[Hotbird]

Moin moin,

ich wusste nicht wo ich es reinpacken soll, darum mal hier in den Smalltalk.. Mein Browser unter Windows und auch Safari zeigt mir immer öfter an das irgendwelche Passwörter unsicher sind etc. Wenn die Meldung kommt, dass es über ein Datenleck veröffentlicht wurde, ändere ich auch die Passwörter mal wieder. Meist mache ich dann noch 1-2 Sonderzeichen rein um wieder sicher zu sein. 
Ich habe auch den Schlüsselbund aktiviert, da werden mir immer ultrasicherer Passwörter vorgegeben. Ich frag mich dann nur immer, was passiert, wenn der Schlüsselbund im iOS mal weg ist bzw. da was nicht hinterlegt wurde ( ist mir seit der Einführung des Schlüsselbundes schon öfter passiert ). 

Es gibt ja auch Apps ( 1Passwort etc. ) die einem das Ganze wegsichert. Muss ich diese App dann auf jeden Gerät haben wo ich mich mal irgendwo anmelde oder sofort das neu vergebene Passwort dort einspeichern? Irgendwie fühle ich mich da auch nicht so wirklich sicher, dass alle meine Passwortänderungen dort gespeichert bleiben... Ich mein, ich jailbreake meine iOS Geräte allgemein ganz gerne, da muss ich auch manchmal das Gerät als neues Gerät aufsetzen.. 

Wie macht Ihr das denn? Volles Vertrauen auf solche Passwortprogramme oder den Schlüsselbund von Apple? Ich hab da irgendwie Angst, dass ich diese ultralangen vorgeschlagenen Passwörter später nicht mehr herausbekomme und mein Account etc. dann für die Füße ist :-) Irgendwie möchte ich auch nicht erst ne halbe Stunde in meinem Handy rumsuchen um mich dann auf der Arbeit z.B. auf iszene anzumelden... 

Hoffe Ihr versteht mein Problem :-)

[*Steffen*]

@Hotbird deine "Angst" ist dein Problem ;-)

Ich nutze schon seit Jahren einen Passwort-Manager - da sind alle Passwörter drin und man entsperrt das Programm/die App mit EINEM Masterpasswort, oder per Touch/Face-ID - klar brauchst du so einen Manager auf allen Geräten wo du dich irgendwo anmelden musst. Das geht aber dann oft auf Knopfdruck und die Anmeldedaten werden automatisch eingetragen, wie beim Schlüsselbund auch.

Vorteil von diesen Managern gegenüber dem Schlüsselbund, sie gehen über mehrere Betriebssysteme... Also auf meinem Windows-Laptop wie auch auf dem iPhone und iPad...

[Matze71]

Ich nutze Bitwarden, überlege aber auf 1Password umzusteigen (insbesondere wegen der Möglichkeit TouchID am Macbook zu nutzen).

[*Steffen*]

Ich nutze KyPass - kostet nur einmal, kein Abo-Zwang und gibt es auch für Windows. Die Datei mit den ganzen Passwörtern muss auch nicht zwingend in der Cloud liegen (es werden vielen Cloudanbieter unterstützt) sondern kann auch manuell via iTunes übertragen werden.

[René]

Und für die, die es "oldschool" wollen ... ohne Abo, ohne Cloud und Opensource:
https://keepassxc.org/

[Matze71]

Ohne Cloud, wie werden dann die Passwörter zwischen mehreren Geräten synchronisiert?

[*Steffen*]

@Matze71 na, du musst die Datei manuell über iTunes übertragen.
Ich bearbeite die Datei meist auf dem Laptop und übertrage die dann alle paar Wochen auf iPhone und iPad…

[Matze71]

Da liebe ich mir eine cloudbasierte Lösung, Passwörter synchron auf allen Geräten.

[*Steffen*]

@Matze71 Jeder wie er es mag…

[hoho]

@steffen

Keepassrc ist aber für Mac oder gibts das auch unter iOS?

Nutze Keepass mit der App Keepassium. Ist mit einer Schlüsseldatei frei und reicht voll.

Man kann es lokal halten, aber auch Geräteübergreifend auf die iCloud legen (mit allen Risiken…

[*Steffen*]

@hoho

Ich meine diese App, gibt es macOS, iOS und iPadOS

https://apps.apple.com/de/app/kypass-kee...1258708743

[LukeLR]

Man kann ja KeePass auch trotzdem über eine Cloud synchronisieren, indem man die Keepass-Datei einfach in einen Cloud-Dienst seiner Wahl legt. Das ist dann immer noch deutlich sicherer, als einen Passwortmanager mit integrierter Cloud-Synchronisierung zu verwenden, weil ein Angreifer einen solchen Cloud-Dienst viel leichter angreifen kann. Für einen Angreifer ist es ja viel attraktiver, einen Dienst wie 1Password anzugreifen, wo er weiß, dass da Passwörter liegen, und auch in welchem Format, und wie man die abrufen kann, als in irgendwelche privaten iCloud-, Nextcloud und Co.-Accounts einzudringen, und die dann nach Keepass-Dateien zu durchsuchen. Weil fast niemand eine solche Keepass-Datei in seinem Cloud-Speicher liegen hat, und die auch dann nochmal mit einem Master-Passwort verschlüsselt sind, lohnt sich das einfach nicht.

Außerdem vertraue ich einem Open Source-Projekt meine Daten einfach deutlich lieber an als einer kommerziellen Software - gerade bei so sensiblen Daten wie Passwörtern. Auch wenn es dadurch vielleicht manchmal ein bisschen weniger komfortabel ist. Oft ist es ja gerade dieser Kompromiss, der Dinge erst so richtig sicher macht. Klar wirbt 1Password damit, sicher zu sein, aber Entwickler machen nunmal Fehler. Und dann vertraue ich lieber auf das Mehr-Augen-Prinzip bei einem Open Source-Projekt, wo der Quellcode offen liegt und von einer viel größeren Anzahl an Entwicklern überarbeitet und überprüft wird, als in einem Unternehmen. Wenn in einem Programm Fehler vorliegen, wo der Quellcode nicht öffentlich ist, ist die Gefahr viel größer, dass diese Fehler über Jahre unentdeckt bleiben - einfach, weil weniger Leute draufgucken. Klar kann sowas auch bei einem Open Source-Projekt passieren, aber die Wahrscheinlichkeit ist in den meisten Fällen einfach geringer.

Und wenn hinter so einem Projekt keine kommerziellen Interessen stehen, fühle ich mich auch nochmal wohler. In einem Unternehmen stehen Softwareentwickler häufig stark unter Druck, schnell neue Funktionen zu veröffentlichen, damit das Produkt Geld einspielt. Und dann muss halt eben nochmal schnell was fertig gemacht werden kurz vor Feierabend, damit der Chef zufrieden ist. Und dabei schleichen sich eben schnell Fehler ein, oder Dinge werden bewusst unsauber programmiert, weil eine saubere Programmierung deutlich mehr Zeit erfordern würde. Dem Kunden / Nutzer fällt ja nicht auf, wie es hinter den Kulissen aussieht - Hauptsache, nach außen hin sieht alles sicher und stabil aus. Bei einem Open Source-Communityprojekt besteht ein solcher Druck nicht - die Entwickler können sich die Zeit lassen, die sie brauchen, um neue Features zu entwickeln. Und gleichzeitig machen die Entwickler ihre Arbeit nicht für Geld, sondern in ihrer Freizeit, sodass auch einfach das Ziel ein anderes ist. Es geht dann wirklich einfach nur darum, eine gute Software zu entwickeln, die auch den eigenen Ansprüchen der Entwickler gerecht wird, und nicht ein Produkt zu entwickeln, was in kurzer Zeit ausreichend viel Geld einspielen kann. Da ich selbst in der Branche tätig bin, weiß ich, dass diese beiden Zielsetzungen leider oft orthogonal zueinander stehen. Das ist aber auch nur meine Meinung zu diesem Thema, natürlich steht es jedem frei, sich selbst eine Meinung dazu zu bilden

[hoho]

Ok, danke steffen, ich nutze wie gesagt kostenfrei
https://apps.apple.com/de/app/keepassium...1435127111

[*Steffen*]

@hoho gibt es da auch was passendes für Windows dazu?

[hoho]

@*Steffen*
Klar, das Original

https://keepass.info/

Läuft mit der gleichen Datenbank

[*Steffen*]

@hoho na das nutze ich ja jetzt auch schon…

[René]

@Matze71 Wie @*Steffen* und @LukeLR erklärt haben, kann man die Passwortdatei bei Bedarf dann natürlich selbst über eine Cloud synchronisieren. Grundsätzlich bringt KeePass aber diese Funktion nicht automatisch mit.

Wie gesagt, jedem das seine. Passwörter und Cloud sind zwei Dinge die in meinen Augen einfach nicht zusammengehören, aber das ist nur meine Meinung.

[*Steffen*]

@René dem ist nichts hinzuzufügen…

[hoho]

naja @rené
Cloud und Passwörter?

Ich würde sagen Online und Passwörter passt nicht zusammen.
Also auch Apps, die eine eigene Datenhaltung online anbieten sind für mich ein absolutes NoGo.

[Hotbird]

Oha,

da haben sich ja schon einige gemeldet :-) Problem bei mir an der Arbeit ist allerdings das ich da keine App installieren darf :-)
Naja, ich schaue mal ob ich mein derzeitiges Verhalten vielleicht doch noch einmal geändert bekomme und auch auf eine App umstelle :-)