[10Heike10]

... und monatelang keine Reaktion vom Team.

Nach dem gefühlt 1.000 und 1. Versuch, hatte ich dann einen erfolgreichen Passworttreffer!

Frage an die Verantwortlichen, keine Lust auf langjährige Mitglieder oder was war der Grund?

[rudluc]

Wie verwaltest du denn deine Passwörter?
Du kannst sie doch im Browser nachgucken oder in einem der vielen Passwortverwaltungsprogramme.

[steve.hatton]

Ist die Passwortverwaltung über den Browser denn sicher ?

[rudluc]

Zitat:

Zitat von steve.hatton

Ist die Passwortverwaltung über den Browser denn sicher ?

Gute Frage! Normalerweise ist der Browser ja durch einen passwortgeschützten Zugang gesichert und jedes neue Gerät wird per 2FA überprüft, es sei denn man nutzt diesen ohne Anmeldung.
Ich verwende ja den Safari (du vermutlich als Mac-Nutzer auch) und dort gibt es ja die spezielle Passwort-App, die mit der Schlüsselbundverwaltung korrespondiert. Die Passwörter sind sogar über die iCloud auf alle Endgeräte synchronisiert, mit 256bit und Ende-zu-Ende-Verschlüsselung.
Bei Chrome und den anderen Google-Diensten gibt es ebenfalls eine sehr restriktive Identitätsüberprüfung nach der Anmeldung. Dort werden die Sicherheitsanforderungen garantiert ähnlich hoch sein wie bei Apple, einschließlich einer ultimativen Verschlüsselung.
Wie das beim Firefox ist, müsste man mal auf der Homepage nachlesen. Ich gehe aber davon aus, dass auch hier über den individuellen Account alles sicher ist.
Daneben gibt es noch spezielle Passwort-Apps wie 1Password und viele andere. Es gibt auch OpenSource-Angebote, die vielleicht im Einzelfall etwas weniger komfortabel, aber dafür sehr flexibel sind und einen selbst gewählten (lokalen) Speicherort ermöglichen.
Die Verwaltung von Passwörtern auf einer Sammlung von fliegenden Papierblättern oder einer Kladde halte ich für deutlich weniger sicher, genauso wie das Verwenden von einem oder nur wenigen Passwörtern für Alles.

[steve.hatton]

Zitat:

Zitat von rudluc

Gute Frage! Normalerweise ist der Browser ja durch einen passwortgeschützten Zugang gesichert und jedes neue Gerät wird per 2FA überprüft, es sei denn man nutzt diesen ohne Anmeldung.
Ich verwende ja den Safari (du vermutlich als Mac-Nutzer auch) ........

Dank Dir

[usch]

Zitat:

Zitat von steve.hatton

Ist die Passwortverwaltung über den Browser denn sicher ?

Auf jeden Fall sicherer, als die Passwörter jedes Mal von Hand einzutippen:

• Mir kann niemand bei der Eingabe über die Schulter schauen.
• Auch ein heimlich installierter Keylogger hätte keine Chance, irgendwelche Tastendrücke abzufangen.
• Ich hab gerade mal nachgezählt, aktuell hab ich über 100 verschiedene Logins gespeichert, vom Online-Banking über das ELSTER-Portal beim Finanzamt, diverse E-Mail-Accounts und Foren bis zur Admin-Weboberfläche meines Laserdruckers. Keine Chance, dass ich mir die alle auswendig merken könnte - aber dann doch bitte lieber verschlüsselt speichern, als sie irgendwo auf einen Zettel zu kritzeln.
• Der Passwort-Manager füllt die Eingabefelder nur auf genau der Seite aus, für die sie auch gespeichert wurden. Wenn mich jemand z.B. auf "sparkassse.de" statt "sparkasse.de" lockt, würde Firefox mein Passwort selbst dann nicht herausrücken, wenn die Seite so täuschend imitiert ist, dass ich selber den Unterschied gar nicht auf Anhieb bemerke.

Dem Browser muss ich eh vertrauen, sobald ich ein Login-Feld ausfülle. Da kann ich ihn auch gleich die Eingaben speichern lassen. Besser als noch irgendein weiteres Programm mit weiteren potentiellen Sicherheitslücken zu installieren.

In Firefox werden die Passwörter in einer verschlüsselten Datenbank im Benutzerprofil abgelegt. Dieses ist bei mir wiederum EFS-verschlüsselt, so dass man auf die Dateien überhaupt nur zugreifen kann, wenn man mit meinem Windows-Account am PC angemeldet ist. Das Ganze liegt wiederum auf einer Bitlocker-Partition, deren Key auf einem USB-Stick gespeichert ist, den ich bei längerer Abwesenheit abziehe und irgendwo sicher verstaue. Das erscheint mir sicher genug – aber wenn ich wollte, könnte ich dem Passwort-Manager auch noch ein zusätzliches Master-Passwort verpassen, das ich dann jeweils eingeben müsste.

Das einzige Risiko: Wenn mich jemand in meiner Wohnung überfällt, wenn der Rechner gerade entsperrt ist, könnte er sich alle Passwörter anzeigen lassen. Aber das Risiko bestände bei einem Notizbuch in der Schreibtischschublade natürlich erst recht, und das könnte er sogar einfach einstecken und mitnehmen.

[tempus fugit]

Zitat:

Zitat von usch

Auf jeden Fall sicherer, als die Passwörter jedes Mal von Hand einzutippen:
[LIST]
[*]Auch ein heimlich installierter Keylogger hätte keine Chance, irgendwelche Tastendrücke abzufangen.

Vorsicht! Wenn der installiert ist, ist alles verloren. Da bekommt man alle Passwörter mit. PC-Login Passwort, das PW zu dem Passwortmanager. Das einzige, was du machen kannst, ist dass du bei der Passworteingabe mit dem Mauscursor in einer anderen Reihenfolge vorgehst, Zeichen immer wieder löschst, und an anderer Stelle hinzufügst und es so erschwerst, dass man rekonstruieren kann, was das Passwort war. Aber der Keylogger kann auch in der Hardware verbaut sein, ohne dass du auch etwas mitbekommst. Solche USB DOngels siehst du nicht einmal, man kann die in der Tastatur einbauen etc, das hat dann mit der Software am PC nichts mehr zu tun :/

[Dat Ei]

Moin, moin,

da sieht man den kleinen, aber feinen Unterschied zwischen Instandhaltung und Instandsetzung.

Keylogger sind dann halb so wild, wenn man sich die Best Practice hält, wo es nur geht konsequent MFA oder 2FA zu verwenden, die einen Medienbruch vorsieht, und die Aspekte Wissen vs. Besitzen berücksichtigt.


Dat Ei

[usch]

Zitat:

Zitat von tempus fugit

Solche USB DOngels siehst du nicht einmal, man kann die in der Tastatur einbauen etc, das hat dann mit der Software am PC nichts mehr zu tun :/

Naja, eben - das setzt einen physischen Zugriff auf den Rechner voraus. Das geht dann nicht mehr mit "wir schmeißen einen Haufen Malware ins Internet und gucken mal, bei welchem Dummkopf die kleben bleibt", sondern da müsste jemand gezielt mich angreifen wollen. Und wenn jemand unangemeldet in meiner Wohnung herumtrappst, dann ist sowieso alles zu spät.

Das mit dem Keylogger war jetzt auch nicht als reale Bedrohung gemeint, sondern als weiteres Beispiel, dass ein Passwort-Manager im besten Fall die Sicherheit sogar erhöhen kann, im schlechtesten Fall aber kein zusätzliches Risiko darstellt, solange man die grundlegenden Regeln einhält.

[10Heike10]

Zitat:

Zitat von rudluc

Wie verwaltest du denn deine Passwörter?
Du kannst sie doch im Browser nachgucken oder in einem der vielen Passwortverwaltungsprogramme.

Das ist hier nicht die Frage, aber da Du so neugierig bist: analog