Welche Passwort App könnt ihr mir empfehlen

Hallo Liebe Blocktrainer Gemeinde.

Ich bin gerade dabei meine ganzen Passwörter zu sichern. Und ich möchte alle Passwörter auf einer App speichern.

Jetzt zu meiner Fragen

Welches Software oder App könnt ihr mir da empfehlen?

KeePass 2 verwenden wir im Unternehmen. Hat den Vorteil dass es open source ist und lokal verschlüsselt (also nix Cloud oder sonst was). Was man an Komfort einbüßt (also nicht geräteübergreifend, für Browser bräuchte man AddIns was die Sache wieder unserer macht) macht das Tool mit Sicherheit wett. Wenn du also auf Komfort verzichten kannst und einfach sicher sein willst wäre KeePass 2 das Tool der Wahl.

Ich probiere gerade Passwort Save aus. Ich überlege gerade. Sollte es mal ein Hacker so ne Datenbank hacken dann hast du echt ein Problem. Ich überlege ob aufschreiben sicherer wäre.

Ist bei uns auch so. Man muss sich allerdings gut überlegen, ob man die maximale Sicherheit ggü. Angriffen haben möchte, oder einen Kompromiss inkl. Sicherheit bzgl. Datenverlust.

Ich nutze privat z.B. seit kurzem https://bitwarden.com/ und bin damit sehr zufrieden. Siehe auch hier:

Hier liegen die Daten verschlüsselt bei Bitwarden, also in der „Cloud“. Besonders sensible Dinge (Broker, Bank etc.) lege ich hier allerdings entweder nicht ab, oder ich verwende zusätzlich eine 2-Faktor-Authentifizierung auf der jeweiligen Seite.

Wahrscheinlich werde ich es in Zukunft so machen, dass ich den verschlüsselten Passwortsafe auf der NAS ablege, die dann End-to-End verschlüsselte Backups in die Cloud macht.
Aber @nittels hat schon recht. Wenn man max. Sicherheit haben will, darf man das nicht machen. Sollte AES256 z.B. in 10 Jahren entschlüsselt werden können, haben sie meine alten Daten von heute ja vielleicht immer noch.

JA!

Noch einmal?

JA!

Und auf dem Smartphone würde ich schon mal GAR NICHTS speichern.
Open Source hin oder her.

Was spricht denn gegen LastPass?

Soweit ich weiß, sind die noch nie negativ aufgefallen und bieten ihren Dienst schon sehr lange an.

Stimmt schon, würde ich auch nicht. Aber bei Diensten wie z.B. Bitwarden liegen die Daten verschlüsselt auf dem Server. Du kannst dann mit einer Handy App darauf zugreifen. Die App kann man wie üblich mit unterschiedlichen Optionen sichern (Passwort, 2FA, FaceID).

Ich würde da aber wie gesagt auch keine ganz sensiblen Sachen ablegen.

Wird ja immer schlimmer…

Nee, sorry, haltet mich für paranoid, aber Passworte (verschlüsselt oder nicht) gehören nicht auf das Smartphone und schon gar nicht auf den Server.

Es ist auch nicht schwer, sich gute Passworte für wirklich wichtige Dienste auszudenken und diese „analog“ auf einen Zettel zu schreiben.

Überlegt mal:
Wieviele gute und sichere Passworte braucht man wirklich?

Für Facebook, Instagram, Foren usw. braucht man kein wirklich gutes Passwort. Ein einfaches reicht, wenn’s nicht gerade „12345“, „passwort“ oder „hallo123“ ist. Will sagen: Die kann man sich merken oder auch herleiten.

Was noch? Finanz-Kram (Paypal, Wallets,…), Shops (Amazon,…), EMail-Konten…
Wieviele hat man da im Schnitt? 20? Vielleicht 30?

Diese sollten richtig gut sein, wie bspw. 9xKE4_eKx9
(min. 10 Zeichen, A-Za-z0-9 und Sonderzeichen)

Braucht man sie unbedingt mobil? Nein, normalerweise nicht. Also: Hübsches A5-Buch kaufen, aufschreiben, in die Schublade legen. Mehr Sicherheit geht (fast) nicht.

Aber warum machen viele es nicht? Weil’s unbequem ist. Je bequemer, desto unsicherer.

Danke fürs Kopfwaschen!

Lg Roadrunner

Tut mir leid, aber dem muss ich widersprechen.

Für jede Website sollte man ein eigenes Passwort verwenden bzw. erstellen lassen.
Umso einfach das geht, umso eher wird es auch in der breiten Masse verwendet werden!

Falls es kritische Passwörter sind, MUSS dafür ein zweiter Faktor eingerichtet werden.
Ein Passwortbuch zu verwenden, ist leider nicht mehr zeitgemäß.

Habe ich etwas anderes geschrieben?

Ich verstehe Deinen Einwand nicht.

Ich habe nicht geschrieben, dass man 2FA deaktivieren soll.

Dafür kann man ja den Google Authenticator, ein zweites Passwort, EMail-Link usw. nutzen. Dies verringert aber ja in keinster Weise den (das?) Sicherheitslevel eines Passwort-Buches.

Was ich damit sagen wollte, dass es keinen Sinn macht auf die Bequemlichkeit eines modernes Passwort Mangers verzichten zu müssen, wenn man zufällig erstellte Passwörter mit 2FA verwendet.

Ein Passwort-Buch kann verloren oder gestohlen werden. Das ist definitiv nichts was man hier bewerben sollte!

Kannst du kurz erläutern warum? Wenn ich von bewährter Open Source Software und Ende zu Ende Verschlüsselung ausgehe, wo ist dann noch der Angriffsvektor?

Mir fallen nur zwei Dinge ein:

1. Eine mögliche Entschlüsselung meiner Daten in mehreren Jahren, falls z.B. AES256 mit neuen Rechnern in realistischer Geschwindigkeit geknackt werden könnte.
   Selbst mit Quantencomputern und dem Grover Algo kann man nach heutigem Wissen AES256 nur auf AES128 reduzieren (sagen zumindest die mir unbekannten Seiten, die ich im Netz
   finde ).

2. Die Schwachstelle sitzt vor dem Computer, d.h. Passwort ist schlecht oder wird bekannt, man benutzt keine 2FA etc.

Punkt 2 kann man im Griff haben. Punkt 1 wäre ärgerlich und bedeutet nur, dass man seine Passwörter regelmäßig ändern, und die Verschlüsselung up to date halten sollte.

Ich kenne Dein Umfeld nicht, aber die Wahrscheinlichkeit, dass jemand unbemerkt an die (richtige) Schublade in meinem Büro kann, um dort das Buch zu entwenden, ist annährend 0.

Dass

• ich mein Smartphone verliere
• mein Smartphone gestohlen wird
• ich (aus Versehen) eine böse App installiere
• die Passwort-Software kompromittiert ist
• der Passwort-Cloud-Server gehackt wird
• jemand eine Man-in-the-middle-Attacke startet
• …

halte ich insgesamt für deutlich höher.

Bei Smartphones habe ich (das mag jeder anders für sich bewerten) keine Ahnung, was alles im Hintergrund läuft und ggf. mithört.
Geschlossene Apps laufen weiterhin fröhlich im Hintergrund weiter und in den meisten Fällen sind Apps installiert, die ich nicht kenne, nicht brauche und auch keine Ahnung habe, wozu die eigentlich gut sind.

Deshalb ist ein Smartphone für mich ein ganz schlechtes Endgerät, wenn es um Sicherheit geht.

Und ein externer Server? Joa, muss ich dazu noch viel sagen oder reicht „Ledger“ als Stichwort?

Wie tief wollen wir einsteigen bzw. wie paranoid wollen wir werden?

Ich frag’ mal ganz frech: Kompilierst Du die Software selber oder nutzt Du fertige Executables, die von „trusted sources“ kommen?

Wenn Dein Endgerät sauber ist, gibt es wenige…

Wenn’s richtig umgesetzt wurde, ist alles gut. Sagt ja auch niemand.

Aber es wäre nicht das erste Mal, dass ein Passwort während der Entschlüsselung im Speicher ausgelesen wird oder ähnliche Szenarien.

Man sollte sich halt (besonders bei gekaufter/geschlossener Software) bewusst sein, dass Backdoors existieren können, bei der Programmierung geschlampt wurde und…und…und

Nur weil eine Software damit wirbt, besonders sicher zu sein, muss dies nicht stimmen.

100% agree.

Na ja, es ging jetzt auch mehr um die Art der Passwort-Speicherung und da bleibe ich bei meiner Aussage, dass man das gute, alte Passwort-Buch nicht abschreiben (Ha, Wortwitz.) sollte und die Nutzung von Technik nicht immer von Vorteil ist bzw. auch seine Risiken hat.

Das Hauptproblem bei einem Passwortbuch sehe ich darin, dass es meistens nur als eine Kopie an einem Ort liegt. Ich möchte im „Notfall“ 7 Tage 24 Stunden von überall her auf kritische Konten Zugriff haben. Und ganz feuersicher ist Papier an einem Ort auch nicht.

Ja, hab’ ich auch mal gedacht. Aber wie realistisch ist es, dass Du diese Bequemlichkeit in Anspruch nimmst? Abwägung: Sicherheit vs. Bequemlichkeit

Wegen 2FA braucht man oft auch noch Zugriff auf sein Handy bzw. EMail-Konto. Das müsstest Du also auch immer dabei haben. (Wobei das wohl mittlerweile bei vielen so ist. Selbst auf’s Klo nehmen sie das Ding mit.)

Stimmt, aber wir reden von Passworten und nicht von Seeds. Jede gute Webseite hat eine „Passwort vergessen“-Funktion.

Zugegeben: Es wäre etwas lästig, sich alles neu einzurichten, aber auch hier: Wie wahrscheinlich ist es, dass das jemals passiert?

Das ist eines der grössten Sicherheitsrisiken! Insbesondere wenn das Recovery über einen gehackten email Account oder sim card swap laufen. Oder Dienstleister welche per „Social Engineering“ ausgehebelt werden können. Immer dran denken - in den call center sitzen keine hochbezahlten sicherheitsexperten.
Ich habe einen email Provider bei dem ich z.B. Password recovery komplett inaktivieren kann. D.h die volle Verantwortung liegt bei mir. Ist mir aber sympathisch und bin ich von Crypto her gewohnt
Wichtig ist einfach sehr vorsichtig und sparsam mit „alternativen“ Recovery Optionen umgehen. Daher habe ich liebe sehr wenige Eingänge („Hintertürchen“) in meine Konten mit sehr sicheren Passworten für welche ich die volle Verantwortung übernehmen.

Und wie immer gilt - egal ob Papier oder „elektronisch“ - BACKUP, BACKUP, BACKUP! und dezentral aufbewahren. Passt auch zu Crypto

PS: Ich reise sogar mit zwei Handys, falls eines ausfällt oder abhanden kommt

Ich kann keine App empfehlen, aber eine Methode mit der man mMn sehr einfach sehr komplexe Passwörter in sein Schädel bekommt.

Ich denke mir einen Satz aus, der Bezug auf das Gerät, die Website etc nimmt. Je kurioser, desto besser. Anschließend nehme ich jeden Anfangsbuchstaben eines Wortes und verschlüssel ihn random.

Bsp. (Konsonanten bleiben, Vokale werden durch ihre Position im Alphabet ersetzt)

Ich möchte eine Art Passwort für meine Bitbox.

I m e A P f m B

Wird dann zu

) m 5 ! P f m B

Dieses kann man dann für jede Website ein wenig variieren und hat somit „ein“ Passwort für alles.

Macht das schon seit Jahren so und meine Passwörter haben mehr als 20 Zeichen, inklusive Sonderzeichen.

Ich empfehle Sprichworte, Redewendungen oder Text-Passagen aus Büchern.

Aber ja: Das ist eine der besten Methoden, um sich gute Passworte zu merken.

Ich wollte bis jetzt mit meiner Variante nicht raus rücken.
Sie ist aber ziemlich nah an deiner Variante.
Also ein kryptisches immer gleiches Kernpasswort + Trennzeichen + Webseite/Anbieter
Ich kann mir so seit vielen Jahren jedes Passwort merken.