Efficient Password Manager: Passwörter sicher verwalten
von caschy | 43 Kommentare
Ich persönlich sehe zwar keinen Grund nicht KeePass oder KeePassX zu benutzen, aber wenn ich hier nur Programme vorstellen würde die ich nutze, dann wäre das mit dem bloggen ja nach ein paar Tagen vorbei. Deswegen mal nach langer Zeit mal wieder etwas aus der Schiene: „wie verwalte ich meine Passwörter“. Der Efficient Password Manager ist eine kostenlose Software für Windows, die es auch in einer portablen Version gibt.
Passwörter werden mit 256Bit AES verschlüsselt. Das Aussehen des Programms lässt sich über mehrere Farbschemen definieren. Zu jedem Passwort können Notizen, Anhänge, Links und so weiter vermerkt werden. Bei mehreren Computern kann man das portable Programm (oder die verschlüsselte Datenbank) auch wunderbar mit Dropbox nutzen. Vielleicht gefällt einem von euch das Programm ja besser als KeePass / KeePassX. Ich selber kann den Efficient Passwort Manager ja nicht nutzen, da ich ein Programm benötige, mit dem ich meine Passwort-Datenbanken unter Windows und Mac OS X öffnen kann (deswegen ja KeePassX).
Wird geladen ...
Ich nutze mit grosser Zufriedenheit KeePass. Leider haben die Entwickler Probleme mit dem iPhone/iPod touch APP (iKeePass).
Bis jetzt ist mir nur „mSecure“ bekannt welches eine Windows, MAC und iPhone/iPod touch Unterstützung bietet (kostenpflichtig).
http://www.msevensoftware.com
mSecure soll angeblich auch KeePass Datenbanken importieren können. Leider gibt es von diesem Tool keine Portable Version. 🙁
mfg Aven
Naja ich kenne auch keins was an Keepass rankommt, obwohl ich nur Windows nutze. Das sieht zwar ganz ok aus uns scheint auch nicht schlecht zu sein, werde aber weiter bei Keepass bleiben
Also ich bleibe bei PassPack. Mobiler gehts einfach nicht 😉
http://blog.renefischer.ws/das-standige-leid-mit-den-passwortern-hat-ein
Gerade gesehen das der Autor sonst Shareware hat. Hier ist die Frage ob das Tool auch Freeware bleibt. Das wäre ja nicht das erste mal. Und wenn man dann irgendwann solch ein Tool nutzt, gibt es keinen Konverter für ein anderes Programm und man muß bei dem Programm bleiben. Als Keepass Alternative kenne ich nur zwei die kosten aber Geld und sind den meisten bekannt.
handelt es sich bei dem „Efficient Password Manager“ um open source software? habe nichts derartiges ermitteln können! gerade bei hochsensiblen programmen wie (notwendigen) passwortverwaltern ist transparenz zwingend notwendig. aus diesem grund bleibe ich beim passwordmanager der ersten wahl (da von bruce schneier) betreut, nämlich – Password Safe -. bei allen anderen angeboten aus diesem bereich unterstelle ich, in bestern generalverdachtsabsicht, zwilichtiges bestreben! an bruce schneier kommt niemand vorbei! das sollte auch der (privat)zensierer, gell caschy du weisst wer gemeint ist, zur kenntnis nehmen. 🙂
Hast du denn schon Quelltexte besagter Programme gelesen?
Also ich vertraue momentan sehr zufrieden auf LastPass, läuft in jedem Browser, auf jedem System und auch die komplette Mobilfunkpalette ist im Sortiment!
https://lastpass.com/
PS: Bewertungsfunktion wieder gestrichen?
Twitter scheint 1a zu funzen und zum P.S: ja 🙂
Lastpass ist ok für den Browser – aber da nutze ich Xmarks. Ausserdem kann man Seriennummern und Co besser in KeepassX usw. verwalten 🙂
Also grade eben wurde (auf englisch) noch follow me on twitter ohne Leerzeile direkt an den Post geklatscht.
Jetzt ist es wieder normal, seltsam. Naja ich sehe viele seltsame Sache, Chrome Dev Channel und dann noch für Dropbox umgebastelt ist echt so eine Sache, läuft irgendwie nicht 100% rund, aber weiss nie genau an was es liegt…
Lag am Plugin, war da eben was am „machen“ 😉 Der Twittername bleibt übrigens gespeichert, auch wenn das Feld leer ist.
hast du schon deine emails gelesen?
quelltext wurde gelesen, wenngleich nicht alles verstanden wurde aber da setze ich auf die gemeinde und auf das wachsamme auge des kryptokönigs schlechthin (bruce schneier). das sich bruce jedoch jedem anderen (auch open source projekt) zuwendet und dies prüft wage ich zu bezeifeln. pwsafe & bruce schneier sind die beste kombination die man sich nur wünschen kann.
Ich haette es interessant gefunden (auch in Zukunft), wenn du bei solchen Programmen auch das Thema Smartphone anschneiden koenntest, gerade weil du ja, falls ich mich recht erinnere selbst eins besitzt.
Z.B. hier in dem Fall, z.B., wie die Synchronisationsmoeglichkeiten sind, ob es eine App fuer Smartphones gibt usw.
Z.B. Keepass hat noch seine Probleme mit dem iPhone.
Mittlerweise werden Smartphone-Eigenschaften auch Entscheidungskriterien fuer Desktopanwendungen, auch nicht immer. Klar.
Ich benutze schon seit Jahren Roboform, http://www.roboform.com, gibt es als Portable Version und als Iphone App. Habe auch schon so manches andere Passwort Programm getestet, auch das beschriebene KeePass. Leider ist bei keinem anderem PW Manager eine solche nahtlose Integration wie mit Roboform möglich.
Ich bin inzwischen auch ein Fan von webbasierten Passwortverwaltern. PassPack hatte ich mir auch schonmal angesehen, bin aber inzwischen sehr glücklich mit CLIPPERZ, da man sich die Community Edition auf dem eigenen Web-Server installieren kann. Da ist dann das Gefühl man hätte seine Passwörter bei sich selbst jedenfalls subjektiv beruhigender.
Mal sehen, soviele Leute sind von Passwortmanagern begeistert. Vielleicht sollte ich es auch mal wieder versuchen. Bisher konnte ich mich damit nicht arrangieren. Zu umständlich. Der Grund ist, dass ich Passwörter zu 99% im Browser benötige, und da liegt es nahe, den Firefox-PW-Manager zu verwenden. Dann hab ich keinen Mehraufwand, und mein Passwort wird mir automatisch eingetragen.
Im Übrigen ist die Passwortverwaltung nur ein Hilfsmittel, um der steigenden Flut Herr zu werden. Selbst wenn ich KeePass einsetzte und mir der Komfort ausreichend wäre, müsste ich doch entweder für jede popelige Forumsseite einen Benutzernamen und ein komisches PW ausdenken. Also das geht zwar alles, aber es klingt als doktort man am eigentlichen Problem vorbei.
Kennt ihr OpenID? Hierbei erstellt man sich bei OpenID-Providern eine einmalige Identität mit Name und Passwort. Damit lassen sich dann bei allen Webseiten, die OpenID anbieten, Logins durchführen ohne sich Passwörter ausdenken zu müssen. Selbst ein eigener Benutzername ist nicht unbedingt notwendig. Seit ich OpenID einsetze, freue ich mich jedesmal, wenn ich auf eine Webseite, Forum o.Ä. stoße und das OpenID-Zeichen sehe. 🙂
Warum ist denn die Bewertungsfunktion verschwunden? Sie war doch ganz nützlich, nur designtechnisch nicht wirklich gut umgesetzt. Was mich nun auf die „Twitter-Zeile“ bringt, die nun im selben Design da rumsitzt, wo gestern noch die Bewertung war.
@caschy: Mal ehrlich. Es liest sich nicht gut, wenn nach einem regulären Kommentar in regulärer Schriftart aufgefordert werde, jemandem bei Twitter zu folgen. Das ist einfach nicht genug voneinander getrennt. Vergleich das mal mit einer persönlichen Unterhaltung, die dann ungefähr so abliefe: „Moin Caschy! Hat ganz schön geschneit gestern, nicht wahr? Folge mir bei Twitter!“
„Da hast Du recht, ich musste heute morgen erstmal die Einfahrt frei schippen. Folge mir bei Twitter!“
@Rainer: hier im Blog wird oftmals live umgebaut. Quasi während Leute schreiben. Und mal ehrlich: du tust deine Meinung kund, finde ich ja auch gut – aber Verbesserungsvorschläge machen – in einem Beitrag, völlig aus dem Zusammenhang gerissen, wo es doch das Kontaktformular gibt? 😉 Ich habe nicht immer Zeit alles SOFORT umzusetzen. Dann ist eben ne hässliche blaue Box da unten n paar Tage lang. Na und? Schenk mir nen 48-Stunden Tag dann geht es schneller 😉
Zum Passwort-Manager: ich verwalte auch meine Seriennummern damit.
@Rainer: Ich hatte auch schon mit dem Gedanken gespielt, OpenID anzuwenden. Ich habe aber bisher immer Bedenken gehabt, einem Anbieter ein Hauptpasswort mitzuteilen. Welche Anbieter erscheinen Dir seriös? Welchen nutzt Du? Könntest Du vielleicht kurz etwas zur Sicherheitsproblematik ausführen?
@Caschy: Entschuldige, da hast Du natürlich recht. Bei solchen Sachen bin ich zu impulsiv und will gleich alles perfekt haben. Ich gelobe Besserung beim nächsten Mal. 🙂
@Didi:
Zuerst habe ich OpenID mit Google versucht, aber bei der Firma hab ich schon soviel Daten gelassen. In Bezug auf Passwörtern traue ich dem Braten eher nicht. Auf der Seite von Wikipedia zu OpenID wird auf xlogon.net verwiesen. Die sehen seriös aus (deutsche Softwarefirma) und bieten insgesamt die besten Features für xlogon: SSL-Anmeldung, Phishing-Schutz, mehrere Identitäten. Man kann für jede Seite, bei der man sich anmeldet, eine andere Identität wählen. Dabei lässt sich jeweils festlegen, welche Daten dadurch tatsächlich übermittelt werden (Vorname, Name, Adresse, Schuhgröße) oder eben auch nicht. Xlogon sagt, welche Daten obligatorisch angefordert werden und welche optional sind. So lässt sich Datenschutz und -verbreitung sicher betreiben.
Zu der Sicherheitsproblematik, hmm. Es wäre ein Problem, wenn xlogon das Passwort speichern würde. Hier muss ich darauf vertrauen, dass nur der Hash gesichert ist und ich alleinig das PW weiß. Damit ist es dann kein Problem mehr. Es ist nicht möglich, dass Seite X durch meine Anmeldung auch bei Seite Y reinkommt. Das Passwort wird jeweils auf der xlogon-Seite eingegeben, die dann wiederum eine Bestätigung an die anfragende Webseite schickt.
@Peter: du haettest vielleicht erwaehnen sollen, dass deine Passwoerter, ob verschluesselt oder nicht, auf einer Webseite landen, und dass um mit dem iPhone die aktuelle Version seiner Passwoerter zu haben sich dieses mit eben dieser Webseite synchronisieren muss.
Manchem mag das egal sein, dass seine Kreditkartendaten bei Roboform landen, mir nicht, ob verschluesselt oder nicht. Es reicht, wenn mein Google-Passwort in der Gegend rumschwirrt.
Ausserdem eine Synchronisation nur mit Hilfe einer Webseite, nein danke.
Mir persoenlich reicht eine einfache File-Synchronisation zwischen Desktop und iPhone. Solchen Funktionen gebe ich den Vorzug gegenueber der forcierten Implementation von Schnickschnack wie automatischer Ausfuellung der Credentials auf Webseiten. Zumal dies mangels vorhandener Framework-Implementationen seitens Apple nur mittels applikationseigenem Browser moeglich ist, also nicht mittels Uebergabe an Safari. Anstatt sich solchem halbgaren Mist zu widmen, waere eben ein Konzentrieren auf fundamentale funktionale Aspekte beim Passwortmanger sinnvoller. Zumal ich eben mit applikationseigenem Browser nur eine weitere Vase Pandoras oeffne angesichts der moeglichen Bugs bzgl. Sicherheitsaspekte, Zertifikaten usw.
Und dann wundert man sich wenn im Wifi-Verkehr die Passwoerter floeten gehen.
Dann doch lieber das Passwort per Copy&Paste in den iPhone-Safari eingeben …