Passwort-Verwaltung: Passwort-Manager, Zettel, ... [aus: eBay gehackt?]

[Kugelfisch]

Will mich vllt unterwegs mal in Amazon einloggen. Klar, solche Tools gibts auch fürs Handy. Aber da schlägt dann wieder meine Paranoia zu. Wer sagt mir, dass die wirklich sicher auf dem Handy liegen, wenns mal weg kommt? Wer sagt, dass die App die nicht vllt doch ausliest und wegschickt? usw usw.....

Benutze eine quelloffene App, z.B. KeePassDroid (Quellcode:

You do not have permission to view link please Anmelden or Registrieren

) - misstraust du dem Autor, kannst du den Code entweder selbst kompilieren (unter Android ist das auch ohne kostenpflichtiges Entwickler-Konto möglich), oder das Binary dekompilieren. Ausserdem verwendet diese App KeePass-Datenbanken, welche sich auch mit KeePass unter Windows bzw. KeePassX unter GNU/Linux und Mac OS X nutzen lassen.

 

[War-10-ck]

You do not have permission to view link please Anmelden or Registrieren

Da muss ich meinem Smartphone aber genauso vertrauen. War nicht gerade erst bei Samsung diverses an Sicherheitsproblemen aufgefallen?

 

[nik]

You do not have permission to view link please Anmelden or Registrieren

Und wieso kommst du zu der Ansicht, dass das nur ein Problem deines Handys ist?
Genauso könnte dein Computer abhanden kommen (auch wenn das bei einem Desktop-PC zugegebenermaßen nicht so wahrscheinlich ist, wie bei einem Handy), oder das Programm, das du auf dem Computer verwendest (oder ein anderes), nicht vertrauenswürdig sein und deine Daten ausspähen.

Ich persönlich halte die App, die ich auf dem Handy nutze für genauso vertrauenswürdig, wie die entsprechende Anwendung auf dem PC.
Da man die Passwörter nach Nutzung aus dem Cache löschen kann und man für den Passwortspeicher generell ein Masterpasswort benötigt, sehe ich das Risiko als relativ gering an. Zusätzlich besteht bei Android die Möglichkeit, den Userspace zu verschlüsseln, so dass, solange das Handy nicht entsperrt abhanden kommt, noch eine zusätzliche Hürde besteht.

 

[Kugelfisch]

You do not have permission to view link please Anmelden or Registrieren

Da muss ich meinem Smartphone aber genauso vertrauen.

Korrekt, allerdings muss man das ohnehin, wenn man auf dem Smartphone seine E-Mails lesen oder sein Amazon-Konto verwenden möchte. Ob man das möchte, muss jeder für sich selbst entscheiden. Wenn man dem Smartphone jedoch nicht vertraut, sollte man konsequenterweise keinerlei sensible Daten darauf speichern, insbesondere keine Zugangsdaten für einen (vergleichsweise wertvollen) E-Mail-Account.

 

[evillive]

@accC:

ja bei 8 gleichwertigen VMs kannst du gut planen. Aber ein Botnetz ist in der Regel nicht heterogen. Oft sind Rechner von Personen betroffen, wo du 2min brauchst um eine PDF zu öffnen. Dann ist schwer zu sagen wie lange die einzelnen Rechner eingeschaltet sind.

Da ist es bestimmt sinnvoller bei Amazon oder Windwos Azure paar VMs zu mieten.


-------

Bei Keepass kann man ja mehrere Dateien flegen. In die eine kann man eher wichtige Passwörter eintragen. Auf diese kann man dann vllt auch vom Handy zugreifen. In die zweite Datei fügt man die wichtigen Passwörter ein.

 

[gelöschter Benutzer]

Ich nutze KeePassX mit KeePassDroid. Dann hab ich noch ein Keyfile, auf das nur die jeweilige App zugreifen kann und das aus einer anderen Datei (PDF) besteht. Synchronisiert wird über Dropbox, das Keyfile liegt natürlich außerhalb von Dropbox.

Wenn ich nicht so denkfaul wäre, würde ich ne

You do not have permission to view link please Anmelden or Registrieren

benutzen.

You want to use secure passwords, but you can't remember random numbers and letters. You'd also like a fail-safe plan, in case your computer password system goes bad. PasswordCard provides the best of both worlds, offering strong passwords with a wallet-based backup.

Allerdings würde ich mir ne eigene Verschlüsselung überlegen, die vielleicht schneller zu lesen ist.

@accC:
ja bei 8 gleichwertigen VMs kannst du gut planen. Aber ein Botnetz ist in der Regel nicht heterogen.

Du meinst "nicht homogen", also heterogen.

 

[tm98]

Ich kann auch nur immer wieder zu Passwortmanagern wie Keepass raten. Ich nutze Keepass beruflich und zuhause bequemerweise Lastpass (ja ich weiß, ClosedSource, Amerika etc.) und habe alle Passwörter die vorher so im Kopf herum schwirrten gegen wenn möglich um die 25 Stellen lange Passwörter ersetzt. Damit ist man ziemlich sicher. Zur Synchronisation von Keepass bietet sich Dropbox an, weil es den Client für alle erdenklichen Systeme gibt.

Noch bequemer, auch weil das automatische Ausfüllen auf Webseiten besser funktioniert, finde ich Lastpass. Da muss man dem Anbieter natürlich zu 100% vertrauen, in den Jahren die ich den Dienst jetzt schon nutze, ist mir der Hersteller aber überwiegend sehr positiv aufgefallen. Problematischer als den Schlüsselbund von Apple würde ich den Dienst jedenfalls nicht sehen. Und da ich jährlich Geld bezahle, bin ich hoffentlich auch nicht das Produkt, sondern der Kunde.

 

[_____]

Ich persoenlich kann 1password empfehlen. Es gibt Clients fuer Mac, Windows, iOS und Android. Durch den Wi-Fi Sync (getestet unter Mac und iOS) hat man die Daten ohne eine Cloud, schnell und einfach, abgeglichen (gefaellt mir besser, da ich kein Freund von Passwoerter durchs Netz schicken bin, unabhaengig von der Verschluesslung).

 

[tm98]

Als ich mich das erste Mal mit Passwortmanagern beschäftigt habe, gab es 1Password noch gar nicht und dann fehlt lange Zeit irgend ein für mich wichtiges System. Welches weiß ich gerade gar nicht mehr... PC? Aber in letzter Zeit liest man doch recht viel positives.