Fragen zur Passwortsicherheit

    Zitat von Bud

    Aber ist ein Browser-Plugin denn dann nicht ähnlich anfällig wie das Chrome eigene Google-Profil?

    Nicht direkt. Bitwarden speichert die Passwörter (verschlüsselt) NICHT im Browser/Profil. Das Plugin übergibt das PW nur, in beide Richtungen. Vorher muss jedes mal das MasterPW eingegeben werden.

    Die Chrome Passwörter sind zwar auch (leicht) verschlüsselt, können aber leicht angezeigt werden, von jedem der an die Datenbank kommt. Es gibt Chrome Plugins dafür problemlos im Store.

    Bitwarden hat sowas (so weit ich weiß) nicht.
    Klar, wer das MasterPW kennt und herausfindet welche Verschlüsselung gewählt wurde, kommt evtl. auch an die Bitwarden PWs. 100%ige Sicherheit gibt es nicht. Aber höhere Hürden. Selbst das ProfilPW speichert Chrome im Browser ^^.

    bei mir schickt Bitwarden das nicht ab, da wäre für mich die Frage eher umgekehrt ob Bitwarden das auch abschicken kann.

    Ich glaube die Konfigurationsmöglichkeiten zum ausfüllen der Felder etc sind bei Keepass deutlich mehr.

    Aber Bitwarden kann man - soweit ich es gesehen habe - ohne vs/RS nicht selbst hosten?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von twiddern

    Du kannst natürlich auch eine Maschine daheim dafür hernehmen oder Baremetal ;)

    Dafür ist mein KnowHow zu schlecht, ich glaube nicht das dies zur PW-Sicherheit beitragen würde^^ Aber KeePass mit Webhosting Nextcloud ginge?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zitat von Bud

    Aktuell handhabe ich es so, das ich alle meine Passwörter über den Passwortgenerator von Datenschutz.org in der Grundeinstellung generiere, 32 Zeichen lang.

    Ich speichere diese in einer *.xlsx auf einem USB, welche wiederum mit einem Passwort geschützt ist. Diesen stecke ich nur an, wenn ich ein PW brauche.
    Das passiert recht selten, da ich 90% der Passwörter aus Bequemlichkeit in Chrome gespeichert habe (gut oder schlecht)?

    Externer Passwortgenerator auf einer Website: ist umständlich, da man mit mehreren Tabs hantieren muss, geht nur begrenzt oder nicht mobil. Die Website behauptet, die Passwörter nicht zu speichern, aber Beweise hat man nicht.


    .xlsx auf USB: ist umständlich, unsicher und verlustgefährdet. Die Excel Datei muss man immer erst durchsuchen, zudem braucht man auf jedem Rechner / Gerät i.d.R. MS Office oder einen anderen Editor. Die Anzeige mag auch anders gehen, aber wenn man etwas hinzufügen will, brauchts eher Excel. Ein USB Stick kann leicht kaputt oder verloren gehen, oder kann gestohlen werden. Zudem muss man immer ein physisches Token handhaben, auch das ist wiederum umständlich. Auf mobilen Endgeräten meist überhaupt nicht möglich (von USB-C Ausnahmen auf Android Handys mal abgesehen). Der Passwortschutz von Excel kann mit Passwortknackern entfernt werden, sonderlich sicher ist das definitiv nicht. Da das ja das "Masterpasswort" ist, wird es i.d.R. nicht die gleiche 32 Zeichen Sicherheit haben wie die generierten Passwörter, denn es soll ja "merkbar" sein. Dadurch wird es erfolgsversprechender, das Passwort zu knacken.


    Chrome Speicherung: unsicher, nur auf Chrome beschränkt, andere Browser können nicht variabel zum Einsatz kommen, Chrome auf Mobilgeräten unterstützt den Passwortmanager von Chrome Desktop nicht, daher ist mal limitiert auf Desktop.


    Diese XLSX Lösung unterstützt keine integrierte 2FA, eine Methode die aber viele Websites und andere Dienste verwenden und die die Sicherheit deutlich erhöht.


    Daher wäre ein Passwortmanager zu empfehlen, der:

    - cloudbasiert arbeitet, da sonst die Synchronisation zwischen verschiedenen Geräten (Desktop, mobil, bis hin zur Kommandozeile) nicht funktioniert.

    - in möglichst vielen Browsern und beiden Mobilplattformen als Plugin / App verfügbar ist (dabei werden die Daten nicht lokal gespeichert, sondern das Plugin ist nur eine Durchleitung zum Tresor)

    - einen integrierten Passwortgenerator enthält

    - ggfalls auch als Desktop Client verfügbar ist, um die Pflege zu vereinfachen

    - für das Masterpasswort 2FA erlaubt

    - 2FA für die verwalteten Accounts ermöglicht (ist nicht das gleiche)

    - vom Anbieter permanent sicher gehalten wird (vs Self Hosting, bei dem man selbst für die Sicherheit zuständig ist)

    - seine Daten in der EU cloudbasiert speichert

    - die Synchronisation zwischen den Geräten selbst erledigt

    - Passwortfreigaben und geteilte Tresore zwischen mehreren Benutzern (in der Familie oder Firma) ermöglicht

    - der die Daten nach dem Zero Knowledge Prinzip für den Anbieter speichert, d.h. der Anbieter speichert nur verschlüsselten Kauderwelsch ab, der ohne 2FA und Masterpasswort des Benutzers nicht knackbar ist


    Bei mir fiel die Entscheidung aus diesen Gründen auf 1Password, das (anders als das jüngst übelst geknackte LastPass) seine Daten in der EU speichert, wenn man zum Signup den EU Server verwendet: https://1password.com/sign-up/eu/ .


    Ich verwende keinen Passwortmanager, bei dem man die Synchronisation des Tresors selbst machen muss, wie bei KeePass (manche verwenden Dropbox oder Google Drive), denn da müssen zwei Plattformen reibungslos zusammenspielen, die eigentlich nichts miteinander zu tun haben und ich möchte diesen Diensten meinen (zwar verschlüsselten) Tresor nicht anvertrauen. Zudem ist es quasi unmöglich, so geteilte Tresore unkompliziert zu realisieren.


    Die Open Source Variante von Bitwarden (bzw. das in Rust nachgeschriebene und leichtgewichtigere) Vaultwarden ist durchaus auch interessant, wenngleich die kostenfreie Variante nur limitiert 2FA unterstützt ( https://bitwarden.com/de-DE/pricing/ ).

    Ich bevorzuge es im Hinblick auf Self-Hosting, eine derart wichtige Ressource lieber unabhängig von allen meinen damit verwalteten Ressourcen beim Anbieter zu betreiben.

    Problem: Server auf dem Bitwarden läuft macht die Grätsche / wird gehackt, der Bitwarden Service ist nicht verfügbar, man hat aber die Zugangsdaten zu Netcup im BW Vault gespeichert und kommt daher nicht in seinen Netcup Account um den Server zu fixen (= klassisches Aussperren). Zudem könnten da auch unbemerkt bei gehacktem Server Daten abfließen.


    Bitwarden ist aber auch in den bezahlten und beim Anbieter gehosteten Varianten eine sehr gute Alternative.


    LastPass fällt eher raus... https://www.heise.de/news/Pass…e-von-Kunden-7441929.html

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

    Gefällt mir 1
    Zitat von TBT

    Diese XLSX Lösung unterstützt keine integrierte 2FA

    stimmt, und glztg. stellt es den Sinn von 2FA in Frage, wenn das der Passwort-Manager/-Safe mitintegriert hat;


    Ausnahme: man Verwendet f. ein Login auf einem PC/Desktop od. Tablet einen Passwort-Manager/-Safe,

    welcher ausschließlich z.B. auf einem Phone läuft und von dort 2FA gesteuert wird;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Gefällt mir 1
    Zitat von TBT

    Problem: Server auf dem Bitwarden läuft macht die Grätsche / wird gehackt, der Bitwarden Service ist nicht verfügbar, man hat aber die Zugangsdaten zu Netcup im BW Vault gespeichert und kommt daher nicht in seinen Netcup Account um den Server zu fixen (= klassisches Aussperren). Zudem könnten da auch unbemerkt bei gehacktem Server Daten abfließen.

    Das wird kein Problem, weil Bitwarden alle Passwörter lokal in der App und im Desktop-Programm speichert. So kannst du Bitwarden ohne Probleme offline nutzen. Nur zum Synchronisieren wird eine Internetverbindung benötigt.

    Um ganz sicher zu sein, kannst du auch gelegentlich mal Backups machen/Vault exportieren: https://bitwarden.com/de-DE/help/export-your-data/

    Zitat von Bud

    Geht das auch auf einer selbstgehosteten Nextcloud eines Webhostings?

    Zitat von Bud

    Dafür ist mein KnowHow zu schlecht, ich glaube nicht das dies zur PW-Sicherheit beitragen würde^^ Aber KeePass mit Webhosting Nextcloud ginge?

    Da die Anforderungen dieser App KeeWeb nicht hoch sind, sollte es auch auf einem normalen Webspace laufen.


    Einfach mal ausprobieren und folgende Schritte auf deiner Nextcloud durchführen:

    • KeeWeb als Nextcloud-Admin installieren.
    • Dann als normaler Benutzer sich an Nextcloud anmelden.
    • Die eventuell schon vorhandene Datei von KeePass mit der Endung .kdbx z.B. in einem neu angelegten Verzeichnis mit z.B. den Namen KeePass ablegen und mit einem Doppelklick öffnen. Danach öffnet sich dann die von dir installierte App KeeWeb dann von selber und fragt dann nur noch nach dem Masterpaßwort.

    alternativ kann man die Keepass Datenbank einfach mit der Nextcloud auf allen geräten Synchen.

    Wenn ich das recht erinnere brauchte keeweb noch etwas gefummel das mancmal bei einem Update angemeckert wurde.

    Zitat von mainziman

    stimmt, und glztg. stellt es den Sinn von 2FA in Frage, wenn das der Passwort-Manager/-Safe mitintegriert hat;

    Ja und nein:

    - Ja, denn der zweite Faktor ist im gleichen Programm gespeichert wie Benutzername und Passwort, ist man im Passwortmanager hat man auch den 2. Faktor, dies reduziert durchaus die Sicherheit. Aber wenn ein Angreifer im Passwortmanager ist, hat man ohnehin ein Problem.

    - Nein, denn anders als ohne 2FA reichen Benutzername und Passwort nicht, um sich Zutritt bei einem Dienst zu verschaffen. Benutzernamen, die oft ja auch eMailadressen sind, werden meist unverschlüsselt gespeichert und sind dadurch im Prinzip semi-öffentlich. Passwörter sollten bei den Diensten hoffentlich ausreichend verschlüsselt gespeichert werden - aber oft mal auch nicht (siehe https://haveibeenpwned.com/ ). Aber selbst wenn ein Angreifer BEIDES hat, ist man trotzdem noch immer nicht "drin".


    Und besser als gar kein 2FA im Excel Dokument ist 2FA im Passwortmanager alle mal noch. Denn da ist man dann definitiv drin, wenn man die Infos aus dem Excel File hat.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    2 Mal editiert, zuletzt von TBT ()

    Zitat von ltheinrich

    Das wird kein Problem, weil Bitwarden alle Passwörter lokal in der App und im Desktop-Programm speichert. So kannst du Bitwarden ohne Probleme offline nutzen. Nur zum Synchronisieren wird eine Internetverbindung benötigt.

    Um ganz sicher zu sein, kannst du auch gelegentlich mal Backups machen/Vault exportieren: https://bitwarden.com/de-DE/help/export-your-data/

    Ah danke. Nutze Bitwarden nicht selbst, daher wusste ich das nicht. Dann kann man sich im Prinzip nicht selbst aussperren. Gut

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Zitat von TBT

    Ah danke. Nutze Bitwarden nicht selbst, daher wusste ich das nicht. Dann kann man sich im Prinzip nicht selbst aussperren. Gut

    Gerne verwendet ist auch das Modell den Safe nur zu Hause zu haben (also den Bitwarden/Vaultwarden Server und gegeben falls per VPN zu syncen zu (was aber eigentlich auch nicht notwendig ist)

    Zitat von prunelle

    Nicht direkt. Bitwarden speichert die Passwörter (verschlüsselt) NICHT im Browser/Profil. Das Plugin übergibt das PW nur, in beide Richtungen. Vorher muss jedes mal das MasterPW eingegeben werden.

    Die Chrome Passwörter sind zwar auch (leicht) verschlüsselt, können aber leicht angezeigt werden, von jedem der an die Datenbank kommt. Es gibt Chrome Plugins dafür problemlos im Store.

    Bitwarden hat sowas (so weit ich weiß) nicht.
    Klar, wer das MasterPW kennt und herausfindet welche Verschlüsselung gewählt wurde, kommt evtl. auch an die Bitwarden PWs. 100%ige Sicherheit gibt es nicht. Aber höhere Hürden. Selbst das ProfilPW speichert Chrome im Browser ^^.

    Also wenn man die Bitwarden Datenbank hat - kann man relativ leicht versuchen sie zu Brutforcen - John verfügt da über einen entsprechen Modus.



    Aber im Gegensatz zum Chrome, bleibt einem da nur echtes Heute Forcing (soweit ich weiss sollte aber die Verschlüsselung vom Chrome inzwischen besser sein)

    deshalb sollte die Bitwarden DB mit einem zweiten Faktor abgesichert werden.

    Zitat von tom434

    Also wenn man die Bitwarden Datenbank hat - kann man relativ leicht versuchen sie zu Brutforcen - John verfügt da über einen entsprechen Modus.



    Aber im Gegensatz zum Chrome, bleibt einem da nur echtes Heute Forcing (soweit ich weiss sollte aber die Verschlüsselung vom Chrome inzwischen besser sein)

    deshalb sollte die Bitwarden DB mit einem zweiten Faktor abgesichert werden.

    Zitat von tom434

    Also wenn man die Bitwarden Datenbank hat - kann man relativ leicht versuchen sie zu Brutforcen - John verfügt da über einen entsprechen Modus.

    Der Versuch ist einfach, der Erfolg bei sicherem Passwort schon deutlich schwieriger.

    Nehmen wir 12 Zeichen (Klein-, Großbuchstaben und Zahlen).

    Also 62^12 mögliche Passwörter.

    Laut schneller Suche im Internet könnten mit einem sehr schnellen Computer 2 Mrd. Passwörter pro Sekunde getestet werden. Nehmen wir 50 davon. Also 100 Mrd./Sekunde.

    62^12 / (100 * 10^9) = 3,23 * 10^10 [Sekunden]

    Das entspricht etwa 1024 Jahren.

    Je mehr Zeichen, desto länger. Das Risiko mit einem sicheren Passwort sollte wohl doch eher sehr gering sein.