Efficient Password Manager: Passwörter sicher verwalten
von caschy | 43 Kommentare
Ich persönlich sehe zwar keinen Grund nicht KeePass oder KeePassX zu benutzen, aber wenn ich hier nur Programme vorstellen würde die ich nutze, dann wäre das mit dem bloggen ja nach ein paar Tagen vorbei. Deswegen mal nach langer Zeit mal wieder etwas aus der Schiene: „wie verwalte ich meine Passwörter“. Der Efficient Password Manager ist eine kostenlose Software für Windows, die es auch in einer portablen Version gibt.
Passwörter werden mit 256Bit AES verschlüsselt. Das Aussehen des Programms lässt sich über mehrere Farbschemen definieren. Zu jedem Passwort können Notizen, Anhänge, Links und so weiter vermerkt werden. Bei mehreren Computern kann man das portable Programm (oder die verschlüsselte Datenbank) auch wunderbar mit Dropbox nutzen. Vielleicht gefällt einem von euch das Programm ja besser als KeePass / KeePassX. Ich selber kann den Efficient Passwort Manager ja nicht nutzen, da ich ein Programm benötige, mit dem ich meine Passwort-Datenbanken unter Windows und Mac OS X öffnen kann (deswegen ja KeePassX).
Wird geladen ...
Merkwürdig ist für mich folgendes:
Auf der Seite steht nirgendwo das das Programm Freeware ist. Es steht nur kurz free, was bei manchen alles heißt. Nur auf anderen Seiten steht das es Freeware ist. Das nächste Problem ist die Seite verschweigt wo der Autor herkommt. Laut Whois kommt der Autor aus China. Da bleibe ich lieber bei Keepass, das ist 100% kostenlos.
Zu Browerpasswörter: Die sind nicht nur unsicher sondern müßen auch immer regelmäßig gesichert werden. Lastpass und Roboform sind zwei sehr gute Tools
@anonimo:
Du kanst Roboform auch mit einer einfachen File-Synchronisation aktuell halten. Die Nutzung des Webservice ist kein Muss sondern nur ein Extra.
Grundsätzlich werden die Passcards verschlüsselt auf dem lokalen Rechner abgelegt.
@anonimo: Du hast sicherlich Recht mit Deinen Ausführung, diesem Iphone traue ich auch nicht unbedingt über den Weg. Solltest du aber einen PW Manager mit voller Integration in Firefox oder IE suchen und vielleicht auch noch mit Active Sync auf ein Windows Mobile Handy synchronisieren, dann brauchst Du auch Deine Daten nicht auf die Roboform Webseite schaufeln. LG
Vermutlich werden jetzt alle die Hände über dem Kopf zusammenschlagen, denn ich nutze für meine gesammelten Passwörter (außer Online-Banking, das habe ich im Kopf), ein Karteikästchen mit A7 Karteikarten.:D
@Rainer: Vielen Dank für Deine ausführlichen Informationen. An Google hatte ich auch schon gedacht; an die habe ich mich ja sowieso schon mit Haut und Haaren verkauft 😉
xlogon.net werde ich mir ansehen.
Hallo,
@Caschy
Danke für den tip, ich werde mir das Programm mal ansehen.
Aktuell nutze ich eine kommerzielle Password-Safe Lösung, die auch wunderbar funktioniert. Allerdings nervt es mich dann doch, jedes Jahr aufs neue fürs Update zu zahlen, daher schaue ich mir gerne Freeware-Versionen an. KeePas konnte mich bisher nicht überzeugen, da schon der Import aller meiner Daten fehlschlug und ich keine Lust habe, alle Passwörter und Softwarekey händisch einzutragen.
@Tuxtom: Naja, wenn ich denke: jedes Jahr zahlen oder einmal die Arbeit machen – dann mache ich mir die Arbeit 😉
Also ich blieb bislang bei Keepass, da Keepass Autologin unterstützt. Efficient Password Manager, Password Safe und KeePassX unterstützen dies nicht und sind daher keine Alternative für mich. Oder hat sich hier zwischenzeitlich was getan? Insbesondere bei KeePassX hoffe ich, dass Autologin bald unterstützt werden wird, da Keepass in den neuen Versionen .Net Framework voraussetzt.
Ich frage mich eigentlich fast jede Woche, warum sich noch niemand für die Passwort-Problematik was anständiges ausgedacht hat. Das Problem hat doch wirklich jeder. Aber wieso kann man es nicht lösen?
Vielleicht löst es ja Facebook Connect – wer weiß..
@ Caschy
Danke für Deinen Tip re EPM – werde die Software sicherlich testen, bleibe aber vermutlich dennoch beim langjährig liebgewonnenen Keepass – für mich einfach genial, da ich Keepass parallel auf meinem Win Desktop bzw. Notebook, Blackberry als auch Android Phone benutze. Diese platformübergreifende Handhabung ist neben dem „easy handling“ in meinen Augen die wahre Stärke.
Habe bis dato noch Hemmungen den Sync von Keepass via meiner Dropbox zu machen. Denkst Du das ist datenschutztechnisch wirklich sicher?
@caschy: Jetzt lesen sich die Kommentare wieder besser. Die sandfarbene Markierung hat den Lesefluss gestört.
Jetzt funktioniert auch die Kommentarbearbeitungsfunktion. Früher ging es gar nicht.
@Rainer:
OpenID ist ein Risiko-Faktor. Aus zwei Gründen, von denen ich einen vielleicht falsch verstanden habe.
Angenommen ich bin bei xlogon.net gemeldet und würde bei Seite xyz, die OpenID unterstützt, mich anmelden. Dann geben ich dort meinen Account und mein Paßwort ein und der HASH-Wert meines Paßwortes würde mit dem auf xlogon.net gespeichert werden, richtig? Wenn ja, dann muß ich nicht nur xlogon.net vertrauen, sondern jeder OpenID Seite, auf der ich Daten eingebe.
Punkt zwei ist ganz sicher: So können wunderbar Verhaltensmuster von mir erstellt werden. Wohin surfe ich, wann etc. Nene, im Regelfall benutze ich den PrivacyDongle um meine Privatsphäre zu gewährleisten, da sollte man sie nicht mit OpenID noch torpedieren.
OpenID ist eigentlich ein einfaches Prinzip. Der Unsicherheitsfaktor liegt – wie z.B. bei E-Mail auch – im Vertrauen zum jeweiligen Provider. Für xlogon steht in den Nutzungsbedingungen (https://my.xlogon.net/tos/) z.B. klar drin, dass alle angefragten Webseiten protokolliert werden. Der Nutzer kann dies aber auch kontrollieren, und die Liste dient in erster Linie dazu, die verschiedenen Identitäten (Personas) auf die besuchten Webseiten zu verteilen. Das wäre Punkt zwei auf Deiner Liste. Das kann man negativ sehen, aber es ist genau wie bei der E-Mail. Selbst wenn Du ausschließlich verschlüsselte Nachrichten schickst, lässt sich ein Profil mit sämtlichen Sendern, Empfängern und Betreffzeilen erstellen. Man muss irgendeiner Instanz vertrauen, genau wie Du der Post vertrauen musst, dass sie alle Sendungen sicher und privat transportiert. Und in allen Fällen wird das gesetzlich (z.B. durch den Datenschutz) garantiert.
Zum ersten Punkt, ich denke, das hast Du falsch verstanden. Die einzelnen Webseiten, bei denen Du dich über die OpenID anmeldest, bekommen Dein Passwort nicht. Ganz im Gegenteil. Eine anfragende Webseite X bekommt von Dir nur die OpenID übermittelt. Dann fragt sie beim Provider an zwecks Authentifizierung und stellt ggf. noch Ansprüche wie E-Mail, Name etc (kann auch optional sein). Du wirst weitergeleitet zum Provider, bei mir z.B. xlogon.net. Dort gibst Du OpenID und Passwort ein und sagst, welche Daten X von Dir zusätzlich bekommt. xlogon liefert alles zurück mit der Bestätigung, X ist zufrieden und Du brauchtest Dir nur das OpenID-Passwort zu merken.
Das mit dem Hashwert hab ich erwähnt, weil Passwörter selten im Klartext, sondern im Hashtext gespeichert werden. Der Sinn ist, dass man damit zwar überprüfen kann, ob ein eingegebenes Passwort korrekt ist, aber dass dennoch niemand an das Passwort herankommt – außer bei der eigentlichen Eingabe. Ob xlogon nun das PW speichert oder nur einen Hash, weiß ich nicht. Ich muss in beiden Fällen darauf vertrauen, dass der Betreiber sich damit nicht unbefugt woanders anmeldet.
Danke für die Aufklärung. So ist es schon besser, wobei mir das Protokollieren schon stört. Durch Verwendung von z.B. TOR versuche ich öfters solche Dinge zu vermeiden.
Da ich gerne neue Software ausprobiere, werde ich EPM mal antesten.
Bisher bin ich sehr mit der Kombi aus KeePass und LastPass zufreieden.
LastPass für alle Web Logins und KeePass auf dem USB Stick quasi als Backup. Wie Caschy speicher ich z.B. in KeePass auch Seriennummern, die man z.B. bei den ganzen Promotion Aktionen per Mail zugeschickt bekommt.
Wenn man im Browser bei LastPass auf „Werkzeuge“ „Importieren von“ geht, erscheinen dort 22 !! Anwendungen – u.a. auch KeePass. Das funktioniert sehr gut. So muss ich nur einmal „alles“ eintippen.
Ich wollte nun nochmal einen Versuch mit KeePass machen, aber leider importiert der mir trotz Plugin nicht meine PWs aus dem portable Firefox. Kennt jemand eine Lösung?
ein blogger stellt ein programm vor, was er selbst nicht nutzt… bisher hielt ich caschy immer für relativ intelligent aber der sinn dieses blogges kann doch dann nurnoch ADS oder werbung sein. bloggen weil man sonst nix zutun hat oder geld verdienen mit mehr usern die man sich rein holt dank google suchfunktion wenn irgendwann mal jedes x-beliebige programm hier irgendwann mal erwähnt wurde und somit mehr geld dank google adwords. und nun darf mich caschy wieder steinigen und mir ne mail schicken das ihm mein umgangston hier nicht passt -.-
Seit wann schreiben denn Zeitungen nur über das, was Ihnen gefällt? Oder Zeitschriften? Und schon mal nachgesehen wie wenig Geld man mit der Werbung bekommt?
@nippelnuckeler: du scheinst jedenfalls nicht gerade intelligent zu sein. Zumindest belegen dies deine Aussagen. Bloggen mit einer anerkannten Krankheit zu verwechseln / assoziieren…
Wozu gibt es Blogs? Um etwas zu erzählen? Ja. Um etwas vorzustellen? Ja. Um etwas zu empfehlen? Ja. Um von etwas abzuraten? Ja Um zu kommunizieren? Ja.
Bloggen wegen Werbeinnahmen? Nö. Zu viel Zeit? Eher zu wenig. Ich habe ja noch einen regulären Beruf.
Und dir E-Mails schreiben? Keine Sorge, werde ich garantiert nicht mehr machen.
Warum soll ich mich über Leute rumärgern? Aus dem Alter bin ich raus. Get a life.
@nippelnuckler
na, schon lange keine Nippel mehr genuckelt, oder warum schreibst Du hier mit offener Hose?