Bester Passwordmanager?

Discussion in 'Plauderecke' started by Florian2833z, May 23, 2018.

  1. F

    Florian2833z New Member

    Hallo,

    Wollte mal eure Empfehlungen zu Password managern hören, die im Internet auffindbaren Reviews sind alle für die Tonne, da geht keiner auf Sicherheit usw ein, sondern nur auf Funktionen.

    Grüße,
    Flo
     
    Last edited: May 23, 2018
  2. PP Frank

    PP Frank Staff Member

    Naja, ganz unwichtig sind ja die Funktionen eines PW-Managers nicht. Man nutzt ja einen PW-Manager auch aus praktikablen Gründen und um durch die praktische Funktionalität die Sicherheit zu erhöhen.
    Von daher muss dein PW-Manager eben nette Funktionen bieten, damit du eben auch sichere PW setzt und nicht durch Faulheit(die ist bei uns allen sehr ausgeprägt, weil wir eben Menschen sind, also bitte das Wort nicht falsch verstehen) zu wirklich blöden PW getrieben wirst und für jeden Zugang auch ein extra PW nutzt.

    Von daher sind die Funktionen die ein PW-Manager anbietet sogar eins der entscheidenden Kriterien. Daneben ist natürlich auch noch entscheidend wie der PW-Manager die Datenbank in der Cloud speichert wichtig, Aber das machen eigentlich alle angebotenen Lösungen.

    Man sollte sich also überlegen:

    1. Ist der genannte PW-Manager für all meine Geräte/Betriebsysteme verfügbar?(iOS, Android,MacOS, Windows)
    2. Nutzt der Manager eine von mir bereits benutzte Cloud-Lösung die relativ sicher gilt? (wenn man die PW nicht auf all seinen Geräten hat, ist die Sache auch irgendwie Witzlos)
    3. Hat der Manager auf all den benutzten Geräten eine vernünftige Browserintegration?
    4. Wie ist die Oberfläche gestaltet? Verwalten der PW macht schliesslich ein wenig Arbeit und wenn man die Übersicht bei 200 oder mehr PW behalten will, dann sollte man das auch vernünftig pflegen.


    Es gibt also keinen "besten PW-Manager". Aus dem Grund nenne ich die Frage des Preises des PW-Managers gar nicht erst, denn der Preis ist völlig Wurst. Der PW-Manager ist das A und O deiner Sicherheit und so ziemlich das Wichtigste in dem Bereich was du machen kannst. Eigentlich noch viel wichtiger als alles andere und da spielt der Preis echt gar keine Rolle, sondern ausschliesslich ob du mit dem Ding dauerhaft leben kannst und das auch noch in 12 Monaten toll findest. Kann sein das du mit Keepass alles abdecken kannst und nix bezahlst, kann aber auch sein das du mit 1Password ein paar Mark loswirft, aber damit deutlich glücklicher bist. Deswegen wird dir hier auch niemand sagen können welcher der Beste ist, denn jeder hat andere Vorlieben und Vorgehensweisen....

    Heut zu Tage sollte einfach JEDER einen PW-Manager nutzen. Meiner Erfahrung nach sind Benutzer eines PW-Manager auch diejenigen die nicht dauernd jammern "Mein Konto bei Facebook oder Mail wurde gehackt", denn wer einen PW Manager nutzt, der macht sich beim Rest auch ein paar Gedanken und wer "gehackt" wird, hat in 99 Prozent der Fälle selber schuld und braucht dann nicht nach der Polizei jammern. Am geilsten finde ich ja noch, das einige immer noch ihre PW in einer TEXT-Datei auf dem Desktop speichern, oder in einem Word-Dokument mit PW(macht echt keinen Unterschied).....

    Ach und für den PW Manager an sich, sollte man sich schon die Mühe machen ein wirklich sicheres PW zu wählen, was man sich dennoch merken muss, denn das ist das einzige PW was man sich dann noch merken muss :p
     
    freemeier and Black like this.
  3. Black

    Black Member

    5. Ist der Messenger FLOSS?
    6. Ist er ausreichend verbreitet, sodass die Wahrscheinlichkeit steigt, dass Sicherheitslücken durch externe Audits gefunden werden?
    7. Sind die Entwickler ausreichend motiviert, entwickeln den Manager stetig weiter und beheben Bugs in kürzester Zeit?

    Es gibt aktuell nur eine Antwort auf deine Frage: KeePass (und Forks).

    Zudem sollte man erwähnen, dass ein Passwortmanager falsch eingesetzt auch die größte Schwachste überhaupt sein kann, wenn ein Keylogger dein Passwort snifft und die Datenbank in die falschen Hände gerät bist du ge*****. Um das Risiko zu verringern sollte man den Manager ausschließlich auf einem cleanen Host nutzen, in VM-Clients surfen bzw. die Passwörter copypasten und am besten noch einen Hardwaretoken einsetzen, so kann wenigstens nicht auf die Datenbank zugegriffen werden, wenn diese gesperrt ist. Die Wahrscheinlichkeit, dass Malware so raffiniert ist, dass sie nicht nur das PW snifft und die Datenbank kopiert sondern auch bei entsperrter DB spezifisch auf den Manager zugeschnitten den Inhalt liest, ist doch relativ gering.

    Achja: KeePass. Erwähnte ich das bereits?
     
  4. PP Frank

    PP Frank Staff Member

    Das ist nicht korrekt. Nur weil etwas Open Source ist, ist es noch lange nicht sicherer... Das ist schlicht und ergreifend ein Mythos das OSS sicherer wäre..... Allein dein Punkt 7 spricht da schon eher gegen....

    Das ist allerdings wirklich ein Kriterium. Viele sehen das zwar genau anders rum nach dem Motto "Was keiner nutzt, hackt auch keiner", aber ich habs dann doch lieber mal "geprüft" ;)


    Die Empfehlung zu KeePass KANN richtig sein, kann aber auch Murks sein. Muss man selber wissen. Etwas zu empfehlen nur weils OpenSource ist, halte ich für gefährlich. Im Übrigen: Leute die für ihre Arbeit bezahlt. werden, sind meist deutlich motivierter ;)


    Da ist eben das Problem. Ein PW-Manager MUSS benutzbar sein, denn der bringt dir nix, wenn du irgendwann keinen Bock hast den zu nutzen. Das 2. ist: Die Leute wollen sowas im Alltag nutzen und nicht auf VM rum rödeln wegen Aluhut und so. Wenn man einen Keylogger auf dem Rechner hat, ist man so oder so gearscht. Es gibt schliesslich gar keine Alternativen zu einem wirklichen PW-Manager. Denn egal was du tust: Es ist schlechter als der PW Manager. Das man sonst die allgemeinen Hinweise zur IT Sicherheit beachten sollte, das ist klar. In 99 Prozent der Fälle ist man selber schuld wenn man einen Keylogger drauf hat. Deswegen kann der PW-Manager eigentlich niemals die grösste Schwachstelle sein, da es schlicht und ergreifend nichts besseres gibt..,..

    Im Übrigen tun die meisten Hersteller schon was gegen Keylogger. Einfach mal googeln nach "Produkt Keylogger" zum Beispiel "1Password Keylogger". Natürlich sind dem Grenzen gesetzt.
     
    Last edited: May 24, 2018
    gspelvin likes this.
  5. F

    Florian2833z New Member

    Danke erstmal für die Antworten. Natürlich benutze ich bereits einen Passwort Manager, genauer gesagt Kaspersky Password Manager. Natürlich geht es auch um die Oberfläche und um die Funktionen, meine größte Sorge ist allerdings, ob ich den Unternehmen vertrauen kann. Ich finde 1Password auch ziemlich attraktiv, ich finde es nur schade, dass man die Passwörter nicht auf dem eigenen Server, sondern nur in der bei denen selbst und irgendwie bei Dropbox speichern kann. Immerhin ist das aber kein US Unternehmen. Die meinten zusätzlich, dass das Masterpasswort niemals über das Internet übertragen wird, was schon mal besser als bei Kaspersky ist. Ich bin bei Kaspersky im Moment auch skeptisch und hoffe mal, dass die ihren Sitz bald mal in die Schweiz verlegen. Keepass ist zwar open source, sieht aber absolut grauenhaft aus. Ich glaub ich probier demnächst echt mal 1Password.
     
  6. PP Frank

    PP Frank Staff Member

    Bei 1Password wüsste ich jetzt nicht was dagegen spricht.... Ganz besonders die wirklich schöne Benutzung und das auch auf allen Geräten ist nett. 1Password kann auch iCloud falls du MacOS oder iOS nutzt. Spielt aber eigentlich gar nicht mal die Rolle, da entscheidend ist ob du da beim Tresor ein vernünftiges PW setzt.

    Kaspersky ist als Unternehmen und auch durch ihre Windows Software schon suspekt wo eigentlich dann auch keine Rolle mehr spielt wo die sitzen. Wie gut oder schlecht der PW-Manager an sich ist, steht da natürlich auf einem anderen Blatt. Von daher ist das dann auch keine Wertung für das Program. Mir würde jedenfalls nichts von denen auf dem Rechner landen. Das muss dann aber jeder für sich entscheiden....
     
  7. F

    Florian2833z New Member

    Aber es gibt doch bisher keine Beweise, dass Kaspersky wirklich für die Regierung arbeitet, oder doch?
     
  8. PP Frank

    PP Frank Staff Member

    Die Sache habe ich aussen vor gelassen, da man insgesamt nicht weiss wer hinter welcher Software steckt. Da spielt es auch keine Rolle ob es ein Unternehmen ist oder OSS Software...
     
  9. F

    Florian2833z New Member

    Was benutzt du persönlich? Und zweitens: Hast du in deinem Passwort Manager überhaupt wirklich sensible Daten wie Mailaccount oder PGP Private Key drin gespeichert? Verwendest du für Password Manager und (sofern du einen hast) Veracrypt Container jeweils verschiedene Masterpasswörter?
    Erstens mal geht so ein Trottel in meine Klasse, der hat seine Passwörter in ner txt Datei aufm Desktop und das auf nem Notebook, das er öfter mit in die Schule bringt.
    Mir ist da mal einer in CSGO begegnet, der seine Passwörter in ner txt Datei, in "nem versteckten Ordner" hat, den angeblich auf der Platte keiner findet (Hab den auch gefragt, wo er seine Passwörter speichert), ablegt .
     
  10. t

    timo33 New Member

    @Florian2833z

    Zitat:
    "Keepass ist zwar open source, sieht aber absolut grauenhaft aus."

    Also mir ist die Funktionalität wichtiger und so grauenhaft sieht es meiner Meinung nach gar nicht aus. Es bietet eine Vielzahl an Funktionen und eine solide Verschlüsselung (AES 256 ) und ist einfach zu bedienen.

    Übrigens gibt es auch noch eine schön aussehendere Version - KeePassXC
    https://keepassxc.org/screenshots/
     
  11. N

    Natas New Member

    Einspruch ;)
    Gerade bei sicherheitsrelevanten Angelegenheiten würde ich meine Daten keinem closed source Programm anvertrauen wollen, da man sich nie sicher sein kann was im Hintergrund passiert.
    Trustless ist IMO besser als blindes Vertrauen in den Entwickler.
     
  12. PP Frank

    PP Frank Staff Member

    Die Vergangenheit hat gezeigt das sich in dem Punkt Open Source und Closed Source exakt Null unterscheiden ;)
     
    tux. likes this.
  13. N

    Natas New Member

    Bei OSS würde sowas schnell auffallen... oder wie willst Du den bösen code "verstecken"?
     
  14. F

    Florian2833z New Member

    Es ging glaube ich eher um Sicherheitslücken und nicht absichtliche Hintertüren.
    @PP Frank Welchen Passwortmanager benutzt du?
     
  15. tux.

    tux. Member

    Ich nutze seit einigen Jahren KeePass - auch unter Android - und habe erschreckend wenig zu nörgeln. Das Hauptfenster sehe ich nur einmal am Tag.
     
  16. gspelvin

    gspelvin Member

    Ich nutze 1Password. Im wesentlichen tatsächlich deshalb, weil ich gewissermaßen der Familienadmin bin und daher verantwortlich für die Sicherheit der Geräte und Passwörter von insgesamt 5 Leuten. Da die anderen nicht sehr Technikaffin sind, benötige ich einen Passwordmanager, der
    a) auf allen genutzten Plattform verfügbar und leicht bedienbar ist und
    b) einen geteilten Passwordsafe bietet, weil es innerhalb der Familie eben auch Accounts gibt, die alle teilen.

    1Password hat diesbezüglich für mich einfach das beste Angebot.

    Im übrigen hat ein Passwortmanager noch einen Vorteil, der hier noch gar nicht genannt wurde, Stichwort: digitales Erbe. Im Falle eines Todes können die verbliebenen Familienmitglieder mit Kenntnis eines einzigen Passworts auf das gesamte digitale Leben des Verstorbenen zugreifen. Meines Erachtens ein nicht zu vernachlässigender Punkt.
     
  17. F

    Florian2833z New Member

    Warte, ich kann als Familienadmin einfach die Passwörter der anderen auslesen? Ernsthaft?
     
  18. PP Frank

    PP Frank Staff Member

    Na du musst denen schon das Main-PW überlassen. Deswegen auch "mit Kenntnis". Und die Hinterbliebenen bekommen eine saubere und gepflegt DB