Was ist der Vorteil von Passwort-Managern?
- Ersteller rongador
- Erstellt am
DorMoordor
Lt. Junior Grade
- Registriert
- Aug. 2017
- Beiträge
- 345
Nein. Z.B. Keepass ist nur eine Datei lokal bei dir auf dem Rechner. Wenn du die von einem anderen Gerät nutzen willst, musst du die selber rüber synchen. Aber wie du das machst ist dir überlassen. Kannst ja einstellen, dass die nur in deinen eigenen 4 Wänden gesyncht wird und du dann immer nur die aktuell gerade vorliegende Version nutztrongador schrieb:
A
AI-Nadja
Gast
Ich speichere die Datenbank meines Passwortmanagers nie in einer Cloud oder Netzwerk ab.
Die Datei wird wie alle wichtigen Daten über ein Kabel bzw. externe Festplatte/Stick synchronisiert.
Die Eingabe der Passwörter erfolgt immer manuell. Also niemals über Browser-Addons oder Apps/Tools von Dritten.
"Datenbank entsperren, auf Login-Textfeld klicken, Tastenkombination drücken."
Das mit Abstand größte Sicherheitsrisiko ist nicht der eigene PC, sondern die Unternehmen und Seitenbetreiber, bei denen deine Daten gespeichert werden.
Dort gibt es auch deutlich mehr zu holen. Nämlich viele Millionen Kundendaten, anstatt eine kleine Datenbank eines einzelnen Nutzers, der statistisch gesehen wertlose Daten hat.
Online-Diensten für Passwörter darf man niemals vertrauen. (Google Sign In, Apple ID, Microsoft Authenticator, Samsung Pass, Browser-Konten, und wie sie alle heißen)
Die Datei wird wie alle wichtigen Daten über ein Kabel bzw. externe Festplatte/Stick synchronisiert.
Die Eingabe der Passwörter erfolgt immer manuell. Also niemals über Browser-Addons oder Apps/Tools von Dritten.
"Datenbank entsperren, auf Login-Textfeld klicken, Tastenkombination drücken."
Das mit Abstand größte Sicherheitsrisiko ist nicht der eigene PC, sondern die Unternehmen und Seitenbetreiber, bei denen deine Daten gespeichert werden.
Dort gibt es auch deutlich mehr zu holen. Nämlich viele Millionen Kundendaten, anstatt eine kleine Datenbank eines einzelnen Nutzers, der statistisch gesehen wertlose Daten hat.
Online-Diensten für Passwörter darf man niemals vertrauen. (Google Sign In, Apple ID, Microsoft Authenticator, Samsung Pass, Browser-Konten, und wie sie alle heißen)
frazzlerunning
Commander
- Registriert
- März 2017
- Beiträge
- 2.713
Eigene Cloud ist eine Möglichkeit, eine andere ist es die Datenbanken wirklich nur lokal auf jenen Geräten zu speichern (und zu synchronisieren), bei denen ein Login an Diensten vorgesehen ist.rongador schrieb:
Für mich ist es Komfort: meine 140 Zugangsdaten sind in Bitwarden online, da einige auch mit anderen Personen geteilt werden (zb. Haushaltskonto-Zugang mit der Frau, einige Zugänge mit Muttern bzw. Schwiegermutter...).
Mein Zugang zu den Daten ist über ein starkes Master-Passwort und zwei YubiKeys abgesichert, also kann sich ohne einen der physischen Keys (und dem Master-Passwort) niemand an einem neuen Gerät Zugriff verschaffen.
Ergänzung ()
Ich hätte geschrieben "sollte man nicht blind vertrauen". Bitwarden zb. macht regelmäßig externe Security Audits (Annual Bitwarden Third-Party Security Audits) und stellt die Ergebnisse auch online zur Verfügung.AI-Nadja schrieb:
Das ist für mich Sicher genug.
A
AI-Nadja
Gast
@frazzlerunning
Audits sind nur eine Momentaufnahme, auf die man nebenbei Einfluss hat und wie man weiß, braucht es nur einen einzigen Fehler, damit eine Datenbank von Millionen Nutzern sonst wo landet.
Ein Bug, menschlicher Fehler, kriminelle Energie eines Angestellten, eine Drittpartei, staatliche Akteure, etc.
Natürlich kann man darauf ("blind") vertrauen, da es überdurchschnittlich sicher ist oder man vermindert das Risiko, indem die Datenbank nicht auf fremden Festplatten irgendwo in der Welt speichern lässt.
Es ist immer nur eine Frage der Zeit, wann ein "sicheres" Unternehmen nicht mehr sicher ist und das nächste "sichere" Unternehmen nachrückt.
Es ist immer eine Gratwanderung zwischen Komfort und Sicherheit.
Vertraut man einem US-Unternehmen und ignoriert Menschen wie Edward Snowden oder führt man Karteikarten mit kryptischen Hinweisen auf die Passwörter, die man in der Wand versteckt? Am Ende ist es etwas dazwischen.
Audits sind nur eine Momentaufnahme, auf die man nebenbei Einfluss hat und wie man weiß, braucht es nur einen einzigen Fehler, damit eine Datenbank von Millionen Nutzern sonst wo landet.
Ein Bug, menschlicher Fehler, kriminelle Energie eines Angestellten, eine Drittpartei, staatliche Akteure, etc.
Natürlich kann man darauf ("blind") vertrauen, da es überdurchschnittlich sicher ist oder man vermindert das Risiko, indem die Datenbank nicht auf fremden Festplatten irgendwo in der Welt speichern lässt.
Es ist immer nur eine Frage der Zeit, wann ein "sicheres" Unternehmen nicht mehr sicher ist und das nächste "sichere" Unternehmen nachrückt.
Es ist immer eine Gratwanderung zwischen Komfort und Sicherheit.
Vertraut man einem US-Unternehmen und ignoriert Menschen wie Edward Snowden oder führt man Karteikarten mit kryptischen Hinweisen auf die Passwörter, die man in der Wand versteckt? Am Ende ist es etwas dazwischen.
Zuletzt bearbeitet von einem Moderator:
Wie man sieht ist der sehr überwiegende Teil aller Antworten "Pro" Passwortmanager: Eine große Menge, unterschiedlicher und gleichzeitig starker Passwörter kann man anders nicht verwalten.
Und ich denke selbst Menschen, die sehr sparsam mit Internet Diensten umgehen haben, haben schnell 20 oder mehr Passwörter. Wer etwas intensiver im Internet unterwegs ist, hat schnell mal über 100. Selbst wenn davon die meisten nur sehr selten (oder gar einmal) verwendet werden.
Selbst bei uns im Unternehmen, obwohl eigentlich alles über Single-Signon laufen soll, habe ich ca. 30 Acounts mit eigenen Login/Passwörter. Da sind da so Dinge wie der Zugang zu der Firma die unsere Arbeitsschutz-Schulung macht, usw.
Wo sich die Geister hier scheiden, ist die Frage Online oder Lokal. Es gibt schon Stimmen, die sagen "Cloud ist des Teufels". Natürlich muss man das immer für sich selbst entscheiden.
Grundsätzlich funktioniert lokal und offline nur, wenn man im wesentlichen nur ein Gerät hat, mit dem man sich in Dienste einloggt. Sobald man mit mehreren Geräten arbeitet, und die Passwörter in Echtzeit synchron gehalten werden sollen, wird es schnell umständlich bis unmöglich.
Und "Umständlich" ist immer ein Sicherheitsrisiko, weil man z.b. eventuell ein Passwort nicht ändert, oder mal eben doch ein schwaches Passwort manuell vergibt, weil der PM nicht verfügbar ist oder man schlicht den Aufwand scheut.
Spätestens wenn man nicht allein lebt, sollte man sich auch Gedanken machen, wie die Haushaltsangehörigen Zugriff auf digitale Dienste bekommen, wenn man mal selber nicht in der Lage dazu sein sollte...
Sobald man also Passwörter zwischne Geräten und/oder Personen teilen will, kommt man um eine Cloud Lösung nicht herum. Das kann natürlich auch eine "private" Cloud sein.
Realer Identitätsdiebstahl findet fast immer über zwei Wege statt:
Gestohlene und geknackte Passwort Manager Datenbanken sind eher die Ausnahme.
Grundsätzlich sollte man in die folgende Punkten beachten
Und ich denke selbst Menschen, die sehr sparsam mit Internet Diensten umgehen haben, haben schnell 20 oder mehr Passwörter. Wer etwas intensiver im Internet unterwegs ist, hat schnell mal über 100. Selbst wenn davon die meisten nur sehr selten (oder gar einmal) verwendet werden.
Selbst bei uns im Unternehmen, obwohl eigentlich alles über Single-Signon laufen soll, habe ich ca. 30 Acounts mit eigenen Login/Passwörter. Da sind da so Dinge wie der Zugang zu der Firma die unsere Arbeitsschutz-Schulung macht, usw.
Wo sich die Geister hier scheiden, ist die Frage Online oder Lokal. Es gibt schon Stimmen, die sagen "Cloud ist des Teufels". Natürlich muss man das immer für sich selbst entscheiden.
Grundsätzlich funktioniert lokal und offline nur, wenn man im wesentlichen nur ein Gerät hat, mit dem man sich in Dienste einloggt. Sobald man mit mehreren Geräten arbeitet, und die Passwörter in Echtzeit synchron gehalten werden sollen, wird es schnell umständlich bis unmöglich.
Und "Umständlich" ist immer ein Sicherheitsrisiko, weil man z.b. eventuell ein Passwort nicht ändert, oder mal eben doch ein schwaches Passwort manuell vergibt, weil der PM nicht verfügbar ist oder man schlicht den Aufwand scheut.
Spätestens wenn man nicht allein lebt, sollte man sich auch Gedanken machen, wie die Haushaltsangehörigen Zugriff auf digitale Dienste bekommen, wenn man mal selber nicht in der Lage dazu sein sollte...
Sobald man also Passwörter zwischne Geräten und/oder Personen teilen will, kommt man um eine Cloud Lösung nicht herum. Das kann natürlich auch eine "private" Cloud sein.
Realer Identitätsdiebstahl findet fast immer über zwei Wege statt:
- Bei Diensten gestohlene Logindaten, und hier vor allem mehrfach genutzte Passwörter
- Phising
Gestohlene und geknackte Passwort Manager Datenbanken sind eher die Ausnahme.
Grundsätzlich sollte man in die folgende Punkten beachten
- Die Sicherheit einer Password Datenbank, egal ob Lokal oder in der Cloud, steht und fällt mir der Stärke und Qualität das Masterpasswortes (unter der Annahme das der PW Manager technisch sicher implementiert ist)
- Dienste die ein hohes Schadenspotenzial bieten (also etwa überall wo man Zahlungsdaten hinterlegt hat) sollten unbedingt zusätzlich mit 2FA abgesichert werden
- Das gilt auch und vor allem für den EMail Account die man ggf. für das Rücksetzen von Passwörtern verwendet
- Falls man 2FA verwendet, unbedingt prüfen wie man den Zugang bei Verlust des 2FA Gerätes/Daten wiederherstellen kann (Recovery Codes, zusätzliche Telefonnummern, usw.)
- Jedes Gerät das mit dem Internet verbunden ist, ist Bestandteil der Cloud. D.h. die lokale Keypass Datenbank ist nur solange nicht Bestandteil der Cloud wie man mit dem Computer auf dem sie gespeichert ist nicht ins Internet geht. Deswegen gilt auch hier der erste Punkt: Die Sicherheit steht und fällt mit der stärke des Masterpasswortes
- Bei Zugängen innerhalb der Familie/Firma ist das schwächste Glied der Kette immer der Benutzer mit dem schwächsten Passwort. Es nützt mir nichts wenn ich meinen Paypal Account mit starken Passwort und 2FA gesichert habe, wenn meine Frau ein schwaches Passwort verwendet. Dann wird unser Girokonto halt dann über ihren Zugang leergeräumt. Daher muss man in diesem Fall eine Lösung finden die für alle benutzbar ist
Ich nutze KeePassXC rein lokal auf meinem Rechner.
Großer Vorteil für mich ist, dass ich für alles was halbwegs guten passwortschutz braucht unendlich komplexe Passwörter generieren kann, die halt praktisch als unknackbar gelten.
Man könnte auf die Datenbank per VPN oder so zugreifen, wenn man unterwegs ist, brauch ich aber nicht.
Für Geräte wie Smartphones handhabe ich es dann so:
Für Accounts, die so ein komplexes Passwort brauchen, tippe ich es einfach vom Rechner ab.
Klar, ist jetzt nicht so bequem wie über cloud gedöns, dafür eben relativ sicher. Zudem muss ich das Poasswort idr. ja auch nur einmal eingeben und der Login bleibt dann eben für Monate oder sogar Jahre bestehen, wenn man dedizierte Apps für den jeweiligen Dienst nutzt. (z.B. Steam login in der Mobile App bleibt ewig bestehen, hier ist mir ein sehr komplexes passwort aber wichtig, da ich viel Geld in die Spiele investiert habe. Genauso der Login bei Online Händlern wie Amazon bleibt bestehen, wenn man sich einmal angemeldet hat und die App nutzt)
Für Logins für irgendwelche Foren wie z.B. computerbase nutze ich ziemlich simple Passwörter, die ich mir auch merke. Da ist es mir dann auch egal wenn ich die gleichen Passwörter für mehrere Seiten nutze, da hier nichts von besonderem Wert geschützt werden muss. Für unwichtige Passworter würde ich evtl. auch einen der Online Passwortmanager nutzen, da es bequem ist.
Also kurz gesagt (wurde ja auch schon öfter erwähnt) größter Vorteil eines Passwortmanagers ist die hohe Passwortkomplexität und die Tatsache, dass man für jeden Dienst ein eigenes hochkomplexes passwort nutzen kann.
Ein Hacker kann das PW eines Dienstes somit per Bruteforce quasi unmöglich knacken und selbst wenn der Account kompromittiert wurde und das Passwort bekannt geworden ist, ist nur dieser eine Account betroffen und nicht auch gleich alle anderen (weil man eben individuelle Passwörter nutzt)
Ohne Passwortmanager ist das halt unmöglich. Ich kann mir nichtmal ein einzelnes zufälliges komplexes passwort merken noch könnte ich mir dutzende davon merken. Der PW manager ersetzt eben in dem Fall Papier, Stift und Tresor.
Großer Vorteil für mich ist, dass ich für alles was halbwegs guten passwortschutz braucht unendlich komplexe Passwörter generieren kann, die halt praktisch als unknackbar gelten.
Man könnte auf die Datenbank per VPN oder so zugreifen, wenn man unterwegs ist, brauch ich aber nicht.
Für Geräte wie Smartphones handhabe ich es dann so:
Für Accounts, die so ein komplexes Passwort brauchen, tippe ich es einfach vom Rechner ab.
Klar, ist jetzt nicht so bequem wie über cloud gedöns, dafür eben relativ sicher. Zudem muss ich das Poasswort idr. ja auch nur einmal eingeben und der Login bleibt dann eben für Monate oder sogar Jahre bestehen, wenn man dedizierte Apps für den jeweiligen Dienst nutzt. (z.B. Steam login in der Mobile App bleibt ewig bestehen, hier ist mir ein sehr komplexes passwort aber wichtig, da ich viel Geld in die Spiele investiert habe. Genauso der Login bei Online Händlern wie Amazon bleibt bestehen, wenn man sich einmal angemeldet hat und die App nutzt)
Für Logins für irgendwelche Foren wie z.B. computerbase nutze ich ziemlich simple Passwörter, die ich mir auch merke. Da ist es mir dann auch egal wenn ich die gleichen Passwörter für mehrere Seiten nutze, da hier nichts von besonderem Wert geschützt werden muss. Für unwichtige Passworter würde ich evtl. auch einen der Online Passwortmanager nutzen, da es bequem ist.
Also kurz gesagt (wurde ja auch schon öfter erwähnt) größter Vorteil eines Passwortmanagers ist die hohe Passwortkomplexität und die Tatsache, dass man für jeden Dienst ein eigenes hochkomplexes passwort nutzen kann.
Ein Hacker kann das PW eines Dienstes somit per Bruteforce quasi unmöglich knacken und selbst wenn der Account kompromittiert wurde und das Passwort bekannt geworden ist, ist nur dieser eine Account betroffen und nicht auch gleich alle anderen (weil man eben individuelle Passwörter nutzt)
Ohne Passwortmanager ist das halt unmöglich. Ich kann mir nichtmal ein einzelnes zufälliges komplexes passwort merken noch könnte ich mir dutzende davon merken. Der PW manager ersetzt eben in dem Fall Papier, Stift und Tresor.
Guru-Meditation
Ensign
- Registriert
- Feb. 2024
- Beiträge
- 162
Die Frage ist, bist du denn so interessant und prominent das dich das ganze Web kennt und genau weiß wie und womit du deine Passwörter verwaltest? dann ist noch zu berücksichtigen, hacken ist schnell gesagt aber richtig können tun das vllt. nur ein Dutzend Gruppen, die ganz sicher scharf auf uns und unsere paar Kröten auf irgendwelchen Konten sind...die bewegen sich wenn es sich richtig lohnt und sie genau wissen was da zu holen ist...so einfach ist das alles nicht.
Natürlich gibt es da auch unendlich viele Möchtegerne die aber mehr als Phishing nicht auf die Reihe bekommen. Und wer in einer Mail - dem der Absender unbekannt ist, auf irgendwelche Links klickt, und alles glaubt was da so geschrieben steht, der braucht keinen Passwortmanager, der braucht was anderes..
Natürlich gibt es da auch unendlich viele Möchtegerne die aber mehr als Phishing nicht auf die Reihe bekommen. Und wer in einer Mail - dem der Absender unbekannt ist, auf irgendwelche Links klickt, und alles glaubt was da so geschrieben steht, der braucht keinen Passwortmanager, der braucht was anderes..
- Registriert
- Jan. 2007
- Beiträge
- 1.970
Du hast ein etwas merkwürdiges Verständnis des modernen Internets. Nahezu alles was diese Hackergruppen machen läuft automatisiert, die scannen einfach wild nach Schwachstellen. Und wenn z.B. ein Passwortspeicheranbieter eine Lücke hat und Daten abfließen, landen diese Daten in irgendeinem Darknetforum und können dort gekauft werden und dann kann jeder damit machen, was er will.Guru-Meditation schrieb:
Dafür muss man weder interessant noch wichtig sein, man wird einfach Opfer von Automatismen.
Oli_P
Commodore
- Registriert
- Mai 2006
- Beiträge
- 4.876
Ein vernünftiger Passwort-Manager ist unentbehrlich. Ich nutze mehrere Keepass-Datenbanken (offline und in der Cloud), die alle mit Passwort und Keyfile verschlüsselt sind. Die Keyfiles hab ich auf USB-Sticks und nochmal als Backup an sicherer Stelle. Natürlich hab ich auch Backups der Datenbanken an mehreren Stellen. Aber Datenbanken und Keyfiles liegen nie am selben Ort. Man muss einen Kompromiss zwischen Komfort und Sicherheit finden. Aber meine sensiblen Daten alle in irgendeinen Online-Dienst wie z.B. Lastpass speichern kommt nicht in Frage.
WhiteHelix
Commander
- Registriert
- März 2022
- Beiträge
- 2.729
Dann gehört der Kram noch eher in eine Offline Datenbank als sonst eh schonrongador schrieb:
Mein Kram liegt auch in einem lokalen Vaultwarden, anders ist das unmöglich handzuhaben. Sind ja nicht nur Accounts/Kennwörter, auch teilweise Private Keys, irgendwelche Client Secrets, etc. Allein die dreistellige Anzahl Kennwörter mit, sofern der Anbieter das zulässt (unendlich nevig wenn nicht) 20 Zeichen+ kann ich mir unmöglich merken. Irgendwelche API Keys oder so natürlich noch viel weniger.
Ich bin da auch der Meinung, dass es deutlich unwahrscheinlicher ist, das jemand an meine Datenbank, oder gar deren Inhalt kommt, als das meine Zugangsdaten bei Dienst XYZ geleaked werden. Hatte ich auch tatsächlich schon mit Roll20. Das bekommt aber dank PW Manager ein generiertes Kennwort und auch eine Mail-Adresse die nur der Dienst bekommt.
