Passwortmanager

[chirlu]

vor 6 Stunden von Dandy:

Verwendet ihr Passwortmanager in eurem Browser? Wenn ja, auch für wichtige Passwörter oder nur "unwichtige" Zugänge?

 

Ja, nur für unwichtige Zugänge.

[Bast]

vor 5 Stunden von dimido:

Ich benutze enpass auf dem Mac, dem iPad und iPhone. Und im Browser (safari und Firefox) die dazugehörigen enpass-plugins.

Wo liegt der Vorteil gegenüber dem iCloud-Schlüsselbund?

vor 5 Stunden von dimido:

vor 5 Stunden von dimido:

[dimido]

vor 58 Minuten von Bast:

Wo liegt der Vorteil gegenüber dem iCloud-Schlüsselbund?

Ich hatte bis vor 2 Jahren ein Android und habe aktuell auch noch einen NUC Win 11 PC.
Auf denen läuft das mit enpass genauso reibungslos mit dem syncen per WLAN, also plattformübergreifend.
Ich nutze zwar iCloud und google Cloud für allerlei Sachen, aber eine Passwort-Datei gehört meiner Ansicht nach einfach nicht in eine Cloud.

[stagflation]

Am 9.8.2024 um 16:47 von Limit:

Ich habe einige Zeit darüber nachgedacht, ob ich die Passwörter für die Banken in den Passwortmanager packen sollen.

 

Passwort-Manager wie KeePassXC können mehrere Password-Safes verwalten. Ich habe beispielsweise einen für "normale" Internet-Anwendungen - und einen für meine Banken.

 

Synchronisation über Netzwerk oder gar über die Cloud mache ich nicht. Bei den meisten Krypto-Angriffen wird nicht versucht, die Verschlüsselung "an sich" zu knacken. Sondern es wird versucht, eine Schwachstelle in der Infrastruktur drumherum zu finden. Deshalb: Angriffsfläche klein halten.

[Gast260614]

Ich benutze Vaultwarden/Bitwarden ohne Cloud. Sehr zufrieden auch zum Teilen einiger Passwörter mit Familienmitglieder. 

Zugriff/Synchronisation nur über VPN oder im Heimnetzwerk

[Dandy]

vor 5 Stunden von stagflation:

Synchronisation über Netzwerk oder gar über die Cloud mache ich nicht. Bei den meisten Krypto-Angriffen wird nicht versucht, die Verschlüsselung "an sich" zu knacken. Sondern es wird versucht, eine Schwachstelle in der Infrastruktur drumherum zu finden. Deshalb: Angriffsfläche klein halten.

Genau deswegen verstehe ich das Problem mit der Cloud nicht. Man speichert dort schließlich nicht das Passwort zum entschlüsseln der Datei. Das gibt man nur lokal im Client an, um den Passwortsafe zu entschlüsseln. Gegen Brute-Force Attacken hilft dann ein entsprechend langes Passwort und/oder eine, natürlich nur lokal gespeicherte, Schlüsseldatei. Sehe da keinerlei Lücke und Grund die Datei nicht in die Cloud zu legen, jedenfalls so lange man dem Verschlüsselungsalgorithmus als Solchen vertraut (bei Keepass hat man übrigens mehrere zur Auswahl).

 

Was Anderes sind reine Webdienste, bei denen die Passwörter zum Safe online eingegeben werden. Davon würde ich definitiv auch abraten. Da gab es auch schon das ein oder andere Datenleck mit großen Diebstählen.

 

Die eigentliche Schwachstelle eines jeden Passwortsafe ist das lokale System. Ein Trojaner kann auf die Passwörter zugreifen, wenn man den Passwortsafe geöffnet hat. Dagegen gibt es keine absolute Sicherheit. Selbst wenn man sie auf einem Sicherheitstoken speichern würde, muss man irgendwann die Passwörter von dort in den Browser übertragen und ab da ist es wieder unsicher. Die einzige Lösung für das Problem wäre ein Gerät das nie Online geht. Für mich wenig praktikabel.

 

Zwar wäre ein solcher Angriff durchaus aufwändig, aber für ein attraktives Ziel wie ein Passwortmanager naturgemäß lohnend.

 

Was die Bankzugänge angeht, da bin ich inzwischen recht entspannt. Ich speichere die Passwörter sogar im Browser, einfach weil man ohne den zweiten Faktor eh nichts damit anfangen kann.

 

Fakt ist sowieso, dass immer noch der mit Abstand größte Teil der Angriffe auf Bankkonten über simples Phishing und Social Engineering läuft. Da hilft eh nur gesunde Skepsis und Menschenverstand und kein noch so toller Passwortmanager.

[dimido]

vor 22 Stunden von Dandy:

Was Anderes sind reine Webdienste, bei denen die Passwörter zum Safe online eingegeben werden. Davon würde ich definitiv auch abraten. Da gab es auch schon das ein oder andere Datenleck mit großen Diebstählen.

 

Die eigentliche Schwachstelle eines jeden Passwortsafe ist das lokale System.

Es wurden keine Klartextpasswörter erbeutet weil da einfach keine Klartextpasswörter gespeichert waren und sind.
Es war und ist aber trotzdem ein lohnendes Ziel (zumal usernamen und URL wohl unverschlüsselt waren).
Denn so kann man die große Menge an erbeuteten Hash-Werte in eine Datenbank laden und dann per brute-force Hash-Werte generieren und sie gegen alle erbeuten Werte gleichzeitig abgleichen. Die langen komplexen passwörter sind dann zwar immer noch sicher, aber die kurzen einfachen poppen dann immer mal als Treffer auf. Der Dieb hat ja genüsslich Zeit insbesondere wenn die Opfer nicht wissen, daß ihre Hash-Werte an der Aktion "teilnehmen" und sich in Sicherheit fühlen.

 

Es ist einfach eine weitere line-of-defense meine Hash-Werte durch cloud-Verzicht nicht dem Risiko auszusetzen an so einer Aktion "teilzunehmen".

 

Der Schlüsselbund hat für meinen Geschmack aber einen weiteren Nachteil.
Sobald ich die apple-id kompromitiert habe, habe ich auch Zugriff auf den Schlüsselbund. Bei einem 3rd party Tool ist das erstmal nicht so. Da muss ich den 3rd party Passwort-Save nochmal separat angreifen.
Daß eine apple-id kompromitiert und übernommen wird, ist sehr unwahrscheinlich, aber nicht unmöglich.
Gerade erst mit IOS 17.3 wurde eine neue "Stolen-Device-protection" eingeführt die einen vergleichsweise oft genutzen Angriffsvektor (zumindest so oft, daß sich Apple gezwungen sah zu reagieren, was bei Apple ja was heißen will ...) praktisch geschlossen hat.

-> Video

Bei den Betroffenen war zuvor in Minuten die Apple-Id übernommen worden, das Passwort geändert, der alte Besitzer also "ausgesperrt", find-my deaktiviert und über den Schlüsselbund großer Schaden angerichtet worden.

Auch wenn ich es (insbesondere nach den Anpassungen mit 17.3, die man aber auch deaktivieren kann!) für sehr unwahrscheinlich halte, daß mir mal meine Apple-Id "gestohlen" wird ... für völlig ausgeschlossen halte ich es nicht. Denn so eine Arroganz "mir passiert das nicht" kann sich bitter rächen.
Ich nutze daher den Schlüsselbund nicht (ob cloud ja oder nein ist mir in dem Fall sogar egal) sondern nutze ein 3rd Party Tool das im Falle des Falles nochmal separat angegriffen werden müsste.

[50cent]

Passwortmanager, ein Thema, dass ich lange vor mir hergeschoben habe.

Ich habe mich jetzt für Bitwarden entschieden, da es plattformübergreifend für Apple, Windows und Linux funktioniert. Und außerdem Open Source ist, was wohl die Entdeckung und Reparatur von Sicherheitslücken vereinfacht. Und außerdem ist es für Privatpersonen in der Basisversion (die für meine Zwecke völlig ausreicht) kostenlos. 

 

Ich habe in diesem Thread gelesen, dass man Bitwarden so einstellen kann, dass es nicht über die Cloud synchronisiert.

Wie kann ich das einrichten und was für Hardware müsste ich dafür bereit stellen? 

 

Benutzt hier jemand Bitwarden? Was wären so die wichtigsten Dinge und Programm-Einstellungen, die man bei der Nutzung von Bitwarden beachten sollte bezüglich der höchstmöglichen Sicherheit?

 

Irgendwie habe ich auch, wie manch anderer, ein dummes Gefühl dabei, meine Passwörter einem Dienst anzuvertrauen. Andererseits habe ich zu dem Thema ein paar Artikel gelesen und ein paar Videos  angeschaut und die Quintessenz ist, dass es allemal sicherer ist, einen Passwortmanager zu benutzen, als schwache Passwörter zu verwenden und diese im Browser zu speichern.

 

Bloß für meine "wichtigen" Accounts (Bankkonten, E-Mail-Konten) traue ich mich noch nicht und ich denke, diese werde ich erstmal weiterhin nur per Papier verwalten.

 

 

[Global Nomad]

ich nutze Bitwarden seit vielen Jahren, frag mich nicht wie lange genau.

Für mich die Lösung. Kostenfrei, stark verschlüsselt …

Wer sich damit mal auseinandergesetzt hat, der weiß, dass der Tresor nicht zu knacken ist, vielleicht in 5 oder 10 Jahren mit Quantencomputern.

Das Einfallstor ist "immer" das Masterpasswort und dessen Absicherung.

 

Das starke Passwort lässt sich leicht per 2FV zusätzlich absichern.

Das Masterpasswort  ist nur im Hirn gespeichert, nirgendwo aufgeschrieben oder vermerkt.

Ich nutze für die 2FV eine open source  Authentifikations-App, abseits der gehypten wie Authy und ähnliches nutzen.

 

[Bolanger]

Was ist denn schlecht am lokalen Abspeichern im Firefox-Browser? 

[Global Nomad]

die Daten sind im nicht gesperrten Rechner auslesbar bzw. können, alles hypothetisch, von der Ferne gehackt/ausgelesen werden.

 

Das ist aber eine ganz individuelle Herangehensweise. Für Zugangspasswörter grundsätzlich machbar und nicht allzu kritisch zu sehen.

Im Biwarden Tresor sind aber auch ganz andere Sachen abgespeichert. 

 

[50cent]

vor 21 Stunden von Global Nomad:

ich nutze Bitwarden seit vielen Jahren, frag mich nicht wie lange genau.

Für mich die Lösung. Kostenfrei, stark verschlüsselt …

Wer sich damit mal auseinandergesetzt hat, der weiß, dass der Tresor nicht zu knacken ist, vielleicht in 5 oder 10 Jahren mit Quantencomputern.

Das Einfallstor ist "immer" das Masterpasswort und dessen Absicherung.

 

Das starke Passwort lässt sich leicht per 2FV zusätzlich absichern.

Das Masterpasswort  ist nur im Hirn gespeichert, nirgendwo aufgeschrieben oder vermerkt.

Ich nutze für die 2FV eine open source  Authentifikations-App, abseits der gehypten wie Authy und ähnliches nutzen.

 

Danke für deinen Beitrag, da hake ich dann gleich mal nach:

 

Welchen KFD Algorithmus nutzt du? PBKDF2 oder Argon2id? 
Gibt es da Vorteile? Meine KI meinte, Argon2id wäre etwas sicherer?

 

Also hast Du auch die Cloud-Lösung, nehme ich an. Ich glaube, selbst einen Server einzurichten ist mir etwas zu aufwändig. 
 

Ich habe auch 2FA eingerichtet mit dem Bitwarden Authenticator. Ich hatte eigentlich gehofft, ich kann für meine Apple-Geräte Fingerabdruck oder Face-ID hinzufügen mittels Passkey. Aber irgendwie bin ich zu doof dazu…

 

Da werde ich nochmal den Support von Bitwarden zu anschreiben. Der war bisher erstklassig. Heute Morgen wegen einem Problem angeschrieben. Eine Stunde später schon eine ausführliche Anleitung, die das bestehende Problem zwar noch nicht ganz gelöst hat, aber zumindest eine funktionierende Alternative aufgezeigt hat. 

[Global Nomad]

Du meinst sicherlich KDF.

Dort habe ich weiterhin SHA-256 nur den Wert habe ich deutlich geändert.

Natürlich synce ich über die Cloud auf alle Geräte.

Lies Dir mal durch, was die dafür tun und wie das abläuft.

Ich benutze einen andere Authentifikations App. Absichtlich, nicht alles aus einem Hause, ist das Motto. Diese ist zusätzlich, hab auch Apple, biometrisch gesichert. 

Ich nutze kein Passkey oder sonstwas.

Der Benutzername und das Passwort kommen aus dem Gehirn, nirgends sonst gespeichert. Das Masterpasswort ist deutlich länger als 30 Zeichen.

Die App kann nach der Masterkey Eingabe in zwei unterschiedlichen Modi geschlossen werden. Lock/Sperren oder abmelden. Also entweder zurück auf Masterkey und 2FV oder Abmelden der dann im Biometrie Zugang endet. Nie nicht den PIN nutzen!

Zudem solltest Du zwingend über Zeit ausloggen und auch das Clipboard nach 30sec löschen lassen.

Alles einstellbar.

[Bolanger]

vor 22 Stunden von Global Nomad:

die Daten sind im nicht gesperrten Rechner auslesbar bzw. können, alles hypothetisch, von der Ferne gehackt/ausgelesen werden.

Und im Tresor sind sie nicht aus der Ferne hackbar?

Was meinst Du mit nicht gesperrte Rechner? Den Browser nach Eingabe des Masterpassworts? 

[Global Nomad]

Ja,

so ähnlich wie immer, wenn etwas frei zugänglich ist.

Sperrt der Browser selbstständig nach einer gewissen Zeit die Passwörter weg? 

Ich nutze in keinem Browser Möglichkeiten  direkt Passwörter zu speichern.

Bei Forenzugängen u ä ist das natürlich weniger kritisch, trotzdem…

Deshalb schrieb ich oben auch, dass die Sperrzeiten kurz sein müssen, egal wo.

 

Vergessen, alles ist hackbar. Es geht darum, es denen so schwer wie möglich zu machen. Die lokal abgespeicherten Daten in Bitwardentresor sind bestmöglich verschlüsselt, außer, man lässt den "Tresor offen"

 

[oktavian]

Sollte man am besten mehrere Tresore/Datenbanken anlegen. Z.B. eine mit sensiblen Zugangsdaten und die zweite nicht so sensibel. Wenn man z.B. täglich die nicht so sicherheitsrelevanten Passwörter z.B. Onlineshops, Foren nutzt, wird nicht jedes mal die Datenbank ("Tresor offen") mit den Banking Zugangsdaten geöffnet?

Speichert ihr den 2FA seed z.B. für TOTP auch in den Passwortmanager oder immer trennen?

 

 

[Global Nomad]

vor 1 Stunde von oktavian:

Sollte man am besten mehrere Tresore/Datenbanken anlegen. Z.B. eine mit sensiblen Zugangsdaten und die zweite nicht so sensibel. Wenn man z.B. täglich die nicht so sicherheitsrelevanten Passwörter z.B. Onlineshops, Foren nutzt, wird nicht jedes mal die Datenbank ("Tresor offen") mit den Banking Zugangsdaten geöffnet?

 

bei mir liegt 90% im Bitwarden Tresor.

Die restlichen 10% aufgeteilt in

Gehirn, 

Cloud,

unwichtige Zugängen in Apples Passwörter.

 

vor 1 Stunde von oktavian:

Speichert ihr den 2FA seed z.B. für TOTP auch in den Passwortmanager oder immer trennen?

 bei unwichtigen Seiten oder Themen ja.

90% werden direkt aus dem Authentifikator geholt.

 

vor 1 Stunde von oktavian:

die nicht so sicherheitsrelevanten Passwörter z.B. Onlineshops, Foren nutzt, wird nicht jedes mal die Datenbank ("Tresor offen")

deshalb schrieb ich, dass man den Tresor entweder unmittelbar oder nach einer Minute selbsttätig schließen lassen soll.

Vergesst das automatische Löschen des Clipboards nicht.

[stagflation]

vor 6 Stunden von oktavian:

Sollte man am besten mehrere Tresore/Datenbanken anlegen. Z.B. eine mit sensiblen Zugangsdaten und die zweite nicht so sensibel. Wenn man z.B. täglich die nicht so sicherheitsrelevanten Passwörter z.B. Onlineshops, Foren nutzt, wird nicht jedes mal die Datenbank ("Tresor offen") mit den Banking Zugangsdaten geöffnet?

 

Ja, das mache ich so. Ich habe auch einen zweiten Browser-Account für Internet-Banking.

[CorMaguire]

"Gängige Passwortmanager können Zugangsdaten leaken"

--> https://www.golem.de/news/clickjacking-gaengige-passwortmanager-koennen-zugangsdaten-leaken-2508-199406.html

 

"DOM-based Extension Clickjacking: Your Password Manager Data at Risk"

--> https://marektoth.com/blog/dom-based-extension-clickjacking/#fixed-versions

[dimido]

Hatte mich bei dem Demo Video schon gewundert wie das alles ohne das Master Passwort (bzw. FaceId, Fingerabdruck, etc.) geht, um an den Tresor überhaupt ranzukommen?
Im Kapitel "Limitation" habe ich dann aber den Hinweis gefunden

Zitat

The most significant limitation is the auto-lock/auto-logout functionality based on inactivity time.
By default, it is enabled with a very short time in 1Password (10 min) or Enpass (1 min). 
For example, iCloud Passwords uses the auto-lock functionality, but it has absolutely no effect on autofill. The clickjacking technique works even if iCloud Passwords is locked or if Lockdown Mode is enabled.

Das beruhigt mich, denn ich surfe ja nicht den ganzen Tag mit offener Tresor-Tür rum.

Und ICloud Passwords nutze ich nicht (ich nutze Enpass). 

[oktavian]

vor 23 Stunden von stagflation:

Ja, das mache ich so. Ich habe auch einen zweiten Browser-Account für Internet-Banking

Danke. Dachte ich schon ich bin Aluhutfraktion.

Ich habe noch in Planing challenge response mit yubikey und mehrere keys mit gleichem seed anlegen. Bisher habe ich keyfile + Passwort.

[SirWayne]

Am 17.8.2025 um 18:07 von 50cent:

Benutzt hier jemand Bitwarden?

Um korrekt zu sein
Bitwarden = Cloud Dienst
Vaultwarden = Lokal (Vaultwarden ist eine Open-Source-Implementierung des Bitwarden-Servers)