Passwort-Manager auf PC und Handy ?

Hallo,
ich möchte mir einen Passwortmanager zulegen.
Meine Frage:
Viele Accounts nutzt man ja auf dem PC und dem Handy. Muß ich das Tool dann auf allen Geräten installieren ?
Am PC nutze ich Kaspersky Security . Das Programm enthält einen Passwortmanager. Kennt den Jemand ?

Grüße
Hans

ja.

Den Fehler musst du ja nicht unbedingt wiederholen.

Das würde ich nicht benutzen.

Nimm KeePass, den kannst du mit wenig Aufwand über Geräte hinweg synchronisieren. Gibt ne App für jede relevante Plattform.

Das Tool ist open source und bislang mit absolut weißer Weste bezüglich Sicherheit. Das kann man von den ganzen kostenpflichtigen Passwortmanagern nicht behaupten.

Danke für die schnelle Antwort.
Zu Kaspersky: Davon hältst Du nichts?

Hans

Doch.

Abstand.

Bei den Sicherheitsproblemen von Handies und der eher schlechten Update-Policy bin ich mit Passwortmanagern auf dem Telefon eher … zurückhaltend.

Sebastian

Danke, dass du fragst. Ich halte nicht nur von Kasperky nichts, sondern vom automatischen Virenscanner an sich.

Warum Virenscanner böse sind

Du denkst bestimmt „Ich gebe jedes Jahr soviel Geld für Sicherheitssoftware aus, also bin ich bestimmt super geschützt.“ So funktioniert es nicht. Derlei „Sicherheitssoftware“ hat im besten Fall eine Wirkung bei allem, was sich ausschließlich lokal bei dir abspielt. Sie schützt nicht vor Datendiebstahl durch Hakerangriffe bei Adobe, Dropbox, Kickstarter oder sonstwem.

Aber selbst der lokale Schutz durch Virenscanner ist extrem begrenzt, denn die Virensignaturen hängen den eigentlichen Bedrohungen immer hinterher. Also bist du in den ersten Stunden einer Bedrohung durch deinen Virenschutz überhaupt nicht ein bisschen geschützt. Im Gegenteil sind Virenscanner selbst Einfallstor für Schädlinge. Der Grund liegt darin, dass Virenscanner tief ins System eingreifen, um sämtliche Datei- und Netzwerkzugriffe über den Scanner umzuleiten. Sämtlicher Dreck kommt also - prinzipbedingt - an einer Software vorbei, die höchste Rechte auf dem betroffenen System hat. Es lohnt sich also durchaus, das als Angriffsvektor auszunutzen.

Glaubst du nicht? Hier mal ein paar Lücken in Antivirenscannern der näheren Vergangenheit, die als Einfallstor für Schädlinge verwendet werden konnten:

• remote code execution in F-Secure Windows endpoint protection products
• Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten
• kritische Lücke in Windows Defender & Co
• Bitdefender: Remote Stack Buffer Overflow via 7z PPMD (Ergänzung: Betrifft automatisches Auspacken von Archiven)
• Avast Antivirus: Remote Stack Buffer Overflow with Magic Numbers
• Sicherheitslücken in ClamAV: Angreifer können Rechner lahmlegen
• Mac-AV-Software ermöglichte Einschleusen von Schadcode
• Symantecs AV-Software verwundbar durch löchrigen Norton Download Manager
• viele Virenjäger für Android weisen selbst eklatante Sicherheitsmängel auf
• Kaspersky: Scanner wird zum Gehilfen der Malware
• Werden die Wächter selber angegriffen, haben sie dem oft wenig entgegenzusetzen

Aber das ist leider noch nicht alles. Da die Scanner mit höchsten Rechten laufen, dürfen die auch Systemdateien löschen und damit das System mutwillig kaputt machen. Warum sie das tun sollten fragst du? Schau selbst.

• Webroot: Gelöschte Systemdateien durch fehlerhafte Signaturen
• Fehlalarm: Eset hält das Internet für infiziert
• Avast hat DLL-Dateien von Windows als gefährlich eingestuft und in Quarantäne verschoben
• Panda-Virenscanner zerschießt Windows, nicht Neustarten
• Staatstrojaner-Scanner produziert Fehlalarme – hält Antiviren-Software für infiziert
• Avira für Exchange fraß Mails
• AVG hielt Systemdatei für Trojaner
• Avast und Trend Micro haben Videokonferenz fälschlicherweise als Malware eingestuft
• Mac-Virenscanner stufen eine Systemdatei als Bitcoin-Miner ein.
• Malwarebytes patzte bei Aktualisierung - Performance-Probleme

Und dann gibt es noch die Virenscanner, die schon Schadsoftware mitbringen oder selbst welche sind:

• Virenscanner infiziert Systeme mit Virus
• Trend Micro: Antivirus-Tools für Mac schickten Surf-Historie an Server der AV-Firma
• AVG kann Nutzerdaten, wie etwa den Browser- und Suchverlauf, an Dritte verkaufen
• Trend Micro-Produkte öffneten triviale Hintertür
• Android-Virenscanner schnüffeln Surf-Verhalten aus

Jetzt sagst du bestimmt, dass du den Virenschutz für unverzichtbar hältst und dir die Meinung von Hinz und Kunz egal ist, weil du ja Erfahrung hast und so. Fragen wir also die klugen Köpfe:

• Forscher warnen vor Gefahr durch Viren-Signaturen
• Forscher warnen davor, dass Sicherheitsprodukte verschlüsselte HTTPS-Verbindungen überwachen
• Ex-Firefox-Entwickler rät zur De-Installation von AV-Software
• Symantec (ROFL) erklärt Antivirus-Software für tot

Jetzt sagst du bestimmt: "Wie soll das nur gehen ohne Virenscanner? Was, wenn ich einen Virenverdacht habe? Dann brauche ich doch einen on-demand Scanner!"

1. Wenn du den Verdacht auf eine Schadsoftware hast, dann mach als allererstes alle Netzwerkkabel raus, wLAN am Router aus. Sonst kann es nämlich sein, dass in der Zeit deines Virenscans dein Rechner Teil eines Botnets wird und irgendwen angreift, etwa per denial of service. Oder dein Rechner verbreitet die Schadsoftware im internen Netz weiter. Lass das!
2. Ein Scan, der von einem mutmaßlich infizierten System durchgeführt wird ist sinnlos, denn die Schadsoftware könnte den Scanner beenden oder die eigene Prüfung unterbinden. Du musst davon ausgehen, dass du deinem Rechner nicht mehr trauen kannst. Wenn schon scannen, dann mit einem anderen und vor allem sauberen Betriebssystem.
3. Was willst du tun, wenn bei dem Scan was gefunden wird? Automatisch säubern/desinfizieren und wieder gut? Woher weißt du, dass deine Schadsoftware nicht irgendwelche Hintertüren in deinen Rechner eingebaut hat, über die er in 2 Tagen wiederkommt?
4. Was willst du tun, wenn bei dem Scan nichts gefunden wird? Vertraust du deinem Rechner dann wieder? Woher weißt du, dass der eingesetzte Virenscanner deinen Virus schon kennt?

Fakt ist: Alleine der Verdacht eines Befalls mit Schadsoftware zerstört unwiederbringlich das Vertrauen, was du in den Rechner haben solltest. Scannen und Säubern nutzt diesbezüglich nichts. Die einzige Möglichkeit, wirklich Sicher zu gehen ist das vollständige neuaufsetzen und Rückspielen des letzten Backups, was VOR der vermuteten Infektion gemacht wurde. Ich wüsste nicht, wozu du dabei noch den Virenscanner brauchst.

Fazit: Virenscanner sind böse und gehören deinstalliert.

Aber wie kannst du dich nun schützen?

1. Viren sind nichts anderes als Programme, die was böses wollen. Wenn wir es also schaffen, alle Programme zu verbieten, die wir nicht ausdrücklich wollen, hätten wir kein Problem. Das gibt es. Das nennt sich software restriction policies. Damit definierst du mit wenigen Klicks eine Liste erlaubter Software, alles andere darf einfach nicht starten. Um das zu bedienen empfehle ich den Restric’tor aus dem Hause Heise. Ist wirklich schnell gemacht und du hast das Problem Viren endgültig vom Hals.
2. Das nutzt aber nichts, wenn du als Administrator unterwegs bist. Schränke deine eigenen Rechte soweit wie möglich ein. Wenn du nur surfst und Bürokram machst, reicht ein einfacher eingeschränkter Benutzer. Wenn dann die Nachfrage nach dem Administratorpasswort kommt, drücke niemals unbedacht auf ja. Prüfe, ob du das gerade selbst verursacht hast und ob du verstehst, was der Computer vorhat. Wenn nicht, dann drücke nein.
3. Mache immer alle Updates. Immer. Für Betriebssystem, für die Programme.
4. Mache regelmäßig Backups deiner Daten. Regelmäßig ist nicht einmal im Jahr. Das ist eher einmal in der Woche oder einmal alle 2 Stunden. Das musst du selbst entscheiden, je nachdem wie wertvoll dir deine Daten sind. Stell dir immer vor, jemand klaut deinen Computer und dir bleibt nur das Backup. Wieviele Tage Datenverlust würdest du verkraften?
5. Trenne die Backups von den richtigen Daten. Also wenn du auf eine externe Festplatte sicherst, dann stecke die nur zur Sicherung an und danach gleich wieder ab. Wenn der böse Virus kommt oder ein Blitzschlag deinen Computer grillt, dann wären die Backups sonst auch wieder in Gefahr. Was nicht am Computer steckt, kann so auch nicht kaputt gehen.
6. Aber am wichtigsten ist und bleibt: Erst denken, dann klicken!

Mein Tipp: Mach alles runter, Windows schaltet automatisch seinen Defender ein. Der läuft wenigstens in einer Sandbox und hat zumindest eine kleinere Angriffsfläche. Schützen tut der dich natürlich genauso wenig wie alle anderen genannten Produkte.

Vielen Dank für die Aufmerksamkeit.

Also Keepass versucht sich schon ziemlich deutlich vom System abzuschotten. Die bringen sogar ihre eigene Tastatur mit. Aber natürlich hast du Recht. Passworte auswendig lernen ist sicherer - öffnet aber die Tür dafür, dass man für alles das gleiche Passwort verwendet.

Hier muss man halt abwägen. Ich wäre eher für Passwortmanager anstatt „ein Passwort für alles“.

In der Tat.

Ich habe mich beispielsweise sehr bewußt dagegen entschieden, PGP auf dem Handy zu nutzen, da ich mich nicht so recht traue, meinen privaten Schlüssel dort vorzuhalten. Dann muss die Mail eben warten, bis ich eben an einem „richtigen“ Computer bin.

Sebastian

Ich benutze „Lastpass“ ist auch ganu gut.

„Ganz gut“ ist der kleine Bruder von „Scheiße“.

Da fehlt es wohl etwas an Wissen in der Entwicklung.

Ich hatte bis jetzt keine Probleme damit. Die Berichte sind mittlerweile 2 Jahre alt und das diese Seite 3 Monate hintereinander einen Bericht über Lastpass schreibt kommt mir auch merkwürdig vor. Muss jeder selbst wissen!

Und jemand anderes hat vielleicht vergnügen damit? Passworte sind ja sooo beliebt heutzutage, da schafft man es direkt in die Tagesschau.

Ja. und dann noch so ein Tavis Ormandy. Die ganze Zeit!!!1! Hat der denn nix besseres zu tun??? Soll man anständig arbeiten gehen 1!!!

Woran machst du das denn fest? Weil du deine Logindaten noch nicht in irgendeiner kruden Datenbank gefunden hast? Du kannst doch gar nicht wissen, was der Anbieter mit deinem Zeug macht - willentlich oder nicht.

Mir auch. Liegt vielleicht daran, dass 3 Monate hintereinander ein Skandal nach dem anderen war. Aber das ist ja schon soooo lange her, unterdessen verdienen die uneingeschränktes Vertrauen.

Ich nutze KeePass auch auf allen Platformen. Google Drive Sync ist relativ einfach einzurichten.
Hier die Anleitung, die für mich funktioniert hat:

Requirements

The Plugin requires the .NET Framework 4.5
(the .NET Client Profile does not suffice).

The Plugin requires OAuth 2.0 credentials to access the Google Drive API.
Starting with v2.1 it has it’s own credentials built in, but still allows you
to provide your own as with previous versions.

In case you would like to provide your own OAuth 2.0 credentials, you can
create a Project with the Google Developers Console:

1. Go to the Google Developers Console in your Google Account:
   https://console.developers.google.com/start
2. Select „Enable Google APIs for use in your apps“.
3. Choose a Project name like e.g.: „KeePass Google Sync Plugin“.
4. Enable the „Drive API“ at „APIs & auth“ > „APIs“.
5. Choose an e-mail address at „APIs & auth“ > „Consent screen“.
6. Set the product name for the consent screen to e.g.: „KeePass Google Sync Plugin“.
7. Create a new OAuth 2.0 Client ID for an „Installed application“ with
   application type „Other“ at „APIs & auth“ > „Credentials“.

You should now have a „CLIENT ID“ and „CLIENT SECRET“.

Installation

1. Exit and Close KeePass. Make sure it is not running at all (in case it is
   minimized to tray instead of taskbar).
2. Place the „GoogleSyncPlugin.plgx“ file from the downloaded .zip into your
   KeePass installation directory.
   e.g. C:\Program Files (x86)\KeePass Password Safe 2
3. Run KeePass and open your KeePass database.
4. Make sure you have a password entry for your Google Account in your
   database. If that entry has the URL „accounts.google.com“ associated, you
   can skip the next step.
5. Go to the „Properties“ tab of you Google Account password entry and copy the
   UUID at the bottom to the clipboard.
6. Go to: Tools > Google Sync Plugin > Configuration
7. Either select your Google Account from the drop-down list or select
   „Custom KeePass UUID“ and paste the UUID you copied to the clipboard into
   the „KeePass UUID“ field.
8. Optional Step: Provide the OAuth 2.0 „CLIENT ID“ and „CLIENT SECRET“ you
   created following the steps in the Requirements section after enabling the
   „Custom OAuth 2.0 Credentials“ checkbox.

The Plugin is now ready to work. On first use Google will ask for your consent
to access your Google Drive.

Das funktioniert mit GoogleSyncPlugin 3.0.1 und dem aktuellen KeePass 2.41.
Auf meinem Android nutze ich KeePass2Android