S-Trust - Passwortmanager der Sparkasse eine gute Alternative?

[madmax2010]

Wird das echt empfohlen?

Ja, bei der FAZ zum beispiel:
https://www.faz.net/kaufkompass/test/der-beste-passwort-manager/
Bei chip.de auf dem 2. Platz
https://www.chip.de/artikel/Test-Die-besten-Passwort-Manager-Vergleich_182620837.html

S-Trust sogar von der PC-Welt und Computerbild:
https://www.s-trust.de/


duck

 

[JumpingCat]

Watchtower tells you about breaches, weak passwords, duplicate items, and other security problems with the items you have saved in 1Password.

https://support.1password.com/watchtower/

Das funktioniert aber wenn die meine Passwörter im "Klartext" aka Zweitschlüssel haben, oder?

Ansonsten sollte da nur eine zufällige Zeichenfolge sehen wenn die keinen Zugriff hätten.

 

[andy_m4]

Das funktioniert aber wenn die meine Passwörter im "Klartext" aka Zweitschlüssel haben, oder?

Theoretisch könnte man das auch durchaus im Browser/lokal machen ohne das 1Password die Passwörter sehen muss. Hab aber selbst kein 1Password und kann deshalb keinerlei Aussage dazu treffen.

 

[Chriz]

Vlt. nochmal ein paar Denkanstöße - nicht unbedingt für den TO, aber für viele andere hier.

Btw: ich selbst setze hier, in diesem Fall, auch lieber auf OpenSource in Form von KeePass und eine lokale Passwortdatei.
(KeePass2 unter Win und Linux sowie KeePass2Android auf dem Handy)

OpenSource ist aber per se nicht immer die bessere Wahl - wer prüft denn bitte denn den Code wenn es mal hart auf hart kommt?
Bei Keepass sind "gerade mal" 10 Personen beteiligt, bei Keepass2Android (was ich selbst verwende) nur eine einzige Person. Es ist nicht immer gesagt, dass OSS fehlerfrei ist oder dass Bugs schnell gefunden und gefixt werden.

Hier mal der code von KeePassXC:
https://github.com/keepassxreboot/keepassxc/tree/develop/src/
darf jeder selbst entscheiden ob er das reviewen kann. Oft vertraut man einfach nur auf Empfehlungen, das Wort "openSource" oder einfach irgendwelchen Luftschlössern.

Keepass stellt hier übrigens eine besondere Ausnahme dar: letztes Jahr wurde durch das BSI eine Sicherheitsüberprüfung gemacht - für die Version 2.54 - alles danach ist wieder offen...



Dem gegenüber steht mit 1Password eine kommerzielle Firma die nun fast schon 20 Jahre Geld damit verdient - werden deren Server kompromittiert ist deren Geschäftsgrundlage im Eimer - die sind also vermutlich zumindest "bemüht".



Bitte nicht falsch verstehen, meine Empfehlung geht in diesem Fall auch klar zu Keepass, aber OpenSource ist eben nicht der Heilsbringer und es benötigt auch hier etwas Augenmaß und Gespür für die Projektbetreiber - ebenso wie ich hier auch sicher nicht auf ein hippes StartUp vertrauen würde...

...selbst in den Linux Kernel, "DAS" opensource-Projekt schlechthin, hat sich vor knapp einem Jahr Schadcode einschleichen können. Da ist die Welt in meinen Augen ganz knapp an einer absoluten Katastrophe vorbei geschrammt (google: "xz-utils backdoor"...)


OSS ist wichtig und ehrbar, ich finde es aber falsch mit dem Argument "das ist OSS, das ist gut" alles blindlings zu empfehlen.

 

[andy_m4]

Es ist nicht immer gesagt, dass OSS fehlerfrei ist oder dass Bugs schnell gefunden und gefixt werden.

Das behauptet ja so auch vernünftigerweise keiner. Und natürlich steht Open-Source nicht automatisch für bugfreien/schadcodefreien Code.
Wenn der Source-Code aber nicht zur Verfügung steht, hat man gar keine Chance überhaupt irgendwie was nachzuprüfen und muss sich allein auf die Zusagen des Herstellers verlassen.

wer prüft denn bitte denn den Code wenn es mal hart auf hart kommt?

Keiner. :-)
Allerdings kann sich der Hersteller/Programmierer nicht darauf verlassen, das es keiner prüft. Das führt zu einem psychologischen Effekt, das man sich mehr Mühe gibt und es vermeidet übermäßig zu pfuschen, weil das ja eine Blamage wäre. Und klar. Auch das wirkt nicht immer. Es gibt auch echt grottige Open-Source-Software. Aber tendenziell hat es doch einen positiven Effekt.

Und noch eine weitere Bemerkung dazu. Eine halbwegs vernünftige Source-Code-Überprüfung (aka Auditing) ist relativ aufwendig. Weil man muss viel Know-How haben und sich auch in das Programm einarbeiten.

Allerdings kann man auch ein paar Sachen überprüfen, die relativ niedrige Hürden haben. Da mit man zumindest ein paar Indizien kriegt. Man kann gucken, wie gut der Quelltext dokumentiert ist. Wenn der schlecht bis gar nicht dokumentiert ist, dann ist das schon mal ein schlechtes Zeichen.
Man kann das compilieren und schauen wieviel Warnings der Compiler ausspuckt oder auch mit einem Code-Analyzer drüber schauen. Der findet auch nicht alles und der gibt auch False-Positives. Aber um einen groben Eindruck zu bekommen, reicht das schon.

Da ist die Welt in meinen Augen ganz knapp an einer absoluten Katastrophe vorbei geschrammt

Ja. Aber es zeigt ja auch, das Open-Source hilft solche Dinge aufzudecken. Eben weil die Entwicklung öffentlich aufläuft und Patches einzeln begutachtet werden können und auch nachvollziehbar ist, woher die kamen. Etwaigen inoffiziellen Geheimnis-Mitarbeitern bei Microsoft kommt man da sicher schwerer auf die Spur und selbst wenn Microsoft das merkt, werden sie es vertuschen.

Das inkludiert natürlich alles nicht das nie was schief geht und es nicht vielleicht doch Schadcode (auch über längere Zeit) in Open-Source-Software schafft.
Aber mit Open-Source und Transparenz steht man immer besser da, als Ohne.

 

[Woking]

Gleich mehrere negative Aspekte. Zum einen das mit der angesprochenen Cloud (was hier ja auch schon angesprochen wurde):
Wenn die Daten nicht bei Dir liegen, sind es nicht Deine Daten. Du bist vom Guten Willen des Cloudbetreibers abhängig.
Immerhin geben sie sich wohl Mühe, die Daten zu verschlüsseln.

Das ist eine andere Diskussion. Wie ich schon schrieb. Viele nutzen auch bei oft empfohlenen Passwortmanagern wie Bitwarden oder 1Password die Cloud Sicherung.
Was machen diese Passwortmanager besser als S-Trust?
Eventuell hat man da mit der Sparkasse sogar einen Ansprechpartner in einer Filiale bei Problemen. Und die Server sind glaube in Deutschland.

Und kommen wir zum zweiten Punkt:
Das Ding ist nicht Open-Source. Niemand kann unabhängig überprüfen wie sicher das Ding wirklich ist. Man muss sich allein auf Zusagen verlassen.
Und ja: Open-Source bedeutet nicht automatisch sicher. Aber das sollte die Baseline sein, damit man überhaupt über Sicherheit reden kann. Oder plakativ formuliert: Sicherheitsrelevante Software ohne Sourcecode ist so wie Auto ohne Räder. :-)

Also 1Password gibt es seit fast 20 Jahren. Glaube da gab es nie größere Sicherheitsprobleme. Und auch allgemein? Ist es denn nachweisbar das Open Source Passwortmanager in den vergangenen Jahren sicherer als Closed Source waren?

 

[andy_m4]

Wie ich schon schrieb. Viele nutzen auch bei oft empfohlenen Passwortmanagern wie Bitwarden oder 1Password die Cloud Sicherung.

Was übrigens auch da eine schlechte Idee ist. Was eben mindestens gewährleistet sein muss, das der Cloud-Betreiber die Daten selbst nicht sehen kann (es sei denn, Du bist selbst der Cloudbetreiber ; aber selbst dann wäre es besser, wenn die Passwortdatenbank verschlüsselt ist).

Was machen diese Passwortmanager besser als S-Trust?

Ich würde ja die Frage umgekehrt stellen:
Was macht S-Trust besser? Bisher sehe ich da nix. Lasse mich aber gerne überzeugen.

Eventuell hat man da mit der Sparkasse sogar einen Ansprechpartner in einer Filiale bei Problemen.

Du meinst , die arme Sparkassenangestellte kann Dir bei Problemen weiterhelfen?
Wie gesagt: Bei so Fremddiensten gibst Du die Hohheit immer aus der Hand. Du bist darauf angewiesen, das die Dir helfen können und wollen. Darauf würde ich mich nicht einlassen. Mir ist das eigene Passwortfile immer noch am liebsten. Ja. Da muss ich mich dann selbst drum kümmern ein Backup zu haben usw.
Aber es funktioniert halt immer und ich hab weitaus weniger Abhängigkeiten und bin nicht auf den guten Willen/Fähigkeiten des Betreibers angewiesen.

Also 1Password gibt es seit fast 20 Jahren. Glaube da gab es nie größere Sicherheitsprobleme.

Das weißt Du ja im Fall des Falles nicht unbedingt. :-)
Aber ich will hier auch gar nichts unterstellen oder so. Mein Punkt ist ein anderer.
Dadurch das es so ein zentralistischer Cloud-Dienst ist der Passwörter von Millionen von Menschen speichert, ist das ein hoch-attraktives Angriffsziel für Kriminelle.

Ist es denn nachweisbar das Open Source Passwortmanager in den vergangenen Jahren sicherer als Closed Source waren?

Zu der Thematik habe ich mich bereits in Posting #25 ausführlich geäußert.

 

[Woking]

Was übrigens auch da eine schlechte Idee ist. Was eben mindestens gewährleistet sein muss, das der Cloud-Betreiber die Daten selbst nicht sehen kann (es sei denn, Du bist selbst der Cloudbetreiber ; aber selbst dann wäre es besser, wenn die Passwortdatenbank verschlüsselt ist).

Das trifft meines Wissens fast auf jeden Dienst zu, oder?

Ich würde ja die Frage umgekehrt stellen:
Was macht S-Trust besser? Bisher sehe ich da nix. Lasse mich aber gerne überzeugen.

Vielleicht weder besser noch schlechter.
Die Frage wäre dann warum zum Beispiel 1Password gern empfohlen wird und S-Trust nicht.
Und wie geschrieben. Glaube S-Trust nutzt deutsche Server.

Aber ich will hier auch gar nichts unterstellen oder so. Mein Punkt ist ein anderer.
Dadurch das es so ein zentralistischer Cloud-Dienst ist der Passwörter von Millionen von Menschen speichert, ist das ein hoch-attraktives Angriffsziel für Kriminelle.

Das trifft auf viele Passwortmanager zu. Passiert ist bisher allerdings glaube eher weniger. Scheinen also ziemlich sicher zu sein.

 

[andy_m4]

Das trifft meines Wissens fast auf jeden Dienst zu, oder?

Ja. Wie ich bereits sagte: Wenn Du Dich von einem externen Dienst einlässt, hast Du diese Probleme.
Ich würde daher immer Lösungen bevorzugen, wo man solche Abhängigkeiten nicht hat.
Deshalb sagt ich ja auch nicht: Nimm S-Trust statt 1Password oder Nimm 1Password statt S-Trust. Die haben beide das Problem und daher würde ich keines von beiden nehmen.

Die Frage wäre dann warum zum Beispiel 1Password gern empfohlen wird und S-Trust nicht.

Das musst Du diejenigen fragen, die das empfehlen. Vielleicht liegt es schlicht daran, das S-Trust nicht so bekannt ist.
Aus genannten Gründen halte ich von beiden nichts.

Glaube S-Trust nutzt deutsche Server.

Vergiss "deutsche Server". Das ist etwas, was man schreibt, um den Leuten ein gutes Gefühl zu geben. Es nützt weder dafür das es ein attraktives Angriffsziel ist noch befreit es Dich aus irgendwelchen Abhängigkeiten.

Das trifft auf viele Passwortmanager zu.

Es geht mir auch nicht primär darum, einzelne Passwortmanager zu bewerten, sondern deren Funktionsweise.

Passiert ist bisher allerdings glaube eher weniger. Scheinen also ziemlich sicher zu sein.

Dazu kann ich nix sagen.
Mir geht es auch eher um Konzepte und ob die viel oder wenig potentielle Probleme bedeuten. Und umso weniger potentielle Probleme da sind, umso besser bewerte ich die erst mal. Völlig unabhängig davon, ob in der Vergangenheit diese potentiellen Probleme schon aufgetreten sind oder nicht.

Wenn ich also ein Passwortmanager nehme der keine Hersteller-Cloud braucht, dann hab ich schon mal die ganzen potentiellen Problem die damit einher gehen nicht. Prinzipiell nicht. Ich hab also auch die Sorge für die Zukunft nicht, das da irgendwie mal Probleme auftreten.
Und wenn ich auf die Weise Problemklassen eliminieren kann, dann mache ich das natürlich.
Genauso, wie ich mich im Auto anschnalle. Das hilft auch nicht bei allen Arten von Unfällen. Aber bei gewissen Unfalltypen (Auffahrunfällen) reduziert es drastisch das Risiko. Und da sag ich ja auch nicht: "Mach ich nicht, weil bisher ist mir das noch nicht passiert" oder "Hilft ja nicht zu 100%".