Password-Dienste wie Lastpass, RoboForm oder Kaspersky Password Manager

1. offizieller Beitrag

    Mich würde generell interessieren, was ihr von solchen Passwort-Diensten, welche immer ausgefeilter werden haltet?


    Im Prinzip funktionieren alle recht ähnlich, es gibt irgendeinen Server, auf welchen alle eingegebenen Login-Daten gespeichert werden. Zugänglich sind diese mit einem Plugin/App bzw. den entsprechenden Logindaten/Masterpassword.


    Das bedeutet, dass falls mal ein böser Hacker das masterpasswort in die hand bekommt, er auf alle login-daten zugang hat, das ist nicht wirklich ideal, allerdings scheint das der "letzte Schrei" in diesem bereich zu sein? Lastpass, soweit ich das mitbekommen habe, wird hoch gelobt, dass es sicher und sehr bedienerfreunldich sei. kaspersky hat immer wieder probleme mit aktuellen browserversionen und kaspersky wird auch angelastet, kundendaten an geheimdienste weiterzugeben.


    Alle dienste sind sogar kostenpflichtig und funktionieren teilweise auch auf mehreren systemen. der "schlüsselbund" unter macos funktioniert zB nur für alle Apple-Devices, lastpass kann man sowohl unter windows, als auch macos oder auch android verwenden.


    Was haltet ihr von solchen Diensten? Sehr praktisch aber unsicher? Praktisch aber sicher genug? Würde ich nie verwenden? Würde ich nur für unsichere Logins verwenden?

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    Ich nutze schon recht lange LastPass Premium und wills nicht mehr missen. Ist einfach ungemein nützlich, überall seine Passwörter dabei zu haben, und mir ist Interoperabilität und Mobilität sehr wichtig, daher hab ich mich für LastPass entschieden, weils das quasi für alle Systeme gibt. Gut find ich auch dass die Autovervollständigung der Logindaten auch für Apps geht unter Android.


    Natürlich schwingt bei mir immer nen mulmiges Gefühl mit, was passiert, wenn die jemand hackt, aber bisher ist alles gut, und die Vorteile lassen die Angst sehr oft verstummen. ;)

    Ja sehe ich ähnlich wie du, dass es extrem praktisch ist und auch unter android und iOS recht gut funktioniert.


    Dieses mulmige Gefühl: Das ist genau einer der Gründe, warum ich diese Diskussion eröffnet habe. Ist es begründet oder nicht? Im Prinzip kann ein System noch so sicher sein, es gibt immer wieder Zeitfenster, in welchen Sicherheitslücken ausgenützt werden können.


    Um besser ausloten zu können, ob es dafür steht oder nicht, glaube ich ist es wichtig sich mit den Konsquenzen vertraut zu machen bzw. bewusst auseinander zu setzen.
    Das könnte im schlimmsten Fall einen finanziellen Schaden bedeuten oder öffentliche "Bloßstellung", vielleicht sogar Erpressung, wenn der Hacker besonders sensible Daten erwischt. Natürlich hängt es auch davon ab, was dieser Hacker genau will, verkauft er die Daten weiter oder verwendet er sie selber und versucht daraus seinen Profit zu schlagen?


    Auf jedenfall müsste man dann bei jedem Account ein neues Passwort setzen, was recht zeitaufwändig sein kann und man muss hoffen, dass der Hacker sich nicht die Mühe angetan hat gewisse passwörter zu ändern bzw. eventuelle Email-Benrachtigungen über solche Änderungen zu löschen.


    Eine Anzeige bei der Polizei kann man zwar machen, aber in der Regel kommt da leider nicht viel heraus.


    Vor langer Zeit wurde mal mein amazon-account gehackt und damals hat der "Betrüger" ein iPhone nach Deutschland zu einer Packstation bestellt, zu meinem E-Mail-Account hatte er offensichtlich auch Zugang, da er sämtliche Bestell-Emails auch gelöscht hatte.
    Die Sache ging glimpflich aus, da ich zufällig, aber rechtzeitig erkannte, was zu tun war.


    jedenfalls habe ich seitdem recht großen respekt davor, wie und wo ich meine passwörter ablagere. Früher habe ich Kaspersky PW-Manager verwendet und kurz mal Lastpass ausprobiert, aber ganz geheuer ist mir diese Sache nicht, aber leider gibt es keine brauchbaren Alternativen oder?
    Ein verschlüsseltes Excelfile auf einer verschlüsselten Partition? Ist das wirklich sicherer? Im Endeffekt muss man hier auch "nur" das Masterpasswort hacken und hat zugang zu allen logins.
    Vielleicht doch einfach ein Stück Papier und dort händisch alles draufschreiben?

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    Mein Passwortdienst ist mein Kopf...kein Account wurde bis jetzt gestohlen bzw. gehackt. Sorgen muss ich mir auch keine machen und somit hab ich auch kein mulmiges Gefühl :)

    • Offizieller Beitrag

    Tja, alles kann gehackt werden. Und wenn man alles im Kopf hat, ist wohl die Anzahl der Passwörter eher klein, und ein hacker der eines raus findet hat dann halt Zugriff auf viele Dienste. So oder so blöd.
    Am besten ist eine offline Datei mit eigenem Passwort versperrt, die alle anderen Passwörter enthält. Oder noch klüger ein Blatt Papier in Geheimschrift im Tresor :)

    Zitat von tRUE bLACK

    Dieses mulmige Gefühl: Das ist genau einer der Gründe, warum ich diese Diskussion eröffnet habe. Ist es begründet oder nicht?


    Also solche Passwortdienste machen vor allem dann Sinn, wenn man sie mit 2-Faktor-Authentifikation (2FA) nutzt. Das erhält den Komfort und die Sicherheit. 2FA ist z.B. sowas wie der BattleNet Authentificator. D.h., man bestätigt seinen Login durch einen Code, der in einer remote App oder SMS angezeigt wird. Auf die Weise ist es theoretisch egal, wenn dein Passwort gehackt wird, weil der Cyber-Angreifer dann z.B. noch das Handy erbeuten müsste und das ist unwahrscheinlich.


    Kann nur jedem empfehlen, 2FA für so viele Dienste wie möglich zu aktivieren. Damit verringert sich auch das mulmige Gefühl bei Cloud Password Diensten, denn das Passwort ist damit dann nur noch einer von zwei Parts zum Login. Nette Seite dazu ist https://twofactorauth.org

    das klingt ja wirklich nach einem äußerst guten Kompromiss.
    angenommen ich möchte lastpass verwenden und eben diese 2-Faktor-Authentifikation verwenden, wie richte ich das korrekt ein?


    ich habe mal vor langer Zeit den google authentificator für meinen microsoft-account verwendet und war ganz verwundert, dass google software so gut mit microsoft zusammenarbeiten kann.
    aber im prinzip habe ich es so verstanden, man benötigt eben noch eine weitere 2FA-Software wie zB den google authenticator bzw. welche ist noch empfehlenswert?
    und dann muss man halt einstellen, dass alles, was man möchte, eben über diese 2fa-software rennt.


    wie bringe ich denn den google authentificator dazu dass lastpass mit ihm zusammenarbeitet?
    wird der authentificator nur auf dem smartphone installiert oder muss auch unter windows eine zusatzsoftware installiert werden?
    finde das thema grad ganz spannend ;)

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    2-Faktor-Authentifikation läuft IMMER über den jeweiligen Anbieter. Es gibt also keine zentrale 2FA-Software für JEDEN Login. Dann wären wir ja wieder bei den Problemen von Cloud Passwort Diensten, wo alle Daten/Passwörter zentral hackbar liegen, oder bei Single-Signon, aber das wäre Off-Topic.


    Musst also 2FA für jeden Dienst, der 2FA anbietet, separat einrichten. Im Battle.Net z.B. über die Authenticator App. Microsoft hat dafür z.B. auch Apps. Bei Online Banking läuft's z.B. über SMStan, wo du für jede Überweisung ne TAN per SMS bekommst. Das ist zwar ein initialer Aufwand, das für jeden Dienst zu aktivieren, aber http://twofactorauth.org erklärt für viele Dienste, wie und wo man das macht. Auf Dauer ist das aber die einzige Möglichkeit, wirklich die bestmögliche Symbiose aus Sicherheit und Komfort zu erreichen. Denn die Passwörter hat man trotzdem noch irgendwo liegen, aber die Passwörter alleine reichen bei 2FA ja dann nicht mehr aus, um sich irgendwo einzuloggen.


    Gibt derzeit auch Diskussionen auf Security Panels und so, dass man das Passwort im Internet komplett abschafft, sondern nur noch den Login über das Handy/SMS machen kann. Das ist der nächstlogisch Schritt eigentlich. Dann kann das Passwort nicht mehr gehackt werden und wenn das Handy geklaut wird, weiß trotzdem niemand, für welche Accounts das als 2FA genutzt wird. Win-Win-Situation eigentlich. Wäre ich Michael Pachter, würde ich sagen, dass das die Zukunft ist. Logindaten zusammen auf einem Server zu speichern bzw. Passwörter selbst sind ein Steinzeit-Datenmodell.

    so habe das mal ausprobiert mit lastpass und google authentificator, klappt super, wurde sofort nach dem code gefragt, mir ist aufgefallen, dass sich der immer wieder ändert oder bleibt es bei einem einzigen code?


    in lastpass gibt es beim google authentificator die option "Erlaube Offlinezugriff", als Erklärung steht Folgendes dabei "Steuert, ob der Zugriff auf Ihr Konto erlaubt ist, während Sie nicht mit dem Internet verbunden sind.Den Zugriff auf Ihr Konto zu erlauben, während Sie offline sind, ist etwas weniger sicher, da Einmalpasswörter nicht überprüft werden können."


    ich verstehe nicht genau, wie das gemeint sein soll? Bitte um Erklärung, weil wenn ich offline bin, kann ich mich ja auch auf keiner internet-site einloggen?
    habe gerade noch gelesen, dass man halt lastpass erlaubt, dass zusätzliche informationen verschlüsselt gespeichert werden, aber der sinn dieser option "Erlaube Offlinezugriff" erschließt sich mir immer noch nicht.

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    Naja, die Einmalpasswörter werden ja online vom Anbieter zur Laufzeit dynamisch erstellt. Wenn man kein Internet hat, kannst das Einmalpasswort oder den AuthCode nich online abrufen. Is wie beim SMStan-Verfahren: Wennst kein Mobilfunknetz hast, kannste keine TAN via SMS erhalten. Daher ist die Verifizierung dann nicht möglich, und etwas unsicherer, wie es da auch vermerkt ist. Zugriff würdest dann im Offline-Fall (und nur dann) trotzdem erhalten, dann allerdings nur per Login/Passwort wie es ohne 2FA ist.


    Und dass sich das Einmalpasswort ändert, ist normal. Beim BattleNet Authenticator siehst sogar nen Balken, wie lange der Code zum Login noch gültig ist.

    Danke Cyberblitzbirne für die Erklärungen, jetzt tun sich wieder andere Fragen auf:



    Wie wird das geprüft?
    Also wenn ich mit dem Smartphone offline bin, dann kann ich mich ohne 2FA anmelden oder wie?
    Das würde dann bedeuten, wenn ich mal den flugmodus aktiviere oder die mobilen daten deaktiviere, gibt es einfach keine 2FA und die sicherheit ist am gleichen niveau wie generell ohne 2FA?



    KeepassX ist auch ein ganz gutes Tool, in der Vergangenheit gab's da mal eine brisante Lücke, die inzwischen geschlossen worden sein dürfte, Nachteil an Keepass ist halt, dass es nur lokal verwendbar ist und nur für windows und macos-verfügbar ist.

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    Zitat von tRUE bLACK

    Wie wird das geprüft?
    Also wenn ich mit dem Smartphone offline bin, dann kann ich mich ohne 2FA anmelden oder wie?


    Im Falle von LastPass, ja. Ob andere Dienste einen Offline-Modus bieten, hängt natürlich vom Anbieter ab. Wie das mit dem Offline-Modus bei LastPass genau funzt, weiß ich natürlich nicht ohne genause Kenntnisse der Infrastruktur, aber ich vermute, die speichern das Master-Passwort lokal encrypted aufm Phone. Im Falle von Dropbox ist es z.B. ein "Emergency Code", den man sich irgendwo notieren soll, falls man mal das Handy nicht zur Hand hat. Solche Fallback-Strategien gibt der Anbieter vor, und nicht alle nutzen die selbe Strategie.


    Zitat von tRUE bLACK

    Das würde dann bedeuten, wenn ich mal den flugmodus aktiviere oder die mobilen daten deaktiviere, gibt es einfach keine 2FA und die sicherheit ist am gleichen niveau wie generell ohne 2FA?


    Richtig. Aber man muss dazu sagen, dass du dich ja bei den meisten Diensten eh online einloggen musst (Netflix, Dropbox etc.). D.h. wenn du den Flugmodus eh anhast, wirst du dich ja bei Netflix erst gar nicht anmelden können, ergo ist ja nicht nur 2FA nicht verfügbar, sondern der gesamte Loginprozess vorher schon nicht. ;) Oder anders ausgedrückt: Wenn du dich beim Battle Net anmeldest, brauchst du ja nen Online-Zugang. Ohne den macht der Login ja keinen Sinn bzw. ist gar nicht erst möglich (oder wie willst auf battle.net surfen ohne Internet?). D.h., sobald du battle.net aufrufen kannst, hast du Internet, und daher i.d.R. Zugriff zum 2FA-Einmalpasswort.

    danke wieder für die ausführlichen antworten - hast dir ja schon ein bier verdient ;)


    ich verstehe, man muss sich also wirklich bei jedem anbieter "einarbeiten".


    Zitat

    Richtig. Aber man muss dazu sagen, dass du dich ja bei den meisten Diensten eh online einloggen musst (Netflix, Dropbox etc.). D.h. wenn du den Flugmodus eh anhast, wirst du dich ja bei Netflix erst gar nicht anmelden können, ergo ist ja nicht nur 2FA nicht verfügbar, sondern der gesamte Loginprozess vorher schon nicht. Oder anders ausgedrückt: Wenn du dich beim Battle Net anmeldest, brauchst du ja nen Online-Zugang. Ohne den macht der Login ja keinen Sinn bzw. ist gar nicht erst möglich (oder wie willst auf battle.net surfen ohne Internet?). D.h., sobald du battle.net aufrufen kannst, hast du Internet, und daher Zugriff zum 2FA-Einmalpasswort.


    ich könnte mir allerdings schon die kombination vorstellen, dass man zB einen pc per kabel mit dem internet verbunden hat und das smartphone nur über den handyprovider online gehen kann, allerdings ist das schon recht weit hergeholt und wird in der Regel eher nicht auftreten.

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.

    Zitat von tRUE bLACK

    ich könnte mir allerdings schon die kombination vorstellen, dass man zB einen pc per kabel mit dem internet verbunden hat und das smartphone nur über den handyprovider online gehen kann


    Was sich ja nicht ausschließt. Du musst ja mit dem PC und Smartphone nicht im selben WLAN sein. Wenn du mit dem Handy "nur über den handyprovider" ins Netz kannst, reicht das ja vollkommen.

    ja stimmt, ich meinte es allerdings ein wenig anders, also so, dass man keinen wlan-router hat, der pc auf dem man arbeitet nur verkabelt im internet hängt und blöderweise die mobilen daten bereits aufgebraucht sind.


    aber wie bereits erwähnt, eher eine utopie.

    Wo die Sonne des Intellekts tief steht, werfen selbst Zwerge lange Schatten.