Suche Passwortmanager für Windows und Android

[killerkappi]

Hallo Zusammen

Mit der steigenden Flut an Accounts und der Forderung nach komplexeren Passwörtern würde ich gerne einen Passwortmanager einrichten. Nun damit beim Verlust meines Mobiltelefons ich nicht komplett ausgeschlossen bin wäre ich froh wenn dieser auch auf Windows laufen würde. Speicherungstechnisch wäre google cloud oder one drive beides eine Option für mich. Ungern würde ich es auf einer Cloud speichern die nur Passwörter speicher, da ich dies als erhöhtes Risiko sehe.

Meine Infos sind da leider sehr veraltet und ich hätte jetzt einfach Keepass2 und Keepass2droid verwendet aber vermutlich gibt es bereits fortschrittlichere Software?

Vielen Dank im Voraus

 

[Mosed]

Wie sieht es bei Keepass mit Autofill bzw. allgemein Ausfüllen von Formularen im Browser aus? Da braucht man meine ich auch Addons und muss es konfigurieren, oder? Mit Keepass XC selber muss man einzeln kopieren.

Oder hat sich da was geändert? Nur noch als Hinweis dazu.

Bei Bitwarden ist das Browser-Addon ja Standard. Eine Desktop-App braucht man da dann nicht.

Auf Arbeit habe ich Keepass XC und finde Bitwarden deutlich komfortabler. Aber dann kann ja jeder für sich selber rausfinden.

 

[AI-Nadja]

@Mosed
Ja, man kann die Addons nutzen. (Anleitung)
Und man kann die Einträge entweder einzeln auswählen, Auto-Fill verwenden, Tastenkombinationen nutzen (Anleitung) oder eben ganz "faul" die Felder automatisch über ein Icon erkennen und mit einem Klick eintragen lassen.

 

[killerkappi]

Da ich 3 verschiedene Browser für 3 verschieden Sachen verwende bin ich eigentlich fan von einer dedizierten Software, welche unabhängig des Browsers läuft

 

[Oli_P]

Meine Infos sind da leider sehr veraltet und ich hätte jetzt einfach Keepass2 und Keepass2droid verwendet aber vermutlich gibt es bereits fortschrittlichere Software?

Wieso fortschrittleriche Software? Die von dir genannten nutz ich auch. Hab Zugriff auf meine kdbx-Datei über Dropbox und kann mich immer überall einloggen. Die beiden Programme werden gepflegt und können viele Dinge. Vielleicht meinst du das Design. Ja, ist ein bisschen old-school

 

[conf_t]

Ich habe auf allen PCs und Macs in meinem Verantwortungsbereich KeepassXC mit entsprechender Browser Extension. Die Androids in der Familie haben Keepass2Android und die IPhone Keepassium.

Synchronisiert werden die unterschiedlichen Passwortdatenbanken per WebDAV Nextcloud, jeder Nutzer hat dort sein eigenes Konto.

Das läuft so für Eltern, Schwiegereltern, Geschwister und Schwager und Schwägerinnen

 

[Anons]

@killerkappi Ja, Cloudanbieter von Password Managern sind Ziele von Angreifern und diese sind z.B. durch Sicherheitslücken auch gerne mal erfolgreich mit ihren Angriffen, z.B. mehrfach bei LastPass. Jedoch sind auch deine Endgeräte, Cloud- und sonstige Onlinekonten sowie sämtliche Cloudanbieter wie Microsoft und Google, wo deine KPXC-Datei liegen könnte, Ziele von Angreifern, bei denen im Erfolgsfall auch gerne explizit nach .kdbx-Dateien gesucht wird. Deshalb ist es wichtig, dass der Cloudanbieter (Bitwarden bzw. bei KeePassXC eine beliebige Cloud) vertrauenswürdig und sicher ist und du ein sicheres, langes Passwort sowie 2FA verwendest.
Wird Bitwarden gehackt, hat der Angreifer keinen Zugriff auf deine Passwörter, weil E2EE. Hier müsste der Angreifer eher versuchen, statt Bitwarden als Anbieter, dein Bitwarden-Konto zu hacken, direkt oder indirekt, indem erst dein Device gehackt wird. KeePassXC als Anbieter zu hacken brächte nicht direkt etwas, da du deine Datenbank hier selbst verwaltest. Hier kann dann dein Gerät oder deine Cloud gehackt werden und wie gesagt, sind auch diese Ziele von Angreifern. Ist die DB verschlüsselt, mit sicherem Passwort und gerne 2. Faktor wie eine Schlüsseldatei, die wo anders abliegt als die DB, kommt der Angreifer auch hier nicht so einfach an deine Passwörter.
Und nicht vergessen: Ohne Password Manager kann ein Angreifer an deine Passwörter gelangen, indem er im Erfolgsfall z.B. deine Tastatureingaben verfolgt bzw. die standardmäßig nicht verschlüsselten Passwörter, die häufig in Browsern gespeichert werden, abgreift. Oder er versucht einfach dein Passwort zu erraten (Brute-Force), welches ohne Password Manager wahrscheinlicher unsicher ist und auch für andere Konten verwendet wird.

Sowohl KeePassXC, als auch Bitwarden bieten Browser-Addons und separate, also dedizierte, vom Browser unabhängige Anwendungen.

 

[BeBur]

Ich war in der Annahme, dass das kdbx-Format bereits verschlüsselt ist und es lukrativer sein dürfte für Hacker die nach Passwörter suchen die bei einem Hoster wie Bitwarden zu holen durch Sicherheitslücken als 1 Passwortfile das verschlüsselt ist bei einem Nutzer auf der Onedrive

Ja. Der Nachteil bei KeePass ist allerdings, dass du davon abhängig bist, dass 10-20 Privatpersonen keinen Mist machen (z.B. ownership an unbekannte Person übertragen oder unsichere Passwörter verwenden). Da vertraue ich einem Unternehmen wie Bitwarden insgesamt deutlich mehr, denn im Gegensatz zu den Privatpersonen hätte solches schadhaftes Verhalten drastische Konsequenzen (können den Laden dann quasi dicht machen).

Und nicht vergessen: Ohne Password Manager kann ein Angreifer an deine Passwörter gelangen, indem er im Erfolgsfall z.B. deine Tastatureingaben verfolgt bzw. die standardmäßig nicht verschlüsselten Passwörter, die häufig in Browsern gespeichert werden, abgreift.

Wenn jemand diese Art von Zugriff erlangt hat, dann hilft auch ein Passwort-Safe nicht mehr, egal ob KeePass oder Bitwarden.

 

[Anons]

Wenn jemand diese Art von Zugriff erlangt hat, dann hilft auch ein Passwort-Safe nicht mehr, egal ob KeePass oder Bitwarden.

Ist das Endgerät kompromittiert, ist prinzipiell auch der (egal welcher) PW Manager in Gefahr. Bei diesem Szenario hätte ich erwähnen sollen, dass dies auch bei PW Managern der Fall ist.
Jedoch die anderen Beispiele, also im Browser gespeicherte PWs und Brute-Force, sind nur bei Nicht-Nutzung eines PW Managers möglich/erfolgreich, bzw. auch, bei falscher Nutzung. Deshalb nur den PW Manager nutzen, die PWs nicht noch anders, zumindest wenn unsicher, speichern und PWs lang und sicher über den Manager generieren, statt selbst PWs zu überlegen sowie 2FA nutzen, über den PW Manager oder besser eine separate Lösung wie Ente Auth.

 

[CoMo]

Der Nachteil bei KeePass ist allerdings, dass du davon abhängig bist, dass 10-20 Privatpersonen keinen Mist machen (z.B. ownership an unbekannte Person übertragen oder unsichere Passwörter verwenden).

Was soll das bedeuten? Was für Privatpersonen? Was für Passwörter?

 

[Mosed]

Da ich 3 verschiedene Browser für 3 verschieden Sachen verwende bin ich eigentlich fan von einer dedizierten Software, welche unabhängig des Browsers läuft

Gibt es auch. Aber dann muss man halt manuell kopieren. Das ist dann aber bei allen Anbietern so.

 

[Anons]

Aber dann muss man halt manuell kopieren. Das ist dann aber bei allen Anbietern so.

Nein, KeePassXC bietet u.a. die Funktion "Auto-Type", welche Addon- und sogar Anwendungsunabhängig funktioniert und z.B. per Tastenkürzel genutzt werden kann. @AI-Nadja hat in #22 mehrere Möglichkeiten von KeePassXC genannt.
PS: Und beide (Bitwarden & KeePassXC) bieten z.B. Autofill an.

 

[BeBur]

@CoMo Die Maintainer der KeePass* Projekte. Mit Passwörtern sind z.B. jene zu deren Github Account gemeint. Man darf nicht vergessen, dass KeePass keine Marke ist. Komplett unabhängige Entwickler und Projekte haben KeePass* Software entwickelt und die haben im Regelfall organisatorisch nichts miteinander zu tun (KeePass1/2/XC ausgenommen).

 

[CoMo]

Komplett unabhängige Entwickler und Projekte haben KeePass* Software entwickelt und die haben im Regelfall organisatorisch nichts miteinander zu tun

Also so wie bei Bitwarden?

 

[Mosed]

PS: Und beide (Bitwarden & KeePassXC) bieten z.B. Autofill an.

Ohne Browser-Addon? wenn man nur die Desktop-App nutzt?
Im Browser mit addon gibt es autofill, ja.

 

[Anons]

@Mosed Gut, hier muss zwischen Desktop & Mobile sowie mit und ohne Addon unterschieden werden. Jedenfalls gibt es Möglichkeiten, ohne Addon nicht auf Copy & Paste angewiesen zu sein, z.B. bei KeePassXC Desktop mit Auto-Type. Lies dich hierfür bei weiteren Rückfragen bitte bei den Herstellern ein, welche gute Dokus zur Verfügung stellen.

 

[BeBur]

@CoMo
Lies nochmal meinen Beitrag, wenn du darauf inhaltlich eingehst können wir diskutieren. Ich werde mich aber nicht wiederholen.