Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung

Passwortmanager - Hilfreich oder nicht?

33 Beiträge, Schlüsselwörter: Internet, Sicherheit, Passwort, WEB, Hack, Security, Leak, Passwortmanager, Cybersecurity

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 08:11
Bei mir sieht es so aus:

- Jede Seite hat ein eigenes Passwort (aktuell noch eigene, will aber mittelfristig auf generierte umsteigen, wenn der Manager überall sicher läuft)
- Als Passwortmanager nutze ich LastPass Free mit Cloudspeicherung am Smartphone, Tablet und PC (was mir dank 2FA keine Kopfschmerzen bereitet)
- Ich benutze wenn möglich (leider bietet noch immer nicht jeder es an) bei jedem Dienst 2-Faktor-Authentifizierung über Authy das mit Masterpasswort verschlüsselt ist, das nirgends gespeichert ist.

Bei LastPass finde ich die breach-detection sehr praktisch. Man wird automatisch darüber informiert, ob einer der Dienste einem Datenklau zum Opfer gefallen ist und kann das Passwort dann per Knopfdruck ändern.


melden
Anzeige

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 08:44
Ach, ich möchte auch noch auf deine Fragen eingehen:
rutz schrieb:Wie sinnvoll ist es, einen cloudbasierten Passwortmanager zu nutzen? Natürlich, der Komfort steht im VOrdergrund, aber die Daten sind ja dennoch im online und somit potentiell für jeden abrufbar.
LastPass zum Beispiel nutzt AES-256-Bit-Verschlüsselung mit PBKDF2 SHA-256 und Salted Hashes.
Soweit mir bekannt ist AES 256 mit aktuellen technischen Mitteln nicht knackbar. Es ist berechnungssicher und ein Bruteforce Angriff würde bis zu 1.75*10^63 Jahre dauern.
https://www.lastpass.com/de/how-lastpass-works
https://security.stackexchange.com/questions/82389/calculate-time-taken-to-break-aes-key
rutz schrieb:Was ist, wenn jemand mein Master-Passwort für den Manager herausfindet. Somit kann er ja auf alle gespeicherten Passwörter zugreifen.
Dafür nutzt man dann eine zusätzliche 2FA nutzen, damit selbst mit Passwort niemand an deine Daten kann.
rutz schrieb:Ein "starkes" Passwort macht es natürlich schwieriger es zu knacken. Vorausgesetzt man will direkt auf einen Account des Users zugreifen. Aber die letzten großen Leaks waren Angriffe auf die Datenbanken der jeweiligen Anbieter, in denen Anmeldedaten hinterlegt sind. Vor so einem Fall schützt ein Passwortmanager ja auch nicht.
Auch da kann ich nur daran appelieren, immer noch eine zusätzliche 2FA zu nutzen wenn möglich. Selbst wenn Username/Email + Passwort bekannt sind, kann man nicht auf das Konto zugreifen.

Ich habe hier schon mal im Zuge eines Verbesserungsvorschlags etwas zum Thema Zwei-Faktor-Authentifizierung geschrieben:
Diskussion: Zwei-Faktor-Authentifizierung (Beitrag von Fennek)


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 09:32
kleinundgrün schrieb:Das dürfte schwierig sein und führt dazu, einfache Passwörter zu nehmen oder überall das gleiche.
schwierig ja, aber man kann sich ein System ausdenken..

z.b. indem man sein Passwort aus mind.2 Teilen zusammensetzt..

es beginnt z.b. immer mit einem gleichen Code, wie "Wonder234!Code"

and dahinter setzt man dann was originelles was zu dem Dienst passt wofür das Passwort ist..

mein Passwort für Allmystery wäre dann z.b. "Wonder234!CodeAllesMistery" (nein, das i ist ist kein Typo, das ist Absicht!)

so mache ich das seit Jahren, wobei dann auch nicht nur 1 solcher Code vorn dran eingesetzt wird sondern mehrere verschiedene..

kommt allerdings ab und zu vor dass ich Passwörter vergesse wenn ich einen Dienst lange nicht nutze, dafür gibts ja dann die Funktion zum Passwortzurücksetzen. solange ich mein Passwort für mein eMail-Konto nicht vergesse, alles gut! :D

achso, generell - ich würde der Sicherheit von Passwortmanagern nicht vertrauen, weder cloud noch lokal..


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 11:52
RayWonders schrieb:z.b. indem man sein Passwort aus mind.2 Teilen zusammensetzt..
Na ja, das geht schon. Aber es ist eben ein System und angenommen ich kenne zwei Deiner Passwörter, dann würde ich vermutlich mit ein wenig ausprobieren auch andere relativ einfach heraus bekommen. Je nachdem, wie komplex Teil 1 nun ist und wie viele verschiedene Varianten Du nimmst.
Zumindest für Dein "Passwortrücksetzmailkonto" solltest du dann ein wirklich gutes Passwort verwenden, das nicht so einfach herleitbar ist.

Der Punkt ist, dass Passwörter, die einer Systematik folgen, schon mal unsicherer sind. Und je komplexer die Systematik ist, desto schwieriger sind sie zu merken.
Eine Speicherung in der Cloud ist trotz Verschlüsselung auch mit Risiken behaftet. Und auch ein Programm zur Passwortverwaltung kann Fehler aufweisen. Nun muss man eben abwägen, welche Risiken für einen selbst schwerer wiegen.
Und man muss natürlich entscheiden, welchen Angriffen auf seine Passwörter man begegnen möchte. Also reden wir von der NSA oder von einfachen Kriminellen.

Ich persönlich halte einen verschlüsselten Passwortcontainer auch in einer Cloud für sehr sicher.
Darüber hinaus kann man - wie @Fennek schon schrieb - mit einer 2-Faktor-Authentifizierung einen Missbrauch noch weiter erschweren (LastPass mag ich allerdings nicht).

Und es geht auch nicht um absolute Sicherheit. Es geht um einen praktikablen Kompromiss aus Sicherheit und Benutzbarkeit. Ich habe in meinem Haus auch keine Tresortür, sondern einfach eine gute einbruchshemmende Tür.

Immer nett:
https://xkcd.com/538/


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:06
kleinundgrün schrieb:LastPass mag ich allerdings nicht
Darf man fragen, was dich persönlich daran stört? Ich hatte mal ein paar durchprobiert (1Password, Dashlane [der wohl in Tests am besten abschneidet] und LastPass) und bin irgendwie bei LastPass hängen geblieben, da es für mich (Anwendung unter iOS, Mac OS und Windows) am reibungslosesten funktionierte.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:22
@Fennek
Na ja, es ist ein in den Browser integriertes Plugin oder zumindest so nutzbar) und der Dienst wurde erst vor wenigen Jahren erfolgreich angegriffen. Und wenn der Dienst nicht verfügbar ist, habe ich keinen Zugriff auf meine Passwörter (oder?).

Allerdings ist das das Ergebnis einer schon etwas länger zurückliegenden Recherche über verschiedene Anbieter. Die Benutzerfreundlichkeit ist aber hervorragend.
Das ist auch eine subjektive Einschätzung, ich bin damit einfach nicht warm geworden.

Ich bin bei KeePass hängen geblieben (gibt es auch für mehrere Plattformen). Mich stört vor allem die Integration in andere Komponenten (Browser z.B.), das ist aus meiner Sicht eine weitere (und für meine Nutzung unnötige) Schwachstelle.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:39
kleinundgrün schrieb:Und wenn der Dienst nicht verfügbar ist, habe ich keinen Zugriff auf meine Passwörter (oder?).
Soweit ich weiß geht das auch ohne Internetverbindung, da der Dienst nur die Passwörter im Hintergrund synchronisiert und dann lokal verschlüsselt speichert.
Lastpass sicher synchronisiert die in Ihrem Konto gespeicherten Daten, so dass die Informationen, die Sie durch Ihre lokalen Vault und Ihre Online Vault sehen sind die gleichen.
Die Übersetzung ist etwas abenteuerlich.
https://helpdesk.lastpass.com/de/your-lastpass-vault/

Ein Problem dürfte also nur auftreten, wenn du ein Passwort vorher geändert hast.
kleinundgrün schrieb:der Dienst wurde erst vor wenigen Jahren erfolgreich angegriffen
Was heißt erfolgreich? Sie konnten anscheinend einige Datensätze entwenden, aber man konnte bisher nicht feststellen, dass die verschlüsselten Daten entschlüsselt werden konnten.
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed
Wikipedia: LastPass#2015_security_breach

Aber kann verstehen, dass man sich dann doch eher erst mal die anderen ansieht.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:41
@Fennek
Wie gesagt, das kann in der Realität und Stand heute von der Sicherheit völlig OK sein. Es ist wie gesagt ein "ich mag LastPass nicht".


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:42
@kleinundgrün
Na gut, das ist ja auch legitim.
Spätestens wenn Quantencomputer weiter verbreitet sind, dann sind Verschlüsselungen eh wieder ganz neu zu betrachten.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:51
@Fennek
Die Frage ist eben, für wen sollen meine Passwörter geheim bleiben.
Zuallererst für irgendwelche Kriminellen.
In zweiter Linie sicherlich auch für alle anderen - aber da mache ich mir eher wenig Illusionen. Sollte irgend ein Geheimdienst oder jemand mit genügend Ressourcen genau mich ausspähen wollen, wäre die Art der Passwortverwaltung sicherlich das kleinere Problem.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:54
@kleinundgrün
Wobei AES-256 Regierungsstandard ist. Mit der selben Stufe werden auch US-Regierungsdokumente - auch die der NSA - verschlüsselt. Aber die werden wohl auch eher ganz andere Methoden nutzen um an deine wichtigen Informationen zu kommen, als deine Passwortdatenbank zu entschlüsseln. Eine der wichtigsten Quellen beim Hacken, gerade wenn es um spezifische Ziele geht, ist immer noch social Engineering.


melden

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 12:56
Fennek schrieb:Aber die werden wohl auch eher ganz andere Methoden nutzen um an deine wichtigen Informationen zu kommen, als deine Passwortdatenbank zu entschlüsseln.
Eben.


melden
Anzeige

Passwortmanager - Hilfreich oder nicht?

30.07.2019 um 13:40
Meine Passwoerter stehen auch auf "Paperbackup"
Lange Sachen, die ich ab u. an mal brauch- Steuernummer, Betriebsnummer et cet. Sind als Telephonnummer im Handyspeicher getarnt.

:mlp:


melden

Neuen Beitrag verfassen
Dies ist eine Vorschau, benutze die Buttons am Ende der Seite um deinen Beitrag abzusenden.
Bereits Mitglied?  
Schriftgröße:
Größe:
Dateien Hochladen
Vorschau
Bild oder Datei hochladen

Bleib auf dem Laufenden und erhalte neue Beiträge in dieser Diskussion per E-Mail.


Oder lad dir die Allmystery App um in Echtzeit zu neuen Beiträgen benachrichtigt zu werden:

Ähnliche Diskussionen

341 Mitglieder anwesend
Konto erstellen
Allmystery Newsletter
Alle zwei Wochen
die beliebtesten
Diskussionen per E-Mail.

Themenverwandt
BOINC11 Beiträge