Passwortmanager - Hilfreich oder nicht?

Bei mir sieht es so aus:

- Jede Seite hat ein eigenes Passwort (aktuell noch eigene, will aber mittelfristig auf generierte umsteigen, wenn der Manager überall sicher läuft)
- Als Passwortmanager nutze ich LastPass Free mit Cloudspeicherung am Smartphone, Tablet und PC (was mir dank 2FA keine Kopfschmerzen bereitet)
- Ich benutze wenn möglich (leider bietet noch immer nicht jeder es an) bei jedem Dienst 2-Faktor-Authentifizierung über Authy das mit Masterpasswort verschlüsselt ist, das nirgends gespeichert ist.

Bei LastPass finde ich die breach-detection sehr praktisch. Man wird automatisch darüber informiert, ob einer der Dienste einem Datenklau zum Opfer gefallen ist und kann das Passwort dann per Knopfdruck ändern.

Ach, ich möchte auch noch auf deine Fragen eingehen:

rutz schrieb:Wie sinnvoll ist es, einen cloudbasierten Passwortmanager zu nutzen? Natürlich, der Komfort steht im VOrdergrund, aber die Daten sind ja dennoch im online und somit potentiell für jeden abrufbar.

LastPass zum Beispiel nutzt AES-256-Bit-Verschlüsselung mit PBKDF2 SHA-256 und Salted Hashes.
Soweit mir bekannt ist AES 256 mit aktuellen technischen Mitteln nicht knackbar. Es ist berechnungssicher und ein Bruteforce Angriff würde bis zu 1.75*10^63 Jahre dauern.
https://www.lastpass.com/de/how-lastpass-works
https://security.stackexchange.com/questions/82389/calculate-time-taken-to-break-aes-key

rutz schrieb:Was ist, wenn jemand mein Master-Passwort für den Manager herausfindet. Somit kann er ja auf alle gespeicherten Passwörter zugreifen.

Dafür nutzt man dann eine zusätzliche 2FA nutzen, damit selbst mit Passwort niemand an deine Daten kann.

rutz schrieb:Ein "starkes" Passwort macht es natürlich schwieriger es zu knacken. Vorausgesetzt man will direkt auf einen Account des Users zugreifen. Aber die letzten großen Leaks waren Angriffe auf die Datenbanken der jeweiligen Anbieter, in denen Anmeldedaten hinterlegt sind. Vor so einem Fall schützt ein Passwortmanager ja auch nicht.

Auch da kann ich nur daran appelieren, immer noch eine zusätzliche 2FA zu nutzen wenn möglich. Selbst wenn Username/Email + Passwort bekannt sind, kann man nicht auf das Konto zugreifen.

Ich habe hier schon mal im Zuge eines Verbesserungsvorschlags etwas zum Thema Zwei-Faktor-Authentifizierung geschrieben:
Zwei-Faktor-Authentifizierung (Beitrag von Fennek)

kleinundgrün schrieb:Das dürfte schwierig sein und führt dazu, einfache Passwörter zu nehmen oder überall das gleiche.

schwierig ja, aber man kann sich ein System ausdenken..

z.b. indem man sein Passwort aus mind.2 Teilen zusammensetzt..

es beginnt z.b. immer mit einem gleichen Code, wie "Wonder234!Code"

and dahinter setzt man dann was originelles was zu dem Dienst passt wofür das Passwort ist..

mein Passwort für Allmystery wäre dann z.b. "Wonder234!CodeAllesMistery" (nein, das i ist ist kein Typo, das ist Absicht!)

so mache ich das seit Jahren, wobei dann auch nicht nur 1 solcher Code vorn dran eingesetzt wird sondern mehrere verschiedene..

kommt allerdings ab und zu vor dass ich Passwörter vergesse wenn ich einen Dienst lange nicht nutze, dafür gibts ja dann die Funktion zum Passwortzurücksetzen. solange ich mein Passwort für mein eMail-Konto nicht vergesse, alles gut! :D

achso, generell - ich würde der Sicherheit von Passwortmanagern nicht vertrauen, weder cloud noch lokal..

RayWonders schrieb:z.b. indem man sein Passwort aus mind.2 Teilen zusammensetzt..

Na ja, das geht schon. Aber es ist eben ein System und angenommen ich kenne zwei Deiner Passwörter, dann würde ich vermutlich mit ein wenig ausprobieren auch andere relativ einfach heraus bekommen. Je nachdem, wie komplex Teil 1 nun ist und wie viele verschiedene Varianten Du nimmst.
Zumindest für Dein "Passwortrücksetzmailkonto" solltest du dann ein wirklich gutes Passwort verwenden, das nicht so einfach herleitbar ist.

Der Punkt ist, dass Passwörter, die einer Systematik folgen, schon mal unsicherer sind. Und je komplexer die Systematik ist, desto schwieriger sind sie zu merken.
Eine Speicherung in der Cloud ist trotz Verschlüsselung auch mit Risiken behaftet. Und auch ein Programm zur Passwortverwaltung kann Fehler aufweisen. Nun muss man eben abwägen, welche Risiken für einen selbst schwerer wiegen.
Und man muss natürlich entscheiden, welchen Angriffen auf seine Passwörter man begegnen möchte. Also reden wir von der NSA oder von einfachen Kriminellen.

Ich persönlich halte einen verschlüsselten Passwortcontainer auch in einer Cloud für sehr sicher.
Darüber hinaus kann man - wie @Fennek schon schrieb - mit einer 2-Faktor-Authentifizierung einen Missbrauch noch weiter erschweren (LastPass mag ich allerdings nicht).

Und es geht auch nicht um absolute Sicherheit. Es geht um einen praktikablen Kompromiss aus Sicherheit und Benutzbarkeit. Ich habe in meinem Haus auch keine Tresortür, sondern einfach eine gute einbruchshemmende Tür.

Immer nett:
https://xkcd.com/538/

kleinundgrün schrieb:LastPass mag ich allerdings nicht

Darf man fragen, was dich persönlich daran stört? Ich hatte mal ein paar durchprobiert (1Password, Dashlane [der wohl in Tests am besten abschneidet] und LastPass) und bin irgendwie bei LastPass hängen geblieben, da es für mich (Anwendung unter iOS, Mac OS und Windows) am reibungslosesten funktionierte.

@Fennek
Na ja, es ist ein in den Browser integriertes Plugin oder zumindest so nutzbar) und der Dienst wurde erst vor wenigen Jahren erfolgreich angegriffen. Und wenn der Dienst nicht verfügbar ist, habe ich keinen Zugriff auf meine Passwörter (oder?).

Allerdings ist das das Ergebnis einer schon etwas länger zurückliegenden Recherche über verschiedene Anbieter. Die Benutzerfreundlichkeit ist aber hervorragend.
Das ist auch eine subjektive Einschätzung, ich bin damit einfach nicht warm geworden.

Ich bin bei KeePass hängen geblieben (gibt es auch für mehrere Plattformen). Mich stört vor allem die Integration in andere Komponenten (Browser z.B.), das ist aus meiner Sicht eine weitere (und für meine Nutzung unnötige) Schwachstelle.

kleinundgrün schrieb:Und wenn der Dienst nicht verfügbar ist, habe ich keinen Zugriff auf meine Passwörter (oder?).

Soweit ich weiß geht das auch ohne Internetverbindung, da der Dienst nur die Passwörter im Hintergrund synchronisiert und dann lokal verschlüsselt speichert.

Lastpass sicher synchronisiert die in Ihrem Konto gespeicherten Daten, so dass die Informationen, die Sie durch Ihre lokalen Vault und Ihre Online Vault sehen sind die gleichen.

Die Übersetzung ist etwas abenteuerlich.
https://helpdesk.lastpass.com/de/your-lastpass-vault/ (Archiv-Version vom 06.04.2020)

Ein Problem dürfte also nur auftreten, wenn du ein Passwort vorher geändert hast.

kleinundgrün schrieb:der Dienst wurde erst vor wenigen Jahren erfolgreich angegriffen

Was heißt erfolgreich? Sie konnten anscheinend einige Datensätze entwenden, aber man konnte bisher nicht feststellen, dass die verschlüsselten Daten entschlüsselt werden konnten.

On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed

Wikipedia: LastPass#2015 security breach

Aber kann verstehen, dass man sich dann doch eher erst mal die anderen ansieht.

@Fennek
Wie gesagt, das kann in der Realität und Stand heute von der Sicherheit völlig OK sein. Es ist wie gesagt ein "ich mag LastPass nicht".

@kleinundgrün
Na gut, das ist ja auch legitim.
Spätestens wenn Quantencomputer weiter verbreitet sind, dann sind Verschlüsselungen eh wieder ganz neu zu betrachten.

@Fennek
Die Frage ist eben, für wen sollen meine Passwörter geheim bleiben.
Zuallererst für irgendwelche Kriminellen.
In zweiter Linie sicherlich auch für alle anderen - aber da mache ich mir eher wenig Illusionen. Sollte irgend ein Geheimdienst oder jemand mit genügend Ressourcen genau mich ausspähen wollen, wäre die Art der Passwortverwaltung sicherlich das kleinere Problem.

@kleinundgrün
Wobei AES-256 Regierungsstandard ist. Mit der selben Stufe werden auch US-Regierungsdokumente - auch die der NSA - verschlüsselt. Aber die werden wohl auch eher ganz andere Methoden nutzen um an deine wichtigen Informationen zu kommen, als deine Passwortdatenbank zu entschlüsseln. Eine der wichtigsten Quellen beim Hacken, gerade wenn es um spezifische Ziele geht, ist immer noch social Engineering.

Fennek schrieb:Aber die werden wohl auch eher ganz andere Methoden nutzen um an deine wichtigen Informationen zu kommen, als deine Passwortdatenbank zu entschlüsseln.

Eben.

Meine Passwoerter stehen auch auf "Paperbackup"
Lange Sachen, die ich ab u. an mal brauch- Steuernummer, Betriebsnummer et cet. Sind als Telephonnummer im Handyspeicher getarnt.

:mlp:

Ich nutze KeePass2. Das Master-Passwort ist das einzige was ich auswendig kenne. Es ist 20 stellig und beinhaltet 3 Zeichenarten. Dazu liegt dieses Kennwort + E-Mail Kennwort als QR Code in meiner "wichtige Dokumente"-Kiste. Alle anderen Kennwörter sind immer um die 32 Stellen lang, rein zufällig generiert und in der KeePass Datenbank gespeichert.

Die Datenbank syncronisiere ich per Dropbox (der Dropbox Account ist dediziert für die PW-Datenbank da). Die die Datenbankdatei mit Hilfe des Master-Passworts verschlüsselt ist, kann ich die theoretisch speichern wo ich möchte ohne, dass jemand die Kennwörter auslesen kann. Die KeePass Clients haben dann praktische Funktionen zum Ausfüllen der Formulare etc. sodass es mich nicht sonderlich beeinträchtigt.

Irgendwelche Webseite-Betreiber oder Dienstanbieter die Zugangsdaten speichern, erzeugen oft aus den Passwörtern kein salted Hash mit ausreichedem Payload. Gerade wenn man immer das selbe Passwort verwendet, können dann die bösen Leute von dem Account aus auch andere Accounts kompromittieren. Also bleibt ein sicheres Passwort nicht nur eine Frage der Komplexität sondern auch der Varietät. Da sich das beides nicht verträgt, weil man als Mensch sich nicht alles merken kann, ist ein Passwortmanager eine gute Sache.

Ich merke mir keine Passwörter, sondern einen selbsterdachten Algorithmus.

Es gibt eine Konstante + zb die URL alphabetisch +1 rotiert

Finde ich einfacher :) Passwortmanager sind auch nur digital abgelegt und können verloren gehen.

Delicious1 schrieb:Ich merke mir keine Passwörter, sondern einen selbsterdachten Algorithmus.

Kann man den nicht prima herleiten, wenn man 2-3 Deiner Passwörter kennt?

Das problematische Szenario ist ja, dass bei einzelnen Webseiten Passwörter öffentlich werden - wenn du nun einen festen Algorithmus hast, der auf öffentlich bekannten Informationen aufbaut, ist es doch ausgesprochen trivial, alle Deine Passwörter passend zum jeweiligen Anbieter heraus zu finden.
Oder?

Man sollte seine PWs ohnehin regelmäßig wechseln. Wenn jemand so viele meiner PWs hat und es herleitet klar. Andersrum braucht man für den pwmanager nur eines wissen.
Generell ist alles angreifbar.

Und mein Beispiel war stark vereinfacht.

Delicious1 schrieb:Andersrum braucht man für den pwmanager nur eines wissen.

Aber das sollte ja nicht irgendwo anders benutzt sein und dort "verloren" gehen?

Sollte nicht verloren gehen oder vergessen werden. Das stimmt. @kleinundgrün

@Delicious1
Damit meinte ich, dass es ja nicht auf diese Weise anderen bekannt werden kann.

Ein Passwort, das Du online nutzt, kann halt öffentlich bekannt werden. Vor allem, wenn man Logins bei vielen verschiedenen und ggf. nicht allzu vertrauenswürdigen Diensten hat. Ein Passwort, das Du nur für Deine Passwortdatei hast, verlässt Deine Geräte im Idealfall ja gar nicht.

Wie auch immer, ich wollte nur diesen Punkt ansprechen, dass Passwortherleitungen problematisch sind. Natürlich sind sie trotzdem besser, als überall das selbe Passwort zu verwenden.