Passwortmanager?
Hallo ich schreibe derzeit meine Passwörter in ein Heft. Ist ein passwortmnager besser?
Wenn ja/nein warum?
Ich würde mir entweder aegis oder den Passwortmanager von gdata (nutze schon das antivirussystem von gdata) runterladen.
Welcher der beiden ist besser?
Danke im voraus.
Ps:datenschutz ist mir wichtig
Wieso nicht Bitwarden / 1Password?
Ich bin mir nichts sicher was ich nehmen soll bin nicht so gut informiert darin. Wenn einer der beiden gut ist nutze ich natürlich auch einen anderen
Was für ein Handy hast du?
Samsung
Bitwarden ist open scource, für mich besser als Sicherheit durch Firmengeheinmmnis.
Ist aegis nicht auch opensource
8 Antworten
Hallo online3435,
Ein Passwortmanager sollte heute eigentlich ein Standard sein. Nur so lassen sich meiner Meinung nach individuelle komplexe Logindaten sicher und bei vernüftigem Aufwand erstellen, pflegen und anwenden.
Grundsätzlich gibt es grob betrachtet zwei "Arten" von Passwortmanagern.
- Lokale Lösungen: Diese Passwortmanager legen ihre Datenbank lokal auf deinem Gerät als (verschlüsselte) Dateien ab. Es findet keine Synchronisation mit einem Onlinedienst statt und die Kontrolle über die Daten bleibt somit in deiner Hand. Der Nachteil ist das dies den Einsatz auf mehrern Geräten kompliziert macht da bei jeder Änderung eine manuelle Kopie der Daten auf die anderen Geräte erfolgen muss um überall den gleichen Datenstand zu haben. Der Vorteil ist dass deine Logindaten anbieterunabhängig "immer" auch offline verfügbar und komplett unter deiner Kontrolle sind. Beispiele für solche Lösungen sind Keepass oder KeepassXC.
- Online Passwortmanager: Hier werden deine Logindaten in einer Cloud abgelegt. Die Daten sind somit auf allen Geräten gleichzeitig abrufbar und synchron. Der Nachteil ist dass du deine Daten in jedem Fall "aus der Hand geben" und dem jeweiligen Anbieter vertrauen musst. Ohne Internetverbindung oder bei Ausfall der Plattform kannst du außerdem in der Regel nicht auf deine Daten zugreifen. Anbieter solcher Lösungen sind z.B. Bitwarden, LastPass, ProtonPass und viele mehr.
Unabhängig davon gibt es einige Merkmale die man als Benutzer meiner Meinung nach beachten sollte:
- Die Software sollte immer als opensource Lösung vorliegen. Blind darauf zu vertrauen das ein Passwortmanager wirklich sicher und vertrauenswürdig ist und deine Daten so behandelt wie beworben ohne Kontrollmöglichkeit durch Dritte ist keine gute Idee. Das bedeutet allerdings nicht das diese Lösungen kein Geld kosten dürfen. Gerade bei den online Passwortmanagern (z.B. Bitwarden) macht es Sinn die kostenpflichtige Variante zu wählen um wirklich den kompletten Funktions- und Sicherheitsumfang nutzen zu können. Die Speicherung solcher Daten bei "BigData" also Microsoft, Google und co. verbietet sich also quasi von selbst. Diese Unternehmen handeln mit Nutzerdaten, geben Benutzerkomfort häufig Vorrang vor Sicherheit und sind somit in diesem Bereich nicht vertrauenswürdig.
- Insbesondere bei online Passwortmanagern ist es außerdem zwingend erforderlich den Zugang mit einer Mehrfaktorauthentifizierung abzusichern. Am Ende handelt es sich nämlich auch hier um einen angreifbaren Onlineaccount der nur mit einem Passwort abgesichert ist. Allerdings hat ein potentieller Angreifer hier die Möglichkeit an all deine wichtigen Logindaten auf einmal zu gelangen.
Ich persönlich verwende seit mehrern Jahren Bitwarden in der kostenpflichtigen Version. Mein Zugang ist mit einem Hardwaresicherheitstoken (Yubikey 5 NFC) als Mehrfaktorauthentifizierung abgesichert. Sowohl das Browserplugin (PC+Notebook) als auch die Androidapp sind meiner Meinung nach gut bedienbar.
Ich hoffe ich konnte dir etwas weiter helfen.
Die Speicherung solcher Daten bei "BigData" also Microsoft, Google und co. verbietet sich also quasi
Aber die verkaufen keine / handeln nicht mit Passwörtern und Backup-Codes?
Online Accounts sind immer attraktiver für Angriffe als lokale Daten da die potentiellen Angreifer sich Zugriff auf deine Daten verschaffen können ohne Zugang zu deinen Geräten zu haben. Auf der anderen Seite muss ein Passwortmanager natürlich auch im Alltag für dich funktionieren. Probiere doch einfach aus was für dich besser funktioniert. Probiere KeepassXC als lokale Lösung und Bitwarden als online Passwortmanager und schau mit welchem System du besser klar kommst. Wichtig ist das du bei Bitwarden eine Zweifaktor Authentifizierung einrichtest um dein Konto abzusichern. Erlernen musst du den Umgang in beiden Fällen und es wird eine Weile dauern bis alle Logindaten im Passwortmanager gespeichert sind. Ich habe mir damals Bitwarden abboniert und dann das Browserplugin installiert. Dann habe ich mich nach und nach auf allen Webseiten angemeldet und die Daten in Bitwarden abgespeichert. Anschließend habe ich die Passwörter auf allen Accounts in sichere Passwörter geändert. Bitwarden (aber auch andere Passwortmanager) bietet dafür einen Passwortgenerator an. Als erstmal alles eingerichtet war hatte ich meine Ruhe. Bitwarden übernimmt bei mir sogar das Ausfüllen der Logindaten. Ich muss also bei der Anmeldung auf Webseiten oder in Apps nicht mal mehr tippen.
Bitwarden übernimmt bei mir sogar das Ausfüllen der Logindaten
Hoffentlich fällt Bitwarden nicht auf gefälschte Webseiten rein.
Wo soll man die Codes für den mit zwei Faktor Authentifizierung abgesicherten Login vom Passwort-Manager selbst speichern?
Diese Autofill Funktion ist optional und nicht standardmäßig aktiviert. Gegen solche Betrugsversuche gibt es eigentlich auch nur eine wirklich wirksame Maßnahme nämlich die Absicherung mit einem Hardware Securitykey. Dies wird aber leider längst nicht von allen Webseiten/Diensten unterstützt.
Der Passwortmanager selbst sollte im Idealfall mit einem Security Key (z.B. Yubikey) abgesichert werden. Backupcodes um sich im Notfall auch ohne Key anzumelden sind offline als Datei oder in Form eines Ausdrucks am besten aufgehoben.
Für Accounts die Hardware Keys unterstützen verwende ich aktuell den Yubikey 5 NFC. Auch für meine anderen Accounts die nur eine Absicherung mit TOTP Codes erlauben kommt der Yubikey zusammen mit Yubico Authentikator APP zum Einsatz.
Ist das schlimm, wen .an den Ausdruck mit den Backup-Codes verliert? Könnte ein Dieb damit etwas anfangen?
Zusammen mit den anderen Zugangsdaten sind diese Codes eine Eintrittskarte zu dem jeweiligen Account. Am besten ist die Aufbewahrung in einem feuerfesten Tresor oder in Form von verschlüsselten Dateien auf einem USB Stick. Ich besitze zwei Yubikeys und sämtliche TOTP Codes sind auf beiden Keys hinterlegt. Bei Webdiensten die eine direkte Verwendung des Yubikeys unterstützen habe ich beide Geräte hinterlegt. Ein Key ist an meinem Schlüsselbund der andere dient als Backup.
Was passiert wenn man den Yubikey verliert? Kann ein Dieb damit zusammen mit den anderen Zugangsdaten etwas anfangen?
Wenn Du in dieses Heft für jeden Account jeweils ein anderes komplett generiertes Passwort rein schreibst, dann ist der Passwortmanager nicht besser. Gerade ähnliche oder sogar gleiche und zu einfache Passwörter sind ein großes Risiko, völlig egal, wo oder wie Du sie dir merkst.
Aber nur zum Verständnis, wie so ein Passwort aussieht:
N&t7L9WwCChVjoj44feXWgDCUhtTyLxf
Wenn Du das aber nicht tust (ich hätte kein Bock), sondern vermutlich ein paar wenige Passworter verwendest und die - wenn überhaupt - nur leicht variierst, dann ist das ein Risiko.
Außerdem kann ein Heft verloren, geklaut, kaputt gehen, die Schrift kann z.B. durch ein Getränk unleserlich werden, etc.
Bei einem Passwortmanager musst Du nichts selber schreiben, Du kopierst das Passwort einfach und fügst es ein, oder der Passwortmanager kann das automatisch. Dann kannst Du für jedes Konto beliebig generierte Passwörter verwenden und bei Bedarf auch häufiger wild ändern, ohne dass es viel Aufwand für dich bedeutet.
Natürlich gibt es da auch Sicherheitsrisiken, z.B. kann bei lokalen Passwortmanagern die Datenbank gestohlen werden, wer dann das Master-Passwort kennt, hat Zugriff auf alles. Bei externen Passwortmanager-Diensten besteht das Risiko, dass deren Systeme geknackt werden und der Angreifer - wenn er das Master-Passwort kennt - Zugriff auf alles hat. Oder ein Virus greift auf deinem PC das Passwort auf, nachdem Du es kopiert hast, das geht. Allerdings kann man es auch abgreifen, während Du es aus deinem Heft per Hand abtippst, das geht auch.
Ich persönlich nutze Bitwarden, läuft bei mir lokal im Netzwerk auf einem RaspberryPi und alle meine Passwörter sehen so aus, wie das Beispiel oben. Kann natürlich geklaut werden, aber dazu müsste es schon jemand explizit auf mich abgesehen haben und bei mir digital oder physisch einbrechen.
Du meinst Bitwarden selbst gehostet vs. der Online-Dienst von Bitwarden?
Kommt darauf an ^^
Ich hab's selber gehostet, weil ich denen dann nicht vertrauen muss und Die (auch wenn sie vertrauenswürdig sind) vermutlich sehr viel mehr ein Angriffsziel sind, als mein kleiner Raspberry Pi.
Allerdings muss ich mich dann auch selber um alles kümmern, also Zugriff von außerhalb (Z.B. durch einen VPN-Tunnel), Absicherung gegen Malware oder Angreifer in meinem Netzwerk, Backups, etc.
Wenn es eine Person explizit auf mich persönlich abgesehen hat, dann ist meine Lösung garantiert nicht sicherer, als das, was Bitwarden anbietet, einfach weil die weit bessere Infrastruktur und mehr KnowHow zur Verfügung haben. Dafür kann ich aber auch spezifisch für mich zugeschnitten die Zugriffe einschränken, was es wieder sicherer macht.
In den allermeisten Fällen würde ich aber behaupten, es ist völlig egal.
Jemand, der sich das selbst hosten nicht zutraut, oder es einfach nicht will, kann ganz ohne Bedenken auf den offiziellen Dienst zurückgreifen.
Alle anderen, die auch etwas "Spiel-Laune" in der Materie mit bringen, sind bei einem selbst gehosteten Server vermutlich besser aufgehoben.
Du stellst dir einen Server (z.B. alter PC oder Raspberry Pi) hin, installierst darauf Bitwarden, richtest im Router eine feste IP für dein Netzwerk ein und nutzt dann diese IP in der Bitwarden App.
Aber ganz ehrlich:
Wenn Du das fragen musst, dann ist selber hosten vielleicht nicht optimal für dich ;)
Das kann man alles online nachlesen und da wirst Du auch nicht drum herum kommen, weil es gibt immer irgendwelche Probleme.
Ich benutze immer irgendwelche Passwörter die nicht ähnlich sind aber die ich mir gut merken kann halt irgendwelche Wörter hintereinander gereiht. Natürlich auch mit Zahlen und Sonderzeichen
Das ist prinzipiell für ein "analog gespeichertes" Passwort auch die beste Methode, aber nicht automatisch sicher.
Genauso wie es Brute-Force gibt, was alle Buchstaben und Zeichen durch probiert, so kann man das auch mit ganzen Worten machen.
Das heißt nicht, dass das super easy möglich ist, das Passwort zu knacken, wenn der Dienst im Internet vernünftig arbeitet, bekommt man das nicht geknackt. Aber so oder so, nichts schlägt ein Passwort, das so aussieht:
N&t7L9WwCChVjoj44feXWgDCUhtTyLxf
Und ich persönlich nutze sehr viele Internet-Dienste, brauche also auch sehr viele Passwörter, ich glaube nicht, dass ich mir für jeden dieser Dienste ein anderes Passwort ausdenken könnte, ohne dass es dabei wiederkehrende Ähnlichkeiten gibt.
Außerdem bin ich häufiger Mal unterwegs, wenn ich mich dann unterwegs über das Handy irgendwo anmelden will, dann müsste ich mein Passwort-Heft mitnehmen, weil merken kann ich mir die alle nicht. Und ein Passwort-Heft unterwegs mitnehmen ... nein danke :D
Ich kann mich natürlich Zuhause anmelden und dann eingeloggt bleiben, allerdings ist das unflexibel und gleich das nächste massive Sicherheitsrisiko, denn so eine Login-Session kann ausgenutzt werden. Außerdem hättest Du damit mehr oder weniger die gleichen Nachteile, wie mit einem Passwortmanager, nur ohne die Vorteile.
Aber wenn ich jetzt aegis nutze sind die Passwörter dann bei denen gespeichert oder?
aegis kenne ich nicht, aber ja, das trifft auf jeden Online-Passwortmanager zu.
In der Regel sollten die aber mit deinem Master-Passwort verschlüsselt gespeichert werden, deine Passwörter liegen also nicht im Klartext in deren Datenbank.
Aber klar, das ist ein Risiko, besonders da so ein Online-Anbieter natürlich ein interessantes Ziel für Angreifer ist, weit mehr, als ich das bin. Deshalb verwende ich auch keinen Online-Dienst als Passwortmanager, sondern hoste ihn mir selber auf meinem RasperryPi mit Bitwarden. Meine Passwörter liegen also auf meiner SSD in meinem kleinen Sideboard und auf meinen Endgeräten, die die Bitwarden-App nutzen und nicht auf deren Servern.
Das macht natürlich weitere Probleme auf, so muss ich mich z.B. selber um die Sicherung davon kümmern, wenn die SSD kaputt geht, hab ich natürlich ein Problem.
Moin. Ich würde grundsätzlich eher einen Passwort Manager nutzen. Ich sehe hier ein mehrere Aspekte:
Was ist sichererGrundsätzlich ist das größte Problem von einem Passwort Manager erst mal, dass die Daten auf deinem PC sind. Wenn du jetzt einen Virus auf deinem PC hättest, wäre es natürlich möglich, dass dieser diese auslesen kann.
Aber in der Praxis hast du eh schon verloren, wenn das passiert. So ein Virus könnte sowieso einfach die Passwörter mitschneiden, wenn du dich irgendwo einloggst. Und das Risiko Passwörter falsch zu nutzen ist größer. Ein vernünftiger Passwort Manager ist verschlüsselt, dh. wenn du ihn nicht selber öffnest kommt auch erst mal kein anderer an die Passwörter.
Ein Heft geht prinzipiell auch, aber das kann dann natürlich jeder in der echten Welt einfach auf machen. Solange du es nicht weg schließt, würde ich einen Passwort Manager als sicherer betrachten.
Was kann ein Passwort Manager was ein Heft nicht kannPasswort Manager können mehr als nur Passwörter sicher speichern. Du kannst zufällige Passwörter generieren, du kannst diese Passwörter automatisch eingeben lassen, wodurch du viel kompliziertere Passwörter nutzen kannst die sonst sehr lange zum eingeben brauchen würden. Und Eventuell prüft so ein Passwort Manager vorher auch, ob du wirklich auf der richtigen Seite bist, und nicht auf einer Fake Seite. Die Browser-Erweiterungen sind da ziemlich praktisch.
Klar könntest du das auch von Hand mit einem Heft machen, aber das wäre natürlich viel fehleranfälliger und mühsamer.
Das wichtigste: Passwörter richtig nutzenPasswörter sollten so gewählt sein, dass sie immer nur von einer Person für eine Sache genutzt werden. Das heißt, es sollte "unmöglich" sein, dass jemand zufällig auf das selbe Passwort kommt. Und das Passwort sollte immer nur für einen Anbieter genutzt werden. Und natürlich sollte es auch möglichst "zufällig" und lang sein.
Noch mal: das geht viel einfacher mit einem Passwort Manager. Aber dieser Aspekt ist der wichtigste. Wenn du schlechte Passwörter in einen Passwort Manager schreibst, hilft er dir nicht viel.
EmpfehlungenIch kenne die von dir genannten nicht. Bei dem einen finde ich nur einen 2FA Client, was nichts mit dem Thema zu tun hat. Ich kann KeePassXC (mobil KeePassDX oder Strongbox) empfehlen. Aber, bei diesem Programm musst du dich selber darum kümmern, dass deine Daten zwischen deinen Geräten synchronisiert werden.
Alternativ finde ich auch Bitwarden nicht schlecht. Der synchronisiert alles automatisch und ist auch sehr günstig, auch kostenlos nutzbar.
Es ist aber auch okay einen anderen zu nutzen, z.B. den auf Apple eingebauten, oder den von Proton.
Was passiert eigentlich wenn jemand zufällig ein genau gleiches generiertes Passwort nutzt?
Das ist kein Problem, solange das Passwort wirklich zufällig und entsprechend lang ist.
Das Problem bei einem nicht zufälligen Passwort ist ja, dass es bestimmten Mustern folgt die man einfacher erraten kann als zufällige Passwörter.
Entweder hostest du deine Datenbank selber und verwendest Keepass
Soll es eine Cloud Lösung sein, denn empfiehlt sich BitWarden.
Hallo ich derzeit schreibe ich meine Passwörter in ein Heft. Ist ein passwortmnager besser?
Auf jeden Fall
Wenn ja/nein warum?
Du musst deine Passwörter nicht jedes Mal abtippen, sie können automatisch eingefügt werden. Dadurch bist du weniger genervt und kannst auch einfach sehr lange und komplexe Passwörter nutzen. Gerade, da man für jeden Dienst ein eigenes starkes Passwort nutzen sollte, hilft das ungemein
Dazu ist das Autofill auch ein Schutz. Du kannst angeben, welcher Eintrag bei welcher Domain nutzbar ist. Du kannst das Passwort zwar manuell kopieren, aber das hilft bei nachgebauten Seiten mit ähnlicher Domain
Ich würde mir entweder aegis oder den Passwortmanager von gdata (nutze schon das antivirussystem von gdata) runterladen.
Und warum gerade die beiden? Persönlich kenne ich sie nicht, würde dir zu KeePassXC raten - die Datenbank kann man dann auch mit entsprechenden Apps mobil nutzen
Hatte mal wo gelesen das aegis gut sein soll. Und gdata weil ich da schon das virenprogram verwende und gdata auch aus Deutschland kommt
Und gdata weil ich da schon das virenprogram verwende und gdata auch aus Deutschland kommt
Das wären für mich keine Gründe dafür, eher Audits
Am Ende ist es deine Entscheidung.
Aber hat man jetzt besondere Sicherheitsnachteile wenn man es nicht zuhause laufen lässt. Weil ich wüsste gar nicht wie das geht