Passwortsafe

Hallo,

eine Empfehlung ist immer wieder Bitwarden, kann man selbst hosten, auch inklusive Benutzer/Rechteverwaltung, bzw den fork Vaultwarden, welcher diese Funktionen kostenlos anbietet.
Bitwarden ist ebenfalls Open-Source, daher auch deutlich empfehlenswerter als closed Lösungen, die dann rein in der Cloud laufen.

Benutze es privat und bin sehr zufrieden.

Hallo IT.

Ich habe in einer Firma mal das ganze mit Microsoft Teams gemacht (Eine Gruppe erstellt und über OneNote ein Notizbuch erstellt mit für jeden Teil eigenem Reiter und einer entsprechenden Tabelle). Das ist auch ganz übersichtlich und auch herzlich sicher, weil einen MS Account inkl. MFA zu bruteforcen erstmal eine Ansage ist. Allerdings ist halt alles auf entsprechenden Server, was aber der Firma herzlich egal war. Ich persönlich nutzte momentan auch KeePass. Die Datenbank liegt (wie man es vermuten kann) bei Microsoft im OneDrive. (Dafür braucht man allerdings für KeePass ein Add-On, welches die Möglichkeit bietet auf OneDrive zuzugreifen. Um die zu klauen, muss wiederum auch jemand den Account mit MFA knacken. Natürlich kann man sich jetzt darum streiten, dass das Add-On mal eine Lücke haben kann und somit auf meine DB zugriff hat. Aber kann auch passieren, dass ein Schwein anfängt zu fliegen ;) .

Dazu nutze ich auf meinem Handy auch noch eine Drittanbieter App, die auf das OneDrive zugreift und ggf dort sich die aktualisierungen abholt. Die App macht zudem noch eine lokale Sicherung von letzen Zugriff, also selbst wenn jemand alles (aus versehen) löscht, habe ich meine Daten immer noch.


Vielleicht ist das Teams-Ding was für dich oder sogar die OneDrive-Lösung. Beides setzt ja einen O365 Abo voraus.

MfG
Shutter_Jx

+1 für Vaultwarden

Du hast Angst, dass dir jemand die DB (2FA) der Keepass klaut und denkst jetzt an die Speicherung Online? Genau mein Humor. Klingt für mich wie "Ich habe Angst vor einem Unfall mit 200 Km/h, aber welche Rennwagen kaufe ich mir denn jetzt?"

Tante Google kann dich mit Sicherheitsvorfällen geradezu erschlagen, was solche Dienste angeht. WENN, dann hoste es bitte selbst und sorge dafür, dass man nur per VPN ran kommt.

Hi.

Es fehlt mir die Beschreibung dessen, was Du eigentlich versuchst.
Stellen wir uns mal simpel vor, du hast keepass und nutzt es ohne 2FA - wo siehst Du Gefahren?
Nun nutzt Du es mit 2FA: welche Gefahren bleiben übrig, die dich dazu bringen, zu schreiben
?

Willst Du Dich dagegen schützen, dass jemand, der deinen Rechner kontrolliert (ungesperrt vorfindet, Malware implantiert) deine Aktionen im Kennwortmanager monitoren/aufzeichnen kann, dann ist das eine ganz andere Frage als "ich möchte meine DB-Datei verschlüsseln".

Also genau fragen, sonst kommt nur Murks heraus.

Keepass kannst Du an ein Konto binden und auch dieses Konto kannst Du natürlich mit 2FA absichern (SmartCard). Auch kannst Du mittels SmartCard-Plugin die DB selbst nur gegen Vorweisung der SmartCard öffnen lassen. Dennoch steht im Vordergrund das Handling: nimmst Du die Kennwörter in die Zwischenablage, muss auch diese gesichert werden.

Auch ist nicht mitgeteilt worden, ob Du die selbe Kennwort-DB mit mehreren nutzt - das schließt gewisse Techniken aus. Nutzt Du sie allein, ist alles einfacher.

Also das sicherste ist, das Passwort garnicht aufzuschreiben und es nur im Kopf zu behalten 😂

Aber keine wirkliche Lösung.
Wir nutzen Keepassxc mit einem Yubikey. Wenn du jetzt noch die Festplatte mit Bitlocker verschlüsselt, dann kann er die Platte ruhig klauen, wie soll er den da dran kommen? Ich würde sagen, das ist schon echt sicher.
Cloud wäre für mich garkeine Option, da kann ich meine Passwörter auch gleich der NSA oder dem BND per Post schicken 😬

Bitwarden.

Clouddienste sind hier nicht "per default" schlecht.
Wirst Du verschlüsselt oder deine Umgebung ist aus welchen Gründen auch immer futsch, solltest Du Dokus sowie Passwörter immer greifbar haben.

Diese solltest Du so ablegen, dass diese selbst im K-Fall (Welcher Art auch immer) funktionstüchtig bleiben und das ohne Risiko einer Infektion, im Falle eines Angriffes.

Hallo,

zum Thema Cloud - wir benutzen Keeper. Die Passwörter werden verschlüsselt in der Cloud (EU Rechenzentrum) gespeichert und per MasterPasswort auf dem Endgerät entschlüsselt. Dazwischen kann man noch eine 2FA schalten.

Was bleibt an Gefahren?

• keylogger o.ä. am Endgerät
• Backdoors durch Regierungsbehörden
• Zweitschüssel, die es nicht geben dürfte, weil die Technik des Anbieters möglicherweise doch anders funktioniert
• lang angelegtes Unterwandern des Anbietercodes durch Kriminelle

All das kann ich nicht verhindern, wenn ich irgendeine Software anwende. Egal ob Cloud oder OnPremise. Auch OpenSource muss man vertrauen (Wieso ist ein Haufen Nerds eigentlich vertrauenswürdiger als eine große Firma?). Wer die Punkte oben umsetzen kann, ist mindestens eine Nummer zu groß für mich (OK, gegen den Keylogger könnte man einiges unternehmen.., der Rest aber?)

Grüße

lcer

Es geht darum dass der Quellcode offen ist und von jedem eingesehen werden kann. So kann z.B. Backdoor des Herstellers ausgeschlossen werden, ebenso fehlerhafte und/oder schwache Verschlüsselung.

Hallo,
schon klar. Aber prüfst Du das selbst? Oder vertraust Du da einfach jemandem? Wenn ja - warum eigentlich?


Grüße

lcer

Offener source von bekannten Programmen wird regelmäßig von tausenden Leuten auf Schwachstellen untersucht...

Hallo,

Die kenne ich nicht. Kennst Du welche persönlich? Wer sind die? Wo kann man das nachschauen? In Git-Repros sehe ich jedenfalls keine Liste der Prüfergebnisse. Dafür fehlen immer mal Paketbetreuer: https://www.debian.org/devel/wnpp/

Ich sage ja nicht, dass OpenSource problematisch ist. Es ist halt anders. Da der Einsatz einer PasswordSafe-Software Vertrauen erfordert, sollte man sich schon mal überlegen, wem man vertraut - und warum. Genau wie man sich überlegen sollte, warum man jemandem misstraut.

Grüße

lcer

...und etliche davon nutzen die Schwachstellen davon aus oder verkaufen sie an den Meistbietenenden, ohne etwas dagegen zu tun.
Closed Source macht die Sache auch nicht sicherer.
In der Cloud etwas speichern ist allgemein eine schlechte Idee, zum einen weil sichergestellt werden muss das man selbst jederzeit darauf zugriff hat und zum anderen, weil da auch nicht sicher ist das nicht der Anbieter ein Sicherheitsloch hat (s. LastPass).

Ein guter Admin ist ein paranoider Admin.
Dein bester Kollege kann eine unverschlüsselte Kopie der ganzen Passwörter irgend wo haben (weil MFA zu nervig ist) und 2-3 Monate später damit das unternehmen verlassen.
Man darf niemanden vertrauen, auch nicht sich selbst.

Ich verstehe Dein Befürchtungen... Die anderen scheinbar nicht

Also, wir hatten auch Keepass, ist ein schönes Tool und ich nutze es Privat und dazu auch noch auf dem IPAD, damit der Shitstorm jetzt so richtig losgehen kann

Keepass in der Firma haben wir abgeschafft, weil wir seit Februar 2022 aufgefordert wurden, die Sicherheit zu erhöhen Dazu gehört auch, dass ein Mitarbeiter aus der IT, der das Unternehmen verlassen muss mit allen Keepass - Daten vom Hof reiten könnte oder sich vorher schon einen Ableger der DB aufm Stick gezogen hat.

Wir haben nun komplett alles auf Kryptische Kennwörter umgestellt und lassen uns von Passwordstate von https://www.clickstudios.com.au/ dabei unterstützen, die Kennwörter eben nicht alle im Kopf habe zu müssen. (liegt hier im Netz auf einem speziellen Server)

Es ist bis zu fünf User (glaube ich) Kostenlos, danach kostet es ein wenig. Vorteil meiner Meinung nach ist die Integration in viele Systeme, also nicht nur HTML Seiten befüllen, sondern auch in anderen Programmen wie Putty oder RMD die Daten, also User und Kennwort voll automatisiert zu übernehmen, viel Einfacher als bei Keepass.

Zusätzlich gibt es noch einen privaten Bereich in der Software in dem nur der User Zugriff hat und somit nicht im allgemeinen Datenpool liegt. Anfänglich war ich von der Vielzahl der Einstellungsmöglichkeiten erschlagen, aber es hat sich gelohnt, all die Möglichkeiten auszuschöpfen, jetzt macht das Produkt echt Spass.

An die Kritiker von Passwordstate sei gesagt, ja ich weiß dass die Firma gehackt wurde und empfinde es als sehr gut, dass die Firma daraus gelernt hat und vieles nun besser macht als andere Hersteller und auch offen damit umgeht.

Also MrHeisenberg, sicher ist "nichts", weder das eine noch das andere Programm, mit genug krimineller Energie lassen sich viele Dinge ausspionieren. Meiner Meinung nach wäre also eher die Frage, inwiefern kann Dich ein neues Tool in Deinem täglichen DOING unterstützen und dann kann man sich an die Auswahl eines geeigneten Tool machen, also in Deinem Fall einen Digitalen Passwort Safe.

Und vielleicht einfach mal die Kirche im Dorf lassen, da ich nicht davon ausgehe dass Du im Fort Knox oder bei der Nato arbeitest und selbst die wurden ja gerade vor ein paar Tagen geknackt

Beste Grüße
Andy

Das ist ein organisatorischer Fail,
klingt so als ob alles in einer Datenbank gespeichert wird.

Ist eigentlich ganz einfach, wäre nicht der erste Fall wo ein Admin z.B. keine Zugangsdaten vom Backup,... hat und bei einem Restore der DSB daneben steht.

Schön wäre natürlich vertrauensvolle Mitarbeiter, vor allen in den sensiblen Bereichen, zu haben.
Wo ein Wille ist i.d.R. immer ein Weg.

Jep hast recht was den Fail betrifft und sieht so aus dass Du Keepass nicht kennst. Keepass legt seine Kennwörter in einer FileDatabase ab und ist somit schlecht vor Diebstahl geschützt. auch bei einer 2 Faktor Authentifizierung, handelt es sich um eine Zertifikatsdatei usw. usw.
Aber ich kann mir natürlich auch täglich die Kennwörter mit denen ich arbeite in mein privates Handy eintragen. Wie ich schon sagte "Kirche und Dorf" und genügend Kriminelle Energie und man bekommt jede Situation geschrottet

denk drüber nach
mach einfach ein Foto mit deinem iPad deiner Kennwörter