Synchronisierung von Paßwörtern: Empfehlungen?

  • Ersteller Martman
  • Erstellt am
Martman
Martman
Registrierter Benutzer
Zuletzt hier
04.02.23
Registriert
14.09.05
Beiträge
5.153
Kekse
22.899
Ort
Hamburg
In letzter Zeit sind ja alle Naselang irgendwelche Nachrichten aufgepoppt, daß wieder irgendein Unternehmen seine Datenbanken nicht vernünftig gesichert hat und Black Hats sich Kundendaten besorgt haben inklusive Paßwörtern. Und dann ging es immer los: Ja, alle Nutzer müssen ihre Paßwörter ändern, ja, unbedingt sichere Paßwörter nutzen, ja, niemals dasselbe Paßwort zweimal verwenden, blafasel und so weiter.

Problem: Wenn man bei, sagen wir, 20 Webdiensten ist und sich 20 hochkryptische Paßwörter merken muß, wird man blöd. Das geht überhaupt nicht, außer man hat eine Inselbegabung. Und die sichersten Paßwörter sind immer noch die, an denen alle Rainbow Tables scheitern, nämlich 64 oder so zufällig generierte Zeichen. Davon kann man sich erst recht nicht 20 merken.

Scheinbare Lösung: Paßwortsynchronisierung.

Nächstes Problem: Die bekannten Dienste sind alle mehr oder weniger ungeeignet.

LastPass ist der Platzhirsch, aber bei LastPass gibt man seine Paßwörter in die Obhut der Cloud™, also eines externen Servers irgendwo da draußen, der von irgendeinem Unternehmen betrieben wird. Nicht nur weiß man nie, wie gut die Unternehmen wirklich auf die Daten achten (wie schon diverse Unternehmen und Konzerne in den letzten Tagen, Monaten, Jahren gezeigt haben), sondern so ein großes Unternehmen ist für Black Hats, die Daten zum Verkloppen an osteuropäische Kreditkartenbetrüger suchen, immer wie eine auf ein Scheunentor gepinselte Zielscheibe. Die werden also als erste angegriffen – ein Serverlein, das bei mir zu Hause läuft, tendentiell eher überhaupt nicht.

So Dienste wie KeePass sind plattformgebunden. KeePass ist zu 100% gegen Windows gebaut. Es ist zwar quelloffen, kommt aber in Form von Windows-Binaries daher, und nur die Bezahlversion gibt's auch nach Mono portiert.

Und dann gibt's noch browserspezifische Synchronisation. Wenn man nur 1 Browser benutzt, ginge das vielleicht noch, aber was hat Chromium davon, daß ich meine Paßwörter mit Firefox Sync synchronisieren kann? Gar nichts!

Was ich also suche, muß zwingend folgende Anforderungen erfüllen:
  • Free, libre, open. Keine proprietären Binärblobs unter kommerzieller Lizenz. Somit auch kostenfrei.
  • Synchronisation mit einem Server in meinen eigenen vier Wänden.
  • Serversoftware cross-platform und ohne zu exotische Dependencies, idealerweise lauffähig auf einem NAS ohne großes php.ini-Gebastel.
  • Client cross-platform und cross-browser. Ich will Firefox unter Windows, Firefox unter GNU/Linux, Chromium unter GNU/Linux und Chrome-basierte Browser (am besten inklusive dem neuen Opera) unter Windows ohne Krücken miteinander synchronisieren können.
  • GNU/Linux: Bitte nicht wieder nur SuSE-, Debian- oder Ubuntu-Pakete. Ich brauche es auch unter Arch-Derivaten.
Irgendwelche Ideen?


Martman
 
Eigenschaft
 
passwortsafes oder ähnliches sind mir zu unsicher, zu groß das risiko, dass auf einen schlag alle passwörter aller meiner dienste versagen. ich hatte zwar noch nie einen trojaner o.Ä. auf meinem rechner, aber da ist mir die gefahr trotzdem zu groß.

ich setze stattdessen auf ein passwortsystem, zB: http://www.spiegel.de/netzwelt/web/...ist-wa-31n-51ch3r3-pa5-w0r7-157-a-673441.html

letztes jahr durch adobe oder dieses jahr durch ebay wurden vermutlich auch meine passwörter entwendet. da ich bei diesen diensten aber meine "sicheren" passwörter genutzt habe, mache ich mir keine großen sorgen, da die entschlüsselungen jahre dauern würde.
 
Anbieter wie LastPass verschlüsseln die Passwörter im Client und kennen den Masterschlüssel nicht. Also selbst wenn sie wollten, könnten sie nicht an die Klartextpasswörter kommen, ebenso Angreifer nicht. Anders sähe es aus, wenn nach einem Update des Clients dieser plötzlich den Masterschlüssel umher schickt. Kontrollieren kann man das nur schwer.

Mit clientseiter Verschlüsselung käme zur Synchronisation zwischen Rechnern also jeder Dateisynchronisierungsdienst in Frage, ich persönlich benutze dafür ownCloud auf meinem eigenen Server. Die Passwörter habe ich in der systemeigenen Schlüsselbundverwaltung von OSX. Funktioniert leider nur in OSX, dort dafür mit allem: Browser (Safari), Mailprogramm, Skype, Adressbuch, Kalender, WLAN-Passwörter, etc. etc. Eine Lösung für andere Betriebsysteme (und Browser mit eigener Passwortverwaltung) habe ich bis jetzt nicht. Letztlich helfen hier nur Browser-Plugins.

Die Gefahr eines Trojanerangriffs als Argument gegen den Einsatz einer Passwortverwaltung kann ich kaum gelten lassen. Mit einem Trojaner auf dem Rechner ist es ohnehin zu spät, der kann dann auch die händisch eingegebenen Passwörter abfangen.
 
Sorry, ich bin etwas spät dran, komme erst jetzt zum Antworten. Ich stand vor kurzem vor der gleichen Frage und habe mich für eine Keepass-basierte Lösung entschieden. Keepass selbst mag zwar Windows-basiert sein, aber da es quelloffen ist, gibt es mehrere andere Anwendungen, die das gleiche Datenbankformat verwenden. Ich selbst nutze überhaupt kein Windows. Auf Linux und Mac setze ich KeePassX ein, unter Android Keepass2Android. Synchronisation erfolgt auf meine eigenen Rechner über eine owncloud, die bei mir zu Hause auf einem Raspberry Pi läuft, auf den Linuxrechner im Büro synchronisiere ich bei Bedarf manuell.

Funktioniert für meine Bedürfnisse gut und unkompliziert.
 
In der Art hab ich mir auch schon was überlegt, also KeePassX über ownCloud, zumal ich eh eine ownCloud laufen hab.


Martman
 
Eigentlich ist die c't für meinen Geschmack zu sehr zu einer Jubelperser-Publikation für die falschen Produkte mutiert, die sich über interessante Alternativen kaum ausläßt. Die scheinen auch mittlerweile auf der Zahlungsliste von Microsoft zu stehen, zumindest fällt auf, wie oft es Softwarevergleiche gibt, in denen nur Windows-Software und vielleicht noch solche für OS X verglichen wird, auch wenn es in dem Gebiet auch leistungsfähige Linux-Software gibt, oder in denen nur Payware verglichen wird, auch wenn es auch leistungsfähige Freie Software gäbe.

Aber das hier...
ambee schrieb:
http://www.passwordmaker.org/
Zum Vergrößern anklicken....
...klingt nicht uninteressant. Man braucht nur ein Masterpaßwort, das man eh eigentlich immer braucht, und der PasswordMaker generiert die eigentlichen Paßwörter dann nach festgelegten Regeln dynamisch, und zwar immer wieder neu, ohne sie irgendwo zu speichern. Das macht auch das Synchronisieren hinfällig.

Klar, wie das Ganze funktioniert, ist bekannt. Das bringt aber nichts beim Entschlüsseln, solange man nicht das (jeweilige) Masterpaßwort des Users hat. Ist also ähnlich wie GnuPG, das auch Verschlüsselung mit offenen Quellen betreibt, was einen aber nicht näher an die Entschlüsselung bringt, solange man den privaten Schlüssel nicht hat.

Sehr cross-platform ist es auch, es würde sogar auf meinem N900 laufen. Was im offiziellen Wiki nicht steht: Es gibt auch eine Harmattan-Version.


Martman
 
Ist das wirklich eine kluge Sache?
 
Warum denn Deines Erachtens nicht?
 
kristofer82 schrieb:
Ist das wirklich eine kluge Sache?
Zum Vergrößern anklicken....
Was wäre die Alternative? 20 oder mehr verschiedene hochkryptische, also 100% gegen Rainbow Tables geschützte Paßwörter à bis zu 64 Zeichen merken? Also Paßwörter wie
Q!BfD}oFtjGBu\wcXrQDD Fk:iXmWuHrZqALgQFPX:KibNF/u4lMW7EnqY\Q&g/o
?

Oder am besten noch in Unicode, was in der Länge mehr als Googol × Googol × Googol Kombinationen erlauben würde, aber obendrein ziemlich unmöglich wäre, händisch einzugeben?


Martman
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen


Quick Links

Tipps & Tricks
Fragen (FAQ)
Regeln
Board-Mitarbeiter
Unser weiteres Online-Angebot:
Bassic.de · Deejayforum.de · Sequencer.de · Clavio.de · Guitarworld.de · Recording.de

 Musiker-Board Logo
Zurück
Oben