• Du musst dich registrieren, bevor du Beiträge verfassen kannst. Klicke auf Jetzt registrieren!, um den Registrierungsprozess zu starten. Registrierte User surfen werbefrei, können Suchen durchführen und sehen die volle Darstellung des Forums!!!

Erfahrungen mit Password-Management-Software

OP
OP
Kimble

Kimble

Mr. Seafood
...ich würde, rein interessehalber, dennoch um eine sachliche, unaufgeregte Stellungnahme bitten. Denn das Argument, dass wenn irgendwo ein "Leck" im System ist, viele Passwörter in einem Rutsch abgegriffen werden können, erscheint mir durchaus plausibel.
Das Problem hat man automatisch, sobald man nicht mehr alles im Kopf hat und einen PW-Manager nutzt. Wird diese Datenbank geknackt, gibt es Zugriff auf alle PW. Diese Grundsatzentscheidung muss man nun einmal treffen.

Ein PW-Manager macht aber für viele nur dann Sinn, wenn man ihn auch unterwegs benutzen kann. Was bringen mir kryptische Passwörter, wenn ich mich unterwegs in keinen Webshop o. ä. einloggen kann? Wenn man die PW-Managment-Software als vertrauenswürdig einstuft und zum Zugriff auf die DB komplexe Passwörter nutzt, sehe ich da auch kein signifikant höheres Sicherheitsrisiko, als wenn die DB auf dem heimischen PC schlummert. Selbst wenn jemand den Cloud-Zugang knacken könnte, hätte er immer noch keinen Zugriff auf die Passwörter, die ja nochmals geschützt sind.

Shared Databases sind üblich und ein sinnvolles (!) Sicherheitskonzept. Damit man nicht das Masterkeyword für seine Datenbank rausgeben muss, kann man die einzelnen Logins unterschiedlich bewerten. So möchte ich vielleicht einigen Leuten Zugriff auf einen Shop-Account geben, aber deshalb noch lange keinen freien Zugriff auf das Online-Banking. Innerhalb eines Unternehmens lassen sich solche Szenarios mit Keepass gut abbilden, sobald es aber um mobile Geräte geht endet die Lösung leider. Man muss auf seinem Handy ja auch nicht Super-Crypto-DB haben, aber das Amazon-Login und die für die meisten E-Paper sind schon ganz praktisch.

Ich hoffe ich konnte das halbwegs erläutern @PuMod , ansonsten bei Fragen fragen ;)
 

PuMod

Private PENGUIN
5+ Jahre im GSV
Ich hoffe ich konnte das halbwegs erläutern @PuMod , ansonsten bei Fragen fragen
Ja, konntest du. Danke.

Ich muss mir das mal durch den Kopf gehen lassen, denn momentan klappt das bei mri zwar ausgezeichnet, aber "sicher" ist es eben nicht.

Wie viele, speichere ich einen Teil meiner PW im Browser. BEsonders sensible Daten (Amazon, Bank, eMail, eBay) etc. habe ich "noch" im Kopf. Dies ist aber ein immer mehr endlich währendes System :-D
 

DarkRoast

Dr. Fermento
5+ Jahre im GSV
Das Problem hat man automatisch, sobald man nicht mehr alles im Kopf hat und einen PW-Manager nutzt. Wird diese Datenbank geknackt, gibt es Zugriff auf alle PW. Diese Grundsatzentscheidung muss man nun einmal treffen.
Nein, diese Problematik ist nicht so digital wie du sie zu sehen scheinst. Es macht einen himmelhohen Unterschied ob meine Passwort-Datenbank auf nur einem Gerät existiert oder auf vielen (Sync) oder gar im WWW (Cloud) verfügbar - und damit angreifbar - ist.

Ein PW-Manager macht aber für viele nur dann Sinn, wenn man ihn auch unterwegs benutzen kann. Was bringen mir kryptische Passwörter, wenn ich mich unterwegs in keinen Webshop o. ä. einloggen kann?
Ja, da liegt der Hund begraben...

Die heute verwendeten Passwörter sind oft ziemlich kompliziert, das Nutzen einer PW-Management SW zum Eingeben derselben ist ein Bequemlichkeitsfaktor. Wer will schon ein ellenlanges PW aus kryptischen Zeichen noch von Hand eingeben? Und genau deshalb "muß" der PW-Manager überall verfügbar sein...

Da ist man viel lieber bereit die Bequemlichkeit über die Sicherheit zu stellen und m.E. könnte man aber dann genauso gut wieder zu einfachen aber merkbaren Passwörtern greifen...
 
OP
OP
Kimble

Kimble

Mr. Seafood
Nein, diese Problematik ist nicht so digital wie du sie zu sehen scheinst. Es macht einen himmelhohen Unterschied ob meine Passwort-Datenbank auf nur einem Gerät existiert oder auf vielen (Sync) oder gar im WWW (Cloud) verfügbar - und damit angreifbar - ist..
Das stimmt ja in der Theorie, aber eine mit 2-Faktor Authentifizierung geschützte Cloud ist auch nicht mal so einfach zu hacken. Da ist die Gefahr, dass in der Firma die Daten intern abgegriffen werden, vermutlich höher. Cloud-Lösungen haben heutzutage schon hohe Sicherheits-Standards, da hat sich in den letzten Jahren viel getan. Abgesehen davon muss man auch realistisch das Interesse der Angreifer betrachten. Mein persönliches Amazon-Login dürfte vermutlich keine russischen Hacker auf den Plan rufen, bei einem Unternehmen mit wichtigen Patenten könnte es schon anders aussehen.

Einfache Passwörter sind daher keine Alternative, da sie der Erfahrung nach ja häufig benutzt werden und mit dem nächsten Hack einer Hotel-Website dann kompromittiert sind.


@PuMod Vielleicht noch ein paar Erläuterungen:

So eine Lösung mit Keepass & Co ist natürlich nicht unbedingt etwas für ein DAX-Unternehmen, aber für kleinere Unternehmen eine gute Lösung (wobei Apple letztes Jahr über100.000 Lizenzen für 1Password erworben hat).

Man kann eine solche die Lösung vergleichbar zur bisherigen Rechtevergabe aufbauen, wobei die Passwort-Datenbanken dann Freigaben entsprechen. Dazu kann man beispielsweise folgende Stufen einführen:

1. Jeder hat eine persönliche Datenbank

2. Es gibt beispielsweise je eine Datenbank für Entwicklung, Einkauf, etc. wo jeder Berechtigte die Zugangsdaten zum Softwarehersteller, Lieferanten, etc. findet

3. Dazwischen kann man beliebige Gruppen als DB erstellen, wie in der Rechteverwaltung vorgesehen.

4. Es gibt eine Datenbank für die Geschäftsleitung / Führungsebene, wo die PW für Management-Tools, etc. hinterlegt sind.

Letztendlich lässt sich so die Struktur des Unternehmens abbilden. Ein weiterer Vorteil von 1Password ist, dass „Windows Hello“ unterstützt, also biometrische Anmeldung. Ein Benutzer muss sich also keine Passwörter merken sondern kann alle verbunden PW-Datenbanken mittels Fingerabdruck oder Gesichtserkennung entsperren. Im Gegenzug kann man dann auch für die Passwort-Datenbanken sehr komplexe Passwörter nutzen, da sie ja nur bei der Ersteinrichtung eingegeben werden müssen.

Es gibt natürlich auch noch viele andere Konzepte, aber mir gefällt diese Lösung sehr gut, sowohl privat als auch beruflich.
 

DarkRoast

Dr. Fermento
5+ Jahre im GSV
Das stimmt ja in der Theorie, aber eine mit 2-Faktor Authentifizierung geschützte Cloud ist auch nicht mal so einfach zu hacken.
Was denkst du ist schwieriger zu "hacken", eine DB die sich in einer mit "2-Faktor Authentifizierung geschützten Cloud" befindet, oder eine, die sich auf einem einzigen (dafür geeigneten) Gerät in meiner Jackentasche befindet? Ich denke du unterschätzt den ubiquitären Zugang zu Cloud Lösungen...

Einfache Passwörter sind daher keine Alternative, da sie der Erfahrung nach ja häufig benutzt werden und mit dem nächsten Hack einer Hotel-Website dann kompromittiert sind.
"Einfache, merkbare Passwörter" müssen nicht überall gleich aussehen. Ein einfacher - im Kopf ausführbarer - Algorithmus hat auch seine Meriten. Und dabei ist jedes verwendete Passwort anders...
 
OP
OP
Kimble

Kimble

Mr. Seafood
"Einfache, merkbare Passwörter" müssen nicht überall gleich aussehen. Ein einfacher - im Kopf ausführbarer - Algorithmus hat auch seine Meriten. Und dabei ist jedes verwendete Passwort anders...
Und das erklärst Du dann der Sekräterin, die die PW bisher auf gelben Zetteln in der Schublade aufbewahrt :D

Für Dich persönlich mag diese Lösung ja funktionieren, aber ein PW-System, das nicht benutzerfreundlich ist, wird am Ende von den Anwendern umgangen. Ich spreche da aus Erfahrung ..... :rolleyes:

Wenn man eine PW-Management-Lösung kombiniert mit biometrischer Erkennung konsequent umsetzt, muss man sich gar kein PW mehr merken, so lange man nicht sein Auge verliert ;)
 

DarkRoast

Dr. Fermento
5+ Jahre im GSV
Und das erklärst Du dann der Sekräterin, die die PW bisher auf gelben Zetteln in der Schublade aufbewahrt :D
Nun, da hätten wir jetzt schon ein Auswahlkriterium für den Aufnahmetest...:D

Aber ja, ich habe keine Sekretärin (mehr) und das macht mir das Leben seit einiger Zeit um vieles leichter und angenehmer... :-)

Aber - um diesen Aspekt der Geschichte von meiner Seite abzuschließen: PW-Manager sind immens praktisch, aber ich halte die Sicherheit in der man sich bei ihrer Verwendung wiegt für trügerisch!
 
OP
OP
Kimble

Kimble

Mr. Seafood
Aber - um diesen Aspekt der Geschichte von meiner Seite abzuschließen: PW-Manager sind immens praktisch, aber ich halte die Sicherheit in der man sich bei ihrer Verwendung wiegt für trügerisch!
Da sind wir absolut einer Meinung. Ginge es nur um mich, würde ich vielleicht auch wie Du eine proprietäre Lösung wählen. In dem Moment, wo aber Endbenutzer involviert sind, ist man gezwungen, Kompromisse einzugehen. Da gibt es dann nicht mehr Schwarz oder Weiß, sondern man muss sich mit Grau abfinden, ob einem das gefällt oder nicht. Daher gibt es bei dieser Diskussion imho kein richtig oder falsch sondern es zählt das, was man in seinem Umfeld umsetzen kann.

Insoweit ist eine relativ (!) gute Lösung mit PW-Manager und Biometrie immer noch besser, als eine Lösung mit gelben Zetteln oder einer Situation, in der nach dem Tod ein Passwort für 190 Millionen Dollar fehlt ;)

P. S.
Ich erzähle Dir dann irgendwann mal bei einem Glas Wein am Grill die lustigsten Geschichten von Admins, die die User in Unternehmen zu mehr Sicherheit "erziehen" wollten. Am Ende siegt immer der DAU :-)
 

DarkRoast

Dr. Fermento
5+ Jahre im GSV
P. S.
Ich erzähle Dir dann irgendwann mal bei einem Glas Wein am Grill die lustigsten Geschichten von Admins, die die User in Unternehmen zu mehr Sicherheit "erziehen" wollten. Am Ende siegt immer der DAU :-)
Gerne, das wird lustig! :-)

Ich hab da auch ein paar G'schichterln aus meiner Zeit als Software-Entwickler & IT-Berater, waren immerhin etwa 25 Jahre... :D
 

nollipa

Pizzaforscher
Servus,

ich beobachte das Thema ja schon eine Weile, da ich für mich die ideale Lösung noch nicht gefunden habe. Angefangen habe ich mit der App iPin die anfangs nur für iOS verfügbar war. Grundsätzlich hilft das Teil schon mal viel in der iOS Welt, aber bei Windows ist ein Sync über WLAN notwendig. Sachen wie AutoFill - Fehlanzeige. Anfangs war es besser als nix, aber bei mittlerweile gefühlt 1000 Zugängen - kaum mehr zu handeln.

Also habe ich mich dann mal mit KeePass beschäftigt. Das grundätzliche Problem dieser Software ist ja schon beschrieben worden:

- Oberfläche nicht mehr zeitgemäß und überfrachtet.
- Für Laien zu unübersichtlich
- Basisfeatures eher unterdurchschnittlich, Plugins notwendig
- Sync ebenfalls aufwendig und sinnvoll nutzbar nur wieder mit Plugins
- Apps für iOS und nur von Drittherstellern

Was sicher für KeePass spricht ist, dass ich die Passwortdatei relativ gefahrlos in die Cloud legen kann, wenn ich zusätzlich mit einer Schlüsseldatei arbeite. Das Masterpasswort alleine hilft dann schon mal nix. Man müsste dann auch noch von den Endgeräten die lokale Schlüsseldatei ziehen.

Trotzdem: Das mit dem Sync hat seine Tücken, denn zwar bekommt man das mit den Windows Clients und KeeCloud gut hin (es werden einzelene Einträge gesynct) aber die App kann u.U. bei gleichzeitigem ändern wieder etwas überschreiben. Denn diese kopiert einfach die neue Version über die alte drüber. Ist jetzt in meinem Anwendungszenario nicht so kritisch. Im Einsatz habe ich KeePass Touch für iOS. Letztlich bin ich damit auch nicht zufrieden, denn hier gibt es zwar die Möglichkeit innerhalb der App eine Website zu öffnen und User/PW recht einfach einzufügen - aber nur in der App, nicht in Safari.

Also habe ich auch nochmals viel gelesen und bin dann über Umwege auf KeePassXC gestoßen. Das basiert ebenfalls auf dem KeePass Datenbankformat und man kann es ziemlich einfach ausprobieren. Genau genommen ist KeePass XC ein Fork von KeePass X. Die Oberfläche ist schon mal wesentlich aufgeräumter. Weiterhin bringt es jetzt schon mal eine Chromium umd Firefox Unterstützung mit. Ausprobiert, war fix eingerichtet und hat bei einigen Tests nun wunderbar funktioniert. Ciao AutoFill!

Wäre da noch iOS. Hier gibt es die App Strongbox, die man vollumfänglich 60 Tage testen kann. Hier funktioniert das AutoFill über iOS was schon mal ein großer Pluspunkt ist. Die dauerhafte Freischaltung der App kostet aber auch schlappe 17,99 €. Da man es ja wirklich gut testen kann, probiere ich es jetzt mal ein paar Tage aus.

Wenn alle Stricke reißen, gucke ich mir auch noch mal Bitwarden an. Das könnte man selbst in der Basisversion gut testen und bräuchte ggf. nicht mal eine kostenpflichtige Version.
 

Buffalo-Joerg

Hobbygriller
Da hat vermutlich heute Morgen jemand seine Betablocker vergessen. :rolleyes:
OK, PEACE! So war das jetzt ja wirklich nicht gemeint :D

Zum Thema Apps und was die dürfen bzw. was nicht: Apple hat extrem restriktive Vorgaben, was erlaubt ist und was nicht. Und eine App am Wallet vorbei ist definitiv auf der Abschussliste, glaub es ruhig.

Zu den "unsachlichen Äußerungen": versteh es einfach als gutgemeinten Ratschlag. Was Du/Ihr macht mit euren Passwörtern, ist mit vollkommen wurscht. Aber so lax und lapidar, wie es in deiner Wuschliste zusammengefasst ist inklusiver aller dort auftauchenden Sicherheitsrisiken hat schon etwas von - sagen wir mal - Schönwetterblick. Nicht umsonst stammen mehrere Millionen gehackter Passwörter aus eben diesen Quellen, die in der Wunschliste als Want-to-Have enthalten sind.

Sieh es als Hinweis und vielleicht als freundliche Mahnung, vorsichtiger zu sein. Nicht mehr, nicht weniger. Darauf ein freundliches :anstoޥn:
 
OP
OP
Kimble

Kimble

Mr. Seafood
Sieh es als Hinweis und vielleicht als freundliche Mahnung, vorsichtiger zu sein. Nicht mehr, nicht weniger. Darauf ein freundliches :anstoޥn:
Danke :prost:

Ich bin durchaus vorsichtig, aber wie nun schon ausführlich beschrieben, muss man sich manchmal den Realitäten anpassen, ob es einem gefällt oder nicht. Mir sind gewisse Risiken schon bewusst, aber man muss sie mit den Chancen abwägen. Im Ergebnis ist mir eine Lösung, bei der jeder nur in die Kamera schaut und kein Passwort eingibt lieber, als eine theoretisch perfekte Lösung, die am Ende viele Benutzer umgehen.
 

nollipa

Pizzaforscher
So,

ich bin am testen...

Ändert man in der App "Strongbox" einen Eintrag, wird die Änderung am Desktop Client sofort sichtbar. Das liegt daran, dass die App nach jeder Änderung die Datei in der Dropbox sofort ändert. Nimmt man jedoch eine Änderung am Windows Client vor, dann bekommt das die App erst mal nicht mit. Diese gleicht sich nur beim Speichern oder erneuten Öffnen ab.

> Ändert man am Desktop Client etwas und parallel in der App, dann würde die App die Änderung des Desktops im ungünstigsten Fall wieder löschen.

Verschmerzbar, da die Lösung immerhin ohne irgendwelchen Zusatztools auskommt. Mittlerweile habe ich zwei Passwortsafes in der App, klappt soweit auch alles gut.

Nach wie vor sehe ich die Vorteile:

- Open Source
- Hohe Sicherheit (auch vom BSI bestätigt) für das KeePass Konzept
- 1 x zahlen
- Daten auf der Cloud ohne Schlüsseldatei wertlos.

Parallel probiere ich auch gerade Bitwarden aus. Das ist konzeptionell eher das, was @Kimble haben möchte, denn da kann man Familien / Teamszenarien anlegen und Passwörter für gemeinsame Accounts freigeben. Allerdings landet auch wieder alles in der Cloud des Anbieters, theoretisch kann man die Daten aber auf einen eigenen Docker-Container legen.

Das mit Bitwarden muss ich mir aber noch intensiver ansehen - könnte für unser Unternehmen auch interessant sein, eben weil es Teamfähig ist. Aber das muss fast mit den Spezialisten und nicht zuletzt mit dem DSB besprochen werden...
 
OP
OP
Kimble

Kimble

Mr. Seafood
Parallel probiere ich auch gerade Bitwarden aus. Das ist konzeptionell eher das, was @Kimble haben möchte, denn da kann man Familien / Teamszenarien anlegen und Passwörter für gemeinsame Accounts freigeben. Allerdings landet auch wieder alles in der Cloud des Anbieters.
Da ist ja einer der Pluspunkte von 1Password, dass man (nach genauerer Prüfung) eben nicht die herstellereigene Cloud nehmen muss ;)
 

BBQBuzzT

Militanter Veganer
Letztendlich muss man an irgendeiner Stelle ein gewisses Vertrauen haben. Ansonsten kann man jedes System und das betrifft nicht nur Passwort Manager, in Frage stellen. Wer sich für ein Zettelsystem entscheidet kann unter Umständen von anderen Mitlesern Nachteile erleiden. Das wäre auch gar nicht sehr unwahrscheinlich. Die Fraktion der Leute, die sich ihre Passwörter nach einem eigenen Satz-System o.ä. merken und entsprechend abwandeln sind auch gewissen Gefahren ausgesetzt. Alleine beim Eingeben kann ein Dritter zumindest Teile mitlesen. Wenn man das oft genug macht und evtl. ein zweites Passwort entsprechend ergaunert lässt sich sowas auch entschlüsseln. Bei einem Passwort Manager kann man die Software als solche schon in Frage stellen oder gar das Betriebssystem auf dem sie läuft. Wer weiß schon so genau welche Daten jetzt gerade genau über die Datenleitung wandern. Und die Verschlüsselung ist immer nur so gut wie sein schwächstes Glied. Wenn der Dienst wo ich mich einlogge ein schlechteres System hat oder ein gleichwertiges ist er immer eher Ziel einer Attacke, da hier die Anzahl abzugreifender Daten höher ist als bei einer Einzelperson. Und wer die Verschlüsselung selbst in Frage stellt muss die gesamte IT inkl. Bankensysteme in Frage stellen, denn die nutzen im Endeffekt das gleiche. Da hilft es mir auch nicht wenn ich mich digital aussperre. In meinen Augen alles eine Frage des Vertrauens und der persönlichen Einstellung.... :prost:
 

Broilermanny

Grillkaiser
Ich nutze KeyPass und bin bisher zufrieden.
Nachteil, nach den Passwortänderungen durch KeyPass kenne ich keines meiner Passwörter mehr.
Ernst beiseite, die automatisch generierten Passwörter (max 256 bit) kann man sich auch beim besten Willen nicht merken:D

Antivir bietet nun auch einen Passwortmanager an.
Der Vorteil für Anwender, wenn das Android Handy die passende App hat, hast Du auch im Handy den Zugriff auf die Zugangsdaten.
 

Felix90

Veganer
Also ich bin professionell unterwegs mit IT Kram für Firmen, Marketing und Webdesign. Aus eigener Erfahrung und ohne das für Provision weiter zu verkaufen kann ich dir ganz stark StickyPassword empfehlen. Synch via Cloud oder WLAN. Datenbank liegt Lokal. Gibt als Angebot sogar eine lebenslange Lizenz inklusive Cloud Synchronisation.

Schau es dir mal an :) hat bei mir LastPass ersetzt und rennt genial mit allen Browsern sogar auf dem iPhone.
 

nollipa

Pizzaforscher
Servus,

so - ich habe mir jetzt einiges angeschaut. 1Password ist schon mal rausgefallen, weil ich da nicht weiß wie es mit den Lizenzen weiter geht. Keepass hatte ich ja, damit bin ich überhaupt nicht zufrieden: Nicht, weil es ein schlechtes Programm wäre, sondern einfach deswegen weil andere Lösungen da meilenweite Vorsprünge haben.

KeePassXC + Strongbox

KeePassXC ist ein Fork von KeePassX. Was mir gefällt: Es gibt schon mal ein Browser Plugin, die Software selbst ist Plattformunabhängig und auch noch kostenlos. Ein weiterer Vorteil ist, dass das ganze recht bequem über die Dropbox läuft und als zusätzliche Sicherheit wie bei Keepass auch eine Sicherheitsdatei zum Masterpasswort eingrichtet werden kann. Hackt jemand die Dropbox, bräuchte er das Masterpasswort + Sicherheitsdatei. Das bringt nochmals einiges an zusätzlicher Sicherheit. Die Strongboxapp ist eigentlich auf dem iPhone nebensächlich. Richtet man die Autofillfunktion ein, ist die App quasi Nebensache. Lifetime kostet nun 21,99 €, oder im Abomodell ab 2,99 € / Monat - seltsames Preismodell. Daneben gibt es auch noch die App KeePass Touch, welche aber noch kein Autofill anbietet. Ist aber angekündigt. Derzeit kostet die App nichts, mit 1,09 € kann man die Werbung abschalten. Wenn Autofill verfügbar, dann ist das eine klasse App.

Enpass
Hätte mir auch gut gefallen, besonders auch weil es für Windows eine Windows-Hello Unterstüzung gibt. Inwieweit das für die Browserweiterung gilt, habe ich dann nicht weiter geguckt, denn das ist eine Premiumfunktion. Zudem unterstützt Enpass keine Freigaben von Passwörtern.

Bitwarden
Letztlich bin ich da jetzt hängen geblieben. Die Frage ist nämlich dann schon, welchen großen Unterschied es macht, ob die Passwortdatei auf der Dropbox liegt oder beim Anbieter. Ich denke, die viel größere Gefahr liegt darin, dass man die Browserextensions anzapft. Insofern ist das Problem vermutlich an der Clientseite größer, als der Passwortsafe in der Cloud. Ich habe jetzt das Familienabo und werde nun weitere Accounts einrichten und mal gucken wir es mir so taugt.

Ich denke, wenn man sich um einen Passwortmanager umsieht, dann sind zwei Dinge essentiell:

- Autofill auf dem Smartphone (gibt es das auch bei Android?)
- Browser Extension

Die alte KeePasslösung mit dem Autotype schaut jedenfalls ziemlich alt dagegen aus und das schöne ist ja auch: Ich melde mich an einer Seite neu an und sofort werde ich gefragt, ob die Nutzerdaten gleich abgelegt werden sollen. Sehr fein, genau so wollte ich das.
 
Oben Unten