Matthias Apsel: Passwortmanager

Hallo alle,

gibt es Erfahrungen mit Passwortmanagern? Ich habe mir bitwarden angeschaut und bin damit zufrieden. Vor allem die Verfügbarkeit von Browser-Addons und Android-App ist in meinen Augen ein Pluspunkt. Noch habe ich nur einige Passwörter übertragen – deshalb:

Welche Passwortmanager verwendet ihr? Welche Erfahrungen möchtet ihr hier teilen?

Bis demnächst
Matthias

--
Du kannst das Projekt SELFHTML unterstützen,
indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.

akzeptierte Antworten

  1. Hallo,

    Welche Passwortmanager verwendet ihr? Welche Erfahrungen möchtet ihr hier teilen?

    ich verwende so etwas gar nicht. Ich wähle meine Kennwörter so, dass ich sie mir leicht merken kann, und gebe sie dann im Bedarfsfall manuell ein. Eine der wenigen Ausnahmen, wo ich das Kennwort nichts selbst bestimmen kann, ist die PIN für meine ec-Karte. Aber das sind zum Glück nur vier Ziffern, das schaffe ich gerade noch. 😉[1]

    Live long and pros healthy,
     Martin

    --
    Home is where my beer is.

    1. Vor einigen Jahren hatte ich tatsächlich mal die PIN 0815. Das konnte ich mir gut merken! ↩︎

    1. Hallo Der Martin,

      Ich wähle meine Kennwörter so, dass ich sie mir leicht merken kann,

      Wie steht es denn da mit der Sicherheit?

      Eine der wenigen Ausnahmen, wo ich das Kennwort nichts selbst bestimmen kann, ist die PIN für meine ec-Karte.

      Bei vielen(?), einigen(?) meiner Bank kann man seine PIN ändern.

      Bis demnächst
      Matthias

      --
      Du kannst das Projekt SELFHTML unterstützen,
      indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.
      1. Hallo Matthias,

        Ich wähle meine Kennwörter so, dass ich sie mir leicht merken kann,

        Wie steht es denn da mit der Sicherheit?

        nach den Maßstäben einer innerbetrieblichen DSGVO-Schulung, die wir jährlich wieder absolvieren dürfen (und die ich letzte Woche abgehakt habe) gut bis sehr gut.
        Ich habe meist Kennwörter mit 10 Stellen oder mehr, ein für Außenstehende wahlloser Mix aus Buchstaben (teils auch Umlauten), Ziffern und Interpunktionszeichen, und zumindest keine offensichtliche Regelmäßigkeit.

        Trotzdem steckt eine Systematik dahinter, damit ich mir das Zeug besser merken kann.

        Eine der wenigen Ausnahmen, wo ich das Kennwort nichts selbst bestimmen kann, ist die PIN für meine ec-Karte.

        Bei vielen(?), einigen(?) meiner Bank kann man seine PIN ändern.

        Schön für dich. 😀
        Ich kann das nicht, ich kriege sie fest zugeteilt. Nur die PIN fürs Onlinebanking (exakt 6 Stellen, nur Ziffern) kann ich selbst wählen.

        Live long and pros healthy,
         Martin

        --
        Home is where my beer is.
        1. Hallo Der Martin,

          Trotzdem steckt eine Systematik dahinter, damit ich mir das Zeug besser merken kann.

          Hoffentlich ist sie nicht so, dass man andere Passwörter erschließen kann, wenn man eins kennt.

          Es gab mal adminpasswörter in der Schule Passwort-Rechnername. Das ist natürlich genauso sinnvoll wie überall dasselbe Passwort zu verwenden.

          Bis demnächst
          Matthias

          --
          Du kannst das Projekt SELFHTML unterstützen,
          indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.
          1. Hallo,

            Trotzdem steckt eine Systematik dahinter, damit ich mir das Zeug besser merken kann.

            Hoffentlich ist sie nicht so, dass man andere Passwörter erschließen kann, wenn man eins kennt.

            eher nicht, glaube ich. Eher müsste man schon Erlebnisse oder Eindrücke aus meinem Leben kennen, die ich mit dem zu nutzenden Dienst in Verbindung bringe.

            Fiktives Beispiel: Passwort fürs Online-Management der KFZ-Versicherung

            1. Finde einen mäßig langen Satz, der mit dem Anbieter im Zusammenhang steht:
              Mein erstes eigenes Auto? Das war ein weißer 82'er Polo.

            2. Nimm die Anfangsbuchstaben aller Wörter, die Anfangsziffer aller Zahlen, und behalte alle Interpunktionszeichen:
              MeeA?Dwew8'P.

            3. Ersetze alle Buchstaben, denen ein e vorausgeht, durch eine zweistellige Zahl, die ihre Position im Alphabet wiedergibt (kein Problem, wenn man den ASCII-Code auswendig kennt):
              Me05A?Dwe228'P.

            4. Habe ich dieses Kennwort oft genug eingegeben, klappt es oft auch ohne die Merkhilfe, die als Einstieg diente.

            Chaotisch genug? 😀
            Wie gesagt: Es steckt ein System dahinter - entscheidend ist aber die Phrase, mit der ich in Schritt 1 beginne.

            Es gab mal adminpasswörter in der Schule Passwort-Rechnername. Das ist natürlich genauso sinnvoll wie überall dasselbe Passwort zu verwenden.

            Ja. Dann kann man's auch bleiben lassen.
            Auch Post-Its mit den Anmeldedaten, die am Rand des Monitors kleben, sieht man immer noch erschreckend oft.

            Live long and pros healthy,
             Martin

            --
            Home is where my beer is.
            1. Hallo Martin,

              ich verwende Keepass, und ich habe 3 dieser Archive für unterschiedliche Themen und mit unterschiedlichen Passwörtern, die von verschiedenen Leuten vergeben wurden. Ich habe im Büro an geeigneter Stelle eine Merkhilfe dafür. Im Homeoffice habe ich sie nicht, und ich komme bei zwei von den dreien zum Verrecken nicht mehr auf die richtige Eingabe. Ich weiß es ungefähr, aber nicht genau.

              Diese superschlauen Passwortableitregeln versagen bei mir regelmäßig, ohne Zettel bin ich verloren.

              correct horse battery staple - damit käme ich vielleicht klar, aber die meisten Systeme lehnen dieses geniale Verfahren ab.

              Rolf

              --
              sumpsi - posui - obstruxi
              1. Lieber Rolf,

                correct horse battery staple - damit käme ich vielleicht klar, aber die meisten Systeme lehnen dieses geniale Verfahren ab.

                viele Systeme haben auch Probleme, die eingerichteten Passwort-Policies korrekt zu prüfen. Ein 21 Zeichen langes PW, das sowohl Groß- als auch Kleinbuchstaben nebst Ziffern und Sonderzeichen besitzt, hat mir Windows (mit LDAP und AD) nicht als solches anerkannt. Das musste mir ein Admin am Telefon für mich einrichten! Daher schimpfe ich regelmäßig, wenn Systeme beim Einrichten eines Passwortes irgendwelche Einschränkungen machen.

                Liebe Grüße

                Felix Riesterer

              2. correct horse battery staple - damit käme ich vielleicht klar, aber die meisten Systeme lehnen dieses geniale Verfahren ab.

                Ups, ich hätte erstmal den gesamten Thread lesen sollen bevor ich nebenan den Comic verlinke 😂

          2. Aloha ;)

            Hoffentlich ist sie nicht so, dass man andere Passwörter erschließen kann, wenn man eins kennt.

            Es gab mal adminpasswörter in der Schule Passwort-Rechnername. Das ist natürlich genauso sinnvoll wie überall dasselbe Passwort zu verwenden.

            Ganz so stimmt das nicht. Das stimmt nur bei einem menschlichen Angreifer.

            Kontextualisierung bringt auch in Fällen, in denen die Kontextualisierung erschließbar ist, etwas:

            • ungesalzene Hashes können nicht einfach miteinander verglichen werden
            • vollautomatisierte Exploits sind erschwert bis unmöglich, weil für die korrekte Anwendung der Kontextualisierung ein Mensch mit beteiligt sein muss

            Wenn wir mal davon ausgehen, dass der Vorteil von kontextualisiertem, aber sonst gleichem Passwort, darin liegt, dass man es sich merken kann und es nirgends aufschreiben muss, sinkt dabei ja gleichzeitig die Wahrscheinlichkeit, dass der Zettel mit dem Passwort von einer Person gefunden und missbraucht werden kann.

            Es gilt wie immer: Sicherheit ist relativ.

            Wir sind uns einig, dass randomisierte, lange Passwörter die sicherste Alternative sind.

            Man darf aber nicht vergessen, dass das wieder einen Passwortmanager nötig macht, und eben das bringt halt auch wieder eigene Probleme mit sich:

            • die Suche nach einem geeigneten Passwortmanager
            • die Abhängigkeit vom Funktionieren und der Verfügbarkeit des Passwortmanagers (man stelle sich vor, man ist ohne eigenes Gerät irgendwo am Internet und muss dringend an was ran)
            • die extreme Bedeutung der Sicherheit des Passworts und der Schlüsseldatei, die im Passwortmanager verwendet wird

            Ein Beispiel, um zu verdeutlichen, wie Kontextualisierung hilft, wo der Passwortmanager versagt:

            Wir wollen mal annehmen, dass es einem Angreifer mit einer automatisierten Attacke möglich ist, ein Passwort abzugreifen. Verwendet man Kontextualisierung ist man trotzdem relativ sicher - das geleakte Passwort kann nicht verwendet werden, um direkten Zugriff überall zu erhalten. Verwendet man einen Passwortmanager und lange randomisierte Passwörter ist es nicht schlimm, wenn dieses eine Passwort geleakt wurde - außer eben es ist das Passwort, das einem Zugriff auf den Passwortmanager verschafft. Da Passwortmanager besonders interessante Ziele sind, kann man sich jetzt fragen, wie groß die Gefahr ist.

            Besser also, man verwendet einen Passwortmanager, der nur offline auf Geräten läuft, aber dann steht man halt wieder im Regen wenn man "von unterwegs aus" mal ein Passwort braucht und das Handy keinen Akku mehr hat. Oder was auch immer.

            Es lässt sich für alle Vorgehensweisen (vielleicht mit Ausnahme der Fähigkeit, sich lange randomisierte Passwörter einzeln zu merken - aber wer kann das schon) eine Situation konstruieren, in der man mit der selbstgewählten Methode erbärmlich baden geht.

            Will sagen: Es gibt, egal wie, keinen Königsweg, wenn es um Passwörter geht. In meinen Augen gibt es daher auch nicht die eine möglichst sichere oder möglichst richtige Art, mit Passwörtern umzugehen. Für viel wichtiger halte ich daher, dass man sich der Art, wie man mit Passwörtern umgeht, sehr bewusst ist, und weiß, welche Gefahren und Probleme die eigens gewählte Art, mit Passwörtern umzugehen, mit sich bringt, damit man in diesem Bewusstsein handeln kann.

            Grüße,

            RIDER

            --
            Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
            # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
            1. Lieber Camping_RIDER,

              Dein Posting schreit geradezu danach in einen Blogbeitrag gegossen zu werden... ;-P

              Liebe Grüße

              Felix Riesterer

              1. Hallo Felix Riesterer,

                Dafür. Ohne ;-p.

                Bis demnächst
                Matthias

                --
                Du kannst das Projekt SELFHTML unterstützen,
                indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.
                1. Aloha ;)

                  Dafür. Ohne ;-p.

                  Okayokay. Ich füttere mal meinen Todoist mit einem entsprechenden ToDo und schaue, was geht 😉

                  Ich hab schon viel zu lange nix mehr im Wiki beigetragen, und über IT-Sicherheit hab ich immerhin mal ne Vorlesung gehört 😜

                  Grüße,

                  RIDER

                  --
                  Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
                  # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
                  1. Hallo Camping_RIDER,

                    Ich hab schon viel zu lange nix mehr im Wiki beigetragen

                    Vielleicht ist das Blog tatsächlich der bessere Ort.

                    Bis demnächst
                    Matthias

                    --
                    Du kannst das Projekt SELFHTML unterstützen,
                    indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.
                    1. Aloha ;)

                      Ich hab schon viel zu lange nix mehr im Wiki beigetragen

                      Vielleicht ist das Blog tatsächlich der bessere Ort.

                      Da muss ich dich enttäuschen - ich werde aus prinzipiellen Gründen keinen Blog-Artikel schreiben. Das liegt unter anderem daran, dass ich die Idee eines Blogs für mich nicht passend finde.

                      Ich habe so wenig Zeit (übrig) - wenn ich was schreibe, dann soll es wenigstens einen dauerhaften Wert haben. Ein Blog-Artikel hat aber die Charakteristik, über die Zeit zu veralten - und für etwas, das dann bald wieder von gestern ist, ist mir meine Zeit zu schade. Es genügt, dass ich das hier im Forum ständig tu - was zu schreiben, was sich dann auch wieder nur ins Archiv einreiht.

                      Mit meinem Posting hier im Forum habe ich auch was geschaffen, was einerseits klar als meine Meinung gekennzeichnet ist, und was dann mit der Zeit veraltet. Wenn ich das nochmal aufbereite, dann in Form eines dauerhaft sinnvollen, objektiven Artikels, nicht in Form eines genauso, nur vielleicht nicht ganz so schnell, verblassenden Blogbeitrags.

                      Ich sehe, sozusagen, wenn, dann einen Grund, das von mir Gesagte auf ein objektiveres und dauerhaftes Level zu heben und dann erneut zu veröffentlichen (im Wiki), statt es auf dem selben Level erneut zu veröffentlichen (im Blog).

                      Es hat schon auch gute Gründe, warum ich in der Vergangenheit immer wieder die Sinnhaftigkeit des Blogs angezweifelt habe. Der eben genannte ist einer davon. Dass meine Zweifel am Blog nicht mehrheitsfähig sind, ist mir bewusst, und das ist auch okay so.

                      Grüße,

                      RIDER

                      --
                      Camping_RIDER a.k.a. Riders Flame a.k.a. Janosch Zoller
                      # Twitter # Steam # YouTube # Self-Wiki # Selfcode: sh:) fo:) ch:| rl:) br:^ n4:? ie:% mo:| va:) js:) de:> zu:} fl:( ss:) ls:[
        2. Ich wähle meine Kennwörter so, dass ich sie mir leicht merken kann,

          Wie steht es denn da mit der Sicherheit?

          nach den Maßstäben einer innerbetrieblichen DSGVO-Schulung, die wir jährlich wieder absolvieren dürfen (und die ich letzte Woche abgehakt habe) gut bis sehr gut.
          Ich habe meist Kennwörter mit 10 Stellen oder mehr, ein für Außenstehende wahlloser Mix aus Buchstaben (teils auch Umlauten), Ziffern und Interpunktionszeichen, und zumindest keine offensichtliche Regelmäßigkeit.

          Trotzdem steckt eine Systematik dahinter, damit ich mir das Zeug besser merken kann.

          XKCD Comic zur Passworstärke

          Quelle: https://xkcd.com/936/

  2. Lieber Matthias,

    Welche Passwortmanager verwendet ihr? Welche Erfahrungen möchtet ihr hier teilen?

    da mir völlig unklar bleibt, wie ich einen solchen Manager auf verschiedenen Geräten mit unterschiedlichen OS verwenden können soll, bleibe ich bei meinem System mit dem einen starken kontextualisierten Passwort, auch wenn man von einem einmal bekannten auf meine anderen schließen könnte. Aber bei vielen Web-Sachen verwende ich schwache Passwörter, da es bei diesen überhaupt nicht auf Sicherheit ankommt.

    Liebe Grüße

    Felix Riesterer

    1. Hallo Felix,

      da mir völlig unklar bleibt, wie ich einen solchen Manager auf verschiedenen Geräten mit unterschiedlichen OS verwenden können soll […]

      Mit KeePassXC geht das, das ist unter Linux, macOS und unter Windows lauffähig. Bei der Verwendung verschiedener Geräte muss man halt lediglich für die Synchronisierung der Passwortdatei sorgen (Syncthing oder die eigene Nextcloud). Für Android gibt es auch KeePass-kompatible Apps.

      Aber bei vielen Web-Sachen verwende ich schwache Passwörter, da es bei diesen überhaupt nicht auf Sicherheit ankommt.

      Mir wäre es zu viel Aufwand, jedes Mal bewerten zu müssen, ob das nun kritisch ist oder nicht. Ich vergebe mittlerweile einfach überall im Web 20-stellige, zufällig generierte Passwörter.

      Gruß
      Julius

      1. Hallo Julius,

        Mir wäre es zu viel Aufwand, jedes Mal bewerten zu müssen, ob das nun kritisch ist oder nicht. Ich vergebe mittlerweile einfach überall im Web 20-stellige, zufällig generierte Passwörter.

        Auf dem Weg bin ich auch.[1] Und nach einer Woche mit bitwarden bin ich mit den Apps und Browseraddons sehr zufrieden.

        Bis demnächst
        Matthias

        --
        Du kannst das Projekt SELFHTML unterstützen,
        indem du bei Amazon-Einkäufen Amazon smile (Was ist das?) nutzt.

        1. Ich hab aus Versehen 23 eingestellt. ↩︎

  3. Welche Passwortmanager verwendet ihr?

    Eigentlich gar keinen, weil ich mit solchen nicht wirklich beliebige Daten speichern kann.

    Aber ich habe ccencrypt, ccdecrypt (ccrypt) und meine kleine Ergänzung ccless und eine einfache Textdatei auf dem ohnehin verschlüsseltem Dateisystem im Einsatz.