Passwort Management - Sinn/Unsinn & Empfehlungen - Forum - Page 35

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

17.02.2021 - 10:26

Dashlane ist auch spitze. Allerdings nicht super-preiswert.

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12682

17.02.2021 - 10:36

Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50489

17.02.2021 - 10:43

Zitat aus einem Post von rad1oactive
Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder.

nur unter iOS

Ich komm mit KeePass privat und beruflich (dort aber um den pleasent server) sehr gut zurecht. Werde aber mal auf KeePassXC umsteigen

kleinerChemiker

Here to stay

Registered: Feb 2002
Location: Wien
Posts: 4308

17.02.2021 - 11:06

Ich finde auch, dass Keepass sehr gut im Handling ist. Es stimmt aber schon, dass es ein wenig mehr Aufwand bereitet, da man sich auch um die Plugins kümmern muss. Dafür ist es sehr flexibel.

Ich hab auch schon überlegt auf KeePassXC umzusteigen, allerdings nur auf den privaten Rechnern. Aber da KeePass probemlos funktioniert, konnte ich mich noch nicht dazu aufraffen, das mal durchzuziehen

.Gh#Z7

Addicted

Registered: May 2005
Location: AdW
Posts: 562

17.02.2021 - 11:38

Ich verwende die Einzel/Premium Lizenz von Bitwarden, werde jetzt eine Familie 'gründen'. Für einige Sachen die ich auch nicht in Bitwarden/Cloud haben will, verwende ich noch KeepassXC lokal.

Gibts bei Bitwarden eine Option Passwörter außerhalb von Familien/Orgs zu sharen? Mit 6 Personen kommen wir in der Familie nicht aus, bei LastPass war das Sharing per Mail regelmäßig im Einsatz. Eine Orga Lizenz ist dann auch wieder overkill, brauchen kein Storage/komplexere Berechtigungen/....

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

17.02.2021 - 11:47

Bitwarden kann man btw. auch selbst hosten. Ist die preferred PW-Management-Lösung bei uns in der Firma.

https://github.com/dani-garcia/bitwarden_rs

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12696

17.02.2021 - 11:50

Zitat aus einem Post von rad1oactive
Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder.

wie gesagt bisher hab ich nur unter iOS keinen wirklich guten gratisclient gefunden. vielleicht reicht dir aber eh die light variante auch schon. schaus dir mal an.

unter mac/linux/android/win hab ich über freie open source clients laufen.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50489

17.02.2021 - 11:50

Ich hab mir Passbolt mal angesehen - ist auch gratis und selfhosted.
Fand ich für mich aber nicht so komfortabel wie Keepass

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2570

17.02.2021 - 13:56

Zitat aus einem Post von Bender
Spricht eigentlich irgendwas sicherheitstechnisches gegen den PW Manager vom Firefox, abgesehen von der schwachen Portierbarkeit ?
Die meisten Zugänge sind eigentlich eher unkritisch falls "geknackt" und den Bankzugang hab ich im Kopf.
Bin da absolut nicht am Laufenden.

Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden).

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12682

17.02.2021 - 13:57

Zitat aus einem Post von Master99
wie gesagt bisher hab ich nur unter iOS keinen wirklich guten gratisclient gefunden. vielleicht reicht dir aber eh die light variante auch schon. schaus dir mal an.

unter mac/linux/android/win hab ich über freie open source clients laufen.

Okay, danke, muß ich mir mal anschauen, hab einen Mix aus pc/mac/Android/iOS daheim.

Mr. Zet

Vereinsmitglied
resident spacenerd

Registered: Oct 2000
Location: Edge of Tomorrow
Posts: 12055

18.02.2021 - 10:15

Zitat aus einem Post von schizo
Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden).

Wie aktuell ist diese Info? Bezieht sich das noch auf den alten "simplen" Password Manager von Firefox? Oder gilt das auch noch für Firefox Lockwise?

EDIT:
scheint etwas umstritten zu sein:

Is Firefox's Lockwise secure?

I have lot's of passwords saved in Firefox Password Manager, now called Lockwise. I recently installed Opera Browser on my machine. It somehow managed to import all the history-data and form fields...

Link: security.stackexchange.com

Guest

Deleted User

Registered: n/a
Location:
Posts: n/a

18.02.2021 - 15:33

Zitat aus einem Post von schizo
Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden).

Danke. Die paar wirklich "kritischen" Passwörter hab ich vorerst raus genommen.

Snoop

Here to stay

Registered: Jun 2002
Location: Gablitz
Posts: 1092

18.02.2021 - 16:50

also bei bitwarden gibt es allerdings eine sache, die mir weniger gefällt. Es hat mir zwar den Arsch gerettet, aber eigentlich uncool.
Wenn du 2FA hast und dein handy geht ein und du hast keine möglichkeit deinen google authenticator code zu recovern, kannst du dir aus der db von bitwarden (wenn selbstgehostet) den recoverykey auslesen.
Prinzipiell braucht es da schon viel, damit jemand root access auf die instanz hat, ist aber imho trotzdem eher kritisch zu betrachten.

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50489

18.02.2021 - 16:59

warum liegt der dort im klartext?

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2570

18.02.2021 - 19:23

Zitat aus einem Post von Mr. Zet
Wie aktuell ist diese Info? Bezieht sich das noch auf den alten "simplen" Password Manager von Firefox? Oder gilt das auch noch für Firefox Lockwise?

Lockwise dient nur zur Synchronisierung der Passwörter über die Cloud, in der die Passwörter _auch_ gespeichert werden. Diese werden nach wie vor zusätzlich auf den jeweiligen Devices gespeichert. Die Verschlüsselung von Lockwise selbst ist auch brauchbar, die lokale nur bedingt, da diese nur gegeben ist wenn ein Master Passwort gesetzt ist. In diesem Fall wird mit einem veralteten, die nächsten Jahre aber vermutlich noch halbwegs sicherem Algorithmus verschlüsselt. Das Master Passwort selbst wird aber nur mittels SHA1 gehasht (1 Iteration) und ist daher auch als unsicher anzusehen.

Ein weiteres Problem an im Browser integrierten Passwortmanagern ist der Autofill, der im Gegensatz zu externen Lösungen keine Benutzerinteraktion erfordert (insofern dieser konfiguriert ist). Der Source Code von Webseiten kann einfach abgeändert werden, sodass ausgesternderlnte Passwörter bei lokalem Zugriff leicht im Klartext darstellbar sind.

Bearbeitet von schizo am 18.02.2021, 19:31

Guest Deleted User Registered: n/a Location: Posts: n/a	17.02.2021 - 10:26 Dashlane ist auch spitze. Allerdings nicht super-preiswert.
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12682	17.02.2021 - 10:36 Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50489	17.02.2021 - 10:43 Zitat aus einem Post von rad1oactive Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder. nur unter iOS Ich komm mit KeePass privat und beruflich (dort aber um den pleasent server) sehr gut zurecht. Werde aber mal auf KeePassXC umsteigen
kleinerChemiker Here to stay Registered: Feb 2002 Location: Wien Posts: 4308	17.02.2021 - 11:06 Ich finde auch, dass Keepass sehr gut im Handling ist. Es stimmt aber schon, dass es ein wenig mehr Aufwand bereitet, da man sich auch um die Plugins kümmern muss. Dafür ist es sehr flexibel. Ich hab auch schon überlegt auf KeePassXC umzusteigen, allerdings nur auf den privaten Rechnern. Aber da KeePass probemlos funktioniert, konnte ich mich noch nicht dazu aufraffen, das mal durchzuziehen
.Gh#Z7 Addicted Registered: May 2005 Location: AdW Posts: 562	17.02.2021 - 11:38 Ich verwende die Einzel/Premium Lizenz von Bitwarden, werde jetzt eine Familie 'gründen'. Für einige Sachen die ich auch nicht in Bitwarden/Cloud haben will, verwende ich noch KeepassXC lokal. Gibts bei Bitwarden eine Option Passwörter außerhalb von Familien/Orgs zu sharen? Mit 6 Personen kommen wir in der Familie nicht aus, bei LastPass war das Sharing per Mail regelmäßig im Einsatz. Eine Orga Lizenz ist dann auch wieder overkill, brauchen kein Storage/komplexere Berechtigungen/....
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	17.02.2021 - 11:47 Bitwarden kann man btw. auch selbst hosten. Ist die preferred PW-Management-Lösung bei uns in der Firma. https://github.com/dani-garcia/bitwarden_rs
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12696	17.02.2021 - 11:50 Zitat aus einem Post von rad1oactive Ok. Also keepass is eigentlich gratis, aber um eine angenehme UE zu haben, muss man zu gewissen clients greifen, die kosten dann auch wieder. wie gesagt bisher hab ich nur unter iOS keinen wirklich guten gratisclient gefunden. vielleicht reicht dir aber eh die light variante auch schon. schaus dir mal an. unter mac/linux/android/win hab ich über freie open source clients laufen.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50489	17.02.2021 - 11:50 Ich hab mir Passbolt mal angesehen - ist auch gratis und selfhosted. Fand ich für mich aber nicht so komfortabel wie Keepass
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2570	17.02.2021 - 13:56 Zitat aus einem Post von Bender Spricht eigentlich irgendwas sicherheitstechnisches gegen den PW Manager vom Firefox, abgesehen von der schwachen Portierbarkeit ? Die meisten Zugänge sind eigentlich eher unkritisch falls "geknackt" und den Bankzugang hab ich im Kopf. Bin da absolut nicht am Laufenden. Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden).
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12682	17.02.2021 - 13:57 Zitat aus einem Post von Master99 wie gesagt bisher hab ich nur unter iOS keinen wirklich guten gratisclient gefunden. vielleicht reicht dir aber eh die light variante auch schon. schaus dir mal an. unter mac/linux/android/win hab ich über freie open source clients laufen. Okay, danke, muß ich mir mal anschauen, hab einen Mix aus pc/mac/Android/iOS daheim.
Mr. Zet Vereinsmitglied resident spacenerd Registered: Oct 2000 Location: Edge of Tomorrow Posts: 12055	18.02.2021 - 10:15 Zitat aus einem Post von schizo Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden). Wie aktuell ist diese Info? Bezieht sich das noch auf den alten "simplen" Password Manager von Firefox? Oder gilt das auch noch für Firefox Lockwise? EDIT: scheint etwas umstritten zu sein: Is Firefox's Lockwise secure? I have lot's of passwords saved in Firefox Password Manager, now called Lockwise. I recently installed Opera Browser on my machine. It somehow managed to import all the history-data and form fields... Link: security.stackexchange.com
Guest Deleted User Registered: n/a Location: Posts: n/a	18.02.2021 - 15:33 Zitat aus einem Post von schizo Ja! Passwörter können im Firefox (oder anderen Browsern) relativ einfach ausgelesen werden, sobald persönlicher Zugang zum Gerät vorhanden ist (auch wenn diese mit Masterpasswort verschlüsselt werden). Danke. Die paar wirklich "kritischen" Passwörter hab ich vorerst raus genommen.
Snoop Here to stay Registered: Jun 2002 Location: Gablitz Posts: 1092	18.02.2021 - 16:50 also bei bitwarden gibt es allerdings eine sache, die mir weniger gefällt. Es hat mir zwar den Arsch gerettet, aber eigentlich uncool. Wenn du 2FA hast und dein handy geht ein und du hast keine möglichkeit deinen google authenticator code zu recovern, kannst du dir aus der db von bitwarden (wenn selbstgehostet) den recoverykey auslesen. Prinzipiell braucht es da schon viel, damit jemand root access auf die instanz hat, ist aber imho trotzdem eher kritisch zu betrachten.
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50489	18.02.2021 - 16:59 warum liegt der dort im klartext?
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2570	18.02.2021 - 19:23 Zitat aus einem Post von Mr. Zet Wie aktuell ist diese Info? Bezieht sich das noch auf den alten "simplen" Password Manager von Firefox? Oder gilt das auch noch für Firefox Lockwise? Lockwise dient nur zur Synchronisierung der Passwörter über die Cloud, in der die Passwörter _auch_ gespeichert werden. Diese werden nach wie vor zusätzlich auf den jeweiligen Devices gespeichert. Die Verschlüsselung von Lockwise selbst ist auch brauchbar, die lokale nur bedingt, da diese nur gegeben ist wenn ein Master Passwort gesetzt ist. In diesem Fall wird mit einem veralteten, die nächsten Jahre aber vermutlich noch halbwegs sicherem Algorithmus verschlüsselt. Das Master Passwort selbst wird aber nur mittels SHA1 gehasht (1 Iteration) und ist daher auch als unsicher anzusehen. Ein weiteres Problem an im Browser integrierten Passwortmanagern ist der Autofill, der im Gegensatz zu externen Lösungen keine Benutzerinteraktion erfordert (insofern dieser konfiguriert ist). Der Source Code von Webseiten kann einfach abgeändert werden, sodass ausgesternderlnte Passwörter bei lokalem Zugriff leicht im Klartext darstellbar sind. Bearbeitet von schizo am 18.02.2021, 19:31

Passwort Management - Sinn/Unsinn & Empfehlungen

Forum Index > Software > Applications, Apps & Drivers

Guest

rad1oactive

Viper780

kleinerChemiker

.Gh#Z7

Obermotz

Master99

Viper780

schizo

rad1oactive

Mr. Zet

Guest

Snoop

Viper780

schizo