0d094 – Welchen Passwort-Manager soll ich nutzen?

In der heutigen Episode vergleicht Sven zwei Passwortmanager auf Ihre übereinstimmung mit seinen Anforderungen an einen Passwortmanager. Zusätzlich wird auch immer mal ein Blick auf andere Passwortmanager geworfen, damit Sven abschließend seinen gnadenlosen Gewinner küren kann.

Kontakt

Website: 0x0d.de  – Email: Feedback@0x0d.de (PGP) – Signal: +4916098720733
Twitter: @Zeroday_Podcast – Mastodon: @zeroday@chaos.social

Hausmeisterei

Datenverluste 

News

Thema: 

Fun and other Thinks

Aufgenommen am: 09.04.2022
Veröffentlicht am: 10.04.2022
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson 

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).

17 Gedanken zu „0d094 – Welchen Passwort-Manager soll ich nutzen?

  1. Torsten

    Hallo zusammen,
    ihr habt in eurer aktuellen Sendung zu Unrecht auf der öffentlichen Verwaltung (ÖV) rumgehauen.
    Das Thema OSS ist sehr present, wird in vielen Ausschreibungen mindestens besser bepunktet und immer öfter vorgeschrieben. Auch der Koalitionsvertrag der Ampel sieht OSS in der ÖV als besonders erstrebens- und förderungswert.
    Wenn ihr dazu mehr wissen wollt, empfehle ich euch meinen Podcast. Gern können wir uns auch mal gesondert austauschen.
    Viele Grüße
    Torsten

    Antworten
    1. Sven Hauptmann Beitragsautor

      Auszusetzen ist wohl das falsche Wort dafür. Ich habe KyPass auch jehrelang benutzt und damals als ich es ausgesucht habe, war es fast alternativlos. Zumindest, wenn man am iPhone WebDAV für Keepass wollte. Aber die Welt hat sich weitergedreht. Kypass ist nicht OSS und wenn ich die Wahl habe, bevorzuge ich eine quelloffene Lösung (Regel 1). Ich nutze jetzt Strongbox, das ist quelloffen und das UI fühlt sich moderner an. Die IOS-Passwort-Integration scheint auch etwas besser zu funktionieren. Aber das Hauptargument ist für mich die Quelloffenheit.

      Antworten
      1. Alois

        OK. Das ist ein Argument.
        Die Pro-Variante von Strongbox ist mir persönlich aber zu teuer.
        Für die Hälfte würde ich es nehmen.
        Ich habe zu oft teure Apps gekauft und die wurden dann irgendwann nicht mehr weiterentwickelt (läuft auf neueren iOSen nicht mehr), oder es wurde mal schnell auf ein Abo-Modell umgestellt.
        Kypass hat mich eigentlich nie enttäuscht.
        Ich hatte oft Kontakt mit dem Entwickler und er hat immer einwandfreien Support geliefert.

        Antworten
        1. Sven Hauptmann Beitragsautor

          Also die 15€/Jahr finde ich ok, die anderen Preise finde ich auch unattraktiv. Ich bin aktuell noch im 90-Tage-Test und sollte ich bis dahin nicht auf Bitwarden umschwenken, werde ich wphl ein jährliches Abo abschliessen. Bitwarden liegt auch bei 10€ im Jahr. Zur Sicherheit einer Applikation gehört für mich auch eine solide finanzielle und personelle Basis, die einen sicheren Betrieb ermöglicht. Ich nutze auch sehr viel kostenlose Software,m aber hier gilt Regel 1 😉

          Antworten
  2. Martin

    Eine nierdrigschwellige Möglichkeit, Bitwarden zu testen, ist der Docker-Container „Vaultwarden“.
    Den kann man lokal im eigenen Netz installieren, ohne ein großes Risiko einzugehen.
    Dann muss man keinen Account bei Bitwarden erstellen, um Bitwarden zu nutzen.

    Für mich ist es immer ein Hemmnis, einen weiteren Onlineaccount erstellen zu müssen.
    Und gerade Passwörter will ich keinem anderen Anbieter anvertrauen.

    Antworten
  3. Dustin

    Für mich bleibt Keepass alternativlos. Azure, Cloud, Usa, Passwörter. Bah, da rollts mir die Fußnägel hoch. Trotzdem eine gute und wichtige Sendung. Hoffentlich hat der ein oder andere Hörer oder Hörerin jetzt Bock auf PW Manager bekommen und nimmt nicht mehr 1234567. 🙂 Grundsätzlich gilt halt: Komfort ist immer ein Verlust von Sicherheit. Für mich hat der PW Manager den Komfort unmenschliche Passwörter zu verwenden. Ich brauch dann persönlich keine fancy 800 Plugins um zwischen der DB und dem Browser zu interagieren. Die Autofill Funtion reicht völlig. Oft nutz ich nicht mal die.

    Antworten
  4. Dominik

    Moin Jungs,

    ich wollte mich einfach mal bei euch bedanken. Ich habe angefangen, euren Podcast zu hören, als es mit der Pandemie angefangen hat. Da ich mich sehr für IT-Security interessiere, habe ich damals auf Spotify – ja, ich weiß, ich habe inzwischen einen richtigen Podcatcher 😉 – nach einem Podcast zum Thema gesucht und euch gefunden. Ich habe bei der Null-Nummer angefangen und mich nach und nach durch jede Folge gehört. Inzwischen bin ich auf Stand und ich habe bisher jede Folge genossen.

    Zum Thema: Ich benutze seit geraumer Zeit Bitwarden und habe (bisher) keine Probleme damit. Da es mein erster Passwort-Manager ist, habe ich keinen direkten Vergleich, aber der Funktionsumfang ist für mich in der kostenlosen Version völlig ausreichend und ich bin damit zufrieden, auch wenn meine Passwörter verschlüsselt in der Cloud gespeichert werden.

    Beste Grüße

    Antworten
    1. Sven Hauptmann Beitragsautor

      Vielen Dank für das Lob, das freut uns immer sehr zu lesen.
      Ja, ich habe durch meine Recherche auch Bitwarden besser kennen und schätzen gelernt. Für die Mehrheit der Leute dürfte das der Passwortmanager der Wahl sein, da er einfach unkompliziert und überall funktioniert.

      Antworten
  5. Ein anderer Martin

    Hi Sven,

    Welche Passwortmanger hattest du den in der Auswahl? In Zuge einer eigenen Recherche bin ich auf https://psono.com/ gestoßen ist die deutsche Variante von Bitwarden, allerdings sehr sher jung (damals vor 1/2Jahr war es 1 Entwickler)
    Ich bin nicht gewechselt weil mir ein paar features gefehlt haben die ich mit KeePass Add-ons mache.

    Grüße
    Martin

    Antworten
    1. Sven Hauptmann Beitragsautor

      Ich habe eher eine Empfehlung gegeben als eine große Auswahl vorzustellen. Das Ergbnis war letztlich: Wenn Du keinen Grund hast, Keepass zu nehmen, nimm Bitwarden. Psono klingt vielversprechend, aber für meine geheimsten Daten möchte ich nicht auf einen Newcomer vertrauen müssen.

      Antworten
  6. Silvio

    Die Problematik der mannigfaltigen keepass-Clients sehe ich nicht. Natürlich sollte man, grade im Unternehmen, den Anwendungszoo schmal halten. Man muss ja nicht alles was geht erlauben. (Ich würde auch nicht jedem docker-Container trauen….)
    Was keepass aufwerten würde, wären team-Funktionen, beispielsweise das Teilen bestimmter Ordner mit einer Anwendergruppe, die separate Schlüsseldateien verwenden oder das temporäre „leihen“ von Kennwörtern ohne sie offen zu legen.
    Als Alternative einen US-Clouddienst ins Feld führen, ich weiß nicht…. Es gibt auch OnPrem -aus deutschen Landen (password safe), nur leider benötigt man dafür eine Vollzeitkraft, sehr komplex wenn auch mächtig. Für den Mittelstand bzw kleinere Teams ist die Auswahl am Markt schon eher knapp.

    Antworten
  7. fung

    Hi,

    ich bin beim Nachhören der Folgen gerade bei dieser Folge angekommen und wollte mal meinen Senf zu einer Kleinigkeit davon dazugeben.
    Ich habe auch oft damit argumentiert, dass ja (sogar) der Server open source ist, also ist ein hohes Vertrauen gerechtfertigt. Seit ich aber konsequent mit dem Argument: „Du weißt nicht und kannst auch nicht überprüfen, was für Software da wirklich als Server läuft.“
    Insbesondere seit ich mitbekommen habe, dass Signal mindestens einmal für ca. ein Jahr keine Updates am Server-Code-Repository Vorgenommen haben, obwohl der Server-Code offensichtlich weiterentwickelt (und ausgerollt) wurde.
    (siehe z.B.:
    https://archive.ph/MH4Bp <- Archiv von https://www.golem.de/news/crypto-messenger-signal-server-nicht-mehr-open-source-2104-155376.html
    https://www.androidpolice.com/2021/04/06/it-looks-like-signal-isnt-as-open-source-as-you-thought-it-was-anymore/)
    (rechtfertigung: https://github.com/signalapp/Signal-Android/issues/11101#issuecomment-815400676)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert