Passwortmanager

[User 1461]

Hi,

nachdem ich mich etwas damit beschäftigt habe, nutze ich seit kurzem einen Passwortmanager. Alles nach Empfehlung/Vorschrift...blablabla...für jeden Dienst anderes PW/einzigartig/lang/komplex usw...

Funktioniert natürlich für Internetseiten gut...

Was ist mit den ganzen Diensten oder auch Spiele, die auf eigene Apps setzen, wie z.B. Steam, Mircrosoft Teams, VPN-Dienst usw...?
Da kommen auch bei den Diensten einige Passwörter zusammen... Würde auch da gerne einen/meinen Passwortmanager nutzen. Aber so einfach wie bei Webseiten geht das ja da leider nicht, oder?
Die einzige Möglichkeit die Passwortempfehlung bei Steam usw. umzusetzen ist das Passwort manuell aus dem Passwortmanager rauszukopieren, oder?

lg
Wolfgang

PS: kann zu dem Thema die aktuelle uplink folge oder CT empfehlen...das hat mich auch dazu gebracht, das Thema mal anzugehen...

 

[User 22939]

Verwende seit sehr vielen Jahren Keepass und finde es unabhängig von Webseiten genauso unproblematisch von Bedienung.
Klar man kann wenn es um Webseiten geht diese direkt starten lassen über die URL, aber dann ist halt bei z.B. Steam ein Klick zusätzlich. Aber die Sicherheit aller Daten dankt es einem für diesen (max. 5sek. langen) "Umweg"

 

[User 948]

Moin Wolfgang,

Ich nutze KeePass mit dem Plugin Kee und der geht auch bei Steam. Die anderen Sachen habe ich nicht aber bis auf ein paar Ausnahmen läuft das gut.

Starmoney zum Beispiel geht nicht.

Bei Steam kann ich die Autofill Funktion nutzen, bin mir sicher das es auch noch andere Lösungen gibt. Aber so viel Zeit wollte / will ich da nicht investieren.

Die PW DB liegt auf meiner Fritzbox, so kann ich jeden Rechner damit nutzen.

 

[User 561]

Unterschiedliche Passwörter machen Sinn, ein Passwortmanager auch. Aber zu Hause sehe ich keinen Komfortnachteil. Nahezu jede Software hat eine Auto-Login-Funktion, die man zu Hause unbeschwert nutzen kann. Und für unterwegs nutzt man dann eben den Passwortmanager.

 

[User 6638]

Ich nutzen ein selbst gehostetes Bitwarden, das funktioniert sowohl am PC als auch am Handy. Synchronisation mache Ich einmal die Woche von den Devices. Klappt bisher sehr gut.

 

[User 1461]

Ich nutze Bitwarden und hinterlege auch dort meine Passwörter. Habe abgewägt zwischten KeePass und selbst gehosteter DB oder Bitwarden und dort auch meine DB zu hintlerlegen. Die zweite Variante erschien mir da etwas komfortabler und einfacher.

User 561
Stimmt...könnte mal schauen, was die Apps an Auto-Login-Funktion hergeben. Möchte das halt aber nicht in Verbindung mit dem Windows-Start...

Im Zweifelsfall würde ich dann den Umweg mit dem rauskopieren aus der DB machen... Das ist noch akzeptabel

Nutzt ihr auch 2 faktor authentifizierung?
Irgendwie stelle ich mir das...vor allem im Vergleich zu meiner bisherigen Passowortsituation...nicht so komfortabel vor... Immer den USB-Stick einstecken oder das Smartphone in die Hand nehmen...

 

[User 13109]

Nutze seit einiger Zeit Bitwarden. Wie geht das mit dem selbst Hosten? Ist das ein großer akt?

 

[User 948]

Nutzt ihr auch 2 faktor authentifizierung?
Irgendwie stelle ich mir das...vor allem im Vergleich zu meiner bisherigen Passowortsituation...nicht so komfortabel vor... Immer den USB-Stick einstecken oder das Smartphone in die Hand nehmen...

Jep,

Leider hier 2 Systeme weil einige Anbieter ihren eigenen Kram haben.

Ich benutze das Handy dafür und ja ist mehr Aufwand aber 6 Zahlen eintippen ist immer noch besser wie verlorene Zugangsdaten etc.

 

[User 561]

2-Faktor-Authentifizierung läuft inzwischen auf vielen Systemen mit Fingerabdruck auf dem mobilen Device. Das empfinde ich persönlich als sehr sicher und äußerst komfortabel.

 

[User 948]

User 11822,

Name / Link ??

Danke

 

[User 561]

Ich weiß nicht, ob es dafür dedizierte Software gibt, die Passwort-Management zulässt, aber mein Onlinebanking, der Salesforce Authenticator, PayPal, Google Pay ... funktionieren alle so. Will ich mich einloggen, so erhalte ich einen Popup-Hinweis auf das Smartphone, scanne meinen Fingerabdruck und drin bin ich. Gleiches Spiel bei konkreten Aufträgen, z. B. Überweisungen im Onlinebanking. Finger scannen, Auftrag legitimiert.

 

[User 1461]

Erledigt...

...jetzt treibt mich nur noch um, ob ich meine kryptischen Passwörter vll nicht doch besser durch Wortkombinationen ersetzen sollte

 

[User 948]

Ich weiß nicht, ob es dafür dedizierte Software gibt, die Passwort-Management zulässt, aber mein Onlinebanking, der Salesforce Authenticator, PayPal, Google Pay ... funktionieren alle so. Will ich mich einloggen, so erhalte ich einen Popup-Hinweis auf das Smartphone, scanne meinen Fingerabdruck und drin bin ich. Gleiches Spiel bei konkreten Aufträgen, z. B. Überweisungen im Onlinebanking. Finger scannen, Auftrag legitimiert.

Okay,

das ist dann nicht das was ich benötigen / gebrauchen könnte.

Dir ist aber schon klar das die ganze Sache nicht so sicher ist ??

Anwendung & Authenticator auf einem Gerät ist eine Schwachstelle.

 

[User 561]

Anwendung & Authenticator auf einem Gerät ist eine Schwachstelle.

Ich habe nicht von Anwendung und Authenticator auf demselben Gerät gesprochen. Wenn ich am Rechner Dinge tue, die Authentifizierung erfordern, dann funktioniert das so. Das greift nahtlos ineinander.

 

[User 948]

Okay,

dann habe ich das missverstanden und muss nun doch zugeben das ich das gebrauchen könnte.

Zur Zeit nutze ich für Foren / Webseite den Google Authenticator da muss ich halt tippen.

Amazon & Paypal bekomme ich eine SMS mit der Nummer. Das schon mehr Aufwand.

Aber dann muss es ja bei Dir eine APP sein ??

 

[User 2602]

Ich klinke mich mal ein, weil mich das Thema interessiert.

Erstmal zur Beantwortung der Fragen...
Ich habe auf dem Handy die App "Keepass Android", in dieser Datenbank sind die Passwörter hinterlegt.
Diese Datenbank ist mit einem Masterkennwort geschützt, welches hoffentlich ausreichend schwer und undurchschaubar ist.
Die App generiert auch Zufallspasswörter, den Verschlüsselungsgrad kann man vorgeben.

Das dazu.... Die Passwörter füge ich per Copy & Paste in die jeweilige Anmeldemaske ein, bzw. schreibe sie mühsam ab, wenn ich am PC sitze. Da dies aber relativ selten ist, macht mir das erstmal nichts.
Ist vielleicht nicht das komfortabelste, aber mir reichts. Vielleicht auch mangels Kenntnis adäquater Alternativen.

Trotzdem mal von mir eine Frage. Das Thema Sicherheit rückt ja immer mehr in den Fokus und auch ich habe mittlerweile Kenntnis davon, das ein Account von mir öffentlich geworden ist. So wäre ich durchaus immer bestrebt, die Sicherheit zu erhöhen.
Ich bilde mir ein, das eine Zwei-Faktor Authentifizierung noch mal eine ganze Portion mehr Sicherheit bietet, im Vergleich zu einem Anmeldename und einem Passwort.
Daher würde ich mal gern wissen, kann ich quasi bei jedem Account, bzw. Webseite eine 2-Faktor-Authentifizierung vorschreiben?
Beispielsweise, auch hier im Virtualracingforum? So dass, wenn ich mich anmelde, eine Abfrage kommt?
Auf Arbeit, auf den Webseiten meines Arbeitgebers läuft es so. Sobald ich mich einlogge, kommt eine Abfrage auf die Microsoft Authenticator App. Oder Anruf auf mein Firmentelefon, je nach Einstellung...

Noch eine zweite Frage. Wenn ich auf Webseiten oder Foren unterwegs bin, aktiviere ich die Option "immer angemeldet bleiben".
Ist diese Funktion sicherheitskritisch zu bewerten?

Greetz
Karsten

 

[User 1461]

was machst du, wenn du dein Handy verlierst?

 

[User 948]

Ich bilde mir ein, das eine Zwei-Faktor Authentifizierung noch mal eine ganze Portion mehr Sicherheit bietet, im Vergleich zu einem Anmeldename und einem Passwort.
Daher würde ich mal gern wissen, kann ich quasi bei jedem Account, bzw. Webseite eine 2-Faktor-Authentifizierung vorschreiben?
Beispielsweise, auch hier im Virtualracingforum? So dass, wenn ich mich anmelde, eine Abfrage kommt?


Greetz
Karsten

@Karsten,

das ist keine Einbildung sondern richtig so.

Und ja man kann es auch in Foren nutzen, es gibt zwar immer wieder mal Foren die das nicht unterstützen aber das merkt man dann.

Schau einfach mal bei Deinem Profil hier und dort die Foren Einstellungen

Ob das ganze mit der Microsoft Authenticator App läuft weiß ich nicht da ich Google nutze.

Im Falle des Verlustes vom Handy gibt es Rückfall Codes, die sollte man sich natürlich erzeugen und entsprechend ablegen.

Zu Deiner Keepass App noch eine Sache wo ich mir gerade nicht sicher bin....

Ich meine die kann auch mit KeePass PC zusammen, dann hat man sich das eintippen erspart.

Man muss nur beide DB's syncronisieren und natürlich regelmäßig 1 - 2 Backups davon weglegen.

 

[User 22939]

User 2602

Zu deiner 2ten Frage : diese "immer angemeldet bleiben" Funktion ist etwas was ich grundsätzlich nicht benutze bei irgendwelchen Logins. Es ist (wenn man sonst ausreichende Sicherheitsfeatures am Rechner nutzt) nicht sehr kritisch, aber (finde ich jedenfalls) man sollte sich hier etwas sensibilisieren da wenn jemand falsches Zugriff auf den PC bekommt (lokal oder eben remotely) mit hinreichenden IT-Kenntnissen reicht so etwas schon aus um es als Lücke auszunutzen (Login / Passwort auszulesen).

Nur sollte man in Bezug darauf auch etwas tiefer sich mit der Materie beschäftigen wie diese Funktion realisiert ist bzw. es bei anderweitig mit der notwendigen Sorgfalt verwaltet überhaupt einen echten Unterschied macht In den meisten Fällen sieht es nämlich einfach so aus dass dies über einen sog. (oft dauerhaft nicht gelöschten) Cookie bzw. lokal gespeichert wird. Wenn man aber die "richtigen" Privacy-Funktionen in aktuellen Web-Browsern (WB) aktiviert, werden diese Sachen bei jedem Schliessen des Browsers wieder automatisch gelöscht (so stelle ich es bei mir überall an meinen Systemen ein. Nutze fast überall nur Mozilla Firefox, geht aber auch in meisten anderen WB ziemlich ähnlich).
Hat aber den "Nachteil" (für die Gemütlichkeit) dass eben bei jedem Beenden des Browser man sich überall sowieso neu einloggen muss. Aber das stört mich so gar nicht weil man für mehr Sicherheit eben "keine Annehmlichkeiten" erwarten darf.

Finde mit Keepass grundsätzlich eben hast Du schon recht gute Entscheidung gemacht, aber ehrlich gesagt "widerstrebt" mir persönlich es so eine Software (und damit alles sicherheitsrelevante an Passwörtern) auf einem Mobiltelefon gespeichert zu haben (hoffe wenigstens hast dann eine ordentliche und aktuelle Security-Software auf dem Android laufen)

Und wie Sönke sagte (sich aber nicht sicher war) : klar gibt es Keepass für PC (dies ist auch wo ich vor paar Tagen von hier im Thread auch schrieb). Nutze dies seit vielen Jahren schon eben und würde aus meinem Anspruch an Sicherheit wirklich "niemals" auf die Idee kommen eine Installation davon auf einem meiner Smartphones zu machen.
Man kann die Datenbank ja eben auch irgendwo für sich zentral ablegen (pc-seitig) und eben immer syncen (dafür hat das PC-Programm sogar sehr gute Funktion eingebaut). Und dann eben statt nur mit sicherem Passwort zusätzlich ein Sicherheitsfile nutzen ohne welches man auch bei bekanntem Passwort die Datenbank nicht öffnen kann (diese legt man sich eben unabhängig von Datenbank woanders ab).

 

[User 948]

User 1392,

ich bin mir nicht sicher ob KeePass PC und Android gesync. werden können.

Ich bin ein KeePass User aber nur PC, auf mein Handy kommt nichts was mit PW's zu tun hat.