Hallo Steffen,
On 12/9/24 21:42, heartbeat@posteo.de wrote:
- Kann man Online-PW-Managern deiner Meinung nach trauen? (sie
verweisen ja i.d.R. darauf, dass sie selbst auf die Daten keinen Zugriff haben, weil alles verschlüsselt sei... 2. Wenn du einem Online-PW-Managern traust, welchen würdest du empfehlen?
- Falls du Online-PW-Managern eher nicht über den Weg trauen solltest,
welchen Offline-Passwort-Manager würdest du dann empfehlen?
Ich verwende pass und bin glücklich damit. Die Datenbank ist einfach im Dateisystem abgelegt[1], es gibt ein git backend und Backup/Sync ist damit einfach. (Man muss sich aber selbst kümmern.)
Das Backend ist gpg. Damit hat das bezüglich Sicherheit auch mein Vertrauen.
Wer darauf Wert legt: Es gibt auch ein Browserplugin und eine gui. Verwende ich aber beides nicht, deswegen hier nur eine wertfreie Erwähnung.
Passwörter für eine Gruppe verwalten geht damit auch, man muss halt die Einträge für alle relevanten Keys verschlüsseln.
- Ist es bei Nutzung eines PW-Managers sinnvoll den Zugang zu diesen
(falls möglich...und Softwaretechnisch auch nicht sehr kompliziert...) mit einer 2FA Zugangssicherung abzusichern oder wäre das eher zuviel des Guten (in Bezug auf eine relativ gute private PW-Sicherheit) ?
Ich würde einen zweiten Faktor dringend empfehlen. Bei mir hat gpg einen zweiten Faktor (einen Yubikey) und somit pass auch.
Liebe Grüße Uwe
[1] Je nach Paranoialevel ist das schlecht, weil man auch ohne Entschlüsselung sehen kann, wo ich überall Accounts habe.