"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Passwort Management - Sinn/Unsinn & Empfehlungen

jives 01.04.2011 - 09:16 151978 834 Thread rating
Welchen Password Manager verwendet ihr?
LastPass
1Password
KeePass
Dashlane
F-Secure Key
Kaspersky Password Manager
Intel Security True Key
Keeper Security
Enpass
SafeInCloud
Ja, aber er ist hier nicht gelistet
Nur den Password Manager meines Browsers
Gar keinen, Gehirn, Post-Its und Notepad all the way!
Posts

Snoop

Here to stay
Registered: Jun 2002
Location: Gablitz
Posts: 1075
bitwarden kannst selbst hosten

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10585
Zitat aus einem Post von smashIt
ihr habt alle eure passwörter einer externen bude anvertraut.
die sind gehackt worden.
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?
muss ich das verstehen?

ich wüsste sonst da keine "gscheide" Lösung. wäre aber für input e dankbar. ;)

selbst aufm privatrechner möcht ichs nicht haben. aufm smartphone schon 2x nicht. sei es jetzt weil mir eine platte eingeht oder weil ich dann selbst gehackt werde. ist zwar noch nie passiert und mein unifi router sollt von vornherein vieles abfangen. aber sicher ist man auch da nie imo.

ich hab beim einstellen der letzten 2 tage gemerkt, dass ich meine 2 passwörter bei allen logins verwendet habe. DAS ist imo unsicher. nicht dran zu denken was da passiert wenn auch nur 1 gehackt wird. das waren zwar auch komplexe sätze in allen varianten (buchstaben groß/klein, zahlen, sonderzeichen)
aber eins war nur 11 zeichen lang.

wenn ich da nach passwortcheck.ch gehe, hätt das genau 5 monate gedauert per bruteforce.

wenn da was passiert brauch ich mal 1, 2 tage urlaub um alles wieder zu richten. :p

//ganz wichtig was auch TOM anführt:

Zitat
Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung.

tja...
Bearbeitet von sk/\r am 24.12.2022, 11:57

TOM

Super Moderator
Oldschool OC.at'ler
Avatar
Registered: Nov 2000
Location: Vienna
Posts: 7236
Zitat aus einem Post von smashIt
und jetzt lauft ihr zur nächsten externen bude, und macht das gleiche wieder?

nö musst du nicht (gibt inzwischen genügend open-source/selfhosted lösungen dafür), aber ich geb dir folgenden denkansatz mit:

Diese riesen tech-unternehmen (Google & co.) und pwd-management Anbieter sind große zielscheiben für hacker wegen den wertvollen Daten.

Es ist und bleibt ein ewiges katz und maus spiel. Diese Unternehmen haben sehr sehr gute Leute und stecken sehr sehr viel Geld in die Sicherheit, da ein data-breach den Untergang für sie bedeuten könnte. Also hinsichtlich der Verfügbarkeit und zeitnahen Reaktion auf neue Lücken/Angriffsvektoren sind diese Unternehmen wohl besser aufgestellt, als eine self-hosted lösung.

Auf der Gegenseite gab es in den letzten Jahren genügend 0-days bei NAS Herstellern (ransomware), also genügend angriffsvektoren bei denen ich eine selfhosted lösung nicht unbedingt sooo viel sicherer sehe, als eine hosted lösung. (ich gehe hier pauschal davon aus, dass relativ viele den simplen weg gehen und ihren selfhosted vault am NAS laufen haben). Natürlich geht es sicherer, aber damit wird es auch aufwändiger mit öfter 'handarbeit' und ständiges reingreifen => Weniger Komfortabel

Es bleibt immer eine Abwägung von Security & Komfortabilität, soll jeder für sich entscheiden wie er es handelt... aber ich halte beide Lösungswege (selfhosted & hosted) für valide.

Es gibt PWD-Manager die durch ihren Track-Record mein Vertrauen haben (z.B. Bitwarden) und welche die mein Vertrauen verloren haben (z.B. Lastpass). Selbiges bei VPN-Anbietern etc.

btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka

Iceboy

Banned
Registered: Dec 2021
Location: Ottakring
Posts: 86
Zitat aus einem Post von TOM
btw. der Lastpass leak betrifft afaik ein cloud-backup ihrer daten, also kann es gut sein dass selbst bereits gelöschte konten/vaults betroffen sind...pishikaka
Wär nicht schlecht wenn Lastpass da mehr Auskunft geben würde. Mein Account dort wurde Jan 2021 gelöscht. Frage ist wie alt deren Backups sind.

JDK

Oberwortwart
Avatar
Registered: Feb 2007
Location: /etc/graz
Posts: 2737
Seh das wie TOM. Es ist ein Kompromiss aus Security und Komfort.
Bin mit 1Password nach wie vor zufrieden.

hynk

Super Moderator
like totally ambivalent
Avatar
Registered: Apr 2003
Location: Linz
Posts: 10894
Und die Masse verwendet heute noch Excel Listen und Post-Its...

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Zitat aus einem Post von hynk
Und die Masse verwendet heute noch Excel Listen und Post-Its...

Dass wird dank den Browsern deutlich weniger.

Wyrdsom

Komischer Kauz
Avatar
Registered: Mar 2012
Location: Jig-Jig Street
Posts: 7123
Bin mal umgestiegen auf Enpass. Wirkt bisher ganz nice und läuft alles auch problemlos.

fresserettich

Here to stay
Registered: Jul 2002
Location: hier
Posts: 5316
bei mir liegt die Keepass-Datei in der iCloud. Hab entsprechend langes PW gewählt.

Sicher nicht perfekt.

Muss mir das mit dem Auto-Fill für den Mac nochmal anschauen vermutlich muss ich mal umsteigen von Strongbox auf KeepassXC oder so ...

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Bei KeePass ist nicht nur die Laenge und Komplexitaet der Passphrase entscheidend, sonden auch die KDF, die man gewaehlt hat, um das Passwort zum Schluessel aufzublasen. KA, was unter KeePass 2 das Default ist, aber Argon2 sollte man sich schon goennen.

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48757
Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3446
rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.

COLOSSUS

Administrator
Frickler
Avatar
Registered: Dec 2000
Location: ~
Posts: 11890
Zitat aus einem Post von UnleashThebeast
rot13 is mehr als gut genug. Wenn man wirklich sicher sein will, dann einfach 2xrot13.

Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.

fresserettich

Here to stay
Registered: Jul 2002
Location: hier
Posts: 5316
Zitat aus einem Post von Viper780
Danke Colo für die Erinnerung.
Ich muss mal die Verschlüsselung wieder aktualisieren, chacha20 darfs schon sein.
Default ist aktuell noch AES-KDF

Danke auch von meiner Seite, da war ich noch veraltet. >Hab ich jetzt aktualisiert :)

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10585
Zitat aus einem Post von COLOSSUS
Dank juengster Innvoationen und Durchbrueche in der differenziellen Kryptoanalyse ist, entgegen allgemein immer noch vorherrschender Mehrheitsmeinung, vom Einsatz der vormals als ugs. "wasserdicht" zu betrachtenden ROT13-Algorithmik (sogar dann, wenn multiplen Runden Anwendung finden) inzwischen ganz klar abzuraten. Wer seine Daten wirklich sicher aufbewahren will - also auch vor so formidablen Gegenspielern wie der NSA oder Emil und den Detektiven ausreichend gut verborgen - der hat eigentlich keine andere Wahl, als zur KRYPTO 4.0/2013 Professional Multi User 256 Bit (Vollbit)-Methode zu greifen.

ich kenn mich da zuwenig aus.
aber wenn ich jetzt nach https://www.passwortcheck.ch/ gehe, ist mein masterpasswort 172 bit stark.
zuwenig? :eek:
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz