Was haltet ihr von Passwortmanagern?

TE
TE
M1lchschnitte

M1lchschnitte

Freizeitschrauber(in)
Ich habe mich die letzten Tage eingelesen und mir ein System überlegt, welches ich in den nächsten Wochen testen werde:

Ich erstelle mir ein Vault bei Bitwarden, geschützt durch ein Passwort mit einer Entropie von 120 Bit oder mehr.

Zusätzlich schütze ich das Vault mit 2FA über eine Authenticator App. Diese muss eine Recovery-Funktion haben, für den Fall, dass mein Smartphone zerstört oder gestohlen wird (Google Authenticator ist also raus). Ich war zunächst bei Authy, was auch von Bitwarden empfohlen wird. Inzwischen tendiere ich aber zum - bitte nicht hauen - Microsoft Authenticator und zwar aus dem Grund, dass ich dort bereits einen Account besitze und keinen weiteren anlegen muss.

Ich werde dann drei Sätze Zugangsdaten auswendig lernen, die niemals im Vault gespeichert sein werden: Bitwarden, Microsoft und meine primäre E-Mail. All diese Passwörter werden so komplex sein, dass sie per brute-force extrem unwahrscheinlich zu knacken sind.
Für den absoluten Worst-Case werde ich diese Passwörter auch händisch notieren (nach einem System, das nicht sofort ersichtlich ist, ich habe mir da etwas ausgedacht) und sicher verwahren.

Das verschlüsselte Vault exportiere ich jeweils nach wichtigen Änderungen auf einen Stick oder eine externe Festplatte, die ich ebenfalls sicher verwahre.

Ich denke, das ist ein guter Kompromiss aus Sicherheit und Komfort und für meine Verhältnisse mehr als ausreichend, wahrscheinlich sogar totaler Overkill. Wer sich die Mühe macht, all diese Sicherheitsbarrieren auszuhebeln und dann entdeckt, was ich im Vault aufbewahre, wird sofort aus dem Fenster springen angesichts der verschwendeten Lebenszeit...

Irgendwelche Logikfehler in meinem System?
Wie gesagt, werde ich das jetzt erstmal testen und mit den weniger kritischen Daten ins Vault umziehen. Bewährt es sich und komme ich gut damit klar, ziehe ich den Rest nach und vernichte mein Büchlein. Sollte ich doch noch Bedenken habe, kann ich immer noch zurück zum händischen Notieren.

An dieser Stelle nochmal ein dickes Dankeschön an alle, die gepostet haben. Ich habe jeden Beitrag gelesen und mit einbezogen. Der Blog von @Incredible Alk hat mich zum rabbit hole der Kryptographie geführt, in das ich ein paar Meter hineingekrochen und dann panisch wieder geflohen bin. Aber es war sehr lehrreich. :)

Letztendlich habe ich für mich persönlich entschieden, dass ein Passwort-Manager den besseren Kompromiss aus Sicherheit und Komfort bietet als meine bisherige Lösung. Meine Partnerin zieht vielleicht ebenfalls noch nach, da ich sie seit Wochen massiv nerve ich meinem Gelaber über Passwort-Sicherheit, Datenlecks und meinen diversen Gedankenexperimenten. :ugly:

In diesem Sinne:
:pcghrockt:
 

Krolgosh

Software-Overclocker(in)
Ich kann mal noch das Programm Enpass in den Raum werfen, benutze ich jetzt glaub ich seit 5 Jahren und keine Problem damit.

Daheim an mehreren PCs und auch auf den Smartphones. Gesynced wird über Google Drive.
 
TE
TE
M1lchschnitte

M1lchschnitte

Freizeitschrauber(in)
Ich kann mal noch das Programm Enpass in den Raum werfen, benutze ich jetzt glaub ich seit 5 Jahren und keine Problem damit.

Daheim an mehreren PCs und auch auf den Smartphones. Gesynced wird über Google Drive.
Ich habe mich aus Komfortgründen für ein Online-Vault entschieden. Ich kann mir auch nicht vorstellen, dass die Server von Bitwarden einfacher zu hacken sind als mein olles Google Drive.
Ansonsten könnte ich auch gleich selbst hosten wie einige andere hier ihm Thread. Aber da wird dann für mich der Aufwand einfach dramatisch zu hoch.
 

nWo-Wolfpac

Volt-Modder(in)
War auch lange Analog mit Zettel und Stift unterwegs, bis die Anzahl der Accounts wuchs, und damit auch die Anzahl der Zettel xD Dann bin ich irgendwann auf digitale Zettel umgestiegen, die ich auf einem USB Stick gespeichert habe, der immer an einem super geheimen Ort versteckt wurde. Als auch das mir zu "doof" wurde habe ich mir LastPass zugelegt und bin nun schon seit 3 Jahren wunschlos glücklich damit. Die Daten kann man dort auch exportieren und auf besagten super geheimen USB Stick speichern. So geht nichts verloren auch wenn LastPass irgendwann mal die Grätsche macht.

Hardwareverschlüsselung ala Ubikey oder wie das heißt wäre vielleicht auch keine schlechte Lösung. Allerdings wird nicht jede Seite unterstützt und billig sind die Dinger auch nicht.
 
Oben Unten