Hallo Olav, hallo an die Flugies zum Thema Passwort-Manager,
eine erste Zwischenmeldung von mir als Fragesteller. Ich werde Arbeits- und Zeitbedingt vorauss. erst ab ko. Samstag/Sonntag dazu kommen mich in alle hier geposteten Infos reinzuarbeiten. Vielen Dank (!!!) für eure Posts zum Thema! ich brauch noch etwas Zeit um mich damit tiefergehend beschäftigen und reinarbeiten zu können... Allein wenn ich mir die umfangreiche Info von dir Olav anschaue (ebenso Vielen Dank!!!) fühl ich mich i.M. schon etwas erschlagen von der Vielzahl von Dingen die da offensichtlich eine zu beachtende Rolle spielen. Auch vielen Dank für den Hinweis, dass ein PWM eher nicht zur Sicherheit meines z.B. ebay-Accounts beitragen wird? Das muss ich jetzt erstmal verdauen... Bei mir kamen ja mehrere eMails seitens ebay, dass es auf meinem Account wiederholt Zugriffe von einem PC in Nordrhein-Westfalen bzw. in Düsseldorf gegeben hat. Ich nutz(t)e in den letzten Monaten keine VPN. Im Moment bin ich jedoch bei der Annahme, dass diese Zugangsmeldung sich auf meinen PC und mich bezieht, denn die gleichen Mitteilungen kamen auch noch nach der PW-Änderung! Zudem kann ich die letzten ebay-Mitteilungen zeitlich mir selbst zuordnen. Der Netzbezogenen Zusammenhang ohne VPN Nutzung bei tatsächlicher Nutzung im südlichen Baden-Württemberg hin zu Düsseldorf ist mir i.M. immer noch schleierhaft... Also ebay ist mal im Moment in meinem (aktuellen) Problemfall raus, jedoch bleibt das Thema PWM weiterhin im Fokus bei mir.
Und nein ich bezog mich in meiner Anfrage nicht nur rein auf Online-PWM (Bitwarden wäre i.M. bei den Onlinern auch mein Favorit...), sondern in Bezug auf Offline PWM interessieren mich Erfahrungswerte ebenso.
Danke mal fürs erste. Wie schon geschrieben lese ich mir da noch alle Mitteilungen zur eigenen Klärung und zum eigenen Verständnis noch genau durch und möchte mich hiermit mit einem kurzem "Zwischenlebenszeichen" melden.
Viele Grüße Steffen
Am 09.12.2024 23:06 schrieb Olav Seyfarth:
Hallo Steffen,
erlaube mir vorab die Bemerkung, dass der Einsatz eines Passwort-Managers nichts zur Sicherheit von deinem eBay-Konto beiträgt, denn deiner Aussage nach hattest du ja ein "state-of-the-art"-Passwort (lang, komplex, nicht abgeleitet). Das einzige was ein Passwortmanager dir erleichtert, ist, dich regelmäßig daran zu erinnern, länger im Einsatz befindliche Passwörter zu wechseln.
Davon halte ich aber relativ wenig, und ich glaube nicht recht daran, dass "eine KI" dein Passwort geknackt hat, wenn es z.B. 14 Zeichen lang ist und mehr oder weniger aus zufälligen Zeichen erstellt ist. Das kann eine KI nicht besser als John [3]. Und dass eBay DA tatenlos zuschaut, glaube ich nicht. Wahrscheinlicher wäre es, dass sie sich erneut ihre Hashes haben klauen lassen. Oder dass eines der Geräte verwanzt war, auf dem du dein Passwort gespeichert oder eingegeben hast.
Dann sprichst du offenbar nur von (Online-) Passwortmanagern. Bevor ich darauf eingehe, der Hinweis, dass auch Offline-Tools wie KeePassXC [4] daran erinnern können, dass ein Passwort "abgelaufen" ist. Deren Datenbank-Datei kann man mit beliebigen Cloud-Diensten zwischen Geräten syncen. Mit einer eigenen Nextcloud, aber auch mit Dropbox, Google Drive, iCoud, Syncthing [5] oder was auch immer du nutzt.
Online-Passwortmanager müssen betrieben und bezahlt werden. Deine Frage nach Vertrauen solltest du also auch damit beantworten, was die für ein Geschäftsmodell haben und wie sie in der Vergangenheit mit Schwachstellen umgegangen sind: Findest du keine Seite mit Bounties und keine Security Advisories, ist das kein gutes Zeichen. Und auch ob der Code offengelegt und prüfbar ist oder wenigstens von einer vertrauenswürdigen Instanz geprüft und der Prüfbericht offengelegt wurde, ist wichtig. Wenn das alles passt, kannst du dir die Technik (Verschlüsselung, etc.) anschauen oder Dritt-Berichte dazu lesen.
Persönlich denke ich, dass Bitwarden einen relativ guten Job macht. Die sind mir jedenfalls irgendwie sympatischer als z.B. 1Password. Spannend finde ich, seinen eigenen Passwort-Server zu betreiben: VaultWarden [6] ist ein Nachbau von Bitwarden und die Maintainer betreiben auch einen öffentlichen Dienst auf Spendenbasis.
Online-Passwort-Manager sollten immer einen zweiten Faktor anbieten oder sogar einfordern – das hast du ja schon bei eBay erlebt.
Zuletzt noch mal zu den Logins bei eBay: Bist du wirklich sicher, dass jemand sich dort mit Benutzername und Passwort erfolgreich angemeldet hatte? Hast du das mit dem Support geklärt, dass die Mails, die du bekommen hast, echt sind und genau das bedeuten was du reingelesen hast? Bist du sicher, dass es nicht deine eigenen Logins waren, z.B. weil dein VPN dich woanders hat erscheinen lassen oder weil dein Handy in einem Netz eingebucht war, was geswitcht wird und an einem anderen "Geo-IP"-Ort "rausfällt"? Das ist etwa der Fall, wenn ich mit Kabel ins Netz gehe: Da sehen mich die Geo-IP-Datenbanken als Schwaben an, weil ich eine IP-Adresse bekomme, die woanders geographisch zugeordnet wird.
Gruß Olav #gernePerDu
-- Reinhold-Schneider-Weg 3, 79312 Emmendingen, +49 7641 9542320, +49 176 62696431 https://privat.seyfarth.de/olav/ [1], https://datenschutz-individuell.de/ [2]
Links:
[1] https://privat.seyfarth.de/olav/ [2] https://datenschutz-individuell.de/ [3] https://www.openwall.com/john/ [4] https://keepassxc.org/ [5] https://syncthing.net/ [6] https://vaultwarden.net/