S-Trust - Passwortmanager der Sparkasse eine gute Alternative?

[Woking]

Auf der Suche nach einem Passwort-Manager bin ich nun auf S-Trust, einem Passwort-Manager der Sparkasse gestoßen.
https://www.sparkasse.de/pk/produkte/konten-und-karten/finanzen-apps/s-trust.html

Hat ein heimischer Passwortmanager nicht auch Vorteile? Ich habe diesen eher durch Zufall entdeckt.
Bei der Frage nach dem richtigen Passwortmanager werden meist immer die gleichen empfohlen. Sprich Bitwarden, 1Password ect.

Wäre S-Trust auch eine gute Alternative?
Falls nein, was spricht dagegen? Sind Bitwarden, 1Password ect. wirklich besser oder einfach nur verbreiteter?

 

[kieleich]

Es ist von der Sparkasse: Selbst wenn es gut wäre. Du zahlst dich Dumm und Dämlich.

Und es ist je nach Umständen, nicht halb so sicher, wie ein Notizbuch.

 

[martinallnet]

Würde mich da selbst ungerne von einem kommerziellen Anbieter abhängig machen. Wenn der den Dienst einstellt, dann wars das.

Kommt halt auf deine Präferenz an, ich habe persönlich KeePassXC, legt ein Datenbankfile an, das ich problemlos über Nextcloud o. ä. syncen kann.

 

[madmax2010]

Sobald Passwörter durch die Cloud von fremden synchronisiert werden, hast du früher oder später verloren.

 

[Woking]

Es ist von der Sparkasse: Selbst wenn es gut wäre. Du zahlst dich Dumm und Dämlich.

Es gibt eine kostenlose Basisversion und eine Pro Version für 1,49 Euro/ Monat.
Das klingt nicht schlechter als andere.

Und es ist je nach Umständen, nicht halb so sicher, wie ein Notizbuch.

Kannst du das begründen? Warum ist der Passwortmanager nicht so sicher wie die oft genannten Konkurrenten?

 

[yxcvb]

Das Risiko, dass ein Dienst eingestellt wird, hat man immer. Gab in der letzten Zeit genug Beispiele, und wenn dann noch ein Programm Freeware ist (Keepass) und der Programmierer keine Lust mehr hat, schaut man auch dumm aus der Wäsche.

 

[Chriz]

wieso überhaupt die Passwörter in der cloud?

Ich selbst haben mit KeePass und derivaten meine Passwortdatei auf den Geräten lokal. Das erscheint mir persönlich um Welten sicherer.

Das Synchronisieren geht dann halt ggfl. über usb-stick oder BT
...wenn dann mal ein neues PW dazu kommt - das passiert höchstns alle 6..8 Wochen mal...

 

[Conqi]

Hat ein heimischer Passwortmanager nicht auch Vorteile?

Welche sollen das denn sein?

Grundsätzlich ist ein Passwortmanager kein Hexenwerk, aber ich sehe keinen Grund, warum ich auf die Sparkasse bauen sollte. Zumal sie Funktionen haben wie einen Nachlass, eine Teilen-Funktion und automatische Ablage von E-Mails, die man an eine bestimmte Adresse schickt. Kann ja alles nützlich sein, aber wenn man das nicht braucht, sind es nur neue Einfallstore. Eine zufällige E-Mail-Adresse wird so schnell keiner erraten, aber dass es überhaupt einen Weg von außen in den "Tresor" rein gibt, würde mir schon missfallen.

wenn dann noch ein Programm Freeware ist (Keepass) und der Programmierer keine Lust mehr hat, schaut man auch dumm aus der Wäsche.

Der Unterschied ist, dass KeePass komplett offline läuft. Wenn der Entwickler keinen Bock mehr hat und auch sonst keiner übernimmt, dann hat man so viel Zeit sich neu umzugucken wie man will. Wenn 1Passwort, S-Tresor und Co. ihren Dienst einstellen, ist man ziemlich hart an das jeweilige Datum gebunden.

Das Synchronisieren geht dann halt ggfl. über usb-stick oder BT

Das geht auch problemlos über einen normalen Cloudspeicher. Wenn man der Verschlüsselung der Datenbank oder seinem eigenen Masterpasswort nicht traut, sollte man seine Passwörter dort meiner Meinung nach überhaupt nicht ablegen.

 

[madmax2010]

Kannst du das begründen? Warum ist der Passwortmanager nicht so sicher wie die oft genannten Konkurrenten?

Eben wei man ihm unterstellen kann, dass er so sicher wie andere ist.

Früher oder später werden solche Dienste immer geknackt. Absolute Sicherheit gibt es nicht, aber eine der best practices ist es, die Angriffsfläche zu minimieren.

Passwörter in die Cloud legen geht in die andere Richtung

 

[kieleich]

Hier ein Beispiel https://www.golem.de/news/der-gross...es-mitarbeiters-ruiniert-hat-2502-193771.html ( Abschnitt Passworttresor kompromittiert )

Der wäre mit nem Notizbuch besser dran gewesen

 

[Lakinator]

Im Grunde ist mal jeder Passwortmanager besser als gar kein Passwortmanager. Dann gib es natürlich noch Abstufungen mit mehr Sicherheit zu mehr Bequemlichkeit.

Ich persönlich nutze 1Password da ich mich da einfach nicht darum kümmern muss und ich von deren Sicherheitsversprechen auch überzeugt bin. Nichtsdestotrotz hab ich immer noch zwei weitere Backups all meiner Passwörter, sowohl offline als auch verschlüsselt in einer Storage Box.
Möchte man nun mehr Kontrolle kann man auch selber hosten, ist natürlich mit etwas mehr Aufwand verbunden und man muss sich selber ums synchen kümmern. Ich hoste selber auch viele Sachen, aber Passwörter müssen einfach eine nahezu 100% Uptime haben, und hier sind mir es die paar Taler im Monat wert dass ich mich nicht darum kümmern muss alles up-to-date zu halten.

Also abschließend würd ich sagen go for it wenn du mal was anderes probieren möchtest und du die Features von der SK mächtest. Aber habe vorsichtshalber immer ein Backup (3-2-1)

 

[martinallnet]

Das Risiko, dass ein Dienst eingestellt wird, hat man immer. Gab in der letzten Zeit genug Beispiele, und wenn dann noch ein Programm Freeware ist (Keepass) und der Programmierer keine Lust mehr hat, schaut man auch dumm aus der Wäsche.

Es gibt genügend Forks davon.

 

[Krik]

wieso überhaupt die Passwörter in der cloud?

Die sind überall verfügbar, wo man Internet hat. Außerdem ist das Synchronisieren kein großes Problem mehr. Du hast auf dem PC ein neues Passwort in den Tresor geworfen? Das Handy weiß das ein paar Sekunden später.

Welche sollen das denn sein?

Man hat alles selber in der Hand und muss nichts Fremden im Internet in die Hand drücken. Und ein bisschen Paranoia hat man bei Passwörter sowieso. Es ist also auch etwas Seelenbalsam.

 

[Conqi]

Man hat alles selber in der Hand und muss nichts Fremden im Internet in die Hand drücken.

Mit "heimisch" war in diesem Fall "aus Deutschland" gemeint. Die Lösung der Sparkasse ist ja nicht offline.

 

[Woking]

Würde mich da selbst ungerne von einem kommerziellen Anbieter abhängig machen. Wenn der den Dienst einstellt, dann wars das.

Die Garantie das ein Dienst nicht eingestellt wird hat man ja nicht. Kann auch bei 1Password und co passieren.

Welche sollen das denn sein?

Ich meinte eher in der Hinsicht das man wenn es gleichwertige Produkte aus Deutschland/ Europa gibt diese auch unterstützen kann.

Eben wei man ihm unterstellen kann, dass er so sicher wie andere ist.

Das wäre doch gut?

Passwörter in die Cloud legen geht in die andere Richtung

Ob Cloud Sicherung oder nicht wäre eine andere Diskussion.
Bei 1Password oder Bitwarden nutzen auch viele die Cloud Funktion bzw müssen diese nutzen. Das wäre kein Ausschlusskriterium vom Sparkassen Passwortmanager gegenüber zum Beispiel 1Password.

 

[martinallnet]

Die Garantie das ein Dienst nicht eingestellt wird hat man ja nicht. Kann auch bei 1Password und co passieren.

KeePass läuft halt offline.
Wenn man keine eigene Cloud hosten will, dann nimmt man halt was fertiges wie OneDrive, Google, o. ä.
Die Datei kann man ja einfach dort mit Hochladen.
Oder ganz wild, man nimmt Dinge wie Syncthing, die das einfach als Peer-to-Peer zwischen Geräten syncronisieren, ohne Cloud-Dienst dahinter.

 

[Woking]

KeePass läuft halt offline.

Das ist ein Vorteil. Stimmt.

Aber 1Password zum Beispiel nicht.
Mich würde interessieren ob der Sparkassen Passwortmanager Sicherheitstechnisch, Kompatibilität ect schlechter ist als zum Beispiel 1Password welcher häufig empfohlen wird.

 

[Darkman.X]

Die Frage wird die keiner beantworten können. Warum?

Man hat keinen Einblick in die Umsetzung / Sicherheit der Sparkassen-Lösung. Ähnlich wie bei 1Password oder anderen Online-Lösungen. Man muss sich halt auf die Aussagen des Herstellers verlassen.
Daher kann man keine zuverlässige Aussage darüber treffen, wie sicher/unsicher die Sparkassen-Variante im Vergleich zu anderen Online-Lösungen ist.

Und meine persönliche Erfahrung: Die IT von Sparkassen scheint hoffnungslos veraltet zu sein. So zumindest mein Eindruck.
Bei mir konnten sie z.B. 2 Wochen vor einer Kündigung diese nicht mehr stoppen. Ein Vorgang, der eine reine Software-Aktion ist, ließ sich mit einer gigantischen Vorlaufzeit von 2 Wochen nicht mehr stoppen?
Und was passierte: Trotz der Aussagen, dass die Kündigung nicht mehr zu stoppen ist, war das Konto nach dem Kündigungsdatum doch noch weiter nutzbar.

Und zur Frage, warum 1Passwort häufiger empfohlen wird? Weil das eine Universal-Lösung ist. Die Sparkassen-Lösung ist vermutlich nur für deren Kunden nutzbar. Das schränkt halt die mögliche Anzahl der Befürworter ein, ganz zu schweigen von internationalen Empfehlungen.
Aber selbst wenn auch Nicht-Sparkassen-Kunden deren Lösung nutzen können, warum sollte man? Was sind denn die Pro-Argumente für sie?

 

[madmax2010]

Zusatz vielleicht noch:
1 Password ist eine Firma, die nichts anderes als Passwortmanager und Authentifizierung macht.
Die haben 100.000 Unternehmenskunden und noch mehr Privatkunden.
Es gibt gepflegte Apps und Plugins fuer jede relevante Plattform.

s-trust ist ein Hobbyprojekt der Sparkassen, bei dem dir keiner sagen, wie lange das am Netz ist, wie gut es getestet wurde und welche browser / Betriebssysteme wie lange unterstützt werden.
Ist halt beides closed source, aber 1password hat wenigstens einsehbare audits:
https://support.1password.com/security-assessments/
Ohne alle gelesen zu haben: Bei bei nahe jedem werden sie etwas gefunden haben.
So weit die halbwegs neutrale Einschätzung
empfehlen mag ich beide nicht.

Ergänzung (Freitag um 21:02)

Man findet immer etwas. So Firmen / Produkten kann man vorsichtig anfangen zu vertrauen, wenn sie sich langfristig bewiesen haben. Das haben sie nicht

 

[andy_m4]

S-Trust, einem Passwort-Manager der Sparkasse gestoßen.

Gleich mehrere negative Aspekte. Zum einen das mit der angesprochenen Cloud (was hier ja auch schon angesprochen wurde):
Wenn die Daten nicht bei Dir liegen, sind es nicht Deine Daten. Du bist vom Guten Willen des Cloudbetreibers abhängig.
Immerhin geben sie sich wohl Mühe, die Daten zu verschlüsseln.
Und kommen wir zum zweiten Punkt:
Das Ding ist nicht Open-Source. Niemand kann unabhängig überprüfen wie sicher das Ding wirklich ist. Man muss sich allein auf Zusagen verlassen.
Und ja: Open-Source bedeutet nicht automatisch sicher. Aber das sollte die Baseline sein, damit man überhaupt über Sicherheit reden kann. Oder plakativ formuliert: Sicherheitsrelevante Software ohne Sourcecode ist so wie Auto ohne Räder. :-)

Und da stellt sich dann schon die Frage, wozu man das braucht und obs nicht (bessere) Alternativen gibt. Open-Source Passwortmanager gibts ja genug. Und wenn man das ganze in einer Cloud verfügbar machen will, kann man sich auch einfach ein beliebigen Webspeicher nehmen wo man einen Kryptolayer drüber legt, um da seine (Passwort-)datei zu speichern.
Insofern sehe ich da keinerlei Mehrwert.

1Password

Wird das echt empfohlen?
Also Source-Code finde ich nicht und deren Webseite ist furchtbar (bindet Kram Google-Analytics ein, setzt ungefragt Cookies usw. also all die Red-Flags, die ich bei sicherheitsrelevanter Software nicht haben will).