Passwortmanager

[Barqu]

KeePassXC

[Schlumich]

vor 2 Stunden von Vios:

Ich traue keinem Passwortmanager.

 

 

vor 11 Minuten von t.klebi:

Wie oft ist es im Alltag überhaupt möglich, Passwörter offline per Bruteforce-Angriff zu knacken? Üblicherweise wird nach wenigen erfolglosen Versuchen das System vollständig oder für einen gewisse Zeitdauer gesperrt 

Viel wichtiger ist doch, an jedem Zugang einzigartige (!) Passwörter  zu verwenden. 

Ich habe aktuell 358 Passwörter in meinem Passwortmanager. Typischerweise 20 Zeichen lang und unter Ausnutzung aller erlaubten Zeichen. 
Das möchte ich gewiss nicht mit einem Bleistift notieren. 

Daher noch mal meine Frage:

vor 3 Stunden von Schlumich:

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

 

[t.klebi]

vor 10 Minuten von Schlumich:

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

Ich bin davon überzeugt, dass die Verwendung eines Password-Managers um Welten sicherer ist, als keinen zu verwenden. 

[1+1=10]

Ein Passwortmanager ist natürlich gleichzeitig auch ein Honeypot, aber besser und v.a. praktikabler als die Alternativen.

Das eigentliche Sicherheitsproblem sitzt jedoch meist vor der Tastatur (schwaches Masterpasswort, kein 2-FA, Phising, ...).

Mehr Sicherheit kostet Komfort, bspw. wäre ein Hardware-Dongle (Yubikey) noch sicherer, aber ist auch sperriger.

 

Was möglicherweise sinnvoll ist: Wichigste Konten wie E-Mail, Banken, Cloud,  etc. via Hardware-Dongle und den Rest mit OpenSource und/oder zertifizertem Passwortmanager. 

[leoluchs]

Hier wird der Einsatz des Passwort-Managers KeepassXC sehr positiv gesehen, da die Daten nur lokal gespeichert werden. Ich erstelle Kopien auf zwei externen Festplatten und für die drei, vier wirklich sehr wichtigen Dinge, die verschlüsselt notiert werden, gibt es genügend Ablageoptionen.

So gerne ich selbst chiffriere, so praktisch ist es, dass mir Passwörter vorgeschlagen werden, bei denen ich nur noch "unliebsame" Zeichen entfernen muss und Zeichen nach Gusto umstellen kann. Ob das für jeden die geeignete Lösung ist, bezweifele ich - jeder Jeck ist anders. 

[theDemnex]

KeepassXC mit starkem Master Passwort, wobei der Tresor auf Nextcloud liegt. Auf dem Handy KeepassDX mit Zugriff auf die Nextcloud. 

 

Dauert im Handling auf dem Smartphone zwar etwas länger, das ist es mir aber Wert.

[dimido]

vor 1 Stunde von Schlumich:

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

Ich finde der Einsatz eines Passwort-Managers erhöht die Sicherheit massiv, weil er die Verwendung von sicheren (lang + komplex) und einmaligen(!) Passwörtern im täglichen Einsatz erst so richtig praktikabel macht (habe über 120 Einträge...).

Dafür muss man im Gegenzug dem Passwort-Manager seiner Wahl auch ein gehöriges Maß an Vertrauen entgegenbringen, denn man schafft damit auch ein sehr reizvolles Angriffsziel.

 

Da mein Vertrauen zwar groß aber nicht unbegrenzt ist, verzichte ich auf den Komfort zusätzlich auch die TOTP Codes über meinen Passwort-Manager generieren zu lassen, ich nutze dazu eine separate Authenticator App. So würde sich der Super-Gau in Grenzen halten falls mein Passwort-Manager doch mal kompromitiert werden würde (sei es durch eigene Blödheit oder durch ein Software-Problem).

Denn meine lebenswichtigen Accounts sind alle mit 2FA abgesichert.

 

[s1lv3r]

vor 5 Stunden von Schlumich:

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

 

Es ist halt wie überall im Leben .... eine Frage der persönlichen Abwägung aus Komfort und Sicherheit. Dazu kommt dann ab einem gewissen Grad noch das Paradox, das zusätzliche Sicherheit mit der Erhöhung von anderen Risiken einhergeht. Wer nur schwer bewaffnet aus dem Haus geht, hat halt ironischerweise ein erhöhtes Risiko, sich selber ins Bein zu schießen, oder das ihm jemand seine Waffe abnimmt und gegen ihn verwendet ...

 

Für 99% der Privatanwender dürfte ein Passwort-Manager m.E.n. aber ein geeignetes Mittel sein, die persönliche IT-Sicherheit zu erhöhen.

[chirlu]

Eigentlich gab es den Thread doch schon.

 

[Malvolio]

vor 14 Minuten von chirlu:

Eigentlich gab es den Thread doch schon.

 

Kam mir auch irgendwie bekannt vor. Wie gesagt ... habe mich inzwischen für Bitwarden entschieden.  

[h.sie]

KeePass2Android (Container liegt in einer clientseitig verschlüsselten Cloud, dieser ist mit einem Passwort und einer Schlüsseldatei geschützt, die selbstredend nicht online verfügbar ist).

[Lazaros]

vor 3 Stunden von t.klebi:

Ich habe aktuell 358 Passwörter in meinem Passwortmanager. Typischerweise 20 Zeichen lang und unter Ausnutzung aller erlaubten Zeichen. 

Krass - ich kann mich noch an Zeiten erinnern, da musste ich mir genau eine PIN für die EC-Karte merken und selbst das konnte bei einmaliger Falschangabe im Urlaub Stress auslösen.

Ich bleibe bei meinem DINA4-Zettel, mehr Passwörter wird es nicht geben.

 

Lustiger Gedanke: Wer also das eine Passwort zum Passwordmanager hat, hat also auch alle 358 Passwörter von @t.klebi .

 

PS Werden solche Passwörter "Typischerweise 20 Zeichen lang und unter Ausnutzung aller erlaubten Zeichen" mit copy & paste übernommen? Weil händisch eintippen wäre schon nervig und fehleranfällig, worauf dann der Zugang gesperrt wird.

 

[Cinquetti]

Ich versuche von diesem Passwort-Gedöns wegzukommen.

Passkeys + biometrische Erkennung sind wesentlich komfortabler:

https://www.heise.de/news/Passkeys-statt-Passwoerter-10223196.html

 

Ansonsten viel SSO z.B. mit GitHub.

[zora]

Hier stand Quatsch.

[Bast]

vor 9 Stunden von Ramstein:

Bisher "1Password", aber die Preiserhöhung mache ich nicht mit. Da ich nur in der Apple-Welt unterwegs bin, stelle ich auf "Passwörter" um.

Nutze auch "Passwörter" von Apple. Bankpasswörter haben jeweils noch ein "Suffix", dass nicht gespeichert wird. 

[dimido]

Ich entsperre meinen Passwort-Manager Enpass biometrisch (Face-ID bzw- Fingerprint).
Er klinkt sich als "Ersatz" in iOS und iPadOS ein wie die Apple Default App "Passwörter" (gibt es sinngemäß so auch auf Android)
Auf dem Mac (bzw. PC) geht es halt über die Browser-Plugins die usernamen+passwörter automatisch eintragen.
Passkeys machen es auch nicht komfortabler.
Zumal ich bei passkeys auch wieder entscheiden muss wo ich sie ablege um sie Geräteübergreifend nutzen zu können.

[Conker]

Ich nutze KeePassXC. Die Passworttresore liegen auf den Endgeräten, in der Cloud und auf nem NAS. Alles verschlüsselt. Bei Änderungen werden sie entsprechend überall synchronisiert.

 

Nach und nach stelle ich meine Zugänge auf Passkey um.

[1+1=10]

vor 16 Stunden von Cinquetti:

Passkeys + biometrische Erkennung sind wesentlich komfortabler:

https://www.heise.de/news/Passkeys-statt-Passwoerter-10223196.html

Und wie schützt du dich vor einem Verlust / Schaden des Endgerätes? Passkeys mit einer Cloud synchronisieren und Recovery Codes? Wenn ja, wo hinterlegst du deine Recovery Codes?

[t.klebi]

vor 17 Stunden von Lazaros:

Lustiger Gedanke: Wer also das eine Passwort zum Passwordmanager hat, hat also auch alle 358 Passwörter von @t.klebi .

Lustiger Gedanke, wenn einer deinen Zettel mit deinen höchstens 30 Passwörter in die Finger bekommt, hat auch alle Passwörter von @Lazaros

 

Aber das brauch der ja gar nicht. Sobald mal wieder einen Datenbank mit deinen Anmeldedaten gehakt wird (und das passiert leider immer wieder), kann er in aller Ruhe diese Anmeldedaten auch bei anderen Diensten probieren. Da gibt es bei dir ja in jedem Fall Redundanzen. 

[west263]

bei mir hatte letztens jemand mein eBay Kleinanzeigen Konto übernommen.

Ich nutze es recht selten und habe es selber garnicht mitbekommen. Es gab von ebay Kleinanzeigen dann Mails mit ~12 gestoppten Angeboten und eine weitere mit der Sperrung meines Konto.

 

Musste ein neues Passwort vergeben und bin froh, dass anscheinend der Algorithmus der Seite erkannt hat, dass das Betrug sei.

Bei den Angeboten waren die meisten zu Kaffeemaschinen und kamen alle aus Italien.

[dippi]

Am 13.4.2026 um 10:11 von Schlumich:

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

Absoluter stand der Technik. 

- "habe ich im Kopf" -> ja ne, ist klar. Entweder ists dann doch überall das gleiche Passwort oder sehr einfach. 

- Papier und Stift: ist bissl wie die Pin neben der Kreditkarte. 

- Excel, Word und co.: gehört da schlicht nicht rein. Genau dafür gibts Passwortmanager. 

 

Und bzgl. Sicherheit: ich würde immer zu einer opensource software greifen wenn es um Sicherheit/Verschlüsselung geht. Zumindest kann da dann auch kein Nachrichtendienst im stillen Kämmerlein eine Backdoor einbauen. 

Zusätzlich: 2FA, am besten mit Passkey (yubikey), zumindest wenns um "wichtigere" dinge geht. 

 

Und bzgl. usability: ich bin faul. Passwortmanager richtig eingerichtet füllen automatisch aus und haben gleichzeitig auch noch den Vorteil, dass es scammer mit "fake-domains"/sehr ähnlichen domains, sehr schwer haben. Gleichzeitig ist alles im Sync zwischen meinem linux desktop, Macbook, iphone/ipad und ehem. auch mal Windows PC. Meine klare Empfehlung ist entweder Keepass(XC) oder Vaultwarden. Wenn man absolut keine Lust hat sich damit zu beschäftigen, würde ich vermutlich Google oder Apple nehmen - den würde ich zumindest was security angeht am ehesten vertrauen (ganz im Gegensatz zu Microsoft, denen traue ich in der Hinsicht so wirklich gar nicht).

Am 14.9.2025 um 12:35 von SirWayne:

Um korrekt zu sein
Bitwarden = Cloud Dienst
Vaultwarden = Lokal (Vaultwarden ist eine Open-Source-Implementierung des Bitwarden-Servers)

das ist übrigens nicht ganz korrekt. Bitwarden ist ebenfalls opensource und lässt sich (neben der gemieteten cloud) auch selbst hosten. 

Gleiches gilt umgedreht für vaultwarden. Vaultwarden ist aber "leichter" und eher für kleinere Umgebungen gebaut und basiert auf Rust. Vorteil von vaultwarden ist dass auch die "premium funktionen" frei sind, Bitwarden auf der anderen Seite lässt sich wesentlich besser skalieren (da es - sehr technisch - aus mehrere Mikroservices besteht).

[OceanCloud]

Ich habe bislang Enpass Lite genutzt am Handy und Laptop (Ubuntu) mit Speicherung und synchronisierung in OneDrive

Schaue mir aber jetzt auch mal KeePass an.

vor 2 Minuten von OceanCloud:

 

 

[wertomat]

Ich wollte letzten Sommer auf Bitwarden umstellen, und habe irgendwie Probleme mit dem Workflow.
bisher und immernoch habe ich viele Passörter auf dem Macbook gespeichert (Apple System, keine Ahnung), und kann sie über Fingerabdruck aktivieren.
Ich habe den Eindruck, dass nur ein Teil der Passwörter bei bitwarden gelandet ist.
Daher habe ich ständig den nerv, dass sich bei einer Passwortabfrage ein bitwarden Popup einbleneet, ich dort dann mein (viel nerviger als Fingerabdruck) superlanges Passort reintippe, um dann einen Hinweis zu bekommen, dass Bitwarden das Passowort nicht hat.
Das ist frustrierend.
Was wäre jetzt das richtige vorgehen? 
Wie bekomme ich alle Passwörter von Apple oder teilweise google zu Bitwardebn (ich kann mich nicht mehr genau erinnern, aber eigentlich dachte ich, dass ganze bei meinem Start mit Bitwarden letzten Sommer gemacht zu haben mit einem workflow den ich recherchiert hatte, aber scheinbar nicht ausreichend).
Wie gehe ich am schlauesten vor (ich nutze Macbook und Android).
 

[Schlumich]

wer einen passwort Manager nutzt, wird vermutlich auch einen F2A Authenticator nutzen, denke ich (?).

Welcher Authenticator macht Sinn? Für den Hausgebrauch (einfach & sicher) wird oft der Google Authenticator empfohlen. Vom Apple Authenticator "Passwörter" wird gelegentlich abgeraten, wenn man ausschließlich im Apple Universum unterwegs ist, weil das eine Sicherheitsminderung sei

[asoso]

Es ist auch möglich, eine separate(!) Datenbank in einem Passwortmanager zu machen. Natürlich nur, wenn dieser in der Lage ist auch die TOTP zu erstellen. 
Ist dann „relativ“ Geräteunabhängig aber setzt auch voraus, dass man sich künftig 2 Passwörter merken und 2 Datenbanken verwalten muss. 

Zur Sicherheitsfrage der Passwortmanager allgemein finde ich folgendes Bild sehr passend

https://xkcd.com/538/