgendwo dazwischen - wie üblich.

Die einen warten auf den nächsten Edward Snowden, um dann zu sagen: Wir haben's doch immer gesagt! Und die anderen gehen davon aus, dass nichts passieren wird, weil diese Massenüberwachung eben gar nicht stattfindet.

Mehr Komfort bedeutet halt oft ein aufgeben von Sicherheit oder ein Vertrauen in Techniken, die man selbst nicht kontrolliert.

Passwort Manager bieten mehr Komfort als ein Post-It am Bildschirm. Aber auch deutlich mehr Sicherheit - wenn man nun davon ausgeht, dass sie nicht kompromittiert sind.
Und im Grunde ist alles immer noch besser als überall dasselbe Passwort zu verwenden. Denn Leaks von diversen Datenbanken gab's die letzten Jahr mehr als genug - inkl. Klartext Passwörter (oder Hashes ohne Salt - woraus sich mit Rainbow Tables das original Passwort sehr leicht errechnen lässt).

Und Technologien wie Keepass sind ja auch "offline" nutzbar - d.h. ohne Cloud Anbindung. Dann bräuchte der Angreifer physischen Zugriff auf deinen PC, um irgendwie daran zu kommen (oder eben eine der anderen oben genannten tausend möglichen Lücken über die Internetleitung). Würden die Passwörter auf Post-Its am Bildschirm stehen, wäre es noch tausend mal einfacher.
Das wäre im Grunde auch nicht viel anders als wenn du deine Login Daten in eine Textdatei packst und die auf einer verschlüsselten Festplatte ablegt - oder in einem verschlüsselten Zip Archiv. Das einzige was dir die Passwortmanager noch zusätzlich geben ist die Integration in Browser und andere Apps. Statt Textdatei öffnen, Daten raussuchen, kopieren und einfügen, werden diese ganzen Schritte automatisiert. Dabei landen die sensiblen Daten nicht mal in der Zwischenablage - das könnte sogar die Sicherheit erhöhen.

Für meinen Teil kann ich sagen: Ich nutze Verschlüsselung jeglicher Art guten Gewissens, weil ich glaube, dass die Menschheit nur zu einem winzigen Teil aus machtbesessenen A-Löchern besteht. Und in jedem Verein gibt es Leute, die auf unserer Seite stehen und irgendwann zu Whistleblowern werden.
Mein Problem damit ist eigentlich nur, dass die Verantwortlichen nicht hart genug bestraft werden und stattdessen die Whisteblower verfolgt werden. Ja, natürlich haben sie gegen Gesetze verstoßen. Aber die Freiheit der Menschheit sollte stärker wiegen als jedes menschengemachte Gesetz.
Denn wie zuvor bereits gesagt: Wenn ich Unrecht hätte, und die Welt wirklich derart verkommen wäre, wäre es vollkommen egal wie sehr man sich um seine Privatsphäre bemühen würde. Unsere Technologie des 21. Jahrhunderts bietet unendlich viele Angriffsmöglichkeiten, gegen die man sich nur schützen könnte, wenn man komplett ohne irgendeine Art von Technik lebt.
Also habe ich grob die Wahl zwischen: Nutzen und vertrauen - natürlich nicht blind vertrauen! Ohne gesunden Menschenverstand und ein wenig Skepsis geht das nicht. Oder aber: Komplett paranoid durch's Leben gehen, hinter jeder Ecke lauert der Feind, welchen Menschen darf ich vertrauen? Dafür ist mir mein Leben zu schade.
Auf der anderen Seite fordere ich aber natürlich auch, dass Missstände aufgedeckt werden, die Verantwortlichen bestraft werden und die Whistleblower nicht für den Erhalt der Freiheit der Menschheit verfolgt werden. Dass das alles schwer unter einen Hut zu bringen ist, ist mir bewusst.
Aber das ist nur meine bescheidene Ansicht

Ich habe beruflich Zugriff auf den gesamten Code und die Datenbanken einer Internetplattform. Die Passwörter der Benutzer sind selbstverständlich alle als salted Hash in der Datenbank abgelegt - keine Chance sie einfach einzusehen oder zu entschlüsseln.
Aber wenn ich wollte, wäre es ein Kinderspiel die Passworteingaben mitzuschneiden. Die E-Mail Adressen der Nutzer kann ich natürlich auch einsehen. Beim ein oder anderen könnte ich dank identischer Passwörter garantiert vollen Zugriff auf's E-Mail Postfach erhalten. Und wenn man erst mal das E-Mail Postfach hat, kommt man in der Regel auch ganz einfach an ganz viele andere genutzte Dienste. Und ja, auch ich habe nicht für alle Dienste separate Passwörter - Macht der Gewohnheit und Bequemlichkeit.
Ich habe dort auch Zugriff auf sehr viele andere sensible Daten, die für so manchen sicherlich viel Geld wert wären. Auf diese Daten gibt es ohne entsprechenden Login keinen Zugriff - mit Zugriff auf Datenbank und Code kommt man allerdings überall ran, wenn man es will.
Aber wenn z.B. mein Chef (oder auch sonst irgendwer) mich nach Umsatzzahlen oder anderen sensiblen Daten unserer Kunden fragen würde, dürfte er sich ganz schnell neues Personal suchen und sich mit einer Rundmail an sämtliche Kunden mit dieser Anfrage abfinden. Danach würde ich auch problemlos mit einem Gerichtsverfahren leben können, weil ich weiß, dass ich das Richtige getan habe.
Das ist Teil der Ethik in der Informatik ( https://de.wikipedia.org/wiki/Computerethik ). Im Grunde dasselbe was man "draußen in der Welt" auch von den Menschen erwartet.
Also: Nein! So etwas würde ich niemals tun, weil ich dasselbe auch von anderen Leuten mit derartigen Zugriffsmöglichkeiten erwarte.

 

[senoyches]

wow was ein Text Hut ab, aber allzuweit von dem Entfernt was ich denke ist das gar nicht mit dem Unterschied, dass ich dadruch das ich nicht mit der IT direkt zu tun habe, sondern sie eigentlich eher mittel zum Zweck ist, nciht die tiefen Einblicke habe und wie ich weiter oben schon schrieb, Verschlüsselung ist bei mir immer so ein Stiefmütterliches Thema gewesen. Und wo kann man sich da besser Meinungen oder Gedankenanstöße einholen als in einem eigentlich seriösen Forum von verschiedenen Sichtweisen. Wie du schon schriebst, für die eine für die alles okay ist und die anderen, die überall den Feind erwarten. Was sicher auch davon abhängt, was man schon erlebt hat.

Passwort Manager bieten mehr Komfort als ein Post-It am Bildschirm. Aber auch deutlich mehr Sicherheit - wenn man nun davon ausgeht, dass sie nicht kompromittiert sind.
Und im Grunde ist alles immer noch besser als überall dasselbe Passwort zu verwenden. Denn Leaks von diversen Datenbanken gab's die letzten Jahr mehr als genug - inkl. Klartext Passwörter (oder Hashes ohne Salt - woraus sich mit Rainbow Tables das original Passwort sehr leicht errechnen lässt).

Und Technologien wie Keepass sind ja auch "offline" nutzbar - d.h. ohne Cloud Anbindung. Dann bräuchte der Angreifer physischen Zugriff auf deinen PC

Dazu möchte ich nur anmerken, wenn jemand physischen Zugriff auf meinen PC hat, den er nicht haben sollte, dann ist eh alles zu spät, da ist jede Sicherheitsrichtlinie oder jedes noch so starke Passwort vergebene Mühe, aber den Zugriff aus der Ferne kann man unter der gleichen Sichtweise wie du, sicher auf die oben genannte Weise verstärken/verbessern.

Ich sehe eigentlich besonders bei älteren Leuten einen großen Absatzmarkt, denn die stehen ja eigentlich im Ruf gerne vergesslicher zu werden insbesondere die aktuelle und kommende Ältere Generation. Unter denen viele sind, für die der PC noch so ein bisschen ein magisches Instrument ist, was nicht so recht ihr Leben passt, es aber zum Teil nutzen müssen oder aber sich bemühen für die wäre ein Passwortmanager sicher eine feine Sache, ein Passwort merken, den Rest macht der Manager alleine.

Und die Jugend naja sie hat 5000 Dienste in Nutzung, aber wie viele davon wollen wir aktiv nutzen, vieles sind bei mir auch Testaccounts, die fliegen danach in den Müll, sofern löschbar werden sie gelöscht, sofern nicht lasse ich sie halt verwesen. die Mail ist sofern ich mich nicht entschieden habe, eh eine “Müll“ Mailadresse. Und ich bin bestimmt nicht der einzige der so agiert und sofern es der Mailprovider oder der Hoster anbietet, werden diese evtl. komplett umbenannt, sodass die Mails im Nirvana landen und das Passwort dazu, ist denkbar schwer, also sowas wie „Passwort!“ wäre denkbar oder 123456, wenn es ne Stufe schwerer sein soll auch gerne sowas „123ab4Cd“ wo es mir nicht wehtut, wenn es einer knackt.

ich denke ich selektiere vieles voher, was mir am Ende auch hilft alles besser zu organiseren und nicht in der Flut der Dienste zu ersticken. Dennoch werde ich über kurz oder lang mir mal Passwortmanager ansehen (natürlich ohne Cloud) und sei es nur um mitreden zu können, oder um doch Geschmack daran zu finden, wer weiß dass schon.