Passwort-Manager - lokal, online oder brauch ich nicht
Hallo 👋🏻
Eine weitere Diskussion ist eröffnet. Heute geht es um Passwort-Manager. Ich persönlich empfinde sie als schwierig, ich habe das Gefühl, ich hab keine wirkliche Kontrolle darüber, vor allem dann nicht, wenn ich Geräte mit unterschiedlichen Systemen nutze, so bin ich an meinem Laptop über Microsoft angemeldet und übers Handy auf Google, schon das macht es schwer, Passwörter zu synchronisieren auch wenn man wohl über Cloud Dienste und entsprechende Plugins Abhilfe schaffen kann, nur bin ich ehrlich, mir fehlt allein das Wissen darum, wie ich einen seriösen Anbieter erkennen soll, ganz gleich ob lokal oder über Cloud. Da war mein bisheriges Motto: Vertraue nur dir selbst.
Ich bin ein Fan von sicherem notieren, ich hab meine Passwörter in einem Buch, welches in einem Tresor steckt, zudem merke ich mir die meisten Passwörter, die ich täglich nutze und das sind teils komplexe, 12-16 stellige, mit allem drum und dran.
Ich soll PWM testen und allein das fühlt sich schon unsicher an, ich fühle mich erschlagen von all den Tools, die geboten werden, Geräteübergreifend, sicheres teilen, Cloud Dient, geht es bei Passwörtern nicht explizit darum, dass man die nicht teilt?
Wie handhabt ihr das mit euren Passwörtern, verwendet ihr Manager, habt ihr zu leichte Passwörter und hat sich das schon einmal gerächt? Verwendet ihr komplexe Passwörter und wie merkt ihr euch diese, wenn ihr sie euch merkt?
5 Antworten
Habe keepass 2 auf allen meinen Geräten.
Synchronisieren kein Problem, einfach über die Cloud.
2FA nutze ich eher selten.
Komplexität ist weniger wichtig als länge.
uhUv73&3! Ist wirklich viel unsicher als z.B. "MeineTanteBertahatunsamFreitag33Muffinsgebacken" oder so. Selbst sowas wie LöffelHundSuppeKamm ist tendenziell bereits sicherer. 4 wörter, sagen wir mal es gibt 50.000 wörter, 50.000^4, sind 6.25e+18, also 6.25 trillionen möglichkeiten, wenn der hacker aus irgendeinem grund weiß dass du 4 deutsche wörter benutzn wirst. Mehr als sicher genug.
Ist deutlich einfacher sich 4 wörter zu merken, als 8 zufällige klein- und großbuchstaben und sonderzeichen.
Aber realistisch gesehen ist Phishing das größere Problem. Solange dein Passwort mindestens 8 Zeichen hat und nicht einfach ein Wort ist, wird es wohl kaum gebruteforced. Daher solltest du nie das gleiche Passwort zweimal verwenden.
Wäre ja blöd wenn meine Passwörter weg sind wenn Lastpass dicht macht
Ich teste Passwörter regelmäßig darauf, ob sie geknackt worden sind, ich schaue auch nach, wie sicher ein gewähltes Passwort ist, also alles was mehr als 15 Jahre braucht, um geknackt zu werden, erachte ich als sicher 😅 ich nutze bei manchen, mir wichtigen Seiten eine 2FA. Auf der Arbeit sind wir gezwungen, alle 72 Tage ein neues Passwort zu erstellen, das stört ein wenig zugegeben, aber wenn das die Art ist, wie die damit umgehen.
Wenn ein passwort "gehackt" wurde, hat es entweder die seite geleakt, oder du bist auf phishing reingefallen. Das die leute einfach passwörter ausprobieren unde eines erraten passiert quasi nie.
Das weißt du halt auch nicht immer, nicht alle breaches werden veröffentlicht.
Du solltest niemals ein passwort auf mehren seiten verwenden, das ist das wichtigste.
Wie handhabt ihr das mit euren Passwörtern, verwendet ihr Manager
Ja, Passwort-Manager sind nun mal die sicherste Lösung für das Problem.
ich habe das Gefühl, ich hab keine wirkliche Kontrolle darüber
Natürlich kann ich deine Bedenken nachvollziehen. Bei cloudbasierten Lösungen muss man halt irgendeinem Anbieter vertrauen oder man nutzt eine lokale Lösung wie KeePass, hat dann aber die Schwierigkeit, die Passwort-Datenbank zwischen den Geräten zu synchronisieren.
Ich habe mich dafür entschieden, einen Vaultwarden-Server selbst zu hosten. Das ist ein Open-Source-Server für den Bitwarden-Client. So habe ich den Komfort einer cloudbasierten Lösung, ohne meine Passwörter aus meiner Kontrolle geben zu müssen. Ich bin mein eigener Anbieter und mir selbst kann ich meine Passwort-Datenbank natürlich anvertrauen.
Ich bin ein Fan von sicherem notieren, ich hab meine Passwörter in einem Buch, welches in einem Tresor steckt, zudem merke ich mir die meisten Passwörter, die ich täglich nutze und das sind teils komplexe, 12-16 stellige, mit allem drum und dran.
Meh, an der Lösung stören mich vor allem die Verfügbarkeit und die Einschränkung der Komplexität zugunsten der Merkbarkeit.
Das einzige Passwort, das ich mir merken muss, ist das für meinen Vaultwarden-Tresor.
Für Accounts, die ich wirklich sicher wissen will, lote ich die maximale Passwortlänge aus und generiere dann entsprechend lange Passwörter. Für extra Sicherheit verwende ich zusätzlich einen Yubikey, der dann als zweiter Authentifizierungsfaktor zum Einsatz kommt.
Danke für die ausführliche Antwort. Ich hab es mir intuitiv angewöhnt, mir Dinge merken zu können und dementsprechend auch sowas wie Passwörter, das hat sich einfach so ergeben, dass sich diese nach erstellen in meinem Kopf einbrennen, ich muss aber dazu sagen, dass ich Eselsbrücken habe, aber ich kann sie mir merken.
Die maximale passwortlänge ausloten ist nicht wirklich nötig, mehr als 32 zeichen zu verwenden ist völlig sinnlos bei einem zufällig generierten passwort.
Weil ist ja irgendwie sinnlos mehr passwortkombinationen als atome im universum zu haben....
Bis du dich auf einem fremden gerät ohne den passwortmanager einloggen willst,
Aber gut, macht man bei onlinebanking und co wohl eher selten.
einem fremden gerät [...] einloggen
Dafür gibt es eine Simple Lösung ... Ich lass es einfach ¯\_ (ツ)_/¯
Falls ich mich dann mal auf einem neuen Handy in Google einloggen will, gibt es ja auch noch die option über YubiKey + Trusted Device einzuloggen.
Ja Google, Ich kenne mein Passwort wirklich nicht. Nein Google, Ich sehe keinen Grund das zu ändern.
wie von dir bereits erwähnt notiere ich meine Passwörter auch ich nutze zusätzlich 2FA OTP und Passkeys gelegentlich
Für alle "Offline-Passwörter" (Festplattenverschlüsselung, Userpasswort am PC, PW für PW-Manager u.ä.) verwende ich unterschiedliche komplexe Passwörter mit einer Länge (je nach Anwendungszweck) zwischen 16 und ca. 30 Zeichen (Ziffern, Buchstaben, Sonderzeichen). Und ja, die kann ich mir merken - aber auch nur, wenn ich sie regelmäßig eingebe.
Für den Rest: KeepassXC bzw. KeePassDX fürs Handy (Android)
Synchronisierung zwischen PC und Handy mache ich händisch, auf dem Handy habe und brauche ich ohnehin nur sehr wenige Passwörter.
Einige Passwörter habe ich (ist nicht ideal) im Firefox-Browser fest hinterlegt und kopierte die Datei dann auf meinen Laptop. Das ist z.B. Online-Apotheke und diverse Shops.
Paypal und Ebay sowie Emailkonten habe ich im Kopf und nirgendwo hinterlegt.
Gab es einen Grund dafür, weshalb du dich für einen lokalen PWM entschieden hast?