Was haltet ihr von Passwortmanagern?

M1lchschnitte

Freizeitschrauber(in)
Hi. Es gab dieses Thema schonmal, aber der Thread war von 2012 und ich wollte ihn nicht reanimieren, war auch in nem anderen Unterforum.

Worum gehts? Ich überlege aktuell, ob ich die Art, wie ich meine Passwörter verwalte, ändere. Aktuell nutze ich ganz altmodisch ein kleines Notizbuch, das an einem festen Ort liegt. Absolut unhackbar, kann aber natürlich geklaut werden oder auch zerstört durch Feuer/Wasser/Kaffee. Außerdem kann bzw. will ich es unterwegs nicht mitnehmen, in dem Fall habe ich also nur die Passwörter parat, die ich auswendig kann. Da meine PW kompliziert ausfallen, sind das nicht viele.
Deshalb überlege ich, auf einen Passwortmanager umzusteigen. Ich hatte bisher immer Bedenken bezüglich der Sicherheit, aber ist das gerechtfertigt? Wurde so ein Dienst jemals gehackt?
Ich bin bereit, auch ein paar Taler für meine Sicherheit zu investieren. 1Password habe ich im Moment im Blick.

Wie geht ihr mit euren Passwörtern um? Kann man den bewährten Managern uneingeschränkt vertrauen? Oder ist komplett "offline" immer noch der beste Weg? Ich finde es schwierig, mich da festzulegen.
 

Birdy84

Volt-Modder(in)
Ich nutze Keepass, mit zufallsgenerierten PWs. Die Datenbank kann man auch mit Google Drive syncen und dann auch auf mehreren Geräten nutzen.
 

Incredible Alk

Moderator
Teammitglied
Was ich davon halte? Nix. :-D

Für mich sind die Dinger einfach eine weitere Schwach/Angrifsstelle. Nicht weil irgendwer die Kryptografie hacken würde/könnte (das wird mit an Sicherheit grenzender Wahrscheinlichkeit nicht passieren) sondern beispielsweise weil ein menschlicher Fehler hier statt einem Passwort ALLE verrät. Oder weil ein kaputtes Programm (böser Patch, Virus, Ransomware, EndOfLife, was auch immer) dazu führen dass man arge Schwierigkeiten bekommt wieder an seine PWs zu kommen.

Meine Version ist ebenfalls der analoge Zettel, wobei es etwas ausgeklügelter als das ist. Der Zettel existiert auch in digitaler Form, allerdings hart verschlüsselt und offline (das dient nur dazu die PWs noch rekonstruieren zu können wenn der analoge Zettel äähhh keine Ahnung verbrennt oder so).
Und, ganz wichtig: Es gibt ein Passwort von mir, das für die WIRKLICH wichtigen Dinge im Leben gilt. Dieses PW wurde von mir vor etwa 20 Jahren erdacht und auswendig gelernt und es existiert ausschließlich in meinem Hirn. Niemand kann es hacken oder finden und selbst rausprügeln würde nicht funktionieren (Prinzip des glaubhaften Abstreitens in kryptografischer Umsetzung).
Das ist zugegeben etwas paranoid aber bei meinem Backup und dessen Sicherung gegen Fremdzugriff (wo auch die Passwörter dazuzählen) verstehe ich echt keinen Spaß. Das hat mir schon das eine oder andere Mal den A... gerettet^^
(Das ganze Ausmaß hab ich hier mal aufgedröselt: https://extreme.pcgameshardware.de/threads/alkis-blog-48-der-backup-blog.606700/)


Lange Rede kurzer Sinn: Ich würde keine Passwortmanager nutzen. Das analoge Buch ist mit offline/verschlüsselter digitaler Sicherungskopie plus einem nirgends jemals erwähnten PW für die ganz wichtigen Sachen (das übrigens auch der Zugang zur digitalen Liste ist...) die finde ich sicherste Lösung.
 
Zuletzt bearbeitet:
TE
TE
M1lchschnitte

M1lchschnitte

Freizeitschrauber(in)
Lange Rede kurzer Sinn: Ich würde keine Passwortmanager nutzen. Das analoge Buch ist mit offline/verschlüsselter digitaler Sicherungskopie plus einem nirgends jemals erwähnten PW für die ganz wichtigen Sachen (das übrigens auch der Zugang zur digitalen Liste ist...) die finde ich sicherste Lösung.
Mächtig viele Infos, deinem Blog les ich morgen in Ruhe. ;)
Aber eine Frage habe ich schonmal: Verstehe ich es richtig, dass du deine sensiblen Zugänge alle mit dem selben "Masterpasswort" schützt?
Besteht dann nicht die Gefahr, dass bei einem Datenleck einer Website/Bank/wasauchimmer (und das kommt ja nicht selten vor in letzter Zeit) plötzlich alle deine wichtigen Zugänge kompromittiert sind, wir unknackbar das Passwort auch gewesen sein mochte?
Genau deshalb benutze ich nie zweimal dasselbe PW und das macht es auch so schwer, sich nur die wichtigsten zu merken.
 

Veriquitas

Volt-Modder(in)
Naja es kommt halt immer darauf an, warum jemand an ein Passwort will und wieviel wissen derjenige hat. Also Passwörter mit Firefox zb. zu speichern und diese Datei wird standartmässig auf den Pc abgelegt kann zb. auch entschlüsselt werden. Selbst für Leute die keine Ahnung davon haben werden das durch Google schaffen, sobald die Zugriff auf den Rechner bekommen.

Sichere Methoden sind zb. Kodierungen im eigenen Kopf.
 

XT1024

BIOS-Overclocker(in)
Wenn ich immer von PW-Listen in Papierform lese... :ka:
Tippt ihr mehrfach pro Woche lLtr7R3-zWExmSe9T_tQ o. ä. ein?

Genau wie der immer wieder empfohlene Quatsch mit irgendwelchen Sätzen, Anfangsbuchstaben und weiß der Geier was noch alles.
Bin ich wirklich der einzige mit etwas :rollen: mehr als 10 accounts?
Es gab dieses Thema schonmal
In solchen Themen ist doch immer die verschlüsselte Datenbank gefährlicher als die passwort.txt oder .xls mit Qualitätsverschlüsselung auf dem Desktop...

Wurde so ein Dienst jemals gehackt?
Wer weiß, und selbst wenn nicht, wie sehr hilft der Blick in die Vergangenheit?
Dann nutzt du so einen Dienst ab heute und es passiert morgen, nächste Woche, nächsten Monat...

sondern beispielsweise weil ein menschlicher Fehler hier statt einem Passwort ALLE verrät
So wie bei der passwort.txt.7z oder gar dem Zettel unter der Tastatur?
Oder weil ein kaputtes Programm (böser Patch, Virus, Ransomware, EndOfLife, was auch immer) dazu führen dass man arge Schwierigkeiten bekommt wieder an seine PWs zu kommen.
Backup, Zweitgerät, VM, Neuinstallation.
Irgendwas lässt sich immer konstruieren. Seit 2015 funktioniert das bei mir 1A.


Es geht ja auch um Komfort. Man muss nicht zwanghaft die gefährlichste Accounts eintragen, wenn die Angst größer ist.
 

Atma

PCGH-Community-Veteran(in)
Seit Jahren sehr zufriedener KeePass Nutzer, will ich nicht mehr missen. Überall ein langes, sehr sicheres und einzigartiges Passwort zu haben und es sich nicht merken zu müssen ist eine super komfortable Sache. Bei der Menge an Accounts heutzutage ist es unmöglich sich alle Passwörter zu merken. Wer was anderes behauptet, der lügt.

Hier lesen zu müssen das sei nur was für debile Leute die nicht oben von unten unterscheiden können ist ehrlich gesagt eine Frechheit. Leute die so was äußern sind bestimmt die, die überall dasselbe simple Passwort nutzen und deren Accounts zuerst gehackt werden :daumen2:
 

shorty1990

PC-Selbstbauer(in)
Also ich nutze seit Jahren Teampass und habe auch Syspass genutzt. Sind beides Webbasierte Lösungen.
Solange man ein gescheites Backupkonzept und IT-Sec Konzept hat, überwiegen die Vorteile ganz klar den Nachteilen. Hat man natürlich keine Ahnung oder auch keine Lust sich die damit verbundene Arbeit zu machen würde ich auch eher zum Papier raten.

Ich muss Atma zustimmen, wer behauptet das sowas nur für debile leute ist, hat von der ganzen Materie keine Ahnung und sollte sich damit nochmal eingehend befassen um hier einen qualitativ hochwertigen Post zu hinterlassen .
 

Incredible Alk

Moderator
Teammitglied
Verstehe ich es richtig, dass du deine sensiblen Zugänge alle mit dem selben "Masterpasswort" schützt?
Besteht dann nicht die Gefahr, dass bei einem Datenleck einer Website/Bank/wasauchimmer (und das kommt ja nicht selten vor in letzter Zeit) plötzlich alle deine wichtigen Zugänge kompromittiert sind, wir unknackbar das Passwort auch gewesen sein mochte?
Kein externer Zugang ist so geschützt - aus genau dem genannten Grund: Ich tippe dieses PW natürlich in keine Browsermaske oder sonstwas ein und es ist auch in keiner externen Datenbank enthalten. Das PW ist der Schlüssel meines VeraCrypt Archives. Alles weitere befindet sich da drin. Klar, 100% tig sicher ist nichts, schließlich könnte jemand einen Keylogger einschleusen der das PW auch da abfängt wenn ichs in VC eingebe aber ich denke mit den mir zu Verfügung stehenden Mitteln mache ich es einem Angreifer schon maximal schwer. Wenns nicht grade jemand ganz konkret auf mich abgesehen hat wird der Angreifer schnell zu leichteren Zielen wechseln.
So wie bei der passwort.txt.7z oder gar dem Zettel unter der Tastatur
Den Zettel müsste jemand physisch Zugriff haben - wenn das so wäre sind ein bekanntes amazon und steampasswort erstmal sekundär da dann eingebrochen wurde. Und selbst dann kann ich in vergleichsweise kurzer Zeit alle meine pws der Liste ändern da ich ja immer an meine Backupkopie komme (selbst wenn der Einbrecher meine komplette Wohnung abgefackelt hat). Zum Rest: siehe oben.
 

Olstyle

Moderator
Teammitglied
Was spricht gegen einen Passwort-Manager in Verbindung mit 2FA? Tatsächlich stellt Google, passend konfiguriert, mittlerweile so etwas dar. Typischer zweiter Faktor ist dort natürlich die Telefonnummer, was jetzt bei geklautem Smartphone noch nicht so toll ist, aber spätestens wenn man die durch einen HW-Dongle ersetzt würde ich das schon als sicher ansehen.
 

Schori

BIOS-Overclocker(in)
Für das alltägliche nutze ich den von Mozilla.
Für die wirklich wichtigen Dinge sind sie im Kopf und, falls möglich, mit zweistufiger Authentifizierung.
 

Dooma

Freizeitschrauber(in)
Du findest keepass altbacken?
Aber was denn bitte daran?
Ja, es ist kein Cloud-Sync-Dienst und hat keine Oberfläche mit 5cm großen, Neon farbenen Buttons; aber ansonsten ist das doch eigentlich nur eine für Windows übliche Oberfläche.

Die Altbackenheit hat aber auch ihre Gründe, mit der Verantwortung über seine Datenhaltung, kommt aber auch die Möglichkeit über den Ablageort zu bestimmen.
 

DOcean

PCGHX-HWbot-Member (m/w)
ja keepass ist altbacken....

Das war und ist ein Tool für einen PC /ein Gerät, jede Sync Feature (egal worüber) sind gefährlich sobald mehr als ein Gerät dran arbeitet (kaputte Datenbank z.B. selber gehabt)...

Ich bin wegen dieser Probleme auf Bitwarden gewechselt, das ich selber zuhause hoste (mit Backup der verschlüsseten DB in die Cloud)

Der große Vorteil von webbasierenten Lösungen ist (Bitwarden ist das auch), das nur ein Browser nötig ist um an die Passwörter ran zu kommen.Bei Keepass brauchst du erst das Programm plus das Zusatzsync Erweiterungen/Programme.
 

Herbststurm

Freizeitschrauber(in)
Wenn ich immer von PW-Listen in Papierform lese... :ka:
Tippt ihr mehrfach pro Woche lLtr7R3-zWExmSe9T_tQ o. ä. ein?
Könnte man nicht auch .... wenn die Login-Liste in Papierform geführt wird, z.B. für die meist genutzten Logins je nen Barcode für Username & Password in die Liste hinzufügen, die kann man dann über nen Barcode Scanner ( z.b so nen Stift ) abscannen und muss das net jedes Mal eintippen.

Nur ne Idee vielleicht hat das schon mal einer ausprobiert? :D
 
TE
TE
M1lchschnitte

M1lchschnitte

Freizeitschrauber(in)
Wenn ich immer von PW-Listen in Papierform lese... :ka:
Tippt ihr mehrfach pro Woche lLtr7R3-zWExmSe9T_tQ o. ä. ein?
Tatsächlich ja, das ist einer der Gründe für meinr ganze Überlegung.
In solchen Themen ist doch immer die verschlüsselte Datenbank gefährlicher als die passwort.txt oder .xls mit Qualitätsverschlüsselung auf dem Desktop...
Ich neige auch dazu, Dinge die ich selbst aufziehe professionellen Lösungen vorzuziehen, was meistens leider völliger Blödsinn ist.
Wer weiß, und selbst wenn nicht, wie sehr hilft der Blick in die Vergangenheit?
Dann nutzt du so einen Dienst ab heute und es passiert morgen, nächste Woche, nächsten Monat...


So wie bei der passwort.txt.7z oder gar dem Zettel unter der Tastatur?

Backup, Zweitgerät, VM, Neuinstallation.
Irgendwas lässt sich immer konstruieren. Seit 2015 funktioniert das bei mir 1A.
Gute Punkte, danke.
Es geht ja auch um Komfort. Man muss nicht zwanghaft die gefährlichste Accounts eintragen, wenn die Angst größer ist.
Wenn ich mich für ein System entscheide, würde ich da tatsächlich alles eintragen. Es macht imo keinen Sinn, das noch weiter zu splitten, das führt nur zu Chaos. Ich kenne mich...
ja keepass ist altbacken....

Das war und ist ein Tool für einen PC /ein Gerät, jede Sync Feature (egal worüber) sind gefährlich sobald mehr als ein Gerät dran arbeitet (kaputte Datenbank z.B. selber gehabt)...

Ich bin wegen dieser Probleme auf Bitwarden gewechselt, das ich selber zuhause hoste (mit Backup der verschlüsseten DB in die Cloud)

Der große Vorteil von webbasierenten Lösungen ist (Bitwarden ist das auch), das nur ein Browser nötig ist um an die Passwörter ran zu kommen.Bei Keepass brauchst du erst das Programm plus das Zusatzsync Erweiterungen/Programme.
Hatte ich schon wahrgenommen, gucke ich mir aber nochmal genauer an!
 
Oben Unten