Password Manager

Hallo,

ich suche für mich einen neuen Passwort Manager und wollte daher einmal fragen, welche Software ihr mir für meine Anforderungen empfehlen könnt.

  • Als unterstützte Betriebssysteme brauche ich Windows, Linux und Android
  • Kostenlos (am besten Open Source)
  • Synchronisierung über mehrere Geräte MUSS unterstützt sein.

Soweit sind das nun die Standardanforderungen, die soweit eigentlich fast alle können (?)

  • Ich hätte gerne, dass die Synchronisierung nicht über dritte läuft. Am einfachsten, stell ich mir vor, dass die Sync bei mir über FTP(S) funktioniert und daher das File/ die Files auf meinem Server liegt. Es muss aber nicht FTP sein, es kann auch ruhig SVN/GIT oder sonst ein Protokoll verwendet werden.

Was ich eben nicht will ist mich von einem speziellen Dienst abhängig machen.
Ich hab schon gelesen, dass einige einen lokalen Passwort Manager nutzen und die Passwortdatei über DropBox syncen. Da ich aber kein Dropbox oder einen anderen Cloud Service nutze kommt die Lösung nicht direkt in Frage.
Ich dachte aber, dass es so etwas schon geben müsste.

Danke für euren Input

Lg
AmunRa

Keepass speichert alle Einträge in einer Datei ab, die du auch über verschiedene Dienste verteilen kannst. Es ist Open Source, und es gibt für so ziemlich alle Systeme Implementierungen. Der Sync über FTP oder SCM sollte für jemanden mit IT Grundkenntnissen dann ein Klacks sein, oder? Wird natürlich dann für Mobilgeräte spaßig.

Das was ich kenne kostet etwas für Mobilgeräte. Zweiter Punkt, FTP(S) bekommst du doch nicht sicher. Dritter Punkt, vielleicht selber etwas schreiben mit z. B. Jasypt. Das bietet z. B. einen starken Text Encryptor an und auch einen Passwor Encryptor (beides Sinnvoll?). Vierter Punkt, der Zettel (unter der Tastatur) nicht mehr sicher? Na, ich wünsch viel Erfolg bei der Suche, wenn du etwas gefunden hast, meld dich bitte nochmal, das würd mich auch interessieren.

Für KeePass gibt es auch Plugins. Auf die Schnelle bietet dieses die passenden Synchronisationsmöglichkeiten:
http://keepass.info/plugins.html#ioprotocolext

1 Like

Aha, und warum nicht?

SFTP oder FTPS sind beide so sicher, wie man sie richtig installiert. Von “selber schreiben” ist wie eigentlich immer bei Sicherheit abzuraten. Wenn Unternehmen wie Microsoft, diverse Linux Systeme etces nicht schaffen etwas ohne Sicherheitslücken zu programmieren, wird einem hier das auch kaum gelingen.

Ich nutze ebenfalls Keepass auf meinem FTP. Ich verwende VPN ins Heimnetz und dann FTPS.

Da kann ich leider nicht weiter helfen, weil ich empfehlen würde, keinen zu verwenden und schon gar nicht Einen für Alles. Der Grund ist ganz einfach… Wurde der Manager gehackt, wurde gleich alles gehackt. Am sichersten fährt man also damit, sich sämtliche Logindaten selbst zu merken.

1 Like

Was in der Praxis unmöglich ist, wenn man a) kein Genie ist und b) komplexe Passwörter verwendet

Selbst mit Merksätzen, scheiden im Regelfall die Sonderzeichen aus. Zahlen kommen fast immer am Anfang oder am Ende, kann man alles mit Passwortknackern konfigurieren.

Für meine wichtigen Accounts nutze ich Passwörter mit 20+ Stellen, ich kann mir die nicht merken. Was natürlich nichts an der Korrektheit deiner Aussage ändert. Ist die DB geknackt hat der Angreifer alles. Aber die DB ist bei mir auf dem Server oder PC, gesichert durch VPN, Logindaten, etc. Wenn er da dran kommt, kann er auch nen Keylogger installieren.

3 Likes

Ok, da ist was dran.

Verschlüsselung? :slight_smile: Sie soll doch eben das verhindern, das er gleich alles hat. :slight_smile:

Und ja, wenn ich kein Sicherheitsprofi bin, dann würd ich mir um FTP Gedanken machen, das es sicher ist. :wink: Mehr wollt ich ja auch nicht sagen.

@CyborgBeta Was meinst du bitte mit FTPS bekommst du nicht sicher?
Das ist ein kompletter Blödsinn FTPS funktioniert mit einer klassischen TLS/SSL Verbindung und ist daher genau so sicher wie HTTPS. D.H die schwäche hängt vom verwendeten FTP Server ab/ und der eingestellten config.

@cmrudolph Keepass hab ich mir jetzt schon angesehen, aber hat leider einen Nachteil. Wenn ich keepass mit den ioprotocolextensions so konfiguriere, dass er FTPS verwenden soll und ich dann aber zum Zeitpunkt des startens keinen Zugriff auf meinen Server habe kann ich nicht auf meine Passwörter zugreifen. D.h er synchronisiert nicht über FTP sondern erlädt jedesmal die datei herunter.
Das Problem das ich damit habe, ist, dass ich in meiner Firma durch den Proxy keine Verbindung zu Port 21 bekomme und daher in meiner Firma das ganze nicht nutzen kann.

Was ich mir vorstelle ist, dass der Passwort Manager noch immer lokal die Passwort-DB verwendet und nur beim starten schaut ob er eine neuere Datei findet. Leider kann dass KeePass nicht.

@timbeau Warum verwendest du noch zusätzlich ein VPN? Was spricht gegen FTPS direkt, Mit let’s encrypt kommt man ja recht einfach zu validen SSL Zertifikaten.

Das ist kein kompletter Blödsinn, unterstell mir doch nicht sowas. :frowning: Config ist ein Ding, das stimmt, aber es kann zusätzlich unsicher sein. NICHT die Übertragung, die ist sicher. :slight_smile: Halt der/dein/ein Server.

Also bitte, nicht mit sowas um sich werfen. Ich finde, 'nen freundlichen Umgangston kann man wenigstens bewahren.

Ja, aber wie lange braucht ein Angreifer, wenn er eine DB von Keepass per BruteForce lokal knacken will? Unser Cluster mit 3 1080 GPUs rechnet ziemlich schnell, wobei ich nicht weiß, ob es aktuell ein Tool gibt, mit dem GPUs genutzt werden.

Ich will keine Ports nach außen freigeben. Hat mein VPN eine Sicherheitslücke, habe ich ein Problem. Öffne ich jetzt den FTPS, muss ich auf Lücken im Server achten, dazu Mailserver, whatever. Je mehr hinterm VPN hängt desto weniger ist von außen angreifbar. Hab mir ne eigene CA aufgesetzt, die Root in meine Clients gepackt. Damit geht das auch.

Ja, und erst mal lesen was man postet kann man auch…dein Post von oben war eine Aussage, das man FTPS nicht sicher bekommt. Und die ist falsch.

Okey das mit den ports ist so eine Sache.

Aber da ich meinen Server tatsächlich auch als Server verwende (E-Mail, Web, SVN,…) der auch von aussen für 3 erreichbar sein muss, seh ich hier kein problem für mich. Daher braucht man definitiv sinnvoll Firewall regeln. (Die meisten Probleme bei meinem Server hab ich mit Idioten die glauben dass sie mein root SSH-PW bruteforcen müssen, naja Fail2ban ist dein Freund und dann gibt es noch genug andere Tricks die dies verhindern Aber das ist nun genug Offtopic )

Fail2Ban hatte ich auch mal. Erstmal für 'ne Stunde aussperren, oder ein Jahr. Nur blöd, wenn man das selber ist. xD

Es gibt aber noch andere Techniken. Diese will ich hier nicht ausbreiten. Passt nicht zum Thema. Leute, cool bleiben. :slight_smile:

oclHashcat. Entweder direkt oder spätestens in Kombination mit dem hier dürfte das klappen.

[details=_][/details]

OT

Ich habe mein Heimnetz ähnlich aufgesetzt und nutze OpenVPN. Das VPN-Gateway sitzt hinter einer Firewall, sodass für das VPN-Segment auch nur bestimmte Dienste des Heimnetzes freigegeben werden. Dienste wie DNS etc. sitzen dann noch in einer separaten DMZ und Managementfunktionalitäten sind nur aus einem Management-VLAN erreichbar. Ich nutze für Datentransfers von Servern allerdings nicht FTPS, sondern SFTP. Für “normale” Datenablage habe ich einen Samba-Server.

Ok, das ist natürlich ein Defizit vom Plugin. Eine vergleichbar verbreitete Passwortmanagerlösung kenne ich allerdings nicht.
Wenn es dir nicht wehtut, könntest du das Plugin aber ggf. anpassen.

~ ~ ~ ~
Folgebeitrag, durch Forumsoftware nicht wiederherzustellen:

Das stimmt wohl, aber die korrekte Anwendung ist ebenfalls alles andere als trivial. Es gibt viele Stolperfallen, wie den falschen Paddingalgorithmus für den Anwendungsfall, den falschen Ciphermode, schlecht gewählte Zufallszahlen, …
Das ist so komplex, dass man als Laie zwar bewährte Algorithmen einsetzen kann, diese deshalb aber nicht unbedingt sicher sind. Ein bekanntes Beispiel ist die Padding-Oracle-Attacke im Zusammenhang mit Microsoft, wo sicherlich Sicherheitsspezialisten verantwortlich waren. Siehe hier.
Auch waren scheinbar gute Zertifikate, die mit Linux erstellt wurden, aufgrund schlechter Zufallszahlen leicht zu brechen. Das alles ist nicht offensichtlich, sodass sowas gerne langeährig unentdeckt bleibt. Siehe hier.

Ganz zu schweigen von den Initialisierungswerten der S-Boxen bei DES, die durch die NSA im Rahmen der Standardisierung verändert wurden und wo sich Sicherheitsspezialisten bis heute streiten, ob dadurch eine Schwachstelle in den Algorithmus gebracht wurde.

Ich würde daher eher auf Bewährtes setzen und ggf. selbst Anpassungen an weniger kritischen Stellen vornehmen.

Keiner sagt, dass man auch die Verschlüsselungsroutinen in allen Einzelheiten selbst schreiben soll…

Was wiegte denn schwerer, geringe Vertrauenswürdigkeit kommerzieller oder potentielle Fehlerquellen, implementierte man es selber?

Schon sind wir bei einem Trade-off.

Tja, so ist das, wo viel Licht, da viel Schatten - und vice versa. :scream:

Also, ich find @ionutbaiu s Vorschlag gut. :slight_smile:

Darauf bezog sich mein Beitrag auch nicht. Nochmal lesen, bitte.

Also nee… selbst Bewährtes hat Sicherheitslücken. Daraus folgt, dass man auch so etwas mit Bedacht - z.B. in Verbindung mit timbeaus VPN-Strecke - verwenden sollte.

Woher weißt du, dass dein Passwort Manager funktoioniert und vor allem, sicher ist? Im Gegenteil, dein Produkt hat zu 100% kein Experte getestet, anders als z.B. Keepass oder TrueCrypt. Wie cmdrudolph schon schrieb, der Algorithmus ist sicher in den Javalibs vorhanden, aber beim Bau drum rum, wie verhindert man klassische Schwachstellen in Javaanwendungen etc pp.

Closed Source ist sicherlich nicht top aber in der Praxis hat nichts soviel Schwachstellen, wie selbst gefrickeltes Zeug.