Leserbrief: Passwortmanager

Letzten Samstag kam ein Feedback über meinen Mailer rein, leider komme ich erst jetzt zum Antworten.

Hey Hoo,
Bin schon lange ein stiller Leser deines Blogs.
Nun bin ich schon seit längerem am Überlegen mir einen Passwort Manager anzuschaffen. Gerade in letzter Zeit mit dem LastPass Hack und der der Sicherheitslücke in iOS und Mac machen die Passwort Manager ja keine gute Figur.
Hast du schon Erfahrung damit gemacht oder kannst etwas dazu sagen?

Seine Passwörter in einen Online Passwortspeicher zu legen, halte ich generell für keine gute Idee. Dazu gibt es zu viele Angriffsvektoren, nicht nur auf dem Server und der Applikation, sondern auch in der Übertragung zum Client. Zudem muss ich dem Anbieter, seinen kompletten Administratoren, seinem Hoster, der auch wieder ein eigenes Team hat, den ISP des Hosters sowie meinem eigenen ISP vertrauen … und wenn ich von der ganz paranoiden Sorte bin und einen VPN vorschalte, habe ich noch eine zusätzliche Schwachstelle in dem Konstrukt.

Ich würde gerne an dieser Stelle eine Empfehlung aussprechen wie man seine Passwörter sicher speichert, allerdings sind auch so scheinbar sichere Dinge wie das gute altmodische Notizbuch keine sichere Sache, wenn man vor hat Besuch in der eigenen Wohnung zu empfangen.
Als lokalen Passwortmanager ist meiner Meinung nach Keepass2 zu vertreten. Mit einem ordentlichen Masterpasswort (> 20 Zeichen, Buchstaben, groß/klein, Sonderzeichen und Zahlen) wird es schwer die Datenbank zu bruteforcen.
Der mögliche Angriffsvektor die Passwörter plain aus dem Speicher auszulesen, würde ich nicht überbewerten. Wenn ich Software auf meinem Rechner habe, die meinen Ram auslesen kann, habe ich höchstwahrscheinlich noch ganz andere Probleme *g.
Für die Nerds denen jetzt ASLR durchs Hirn spukt: Das ist nochmal ein eigenes Thema, weshalb ich das hier nicht als zusätzliches Sicherheitsfeature mit einfließen lassen möchte.
Das Fraunhofer SIT (nicht zu verwechseln mit der laut fefe dunklen Seite von Fraunhofer FKIE), hat meiner Meinung nach auch einen guten Ansatz zum Thema Passwortmanager -> MobileSitter.
Leider wird die App im Playstore von einigen Nutzern nicht sonderlich gut bewertet. Ich denke, ich werde demnächst mal die 5,49 € investieren, um mir selbst ein Bild davon zu machen … allerdings erst, wenn ich wieder bisschen mehr Zeit für so Spielereien habe.

Der sicherste Speicherort für Passwörter ist immer noch das Hirn, allerdings fällt dann Komasaufen am Wochenende ins Wasser!

2 Gedanken zu „Leserbrief: Passwortmanager

  1. Simon

    Dem ISP muss ich gar nicht vertrauen, wenn ich beispielsweise TLS nutze. (Angenommen TLS/SSL sei sicher.)

    Mal so als Anmerkung: Viele vertrauen auch ihrem Mailprovider, da dieser ja meist das Passwort einfach zurücksetzen könnte, bzw die Kommunikation Anbieter Mailprovider abgehört werden kann, solange diese keine Verschlüsselung erzwingen.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA-Bild

*