JDK
Oberwortwart
|
Nach wie vor mit 1Password zufrieden. Keine Leaks, Apps/Extensions/Clients so viel ich will (Integration in VS Code ist z.B. auch nice) und gute Usability. Scheinen sich auch in Richtung SSO und Passwordless Gedanken zu machen.
|
Wyrdsom
Komischer Kauz
|
Bin mit Enpass bisher ganz zufrieden. Das UI könnte ein wenig besser gemacht sein aber sonst tut es was es soll und die Sync-Möglichkeiten find ich super.
|
COLOSSUS
AdministratorFrickler
|
Ich würd dass jetzt nicht per se als Problem sehen. Ich schon. Niemand auszer den Entwicklern der "App", sowie allen Entwicklern all ihrer Dependencies (das inkludiert die Entwickler etwaiger Crash-Reporting-Werkzeuge wie Senrty usw.), hat die Kontrolle darueber, wo Daten, die du ein- oder ausgibst, tatsaechlich (noch zusaetzlich) hinreisen. Auch das alte Argument, dass eine Firma, die ja mit vollem Fokus superheikles Thema X behandelt, das dann auch ordentlich machen sollte, und man sich deswegen ja gar keine Sorgen machen muss, sollte man in Zeitalter von LastPass- und Okta-****ups monumentaler Dimensionen langsam mal hinter sich lassen, finde ich. Das imho Vernuenftigste/Sicherste ist die Kombination eines strikt lokal arbeitenden, stark verschluesselnden Passwortmanagers (z. B. Software, die das KDBX-Format versteht) mit einem davon unabhaengigen Synchronisationsmechanismus (z. B. Syncthing) zum Verteilen auf die Endpunkte. Ist fuer manche Leute vielleicht nicht komfortabel genug im Vergleich zu LastPass und Co., aber die haben dann halt mal alle paar Jahre den ***** offen mit Sorgen, ob die geilen Werbeversprechen der Lieferanten (und Subsubsublieferanten) ihrer Software und Dienstleistung wirklich 100%ig fuer bare Muenze zu nehmen sind.
|
HP
Legend
Moneymaker
|
Was spricht gegen Bitwarden?
|
COLOSSUS
AdministratorFrickler
|
Ich glaube dass Bitwarden bzw. selbstgehostetes Vaultwarden von all den Loesungen, die hier typischerweise diskutiert werden, die bessere ist. Imo spricht vor allem die Tatsache, dass das Tool sowohl Syncen als auch Passwortmanagement gleichzeitig, also aus der selben Softwarekomponente heraus, behandelt, gegen den Einsatz durch Paranoiker. Es ist konzeptuell einfach sauberer und weniger angreifbar, wenn die Sync-Komponente keine Ahnung von der Natur der Daten, die sie herumschaufelt, hat, und der Passwortmanager, der deine Secrets ja zumindest an gewissen Zeitpunkten im Klartext kennt, keine Notwendigkeit (oder noch besser: keine Moeglichkeit) hat, Daten (die im Falle einer Luecke und mit ausreichend Pech auch deine Klartext-Secrets sein koennten) uebers Netz zu schicken.
|
HP
Legend
Moneymaker
|
Danke! 
|
smashIt
master of disaster
|
2fa ist sowieso pflicht für alles was geld kosten könnte wenn du dein ebanking am handy machst, und den tan als sms bekommst, dann ist es aber wieder keine 2fa  das wäre genau so, wie wenn du am rechner arbeitest und den tan als email bekommst.
|
Viper780
ModeratorEr ist tot, Jim!
|
Ich schon. Niemand auszer den Entwicklern der "App", sowie allen Entwicklern all ihrer Dependencies (das inkludiert die Entwickler etwaiger Crash-Reporting-Werkzeuge wie Senrty usw.), hat die Kontrolle darueber, wo Daten, die du ein- oder ausgibst, tatsaechlich (noch zusaetzlich) hinreisen. Auch das alte Argument, dass eine Firma, die ja mit vollem Fokus superheikles Thema X behandelt, das dann auch ordentlich machen sollte, und man sich deswegen ja gar keine Sorgen machen muss, sollte man in Zeitalter von LastPass- und Okta-****ups monumentaler Dimensionen langsam mal hinter sich lassen, finde ich. Der Standard user muss aber sowieso drauf vertrauen dass der Hersteller einer Software die Daten nicht wild verteilt. Persönlich hab ich mehr Vertrauen in einer selfhosted sentry.io Instanz als wenn der Entwickler sich da selbst was zusammen schustert. Aber natürlich ist immer die Frage was da gesammelt wird und ob das überhaupt (automatisch) übermittelt werden muss. Das imho Vernuenftigste/Sicherste ist die Kombination eines strikt lokal arbeitenden, stark verschluesselnden Passwortmanagers (z. B. Software, die das KDBX-Format versteht) mit einem davon unabhaengigen Synchronisationsmechanismus (z. B. Syncthing) zum Verteilen auf die Endpunkte. Ist fuer manche Leute vielleicht nicht komfortabel genug im Vergleich zu LastPass und Co., aber die haben dann halt mal alle paar Jahre den ***** offen mit Sorgen, ob die geilen Werbeversprechen der Lieferanten (und Subsubsublieferanten) ihrer Software und Dienstleistung wirklich 100%ig fuer bare Muenze zu nehmen sind. Vollste Zustimmung! Verwende seit Ewigkeiten KeePass und liegt auf meiner OwnCloud Syncthing wäre aber die bessere Lösung, da geb ich dir recht.
|
bsox
Schwarze Socke
|
Ich hab noch keine Notwendigkeit gesehen von meiner Kombo, .KDBX Datei + selbst gehostetes Nextcloud zu wechseln. Ich bin damit so zufrieden, dass ich die anderen Lösungen ehrlicherweise gar nicht genau kenne. Ich wüsste gar nicht was an denen für mich besser wäre. Syncthing werd ich mir mal ansehen. Tips vom Colo sind in der Regel immer wert näher betrachtet zu werden. 
|
erlgrey
formerly known as der~erl
|
ich synce für 3 user, 5 devices oder so, mit syncthing paar kdbx und 3 andere greifen direkt via smb darauf zu, funktioniert wunderbar in so einer kleinen umgebung..
|
sk/\r
i never asked for this
|
Die Tracking Dienste sind halt alles Tools für die Entwickler damit sie real live Daten bekommen und asap fixen können.
Ich würd dass jetzt nicht per se als Problem sehen. es hat imo schon einen grund warum lastpass gefühlt 1x im jahr einen großen leak hat. also seh ich das schon als problem. so zu tun als wären externe verbindungen völlig normal ist naja. spannend.
|
Viper780
ModeratorEr ist tot, Jim!
|
Weil Last pass Chaoten sind und ihren Shit nicht drauf haben.
Von einem kann man nicht aufs andere schließen.
|
charmin
Super Moderator
|
Weil Last pass Chaoten sind und ihren Shit nicht drauf haben.
Von einem kann man nicht aufs andere schließen. exakt. ansonsten generell zum thema: schaue mir bitwarden noch gerne an, wenn "enpass" so oag schlimm is weil closed source (mir persönlich egal, die encryption is open source) und USA (so wie alles). is bitwarden Rogaahl approved? (ernsthaft jetz, schätze dein wissen da schon, als alter linux hase)
|
Smut
takeover & ether
|
Warum nimmt man für so etwas bitte eine closed source Lösung und dann noch aus den USA? weil man hier nur die credentials verwaltet und keinen cloud service verwendet. klar könnten sie da deine daten extrahieren. damit entziehen sie sich halt die geschäftsgrundlage. für mfa jedenfalls eine andere app verwenden und man ist deutlich besser unterwegs als mit cloud passwortmanager ohne dabei auf usability und integration bis hin zur apple watch zu verzichten.
|
sk/\r
i never asked for this
|
is bitwarden Rogaahl approved? (ernsthaft jetz, schätze dein wissen da schon, als alter linux hase) ich häng mich bei der frage für securesafe an. @viper: und woher weißt du das andere ihren shit drauf haben? nur weil sie noch keine leaks hatten? da kann genauso gut der Zufall dran schuld sein. 
|
Anmeldung