Was ist der Vorteil von Passwort-Managern?

[rongador]

Hi,

ich habe mal eine Verständnisfrage in die Runde hier (bitte unterlasst Provokationen, Hinweise auf die Google-Suche und Co! Danke im Voraus!):

Was genau ist eigentlich aus sicherheitsrelevanter Sicht der große "Vorteil" von Passwortmanagern? Überwiegt hier nicht eher die Gefahr, alles auf eine Karte zu setzen?

Klar, manche Menschen mögen sich vielleicht keine komplexen eigenen Passwörter merken können und daher übernehmen solche "Services" die Erstellung und Verwaltung solcher Passwörter. Aber schlussendlich befinden sich diese Passwörter dann gesammelt innerhalb dieses EINEN Dienstes, an einem einzigen Ort (z.B. 1password, Google Passwörter, Apple Passwörter usw.).

Besteht hier nicht der riesengroße Nachteil, dass dadurch alle Zugangsdaten sich an EINEM Ort bei EINEM "Dienstleister" befinden und sich "Hacker" (oder wer auch immer) nur auf diesen einzigen Dienst konzentrieren müssen, um an alle Zugänge eines jeweiligen Nutzers zu gelangen?

Wenn ein Nutzer hingegen für jeden einzelnen Service (Soziale Netze, Shopping-Seiten, weitere Dienste, usw.) jeweils eigene komplexe Passwörter erstellt (und sich diese natürlich auch merken kann!), ist das nicht viel sicherer als sich komplett auf einen einzigen Passwortmanager-Dienst zu verlassen? Hat man beispielsweise 30 Dienste und somit 30 unterschiedliche (!) Passwörter, so müssten sich Angreifer auf 30 verschiedene Dienste einlassen, um an deren Passwörter zu kommen. Stecken all die Passwörter aber in EINEM Dienst (z.B. 1password), dann muss sich ein Angreifer doch nur auf diesen EINEN Dienst konzentrieren und könnte bestenfalls sofort Zugangsdaten zu 30 Dienste erlangen? Und er versichert, dass beispielsweise der Dienst HINTER dem Passwortmanager nicht irgendeinen Mist damit veranstaltet?

Oder erkenne ich hier irgendeinen großen Vorteil nicht? Daher mal die Frage in die Runde.

Und wie gesagt: Bitte unterlasst Provokationen, Hinweise auf die Google-Suche und Co! Ich schreibe ja bewusst einen Beitrag innerhalb DIESER Community! Danke im Voraus!

Gruß

 

[QuantumQuirk]

Der Punkt ist, dass alle Passwörter an einem Ort gespeichert sind und dies ein attraktives Ziel für Hacker darstellen könnte, ist absolut gültig. Es ist jedoch wichtig zu bedenken, dass Passwortmanager-Unternehmen sich dieser Risiken bewusst sind und erhebliche Anstrengungen unternehmen, um die Sicherheit ihrer Dienste zu gewährleisten.

Letztendlich hängt die Entscheidung, ob man einen Passwortmanager verwendet oder nicht, von der individuellen Situation und den persönlichen Vorlieben ab. Es ist immer wichtig, die eigenen Sicherheitsgewohnheiten regelmäßig zu überprüfen und zu aktualisieren.

 

[Incanus]

Passwortmanager gibt es auch mit lokalen Datenbanken, man muss nicht alles in der Cloud verwalten.

 

[MasterChief-117]

Also für mich besteht der Vorteil darin, dass ich mir (logischerweise) keine Passworter merken kann, die aus Groß-, Kleinbuchstaben und Symbolen bestehen und ich diese an einem Ort habe (iPhone/iPad/PC in meinem Fall). Der Login ist natürlich auch schnell erledigt. Um dranzukommen, müsste jemand das gleiche Gesicht wie ich haben (Face ID) oder mein Master-Passwort kennen. Die Datenbank liegt bei mir lokal auf meinem Synology NAS.

Meine Passwörter würde ich niemals bei Google oder Apple auf deren Servern speichern, auch wenn diese angeblich nicht ausgelesen werden können.

 

[NJay]

Warum ist es besser sein Geld bei einer Bank zu haben und nicht verteilt im Wald zu verbuddeln? Dann muss ein Angreifer nur in eine Bank einbrechen und hat all dein Geld, ansonsten müsste er den ganzen Wald absuchen um dein Geld zu finden.

Dummes Beispiel, aber ich denke es trifft den Punkt. Du hast zwar nur ein Einfallstor mit höherem Wert, aber dieses kann dafür umso stärker geschützt werden.

 

[eselwald]

Vorteil aus meiner Sicht:
Ein Passwort samt 2FA somit "höhere" Sicherheit.
Gleichzeitig können die Passwörter für alle anderen Dienste nun deutlich komplexer und länger werden ohne das ich mir was merken muss.

Ja sofern man mein Master-Passwort und Zugang zum 2FA hat bin ich am "arsch" aber der Komfort überwiegt bei mir.

 

[Coca_Cola]

Auch Abseits von PasswortManager liegen die Infos bzw der Zugang oftmals an einer Stelle -> meist eine zentrale E-Mail Adresse. Genau da wird oftmals auch angesetzt um Zugriff auch sehr viele Bereich zu haben.

Für mich ist der Vorteil das ich mir nur ein Passwort merken muss und dann zentral auf alle einzelnen Infos zugriff hab. Da es bei mir der PW-Manager nur auf den Smartphone ist und dieses gut gesichert, hab ich da erstmal vertrauen.

 

[Cebo]

Der Punkt ist einfach der, das sich die aller meisten Menschen eben nicht 50 komplexe Passwörter merken können. So verwenden eben viele das gleiche Passwort für mehrere Dienste. Einige wandeln es systematisch etwas ab. Beispielsweise NAME_DES DIENSTES********: Solche Muster lassen sich aber recht einfach erkennen. so das ein Angreifer, welches 1 Passwort erbeutet, dann doch zugriff auf mehr hat.

Dazu kann man Passwortmanager offline nutzen, seine Datenbank auf dem eigenen NAS syncen, 2FA nutzen. Das halte ich alles für viel sicherer als keinen Passwortmanager zu nutzen.

 

[Maine]

Ich nutze z.B. KeePass, die Datenbankdatei liegt dabei auf meinem privaten Cloudspeicher und ich kann mit jedem meiner Geräte immer auf die aktuellste Version zugreifen.

Du brauchst halt nur noch ein einziges Passwort, dass dafür sehr lang und sicher sein sollte.
So habe ich für jeden Dienst im Internet ein individuelles Passwort, das so lang und kompliziert sein kann wie es nur will - ich muss es ja im Normalfall nicht manuell eingeben.

Der Vorteil einer eigenen KeePass-Installation ist dabei, dass man nicht von einem Anbieter und dessen Sicherungssystemen abhängig ist. Es gab ja durchaus schon Fälle, in denen die Cloud eines Passwortspeicheranbieters gehackt wurde und Zugangsdaten abgeflossen sind.

Das ist bei einer privat betriebenen Installation sehr viel unwahrscheinlicher, dafür ist es initial natürlich mehr Aufwand. Aber wenn es einmal läuft, ist es prima.

 

[prayhe]

Natürlich wäre es theoretisch sicherer sich für alle Dienste komplexe Passwörter zu erstellen und sich diese gleichzeitig zu merken statt in einem Passwortmanager zu hinterlegen. Nur ist das eben sehr unrealistisch (vor allem bei einer großen Anzahl an Passwörtern / Accounts) und meiner Meinung nach verschwendete Energie. Ich könnte mir für meine rund 150 Einträge nicht jeweils ein komplexes Passwort ausdenken und auswendig merken Die Anbieter von so Services sind sich ihrer Verwantwortung schon bewusst. Vor allem wenn Apple oder Google erfolgreich gehackt werden würde hätten wir Ganz andere Probleme Davon abgesehen, dass du auch auf Passwortmanager mit lokaler Datenbank setzen kannst und dir darum dann keine Sorgen machen musst. In allen Fällen überwiegt der tatsächliche Nutzen im Alltag die potentiellen Gefahren würde ich sagen.

 

[Blutomen]

Man muss sich halt nur ein sehr sicheres Kennwort merken.

Zudem kann der PW Manager dann auch an eine regelmäßige Ernerung erinnern.
Oder die Accounts gegen bestimmte Datenbanken checken um festzustellen, ob da evtl. was geleakt wurde.

 

[Blackeye33]

Wie schon mehrfach geschrieben, deine Sorge ist sicherlich berechtigt. Man muss halt aktuelle Verschlüsselungsalgorithmen, ggf. den Anbieter und das gewählte Passwort vertrauen. Dazu hat man im Falle eines Falles für Wichtiges ja noch einen 2. Faktor.

Kaum jemand kann sich jedoch viele komplexe (und damit auch nicht ähnliche) Passwörter merken. Gleiche Passwörter pro Dienst würde ich tunlichst vermeiden, sonst sind gleich mehrere Logins auf einmal kompromittiert, wenn mal ein "Datenleak" passiert.

Ich habe über 300 Einträge in meinem Manager (sind nicht nur Websites). Welche Alternative schlägst du vor?

 

[Web-Schecki]

Es ist auch eine Komfortfrage, selbst wenn man sich (einige) Passwörter merken kann. Lange Passwörter andauernd selbst einzugeben kostet einfach Zeit. Deshalb neigen die meisten Menschen wohl dazu, eher kürzere Passwörter zu verwenden. Dabei ist die Länge eines Passwords deutlich wichtiger als die Verwendung von Sonderzeichen und Ziffern (die obendrein noch dazu führen, dass man es sich schlechter merken kann). Außerdem ist man so bspw. bei Webseiten-Passwörtern extrem anfällig gegenüber Phishing. Ein browserintegrierter Passwortmanager hingegen füllt das Login-Feld nur dann für mich aus, wenn ich auf der korrekten Seite bin, und der schafft es auch, das zuverlässig zu überprüfen, wenn ich schon vollkommen übermüdet bin.
Derartige "Angriffe" sind übrigens eine reale Gefahr, weil sie menschliche Fehler ausnutzen, die wir nunmal alle ab und zu machen. Dass ein Hacker deinen Rechner übernimmt und es auf den Passwortmanger abgesehen hat, ist hingegen extrem unwahrscheinlich.

 

[Falc410]

Passwortmanager sind in der Regel entsprechend verifiziert und geprüft, damit die eben keine Schwachstellen enthalten. Gerade Opensource kann ja auditiert werden. Gut gibt auch schwarze Schafe, gerade Cloud-Startups. Generell kann man aber davon ausgehen, dass die Datenbank mit den Passwörtern entsprechend stark verschlüsselt ist und wenn du einen geeigneten Masterkey hast, ist es für einen Angreifer unmöglich die Daten zu entschlüsseln (Quantencomputer, Fehler in der Implementierung der Verschlüsselung mal aussen vor gelassen).
Somit ist es deutlich "sicherer" verschiedene (gute) Passwörter für jeden Dienst zu verwenden, anstatt ein Passwort zu recyclen. Denn das machen viele ohne Passwortmanager und der Effekt ist dann genau der, den du beschrieben hast - ist ein Zugang geknackt bzw. das Passwort bekannt, kommen die Angreifer dann auch woanders rein.

 

[rongador]

Zuerst einmal: WOW, total vorbildliche freundliche und sachliche Antworten und gute Reaktionen auf meine Frage - vielen Dank dafür! Das ist hier nicht selbstverständlich.

Bezüglich eines Passwortdienstes, der "lokal" läuft: Damit ist dann aber eine lokale, eigene "Cloud" gemeint, wie z.B. über ein NAS, so wie ich es herausgelesen habe, richtig? Und damit diese überall erreichbar ist, muss dann ja wiederum alles über einen Dienst laufen - z.B. myfritz mit dynamischem DNS und "von außen erreichbarer" IP-Adresse, oder nicht? Das wiederum ist ja auch gerne ein Angriffsziel - habe so oft gelesen über Sicherheitsprobleme bei QNAP, Synology und Co. gelesen, wenn diese "von außen" erreichbar sind.

 

[SpamBot]

Ein Vorteil ist: Phishing funktioniert nicht. Landest du z.B. statt auf google.com auf googel.com und drückst auf das Passwort Feld kommt die Meldung das hier kein Passwort vorhanden ist.

Kommt das Passwort aus deinem kopf fällt diese Sicherheitslücke weg. Der Rest wurde ja schon gesagt, wer kann sich 30 komplexe Passwörter merken....

 

[redjack1000]

muss dann ja wiederum alles über einen Dienst laufen - z.B. myfritz mit dynamischem DNS und "von außen erreichbarer" IP-Adresse, oder nicht?

Nein muss nicht, wenn ein VPN eingerichtet ist.

Cu
redjack

 

[rongador]

Stimmt auch wieder, dann hat man ja per VPN Zugriff aufs lokale Netzwerk. Welcher Passwortmanager-Dienst ist denn hier z.B. für QNAP empfehlenswert? Und ist denn bei so etwas ohne Weiteres ein "Backup" möglich? Für den Fall, dass z.B. das NAS mal kaputt geht/verloren geht/was-auch-immer?

 

[andy_m4]

Was genau ist eigentlich aus sicherheitsrelevanter Sicht der große "Vorteil" von Passwortmanagern? Überwiegt hier nicht eher die Gefahr, alles auf eine Karte zu setzen?

Na erst mal vermischst Du zwei Dinge miteinander. Ein Passwortmanager kann (aber muss nicht zwangsläufig) ein Dienst sein. Da würde ich dann schon differenzieren.

Und zweitens: Ja. Ein Passwortmanager ist ein Kompromiss zwischen Sicherheit und Komfort. Kann aber tatsächlich auch die Sicherheit erhöhen. Passwörter im Kopf behalten ist theoretisch sicherer. Wenn das dann aber dazu führt, das Du einfache Passwörter wählst (weil Du Dir komplexe Passwörter nicht merken kannst) oder Passwörter mehrfach verwendest, dann erhöht er sogar die Sicherheit.

Außerdem gibts noch ein paar andere nette Features. Zum Beispiel das Login-Daten an URL geknüpft sind. Das führt dann dazu, das man nicht versehentlich seine Login-Daten auf einer Phishing-Fake-Website eingibt.

Der andere Aspekt ist, ob man das Passwortmanagent an einen externen Dienst delegiert. Das ist natürlich grundsätzlich problematisch. Man kann dem entgegenwirken, in dem man Passwörter verschlüsselt speichert. Allerdings bedeutet Verschlüsselung nicht absolute Sicherheit. Der Verschlüsselungsalgorithmus könnte z.B. fehlerhaft implementiert sein. Vorfälle dieser Art gab es in der Vergangenheit bereits zu genüge.
Die Hoheit über die Passwörter zu behalten ist also nicht die schlechteste Idee.

Aber auch dann ist noch längst nicht alles gut. Ist ein Gerät kompromittiert, nützt auch das Dir relativ wenig. Insofern hört der Schutz nicht beim Passwortmanager auf, sondern er ist nur ein Bestandteil eines Sicherheitsmaßnahmenpaketes.

 

[Maine]

Bezüglich eines Passwortdienstes, der "lokal" läuft: Damit ist dann aber eine lokale, eigene "Cloud" gemeint, wie z.B. über ein NAS, so wie ich es herausgelesen habe, richtig? Und damit diese überall erreichbar ist, muss dann ja wiederum alles über einen Dienst laufen - z.B. myfritz mit dynamischem DNS und "von außen erreichbarer" IP-Adresse, oder nicht? Das wiederum ist ja auch gerne ein Angriffsziel - habe so oft gelesen über Sicherheitsprobleme bei QNAP, Synology und Co. gelesen, wenn diese "von außen" erreichbar sind.

Im schlimmsten Fall kommt ein Angreifer an die Datenbankdatei des Passwortmanagers - ohne Masterpasswort kann er damit aber nix anfangen, da die Datei verschlüsselt ist.