Passwortmanagern kann man eigentlich nicht trauen

Passwortmanagern kann man eigentlich nicht trauen. Insbesonders die, die weit verbreitet sind, sind ein gigantisches Ziel für Hacker und Regierungen. Passwortmanager grösserer Organisationen haben um so mehr potentielle Schwachstellen, um so mehr Mitarbeiter sie haben. Es muss nur irgendwer eine Sicherheitslücke gezielt einschleusen, und dann kann der Store gehackt werden. Auch erfolgreiche Open Source Projekte sind nicht sicher, gerade wenn zu viele Leute daran arbeiten oder die Distribution nicht sauber geregelt ist.

Ich habe da eigentlich nicht viel Vertrauen. Verschlüsselung und Zero-Trust sind vor allem Marketing-Gags, aber machen die Passwortmanager nur ein wenig sicherer. Die eigentliche Bedrohung sind manipulierte Distributionen und Sicherheitslücken, die sich auf Webseiten ausnutzen lassen.

Am sichersten sind wohl Passwortmanager mit möglichst wenigen Benutzern. Zumindest wenn man selbst kein attraktives Ziel ist. Lange Zeit habe ich auch nur meine Passwörter in einem Text-File, mit GnuPG verschlüsselt und ein paar Scripts verwaltet, aber das war keine Lösung für Mobiltelefone...

Ich bin auch immer verlockt, selbst einen zu schreiben und veröffentlichen, aber ich hätte Angst vor Druck durch Regierungsorganisation und noch mehr durch Private. Das ist nichts, was man tun sollte, wenn man eine Familie hat...

Dann nutz einen offline Passwort Manager, dann bist du kein großes Ziel. Keepass oder Enpass haben keine Server

Tamlyn schrieb:
--------------------------------------------------------------------------------
> Dann nutz einen offline Passwort Manager, dann bist du kein großes Ziel.
> Keepass oder Enpass haben keine Server

wenn die Software manipuliert ist und die Passwort an die Cloud sendet, ist man auch nicht sicher.
Man müsste nach jeden Update den Quellcode prüfen und selber bauen.

Apple und Google (auch MS) hätte immer die Möglichkeit, weil sie die volle Kontrolle über das Betriebssystem aus der Ferne haben. Man kann nur hoffen, das sie die Kontrolle nicht missbrauchen oder anderen zur Verfügung stellen.

MarcusK schrieb:
> Man müsste nach jeden Update den Quellcode prüfen und selber bauen.

... und zwar nicht nur den des Produktes selbst, sondern auch von allen Dependencies...

toj schrieb:
--------------------------------------------------------------------------------
> Passwortmanagern kann man eigentlich nicht trauen. Insbesonders die, die
> weit verbreitet sind, sind ein gigantisches Ziel für Hacker und
> Regierungen. Passwortmanager grösserer Organisationen haben um so mehr
> potentielle Schwachstellen, um so mehr Mitarbeiter sie haben. Es muss nur
> irgendwer eine Sicherheitslücke gezielt einschleusen [...]

Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia an. Firmen wie LastPass, bei denen immer wieder katastrophale Sicherheitsmängel zu Datenabgriffen führen, kann man tatsächlich nicht trauen, aber dafür braucht es keine Verschwörungsängste. Spätestens wenn man einen Open-Source-Passwortmanager selbst hosten kann, ist ein generelles "Passwortmanagern kann man eigentlich nicht trauen" jenseits vernünftiger Bedenken.

demon driver schrieb:
--------------------------------------------------------------------------------
> Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia an.

Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)
Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird sich für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein Exploit ist wertvoll und man wird ihn nicht für mich verschwenden.

> braucht es keine Verschwörungsängste. Spätestens wenn man einen
> Open-Source-Passwortmanager selbst hosten kann, ist ein generelles
> "Passwortmanagern kann man eigentlich nicht trauen" jenseits vernünftiger
> Bedenken.

Selbst hosten ist Scheinsicherheit. Der Angriffsvektor bei professionellen Angriffen sind fast nie die Daten, es ist immer der Code.

toj schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia an.
>
> Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)
> Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird sich
> für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein
> Exploit ist wertvoll und man wird ihn nicht für mich verschwenden.
>
> > braucht es keine Verschwörungsängste. Spätestens wenn man einen
> > Open-Source-Passwortmanager selbst hosten kann, ist ein generelles
> > "Passwortmanagern kann man eigentlich nicht trauen" jenseits vernünftiger
> > Bedenken.
>
> Selbst hosten ist Scheinsicherheit. Der Angriffsvektor bei professionellen
> Angriffen sind fast nie die Daten, es ist immer der Code.

Ja, und genau deswegen ist wiederum das Gegenteil richtig. Denn wenn ich's selbst hoste, kann ich sicher sein, dass ich den öffentlich einsehbaren Code habe. Wenn ich die Dienste bei jemand anders in Anspruch nehme, kann der theoretisch sonstwas im Backend haben.

toj schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia an.
>
> Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)

Das ist ja noch schlimmer ;-)

> Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird sich
> für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein
> Exploit ist wertvoll und man wird ihn nicht für mich verschwenden [...]

So funktionieren solche Hacks nicht, das ist völlig irrelevant. Die Sicherheit hättest du nur mit einer selbstgehosteten Instanz. Denn die Masse machts. Wenn da jemand Hunderttausende von Credentials abgreift und welche von dir sind dabei, wird früher oder später jemand auch mit deinen versuchen, Geld zu überweisen, Waren zu kaufen, mit deiner Identität Verbrechen zu begehen und andere nette Dinge.

demon driver schrieb:
--------------------------------------------------------------------------------
> toj schrieb:
> ---------------------------------------------------------------------------
> -----
> > demon driver schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia
> an.
> >
> > Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)
> > Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird
> sich
> > für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein
> > Exploit ist wertvoll und man wird ihn nicht für mich verschwenden.
> >
> > > braucht es keine Verschwörungsängste. Spätestens wenn man einen
> > > Open-Source-Passwortmanager selbst hosten kann, ist ein generelles
> > > "Passwortmanagern kann man eigentlich nicht trauen" jenseits
> vernünftiger
> > > Bedenken.
> >
> > Selbst hosten ist Scheinsicherheit. Der Angriffsvektor bei
> professionellen
> > Angriffen sind fast nie die Daten, es ist immer der Code.
>
> Ja, und genau deswegen ist wiederum das Gegenteil richtig. Denn wenn ich's
> selbst hoste, kann ich sicher sein, dass ich den öffentlich einsehbaren
> Code habe. Wenn ich die Dienste bei jemand anders in Anspruch nehme, kann
> der theoretisch sonstwas im Backend haben.

er meint wohl mehr den Code der App. Baust du deine App aus den Quellcode selber und prüfst ihn bei jedem update?

MarcusK schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > toj schrieb:
> >
> ---------------------------------------------------------------------------
>
> > -----
> > > demon driver schrieb:
> > >
> >
> ---------------------------------------------------------------------------
>
> >
> > > -----
> > > > Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia an.
> > >
> > > Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)
> > > Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird sich
> > > für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein
> > > Exploit ist wertvoll und man wird ihn nicht für mich verschwenden.
> > >
> > > > braucht es keine Verschwörungsängste. Spätestens wenn man einen
> > > > Open-Source-Passwortmanager selbst hosten kann, ist ein generelles
> > > > "Passwortmanagern kann man eigentlich nicht trauen" jenseits vernünftiger
> > > > Bedenken.
> > >
> > > Selbst hosten ist Scheinsicherheit. Der Angriffsvektor bei professionellen
> > > Angriffen sind fast nie die Daten, es ist immer der Code.
> >
> > Ja, und genau deswegen ist wiederum das Gegenteil richtig. Denn wenn ich's
> > selbst hoste, kann ich sicher sein, dass ich den öffentlich einsehbaren
> > Code habe. Wenn ich die Dienste bei jemand anders in Anspruch nehme, kann
> > der theoretisch sonstwas im Backend haben.
>
> er meint wohl mehr den Code der App. Baust du deine App aus den Quellcode
> selber und prüfst ihn bei jedem update?

Nein, da vertraue ich auf den Updatemechanismus. Habe auch noch nie gehört, dass Passwörter über die Client-App von Passwortmanagern abgegriffen worden wären. Das waren bisher immer Angriffe auf die Server.

MarcusK schrieb:
--------------------------------------------------------------------------------
> Tamlyn schrieb:
> ---------------------------------------------------------------------------
> -----
> > Dann nutz einen offline Passwort Manager, dann bist du kein großes Ziel.
> > Keepass oder Enpass haben keine Server
>
> wenn die Software manipuliert ist und die Passwort an die Cloud sendet, ist
> man auch nicht sicher.
> Man müsste nach jeden Update den Quellcode prüfen und selber bauen.
>
> Apple und Google (auch MS) hätte immer die Möglichkeit, weil sie die volle
> Kontrolle über das Betriebssystem aus der Ferne haben. Man kann nur hoffen,
> das sie die Kontrolle nicht missbrauchen oder anderen zur Verfügung
> stellen.

Ein Passwortmanager der überhaupt keine Verbindung mit dem Internet aufbaut nur eine lokale Datei hat die verschlüsselt ist, die man selber evtl. als Backup noch bei Google, GMX oder sonst wo hoch lädt dürfte relativ sicher sein

Also wenn du der Software, die du lokal auf deinem eigenen Computer laufen lässt, nicht vertraust, dann hast du ohnehin verloren. Dann kannst du im Prinzip auch nicht deinem Browser oder sonst irgendeiner Software vertrauen, in die du die Passwörter eintippst, egal wie sicher dein Passwort-Manager wäre. Wenn du deinen Rechner als Kompromitiert betrachtest, dann musst du auch mit einem Keylogger rechnen.
Am Ende ist es eine Abwägung von Wahrscheinlichkeiten. Wie wahrscheinlich ist es, dass ein Cloud-Unternehmen, welches Millionen Passwörter speichert, ein Ziel von Angreifern wird? Wie wahrscheinlich ist es, dass ein relativ häufig benutzter Open-Source-Password-Manager manipuliert wird ohne dass es mehrere Monate lang nicht auffällt (denn man muss ja nicht jedes Update sofort installieren sondern kann bei kritischer Software auch warten, bis z.B. die Maintainer ein Update für ausreichend sicher halten und es freigeben)?

toj schrieb:
--------------------------------------------------------------------------------
> demon driver schrieb:
> ---------------------------------------------------------------------------
> -----
> > Siehe hier. Irgendwo hören vernünftige Bedenken auf und fängt Paranoia
> an.
>
> Ich persönlich habe keine Paranoia. Ich benutze sogar LastPass :)
> Das liegt aber daran, dass ich kein bedeutsames Ziel bin. Niemand wird sich
> für mich die Mühe machen, meinen Passwortmanager zu hacken. Denn ein
> Exploit ist wertvoll und man wird ihn nicht für mich verschwenden.
>
> > braucht es keine Verschwörungsängste. Spätestens wenn man einen
> > Open-Source-Passwortmanager selbst hosten kann, ist ein generelles
> > "Passwortmanagern kann man eigentlich nicht trauen" jenseits
> vernünftiger
> > Bedenken.
>
> Selbst hosten ist Scheinsicherheit. Der Angriffsvektor bei professionellen
> Angriffen sind fast nie die Daten, es ist immer der Code.
>
Kommt auf die Art des hostings an. Keepass-Files sind z.B. per default stark verschlüsselt. Mit einem annährend vernünftigen Passwort (idealerweise plus Keyfile) bringt es dem Angreifer genau gar nichts, die Hosting-Ungebung anzugreifen.
Das ist ja genau der Witz dabei: Du hast eine viel geringere Angriffsoberfläche als die ganzen Cloud-Services (zugegebenermaßen etwas auf Kosten von Komfortfeatures)

toj schrieb:
--------------------------------------------------------------------------------

> Ich bin auch immer verlockt, selbst einen zu schreiben und veröffentlichen,
> aber ich hätte Angst vor Druck durch Regierungsorganisation und noch mehr
> durch Private. Das ist nichts, was man tun sollte, wenn man eine Familie
> hat...

Bitte was?