Welcher Passwort-Manager?

[Tandeki]

Interessant, danke!

Als Lastpass-User bin ich da ja super weggekommen. Es werden drei Vulnerabilities angegeben:

1. Kommt nur vor, wenn man das Masterpasswort speichert (wer macht sowas?),

The user should not save his master password, avoid such convinience functions.

2. Kommt nur vor, wenn man den eingebauten Browser von Lastpass nutzt (nutze ich nicht und im Ernstfall werden ohnehin nur Daten über Sucheingaben geleakt, PW sind nicht betroffen) und

The search request to the google URL is a plaintext http request. A man-in-the-middle attacker can eavesdrop all search results and called URLS from the user

3. War ein Leak in einer alten Version von Lastpass.

As described in section details this attack works only on older Android verions for the LastPass app.

Übrigens weist der Artikel aus, dass alle Hersteller mittlerweile alle Bugs gefixt haben.

Quelle für alle Zitate: https://team-sik.org/trent_portfolio/password-manager-apps/

 

[Titan CCCCIↃↃↃↃ]

Mein Thread lebt! ^^

Benutze immer noch Keepass, hätte ich als Student unendlich Geld, würde ich jedoch zu 1Password greifen.

 

[Dr. McCoy]

Als Lastpass-User bin ich da ja super weggekommen.

Da befindest Du Dich leider im Irrtum. In der Vergangenheit gab es auch dort schon erhebliche Probleme, u.a. mit einem dokumentierten Teilabgriff sensibler Nutzerdaten:
-> https://www.heise.de/security/meldu...-Passwortspeicherdienst-LastPass-1237975.html
-> https://www.heise.de/security/meldung/Hackerangriff-auf-Passwort-Manager-LastPass-2691498.html

Hier also anzunehmen, der gerade von einem selbst verwendete Passwortmanager sei im Vergleich zu anderen Lösungen eine gute Lösung, führt, wie in Deinem Fall zu lesen, letztlich nur zu einer Art von Scheinsicherheit.

 

[Tandeki]

Hast Du die vermeintlichen "Teilabgriffe sensibler Nutzerdaten" eigentlich genau gelesen?

1. Ist in beiden Fällen noch nicht einmal sicher, dass überhaupt etwas gestohlen wurde,
2. Wenn etwas gestohlen wurde, dann kann man damit per se noch nichts anfangen (möglicherweise wurden Erinnerungshinweise der Master-Passwörter und per Brute-Force-Angriff schwache Masterpasswörter nach einem Verfahren geknackt, das seit fünf Jahren nicht mehr eingesetzt wird),
3. Sind alle beiden Fälle alt, behoben und daher nicht mehr relevant und

4. Habe ich bei meiner Aussage mit keiner Silbe behauptet, der von mir "selbst verwendete Passwortmanager sei im Vergleich zu anderen Lösungen eine gute Lösung". Ich habe hingegen anhand der originalen Untersuchung dargelegt, dass bei Lastpass in dieser Untersuchung keine wesentlichen Sicherheitsprobleme festgestellt wurden und
5. Die möglichen Szenarien bereits durch Fixes abgestellt wurden.

Hier möchte ich den Kommentar von Mr. Goldberg empfehlen, der sachlich an das Thema herangeht:

Anyone who says their software is bug-free hasn't been in the industry long. We try not to make mistakes, and we have picked a security architecture so that mistakes are less likely to have awful consequences; but we and our customers rely not only on our own bug hunting and testing but also on the kinds of analyses and reports that come in.

I think that a more careful reading of the actual issues will reveal the unsurprising fact that we are not perfect, but also that 1Password has a robust security architecture that protects your secrets and your privacy.

Quelle: http://thehackernews.com/2017/02/password-manager-apps.html?m=1

Ohne inhaltliche Argumentation einfach nur alte Bugs einer Software per Google-Fähigkeit herauszukramen, um emotional einen auf "ihr seid sicherheitstechnisch alles Luschen" zu machen, entlarvt nicht die Software, sondern nur die eigene geistige Haltung. Und die beschränkt sich offenbar auf den feinsinnigen Allgemeinplatz, dass keine Software 100%ig sicher ist.

Ach was...

@MTC1: danke für die Rückmeldung. Ich finde es schade, dass Keepass bei der Untersuchung nicht mit berücksichtigt wurde. Schließlich wird es offenbar auf breiter Front eingesetzt.

 

[Uninstaller]

Ich nutze zwar RoboForm 8 (verstehe auch nicht das der, obwohl kostenlos, so selten benutzt/genannt wird), aber ich glaube das LastPass nicht in endlicher Zeit geknackt werden kann:

Lastpass nutzt aktuelle Sicherheitsstandards (AES-256 Bit-Verschlüsselung mit PBKDF2-256) und fügt den Hash-Werten der Passwörter vor der Verschlüsselung "Salt" hinzu. Vereinfacht gesagt bedeutet das: Passwörter werden so chiffriert, dass selbst zwei identische Kennwörter in verschlüsselter Form unterschiedlich aussehen.
Im Falle eines Hacks erbeuten Angreifer zwar die unkenntlich gemachten Passwörter, können damit aber nichts anfangen. Kriminellen ist es bereits mehrfach gelungen, einen Teil der verschlüsselten Daten abzugreifen. Sicherheitsexperten halten es aber für unwahrscheinlich, dass sie die Passwörter entschlüsseln konnten.

Wer seinem Masterpasswort nicht vertraut, kann für Lastpass die 2FA aktivieren. Vor allem Nutzer, die viele Passwörter in ihrem Tresor gespeichert haben, sollten diesen zusätzlichen Sicherheitsmechanismus unbedingt einsetzen.

 

[Scheitel]

@TE
könnte dir, wenn du noch mehr als nen reinen PW Safe suchst, Essential Pim empfehlen.
Der bietet nen Kalender, Aufgaben, Notizen, Kontakte, Email und den Passwortsafe. Natürlich auch in einer PW geschützen DB, die man über die gängigen Clouds Synchen kann, wenn man will. Nutze das jetzt seit ein paar Jahren um im Büro/Zuhause/Handy alles parat/synchron zu haben.

 

[Frightener]

Ich bin jetzt von 1Password auf EnPass gewechselt, da 1Password mittlerweile ein Abo-Modell eingeführt hat. Benutze das auf iMac, Windows und iPhone, wobei lediglich die mobilen Versionen kostenpflichtig sind, wenn man mehr als 20 Einträge hat.

 

[cantknoweveryth]

Hallo,
bei den letzten tieferen Tests vor ein paar Jahren hat eigentlich immer Acebit Passwort Depot sehr gut abgeschnitten.
U. a. wurde da nie das Passwort unverschlüsselt im Arbeitsspeicher abgelegt, was bei manchen anderen Wettbewerbern häufiger der Fall war. Ob's die Cloud beherrscht? Informieren!

Leider wird ja heute meist nur noch rezensiert und nicht mehr sorgfältiger getestet wegen dem Auflagenschwund der Publikationen).

cke

 

[Magl]

Na dann am besten das Gehirn trainieren und alle Passwörter merken das ist immer noch am sichersten würde ich sagen.

Sign!

Das ist leider noch viel unsicherer, denn du benötigst im Allgemeinen eine einfache Systematik, um das zu können.
Nicht jeder wählte die Sicherste, aus einem langen Satz jeweils das erste/letzte Zeichen eines Wortes.
Und das für zig PWs.

Ich nutze KeePass 2 mit 3 Key-Dateien, lasse die PWs generieren und habe es auf einem sehr kleinen USB-Stick in meinem Geldbeutel.

Was is, wenn Du den Geldbeutel verlierst oder der USB Stick defekt ist? Sind dann alle PW weg ? Sicherheit ?

Also ich bin da oldschool unterwegs --> Ein simples Notizbuch zu Hause versteckt. hmm.. könnte gestohlen werden, oder die Bude abbrennen.. beides unwahrscheinlich.

 

[Tandeki]

Es geht hier um die Frage "welcher Passwortmanager" und nicht darum, wer keinen einsetzt!

 

[Scheitel]

Falls irgendwer von euch mal Sticky Password benutzt hat, die haben gerade ne Werbeaktion mit ner Lifetime Lizenz für 26€ statt 130€.
Allerdings hab ich das per Mail bekommen und sehe das so nicht auf deren Seite. Deswegen die Erwähnung, wer es mal benutzt hat, denn die Mail sollten vermutlich so einige bekommen haben Hatte das vor ein paar Jahren mal getestet, aber wegen der happigen Premium Preises sein gelassen.

 

[crashbandicot]

Achtung Achtung, KeePass gibt es dauerhaft für 0 EUR. Ohne Rabatt, ohne Cloud, ohne Abhängigkeit.

 

[Tandeki]

Seufz...

@Scheitel: danke für den Hinweis. Auf Stacksocial gibt es dieses Angebot übrigens auch immer wieder. Wie ist denn das Ergebnis Deines Tests? Hast Du einen Vergleich mit anderen Anbietern gemacht?

 

[Scheitel]

Als ich das Anfang 2015 ausprobiert habe, hat das alles gut klappt im FF und im Chrome. Mir war das Syncen wichtig, hab schon gern auf allen PCs zuhause das Gleiche und natürlich ebenso im Büro.
Habs aktuell wieder Installiert und schaue mir das noch mal an. Jetzt werden auch Apps zum Autologin unterstützt. Muss damit mal ein paar Apps durchgehen. Leider wird eine meiner Standardapps nicht unterstützt (ASG Remotedesktop) und in der kann man das Anmelde PW auch leider nicht speichern. Mal schauen, wie viele Apps es werden. Die Funktion an sich find ich gar nicht mal verkehrt.

Hatte jetzt u.a. auch den Passwortmanager von G DATA (in der Total Security enthalten) drauf, der machte aber durch die neuen Versionen von Chrome und FF zum Teil Probleme, weil die ja u.a. ihre Plugins ändern bzw geändert haben. Sonst war das auch unauffällig und problemlos damit.

 

[Tandeki]

Danke für die Infos!

Aber wenn ich das recht sehe, muss man auf jedem System, auf dem man Sticky Passwords nutzen will, auch das Programm installieren, oder? Weil im Chrome Webstore finde ich keine Erweiterung. Das schätze ich so bei Lastpass, das ich aktuell nutze. Es unterstützt die Synchronisation über mehrere Geräte, ich muss dafür nur die Erweiterung im Browser hinzufügen.

 

[Scheitel]

Gern Ja genau, das muss man auf jedem System installieren und das Syncen geht nur mit dem Premium Account. Im Browser ruft Sticky PWs ne Seite zum installieren des Plugins unter Chrome auf, das scheint echt nicht "so" im Store gelistet zu sein.

 

[Marcus Hax0rway]

Ich finde den von Avast ganz gut. Da brauche ich nicht noch extra irgendwas zusätzlich installieren, weil ich sowieso deren Virenschutz verwende.

 

[Margos Dezerian]

Ich nutze seit ein paar Monaten F Secure Key und kann nicht meckern,läuft auf den Laptops und meinen Smartphones absolut stabil und zuverlässig.Der Firma vertraue ich im Gegensatz zu LastPass wenigstens halbwegs.

 

[iN00B]

Ich benutze zum Archivieren seit 1998 ein passwortgeschütztes WinRar-Archiv mit langer aber schnell tippbarer Passwortphrase. Alle Paswörter sehen ungefähr so aus und sind Unikate: AD$§ÄZBU_:T%HGzsBVEDÄTRVF%AEFR!§G_$VEw
Im FF nutze ich gegenwärtig ein Session-Masterpasswort, also demzufolge den eingebauten Manager, aber nur für häufig angesteuerte Seiten, nicht für Shops oder gar Banking. Einem Passwortmanager eines Drittanbieters traue ich keinen Meter weit. Das ist Schlangenöl und Bloatware!
Wenn das Decrypten mit der Zeit theoretisch zu schnell gehen sollte, kommt die passwortgeschützte Rar-Datei eben umbenannt in ein passwortgeschütztes *.7z oder anderes *Dings* und wird ebenfalls für den potenziellen schnellen Überflieger unkenntlich gemacht. Gepflegt will das Ganze auch werden... also Passwörter aus alten Zeiten ändern, Accounts knallhart stillegen oder bei Unfähigkeit der Betreiber per 5-Minuten-E-Mailadresse unbrauchbar machen etc. Fakedaten sind bei mir eigentlich an der Tagesordnung. War nie anders, außer es geht um's Geld.

 

[Der-Orden-Xar]

Ein proprietäres Format mit einem proprietären 3.-Anbieter Programm verwenden, aber echte Passwortmanager als Schlangenöl und Bloatware betiteln

Zur Geschwindigkeit des Entschlüsseln: Keepass erlaubt es, den Vorgang zu verlangsamen und die Parallelisierung zu verringern.