Passwörterverwaltung - was spricht gegen ein verschlüsselte ZIP Datei?

[BalthasarBux]

obald Du ein Masterpasswort eingibst sind alle Informationen im Hauptspeicher vorhanden, die zur Entschlüsselung der gesamten Datenbank notwendig sind.

Entschlüssele ich eine Passwortmanager-Datenbank, gibt es die Informationen zur Entschlüsselung, die im besten Fall gehashed sind und es erschweren bis unmöglich machen, diese herauszufinden. Natürlich braucht man dafür Admin-Zugriff aufs Gerät. Zusätzlich sollten die von mir genutzten Zugänge kurz- bis mittelfristig im RAM sein, aber nicht meine komplette Datenbank. Natürlich sind nicht alle Passwortmanager so gut. Eine geöffnete ZIP ist da mit Sicherheit weniger geschützt, aber da lass ich mich gern eines besseren belehren.

Mir ging es aber um die anderen Varianten, ohne Zugriff auf den RAM (oben war ich wohl noch verpennt). Ein Sparsebundle ist geöffnet doch ein Laufwerk, das im System eingebunden ist? Während das gemountet ist, kann alles und jeder auf die Dateien zugreifen, kopieren etc. Es ist dann nichts anderes als ein Ordner, in dem unverschlüsselt meine Passworte liegen, oder lieg ich da falsch? Wenn ich einen Passwortmanager entschlüssele, ist die Datei weiter verschlüsselt.

Aber ich kenn auch Leute, die ihre Logins in einer unverschlüsselten Word-Datei haben. Seit Jahren. Die fahren damit problemlos. Die könnten auch ein Sparsbundle nehmen. Wenn niemand den Rechner angreift, man sich nichts gefährliches runterlädt und auf keine Links klickt, kann das auch klappen.

Wenn ich aber schon einen Aufriss mit meinen Passworten mache, dann soll das ja zielgerichtet bequem sein. Alle anderen Lösungen haben eine zweifelhafte Sicherheit und sind auf jeden Fall unbequemer als ein Passwortmanager. Und wenn ich keine Lust auf problematische Geschäftsgebahren habe, dann nehme ich KeePass. Die Datenbank bleibt immer gleich, auch wenn sich die Manager ändern. Wenn KeePass nicht gefällt, nehme ich KeePass XC oder MacPass usw. Jedes Mal entfällt der nervige Ex-/Import der Datenbankinhalte.

 

[Snyder]

Es gibt auch ch Passwortmanager, die überhaupt keine Passwörter abspeichern bis auf das Masterpasswort des Accounts. Alles andere wird on the fly errechnet. War bei mir bisher die Masterpassword App. Hat der Entwickler neu gemacht als „Spectre“ für ios, ist leider etwas teuer mit Abo geworden und hässlicher. Ist neben Schlüsselbund mein Standard an Mac und Handy.

 

[Franken]

Vielen Dank für die vielen Hinweise und Tipps.

Was ich nicht verstehe:
- wenn ich eine Tabelle öffne, dann gelangt sie in den RAM

• und kann dort wie ausgelesen werden?
• verbleibt wie lange dort?
• wird gelöscht / nicht gelöscht beim Ausschalten des Rechners?

- und bei PW Manager Software ist das nicht der Fall - richtig?

Und ihr meint, diese Firma keepass wäre seriös und vertrauenswürdig?
Ehrlich, wenn ich deren Webseite sehe, dann vertraue ich denen nicht mal meine Quittung aus der Bäckerei an.

Und dann die Frage:
Wie sicher sind denn nun PassWord-Browsererweiterungen?
Mein Wissensstand ist: Finger weg, weil eben unsicher

 

[rudluc]

Was spricht gegen diese Möglichkeit, Passwörter in einer Tabelle, die in einer verschlüsselten ZIP Datei auf iCloud liegt, abzulegen?*

Die Umständlichkeit der Bedienung spricht dagegen. Die Sicherheit einer AES-256 Verschlüsselung ist bestimmt sehr gut, aber wenn ich mir vorstelle, dort Passwörter nachzusehen oder zu ergänzen, dann finde ich ein solches Vorgehen unpraktikabel.

 

[mägger]

Ich verwende den Notizblock und verschlüssele die Datei. Einziger Punkt, der zu beachten ist: am besten geht es mit der Funktion Tabelle, übersichtich formatiert. Aber ich hatte schon Datenverluste, wenn die Geräte, die die Datei öffnen, unterschiedlich alte Betriebssysteme hatten. Das habe ich ausschliesslich bei geschützten Tabellen erlebt, scheint aber ein ernsthafterer Bug zu sein.

Alternativ OneNote, nartürlich auch mit passwortgeschütztem Zettel, geht auf iOS, Mac und Win. Wahrscheinlich auch Android

 

[rudluc]

Und ihr meint, diese Firma keepass wäre seriös und vertrauenswürdig?
Ehrlich, wenn ich deren Webseite sehe, dann vertraue ich denen nicht mal meine Quittung aus der Bäckerei an.

Ich habe wenig Erfahrung mit KeePass, aber das ist ein schon sehr lange bestehendes OpenSource-Produkt, welches (nicht nur) von der Linux-Gemeinde sehr oft genutzt wird, eben weil man den Quelltext einsehen und die Vertrauenswürdigkeit überprüfen kann.
Außerdem speichert es die Datenbank lokal und verschlüsselt ab.
Mir persönlich ist es im Rohzustand zu unkomfortabel und die Erweiterungen durch Drittanbieter sind dann oft auch nicht mehr OpenSource.

 

[BalthasarBux]

Und ihr meint, diese Firma keepass wäre seriös und vertrauenswürdig?
Ehrlich, wenn ich deren Webseite sehe, dann vertraue ich denen nicht mal meine Quittung aus der Bäckerei an.

KeePass ist keine Firma. Es ist ein Opensource-Projekt. Man muss nicht vertrauen, weil der Code offen einsehbar ist und die Verschlüsselung als einwandfrei gilt.
Ich würde nicht KeePass nutzen, sondern KeePassXC. Das ist wesentlich komfortabler, aber seine Freiheit von irgendwelchen Firmen erkauft man sich immer dadurch, dass es etwas weniger Komfort hat. Aber KeePassXC kann eigentlich alles, was man so braucht. Vorteil an der kdbx-Datenbank: Man kann diverse Programme nutzen und dabei die Datenbank behalten.
Wenn du nur nach Optik gehst, dann hol dir halt das optisch ansprechendste und gut ist. Ganz ehrlich: Weil jemand wenig Energie in eine Webseite setzt (ist keine Firma, keine Gewinne, ehrenamtliche Arbeit in der Freizeit), dann vertraust du dem Produkt weniger? Und im Gegenzug wäre ein Produkt super, wenn die Webseite sehr toll und shiny ist und man alles Geld in PR, aber keins in eigentliche Sicherheit gesteckt hat?

Wie sicher sind denn nun PassWord-Browsererweiterungen?

Das kommt drauf an. Was ist dein Betriebssystem. Wie aktuell ist es? Welches Patchlevel hat es? Ist das Programm aktuell? Ist die Erweiterung aktuell? Ist der Browser aktuell? Welchen Browser nutzt du? Ist das Programm und die Erweiterung sauber programmiert? Das ist nicht automatisch als "unsicher" oder "sicher" zu bewerten, aber es gab bei ein paar Managern nachgewiesene Schwachstellen, zu denen du bestimmt was im Netz findest.

 

[Cherusker]

Was ich nicht verstehe:
- wenn ich eine Tabelle öffne, dann gelangt sie in den RAM

• und kann dort wie ausgelesen werden?
• verbleibt wie lange dort?
• wird gelöscht / nicht gelöscht beim Ausschalten des Rechners?

Was im RAM ist, wird gelöscht, sobald der Rechner heruntergefahren und ausgeschaltet wird. Ausgeschaltet!!! Nicht Bereitschafts- oder Schlafmodus! Dann wird der RAM-Inhalt oft auf der Festplatte abgespeichert und nach Aufwachen aus diesem wiederhergestellt.

- und bei PW Manager Software ist das nicht der Fall - richtig?

Passwort-Manager haben zusätzliche Sicherheitsmechanismen. Zum Beispiel müssen Benutzername und Passwort ja irgendwie vom Passwort-Manager in die Eingabefelder (z.B. ein Login auf einer Webseite) gelangen. Das erfolgt über die Zwischenablage. Gute Passwort-Manager löschen die aber so schnell wie möglich oder nach einer einstellbaren Zeit wieder, damit andere Programme nur ein kleines Zeitfenster haben, die Zugangsdaten abzufischen.

Wenn Du jedoch so einen Trojaner auf Deinem System hast oder jemand per Fernwartung sehen kann, was auf Deinem Rechner passiert, ist auch ein Passwort-Manager schnell am Ende. Eine Excel-Datei ist aber viel eher am Ende.

Und ihr meint, diese Firma keepass wäre seriös und vertrauenswürdig?
Ehrlich, wenn ich deren Webseite sehe, dann vertraue ich denen nicht mal meine Quittung aus der Bäckerei an.

Lass Dich nicht vom Erscheinen einer Website blenden. Hinter vielen Webseiten, die "professionell" wirken, steckt nur heiße Luft. Hinter KeePass steckt keine Firma. Das hat eine Privatperson entwickelt. Der Quellcode ist aber offen. Deshalb gibt es auch eine so lange Liste von Programmen, die mit dem gleichen Datenformat umgehen können. Außerdem ist KeePass zigfach von namhaften Experten und Zeitschriften getestet. Das ist keine Software von einem Hobby-Programmierer. Auch wenn das ein privates Projekt ist, der Dominik Reichl weiß, was er tut!

Weil es aber so viele Programme gibt, die mit den KeePass-Dateien umgehen können, ist auch eine gute Auswahl dieser Prgramme wichtig. Die denen ich vertraue, habe ich genannt. Ein Passwort-Manager darf kein Tracking, Monitoring oder sonstiges Logging enthalten. Auch darf er selbst nicht in der Lage sein, eine Internetverbindung aufzubauen. Er darf nur bestehende Verbindungen nutzen (z.B. die WebDAV-Connection zu meinem Cloud-Speicher). Dazu ist dessen Aufgabe zu kritisch.

Und dann die Frage:
Wie sicher sind denn nun PassWord-Browsererweiterungen?
Mein Wissensstand ist: Finger weg, weil eben unsicher

Browsererweiterungen haben recht weitgehenden Zugriff auf alles im Browser. Vor einigen Jahren wurde bekannt, dass das AddOn World of Trust (kurz: WoT) vorgegeben hat, für mehr Privatsphäre zu sorgen, sich selbst aber an den Daten bedient hat, die vor anderen Webseiten verborgen werden sollten. Dehalb würde ich von Browser-PlugIns abraten. Bei KeePass, KeePassXC, Keepassium wird kein Browser-PlugIn benötigt. Es reicht, den Cursor ins Eingabefeld für den Benutzernamen zu setzen, die entsprechende Anwendung für die KeePass-Dateien in den Vordergrund zu holen und Autofill starten. Nur bei den neuen Logins, die die Felder für Benutzername und Passwort getrennt anzeigen, funktioniert das nicht immer. Dann muss man eben Benutzername und Passwort getrennt über die Zwischenablage kopieren. Das ist nicht ganz so bequem, aber auch nur eine Sache von weniger als 5 Sekunden und einfacher (von sicherer ganz zu schweigen) als eine Excel-Datei.

 

[Franken]

@rudluc @Cherusker @BalthasarBux
Vielen Dank für Eure ausführlichen und gut verständlichen Infos.
Sorry, wenn ich hier meine Nase über KeePass gerümpft habe. Kannte es nicht und wusste auch nichts darüber. So auf den erste Blick war es für mich eben nicht sonderlich seriös.
Dann hole ich das mir mal und probiere es aus.

 

[BEASTIEPENDENT]

Sorry, wenn ich hier meine Nase über KeePass gerümpft habe. Kannte es nicht und wusste auch nichts darüber. So auf den erste Blick war es für mich eben nicht sonderlich seriös.

Kein Problem! ;-)

PS: Wie man auf Firma kommen konnte, obwohl auf der ersten Seite schon OpenSource steht und kein Preis/Preise/Pricing/Kaufen etc., ist trotzdem noch unklar. ;-)


Aber: Der Look der Keepass-Website ist doch Aqua, den bekam MacOS X, als ich mit Macs anfing, ich finde den wunderschön und habe den waagerichten Linien lange hinterhergetrauert… :-D

 

[mausfang]

Fast nur? *scnr*

Naja, nur, weil etwas möglich ist, ist es nicht zwangsläufig gut.

Und was ist daran schlecht?

Edit: OK, wurde später im Thread ausführlich behandelt.

 

[JARVIS1187]

Ich denke, dazu wurde bereits einiges hier im Thema gesagt.

Und die Aussage von mir war eher als allgemein zu betrachten

 

[Franken]

KeePassXC hab ich mal probiert.
Von Dashlane hab ich die PWs exportiert und in KeePassXC importiert.

Die Zuordnungen waren falsch.
Die PWs war offen zu sehen und die URLs wurden verschlüsselt dargestellt.
Dann musste ich alle per Hand einzeln löschen.

Wenn ich das richtig sehe, dann muss ich alle per Hand übertragen.

Und ich wollte das ganze auf dem iPhone und -pad auch haben.
Es gibt zwar eine Seite mit Downloads, aber da weiß ich nicht, welche ich da nehmen soll
https://keepass.info/download.html

Kann ich die denn synchronisieren lassen zwischen Mac und iPhone?

 

[BalthasarBux]

Ich hab auch mal knapp 500 per Hand übertragen …
Gut, um mal auszumisten

Gut (und kostenpflichtig) sind KeePassium und Strongbox.
Um den Sync musst du dich selbst kümmern. WebDAV oder irgendein Cloudanbieter deiner Wahl (der unterstützt wird).

 

[Cherusker]

Und ich wollte das ganze auf dem iPhone und -pad auch haben.
Es gibt zwar eine Seite mit Downloads, aber da weiß ich nicht, welche ich da nehmen soll
https://keepass.info/download.html

Ich habe mehrere Apps ausprobiert. KyPass, Strongbox und KeePassium sind meine Favoriten. Ich bin bei KeePassium geblieben.

Kann ich die denn synchronisieren lassen zwischen Mac und iPhone?

Das synchronisieren mache ich auf dem iPhone und iPad mit FileBrowser Pro. Den Mac lasse ich zur Zeit direkt auf den WebDAV-Space zugreifen.

 

[KOJOTE]

Und ich wollte das ganze auf dem iPhone und -pad auch haben.

Falls es noch nicht genannt wurde: enpass.io
Läuft auf macOS, iOS, iPadOS
Zwischendurch nervte mich deren Update-Praxis gewaltig, da ich aber ne Lifetime-Garantie habe und die App noch für knapp 7€ erwerben konnte, bin ich soweit zufrieden.
Abstürze usw. hatte ich so weit ich mich erinnern kann noch nie.

 

[BalthasarBux]

Enpass würde ich nicht mehr nutzen (mach ich auch nicht mehr ). Die haben schon mehrere Bezahlmodell-Wechsel hinter sich und es ging dann immer fix, dass man erst Lifetime-Pro war, aber plötzlich gab es Premium. Da würde es mich nicht überraschen, wenn plötzlich Pro+, Premium+ oder andere Namen mit neuen Features extra kosten. Mit Keepass ist man gegenüber solchen Gebahren auf der sichereren Seite.

 

[Franken]

Vielen Dank.

Auweia - die Bewertungen von 1Password und enpass auf dem AppStore sind ja sehr schlecht.

 

[Peacekeeper]

Auweia - die Bewertungen von 1Password und enpass auf dem AppStore sind ja sehr schlecht.

Wobei ich das bei 1Password eher als unfair empfinde. Die haben ihre Lizenzen nie als „Lifetime“ beworben und die Upgrades gab es von 1Password 3-6 kostenlos. Zusätzlich haben die einen tollen und aufmerksamen Support.

 

[Snow Apple]

Safein Cloud (nicht vom Namen verwirren lassen, geht auch lokal,…) wird gerne vergessen. Einwandfreier Import, sehr zuverlässig, kein Abo, einmalig ca. 8 €. Gibt wohl Leute, die es aufgrund der Herkunft „Russland“ und „Closed Source“ (wobei Enpass das auch ist) verteufeln. So haben sie es mir auch vermiest Aber die Bewertungen im App Store sprechen für sich.