Das längste Thema

Bzw. Danke auch an die KeePass Fraktion! Wäre auch noch ne Option, die Datenbank nicht nur lokal auf dem Rechner zu haben, sondenr über z.B. Nextcloud zu synchronisieren.

chaosrind ... für deinen Vorschlag bin ich wohl zu dumm - haha. Das klingt mir zu abgespaced, aber interessant!

Nutze traefik als Proxy für meine Docker Anwendungen. Vor allem Bitwarden macht es durch eigene Skripte zur dockersteuerung allerdings etwas schwerer, musst du mal schauen, ggf. ist das ein wenig frickelig (wobei ein Reverse Proxy im installationsskript unterstützt wird). Habe für Bitwarden aus diesem Grund einen separaten Host.

Zitat von 03simon10

1Password.

1) Gibt's einmal auf deren Servern (kostet monatlich), bietet dafür jedoch alle Schnittstellen, das Webinterface ist hier exklusiv.

2) Dann jeweils auf iOS/Android/Win/macOS, hier werden die Tresore einfach in Dropbox oder der iCloud gespeichert. In der iCloud ist es halt Apple-Only, dort kommst weder du noch eine fremde App mit iCloud Zugriff an deine Tresore ran. (Nur über n Export via iTunes) (Die Vollversion kostet ca. 10€, zumindest zu meiner Zeit) - Du kannst natürlich alles rein lokal machen, bringt dir aber nix, alles nur aufm Handy zu haben.

3) Früher war es mir möglich, nach einmaligem kaufen der Desktop Anwendung (etwa 50€, eventuell nicht mehr erhältlich, die wollen alles auf (1) umstellen) Tresore im Heimnetz zu verteilen. Also quasi das File, wie es auch in der Dropbox liegen würde nur eben auf deren Art und Weise, ein Kennwort brauchtest du trotzdem. Hier wären die Daten zumindest nur im eigenen Netzwerk, solange das eben nicht komprommitiert ist und selbst dann ist das PW vor.

Desweiteren gibt es jeweils Browser Addons, die mit der Desktop Version interagieren. Unter iOS ist das ganze mit Safari ebenfalls verknüpft, wenn ein Passwort Feld erkannt wurde. Android nutze ich derzeit nicht.

Ich will anmerken, wie gut der Workflow allein am iPhone ist. Die Anwendung schickt das Formular mit Daten ab und kopiert den 2FA Code für die nächste Page gleich mit. Das Teilen (kritisch) ist hier auch auf etliche Arten und Weisen möglich. Nutze es jetzt schon sicher 2,3 Jahre und bin vollkommen zufrieden.

Alles anzeigen

1Password hatte mir gestern noch wer auf der Arbeit empfohlen, das werd ich mir auch def. noch mal angucken. Ich bin halt immer etwas skeptisch, wenn die Files woanders liegen, bzw. Dropbox und Co bin ich mir auch net so sicher, ob ich meine Datenbanken/Tresore etc. speichern sollte.

Danke auf jeden Fall für die Empfehlung!

Nutze Enpass und synce die Datenbank über Seafile zwischen allen Geräten. Enpass unterstützt dies von Haus aus.

Zitat von 03simon10

Aber for Teams - Das würde dann vermutlich nicht wenig kosten.

Ne, war nur eine private Empfehlung eines Kollegen. Auf der Arbeit nutzen wir Keeper, keine Ahnung, was der Spass kostet. (https://keepersecurity.com/de_DE/) Ist aber ganz nett, da du Passwörter mit anderen Nutzern teilen kannst

Zitat von Ringelnatz

Nutze traefik als Proxy für meine Docker Anwendungen. Vor allem Bitwarden macht es durch eigene Skripte zur dockersteuerung allerdings etwas schwerer, musst du mal schauen, ggf. ist das ein wenig frickelig (wobei ein Reverse Proxy im installationsskript unterstützt wird). Habe für Bitwarden aus diesem Grund einen separaten Host.

nen eigener Host, nur für Bitwarden? Ist das Teil echt so gut?
Werde ich glaube ich mal fix auf nem vps installieren, das Ding hat mich echt neugierig gemacht! Quasi als Alternative zu Keepass!

Edit: bzw. kann ich die Android App für self hosted nutzen? Sehe da gerade kein Feld für einen Server

Edit2: gefunden, muss man wohl vor dem eigentlichen Setup manuell oben links über das Zahnrad auswählen!

Ich nutze brain.exe - aber das gibt es bestimmt nicht im ELF64 Format.

Man nehme ein oder mehrere Basispassphrasen. Bei mir sind das generierte WPA Schlüssel.

Daran hängt man eins der folgenden Trennzeichen: $#!?"* etc.pp.

Daran hängt man eine Assoziation des Dienstes (Name des Dienstes, Firma des Dienstes, Teile der URL, Portnummer) + ggf. eine fortlaufende bzw. datumsgebundene Nummerierung.

Für besondere Dienste kann man noch die Groß/Kleinschreibung einzelner Buchstaben in der Basis ändern.

Damit erfüllt man jede Passwortkomplexitätsanforderung. (Doof nur, wenn deine Passphrase nur 10 Zeichen lang sein darf. *hust ING-DiBa hust*)

Somit hat man sehr leicht zu merkende, variable Passphrasen.

Die Kombination mehrerer Basispassphrasen ergibt dann stärkere Phrasen.

Für weniger kritische Anwendungen gibt es noch ein Kurzpasswort, was sehr schnell getippt ist.

Für Freunde und Bekannte gibt es dann noch das: kennt jeder in meinem Umfeld-Passwort; aber eben keiner außerhalb meines Umfeldes (das Passwort wird aber in meinem Freundeskreis sehr gehyped und ist quasi ein eigener Insider-Witz für sich.)

Zitat von H6G

Ich nutze brain.exe - aber das gibt es bestimmt nicht im ELF64 Format.

Man nehme ein oder mehrere Basispassphrasen. Bei mir sind das generierte WPA Schlüssel.

Daran hängt man eins der folgenden Trennzeichen: $#!?"* etc.pp.

Daran hängt man eine Assoziation des Dienstes (Name des Dienstes, Firma des Dienstes, Teile der URL, Portnummer) + ggf. eine fortlaufende bzw. datumsgebundene Nummerierung.

Für besondere Dienste kann man noch die Groß/Kleinschreibung einzelner Buchstaben in der Basis ändern.

Damit erfüllt man jede Passwortkomplexitätsanforderung. (Doof nur, wenn deine Passphrase nur 10 Zeichen lang sein darf. *hust ING-DiBa hust*)

Somit hat man sehr leicht zu merkende, variable Passphrasen.

Die Kombination mehrerer Basispassphrasen ergibt dann stärkere Phrasen.

Für weniger kritische Anwendungen gibt es noch ein Kurzpasswort, was sehr schnell getippt ist.

Für Freunde und Bekannte gibt es dann noch das: kennt jeder in meinem Umfeld-Passwort; aber eben keiner außerhalb meines Umfeldes (das Passwort wird aber in meinem Freundeskreis sehr gehyped und ist quasi ein eigener Insider-Witz für sich.)

Alles anzeigen

Jo, so halte ich das eigentlich auch bei vielen Passwörtern, aber es nimmt langsam überhand, gerade wenn man mehrer Accounts bei den Verschiedenen Anbietern hat. Außerdem ist es dann doof, wenn man mal Passwörter rausgeben muss, weil wer Zugriff auf etwas braucht. Oft hab ich dann schon mein Passwort vorab geändert, ... aber das ist dann auch eher nervig. Daher vielleicht doch mal ein anderes System ausdenken, evtl. mit Passwort Generator. Find das bei Keeper eigentlich ganz nice.

Zitat von geekmonkey

[..] Nutzt ihr zufällig nen Passwort-Tool? [..]

Auch wenn es nicht zur Anforderung selfhosted passt - ich habe vor einigen Monaten LastPass und Dashlane parallel getestet. Fazit:

LastPass: Password-Handling funktioniert besser als bei Dashlane. Sync-Variante ist kostenlos zu haben. Interface und mobile App ist allerdings nicht so hübsch.

Dashlane: Sync ist nur in relativ teurer Premium-Variante enthalten. Auf mobile werden manchmal Passwörter in Safari nicht korrekt eingefügt. Das Interface ist aber deutlich hübscher.

Das Problem was ich habe, ist mein Chromebook. Dort benötige ich eine standalone Browser Erweiterung. Eine Extension, die mit einem Desktop-Client interagiert, nützt mir nicht viel, da ich ja den Client nicht installieren kann.

Aktuell nutze ich aber auch nur die Standard-Funktion von Google Chrome inklusive Cloud-Sync. Funktioniert wunderbar und ist (logischerweise) perfekt im Interface integriert. Für den on-the-fly Zugriff gibts dann noch https://passwords.google.com .

Für die 0815-Accounts in Foren usw. generiere ich Zufallspasswörter und Zufallsmailadressen (der Userpart vor dem @), die ich als Backup an einem sicheren Ort verwahre. Diese Passwörter kennt mein Browser (Chromium), wodurch sie auf Mobilgeräten in Chrome verfügbar sind. Die Synchronisierung ist mit einer Passphrase mehr oder weniger abgesichert. Die wirklich wichtigen Passwörter existieren maximal auf Papier und nicht digital. Und für eigenes Zeugs komme ich möglichst mit Keyfiles oder Clientzertifikaten aus. Einen echten Passwortmanager (außer den Browser) nutze ich derzeit nicht. Eure Tipps verfolge ich daher umso lieber!

Zitat von janxb

Für den on-the-fly Zugriff gibts dann noch https://passwords.google.com .

Was leider (bzw. zum Glück) voraussetzt, dass keine Passphrase für die Synchronisierung gesetzt ist.

Ich würde jetzt einfach mal Enpass noch in die Runde schmeissen, kann als kostenlose Alternative zu 1Password angesehen werden. Bietet Webdav Anbindung für dezentralesspeichern, automatische Backups und und und. Zu beachten gilt das man bei der Mobile Version den Herren paar Taler spenden muss ausser man kommt mit 20 Einträgen aus.

Ich persönlich geben Enpass nicht mehr weg allein schon deswegen das ich am Handy sagen kann ich möchte ein Backup von meiner Laptop Datenbank einspielen. Dann macht Enpass auf dem Handy einen Webserver auf, am Laptop gehe ich auf die Seite, schmeiss die Backup Datei rein und am Handy gebe ich das Masterpasswort ein fertig.

Zitat von geekmonkey

Nutzt ihr zufällig nen Passwort-Tool? Nachdem ich neulich (eher aus Versehen) knapp 800 Passwörter aus Chrome gelöscht habe, ... ist mir mal aufgefallen, wie viele Passwörter man so besitzt, ... für allen möglichen Quack. Sensible Passwörter speicher ich seit Jahren in KeePass.

PasswordMaker. Erzeugt aus einem Masterpasswort und Teilen des URL ein seitenspezifisches Passwort. Das hat den Vorteil, dass jede Ranzseite ein eigenes Passwort hat und lokal nichts gespeichert wird.

Ich habe auch ziemlich alle Tools durch. Von 1Password über Dashlane, LastPass, Kaspersky über Enpass, SafeInCloud, KeePass bis letztendlich zu Bitwarden.

Mit Bitwarden bin ich nun schon seit mehr als einem halben Jahr super zufrieden. Den Server betreibe ich zu Hause auf meinem kleinen vHost.

lg.

Zitat von geekmonkey

... ist mir mal aufgefallen, wie viele Passwörter man so besitzt, ... für allen möglichen Quack. Sensible Passwörter speicher ich seit Jahren in KeePass.

ja die vielen Passwörter, ich habe ein passwortgeschütztes verschlüsseltes OpenOffice-Text Dokument f. diesen Zweck, da lopmmen auch so Informationen wie Passwort-Reset-Fragen und die dazupassenden Antworten;

was soll man dazu sagen?

https://futurezone.at/digital-…rkt-screenshots/400061780

soooo, Bitwarden läuft nun hinter nem nginx reverse proxy, wobei echt jede Location durchgereicht werden muss

Gefällt mir erst mal ganz gut. Werde das mal ne Weile testen.

Danke für die Empfehlung!

Ich hab das Paper nur schnell überflogen, aber so wie das aussieht haben die "extra" die Apps ausgewählt, die verdächtige Kriterien erfüllen bzw im Interesse der Forscher lagen. Daher finde ich die Aussage "Mehr als 89 Prozent aller Apps, die im Google-PlayStore verfügbar sind, [...]" etwas irreführend, da die Studie keine repräsentative Auswahl vorgenommen hat, sondern eine selektierte (was Sinn macht). Zudem wurde nicht nur der Google Play Store berücksichtigt.

Und im Grunde passiert nichts so heimlich, da man jeder App die Berechtigung explizit geben muss (bzw. zustimmen muss). Eine App kann nicht "heimlich" auf die Kamera etc. zugreifen (außer es gibt Sicherheitslücken), von daher ist das Problem eher das die Leute dafür nicht sensibilisiert genug sind, ich kannte früher genug Menschen die sich eine Taschenlampe App installiert haben die Zugriff auf das Telefonbuch, Speicher, etc. wollte ohne nur eine Sekunde nachzudenken

Nur leider scheint der Menschenverstand hier nicht zu funktionieren, weshalb man vielleicht wirklich über eine andere Lösung nachdenken muss, sonst würden solche Apps schlichtweg aussterben weil sie keiner installieren würde

Ich nutze hauptsächlich Teampasseortmanager https://teampasswordmanager.com/ finde die Software super und man kann viele weitere Infos darin ablegen.