Welches ist der sicherste Passwort-Manager mit integriertem Authenticator?
3 Stimmen
1 Antwort
Für eine Person die sich nicht technisch gut genug auskennt und ein extrem hohes Threat-Model hat: Proton Pass.
Es ist Open Source, hat gute Sicherheitstrategien, einen guten Datenschutz und liegt in der Schweiz.
Für 99,99% der Ottonormalverbraucher ist es im Punkte Sicherheit und Datenschutz völlig egal ob man Bitwarden oder Proton Pass nutzt. Beide sind gleich sicher und haben hohe Standards. Es macht nur dann einen Unterschied, wenn eine Regierung oder Strafverfolgungsbehörde Druck auf das Unternehmen aufbaut. Sprich man von Behörden und Regierungen verfolgt wird.
Für Personen die sich technisch gut genug auskennen: selfhosted and managed Vaultwarden auf Hardware die man selbst kontrolliert.
- Threat-Model!!! Das ist immer wichtig bei solchen Fragen und Statements.
- Bezieht sich das auf Angriffe direkt auf das Endgerät. Da hat der Passwort-Manager (egal welcher) sowieso ein Problem, da wenn du Malware am Endgerät hast und da du natürlich nicht weißt, dass du Malware hast auch den Passwort-Manager entschlüsselt.
- Ist zumindest bei Proton Pass das Proble behoben worden
- Ist eine genau Aussage ohne Threat-Model nicht möglich.
Ein Threat-Model ist eine Zusammenfassung deiner Situation. Vor was und wem willst du dich schützen? Wie weit bist du bereit Komfort dafür zu opfern? Was kann ein Angreifer erreichen wenn er dich angreift? Auf welchem Level greift man dich an?
Es macht einen Unterschied ob du an der Kassa bei MCDonalds arbeitest und privat als Hobby Motorradfahrer und Läufer bist, als wenn du der Präsident der USA bist.
Sprich es gibt Sicherheitslücken/Sicherheitsrelevante Daten die für dich absolut egal sein können, weil du dafür ein zu niedriges Threat-Model hast. Beispielsweise wirst du (hoffentlich) dir keine Gedanken machen müssen ob dich nicht die NSA entführt und dir ne Waffe an den Kopf hält um dich dazu zu bringen dir deine Passwörter zu verraten.
Daher kann man nicht sagen ob das Obrige ein relevantes Problem für dich ist oder nicht.
Das mit der NSA trifft zum Glück nicht auf mich zu. Ich habe hauptsächlich Angst vor Finanzbetrug. Dass jemand in meinem Namen online einkauft.
Also würdest du dich eher als "Ottnormalbürger/0815 Mensch" bezeichnen? Wenn ja, dann wird dich die obere Sicherheitlücke nur wenig betreffen.
Natürlich kommt aber auch hinzu, dass diese Sicherheitlücke schon gefixt wurde.
Ist das mit dem Erpressungsversuch auf protonmail auch gefixt?
https://www.srf.ch/radio-srf-3/digital-erpressung-von-protonmail-ist-kein-einzelfall
Da gab es aber noch weitere, glaube ich.
Was hat dich eine DDoS-Attack auf Proton zu kümmern? Das betrifft das Unternehmen Proton AG und nicht dich. Du brauchst dir darüber absolut keine Sorgen zu machen.
Achso. Kenne mich nicht so gut am damit aus. Ich dachte, das beträfe die Nutzerkonten. Jedenfalls las ich irgendwo in einem anderen Artikel, dass die Erpresser Proteinmail gegenüber gedroht haben, Nutzerdaten öffentlich zu machen.
Woher hast du jetzt diese Information wieder? Nach meinem Wissen sind nie Daten an Dritte in irgendwelcher Form abgeflossen, also kann da auch nichts veröffentlicht werden.
Und selbst dann, das meiste ist E2EE (Ende zu Ende verschlüsselt) und somit sowieso nur Mist und Müll.
Beide sind gleich sicher und haben hohe Standards. Es macht nur dann einen Unterschied, wenn eine Regierung oder Strafverfolgungsbehörde Druck auf das Unternehmen aufbaut. Sprich man von Behörden und Regierungen verfolgt wird.
Da hast du Recht, da ist es auch ziemlich egal ob nun das Unternehmen in der Schweiz oder einem sonstigen Land mit guten Data Laws sitzt.
Naja... In diesem Falle doch.
Wenn du mit den US-Behörden (oder Russland/China) ein Problem hast, ist es in der Schweiz deutlich sicherer. Da diese einen hohen Wert auf Neutralität und Menschenrechte sowie Datenschutz legen.
Da wäre es mit Bitwarden (einem US-Unternehmen) schon etwas schiweriger, den US-Behörden zu entkommen.
Und das hier https://tarnkappe.info/artikel/it-sicherheit/proton-pass-login-daten-liegen-unverschluesselt-im-hauptspeicher-280737.html#:~:text=Proton%20Pass%3A%20Login%2DDaten%20unverschl%C3%BCsselt%20im%20Arbeitsspeicher&text=Benutzername%20und%20Passwort%20werden%20n%C3%A4mlich,Kuketz%20kontaktierte%20die%20Proton%20AG.
Oder ist das mittlerweile nicht mehr so?