Passwortmanager und deren Sicherheitsgewinn oder Risiko

    Hallo zusammen,


    mich würde mal interessieren wie ihr das mit euren Passwörtern handhabt. Die allgemeine Empfehlung geht da dahin, dass man für jeden Dienst und jede Homepage und jede Anwendung unterschiedliche Benutzernamen und Passwörter verwenden soll. Hinzu kommt die Empfehlung, dass Passwörter möglichst lang und kompliziert aufgebaut sind.


    So weit ist ja alles bekannt, mich würde interessieren wie Ihr persönlich versucht dem gerecht zu werden bzw. ob überhaupt?

    • Verwendet ihr einen Passwortmanager/safe oder einfach nur eine Exceltabelle oder am ende doch Stift und Papier?
    • Wie geht ihr vor mit verschiedenen Geräten und der Passwortdatenbank (synchronisation)?
    • Nutzt ihr Passwortgeneratoren oder klopft ihr willkürlich auf die Tastatur?
    • Wie viele Zeichen haltet ihr für Sinnvoll?
    • usw.


    Da es mich allgemein Interessiert wie ihr das so Umsetzt und welche Wege es gibt würde ich mich freuen wenn ihr hier mit uns eure Methoden teilt. Da es für mich die letzten Wochen einigermaßen komplex war mich da fundiert zu belesen:handbuch:, glaube ich würde das dem einen oder anderen durchaus helfen.


    Damit mache ich dann auch gleich mal den Anfang mit dem System was ich mir jetzt langsam aufbaue:


    • Ich habe mich für die Software SafeInCloud entschieden, da für PC und Android-Geräte verfügbar
    • Cloudsynchronisation nutze ich nicht ich Sichere die Datenbank manuell und stelle sie nach Updates auf den anderen Geräten wieder her
    • Ein Backup der Datenbankdatei halte ich auf meiner NAS und auf meinem Laptop (insgesamt ist die Datenbank somit 6x vorhanden)
    • Den Transfair der Datenbank mache ich ausschließlich im WLAN bzw. über VPN ins Netz zu Hause
    • Passwörter generiere ich mit dem Passwortgenerator von SafeInCloud mit mindestens 12 Zeichen
    • Die Datenbank ist mit einem Masterpasswort gesichert

    Noch vor ein Paar Wochen hatte ich im Prinzip immer die selben paar Loginkombinationen für alles bis auf Bankaccounts welche aber auch alle das ähnliche hatten. JA das war mein Outing aber ich glaube so haben es bis zu einem gewissen Zeitpunkt alle gemacht.

    Freue mich auf eure Meinungen und Erfahrungen welche ich auch auf mein System anwenden kann.


    Gruß,

    MoeD.

    Ich habe mittlerweile 25 verschieden eMail-Adressen+Passwörter für alle möglichen Foren und Shops (z.B.Amazon, Thalia usw.)


    Passwörtlänge ist mind.16 Zeichen mit 1bB=
    Meistens sind das sinnlos Sätze wie : Ente wuerde 20 ! SChnitzel Essen.

    Ich benutze 1Password mit Synchronisation. Habe inzwischen über 400 Accounts und könnte die nicht anders verwalten. Zeichenarten sind alle immer vorhanden, aber nach System.

    Passwörter sind bei mir in 3 Gruppen eingeteilt.


    1. Passwörter für Rechner

    2. Passwörter mit geringem Schadenpotential

    3. Passwörter die im zusammenhang mit Finanziellen Dienstleistungen stehen.


    Die Passwörter für Rechner sind zwar häufig ähnlich werden aber nirgends Online verwendet.


    Passwörter mit geringem schadenspotential. Sind ebenfalls häufig ähnlich, wenn jedoch jemand an die Passwörter ran kommt kann er damit nur beschränkten schaden verursachen.


    Und dann noch die 3. Gruppe da habe ich für alles unterschiedliche Passwörter die dann in der Regel auch mit keepass verwaltet werden.

    Ich nutze KeePass als Passwortmanager, allerdings derzeit nur mit lokalen Dateien aus dem NAS. Da ich per VPN eigentlich immer dran komme, ist mir das am sympathischten. Den Apps traue ich nicht so ganz. Ich will allerdings die Datenbanken auch mal aufsplitten, je nach Sicherheitslevel. Ansonsten habe ich auch ein Passwortbaukastenssystem, um für jeden Webdienst einfach ein merkbares UND sicheres Passwort erzeugen zu können. Grundsätzlich sollte man auf jeden Fall mind. 16 Zeichen nehmen (zumindest bei wirklich relevanten Diensten mit hohem Schadenspotential), was man mit Sätzen ja leicht hinbekommt.


    Und ich lege mittlerweile für jeden Dienst mir eine separate E-Mail Adresse an (als Weiterleitung). Das hat den Hintergrund, dass man so im Zweifelsfall eine Chance hat einen Leak mitzubekommen, wenn der Anbieter es mit dem informieren es nicht so genau nimmt.

    Ich nutze Enpass.

    Ganz früher habe ich insgesamt vielleicht drei Passwörter verwendet, die ich von Zeit zu Zeit modifizierte.

    Da aber immer wieder Accountdaten ins Netz gelangen, geht das nicht mehr.

    Ich lasse alle Passwörter automatisch generieren und die sind dann meisten 32 Zeichen lang.

    Das kann man nur sinnvoll mit so einem Programm verwalten.

    Ich bin jetzt beim 3. Passwortmanager angekommen. Bin von 1Passwort zu Enpass und jetzt bei Bitwarden angekommen. KeePass hatte ich auch sehr kurz, aber der Client hat mir einfach nicht gefallen.

    Wichtig war mir bei der Auswahl, dass ich meine Passworter nicht bei einem Online-Dienst eingebe. Der Manager für Windows, OSX, Android, iOS und optimalerweise per Website verfügbar ist und dass es für die meisten Browser ein Plugin gibt.


    Hab mich am Ende für die Selfhosted Variante von Bitwarden entschieden und bereue es bisher nicht. 10 Dollar im Jahr für Premium sind auch sehr fair. Dafür läuft auf der Qnap eine Ubuntu VM mit Docker die auch von extern zugreifbar ist. So ist das synchronisieren kein Problem mehr.


    Zu deinen Fragen:

    • Verwendet ihr einen Passwortmanager/safe oder einfach nur eine Exceltabelle oder am ende doch Stift und Papier?
      • Hab ich glaub ich beantwortet :)
    • Wie geht ihr vor mit verschiedenen Geräten und der Passwortdatenbank (synchronisation)?
      • Machen die verschiedenen Clients von Bitwarden von alleine. Also keine Dropbox oder sowas nötig.
    • Nutzt ihr Passwortgeneratoren oder klopft ihr willkürlich auf die Tastatur?
      • Ja ich nutze den Passwortgenerator. Nicht für alle Passworter gleich stark eingestellt, aber meistens 16 Zeichen mit Sonderzeichen, Groß/Klein Schreibung und Ziffern.

    Was ich auch noch für wichtig halte in Sachen Passwort ist die 2FA (Zwei-Faktor-Authentisierung). Mittlerweile bieten das viele Dienste auch an was die Sicherheit auch nochmal verstärkt.


    Zitat von OrneryDuke

    Dafür läuft auf der Qnap eine Ubuntu VM mit Docker

    Pflegt Bitwarden den Container selber? Ach ja, tut es.

    Zitat von OrneryDuke

    Wie geht ihr vor mit verschiedenen Geräten und der Passwortdatenbank (synchronisation)?

    Enpass hat eine automatische Sync-Funktionen. Das klappt zusammen mit QSync ganz gut zwischen PCs. Mit dem Smartphone aber nicht so komfortabel.

    Allerdings nutze ich auch nicht die Möglichkeiten wie DropBox usw. Damit ist es sicher einfacher.