Passwortmanager - pro und contra

[Korodny]

Ich hab früher auch das bereits erwähnte revelation benutzt, das hatte aber mal sehr viele Jahre Stillstand und außerdem keinen Android-Client, deswegen wollte ich was anderes nehmen. Da ich prinzipiell auch wenig Vertrauen in die langfristige Verfügbarkeit von Software mit proprietären Dateiformaten habe, nutze ich seitdem eine Passwort-geschützte LibreOffice-Calc-Tabelle. Standardisiertes Format, lässt sich leicht auf diverse Geräte synchronisieren und so ziemlich überall lesen - danke LO Viewer auch auf Android/LineageOS. Ist auf letzterem nicht so komfortabel wie eine echte App, aber da brauche ich es auch am seltensten.

Prinzipiell dürfte die Idee, sich Passwörter zu "merken" aus Sicherheitsaspekten eher fraglich sein - gute Passwörter sollten eigentlich ziemlich schwierig zu merken sein und für jeden Anbieter individuell. Selbst wenn ich keinen Passwort-Generator verwenden sondern meine Passwörter mit den alten Tricks konstruieren würde ("Anfangsbuchstaben eines Merksatzes + Initialen des Anbieters"), käme ich da ziemlich schnell an meine Grenzen.

Meine Passwort-Tabelle hat im Moment 153 Einträge (ich speichere da aber auch Dinge wie den Code, mit dem ich Ersatzschlüssel für mein teures Fahrradschloss bestellen kann), mit "merken" käme ich da nicht weit.

[TuxPeter]

Hi,
mich hat dieser Thread animiert, keepass2 zu installieren. Bisher habe ich eine verschlüsselte Datei, die ich dann mit ccat schlüsseldatei.cpt | grep -in5 Suchwort nutze. Das geht recht gut, nicht nur für die Passwörter.

Zum Hinzufügen und Ändern muss das Ganze dann allerdings mit ccrypt entschlüsselt und per Editor bearbeitet und wieder verschlüsselt werden, was dann deutlich aufwendiger ist als einen Eintrag in Keepass zu bearbeiten. Ob Keepass nun sicherer ist als meine bisherige Simpel-Lösung, kann ich nicht beurteilen. Gewiss gibt es dort eine automatische Löschung der Zwischenablage. Ein weiterer kleiner Vorteil mag sein, dass man das Passwort innerhalb eines Eintrages nicht extra markieren muss, man hat es mit ^C gleich in der Zwischenablage.

Noch ein kleiner Hinweis zum Sprachpaket von keepass2. Im Debian-Repo sind die Sprachpakete nicht verfügbar, es ist aber sehr leicht nachzuinstallieren. Man wird über das Menü "View -> Change Language -> Get More Languages" auf eine Downloadseite geführt, wo auch Deutsch verfügbar ist. (Man wähle die neuere Version) Nach dem Download ist die Zip-Datei zu entpacken und nach /usr/lib/keepass2/Languages/ zu kopieren. Danach kann man die Sprache auswählen und nach einem Neustart ist es umgestellt.

edit: key -> kee korrigiert

[ChoMar]

Das was du meinst ist vermutlich Keepass2
Das nutze ich auch. Verschlüsselte Datenbank, mit Handy und auf mehreren Rechner gesynct. Gibt auch Browser-Addons etc.
Setzt natürlich ein sicheres Master-PW voraus, das man nur im Kopf hat. Sonst ist doof.

[TuxPeter]

Das was du meinst ist vermutlich Keepass2

Ja, natürlich. Diese Schreibweise "Kee...." ist so einladend für "Key...." - Danke für den Hinweis.

[OrangeJuice]

Für die paar Seiten verwende ich zur Zeit in Gnome Wayland, gnome-passwordsafe(secrets). Ein langes Masterpasswort. Per Copy&Paste melde ich mich an.
KeepassXC finde ich auch gut und habe es sehr lange verwendet. Hauptsache, die Passwortdatei kriegt keinen Bitfehler oder ähnlichen Defekt. Mit KeepassXC könnte man zur Not noch die Passwörter exportieren.

[TuxPeter]

Jetzt wollte ich in keepass2 mal eine Klartext-Liste erstellen, aber: "Das .NET-Framework [..] unterstützt diese Option nicht." Auf eine solche Liste will ich aber nicht verzichten. Habe dann nocht pass getestet und finde es deutlich umständlicher als meine bisherige Praxis mit ccrypt | grep ...

Also kann ich für mich bzw. mein Anwendungsprofil die Frage "Passwortmanager - pro und contra" klar mit "contra" beantworten.

[fischig]

Ich benutze seit Jahren einen cryptsetup-container und darin eine LO-writer-Datei und bin ganz zufrieden damit. Für Unterwges landet das Teil auf einem USB-Stick. Dem (Android-)Taschenrechner vertraue ich keine Passwörter an.

Statt LO-writer könnte ich mir etwas Schlankeres vorstellen, aber ein wenig Textformatierung (fett/kursiv, Schrfitgröße) sollte schon sein.

[heisenberg]

Ich habe mir auch irgendwann einfach nur ein Script gebastelt, was mir eine Text-Datei mit GnuPG und Key synchron verschlüsselt und nach Benutzung per shred jeweils wieder löscht. Ich habe da kein ultrahohes Sicherheitsbedürfnis. Es soll nur recht gut zugänglich sein von überall.

Es hat mich genervt, dass gnupg irgendwann für den Zugriff auf den Key einen echten Login wollte und su nicht mehr gereicht hat. Ansonsten ist das aber so wie es soll, seit vielen Jahren. Das Script macht dann noch 30 rotierte Backups und gut ist. Von den Backups habe ich ab und an mal was gebraucht. Wenn die Datei weg wäre, dann wäre das schon recht doof. Ansonsten gibt es die Textdatei auch noch ab und an mal aktualisiert ausgedruckt in meinen Unterlagen.

Für einen anderen Verein habe ich das mal via Keypass 2 gemacht. Passwortdatenbank auf einen FTP-Server, so dass es von überall erreichbar ist. Sehr komplexes Master-Passwort. Gut ist. Für mich persönlich ist die erstere Variante besser, weil ein SSH-Client als einzige Voraussetzung leichter zu erfüllen ist.

Code: Alles auswählen

#!/bin/bash

cd $HOME/data

for((i=29;i>=1;i--));do
        [ -f data.bin.$i ] && mv data.bin.$i data.bin.$(( $i + 1 ))
done
cp data.bin data.bin.1

gpg --decrypt data.bin >/tmp/data.txt
vi /tmp/data.txt
gpg -r MEINE_GNUPG_KEYID --encrypt /tmp/data.txt
shred -u /tmp/data.txt
mv /tmp/data.txt.gpg $HOME/data/data.bin

Edit:

Backupfunktion war gar nicht mehr drin (Backup des Servers auf dem das ist gibt's natürlich). Habe ich gerade mal nachgeholt.

[OrangeJuice]

Ja und das funktioniert einwandfrei. Das .deb-Paket ist nicht notwendig, da die gängigsten Browser ein Plugin besitzen.

Noch eine Nachricht zu Bitwarden und einer möglichen Gefahr, wenn man sich die Benutzerdaten und Passwörter ausfüllen lässt.

It’s not a bug, it’s a feature

Bitwarden selbst ist sich des Problems durchaus bewusst und sieht dies gewiss nicht als Sicherheitslücke in seiner Software an.
...
Die Gefahr ist dem Unternehmen mindestens seit November 2018 bekannt, da sie schon damals im Rahmen eines Sicherheitsberichtes Erwähnung fand. Dennoch entschied sich der Entwickler bewusst dafür, lediglich die Warnung in seine Dokumentation aufzunehmen.

“Bitwarden akzeptiert das automatische Ausfüllen von Iframes, weil viele beliebte Websites dieses Modell verwenden, zum Beispiel verwendet http://icloud.com einen Iframe von http://apple.com“, ließ das Unternehmen gegenüber BleepingComputer verlauten.
...

Quelle: Bitwarden Sicherheit: Autofill bringt Deine Passwörter in Gefahr