Passwortmanager - Hilfreich oder nicht?

Passwortmanager sind in letzter Zeit im Kommen. Egal ob Open-Source Anwendungen, wie z.B. KeePass oder kostenpflichtige Programme wie Dashlane - alle erfüllen, mal mehr mal weniger, je nach Userwunsch, ihren Zweck.


Was macht ein Passwortmanager überhaupt?

Grundsätzlich ist ein solcher Manager eine Datenbank. Man legt seine Benutzerkonten an und hinterlegt das Passwort. Wie und wo er es speichert, ist abhängig vom jeweiligen Programm. Es kann offline und lokal eine Datenbank angelegt werden oder die Daten werden online in einer Cloud hinterlegt. Alles natürlich verschlüsselt.
Wenn ich mich jetzt bei einer Website anmelden will, wähle ich den Eintrag im Passwortmanager aus und kopiere entweder die Daten in die Zwischenablage oder, die vielleicht elegantere und zeitsparendere Lösung, verwende ich einen Shortcut, den ich einstellen kann. Das sind zwei "basic" Funktionen. Natürlich gibt es Programme, die sowas auch vollkommen automatisch übernehmen.

Diese Diskussion habe ich eröffnet, um einen Austausch über solche Programme zu starten.

Benutzt ihr Passwortmanager?
Wenn ja, welchen?
Kostenpflichtig oder kostenfrei?
Lokale offline Datenbank oder online in der Cloud?
Nur am Mobilgerät, nur stationär oder beides?

Weiterhin hätte ich einige Fragen, bei denen ich hoffe eine Antwort zu bekommen:

Ein "tieferer" Sinn eines solchen Managers, bzw. der Sinn eines "starken" Passworts ergibt sich mir nur halb.
Ein "starkes" Passwort macht es natürlich schwieriger es zu knacken. Vorausgesetzt man will direkt auf einen Account des Users zugreifen. Aber die letzten großen Leaks waren Angriffe auf die Datenbanken der jeweiligen Anbieter, in denen Anmeldedaten hinterlegt sind. Vor so einem Fall schützt ein Passwortmanager ja auch nicht.

Wie sinnvoll ist es, einen cloudbasierten Passwortmanager zu nutzen? Natürlich, der Komfort steht im VOrdergrund, aber die Daten sind ja dennoch im online und somit potentiell für jeden abrufbar.

Was ist, wenn jemand mein Master-Passwort für den Manager herausfindet. Somit kann er ja auf alle gespeicherten Passwörter zugreifen.

Ist Open-Source hier der Way-to-Go?

Vielen Dank schonmal für eure Beiträge!

Passwörter ins Internet? Dann gib sie doch gleich der BILD :D

@allmotlEY
Aber wo wäre der Unterschied? Die Passwörter werden ja auch in den Datenbanken der diversen Websites gespeichert. Und wenn jemand mein E-Mail Passwort knackt, hat der ja im Grunde auch die Möglichkeit alle Passwörter neu zu setzen. (Vorausgesetzt man hat keine 2FA)

Oder habe ich hier einen Denkfehler?

@rutz

Ich würde nie für Passwörter das Internet bemühen. Entweder im Kopf haben oder altmodisch auf Papier notieren.

Die Passwörter sind bei mir auf dem Google Konto, da bei mir ständig die Festplatte im Laptop verabschiedet, und ich wieder wieder alles neu aufsetzen muss, bin ich froh, dass ich zu den Passwörter zugreifen kann.
Sonst sind sie beim jeweiligen Foren, Chats usw. schon abgespeichert, da muss ich nur den Anmelde-Button anklicken.
Der Nachteil ist, ich weiss nie das Google-Konto PW, ich muss es ständig suchen.

rutz schrieb:Ein "tieferer" Sinn eines solchen Managers, bzw. der Sinn eines "starken" Passworts ergibt sich mir nur halb.

Ein Angriffsvektor ist eben, Passwörter zu erraten. Je einfacher sie sind, desto einfacher geht es.
Und wenn dann noch alle (oder viele) Dienste dasselbe (schwache) Passwort haben, ist auch der Schaden groß.

allmotlEY schrieb:Ich würde nie für Passwörter das Internet bemühen. Entweder im Kopf haben oder altmodisch auf Papier notieren.

Was spricht denn gegen eine verschlüsselte Passwortdatei in einer Cloud, die mit einem guten Passwort versehen ist?

allmotlEY schrieb:Entweder im Kopf haben

Das dürfte schwierig sein und führt dazu, einfache Passwörter zu nehmen oder überall das gleiche.

allmotlEY schrieb:oder altmodisch auf Papier notieren

Das geht natürlich. Aber ein Zettel ist schnell mal weg - oder kann letztlich auch von Dritten gesehen werden, sofern Du Deine Aufschriebe nicht verschlüsselst oder gut versteckst.

Auch wenn es da bestimmt sichere Dienste gibt, würde ich mich relativ unwohl fühlen meine Passwörter irgendeinem Anbieter anzuvertrauen.
Ich habe ein kleines Buch in dem meine Login-Daten drinstehen. Das ist für mich die sicherste Methode.

Ich finde es auch höchst befremdlich meine Passwörter auf fremden Servern zu speichern.
Allerdings hab ich nicht so viele verschiedene. Für die einfachen Sachen wie Allmystery oder den Facebookzugang habe ich ein Standardpasswort. Das ist überall gleich.
Für sensiblere Sachen benutze ich „Merksätze“. Die kann man sich eben gut merken. Und wenn ich die mal vergesse, habe ich die auch an halbwegs guten Orten aufgeschrieben.
Auf einen PW-Manager kann ich da verzichten.

Ich habe keinen Passwortmanager und würde auch keinen benutzen wollen. Ich habe so meine 3-4 Passwörter, die ich überall benutze. Manchmal kann ich mir nicht behalten, welches ich wo benutzt habe, aber dann probiere ich einfach ein paar aus, bis es passt. :D

Ich würde mich nicht sicher fühlen, wenn ich meine Passwörter irgendwo speichern müsste, was online zugänglich ist. Dann auch lieber auf einen Zettel, den ich irgendwo verstecke. So viele Leute kommen nicht bei mir vorbei. Und noch weniger davon durchsuchen meine persönlichen Sachen.

keepassx ist hier das werkzeug der wahl.
freie software, plattform unabhaengig(linux, android, windows,..)

und natuerlich lokal!

passwoerter kann das teil selbst erzeugen und das masterpasswort basiert auf einem "mantra".(schluesseldatei waere auch moeglich)
mir ist keine "bessere" loesung bekannt.

Nur damit hier nicht der Eindruck entsteht, dass wir heutzutage alle noch geritze Tontafeln mit Passwörtern durch die Gegend tragen ;)

Vom Notizbüchlein (mit schriftlichen Sicherungskopien) habe ich micht lange verabschiedet (es ist auch mal eines verlorengegangen) zugunsten eines führenden cloudbasierten Tresor-Anbieters. Der ist mir auch das Geld wert. Über 150 Objekte sind da drin, nicht nur Passwörter, sondern auch einige weitere zentrale Daten. Es gäbe sonst keinen zeitgemäßen Weg, das alles mit Sicherungen und Aktualisierungen weltweit und auf allen Geräten jederzeit verfügbar zu haben.

sicherheitstechnisch gesehen, sind daten/passwoerter die man aus der hand gibt, als kompromittiert zu betrachten.

keepass ermoeglicht es aber auch die datenbank auf einem "oeffentlichen" rechner abzulegen um von "ueberall" darauf zugreifen zu koennen.
der rechner sollte natuerlich ein "eigener" sein;)

neoschamane schrieb:sicherheitstechnisch gesehen, sind daten/passwoerter die man aus der hand gibt, als kompromittiert zu betrachten.

Tja, da kann man lange drüber diskutieren.
Ich fühle mich safe mit x mehrfachen "385-millionenstelligen" Verschlüsselungen.
Schwachpunkte sind wohl eher die Eingabe und ggf. die Datenbank des jew. Dienstes.
Es ist wie bei der Kreditkarte: ein Missbrauch würde mir innerhalb von Sekunden auffallen.
Und es gibt ja immer noch Grundregeln bzw. weitere Sicherheitsfaktoren, die über das Passwort und dessen Aufbewahrung hinaus gehen.

Es entscheidet jeder für sich, wie paranoid vs. alltagstauglich er unterwegs sein möchte.

Nemon schrieb:Tja, da kann man lange drüber diskutieren.

nope, in einem sicherheitstechnischen kontext nicht.

Nemon schrieb:Ich fühle

wenn es denn um "gefuehlte" sicherheit geht...

Nemon schrieb:Und es gibt ja immer noch Grundregeln bzw. weitere Sicherheitsfaktoren, die über das Passwort und dessen Aufbewahrung hinaus gehen.

alles glieder einer kette, die im zweifel an der schwaechsten stelle versagt...

Nemon schrieb:Es entscheidet jeder für sich, wie paranoid vs. alltagstauglich er unterwegs sein möchte.

irgendwie laesst sich das mit der hier erwaehnten software kombinieren;)

neoschamane schrieb:nope, in einem sicherheitstechnischen kontext nicht.

neoschamane schrieb:wenn es denn um "gefuehlte" sicherheit geht...

Ich hab halt keinen Bock auf eine Diskussion zu diesem Thema auf fachlichem Level.
Daher war es halt mal alltagsbezogen und simpel formuliert.

Man müsste sonst in letzter Konsequenz auch streng genommen schon konstatieren, dass die Sicherheit kompromittiert ist, sobald ich mein Passwort überhaupt kenne ;)

Nemon schrieb:Man müsste sonst in letzter Konsequenz auch streng genommen schon konstatieren, dass die Sicherheit kompromittiert ist, sobald ich mein Passwort überhaupt kenne ;)

streng genommen musst Du das passwort gar nicht "kennen" wenn du es quasi jedes mal erzeugst(mantra)

Jedenfalls beantworte ich die Ausgangsfrage des TE gerne mit "ja!". :Y:
(Und es ist eine weitere Tresorlösung im Einsatz, darum ging es aber in dieser Fragestellung nicht.)

rutz schrieb:Aber die letzten großen Leaks waren Angriffe auf die Datenbanken der jeweiligen Anbieter, in denen Anmeldedaten hinterlegt sind. Vor so einem Fall schützt ein Passwortmanager ja auch nicht.

korrekt

rutz schrieb:Wie sinnvoll ist es, einen cloudbasierten Passwortmanager zu nutzen?

sinn macht es wohl fuer den einen oder anderen, ich sehe es mehr als frage nach der sicherheit.

rutz schrieb:Was ist, wenn jemand mein Master-Passwort für den Manager herausfindet. Somit kann er ja auf alle gespeicherten Passwörter zugreifen.

das waere natuerlich ein GAU, und ein superGAU wenn er zugriff auf die datenbank hat.

rutz schrieb:Ist Open-Source hier der Way-to-Go?

aus meiner sicht, ja.

Mein Passwortmanager hat ungefähr die Größe eines lustigen Taschenbuches, nur nicht ganz soviele Seiten :-)
Ich brauchte sowas nie, ich schreib mir das auf und hab das wichtigste im Kopf. Das sind so Dinge die ich von mir nicht online oder gar in irgendeiner Cloud haben möchte. Genauso wie ich den Fingerabdruck beim Samrtphone nicht nutze oder die Gesichtserkennung, ich geb da lieber ne Pin ein. Wer weiß wo die Scans dann landen und rumschwirren^^