Okta Personal: Kostenloser Passwortmanager startet
von caschy | 17 Kommentare
Okta ist ein US-amerikanisches Unternehmen für Identitäts- und Zugriffsmanagement mit Sitz in San Francisco. Das Unternehmen bietet Cloud-Software an, die Unternehmen dabei hilft, die Benutzerauthentifizierung in Anwendungen zu verwalten und zu sichern, und ermöglicht Entwicklern, Identitätskontrollen in Anwendungen, Website-Webdienste und Geräte einzubauen.
Mittlerweile hat man sogar mit Okta Personal eine Passwortverwaltungslösung für Privatanwender veröffentlicht, die man sogar kostenlos anbietet. Derzeit ist das Passwortmanagement im Browser (auch mit Chrome-Erweiterung) sowie auf dem iPhone nutzbar, eine Android-App soll bald folgen.
Den Import unterstützt man aus Okta Workforce, Chrome, 1Password, LastPass, Dashlane, Bitwarden und anderen Managern für Passwörter. Ein Whitepaper über die Mechanik, wie z. B. die Ende-zu-Ende-Verschlüsselung hat man hier hinterlegt.
Ich betone es immer wieder ganz gerne: Nur in den seltensten Fällen gibt es so etwas wie „free lunch“, gerade nicht bei Unternehmen. Vermutlich wird Okta das Ganze irgendwann monetarisieren wollen oder zumindest eine Verknüpfung zur Workspace anbieten. Eine Roadmap hat man auch schon, so soll das Verwalten von Familien möglich sein, das Teilen von Passwörtern und auch Notfallzugriffe soll man managen können. Ansonsten, das muss ich sicherlich nicht erwähnen, gibt es zahlreiche Alternativen, wie die bereits in die Systeme integrierten Passwortmanager oder eben KeePass, Enpass, Bitwarden, 1Password und und und.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Heutzutage ist die Nichtverwendung eines Passwordmanagers grob fahrlässig. Selbst kostenlose Frickelsoftware wie Keepass ist besser als „Geheim123+Amazon“. Wer es komfortabler haben möchte greift zu Bitwarden und wer bereit ist für noch mehr Komfort und weitere Funktionen ein paar Euro im Jahr zu bezahlen, der trifft mit 1Password eine gute Wahl
Jooo, Okta! Denen gibt man doch gerne seine Passwörter. Die sind so kompetent und kommunikativ, dass selbst Cloudflare sich genötigt sah, die Firma in einem Blogpost vor ein paar Monaten regelrecht zu demütigen.
https://blog.cloudflare.com/how-cloudflare-mitigated-yet-another-okta-compromise/
Der letzte Vorfall ist noch nicht mal ein halbes Jahr her, auch ihr habt hier drüber berichtet. Da hätte ich jetzt doch zumindest einen Link (https://stadt-bremerhaven.de/okta-hack-auch-1password-intern-betroffen/) in diesem Beitrag erwartet.
Zumindest wurde LastPass nicht als Alternative aufgezählt. 😉 Die wurden schon so oft gehackt dass es schon nicht mehr lustig ist…
Ja, bei mir ging auch gleich der Alarm los. Ende ’22 hatten die die Lapsus$-Gruppe zu Gast auf ihren Systemen, haben abgestritten und relativiert, angeblich alles abgewehrt… „nix passiert“.
Tja, kurz darauf wurden dann die Github-Repos von Okta „gehackt“, aber wieder: „nix passiert. Alles ist sicher.“
Im Oktober diesen Jahres gab es dann weiteren Fallout in Folge, Okta-Kunden werden einer nach dem anderen von Hackern heimgesucht. Welch‘ Zufall, wird sicher nichts mit den vorangegangenen Ereignissen zu tun haben, weil da ist ja immer „nichts passiert“ und niemals nicht sind „Kundendaten abgeflossen“. Nein.
Man müsste wirklich schon massiv in seiner Intelligenz eingeschränkt sein, dem Verein auch nur den Code vom Fahrradschloss am Dreirad des Nachwuchses anzuvertrauen.
Das beste Password ist noch 4321meins kommt eh keiner drauf.
Das beste ist immer noch TOTP oder/mit Passkey. Leider unterstützen nicht alle Dienste das. Ich habe vor kurzem auf meiner GMX Mail Adresse eine Erpressermail mit dem richtigen genannten einfachen Passwort für GMX bekommen den ich Jahrelang für GMX und andere Accounts aus Bequemlichkeit ohne damals Passwortmanager genutzt zu haben bekommen. Auf haveibeenpawned war die GMX Mail auch von leaks betroffen.
Also immer verschiedene Passwörter/Passkeys bei allen Diensten nutzen und wenn möglich MFA.
Ich bin von der selbstgehosteten Nextcloud Passwort Verwaltung inzwischen zu Proton Pass gewechselt. Kostet etwas, ist aber super komfortabel.
Und wenn der Dienst mal weg ist… mit ihm auch die Passwörter.
Ich setze auf mehrere Passwortmanager mit TOTP Support. iOS Passwörter, Keepass/Strongbox und Bitwarden. Nebst Microsoft Authenticator nur für TOTP.
Eine Sicherung sollte man auch in diesem Fall haben, hat jetzt nichts mit Sicherheit für die Kennwörter zu tun.
Ansonsten gute Idee, die Kennwörter mehrfach zu verteilen. Am besten noch per FTP auf irgendwelchen Servern parken, damit andere für einen spiegeln.
Es geht aber noch einfacher: erstelle einfach monatlich ein Backup durch Erstellen eines Exports und sichere das auf eine Methode Deiner Wahl.
Danke, den nutze ich auch schon eine Weile 😉
Der iOS Passwortmanager hat einen gravierenden Nachteil: er lässt sich auf dem iPhone nicht zusätzlich mit Face-ID sichern. Wer sich Deines iPhones und des PIN-Codes bemächtig, hat vollen Zugriff auf Deine Passworte. Bei 1Password oder Bitwarden muss man sich vor dem Zugriff noch mit Face-ID freischalten.
In den USA ist es wohl in letzter Zeit zu Vorfällen gekommen, bei den erst die PIN ausspioniert und dann das iPhone gestohlen wurde. Die Täter haben dann innerhalb kürzester Zeit die Besitzer aus ihren Apple-Konten ausgesperrt und dann die Konten leergeräumt.
Hier ein Beitrag des WSJ zu dem Thema. https://www.youtube.com/watch?v=QUYODQB_2wQ&t=3s
Das ist Vergangenheit. Seit der Einführung von Stolen Device Protection und ab Aktivierung selbiger lässt sich der iOS Password Manager nur noch biometrisch entsperren.
Ohne Face-ID zeigt mir das iPhone keine Kennwörter an, sowie manche andere Einstellungen. War doch schon immer so.
Nutze nun auch schon eine weile Proton Pass und bin mehrheitlich zufrieden. Vorallem mit den Alias Emails. Bitwarden erkennt die Felder teilweise etwas zuverlässiger. Und der Proton Pass ist in der Proton Family schon enthalten.
Ich verwende einfach überall Mb2.r5oHf-0t. Schliesslich hat der CCC das als sicherstes Passwort der Welt auserkoren.
Da kann nichts schiefgehen und den Passwortmanager spart man sich auch.
Hintergrund:
https://www.der-postillon.com/2014/04/sicherstes-passwort.html
https://www.youtube.com/watch?v=tg_F5SKw33k