Passwörter Verwaltung

[rene12]

Was spricht eigentlich gegen den Schlüsselbund von Apple, den als einzigen Passwortmanager zu verwenden?

Ich verwalte gefühlt tonnenweise Passwörter wo immer mal wieder als geleakt angezeigt werden. Darunter natürlich uralte Seiten wo ich nicht mal mehr kenne. Bisher bin ich mit iPin noch ganz zufrieden, merke aber das dies oder jenes Passwort mal bei Apple liegt und andere eben bei iPin. Deshalb die Frage.

 

[Stargate]

Was spricht eigentlich gegen den Schlüsselbund von Apple, den als einzigen Passwortmanager zu verwenden?

Nichts

Ich verwalte gefühlt tonnenweise Passwörter wo immer mal wieder als geleakt angezeigt werden. Darunter natürlich uralte Seiten wo ich nicht mal mehr kenne. Bisher bin ich mit iPin noch ganz zufrieden, merke aber das dies oder jenes Passwort mal bei Apple liegt und andere eben bei iPin. Deshalb die Frage.

Das lieg aber mit ziemlicher Sicherheit nicht daran das den Mac irgend wo Passwörter leakt oder das darauf eingebrochen wurde sondern eher an den total sicheren Anbietern und deren Umgang mit deinen Passwörtern. Dahingehend kannst du auf deinem Mac verwenden was du willst.

So lange irgend ein externer Dienst und vor allem dritte, was sich letztendlich ja kaum vermeiden lässt, mit einbezogen sind wird es nie sicher sein.
Passwörter dann halt auch zyklisch wechseln und nicht Jahre lang das gleiche und schon gleich gar nicht für mehr wie nur einen Zugang nutzen.

Ich benutze z.B keinen Passwortmanager der meinen Kram in deren Cloud ablegt.
Genau so wenig wie die Apple iCloud.

Und es ist mir dabei auch vollkommen Wurst was alle diese Anbieter so herzergreifend versprechen.

Verbrannte Passwörter: Null

 

[lulesi]

Das wiederum hat rein gar nichts mit der Cloud zu tun.

Das Passwörter geleakt oder unsicher sind hat folgende Gründe

- Zu simple Passwörter, die auch andere nutzen (123456, passwort, macbock, stargate88,..)

- identische Passwörter auf verschiedenen Seiten nutzen. Das ist generell das Hauptproblem

- gehackte Seiten im Netz. Sehr viele Unternehmen sind im Netz gehackt worden, und Namen und Passwörter
der Nutzer sind dabei geklaut worden und werden von Verbrechern genutzt.

Wenn man kein verbranntes Password hat, dann nutzt man
-ausschliesslich lange komplizierte Passwörter
-selten oder nie eins doppelt
-und hat eine der tasusenden Seiten im Netz nicht genutzt, die gehackt wurden, was nahezu unmöglich ist, wenn man aktiv ist.

https://haveibeenpwned.com/PwnedWebsites

Mein Fazit ist es, auf jeden Fall einen Passwortmanager inklusive der vorgeschlagenen Passwörter zu nutzen.
Wenn möglich 2FA nutzen.
Das erhöht die Sicherheit imens.

Die Apple Schlüsselbundverwaltung ist dabei eine gute kostenlose Lösung, hat aber keine Schnittstelle
zu Windoes.

 

[casomat]

Mit dem Thema beschäftige ich mich auch gerade, ich fand bisher das Schlüsselbund von Apple ganz toll, bis auf die Tatsache, dass ich am Iphone mit Safari arbeite und am Mac mit Firefox. Das passt natürlich nicht zusammen und dieses "Problem" wurde von @rene12 ja auch angesprochen. Dann habe ich hier irgendwo von irgendwelchen Verschwörungstheoretikern gelesen, die es nicht gut finden, dass Apple das "sichere Passwort" selbst vorschlägt. Nun will man Apple ja nichts unterstellen, aber irgendwie haben die ja recht.
Allerdings weis man bei anderen Passwortmanagern ja auch nicht, ob da nicht irgendwelche Daten an irgendwelche Dienste geschickt werden, usw...

@rene12 Die beiden Passwortmanager kannst du doch bestimmt mal mithilfe einer csv-datei auf den gleichen Stand bringen, oder?

Vielleicht eine blöde Frage, aber kann man Passwortmanager von Drittanbietern eigentlich so nutzen, dass die auf verschiedenen Geräten unterschiedliche Browser bedienen? Das Schlüsselbund von Apple kann das natürlich nicht, oder? Wenn ich ein ultra-kompliziertes Passwort erstellen lasse, welches ich mir nicht merken möchte, finde ich das ein bischen kompliziert, es erst aus dem Apple Schlüsselbund herauszukopieren und bei Firefox einzupflegen. Gibt es da elegantere Lösungen?

 

[Matrickser]

Bis vor einem Jahr habe ich 1Password als Passwortmanager verwendet. Dann bin ich komplett auf KeePassXC umgestiegen und habe es bis heute nicht bereut.
Der Grund für den Wechsel war ganz einfach, ich wollte den Ort meines Passwort-Safes selbst bestimmen und ihn nicht bei irgendeinem Cloud-Anbieter hosten und ein weiterer Grund, KeePassXC ist OpenSource. Clients und Browser-Plugins sind für jedes System verfügbar.

Ja, die Oberfläche ist nicht so schön bunt wie bei den üblichen Managern, aber das stört mich überhaupt nicht - ich lege mehr Wert auf die Funktionen.
Zu den Passwörtern selbst: Die Stärke eines Passwortes hängt von der Entropie ab, je höher desto besser, und von der Zufälligkeit der Zeichenfolge.
Ich verwende für Passphrasen gerne die Diceware-Methode, bei der man offline mit Würfeln zufällige Wörter erzeugt. Ein Mensch denkt sich selbst keine zufaelligen Passwörter aus.

 

[BEASTIEPENDENT]

Was spricht eigentlich gegen den Schlüsselbund von Apple, den als einzigen Passwortmanager zu verwenden?

Nein. Recht sicher, und mir reicht der auch völlig aus.

Und wenn man Firefox verwenden möchte, muss man halt dort die Passwörter einmal eingeben, da kann man sie ja auch speichern lassen.

 

[warnochfrei]

Was spricht eigentlich gegen den Schlüsselbund von Apple, den als einzigen Passwortmanager zu verwenden?

Du speicherst deine Passwörter auf dem Computer anderer Leute.

Sonst nichts.

 

[warnochfrei]

KeePassXC ist OpenSource. Clients und Browser-Plugins sind für jedes System verfügbar.

Ähnlich wie pass und gopass. Allerdings verschlüsseln diese noch nicht die ganze Datenbank (gopass arbeitet daran).

 

[warnochfrei]

Vielleicht eine blöde Frage, aber kann man Passwortmanager von Drittanbietern eigentlich so nutzen, dass die auf verschiedenen Geräten unterschiedliche Browser bedienen?

KeePass(XC) und pass/gopass können das.

 

[Stargate]

Mit dem Thema beschäftige ich mich auch gerade, ich fand bisher das Schlüsselbund von Apple ganz toll, bis auf die Tatsache, dass ich am Iphone mit Safari arbeite und am Mac mit Firefox. Das passt natürlich nicht zusammen und dieses "Problem" wurde von @rene12 ja auch angesprochen. Dann habe ich hier irgendwo von irgendwelchen Verschwörungstheoretikern gelesen, die es nicht gut finden, dass Apple das "sichere Passwort" selbst vorschlägt. Nun will man Apple ja nichts unterstellen, aber irgendwie haben die ja recht.
Allerdings weis man bei anderen Passwortmanagern ja auch nicht, ob da nicht irgendwelche Daten an irgendwelche Dienste geschickt werden, usw...

@rene12 Die beiden Passwortmanager kannst du doch bestimmt mal mithilfe einer csv-datei auf den gleichen Stand bringen, oder?

Vielleicht eine blöde Frage, aber kann man Passwortmanager von Drittanbietern eigentlich so nutzen, dass die auf verschiedenen Geräten unterschiedliche Browser bedienen? Das Schlüsselbund von Apple kann das natürlich nicht, oder? Wenn ich ein ultra-kompliziertes Passwort erstellen lasse, welches ich mir nicht merken möchte, finde ich das ein bischen kompliziert, es erst aus dem Apple Schlüsselbund herauszukopieren und bei Firefox einzupflegen. Gibt es da elegantere Lösungen?

Der Schlüsselbund ist ja eigentlich auch relativ gut.
Der Haken daran, der Hersteller tut sein bestes damit man zwischen iPhone und Mac deren iCloud nutzen soll.

Noch fataler ist das z.B Hersteller von drittanbieter Software alles darauf setzen ihre Kunden zu vergraulen und denen ihre Cloud am besten noch zusammen mit irgend einem beschissenen Abo aufzwingen. Was da bei dir mit der Nutzung von Firefox nicht passt hat sich mir noch nicht so ganz erschlossen bzw. vielleicht habe ich auch nicht verstanden was genau du damit meinst.

Bei "anderen" Passwortmanagern die eine verschlüsselte Datenbank bei dir zu Haus auf dem Mac anlegen kann man mehr vertrauen haben als auf irgend einen Kram der ständig durch das Internet hin- und her synchronisiert wird. Du hast keinerlei Kontrolle - Egal was diese Hersteller marketingtechnisch vorflöten.

Anstelle auf deren Marketinggeblubber reinzufallen würde ich mal eher versuchen herauszufinden was dem ein oder andern "sicheren" Anbieter bereits durch die Lappen gegangen ist bzw. wieviele Kunden ihre Passwörter ganz schnell ändern mussten.

1Passwort z.B - ist (war) so ein Passwortmanager der auch über Import und Export der Datenbank von und mit dem anderer Manager abgleichbar ist.
Der bedient auch Firefox. Allerdings muss man wissen das die aktuellste Version ein Abomodell ist. UND deren Cloud nutzt.

EnPass kann man sich auch mal anschauen.

Gerade für deine ultrakomplizierten Passwörter wie gemacht.


Egal wie man es macht, meiner bescheidenen Meinung haben die eigenen Passworte absolut nichts in einer Cloud, bei dritten zu suchen.
Die gehören zu Hause in die Hosentasche und fertig.

 

[BEASTIEPENDENT]

Der Haken daran, der Hersteller tut sein bestes damit man zwischen iPhone und Mac deren iCloud nutzen soll.

Stimmt. Ist aber immer noch sicherer, als der Rechner vieler User.
In der Hosentasche bringen mir die blöden Dinger jedenfalls gar nix. Spätestens nach dem dritten Mitwaschen kann man sie nicht mehr lesen (und rausnehmen vergisst man natürlich).

@warnochfrei Musst Du eigentlich immer für jeden Satz bzw. jedes Zitat einen neuen Beitrag erstellen? Das liest sich etwas „aufdringlich“!

 

[warnochfrei]

Musst Du eigentlich immer für jeden Satz bzw. jedes Zitat einen neuen Beitrag erstellen? Das liest sich etwas „aufdringlich“!

Es trägt zur Übersichtlichkeit bei, wenn jeder Beitrag in seinem eigenen Strang bleibt.

 

[Elys]

Es trägt zur Übersichtlichkeit bei, wenn jeder Beitrag in seinem eigenen Strang bleibt.

Ich empfinde genau das Gegenteil. Es wirkt zerrissen, aufdringlich und macht aus den Threads ellenlange Scrollorgien. Und man ist geneigt, einfach zu überspringen, wenn drei oder mehr Beiträge eines Nutzers direkt in einzelnen Postings aneinandergereiht sind. Weil‘s so a bissi nach Spam aussieht.

Zitate in einem Beitrag zusammenzufassen sorgt für Übersichtlichkeit und es bleibt obendrein kompakt. Und leserlich.

 

[warnochfrei]

Ich bin halt mit Newsgroups und ähnlichen Diskussionsplattformen aufgewachsen, die eine Baumstruktur hatten und haben. Dort war und ist es Usus, eben nicht mehrere Stränge gleichzeitig zu kommentieren, weil das tatsächlich die Übersicht zerstören würde. Es ergibt wenig Sinn, in einem Webforum anders zu verfahren.

 

[Elys]

Doch, ein Webforum ist anders, es wird anders wahrgenommen. Mehrere Postings in Folge eines Users wirkt eher wie ein Monolog.

Aus diesem und unter anderem dem o. g. Gründen wird das in Webforen eben so gemacht, mehrere Zitate in einem Beitrag zusammengenommen werden.

 

[uwolf]

Das Thema treibt mich auch schon eine Weile um.
Ich nutze seit Jahren mSecure auf dem Mac, iPhone, iPad

Für jeden Account habe ich ein anderes, meist generiertes PW.
Ich habe Anwendungsfelder die ich sortiert haben möchte, z.B. meine, Familie, Verein. D.h. sowas wie Tags, Kataloge usw. müssen sein.
Auch mehrere PW für eine Webseite (simples Beispiel: Router WLAN PW und Admin PW). Ich möchte hier nicht logisch getrennte Einträge.

Ich seht also, nicht die PW selber sondern die Metadaten zur Verwaltung sind für mich entscheidend.
Das geht beim Schlüsselbund nicht, oder ist mir da was entgangen?
Gibt es vielleicht eine 3. Anbieter App die das erleichtert oder möglich macht.

Ach ja, zum PW Leak:
Das ist i.d.R. nicht weil deine PW Datenbank gehackt wird sondern die Anbieter auf die Du dich einloggst.
Bei mir wird auch immer mal was geleakt, meist von Seiten die ich gar nicht mehr kenne.
Konsequenterweise sollte ich mich da abmelden, naja, sollte. Wenn man damit keine Waschmaschine kaufen kann, dann ignoriere ich das.

 

[gishmo]

Noch fataler ist das z.B Hersteller von drittanbieter Software alles darauf setzen ihre Kunden zu vergraulen und denen ihre Cloud am besten noch zusammen mit irgend einem beschissenen Abo aufzwingen.

Kontinuierliche Weiterentwicklung und zeitnahe Reaktionen auf Security Threats erfordert Man-Power und somit Geld. Von daher ist ein solches Abo-Model nicht verkehrt. Hinbesondere, da der Schaden erheblich höher sein kann, als die Abo-Gebühr.

Bei "anderen" Passwortmanagern die eine verschlüsselte Datenbank bei dir zu Haus auf dem Mac anlegen kann man mehr vertrauen haben als auf irgend einen Kram der ständig durch das Internet hin- und her synchronisiert wird.

Wenn es richtig designed ist, ist das völlig unkritisch. Dann sind das einfach wirre Zeichenketten, die ohne den entsprechen Access-Token wertlos sind. Die Speicherung sensibler & nicht wiederverstellbarer Daten zu Hause ist so etwas wie Russisch Roulette. Physikalische Ereignisse (Brand, Kurzschluss, etc.) können die Daten vernichten. Oder der User löscht die Daten aus Versehen ...

1Passwort z.B - ist (war) so ein Passwortmanager der auch über Import und Export der Datenbank von und mit dem anderer Manager abgleichbar ist.
Der bedient auch Firefox. Allerdings muss man wissen das die aktuellste Version ein Abomodell ist. UND deren Cloud nutzt.

Abgesehen davon das 1P 8 eine Elektron App ist, was eigentlich ein Honey-Pot für Trojaner ist, ist die Lösung von AgileBits sehr gut. Ich habe nachdem ich erfahren habe, dass 1P 8 Elektron basiert, nach einer alternative gesucht. Enpass, Lastpast, Dashlane, StronBox etc. getestet. Im Endeffekt geht nur StrongBox. Aber da finde ich (persönliche Meinung) die UI recht anstrengend ...

Das 1P eine eigene Cloud nutzt, empfinde ich als Vorteil. Da es sich hier um eine definierte & kontrollierte Laufzeitumgebung handelt

Im Schlüsselbund von Apple kann man nur bestimmte Informationen Speichern. Bei Passwort-Managern auch weitere Informationen, wie Lizenz-Keys, Sichere Notizen, etc.

 

[Mihahn]

Ich habe nachdem ich erfahren habe, dass 1P 8 Elektron basiert, nach einer alternative gesucht. Enpass, Lastpast, Dashlane, StronBox etc. getestet. Im Endeffekt geht nur StrongBox. Aber da finde ich (persönliche Meinung) die UI recht anstrengend ...

Nutzt KeepassXC wohl Electron? Bin mir da gerade nicht sicher, ich dachte eigentlich nicht.

Das 1P eine eigene Cloud nutzt, empfinde ich als Vorteil. Da es sich hier um eine definierte & kontrollierte Laufzeitumgebung handelt

Ist so lange ein Vorteil, bis diese "kontrollierte" Umgebung dann doch nicht mehr so kontrolliert ist, siehe LastPass.

Edit: Damit möchte ich nicht die Cloud an sich als schlecht darstellen; ich sehe aber das Risiko bei Passwortmanagern mit direkter Cloud Anbindung. Ich nutze selbst KeepassXC bzw. Keepassium und habe den (subjektiven) Eindruck von mehr Sicherheit. Die Passwortdatenbank kann man hier ja mit einem starken Passwort und einer zusätzlichen Schlüsseldatei sichern; wenn man dann die Datenbank in iCloud Drive legt (demnächst optional selbst Ende-zu-Ende verschlüsselt ist) und zusätzlich eine Schlüsseldatei nur lokal auf den Geräten ablegt, dann würde ich meinen, dass die Datenbank gut geschützt ist; da brauche ich keinen Passwortmanager mit Cloud, der sicherlich häufig gezielt angegriffen wird.

 

[warnochfrei]

Nutzt KeepassXC wohl Electron?

Nö.

 

[gishmo]

Ist so lange ein Vorteil, bis diese "kontrollierte" Umgebung dann doch nicht mehr so kontrolliert ist, siehe LastPass.

Dafür existiert das Konzept des Secret Key.