Kriterien für Passwort-Manager

4future.tech 🛡️ Cybersecurity
, , ,
1

Wir haben ja demnächst ein App-Forum zum Thema Passwort-Manager. Ich würde dort meinen bevorzugten Passwort-Manager, 1Password, vorstellen. Ich würde aber begrüßen, wenn andere Mitglieder auch ihre bevorzugten Passwort-Manager dort vorstellen. Damit das ganze einigermaßen strukturiert abläuft, habe ich einmal eine Liste mit Kriterien und Anwendungsfällen zusammengestellt, die ich gerne demonstrieren möchte.

  • Wer möchte seinen Passwort-Manager vorstellen? Wenn dieser nicht alle diese Kriterien erfüllt, macht das nichts.
  • Gibt es noch Anwendungsfälle oder Kriterien, die in der Liste fehlen? Gibt es Anwendungsfälle oder Kriterien, die für euch unklar sind?

Anwendungsfälle

Web-Browser und Apps auf mobilen Betriebssystemen

Neues Login

Ich erstelle ein neues Konto oder melde mich mit einem bestehenden Konto an, dessen Daten noch nicht im Passwort-Manager gespeichert sind. Die Zugangsdaten automatisch gesichert werden können.

Zusatzfunktion: Die Zugangsdaten sollten auch für mehrere Websites gültig gemacht werden können. Beispiel: ClubComputer, 4Future

Anmeldung

Das Browser-Plugin sollte meine Zugangsdaten auf berechtigten Websites oder in berechtigten Apps automatisch ausfüllen können.

Zugangsdaten aktualisieren

Wenn ich mein Passwort oder andere Zugangsdaten ändere, sollte es eine einfache Möglichkeit geben, den bestehenden Datensatz zu aktualisieren.

Ausfüllen anderer Daten

Es sollte eine Möglichkeit geben, Zahlungsinformationen oder persönliche Informationen unabhängig von der Website/App automatisch auszufüllen.

Desktop

Verwalten von Zugangsdaten

Welche Arten von Geheimnissen gibt es? Beispiele:

  • Login
  • Passwort für Server
  • Router-Daten
  • Lizenzschlüssel
  • Dokumente
  • Notizen

Ausfüllen von Zugangsdaten

Ein schneller Aufruf des Passwort-Managers zum Ausfüllen von Daten in Anwendungen über die Zwischenablage sollte möglich sein (Tastenkürzel, Hintergrund-App).

Passwort-Generator

Der Passwort-Generator sollte flexibel genug sein, um spezielle Anforderungen von Anwendungen und Sites zu erfüllen. Generierte Passwörter sollten in einem Verlauf gespeichert werden.

Weitere Anforderungen

Über Passwörter hinaus

  • Unterstützung für One-Time-Passwords (OTP)
  • Unterstützung für Passkeys

Plattform-Unterstützung

  • Apps für
    • Windows
    • Android
    • iOS
    • iPadOS
    • MacOS
    • Linux
  • Synchronisierung über Geräte hinweg

Über die Einzelperson hinaus

Freigeben von Datensätzen

Einzelne Datensätze sollten auf einfache und sichere Weise mit fremden Personen geteilt werden können, am besten mit Zeitbegrenzung.

Gemeinsam genutzte Tresore

Mehrere Benutzer mit individuellen Login-Daten sollten Passwort-Tresore gemeinsam nutzen können, z. B. Familien.

Wiederherstellung von Tresoren bei Unpässlichkeit

Es sollte die Möglichkeit geben, Vertrauenspersonen zu definieren, die sich Zugriff auf einen Tresor verschaffen können, wenn der eigentliche Besitzer „unpässlich“ ist. Dies sollte mit geeigneten Sicherheitsmechanismen verbunden sein, z. B. einer angemessenen Wartefrist.

Sicherheit

Verschlüsselung

Der Tresor sollte so verschlüsselt sein, dass er nur auf vertrauenswürdigen Geräten zu öffnen ist.

Multi-Faktor-Authentifizierung (MFA)

Der Tresor sollte optional mit MFA gesichert werden können, z. B. OTP oder Passkeys.

Integration mit sicheren Anmeldeverfahren der jeweiligen Plattformen

Beispiele:

  • Windows Hello
  • Face ID

Erkennung unsicherer Kennwörter

Der Passwort-Manager sollte unsichere Kennwörter erkennen und vorschlagen, diese zu ändern. Unsichere Kennwörter können dabei auch an sich komplexe Kennwörter sein, die aber in öffentlichen Listen aufgetaucht sind. Oder es können Kennwörter sein, die auf gehackten Sites verwendet wurden.

2 „Gefällt mir“
2

Sah nun nach, 1Password gibt es für privat nur im Lizenz Abo System. Ich persönlich vermeide solche Abos weitestgehend

3

Gibt es nicht-kommerzielle Alternativen?

4

Ich glaube, die einzige nicht-kommerzielle Alternative ist KeePass. Da musst du aber immer noch so etwas wie eine NextCloud selbst betreiben (oder die vom Club nehmen), um die Synchronisierung über Geräte hinweg hinzubekommen. Ich bin kein Experte dafür. Der Abend ist ja so geplant, dass wir verschiedene Lösungen vergleichen. Wenn es jemanden gibt, der sich mit Keepass gut auskennt, bitte einfach melden. Dann planen wir den Abend gemeinsam. Im Idealfall erfüllt Keepass alle Anwendungsfälle und Kriterien. Wenn nicht - auch kein Problem. Wir wollen ja Unterschiede, Vor- und Nachteile herausarbeiten. Es soll ja kein Tutorial werden, wie man es einrichtet. Das können wir an einem anderen Abend dann machen.

5

macOS betreibt ja seinen eigenen Passwort Manager “Passwörter.app“ - nur können nicht alle Fremd-Apps damit umgehen. Firefox benutzt einen eigen Passwort Manager.
Zumindest kann man über den Umweg Safari die in Firefox Accounts importieren.

Ich benutze Apples Cloud nicht, AFAIK kann man damit seine Passwörter mit allen persönlichen Apple Geräten synchronisieren.

6

Die Passwort-Manager der Browser zu verwenden ist auf jeden Fall eine ganz schlechte Idee. Da sind Kennwörter in der Word-Datei in der Cloud noch besser. Historisch gab es da so viele und so oft Sicherheitslücken, dass ich dem nicht vertraue. Dazu kommt, dass es da gar keine Integration in mobile Betriebssysteme gibt.

Die Apple-Lösung ist auf mehreren Ebenen unzureichend:

  • Kein Support für Android
  • Für eine sichere Anmeldung ist ein Apple-Gerät erforderlich, auch unter Windows

Wenn man also irgendwann beschließt, dass man Apple nicht mehr benutzen will, dann ist man aufgeschmissen.

7

Zum Thema Passwörter in Firefox: Sicherheit gespeicherter Passwörter | Mozilla Firefox | Sicheres Endgerät | IT-Sicherheit | E-Mail und Internet | Kommunikations-, Informations-, Medienzentrum (KIM)

Und hier ein Beispiel für Chrome: Chrome vulnerability could have led to widespread data theft | Computer Weekly

8

In Firefox - da nutze ich mehrere getrennte Profile - verwende ich jeweils ein Masterpasswort.

Bei besonders heiklen Dingen speichere ich sowieso die Zugangsdaten nicht auf Rechner, Handy ab!
Good old ding - Zugangsdaten auf Papier.

9

Ich vewende seit Jahren RoboForm im der 1 Personen Form. Hier ein interessanter Vergleich. https://www.faz.net/kaufkompass/test/der-beste-passwort-manager/

10

Keepass integriert sich optimal mit cloud.4future.one (hat ja jedes Clubmitglied gratis). Gestern habe ich auch noch die Web Version als App in Nextcloud installiert. Wir sollten das für Clubmitglieder ausarbeiten und dokumentieren.
Ich glaube das ist ein entscheidender Mehrwert für Mitglieder.

@Roland_Giersig , @Erwin_Schuster

1 „Gefällt mir“
11

UPDATE!!

Wie man per WebDAV auf Nextcloud zugreifen kann habe ich hier beschrieben: Zugriff auf cloud.4future.one via WebDAV

Das untenstehende Problem wurde also gelöst, man kann also die KeePass Datenbank-Datei problemlos auf Nextcloud legen und von dort synchronisieren oder direkt zugreifen.

Habs getestet, funktioniert im Prinzip, wenn man die .kxdb Datei auf NextCloud, Verzeihung, cloud.4future.one ablegt, kann man die durch simples Klicken mit der Webapp Keeapp öffnen.

Problem: der Zugriff auf NextCloud über 3rd-Party-Apps unterstützt unsere SSO-Lösung nicht sondern möchte direkt einen Benutzernamen und ein Passwort eingeben. Dadurch kann man zB nicht via WebDAV auf die NextCloud Dateien zugreifen und sie daher so auch nicht auf andere Rechner synchronisieren. Blöd.

Gibts da eine Möglichkeit?