Passwortmanager sinnvoll ?

Anzeige

Das ist zumindest m.W.n. bei Apple richtig, wenn keine Backup-/Recovery-Methoden gewählt wurden. Bei Google konkerkarieren diese Methoden, wenn aktiviert, wieder erheblich die Sicherheit: Passkeys: Wie Apple, Google und Microsoft gemeinsam das Passwort abschaffen wollen

 

Erstens wird da mit AES-256 verschlüsselt, im Klartext ist da gar nichts. und zweitens kann ich den Cloudanbieter mir selbst aussuchen wo ich die Passwortliste speichere. Mit meinem eigenen NAS in der Cloud habe ich es leider noch nicht hinbekommen.

 

Welche Methode ist schon zu 100% sicher? Das größte Sicherheitsproblem sitzt meist vor dem Computer.

Auch „offline“ Festplatten sind schon „0nline“ ausgelesen worden, das ist doch die leichteste Übung von Hackern. Nen USB-Stick kann man verlieren, die handgeschriebene Liste kann geklaut werden und wenn man überall das gleiche Passwort „12345“ wählt, braucht ein Hacker dich noch nicht mal zu hacken.

Vernünftige Passwortmanager entschlüsseln nur clientbasiert auf dem eigenen Gerät mittels Masterkey und einem gesonderten Gerätekey. Nur wenn beides vorhanden ist, werden die Passwörter auf dem Gerät entschlüsselt. Und nicht online und in Klartext im Internet übertrage. Selbst wenn es jemandem gelingen sollte, das Masterpasswort zu bekommen, kann er trotzdem nichts entschlüsseln.

Ja, den Anbietern muss man letztendlich vertrauen. Aber das weitaus größte Problem sind Hacker und die Nutzer vor dem Bildschirm. Natürlich sollte das Masterpasswort lang und kryptisch sein, im Idealfall braucht man sich ja nur dieses noch zu merken. Ich halte darauf spezialisierte Firmen für weitaus sicherer als den heimischen PC von so manchem User, der sich auf was für Seiten auch immer unbemerkt was einfängt.

Ich habe für jeden Login eigene Passwörter, mein Passwortmanager erstellt die in hinreichender Länge und mit Buchstabensalat, den ich mir niemals merken könnte. Das ist immer noch der beste Schutz.

Auch wenn ich Last Pass nicht im Detail kenne und nicht nutze, gehe ich davon aus, dass dort auch nur Tresore geknackt wurden, bei denen die Nutzer fahrlässig mit umgegangen sind (leicht zu knackende Passwörter, kein Gerätekey genutzt etc.). Denn einfach so lässt sich eine dreifach verschlüsselte Datei nicht knacken. Auch nicht durch Softwarebugs, weil zwei der drei Zutaten nur der User kennt.

 

Wann immer du ein Kennwort eingibst, zum Beispiel bei der Anmeldung an deinem Windowsrechner oder hier im Forum, erhält es der jeweilige Anbieter der Software im Klartext. Das der damit "nichts weiter macht" ist wie gesagt Vertrauenssache.

 

Nein! Da besteht keinerlei Onlineverbindung da das Programm auch Offline funktioniert (nur würde dann eben die Passwortdatei nicht mehr synchronisiert werden)

 

Wie kommst Du auf diese Idee?

Das Passwort wird auf dem Client entschlüsselt und dann von dort via Zwischenablage in den Browser eingetragen. Da läuft nichts über den Server des Anbieters.

 

Da sich jetzt mehrere Punkte vermischen, hier nochmal differenzierter:

1. Bei jeder Eingabe von Anmeldedaten in ein Webformular werden diese in der Regel zwar für Dritte verschlüsselt per TLS an den Server übertragen, aber liegen dort dann im Klartext vor, da die Daten im (POST-)Request unverschlüsselt vorliegen. Die Hashwertbildung mit einer Einwegfunktion findet fast nie auf Clientseite, sondern fast immer auf der Serverseite statt. Deshalb musst du dem Anbieter des Servers vertrauen, dass er deine Anmeldedaten nicht im Klartext abgreift bzw. speichert.

2. Bei Nutzung von Closed Source-Passwortmanagern vertraut man dem Anbieter der Software blind, dass er Versprechen, Kennwörter vor der Übertragung zu hashen einhält bzw. Anmeldedaten nur sicher verschlüsselt speichert. Bei der Nutzung von Passwortmanagern, die den "verschlüsselten Tresor" in einer Cloud speichern, muss man darauf vertrauen, dass das Protokoll sicher ist: In the Depths of iCloud Keychain – HackMag.

3. Passkey-Sicherheit wird konterkariert, wenn die eigentliche kryptographisch starke PKI durch eine laxe Passphrase-/Mustererkennung/... abgeschwächt wird.

4. Generell kann jedes System, das unter Closed Source entwickelt ist, und auch nur sporadisch Internetzugang hat, Daten (z.B. Anmeldedaten im Klartext) weitergeben. Deshalb nutze ich einen YubiKey für meine sensiblen Zugänge.

 

Klar, das ist aber auch ohne Passwortmanager so!

Ja klar, aber das hat nichts mit dem Passwortmanger zu tun. Das Programm läuft nur auf der eigenen Hardware und nicht Online. Und die Passwortliste ist normal verschlüsselt dann auch nochmal per Passwort vom Cloudanbieter geschützt da ist auch nichts mit Klartext.

Besser einen Passwortmanager nutzen als für 1000 Zugänge ein bekanntes Passwort nutzen das dann noch mit leicht zu knackend ist. Sicherer ist da auf jedenfall der Passwortmanager und man muss sich nicht nach 10 Jahren Gedanken machen welches Passwort ich für einen bestimmten Anbieter genommen habe wärend auch sich die E-Mail Adresse zum zurücksetzen geändert hat (oder ganz verloren gegangen ist).
Wie Du Dir 1000 Passwörter über viele Jahre merken willst die per Zufall erstellt wurden ist mir jetzt nicht klar. Ich bin froh wenn ich mir eins behalten kann.

 

Du hattest geschrieben, dass der Anbieter des Passwortmanagers das (jeweils entschlüsselte) Passwort im Klartext sieht, weil das Passwort am Server entschlüsselt wird.

Das ist definitiv falsch, überlege mal im Ruhe, was Du da behauptest hast.

Wenn Du dich an einem Tresor bei einem Passwortmanager anmeldest, musst Du natürlich das Masterpasswort eingeben, logisch, das ist ja auch Sinn und Zweck der Übung. Übermittelt wird dann aber nur die immer noch verschlüsselte (also nicht nur transportverschlüsselte) Datendatei, da zum Entschlüsseln dieser Daten nicht nur das Masterpasswort, sondern auch der Gerätekey erforderlich ist, der weder der Anbieter kennt noch an ihn übermittelt wird. Die tatsächliche Entschlüsselung findet ausschließlich auf dem Cliebt statt. Mit dem Masterpasswort alleine kann weder ein Hacker oder der Softwareanbieter etwas anfangen.

Dass derjenige, bei dem Du dich dann damit anmeldest (z. B. hier im Forum), in irgendeiner Weise prüfen muss, dass Benutzername und Passwort zusammenpassen und Du dich dann einloggen kannst. nun, das ist doch auch ebenfalls Sinn und Zweck der Übung. Was anderes soll ein Login ja nicht machen. Aber das erfolgt doch unabhängig davon, ob ui einen Passwortmanager verwendest, oder Benutzername und Passort händisch eingibst. Mit einem Passwortmanager umgehst Du die händische Eingabe und damit auch eventuelle Keylogger auf deinem PC.

Bei Last Pass war es wohl so, dass Last Pass wohl unbegrenzt Brut-Force-Attacken zulies und die User wohl schwache Passwörter und keinen Gerätekey verwendet haben. Wie schon geschrieben, das Hauptproblem sitzt meist vor dem eigenen PC.

 

Kannst du das Gegenteil beweisen, also dass es bei Closed Source wie LastPass nicht so ist, dass der Anbieter deine Klartextkennwörter einsehen kann? Wenn ein cloudbasierter Passwortmanager, dann nur ein selbstgehosteter, der OpenSource ist wie KeePassXC Password Manager.