Ich verwende einen eigenständigen PW-Manager, nämlich KeepassX.
Warum nicht den des Desktops? - Für mich ist die Portabilität über Desktops und OS hinweg wichtig. Z.B. läuft mein Arbeitsrechner mit Windows und ich habe während meiner Linux-Zeit schon den Desktop gewechselt. Von daher ist ein Multiplattformprogramm wie Keepass(X) dann die konservative Wahl. Auch die Bedienung bleibt somit immer gleich.
Aus dem selben Grund verwende ich z.B. auch Thunderbird und nicht den Mailer des DE.
Habs mir mal kurz angeschaut. Ich persönlich finde das Konzept eher zwiespältig...
With pass, each password lives inside of a gpg encrypted file
Bis hierhin ok, ist ein guter Ansatz, auf bewährte Tools zu setzen, statt komplexe Kryptografie selbst zu implementieren.
whose filename is the title of the website or resource that requires the password.
DAS finde ich allerdings nicht gut. Man kann also, wenn man Zugriff auf das Verzeichnis erlangt, herausfinden, wo ein Pass-Nutzer überall Accounts hat. Zwar fehlt noch Benutzername und Passwort, aber allein die hinterlegten Accounts sagen eine Menge aus. Z.B. wenn eine Polizeibehörde Dich als Hacker verdächtigt, sind schon diverse Accounts bei einschlägigen Websites Indiz genug. Die Passwörter selbst mögen dann sicher sein, aber die Indizien sprechen trotzdem gegen Dich.
OK, man kann natürlich das gesamte Verzeichnis wiederum in ein GPG-File packen, aber funktioniert das dann direkt mit Pass?
Also ich finde den Ansatz von Keepass, alles, also auch Accountinformationen, zu verschlüsseln per default sinnvoller.
das auslesen eines Passworts funktioniert dann in etwa so: pass Mail/privat
Klar, bei Mail-Accounts ist es einfach zu verschleiern, bei welchem Provider man nun eigentlich ist. Bei anderen dingen wird es eventuell schwieriger (z.B. bei Pro-Linux.de). Theoretisch könnte man sich da allerdings auch Synonyme überlegen die nur für einen selbst Sinn ergeben oder nicht wirklich aussagekräftig sind. im fall von Pro-Linux.de wäre folgendes denkbar:
Ordner: "News" Datei 1: "PL"
pass News/PL
Aber grundsätzlich stimme ich dir zu, dass dies ein (wenn auch eher kleiner) Schwachpunkt ist.
Was natürlich auch klar sein sollte ist, dass der Browserverlauf clean sein sollte, cookies ausgeschaltet oder "zerstört" sein sollten und keine Bookmarks existieren sollten wenn man komplett verschleiern will, wo man denn so surft
Ich hatte genau die gleichen Bedenken, als ich mir die Beschreibung von pass durchgelesen habe.
> Theoretisch könnte man sich da allerdings auch Synonyme überlegen die nur für einen selbst Sinn ergeben oder nicht wirklich aussagekräftig sind.
Dieser Gedenke kam mir auch kurzfristig. Aber irgendwann brauche ich dann ein Tool das mir sagt welche Synonyme für welchen tatsächlichen Account stehen.
Das ist wahr. Wenn es nur um selbst zu generierende Passwörter geht (nicht um vorgegebene Benutzernamen oder andere Daten), sind auch Generatoren wie http://masterpasswordapp.com/ interessant. Aber als Rundumtalent ist KeepassX sicher super. Gibt es eine Freie Lösung, die auch sicheres Teilen (LastPass) oder Übertragen (PasswordBox) von Passwörtern unterstützt?
Chuck Norris braucht keinen Passwortmanager. Er merkt sich einfach, an welcher Stelle von Pi sein Passwort steht.
:-P
(Ok, zugegeben, man muss voraussetzen, dass es um die als ASCII interpretierte Binärdarstellung von Pi geht. Bei der klassischen Zahlendarstellung von Pi tauchen ja keine Buchstaben und Sonderzeichen auf. ;-))
Ich tätowiere mir die Passwörter auf dem Körper.. Für email-Accounts die linke, für onlineshops die rechte Arschbacke, remote logins werden dazwischen abgespeichert. Seit mich die Firma dazu zwingt, alle halbe Jahr meine ssh-passphrase zu ändern, gibt's kostenlos ein Analbleaching dazu.
Ich hätte gerne mal gewusst, wo der Sinn und Zweck von einem (externen) Passwortmanager ist.
Ist es möglich, dass die gespeicherten Passwörter im Browser quasi remote ausgelesen werden können? Denn alle anderen Szenarien sind wohl eher theoretischer Natur, oder?
Habe versucht, dazu etwas per google zu finden, aber so richtig Infos gabs nur zu offenen, aber verlassenen Browsersitzungen, wo die Passwörter dann vor Ort ausgelesen wurden.
Ich kann da nur für mich selbst sprechen, aber ich vertraue den Passwortspeichern von Browsern nicht. Habe ich auch noch nie.
- Brower haben prinzipbedingt ständig Kontakt ins Web - Browser führen prinzipbedingt ständig (fremden/unbekannten) Code aus - HTML und Skripte - Es werden heutzutage eine Menge Geschäfte über das Web getätigt - es lohnt sich, z.B. Daten von Zahlungsdienstleistern abzugreifen
Browser sind deshalb eine riesengroße Zielscheibe für Angriffe und müssen ständig nachgebessert werden. Ich habe meine Bedenken, ob so eine Software eine gute Ablage für Passwörter ist.
Ein externer Passwortmanager läuft zwar immer noch auf dem selben System, ist aber in einem anderen Prozess und hat keinen Kontakt ins Web, er muss auch keinen Code ausführen.
Plus: Man benötigt zwar viele Passwörter im Web, aber es gibt durchaus auch noch Anwendungsfälle, wo man für Software außerhalb des Browsers Zugangsdaten benötigt - z.B. verschlüsselte Container. Diese Passwörter nützen mir ja im Browser nichts.
Was soll denn der Kinderkram? Ich gebe einer Software meine Passwörter preis? Woher soll ich wissen, wo diese tatsächlich landen? Sorry, bevor ich den Quellcode von einem Programm studiere, mache ich lieber ein System und ändere die Passwörter entsprechend regelmäßig. Ist zwar Tipparbeit, aber ich brauche Sicherheit.
Wenn du nicht einmal einem OSS Passwortmanager vertraust, dann solltest Du auch konsequent sein und keiner Webseite, Dienst, Provider etc. irgendwelche Daten preisgeben. Denn darüber hast du auch keine Kontrolle. Ohne Vertrauen bist Du aufgeschmissen. Und wer garantiert Dir, dass Dein Browser die Eingabe nicht noch woanders hinschickt? Hast du auch den Quellcode Deines Kernels validiert? Klebst Du auch die Frontkamera Deines Smartfons ab, wenn Du sie mal nicht benutzt? Könnte man ewig fortführen...
Und wenn Du schon so auf Sicherheit stehst, dann solltest du auch lange Passwörter nutzen. 100 Zeichen tippt man nicht mal eben ab oder ein. Meine Durchschnittspw.länge beträgt ca. 30-40 Zeichen, je nach Dienst. Ohne PW Manager wäre ich bei 150 Diensten aufgeschmissen.
Natürlich ist eine gesunde Skepsis gegenüber einem Passwortmanager erst mal gerechtfertigt. Aber ob jetzt eine Selbstbaulösung sicherer (und praktikabler) ist, als eine freie Software, die anerkannt sichere Kryptografie benutzt (ich meine Keepass)? Da darf man auch skeptisch sein.
Jepp und genauso einfach kann man sie auch dann wieder knacken Passwörter ausm Gehirn sind schwach, meist sind es Wörter und Zahlen mit GroßKlein Hürden. Das wars dann aber auch schon. Und in seltenen Fällen weniger als 10 Stellen. Ein guter Passwortgenerator erzeugt unendlich viele Stellen und nutzt den gesamten Zeichensatz ohne einen Zusammenhang. Viel Besser.
Was meinst du mit knacken? Jemand startet eine Attacke auf die Zugangs-Maske der Webseite? Wenn die Seite nicht nach spätestens 10 Versuchen nicht sperrt, dann ist das wohl kaum ein Problem auf meiner Seite. Wenn ein Angreifer irgendwie an die Zugangsdaten aller Benutzer kommt und dann die gehashten Passwörter angreift, dann sollte die Länge meines speziellen Passworts eigentlich auch keine Rolle mehr spielen.
Gegen Angriffe direkt gegen meine Person (vielleicht sogar mit physikalischem Zugang zu meinem Rechner) habe ich natürlich wenig entgegenzusetzen. Allerdings hat das jemand der einen Passwortmanager einsetzt auch. Sobald dieser überwunden ist, hat man Zugang zu allen gespeicherten Passwörtern.
Das doofe an diesen Generatoren, diese arbeiten nach einem bestimmten Algorithmus. Schon kleinste Fehler können den "Zufall" und die tatsächlich verfügbaren Passwörter enorm reduzieren. Schließlich muss man die Passwörter auch eingeben können. Wenn es immer zusätzliche Programme zum speichern und übermitteln benötigt ist man als Nutzer auch stark eingeschränkt.
Schließlich muss man die Passwörter auch eingeben können. Wenn es immer zusätzliche Programme zum speichern und übermitteln benötigt ist man als Nutzer auch stark eingeschränkt
Das ist ja das schöne an Keepass(X), es ist auf allen Plattformen verfügbar - auch als portable Version für den USB-Stick. Sofern ich ein Keepass(X) am gleichen Rechner starten kann, auf dem ich das Passwort eingeben muss, kann ich die Zwischenablage bzw. Autotype benutzen, was bei starken PW mit >20 Zeichen ja auch sinnvoll ist.
Das doofe an diesen Generatoren, diese arbeiten nach einem bestimmten Algorithmus. Schon kleinste Fehler können den "Zufall" und die tatsächlich verfügbaren Passwörter enorm reduzieren.
Theoretisch schon. Gehen wir mal vom Standardfall aus, ein PW-Generator verwendet Groß-, Kleinbuchstaben und Zahlen, auf Sonderzeichen verzichten wir wegen Kompatibilität. Weil wir einen Generator nehmen, gibt es keinen Grund, weniger als 20 Zeichen zu verwenden. Also ist das PW eines aus 62 ^ 20 (26 + 26 + 10) Möglichkeiten. Selbst wenn es nicht richtig implementiert ist und es vielleicht auf 30 ^ 20 reduziert ist, denke ich, das die generierten Passwörter trotzdem ein wesentlich höheres Niveau haben, als "123456" oder ähnliche Kracher, die per Wörterbuchangriff leicht angreifbar sind.
Für Unterwegs und als Schnellzugriff den Passwordmaker (passwordmaker.org) als Master-PW-Safe keepassx (Offline bzw. nur Workstation @Home).
Im Browser den PW-Maker als Plugin Unterwegs Offline-JS PWMaker
Voilà.
So Master-PW Geschichten sind nur gefährlich wenn ein Keylogger deine Daten abgreift... dann hast gesch*******. Wobei das auch auf praktisch jeden PW-Safe zutrifft (ohne 2Factor)
Ich verwende einen eigenständigen PW-Manager, nämlich KeepassX.
Warum nicht den des Desktops? - Für mich ist die Portabilität über Desktops und OS hinweg wichtig. Z.B. läuft mein Arbeitsrechner mit Windows und ich habe während meiner Linux-Zeit schon den Desktop gewechselt. Von daher ist ein Multiplattformprogramm wie Keepass(X) dann die konservative Wahl. Auch die Bedienung bleibt somit immer gleich.
Aus dem selben Grund verwende ich z.B. auch Thunderbird und nicht den Mailer des DE.
same here, keepassX
Pass (https://www.passwordstore.org/). Das zusammen mit einer dmenu-pipe und pinentry-gtk und alles flutscht.
Mein Homeserver benutzt Pass für emails (offlineimap, Mutt, pinentry-curses)
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 01. Jul 2016 um 15:53.Früher keepassx dann umstieg auf pass.
Habs mir mal kurz angeschaut. Ich persönlich finde das Konzept eher zwiespältig...
Bis hierhin ok, ist ein guter Ansatz, auf bewährte Tools zu setzen, statt komplexe Kryptografie selbst zu implementieren. DAS finde ich allerdings nicht gut.Man kann also, wenn man Zugriff auf das Verzeichnis erlangt, herausfinden, wo ein Pass-Nutzer überall Accounts hat.
Zwar fehlt noch Benutzername und Passwort, aber allein die hinterlegten Accounts sagen eine Menge aus.
Z.B. wenn eine Polizeibehörde Dich als Hacker verdächtigt, sind schon diverse Accounts bei einschlägigen Websites Indiz genug. Die Passwörter selbst mögen dann sicher sein, aber die Indizien sprechen trotzdem gegen Dich.
OK, man kann natürlich das gesamte Verzeichnis wiederum in ein GPG-File packen, aber funktioniert das dann direkt mit Pass?
Also ich finde den Ansatz von Keepass, alles, also auch Accountinformationen, zu verschlüsseln per default sinnvoller.
Naja, im Grunde hat das Verzeichnis/die Datei den Namen, den du ihr gibst.
Zum Beispiel habe ich mehrere Mail-Addressen:
Ordner: "Mail"
Datei 1: "privat"
Datei 2: "uni"
Datei 3: "rubbbish"
das auslesen eines Passworts funktioniert dann in etwa so:
pass Mail/privat
Klar, bei Mail-Accounts ist es einfach zu verschleiern, bei welchem Provider man nun eigentlich ist. Bei anderen dingen wird es eventuell schwieriger (z.B. bei Pro-Linux.de). Theoretisch könnte man sich da allerdings auch Synonyme überlegen die nur für einen selbst Sinn ergeben oder nicht wirklich aussagekräftig sind.
im fall von Pro-Linux.de wäre folgendes denkbar:
Ordner: "News"
Datei 1: "PL"
pass News/PL
Aber grundsätzlich stimme ich dir zu, dass dies ein (wenn auch eher kleiner) Schwachpunkt ist.
Was natürlich auch klar sein sollte ist, dass der Browserverlauf clean sein sollte, cookies ausgeschaltet oder "zerstört" sein sollten und keine Bookmarks existieren sollten wenn man komplett verschleiern will, wo man denn so surft
Ich hatte genau die gleichen Bedenken, als ich mir die Beschreibung von pass durchgelesen habe.
> Theoretisch könnte man sich da allerdings auch Synonyme überlegen die nur für einen selbst Sinn ergeben oder nicht wirklich aussagekräftig sind.
Dieser Gedenke kam mir auch kurzfristig. Aber irgendwann brauche ich dann ein Tool das mir sagt welche Synonyme für welchen tatsächlichen Account stehen.
Das ist wahr.
Wenn es nur um selbst zu generierende Passwörter geht (nicht um vorgegebene Benutzernamen oder andere Daten), sind auch Generatoren wie
http://masterpasswordapp.com/
interessant.
Aber als Rundumtalent ist KeepassX sicher super.
Gibt es eine Freie Lösung, die auch sicheres Teilen (LastPass) oder Übertragen (PasswordBox) von Passwörtern unterstützt?
Ich benutze mehrere Passwortmanager hintereinander. Das knackt nicht einmal Chuck Norris.
ermittelt aus Pi dem MasterKey der für alle KeyManager gleichermassen gilt
So etwas ähnliches hab ich mir auch grad gedacht:
Chuck Norris braucht keinen Passwortmanager. Er merkt sich einfach, an welcher Stelle von Pi sein Passwort steht.
:-P
(Ok, zugegeben, man muss voraussetzen, dass es um die als ASCII interpretierte Binärdarstellung von Pi geht. Bei der klassischen Zahlendarstellung von Pi tauchen ja keine Buchstaben und Sonderzeichen auf. ;-))
Hab da so ein kleines Büchelein in dem alle meine Passwörter drinstehen.
Ich tätowiere mir die Passwörter auf dem Körper..
Für email-Accounts die linke, für onlineshops die rechte Arschbacke, remote logins werden dazwischen abgespeichert.
Seit mich die Firma dazu zwingt, alle halbe Jahr meine ssh-passphrase zu ändern, gibt's kostenlos ein Analbleaching dazu.
In Spiegelschrift oder kopfüber ?
Ich hätte gerne mal gewusst, wo der Sinn und Zweck von einem (externen) Passwortmanager ist.
Ist es möglich, dass die gespeicherten Passwörter im Browser quasi remote ausgelesen werden können? Denn alle anderen Szenarien sind wohl eher theoretischer Natur, oder?
Habe versucht, dazu etwas per google zu finden, aber so richtig Infos gabs nur zu offenen, aber verlassenen Browsersitzungen, wo die Passwörter dann vor Ort ausgelesen wurden.
Ich kann da nur für mich selbst sprechen, aber ich vertraue den Passwortspeichern von Browsern nicht. Habe ich auch noch nie.
- Brower haben prinzipbedingt ständig Kontakt ins Web
- Browser führen prinzipbedingt ständig (fremden/unbekannten) Code aus - HTML und Skripte
- Es werden heutzutage eine Menge Geschäfte über das Web getätigt - es lohnt sich, z.B. Daten von Zahlungsdienstleistern abzugreifen
Browser sind deshalb eine riesengroße Zielscheibe für Angriffe und müssen ständig nachgebessert werden. Ich habe meine Bedenken, ob so eine Software eine gute Ablage für Passwörter ist.
Ein externer Passwortmanager läuft zwar immer noch auf dem selben System, ist aber in einem anderen Prozess und hat keinen Kontakt ins Web, er muss auch keinen Code ausführen.
Plus: Man benötigt zwar viele Passwörter im Web, aber es gibt durchaus auch noch Anwendungsfälle, wo man für Software außerhalb des Browsers Zugangsdaten benötigt - z.B. verschlüsselte Container. Diese Passwörter nützen mir ja im Browser nichts.
Was soll denn der Kinderkram? Ich gebe einer Software meine Passwörter preis? Woher soll ich wissen, wo diese tatsächlich landen? Sorry, bevor ich den Quellcode von einem Programm studiere, mache ich lieber ein System und ändere die Passwörter entsprechend regelmäßig. Ist zwar Tipparbeit, aber ich brauche Sicherheit.
Du brauchst also Sicherheit?
Wenn du nicht einmal einem OSS Passwortmanager vertraust, dann solltest Du auch konsequent sein und keiner Webseite, Dienst, Provider etc. irgendwelche Daten preisgeben. Denn darüber hast du auch keine Kontrolle. Ohne Vertrauen bist Du aufgeschmissen. Und wer garantiert Dir, dass Dein Browser die Eingabe nicht noch woanders hinschickt? Hast du auch den Quellcode Deines Kernels validiert? Klebst Du auch die Frontkamera Deines Smartfons ab, wenn Du sie mal nicht benutzt? Könnte man ewig fortführen...
Und wenn Du schon so auf Sicherheit stehst, dann solltest du auch lange Passwörter nutzen. 100 Zeichen tippt man nicht mal eben ab oder ein. Meine Durchschnittspw.länge beträgt ca. 30-40 Zeichen, je nach Dienst. Ohne PW Manager wäre ich bei 150 Diensten aufgeschmissen.
Also wirklich nur Kinderkram?
Wollte ich sinngemäß auch gerade schreiben.
Natürlich ist eine gesunde Skepsis gegenüber einem Passwortmanager erst mal gerechtfertigt. Aber ob jetzt eine Selbstbaulösung sicherer (und praktikabler) ist, als eine freie Software, die anerkannt sichere Kryptografie benutzt (ich meine Keepass)?
Da darf man auch skeptisch sein.
Brauche ich nicht. Ich habe meine Passwörter im Kopf. Für jeden Dienst ein eigenes. Geht dank systematischen Passwörtern eigentlich ganz einfach.
Jepp und genauso einfach kann man sie auch dann wieder knacken Passwörter ausm Gehirn sind schwach, meist sind es Wörter und Zahlen mit GroßKlein Hürden. Das wars dann aber auch schon. Und in seltenen Fällen weniger als 10 Stellen. Ein guter Passwortgenerator erzeugt unendlich viele Stellen und nutzt den gesamten Zeichensatz ohne einen Zusammenhang. Viel Besser.
Und in meisten Fällen weniger als 10 Stellen, wollte ich schreiben :/
Was meinst du mit knacken? Jemand startet eine Attacke auf die Zugangs-Maske der Webseite? Wenn die Seite nicht nach spätestens 10 Versuchen nicht sperrt, dann ist das wohl kaum ein Problem auf meiner Seite. Wenn ein Angreifer irgendwie an die Zugangsdaten aller Benutzer kommt und dann die gehashten Passwörter angreift, dann sollte die Länge meines speziellen Passworts eigentlich auch keine Rolle mehr spielen.
Gegen Angriffe direkt gegen meine Person (vielleicht sogar mit physikalischem Zugang zu meinem Rechner) habe ich natürlich wenig entgegenzusetzen. Allerdings hat das jemand der einen Passwortmanager einsetzt auch. Sobald dieser überwunden ist, hat man Zugang zu allen gespeicherten Passwörtern.
Das doofe an diesen Generatoren, diese arbeiten nach einem bestimmten Algorithmus. Schon kleinste Fehler können den "Zufall" und die tatsächlich verfügbaren Passwörter enorm reduzieren. Schließlich muss man die Passwörter auch eingeben können. Wenn es immer zusätzliche Programme zum speichern und übermitteln benötigt ist man als Nutzer auch stark eingeschränkt.
Gehen wir mal vom Standardfall aus, ein PW-Generator verwendet Groß-, Kleinbuchstaben und Zahlen, auf Sonderzeichen verzichten wir wegen Kompatibilität. Weil wir einen Generator nehmen, gibt es keinen Grund, weniger als 20 Zeichen zu verwenden. Also ist das PW eines aus 62 ^ 20 (26 + 26 + 10) Möglichkeiten. Selbst wenn es nicht richtig implementiert ist und es vielleicht auf 30 ^ 20 reduziert ist, denke ich, das die generierten Passwörter trotzdem ein wesentlich höheres Niveau haben, als "123456" oder ähnliche Kracher, die per Wörterbuchangriff leicht angreifbar sind.
revelation zu Hause und keypassX auf Arbeit.
Für Unterwegs und als Schnellzugriff den Passwordmaker (passwordmaker.org) als Master-PW-Safe keepassx (Offline bzw. nur Workstation @Home).
Im Browser den PW-Maker als Plugin
Unterwegs Offline-JS PWMaker
Voilà.
So Master-PW Geschichten sind nur gefährlich wenn ein Keylogger deine Daten abgreift... dann hast gesch*******. Wobei das auch auf praktisch jeden PW-Safe zutrifft (ohne 2Factor)
Ja, Keepass. Die Datenbank mit den Passwörtern habe ich sogar in der cloud liegen.
Synchronisiert zu allen Geräten im Haushalt.
Jetzt kommts: Das außerdem nötige Keyfile liegt nicht in der Cloud sondern nur auf diesen Geräten