Hallo zusammen,

ich nutze schon seit vielen Jahren 1 Password (die letzte Kaufversion) Nun möchte ich aber up To Date sein und suche einen neuen.
Habe mir schon LastPass angeschaut aber da zahle ich ja auch im Jahr 24.-€.
Was nutzt ihr denn so oder was könnt ihr empfehlen ohne tief in die Tasche greifen zu müssen?

Danke

Was spricht gegen ausprobieren?

Genau das ist eines der Hauptargumente gegen Cloud-Dienste für vertrauliche Daten, ja. Darauf wollte ich hinaus: Ob man Russen traut, Australiern, Amis, Engländern oder Deutschen ist letztlich egal. Wenn man den Faktor des Datenabgriffs ohne Mitteilung ausklammern will, muß man das Zeug lokal halten.

Nicht, daß da nicht auch mal jemand vor der Tür stehen könnte. Aber dann weiß man es wenigstens.

Wenn jemand meine Cloud UND meine Passworddatenbank knackt UND diese auswertet, steht sicher niemand vor der Tür. Nicht deswegen.

Peter Eckel

Die Clouddebatte hatten wir ja jetzt zur Genüge. Und die Argumente wiederholen sich auch. Zudem war das auch gar nicht die Ausgangsfrage des TE. Letztlich muss jeder selber entscheiden, wem er was anvertraut oder nicht.

Wer es sicher braucht und Cloud verwenden will, sollte sich 1) im Klaren sein, was das bedeutet, und 2) für möglichst hohe Hürden sorgen, wenn es sich um empfindliche Daten handelt, was bei PWMs meistens gegeben ist.

Aus technischer Sicht ist KeePass mit einem starken Masterpasswort, Keyfile, ChaCha20 und Argon2 IMHO das sicherste, was derzeit geht. Egal, ob der PW-Tresor auf dem eigenen Server liegt oder in der Cloud.

Der @oschi soll einfach weiter mit 1PWD V6 arbeiten. Bedenkenlos. Und gut ist

V7 upgrade-und-non-subscription-Tür steht ja offen.

Ansonsten Danke an alle für Tipps zu weiterer Software!
Wenn AgileBits dann wirklich mal nur noch Subscription anbieten sollte und durch diverse macOS Sprünge bisherige standalone Versionen nicht mehr benutzbar sein sollten oder eklatante Mängel auftauchen mit der Zeit, dann ist auch für mich die Zeit gekommen umzusteigen.

Subscription... go to hell

1Password habe ich jetzt von der Website geladen, aber auch springt mich nur das Abomodell an. Es zeigt mir zumindest, dass das Unternehmen kein Interesse daran hat, herkömmliche Lizenzen zu verkaufen (schlimmer noch, es werden nur Dollar-Preise ohne Steuer angezeigt). Nachdem ich den Unzug zu Enpass nun eh schon fertig habe, kann mit Agilebits mal den Buckel runterrutschen, so gern ich die App auch mag. Das Safari-Plugin von Enpass tut es jetzt auch. Es bleibt die Frage, ob man der indischen Software-Firma von Enpass vertrauen kann?

Ich habe praktisch alle hier genannten Anbieter ausprobiert, bin auch lange bei Enpass und SafeInCloud hängen geblieben. Im Laufe der Zeit kamen immer mehr Daten hinzu, die ich gerne an einem zentralen Ort speichern möchte (Software-Lizenzen, Kaufbelege, Garantiebelege, relevante Dinge für Versicherungen, Screenshots, .zips, PDFs, usw.). Spätestens hier zeigten sich dann die Grenzen der Möglichkeiten.

Parallel dazu habe ich mir mit FileMaker eine eigene Lösung "gebastelt", die – trotz steigender Komplexität der darin verwalteten "Datenschnipsel" – immer schlanker wurde und mit immer weniger Bedienelementen (Buttons, Pop-up Menüs, Icons, allgem. UI) auskam. So was geht offensichtlich nur, wenn man auf alle Elemente der Lösung Zugriff hat und sich immer wieder die Frage stellen stellen kann, wie man es noch einfacher und schlanker machen kann.

Beispielweise habe ich mir auch die Frage gestellt, nach was wohl ein "übler Zeitgenosse" zuerst suchen würde, wenn er meinen Mac in die Finger bekommt. Wäre das nicht zuallererst eine Datenbank von den üblichen "Verdächtigen" – also von 1Passwort und Co.? Wie wichtig erscheint im Vergleich dazu eine FileMaker Datenbank, die einen Allerweltsnamen hat, sich ohne Passwort öffnen lässt und nur belangloses Zeug eines Kaninchenzüchtervereins offenbart? Wie soll der "üble Zeutgenosse" auch wissen, dass man in dieser harmlosen FileMaker Datenbank ein verstecktes Türchen finden muss, dass nach Eingabe eines Passwortes wesentlich interessantere Dinge offenbart?

Jeder kann das für sich entsprechend ausschmücken und individuell umsetzen. Ich habe deshalb selbstverständlich an prominenter Stelle einen Enpass-Datentresor gespeichert, an dem sich der "üble Zeitgenosse" gerne die Zähne ausbeissen kann. Darin befinden sich dann auch garantiert alle Angaben eines Taubenzüchtervereins.

ratz-fatz

Enpass-Tresor in FileMaker-Datenbank – worin besteht da jetzt genau der Vorteil? In der Kaschierung? Naja, ich weiß nicht. Die "üblen Zeitgenossen" sind ja nicht blöd. Und so groß ist der Verschleierungseffekt dann auch wieder nicht. Welcher "normale" User soll das praktikabel für sich umsetzen? Das mag allenfalls ne Nerd-Lösung sein. Mehr Sicherheit bietet sie in meinen Augen auch nicht. Ich möchte darauf hinweisen, dass Enpass 1) nur mit 24000 Rounds mit SHA-1 hasht (auch wenn HMAC_SHA1 noch als sicher gilt) und 2) leider aktuell m.W. kein Keyfile unterstützt wird. Für mich wäre v.a. Letzteres ein Ausscheidekriterium, weil die zweite Layer-Ebene fehlt.

Ich wiederhole mich ja nur ungern, aber KeePass oder ein Fork davon mit starkem Passwort (bis zu 256 Zeichen sind möglich, was knapp 2000 bit Entropie entspricht), ChaCha20 und Argon2 und Keyfile ist momentan das sicherste, was möglich ist. Das knackt auch mit ASICs, GPUs und FPGAs niemand, egal ob der Tresor in der Cloud oder auf dem heimischen Server liegt, v.a. zumal Nutzen und Aufwand bei unsereins in keiner Relation zueinander stehen und man auch erst einmal Zugang zu solchen Ressourcen haben muss. Und bitte kommt jetzt nicht mit Supercomputern oder Quantencomputern.

Wenn deine Frage lautete: „Enpass-Tresor anstatt FileMaker-Datenbank“ wäre meine Antwort: Mehr Flexibilität?

Was ist eigentlich gegen

pwSafe ,

dem Mac- bzw. iOS-Port von Bruce Schneiers renommierten Password Safe , , , zu sagen? Wäre der nicht auch eine Empfehlung oder wenigstens einen Seitenblick wert?

Wenn's um's "Verstecken" geht, warum nicht in hidden container von VeraCrypt & Co? ... oh man, wo sind wir jetzt eigentlich gelandet

ratz-fatz,
abgesehen von der "Primär-Kopie" auf deiner Maschine, müsstest du noch mindestens eine weitere Kopie woanders aufbewahren, oder?
Und optimalerweise sollte es in einer anderen Technologie sein, rein um zukünftige Lese/Software-Inkompatibilitäten durch zukünftige Updates/generelle Abhängigkeit zu einer Lösung zu vermeiden.
Dazu fällt mir nur ein: das gute alte PLAIN TEXT und dieses GPG'ed auf'm USB Stick in der Schublade, bspw.? Sonstige Ideen?

Sorry, ich hatte Dich zuerst so verstanden, dass Du einen Enpass-Tresor in eine FileMaker-Datenbank packst. Aber Dein Enpass-Tresor ist nur Fake und die Passwörter sind in der FileMaker-Datenbank, die wiederum maskiert ist durch ein Hintertürchen und Passwort, d.h. der Zugang zu den gespeicherten Passwörtern wird nur freigegeben, wenn an der richtigen Stelle geklickt und das richtige Passwort eigegeben wird.

Dein Argument von mehr Flexibilität verstehe ich nicht. Flexibilität in Bezug auf was? Wenn man eine Lösung wie 1PW hernimmt, scheint mir diese gerade was die Eingabe betrifft, schon sehr flexibel zu sein. Klar gibt es da auch Dinge, die man vielleicht nicht zwingend benötigt. Eine FileMaker-Datenbank lässt sich da schlanker programmieren, aber das muss man dann aber auch können. Da würde ich als Otto-Normal wohl eher fertige (Kauf-)Lösungen bevorzugen als schlecht programmierte und zusammen gefrickelte Eigenlösungen. Das bleibt wie gesagt eine Bastellösung für Nerds. Zudem ist Dein gewählter Weg ja nicht gerade unterkomplex.

Fakt ist aber, dass am Ende nur ein Passwort über den Zugriff entscheidet oder nicht, auch wenn man in der FileMaker-Datenbank noch die richtige Stelle anklicken muss. Das ist imho genauso sicher bzw. unsicher wie die bereits hier genannten Lösungen (ohne Keyfile). Und so komplex lässt sich die FileMaker-Datenbank gar nicht programmieren, um das Hintertürchen effektiv und sicher zu verstecken. Wie gesagt sind Deine besagten "üblen Zeitgenossen" nicht blöde. Ich sehe hier keinen sicherheitsrelevanten Vorteil.

Alles ohne Keyfile, d.h. ohne einen zweiten Layer, käme für mich nicht infrage.

Kenne ich nicht.

Ich wollte auch nur etwas beisteuern, was a) nichts kostet und b) Spaß macht bei der Individualisierung und c) eventuell den einen oder anderen interessierten Mitleser dazu anregt, ein wenig über den Tellerrrand zu blicken, um sich von den kommerziellen Angeboten (überwiegend mit Zwangsregistrierung) zu lösen.

Cloud-basierter Sync - aufgrund persönlicher Präferenzen würde das bei mir leider flach fallen

Password Safe/pwSafe unterstützt YubiKey .

Siehe dazu auch:

Password Safe #309 Use Keyfile for access :

ratz-fatz,
das ist auch alles klasse, deine Intention, deine Learnings (vor allem welche Attribute dir wichtig sind etc.), alles prima.

Inwiefern die Verschlüsselung von FM stand hält (kenne FileMaker's Fähigkeiten nicht, aber wäre nicht gerade ein Tool an welches man als erstes denkt in Verschlüsselungsdiskussionen, oder?), wäre ich glaub etwas skeptisch. Könnte aber komplett falsch liegen.

Das Ding mit dem Fake Tresor, ist mir schon zuviel Aufwand. Find's aber lustig.

Da benutze ich - auch aus Komfortgründen - weiterhin 1PWD und nehme mir für die Zukunft einige Tipps hier zu Herzen. Man lernt ja nie aus.
Sorry, wenn das nicht klar rüberkam. Ich meinte damit eine Fallback Lösung, wenn alle Stricke reissen, dass noch eine Art "Masterfile" hinterlegt ist, wenn z.B. deine FM DB so korrupt ist, dass deine Passwort DB nicht mehr funktionsfähig ist.
Und dieses Masterfile sollte so wenig wie möglich Abhängigkeiten zu irgendeiner Software haben, verschiedene Betriebssysteme "überleben können" etc. - und da fallen mir nur pure Textdateien ein (plain text). Damit diese nicht im Klartext auf einem Speichermedium rumliegen, natürlich noch mit z.B. GPG verschlüsseln.

Komfort ist natürlich nicht gegeben, aber im Falle des Falls kann man weiterhin auf relevante Passwörter noch zugreifen.

Ich finde ratz-fatz-Ansatz auch spannend und interessant. Etwas Ähnliches habe ich auch schon probiert. Aber mit so etwas kann man Spaß haben, für den produktiven Einsatz ist es imho nicht geeignet. Für die meisten dürfte schon die Keyfile-Variante aus Komfortgründen rausfallen

sierkb
Danke für die Info. Dass Keyfile unterstützt wird, ist prima. Wie sieht es mit der Verschlüsselung aus? Ich nehme an Rijndael AES oder? Über Yubikey kann man sich streiten. Wenn der weg ist, isser weg.

Ach Griffin und Shapiro … deswegen ergibt das Keyfile auch nur mit einem starken Passwort Sinn. Ohne eines der beiden kann man den Tresor nicht öffnen. Wenn der Yubikey so viel mehr sicherer ist, warum findet man ihn dann kaum, zumindest in den Gefilden, in denen ich unterwegs bin, ist er kaum verbreitet? Hm, vielleicht weil er Geld kostet und vom Anwender auch Knowhow verlangt? Apropos Keylogging, da muss man erst einmal den Keylogger ins System kriegen. Freilich will der Ort, an dem man das Keyfile aufbewahrt, gut überlegt sein.

RamUwe,
sierkb,
mit Key Files und Devices a la Yubikey habe ich mich bisher noch nicht beschäftigt.
Was setzt ihr ein bzw. welche Produkte sind empfehlenswert um Key Files zu handhaben?

RamUwe,
was keylogging angeht, da gibt's auch Teile, die man bei zumindest kabelgebundenen Tastaturen einfach zwischen Tastatur und PC hängt. (ja, das bedarf physischen Zutritt zum Büro/Arbeitsplatz, aber diesen Diskussionsthread bitte nicht aufmachen jetzt)

xcomma

In einem Angriffsszenario, dass keinen physischen Zugriff hat, sind physische Keylogger aber sehr unwahrscheinlich, wenn nicht sogar auszuschließen.

Ich nutze selber Keyfiles. Wenn ich davon spreche, dann freilich nur in Verbindung mit einem starken Passwort. Zum Öffnen der Datenbank braucht es dann das Passwort und das Keyfile. Das ist imho sehr sicher, wenn man das Passwort stark auswählt und das Keyfile sorgsam und so sicher wie möglich aufbewahrt (z.B. auf nem USB-Stick oder in einer verschlüsselten Umgebung). Dann kann auch wie gesagt der Passwort-Tresor sonst wo liegen, Cloud oder nicht. Vorausgesetzt ist natürlich, dass die gewählte Verschlüsselung gut ist. Das knackt dann auch keiner mal eben so. Und da gibt es auch keine Hintertürchen o.ä.

Yubikey muss man kaufen. Je nach Modell beherrschen die Yubikeys der Firma Yubico verschiedene, für unterschiedliche Einsatzszenarien vorgesehene Authentifizierungsverfahren, z.B. HOTP, TOTP, Challenge-Response via HID, Yubico OTP, U2F. IMHO taugt hier nur TOTP und das noch relativ neue U2F wirklich etwas. TOTP (Time-based one time password) funktioniert analog zu HOTP, nur, dass keine Zähler verwendet werden, sondern zeitabhängige Zahlenwerte. Und genau da ist das Problem. Einfach gesagt braucht der Key dann die aktuelle (Unix-)Zeit, also eine Stromversorgung. Yubikey hat aber keine Batterie o.ä. Mangels eigener Stromversorgung beherrscht es das TOTP-Verfahren nicht eigenständig. Zur Nutzung ist immer ein zweites Programm nötig, das dem Yubikey die aktuelle Systemzeit mitteilt und den vom Yubikey generierten Code entgegennimmt und anzeigt. Die Berechnung des Passworts findet auf dem Yubikey selbst statt. U2F wäre die Lösung, ist aber bisher wenig bis kaum verbreitet, auch wenn es schon 2014 von der FIDO verabschiedet wurde, und für ein anderes Szenario entwickelt. Prinzipiell ist U2F ein erweitertes Challenge-Response Verfahren. Für jede Anwendung kann ein eigenes Secret registriert und genutzt werden. Das Secret wird direkt auf dem Yubikey generiert und kann diesen nicht verlassen. Dem Authentifizierungsdienst wird nur ein Public Key mitgeteilt, über den eine Anmeldung auf Gültigkeit geprüft werden kann. Optional fließt eine TLS Connection ID mit in die Challenge ein, sodass MITM (Man in the middle) Attacken verhindert werden können. Die URL des genutzten Webdienstes wird in die Challenge aufgenommen, um Phishingattacken zu verhindern.

Ich erhebe keinen Anspruch auf Vollständigkeit Nur mal kurz zusammengefasst, was mir bei Yubikey durch den Kopf geht.

RamUwe,
wow, Danke für deine Mühe.
Du selber hälst das Keyfile (unverschlüsselt?) auf einem einfachen (also ebenfalls unverschlüsselt?) USB Stick?
Was hälst du von Nitrokey Produkten ?
Ja, kein physischer Zugang, keine Platzierung vom Dongle. Logisch
Aber der Zugang ist manchmal einfacher als manch einer denken würde.
War mal in einem Vortrag von einem "Penetrationstester" quasi (offizielle Bezeichnung ist sicherlich nochmal anders, kann mich nicht mehr erinnern), der sehr amüsante Stories erzählt hat, wie er in Banken eingebrochen ist (Hinweis: er brach ein im Auftrag der GL, also nur sehr wenige waren informiert, damit alles so real wie möglich ist) und um gewisse Daten zu entfernen. Sein "primärer Angriffsvektor" war "Social Engineering", und als er erstmal drin war, hat er praktisch schalten und walten können wie er wollte. Was ich nur sagen wollte ist, bei lohnenswerten Zielen und im "echten Profi" Umfeld, ist das Platzieren von einem Keylogger fast ein Kinderspiel.

Nein, aber das kann man machen. Mein Keyfile ist lokal in einer verschlüsselten Umgebung gespeichert.

Kurz und knapp: Yubikey und Nitrokey sind sehr ähnlich. Yubikey erlaubt, den RSA Key (4096 bit) direkt im Key zu generieren. Außerdem unterstützt Yubikey U2F, was Nitrokey ATM nicht unterstützt. 2017 ist es angekündigt, aber bisher immer wieder verschoben worden. Kann sein, dass sich das inzwischen geändert hat. Der Umfang an Authentifizierungsverfahren ist beim Yubikey am größten. Dafür ist der Nitrokey open hardware und open source. Yubikey ist closed source. Yubikey hat zudem den Vorteil, die Keys intern zu generieren, was ihn per se zunächst einmal sicherer macht.

RamUwe

Gut, gerne lasse ich mich mal auf Keepass XC testweise ein, wenn es denn das Nonplusultra ist. Ich habe von Verschlüsselung nur wenig Ahnung und würde ChaCha20 allenfalls in der Tanzschule vermuten – deshalb lasse ich mich da gerne auf die richtige Spur bringen. Kann man denn die Daten aus Enpass importieren? Welche App empfiehlt sich für iOS? Gibt es Browser-Plugins?

Leider ist das nur die halbe Wahrheit - Familienlizenzen lassen sich z.B. nicht upgraden.

Ja, die Namensgebung erinnert in der Tat an Tanzschule. ChaCha20 ist eine Variante von Salsa20 mit verbesserter Diffusion. ChaCha20 ist resistenter gegen Zeit/Cache-Side-Channel-Attacken als AES.

Wenn KeePass unter macOS verwendet wird, muss man sich zwischen KeePassXC und MacPass entscheiden. MacPass unterstützt macOS nativ, KeePassXC nicht. Beide sind open source. MacPass unterstützt momentan keinen Yubikey. KeePassXC hingegen schon. MacPass ist, was den Datenimport betrifft, sehr rudimentär. Wie das bei KeePassXC ist, weiß ich nicht. Einfach mal ausprobieren. Bei MacPass kann über "Datenbankeinstellungen" die Sicherheit konfiguriert werden: Bei Verschlüsselung wäre ChaCha20 einzustellen und bei Schlüsselherleitung Argon2. Die weiteren Standardparameter von Argon2 können so belassen werden. Sie sind völlig ausreichend. Dann noch ein starkes Passwort wählen (min. 30 Stellen) und die Schlüsseldatei erstellen. Und fertig ist das Ganze. Die Schlüsseldatei unbedingt sicher aufbewahren. Ist eines der beiden weg (Keyfile oder Passwort), lässt sich der Tresor nicht mehr entsperren.

Plugin für Safari etc. gibt es. Ich benutze es nicht, da solche Plugins imho immer ein potentielles Sicherheitsrisiko darstellen. Für MacPass muss das MacPass-Plugin MacPassHTTP geladen und bei MacPass installiert werden. Vergleichbares gibt es auch für KeePassXC. Für Safari muss dann nur noch das Plugin KeePassHelper geladen und installiert werden. Dieses verbindet sich dann via MacPassHTTP mit der Datenbank.

Für iOS kann ich Kypass 4 empfehlen. Hier die Datenbank + Keyfile via Airdrop an iPhone/iPad schicken und in Kypass 4 öffnen. Beides wird lokal gespeichert. Passwort eingeben und die Datenbank steht auf auf iPhone/iPad zur Verfügung. Diese Variante sieht keinen Sync vor.

Herzlichen Dank, ich probier’s aus.

a_berger,
Danke für die Ergänzung. Hab mal das AB Forum gescannt, die Mitarbeiter weisen drauf hin, dass sie das (standalone) Familienlizenz-Produkt eingestellt haben (will sagen, selbst wenn sie nicht das Abo-Modell auf den Markt gebracht hätten, wäre es weg vom Fenster). Natürlich werden sie nicht müde dann im gleichen Zug die Vorzüge vom neuen 1PWD Families Abo Modell hervorzuheben.
Also bleibt bzgl. standalone nur der Einzellizenz-Kauf/-Upgrade übrig.

Die Option haben sie aber gut versteckt. Ich finde es nicht in der Website-Version… However, das Tool ist top, aber es ist schon etwas komisch, einen Passwort-Safe etwa zum halben Preis eines Office-Pakets zu mieten.