Passwortmanager

[Lazarus Long]

Wie schon anderswo geschrieben nutze ich privat Rechner mit Windows 10. Bisher benutze ich keinen Passwortmanager. Nun trage ich mich mit dem Gedanken, einen einzusetzen.

1. Ist der Einsatz sinnvoll?
2. Wo liegen denn dann die Passworte? Lokal, oder irgendwo im Netz?
3. Kann ich eine gemeinsame Quelle für alle Rechner einrichten?
4. Welcher ist empfehlenswert?
5. Sind weitere Aspekte zu beachten?

Im Vorraus meinen Dank für die Antworten.

[schmog]

Auf meinem Mac habe ich einen Passwortmanager im Betriebssystem/Programm integriert.

[Nemo]

Ich denke mal, grundsätzlich werden die Passwörter in einer lokal verschlüsselten Datenbankdatei abgelegt. Alles Andere würde mich wundern. wobei ich auch schon einige Passwort Manager gesehen ahbe, die zumindest Cloudspeicherung als Möglichkeit anbieten, um auch mobil ZUgriff zu haben.

Die Möglichkeit, die Datenbankdatei auf einem zentralen Server im LAN bereitszustellen gibts sicher auch. Ist natürlich die Frage nach der Sinnhaftigkeit, wenn da mehrere Leute drauf zugreifen können.

Ansonsten gibts denke ich nicht viel zu beachten. 256 Bit Verschlüsselung bieten sie ja alle, wenn auch nach verschiedenen Algorithmen. Welcher da jetzt nun der Beste ist, muss man mal nen Informatiker fragen. Die kennen sich da besser aus.

Preislich gibts natürlich Unterschiede. Von Open Source bis zu teurem Luxusprodukt gibts alles, je nach Funktionsumfang. Ob man immer alles braucht? Prinzipiell ist Open Source oder Freeware nicht immer schlechter als Shareware.

[ABKO]

Was für passwörter? Die fürs Internet? Dafür hat doch so ziemlich jeder Browser einen eigenen Passwortmanager integriert. Bei vielen können diese auch über die cloud synchronisiert werden, von Opera zumindest weiß ich es.
Die Windows-Einstellungen inklusive Kennwörter, sowie die Edge-Kennwörter können ebenfalls mit anderen Windows10-Rechnern synchronisiert werden. Einstellungen - Konten - Einstellungen synchronisieren.

[Lazarus Long]

Die in die Browser integrierten Passwortmanager gelten aber ja wohl als eher unsicher ...

[RaymondF]

Ich bin mit dem Programm Keepass sehr zufrieden. Es ist Open Source und für mich ausreichend sicher und komfortabel. Die Passwortdatei ist verschlüsselt und läßt sich speichern wo immer man möchte.

[calcetto]

KeePass kann ich auch empfehlen. Gibt es für viele verschiedene Betriebssysteme. Ich synchronisiere meine Datenbankdatei bspw. mit Syncthing zwischen Smartphone und Laptop.

[Marty AU]

Ich bin mit dem Programm Keepass sehr zufrieden. Es ist Open Source und für mich ausreichend sicher und komfortabel. Die Passwortdatei ist verschlüsselt und läßt sich speichern wo immer man möchte.

+1

Nutze ich auch seit Jahren

[Le Chiffre Zéro]

Die in die Browser integrierten Passwortmanager gelten aber ja wohl als eher unsicher ...

Vor allem haben sie den Nachteil, daß deine Paßwörter in 1 Browser unter 1 Betriebssystem auf 1 Rechner gefangen sind.

Es ist wesentlich praktischer, auf dem Nettop unter Manjaro im Chromium dieselben Paßwörter zur Hand zu haben wie auf dem ThinkPad unter Xubuntu im Firefox.

KeePass kann ich auch empfehlen. Gibt es für viele verschiedene Betriebssysteme. Ich synchronisiere meine Datenbankdatei bspw. mit Syncthing zwischen Smartphone und Laptop.

Der Empfehlung kann ich mich nur anschließen, allerdings für die aktuelle Version KeePass2, auch wenn sie unter GNU/Linux eine ziemlich komplette Mono-Installation benötigt, weil nirgendwo dokumentiert ist, welche Plugins welche Mono-Komponenten brauchen.

KeePass2 ist nicht nur kostenlos, sondern Free, Libre, Open Source Software (GNU GPLv2+), cross-platform (auch wenn es leider gegen Windows-Bibliotheken gebaut ist, was unter GNU/Linux Mono notwendig macht), und es legt die Paßwortdatei nicht zwingend in einer eigenen Online-Cloud ab wie andere Manager, sondern da, wohin man sie haben will. Es ist also erst recht eine Empfehlung für diejenigen, die einen eigenen Fileserver zu Hause haben. Und es kann sich sowohl in Firefox (sehr gut sogar, aber wer weiß, für wie lange noch) als auch in alle Chromium-basierten Browser einbinden.

[Gilbert]

Vor allem haben sie den Nachteil, daß deine Paßwörter in 1 Browser unter 1 Betriebssystem auf 1 Rechner gefangen sind.

Echt?
Ich kann doch z. B. in Firefox oder Opera per Synchronisierung die Paßwörter auf jeden beliebigen Rechner, Tablet oder Smartphone holen, wenn die jeweiligen Browser installiert sind? Internetzugang vorausgesetzt....

[Stefan_T]

1. Ist der Einsatz sinnvoll?
2. Wo liegen denn dann die Passworte? Lokal, oder irgendwo im Netz?

Ich bin in dem Thema eher oldschool:

Passwörter haben nichts auf dem Rechner zu suchen. Weder verschlüsselt noch im Klartext.

Der Dozent zum Thema Datensicherheit an unserer Uni macht öfter den Vorschlag, die Passwörter auf einen Zettel zu schreiben oder auf eine Seite in einem Buch und das ins heimische Regal oder in die Schublade legen.

Die Wahrscheinlichkeit, dass ein Einbrecher den Zettel oder das Buch findet und mitnimmt ist um Welten geringer als ein "Onlineeinbruch" in den Rechner.

[Le Chiffre Zéro]

Vor allem haben sie den Nachteil, daß deine Paßwörter in 1 Browser unter 1 Betriebssystem auf 1 Rechner gefangen sind.

Echt?
Ich kann doch z. B. in Firefox oder Opera per Synchronisierung die Paßwörter auf jeden beliebigen Rechner, Tablet oder Smartphone holen, wenn die jeweiligen Browser installiert sind? Internetzugang vorausgesetzt....

Ja, von Firefox zu Firefox zu Firefox. Und von Opera zu Opera zu Opera.

Aber nicht zwischen Firefox und Chromium-basierten Browsern.

Ich bin in dem Thema eher oldschool:

Passwörter haben nichts auf dem Rechner zu suchen. Weder verschlüsselt noch im Klartext.

Der Dozent zum Thema Datensicherheit an unserer Uni macht öfter den Vorschlag, die Passwörter auf einen Zettel zu schreiben oder auf eine Seite in einem Buch und das ins heimische Regal oder in die Schublade legen.

Die Wahrscheinlichkeit, dass ein Einbrecher den Zettel oder das Buch findet und mitnimmt ist um Welten geringer als ein "Onlineeinbruch" in den Rechner.

Ist dein Dozent kryptotechnisch auf einem aktuellen Stand?

KeePass arbeitet schon mit 128-Bit-AES mit 256-Bit-Schlüsseln; außerdem muß zum Öffnen des Schlüsselcontainers immer noch eine Paßphrase eingegeben und optional eine zusätzliche Schlüsseldatei verwendet werden, die jeden x-beliebigen Dateinamen haben kann (man sollte nun nicht gerade in seinem ~-Verzeichnis den Namen einer Datei wählen, die nach dem Login automatisch ausgelesen wird).

Des weiteren ist die Zeit, in der man nur drei, vier Paßwörter à vielleicht acht Zeichen brauchte, längst vorbei. Heutzutage haben Web-Intensivnutzer dutzendweise Paßwörter (es wird ja empfohlen, für jeden Dienst jeweils ein separates Paßwort zu nutzen), die gern zum einen lang sind und zum anderen kryptisch, um Rainbow Tables keine Chance zu geben. Ein von KeePass generiertes Paßwort kann auch schon mal so aussehen:

Code: Alles auswählen

¬PSL2@Er(Hð4x¨¤¤¦ÏÕ/ܽ¡èõæm¸Ìb³;ò£$<Éj-g*°X8ùD¨åRªgWÖzZ¹@ý($ѵè
+~:í(eÕØUõÖõM*4Ôéøv)áál¸#$¶Vy#b'ôRtpéW#iÓ<YÚØ#µrÈu.|Ç@®0j#i{fDÓ'
"U$AÀj¢ãCz-C]ݺtÉ7(*/Ò?áÏ[3=Ô²ÉMû¹è¢|!J¥qÝ[·´ÒmwУ»£íôÕþøùï¾×0§Ê
6ÄdÂc5KrNB<SVØ"$#ìËÓª/«5òIØSÁG½ía]·$kAãk9rï3<,þ¦TÖ¸±5¥j¼K#øQQóÄA
{ÐãÝcÊdX.löXÚ¸K$*,ÏFнÍì£+Éur=0&¸GI}áMúÛ^LE¡¤RJÉG8¡ÝÈ¢X\ú0V$ëÖ9»
í«ü!8§FWÆo·CÍÉ@þbR5°×ðVJzS±cLPÚr©º-»DÙ½ìô'Äx{5H¶µbUº§âh©À,`Ãíiíc
s/ûGp/%nØ%ü[ú¼m`ÔºI+}»ä¥)¦k98DV!ÑÆyà«ÜÍ$ÛXiÂ+'-Ó78"qÝÞ§¼Ê#OWM°¡Û
¬áGe2áöÀ¤ðeÄZ¢éXßô°tûøR#ÈÒ^x3´ÇãÁ{+Û{ÒíÉ8ɬ9¡ËcRË[é´A¤Â^áÿmùTÍGµ
MÔÍoE£¥Ä:NSùq!kGÃfÜZPøv.§ªqNâ\+È_WØ2wðd©{Ë/$%ÎÁÄÅ_°)ÕAö9µ*>îûÏ&º
ÿfþ©|7h^[:;C¢²x,Æ]cEþØîÂÏÃYE³êñr·ß,ÛúCK({s_pø+¯ÁcFþ/ç7ÔÚ(*Ç«(+½5
Ø-òæÛªÜ{&VÖéCnXi¶¦'2á×Vfw2A)U¶m¦.RCé6`©kMùâ&Le¢]RÌK*øÅQÖubBwèå*@
·À#}¶ÚíaéÛ%Ï1¼nÒ9RI*$íÕíEÉ!sð_5ĨϾ½;¡_8NkWÍý³CS£ôt«#m¤q$p|¢)¤ü¸
ú|KGv9Z2XÖ¦=Þ!!Ï£ÍÍ0üY+ä»(¬_MQ\ÏØV[eI]JPÜÂ8Ú\-G3øë7dÝ3®½PëA_WðB¨
ªÄ»©ÀÙWñmÈ^Ð<Ñ·PÏîתoU¯8/¯P:ܶÀ}T·¾\±ÔTØ_ù½.½ÀW³]ån0Á¤£lãrö-¦òOö
7ÁTµîtÔlKqÜ«¡JiáÓZøµNÔ[T}¨ÇFøüh*)ðº8¦xã~'Çë_«*û+E³[^xz³ÖS¶,¨ý4Àû
Þý<F$ÿÃ-©Ð9&::q6FwÒã¬idwÛ$3½jÉwÁôæ¾2ç;A0»Xì×C¦çÚòûL:HüOµ&¡ÕW°ªö
Êpm¯dÖ³87ÝzGq@f"C£d·Õ4³p5ÃøÚïq¢;±íÖ®OÐþºX£ûÖ/aå%íô[÷h,ÌWϤõ°TÓÛß
ñùóÑòá¦/'R\nGÙiÿî¤XõæØ/u8¼¹X>sA$;Ø]]ÁÏpËí{¡uCYiʺQ¦ÞîLòÙµ`±ù;fPm
Þâ½f¼[ðUrãC5Ö?Y®ÞW·¼=Ëï¨ÝȱAJ!½8C*uÞèq3BL3íêô¥ÒÌ}«S»Úî5÷CB"õG9Þ>
_kæÉ@h~t½ÇÀD2¾[â}ö-\ì&ÉÉâíÞqktVóÐbù¡ºÝyò|r¥á¥È(¶ª;ÄåDé#þ£~óeuvÐÖ
n«ø\\ZÅV¹ûPù_u÷R»sñðþp3Ѧʸú^£SÀû½#^»ì¢N"Óhdüe/ÀåXÝÙ@ü$CPÎÚ^×sÁë
|¸»Ëjä9ÉàeУ¾ËÙró/ÀÚò)ásTßl·Ï:Ò¢Lz÷F£ÿ/ßs1ÍN½×Hq¡(ia@XÕìû)|Á¾G8ß
vì)þàòM¹@<CáT-ÖÐþ@iµª®.0z4Ö_ßGU,À3ÿÍÂ`éøýªgwã31º*Þ'5M³i±5ÄAq̨¯U
êjBzý×(iµN,1W3óó*Pf¬¦¿¹Ob%ͯ¹$é%ÃQ*È/ÄëàÌS®ÓJeµ[²í½{fùªõ.FÜöÌ
ËË¡îòÑpØñÿöÚQ+CæYA.mÊ,rúÃJÄüJÄJÜé]ï¡1Íï(E¹Ï(oe(#iq¶a´¸í_áIÂð]×õR
º¡&AYC_¹Hì~jðC²d]HâûÃï¨5ÈF£Mƾ)|5ó»kD68±?ð1ÑÂãj>xä½È¼{ùt¹1ìLȦwµ
®ÛEI£ñV§@áÿM*èLýª»O!°oúÇà³úÆkPi}6e$t+QÙò¸è:ßyg:ö¶>ÚÆÜ%¶.ÁðåäÖèìß
>*cñdÜÇG¤ü9oi0ÞTn4'h£RñS}0Iè_¿Ìùâ]]y-êW5ï~å.iY¨&LlܼúGÛËN,E/³Äæ&
Ò<6sÅxm¶Édö'zrndLLðìÚ`,ë`4øoIÅf$×u²þIìMßW:ðg§®ÚàéeKkXXºYçQ´C«*èª
ïäV?SR`]Bqj'Ú¢;yn£½J;B¨&ÿ.Wç|¬1y¡Äóܲ¿'fª¢íX%0ùÙjþ6`q°^V¬wGîj£â[

Das tippt man nicht mehr vom Zettel ab.

Und was ist, wenn man unterwegs (Hotelzimmer mit WLAN, Smartphone dient als Hotspot o. ä.) ein Paßwort braucht und das Buch mit dem Zettel mit den Paßwörtern zu Hause im Bücherregal stehen hat?

[Nemo]

Ja, von Firefox zu Firefox zu Firefox. Und von Opera zu Opera zu Opera.

Aber nicht zwischen Firefox und Chromium-basierten Browsern.

Warum sollte man sowas auch tun? Ist ja nicht so, ass es alle Browser plattformübergreifend gibt.

Ist dein Dozent kryptotechnisch auf einem aktuellen Stand?

KeePass arbeitet schon mit 128-Bit-AES mit 256-Bit-Schlüsseln; außerdem muß zum Öffnen des Schlüsselcontainers immer noch eine Paßphrase eingegeben und optional eine zusätzliche Schlüsseldatei verwendet werden, die jeden x-beliebigen Dateinamen haben kann (man sollte nun nicht gerade in seinem ~-Verzeichnis den Namen einer Datei wählen, die nach dem Login automatisch ausgelesen wird).

Keine Verschlüsselung ist unknackbar Vor allem durch die zunehmende Rechenkapazität sind solche Verfahren schnell Obsolet.

Des weiteren ist die Zeit, in der man nur drei, vier Paßwörter à vielleicht acht Zeichen brauchte, längst vorbei.

Nö. Ich schaffe es dir auch aus acht Zeichen ein ziemlich sicheres Passwoirt zu erstellen. Es lässt sich sicher einfacher knacken, als ein Passwort mit 50 Zeichen, aber nach der Logik sollten wir unendlich lange Passwörter benutzen.

Außerdem ist das ganz massiv vom Einsatz abhängig. Für dieses Forum hier würde ich niemals ein Passwort wählen, wo ich erstmal zehn Minuten tippen muss. Das wäre mit Kanonen auf Spatzen geschossen. Bei Firmenaccounts oder sicherheitsrelevanten Anwendungen sieht das schon anders aus. Da merke ich mir die Passwörter aber so oder so.

Heutzutage haben Web-Intensivnutzer dutzendweise Paßwörter (es wird ja empfohlen, für jeden Dienst jeweils ein separates Paßwort zu nutzen), die gern zum einen lang sind und zum anderen kryptisch, um Rainbow Tables keine Chance zu geben.

Ein bisschen Paranoia hat ja noch keinem geschadet

Und was ist, wenn man unterwegs (Hotelzimmer mit WLAN, Smartphone dient als Hotspot o. ä.) ein Paßwort braucht und das Buch mit dem Zettel mit den Paßwörtern zu Hause im Bücherregal stehen hat?

Jop, wie soll ich auch die drei Passwörter behalten, die ich so brauche. Da brauche ich dringend einen Passwort-Manager für.

[Gilbert]

Ja, von Firefox zu Firefox zu Firefox. Und von Opera zu Opera zu Opera.

Aber nicht zwischen Firefox und Chromium-basierten Browsern.

Wozu braucht ein Normalo-Computernutzer solche nerdigen Anwendungen?

Ein bisschen Paranoia hat ja noch keinem geschadet

...allerdings

[Le Chiffre Zéro]

Ja, von Firefox zu Firefox zu Firefox. Und von Opera zu Opera zu Opera.

Aber nicht zwischen Firefox und Chromium-basierten Browsern.

Warum sollte man sowas auch tun?

Weil es, wenn man eine entsprechende Anzahl an Paßwörtern benutzt (mehr als drei – sagen wir, mehrere Dutzend, die sich natürlich alle auch ändern können), ein ziemlicher Aufwand wäre, jedes Paßwort in jeder Browserplattform separat händisch einzutragen.

Ist ja nicht so, ass es alle Browser plattformübergreifend gibt.

Firefox ist cross-platform.

Chromium auch, dito viele auf Chromium basierende Browser.

Windows-only-Browser nutze ich nicht, GNU/Linux-only-Browser auch nicht.

Abgesehen davon spielt das hier keine Rolle.

Jop, wie soll ich auch die drei Passwörter behalten, die ich so brauche. Da brauche ich dringend einen Passwort-Manager für.

Du hast 3 Paßwörter. Ich habe 52.

Die müssen synchron gehalten werden über 5 aktiv genutzte Rechner mit 8 Betriebssystemen und mindestens 19 Browsern, davon 8× Firefox.

[Nemo]

Jop, wie soll ich auch die drei Passwörter behalten, die ich so brauche. Da brauche ich dringend einen Passwort-Manager für.

Du hast 3 Paßwörter. Ich habe 52.

Die müssen synchron gehalten werden über 5 aktiv genutzte Rechner mit 8 Betriebssystemen und mindestens 19 Browsern, davon 8× Firefox.

Du betriebst auf fünf Rechnern, acht Betriebssysteme mit 19 Browsern? Kann man ja machen, aber das halte ich für...nun ja.

[Stefan_T]

Ich bin in dem Thema eher oldschool:

Passwörter haben nichts auf dem Rechner zu suchen. Weder verschlüsselt noch im Klartext.

Der Dozent zum Thema Datensicherheit an unserer Uni macht öfter den Vorschlag, die Passwörter auf einen Zettel zu schreiben oder auf eine Seite in einem Buch und das ins heimische Regal oder in die Schublade legen.

Die Wahrscheinlichkeit, dass ein Einbrecher den Zettel oder das Buch findet und mitnimmt ist um Welten geringer als ein "Onlineeinbruch" in den Rechner.

Ist dein Dozent kryptotechnisch auf einem aktuellen Stand?

Das hoffe ich. Er doziert nämlich auch aktuell über Datensicherheit.

KeePass arbeitet schon mit 128-Bit-AES mit 256-Bit-Schlüsseln; ...

Du müsstest bei jedem KeePass-Update kontrollieren, ob eine Hintertür eingebaut wurde oder nicht. Vor allem müsstest du darauf vertrauen, dass aktuell noch keine Hintertür drin ist, sofern du das nicht selber anhand vom Quellcode herausarbeiten willst. Und selbstverständlich hast du deine verwendete KeePass-Version aus dem kontrollierten Quellcode selbst kompiliert.

Ansonsten: Kein Programm ist vollkommen unverletzlich und 100% sicher.

Eine gewisse Systematik in der eigenen Passworterzeugung (z.B. Anfangsbuchstaben eines Lieblingszitat garniert mit Zahlen und Zeichen) und dann sind auch Wörter mit 16 Zeichen hinreichend sicher. Und das kommt halt dann auf den besagten Zettel und dann kann sich ein Angreifer online die Zähne ausbeißen. Was nicht auf dem Rechner ist, kann auch von ihm nicht geknackt oder manipuliert werden.