Du meinst ein A4 Blatt unter der Tastatur, welches dann von der Putzfrau oder dem Besuch in der Firma eingesammelt wird? Oder das Blatt mit den vielen Kaffeeflecken, welches man wegschmeißt, wenn es zu grantlig ausschaut?
Sicherer PasswortManager?
- Ersteller shuuk
- Erstellt am
Naja... dann ist man einfach selber schuld. Wenn es so wichtig wäre, würde das bestimmt nich passieren. Beim Manager ist halt das Problem, wenn jmd. den aufbekommt, dann hat er einfach mal alles und das wäre m.M.n. schlimmer. Man kann ja auch einfach den PC verlassen und sich vergessen auszuloggen, ist das Selbe oder alles schön in den Cookies speichern, auch beliebt..
Wenn der Zettel so wichtig ist gehört er in einen Tresor... zu dem man dann jedes mal laufen darf.
Nebenbei - den Zettel musst du dann immer dabei haben - wenn du unterwegs / daheim? / im Urlaub irgendwo rein möchtest?
Der Sinn eines Safes ist ja das keiner rein kommt, das ist beim Tresor auch so. Und vor allem wie gesagt - selbst wenn du den schönen Zettel aufheben kannst und er nie kaputt geht... deinen selber erdachten Code kann man in den meisten Fällen sehr leicht knacken.
Nebenbei - den Zettel musst du dann immer dabei haben - wenn du unterwegs / daheim? / im Urlaub irgendwo rein möchtest?
Der Sinn eines Safes ist ja das keiner rein kommt, das ist beim Tresor auch so. Und vor allem wie gesagt - selbst wenn du den schönen Zettel aufheben kannst und er nie kaputt geht... deinen selber erdachten Code kann man in den meisten Fällen sehr leicht knacken.
ich finde auch dass ein Passwortmanager Sinn macht, wenn man mehrere Accounts + Zugänge hat. Bei Banken für das Onlinebanking, Paypal und Amazon hab ich die Passwörter für die Webseite und die Apps im Kopf. Aber für z.B. Foren u.ä. ist das schon hifreich. Die Frage ist halt wie man das macht und wo man das speichert.
You do not have permission to view link please Anmelden or Registrieren
Danke für diese grandiose Erörterung, habe fast vergessen um was es in diesem Thread geht. 
Du hast übrigens genau für die falschen Onlinedienste die Passwörter im Kopf.
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
Ich verwende zwei Safes:
Einen für allgemeine und eher unwichtige (bezogen auf den Login) Websites und einen für alles andere.
ngb ist zum Beispiel im allgemeinen Container, weil das ein normaler Website Login ist.
Amazon ist im 'richtigen' Container.
Ebenso nutze ich keine Session Cookies z.B. bei Paypal und Co., sondern logge ich jeweils ein, wenn ich darüber was kaufe.
Wenn man Session Cookies verwendet, dann sollte die Systempartition wo das gespeichert wird jedenfalls verschlüsselt sein, sonst hat ein Dieb im Zweifelsfall Zugriff auf Paypal und Co.!
Im Sinne von Security Layers ist es natürlich besser, wenn der Safe nicht offen irgendwo in einer Dropbox herum liegt.
Einen für allgemeine und eher unwichtige (bezogen auf den Login) Websites und einen für alles andere.
ngb ist zum Beispiel im allgemeinen Container, weil das ein normaler Website Login ist.
Amazon ist im 'richtigen' Container.
Ebenso nutze ich keine Session Cookies z.B. bei Paypal und Co., sondern logge ich jeweils ein, wenn ich darüber was kaufe.
Wenn man Session Cookies verwendet, dann sollte die Systempartition wo das gespeichert wird jedenfalls verschlüsselt sein, sonst hat ein Dieb im Zweifelsfall Zugriff auf Paypal und Co.!
Der Container liegt ja unverschlüsselt nur im RAM vor und ist ansonsten verschlüsselt, selbst die Umdrehungen kann man ja komfortabel einstellen bei KeePassX. Auf meinen Maschinen dauert das entsperren z.B. eine knappe Sekunde.
Im Sinne von Security Layers ist es natürlich besser, wenn der Safe nicht offen irgendwo in einer Dropbox herum liegt.
StrokeOfFate
NGBler
- Registriert
- 15 Juli 2013
- Beiträge
- 58
Nutze selbst Dashlane mit Premium Membership. Kann mich bisher nicht beklagen und auch die Android-Integration funktioniert problemlos. Bin zufrieden und ist einfach zu nutzen.
usefulvid
Neu angemeldet
- Registriert
- 25 Feb. 2015
- Beiträge
- 336
Es gibt aktuell einen Test der
Ich habe dazu auch
Ergebnis von test ist, dass man Dashlane verwenden sollte.
Dem widerspreche ich aus folgenden Gründen:
Browser integration ist Stuss
Speichern in der Cloud
Auch wenn der Hersteller die besten Sicherheitsmechanismen implementiert: die DB von den cloud Passwortmanagern ist von starkem Interesse für Hacker. Zudem muss ja für die online Anmeldung das Passwort in irgendeiner Form über die Leitung gehen (ich weiß das wird abgeleitet vom richtigen Passwort). Bei KeePass geht halt wirklich nur die AES verschlüsselte Datenbank über die Leitung wenn ich es auf Dropbox lege und niemals das KeePass Passwort.
Open Source
Dashlane und KeePass haben in Audits gut abgeschnitten. KeePass ist darüber hinaus OpenSource und spendenfinanziert. Dashlane ist ein kommerzieller Anbieter.
Am Ende muss man wahrscheinlich sagen, dass es trotzdem besser ist einen PW Manager zu nutzen als gar keinen. Ich hab trotzdem kein gutes Gefühl bei den Managern die meine Passwörter in der Cloud speichern.
You do not have permission to view link please Anmelden or Registrieren
.Ich habe dazu auch
You do not have permission to view link please Anmelden or Registrieren
.Ergebnis von test ist, dass man Dashlane verwenden sollte.
Dem widerspreche ich aus folgenden Gründen:
Browser integration ist Stuss
- Man ist durch sein Passwortprogramm auf 3 Browser limitiert (Chrome / IE / FF)
- Man muss ein Addon installieren im Browser (mehr Software = mehr Angriffsoberfläche)
- Man kann keine andere Software die man lokal nutzt damit kombinieren (Mailprogramm / Steam / Skype ...)
Speichern in der Cloud
Auch wenn der Hersteller die besten Sicherheitsmechanismen implementiert: die DB von den cloud Passwortmanagern ist von starkem Interesse für Hacker. Zudem muss ja für die online Anmeldung das Passwort in irgendeiner Form über die Leitung gehen (ich weiß das wird abgeleitet vom richtigen Passwort). Bei KeePass geht halt wirklich nur die AES verschlüsselte Datenbank über die Leitung wenn ich es auf Dropbox lege und niemals das KeePass Passwort.
Open Source
Dashlane und KeePass haben in Audits gut abgeschnitten. KeePass ist darüber hinaus OpenSource und spendenfinanziert. Dashlane ist ein kommerzieller Anbieter.
Am Ende muss man wahrscheinlich sagen, dass es trotzdem besser ist einen PW Manager zu nutzen als gar keinen. Ich hab trotzdem kein gutes Gefühl bei den Managern die meine Passwörter in der Cloud speichern.
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
Wer andere benutzen will, der muss dann eben ein anderes Programm/Service nutzen. Aber mit diesen drei Browsern dürfte ein Grosteil der User abgedeckt sein.
Ja, ist definitiv etwas unhandlicher an der Stelle als KeePass(X), wo ja ein STRG+B, TAB, STRG+V reicht.
Aber "nicht kombinierbar" ist ja etwas viel gesagt, man kopiert das Passwort halt raus und nichts anderes macht ja auch KeePassX. KeePass2 hat glaube ich Obfuscation, ich hatte das hier mal thematisiert und der reale Nutzen/Sicherheit dafür ist offenbar ziemlich klein.
Muss man das auf jeden Fall oder nur, wenn man die Browser-Passwortverwaltung mit Dashlane koppeln will?
Man wird sich doch ganz normal einloggen können um auf seine Passwörter zuzugreifen.
Dito. Das ist doch kompletter Wahnsinn, sobald man mehr als ein paar Forenaccounts im Passwort-Safe ablegt.
da geht direkt AutoType
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
Ja gut aber "By default, the sent keystroke sequence is {USERNAME}{TAB}{PASSWORD}{ENTER}," das ist doch genau das, was ich auch mache mit STRG+V. Oder wie ist da dein Workflow?
Der Hauptnutzen ist doch individuelle sichere Passwörter. Alles andere ist ja eine Frage der Usability, da mag KeePass* besser sein, da externes Programm.
Ist natürlich Diskutieren bei großem gemeinsamen Nenner, wir finden beide ja KeePass deutlich besser
.
Was denkst du eigentlich zu der Code-Basis von KeePassX, hast du da eine Meinung zu? Habe da zwiespältige Dinge gelesen tatsächlich.
Dann guckst du aber extra weg :P.
Der Hauptnutzen ist doch individuelle sichere Passwörter. Alles andere ist ja eine Frage der Usability, da mag KeePass* besser sein, da externes Programm.
Ist natürlich Diskutieren bei großem gemeinsamen Nenner, wir finden beide ja KeePass deutlich besser
.Was denkst du eigentlich zu der Code-Basis von KeePassX, hast du da eine Meinung zu? Habe da zwiespältige Dinge gelesen tatsächlich.
usefulvid
Neu angemeldet
- Registriert
- 25 Feb. 2015
- Beiträge
- 336
Ja schon aber dazu müsste ich ja erstmal den Passwortmanager aufmachen (also nach vorne holen). Mit
You do not have permission to view link please Anmelden or Registrieren
. Der schaut sich den Titel des Programms an und sucht den Passenden auto type raus. nein ehrlich gesagt sehe ich das eher so: wenn ich einen Nutzen davon habe und bequem passwörter eingeben kann nutze ich auch konsequent passwortmanager. Wenn mir das zu kompliziert ist und ich zu viele klicks machen muss dann sinkt bei mir die Motivation auch wirklich nur generierte Passwörter zu verwenden. Ich hab meiner Oma zum Beispiel von Anfang an KeePass "antrainiert". Die kennt das nicht anders. Wäre das nicht so bequem mit dem autotype würde sie es nicht nutzen. Von daher hängt imho die Sicherheit auch immer damit zusammen wie gut sich das Programm integrieren lässt.
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
Ja, stimmt schon.
Ich finde es so immer noch sehr komfortabel, bzw. komfortabel genug, aber die Ansprüche mögen da schwanken.
In dem Video wird aber das Auto-Type einzeln kofniguriert... das ist doch nicht wirklich notwendig für jeden einzelnen Eintrag, oder? Weil das würde mich viel mehr nerven als manuell in das KeePass Fenster zu wechseln.
Muss mal überlegen, ob ich nicht auch bei Linux von KeePassX auf KeePass2 umsteige.
Ich finde es so immer noch sehr komfortabel, bzw. komfortabel genug, aber die Ansprüche mögen da schwanken
.In dem Video wird aber das Auto-Type einzeln kofniguriert... das ist doch nicht wirklich notwendig für jeden einzelnen Eintrag, oder? Weil das würde mich viel mehr nerven als manuell in das KeePass Fenster zu wechseln.
Muss mal überlegen, ob ich nicht auch bei Linux von KeePassX auf KeePass2 umsteige.
Nunja Angriffe gibt es auf KeePass mit Sicherheit auch - da kann man es nur schlechter einem Unternehmen melden und "vermarkten".
Der Passwort-Safe selber wird zumindest bei LastPass vollständig offline entschlüsselt. Der veränderte, abgeleitete Passwort-Hash wird nur zum Download des Files verwendet.
Das ist dann ähnlich der Passwort eingabe für deinen DropBox-Container - dort musst du auch ein Passwort eingeben um dein "Backup" zu laden.
Im Anschluss kannst du LastPass auch komplett offline verwenden (Dashline kenne ich nicht).
Ebenso gibt es dafür eine Desktop-Anwendung die außerhalb des Browsers Passwörter eingibt.
Ich finde die Integration im Browser sehr gut - da ich im Webbrowser surfe und dort die Passwörter benötige. Nebenbei ist das auch nur eine Anwendung wenn man nur das Browser-Plugin laufen hat und am PC keine Passwörter benötigt da die Anwendungen z.B. über SSO / Kerberos authentifizieren oder der In Windows Integrierte Safe verwendet wird bzw. man sich dort die 3 Passwörter einfach merkt.
Mit der "Limitierung" auf die 3 Browser (Und deren Derivate - die sollten mit den Plugins auch funktionieren) dürften 99,99% der Benutzer abgedeckt sein von daher ist finde ich ist das kein Grund zu sagen eine Software die "nur" dort funktioniert ist schlecht.
Zu Schluss - was hat OpenSource mit Sicherheit zu tun? Open Source ist oftmals gut - da ist nichts dagegen einzuwenden und es gibt einige Vorteile aber Sicherheit hat meiner Meinung nach bei diesem Thema nichts verloren.
Der Passwort-Safe selber wird zumindest bei LastPass vollständig offline entschlüsselt. Der veränderte, abgeleitete Passwort-Hash wird nur zum Download des Files verwendet.
Das ist dann ähnlich der Passwort eingabe für deinen DropBox-Container - dort musst du auch ein Passwort eingeben um dein "Backup" zu laden.
Im Anschluss kannst du LastPass auch komplett offline verwenden (Dashline kenne ich nicht).
Ebenso gibt es dafür eine Desktop-Anwendung die außerhalb des Browsers Passwörter eingibt.
Ich finde die Integration im Browser sehr gut - da ich im Webbrowser surfe und dort die Passwörter benötige. Nebenbei ist das auch nur eine Anwendung wenn man nur das Browser-Plugin laufen hat und am PC keine Passwörter benötigt da die Anwendungen z.B. über SSO / Kerberos authentifizieren oder der In Windows Integrierte Safe verwendet wird bzw. man sich dort die 3 Passwörter einfach merkt.
Mit der "Limitierung" auf die 3 Browser (Und deren Derivate - die sollten mit den Plugins auch funktionieren) dürften 99,99% der Benutzer abgedeckt sein von daher ist finde ich ist das kein Grund zu sagen eine Software die "nur" dort funktioniert ist schlecht.
Zu Schluss - was hat OpenSource mit Sicherheit zu tun? Open Source ist oftmals gut - da ist nichts dagegen einzuwenden und es gibt einige Vorteile aber Sicherheit hat meiner Meinung nach bei diesem Thema nichts verloren.
usefulvid
Neu angemeldet
- Registriert
- 25 Feb. 2015
- Beiträge
- 336
Also man kann auch versuchen lassen KeePass das über den Titel oder die URL automatisch erkennen zu lassen. Das ist aber Fehleranfällig. Wieso ist das nerviger? Das machst du einmalig. Das wechseln ins Fenster musst du jedes mal machen.
Funktioniert auch so wie du es beschrieben hast.
Das kann man mit KeePass ja auch machen, sowohl mit und ohne browser plugins.
Gerade bei Sicherheit ist doch OpenSource wichtig damit keine versteckten hintertüren oder offensichtliche Schwachstellen eingebaut werden können wenn sich jeder den Quellcode anschauen kann.
Wenn eine Software von unabhängigen Sicherheitsunternehmen Audits bekommt sollte dort auch keine Hintertür drin sein, oder offensichtliche Schwachstellen.
Genau der Punkt "Kann jeder den Quellcode anschauen" bringt keine Sicherheit - weil jeder denkt *der andere schaut schon* - bzw. im Zweifel kann auch der Hacker gemütlich nach der Schwachstelle suchen und diese nicht melden sondern ausnutzen...
Das OpenSource nicht perse sicher ist wurde schon oft genug gezeigt mit div. Lücken die über Jahre oder Jahrzehnte unentdeckt bleiben da eben *keiner* den Code aus Langeweile liest.
Bei ausreichender Komplexität sieht man auch Backdoors in OpenSource nicht offensichtlich - da steht nirgends im klartext "Backdoor" oder ein "Passwort" - das sind oft gut versteckte absichtliche Sicherheitslücken die man wissen muss wie man sie ausnutzt. Wie es vor kurzem bei irgend einem Router-Hersteller in der Presse war uniper oder so? Weiß nicht mehr genau...
usefulvid
Neu angemeldet
- Registriert
- 25 Feb. 2015
- Beiträge
- 336
Ja stimmt schon deshalb habe ich ja auch erwähnt, dass es für beide Programme Audits gab. Per se sicherer ist es nicht das stimmt auch.
Aber Passwörter "einfach merken" genau davon will ich ja weg mit einem Manager. Wenn ich die Passwörter wieder merken muss dann werden sie wieder trivial.
Aber Passwörter "einfach merken" genau davon will ich ja weg mit einem Manager. Wenn ich die Passwörter wieder merken muss dann werden sie wieder trivial.
Ja logo - der Manager ist ja auch Sinnvoll - meinte nur das wenn man 99% der Passwörter im Internet benötigt reicht es das Plugin zu nutzen und benötigt keine zweite Software, trotzdem gibt es diese auch bei anderen Anbietern außer Keepass.
Keepass ist perse auch nicht schlecht - nutze selber beides - keepass und lastpass. Finde aber gerade für das gesamte Internet KeePass bei weitem nicht so komfortabel mit nicht zwingendem Sicherheitsvorteil - und das der Passwortmanager möglichst Transparent funktioniert ist für mich und denke viele andere einer der wichtigsten Punkte da man ihn dann für "jede Kleinigkeit" verwendet und ohne weiteres auf jeder Seite und sei sie noch so unwichtig einfach ein anderes Passwort verwendet da man sich keine Gedanken darüber machen muss.
Umso komplizierter die Nutzung ist - umso eher kommt man dahin "ach nur die wichtigen Sachen in den Safe" - dann kann ich im schlechtesten Fall strg+c +v machen oder über Autotype das eingeben automatisieren.
Das das Plugin sich bei einer "bekannten" Seite meldet und sagt "da hätte ich etwas, möchtest du dich anmelden?" bzw. ein Icon im User-Feld anbietet um die Informationen optional (hilft dann auch gegen Diebstahl da nichts komplett automatisch passiert) macht die Nutzung mit einem Klick möglich auch für Seiten bei denen ich den Benutzer nicht mehr weiß oder überhaupt nicht mehr weiß das ich mich angemeldet habe.
Das ganze funktioniert auch noch am Handy.
In KeePass hinterlege ich aktuell div. Seriennummern oder Verschlüsselungs-Keys für Festplatten-Boot-Verschlüsselungen von Servern .. also alles wo man kein "AutoType" oder ähnliches machen kann.
Keepass ist perse auch nicht schlecht - nutze selber beides - keepass und lastpass. Finde aber gerade für das gesamte Internet KeePass bei weitem nicht so komfortabel mit nicht zwingendem Sicherheitsvorteil - und das der Passwortmanager möglichst Transparent funktioniert ist für mich und denke viele andere einer der wichtigsten Punkte da man ihn dann für "jede Kleinigkeit" verwendet und ohne weiteres auf jeder Seite und sei sie noch so unwichtig einfach ein anderes Passwort verwendet da man sich keine Gedanken darüber machen muss.
Umso komplizierter die Nutzung ist - umso eher kommt man dahin "ach nur die wichtigen Sachen in den Safe" - dann kann ich im schlechtesten Fall strg+c +v machen oder über Autotype das eingeben automatisieren.
Das das Plugin sich bei einer "bekannten" Seite meldet und sagt "da hätte ich etwas, möchtest du dich anmelden?" bzw. ein Icon im User-Feld anbietet um die Informationen optional (hilft dann auch gegen Diebstahl da nichts komplett automatisch passiert) macht die Nutzung mit einem Klick möglich auch für Seiten bei denen ich den Benutzer nicht mehr weiß oder überhaupt nicht mehr weiß das ich mich angemeldet habe.
Das ganze funktioniert auch noch am Handy.
In KeePass hinterlege ich aktuell div. Seriennummern oder Verschlüsselungs-Keys für Festplatten-Boot-Verschlüsselungen von Servern .. also alles wo man kein "AutoType" oder ähnliches machen kann.
BurnerR
Bot #0384479
- Registriert
- 20 Juli 2013
- Beiträge
- 5.311
So beim zweiten Nachdenken wäre mir ein automatisches einfügen von Passwörtern in Formularfeldern zu unsicher.
Das scheint ja aufgrund von weichen Kriterien zu geschehen die sich leicht faken lassen (window title). Mit JS sollte dann auch ein automatisches abschicken der eingetragenen Daten in zum Beispiel einem unsichtbaren Formular trivial sein.
Das scheint ja aufgrund von weichen Kriterien zu geschehen die sich leicht faken lassen (window title). Mit JS sollte dann auch ein automatisches abschicken der eingetragenen Daten in zum Beispiel einem unsichtbaren Formular trivial sein.