Hello rundum,

angeregt durch das jüngste Userdatenleak bei Twitter nehme ich mich an der Nase und will meinen Umgang mit Passwörtern verbessern Passwortmanager, aber welchen?

Habe den Abend lang diverse Produkttests und Beschreibungen geschmökert, ohne aber DIE Antwort auf mein Hauptanliegen zu finden: Keine Serverdienste zur Synchronisation (2 iMac, 1 MBP, 1 iPad, 1 iPhone), sondern über WLAN oder anders nur lokal.

Dieser an sich interessante Vergleich von sieben PW Managern (netzsieger.de) geht darauf nicht ein und einer der Platzhirsche, 1Password, bei dem es tw. über unsupportete Umwege geht, kommt gar nicht vor.
Die 2 Threads hier zum Thema habe ich gelesen, aber dort kommt WLAN-Sync nur am Rande vor.

Frage daher in die Runde: Mit welchem Manager kann man am besten zwischen mehreren Geräten über WLAN syncen? Der Preis ist, soferne im Rahmen, kein Kriterium.
Danke für Eure Erfahrungen.

Ich weiss, dass es einer deiner Vorgaben widerspricht (falls ich dich richtig verstehe), dennoch mein Tipp: bordeigene Passwortsynchronisation über iCloud.

Ich wüsste nicht, was daran unsicher sein soll. Und die bequemste Lösung ists bestimmt. Dazu kostenlos. Ja, ist nur für Apple-Geräte, aber das wäre ja bei dir gegeben.

Seit Jahren nutze ich mSecure. Jetzt Version 3.5.7. Schon damals wegen WLAN-Sync. Diese Version wird weiterhin unterstützt (Updates), ist aber nicht mehr zu kaufen. Neuere Versionen sind leider unbrauchbar!
Mein Vetter benutzt deswegen jetzt DataVault Password Manager. Aus dem MacApp Store. WLAN-Sync und kein Abo.
Ich nutze sowieso keine Cloud (außer DropBox als Paketdienst). Dann für Kennwörter erst recht nicht! Was anderes wäre es, die Passwörter selbst sicher zu verschlüsseln (Nur ich habe den Schlüssel und das Schloss!). Dann kann das Ganze auch in die Cloud. Aber das ist nicht wirklich praktisch. Da gefällt mir WLAN-Sync besser.
Regelmäßige Gebühren mag ich auch nicht.

wenn „nur lokal“ auch bedeuten darf „sync über eigenen lokalen server zuhause“ dann kommen direkt mehrere sachen in betracht.

keepass wäre wohl die mit weitem abstand größte, mächtigste, flexibelste und mit nem dutzend kompatiblen abspaltungsprojekten die breit gestreuteste lösung.
ist allerdings freie software und kommt aus der linuxwelt, was fluch und segen zu gleich ist.
neben den oben genannten vorteilen geht damit halt individuell ALLES was man will oder halt nicht will. nachteil: man muss sich einlesen und viel selber machen.
also einmal installieren und fertig ist dabei meist nicht. allein schon zu recherchieren welche clients nun am besten zu einem passen, dauert etwas..

ich hab mich dann letztendlich für einen kompromiss entschieden: enpass

das teil ist kostenlos, schnell installiert, schnell konfiguriert, synct lokal (und übers netz) mit meinem eigenen lokalen webdav-server (nextcloud) und hat im grunde alles was ich brauche.
ich finds super.

1Password.
WLAN Sync geht da ganz einfach.
Nach Aktivierung und erstmaligem Eingeben eines Codes auf allen Devices läuft es ab dann automatisch:
Wenn beide Geräte im WLAN sind und 1Password auf beiden Geräten geöffnet ist, synchronisiert es (in ein paar Sekunden).

Ich bin sehr zufrieden mit 1Password.
Als rein lokaler User mit WLAN-Sync ohne Datentresore auf deren Servern ist das Kaufmodell perfekt.

Daneben gibt es ein Abomodell, das für diejenigen interessant ist, die ihre Daten auf deren Servern liegen haben und dann von überall darauf zugreifen können (auch als Team).

1Password ist perfekt beim Mac und iOS integriert.
Ich kann z.B. im Browser auf meine Passwörter in 1Password zugreifen und Anmeldemasken im Browser direkt ausfüllen lassen.
(lässt sich für jede Anmeldung individuell an-/abschalten)
Ist aber optional und muss aktiviert werden (Browsererweiterung wird installiert).

Sehr praktisch dabei: Bei einer Anmeldung auf einer Webseite fragt mich 1Password immer, ob es sich diese Anmeldedaten merken soll (oder bestehende Einträge aktualisieren soll).

Ist vielleicht ein wenig OT, aber ich würde keinen PWM mehr nutzen und empfehlen, wo die Passwörter/Datenbank auf einem Fremdservern liegt. Weder iCloud noch 1Password etc. Mag sein, dass ich da paranoid bin, aber ich mag lieber volle Kontrolle über meine eigenen Daten und alleinigen Zugriff auf diese. Sich seinen eigenen Cloudserver aufzusetzen und diesen zu verwalten, ist gar nicht so schwer. Nextcloud ist wirklich prima (). Und das beste ist, man hat über alles Kontrolle. Bei KeePass/MacPass kann man die Datenbank speichern, wo man will. Via Webdav lässt sich alles fein synchron halten, auch auf iDevices (z.B. mit Kypass).

Kontakte und Kalender geht mit Nextcloud auch

Just my two cents.

Vorab: Ich kenne aus eigener Erfahrung außer 1Password keinen Paßwortmanager, der direkt über WLAN synchronisieren kann. Und bei 1Password war vor einiger Zeit offen, ob das überhaupt noch weiter möglich sein wird, oder ob AgileBits nicht eher in die Richtung geht, nur noch den hauseigenen Cloud-Service anzubieten. Unter anderem aus diesem Grund habe ich von 1Password gewechselt - der andere war ein starker Zug in Richtung Abomodell bei AgileBits.

Ich halte (public) Cloud-Services jeglicher Art auch für den grundlegend falschen Ansatz für die Aufbewahrung sensibler Daten. Insofern stellt eine serverlose, WLAN- oder LAN-basierte Synchronisation der Paßwortdaten zwischen einander vertrauenden Geräten auch eigentlich das Optimum dar - das konnte 1Password aber nicht mal in seinen besseren Tagen, da die WLAN-Synchronisation nur zwischen macOS- und iOS-Geräten funktioniert, aber z.B. nicht zwischen Macs oder i-Devices untereinander.

Meine persönliche Lösung ist ein eigener, speziell abgesicherter WebDAV-Server in meinem lokalen Netz, über den die Synchronisation zwischen allen Devices mittels WebDAV über HTTPS erfolgt. Als Paßwortsafe kommt Enpass zum Einsatz. Im Gegensatz zu 1Password unterstützt Enpass die Synchronisation über WebDAV direkt. Bei 1Password muß man dazu Umwege einschlagen, ich habe zur eigentlichen Synchronisation OmniPresence eingesetzt. Enpass synchronisiert auf diesem Wege seit ca. einem Jahr reibungslos zwischen 4 Macs, einem iPhone und einem iPad knapp 1000 Benutzerkonten und Paßwörter. Als WebDAV-Server tut's im Zweifel ein NAS oder ein Raspberry Pi. Es muß auch nicht Nextcloud oder eine ähnlich mächtige Lösung sein - ein entsprechend konfigurierter Apache tut's auch für den Zweck.

Mit Keepass geht's mir wie John: Eigentlich wäre das die perfekte Lösung (offen, plattformübergreifend, bewährt ...), aber die Vielfalt der Clients macht es etwas unübersichtlich und letztlich habe ich dann auch keinen Client gefunden, der vom Bedienkomfort her meinen Ansprüchen genügt hätte. Letztlich ist es dann doch Enpass geworden. Kostet 10 Euro für iDevices und nichts für Macs.

Stimmt, aber wie schon geschrieben - nur zwischen einem(!) Mac und beliebig vielen iDevices. Synchronisation zwischen mehreren Macs geht so nicht.

Wenn das nicht die Anforderung ist, ist 1Password (noch) vollkommen OK. Siehe aber auch - WLAN Sync ist für AgileBits eine Altlast, die sie loswerden wollen.

Was mich letztlich auch von AgileBits weggetrieben hat, ist ihre apodiktische "Wir wissen es besser, und unsere Cloud-Server sind sicherer als Deiner"-Mentalität. In vielen Fällen mögen sie da Recht haben, aber ich habe gern die Kontrolle über meine Daten und die will AgileBits mir nicht mehr geben.

Vielleicht bin ich nicht paranoid genug : Mein PM verschlüsselt meine Daten auf dem Rechner, übermittelt sie verschlüsselt und der Anbieter speichert sie verschlüsselt. So weit so sicher. Hat der Anbieter eine Backdoor, und nutzt er diese? Um welchen Vorteil zu erlangen? Wenn ein Datenverlust bei einem Dienstanbieter bekannt würde, würde das nicht von den Medien ausgeschlachtet? Ich hab noch von keinem PM-Leck gehört, bei AgileBits und Konkurrenten nicht, oder hab ich was verpasst (ich bekomme sicher nicht alles mit)?

Peter Eckel

AgileBits sind der Ansicht, Abo und servergespeicherte Daten seien das modernere Konzept.

Aber sie haben gelernt, dass ein nennenswerter Anteil der Kunden kein Abo und keine Daten auf anderer Leute Rechner haben will. (oder haben darf!)

Das Problem liegt in der Risikoabschätzung: Wie schwer sind die Folgen, wenn die Daten gestohlen und entschlüsselt werden, und wie wahrscheinlich ist das?

Ich denke, wir können Einigkeit darüber erzielen, daß das Bekanntwerden sämtlicher Paßwörter und sonstiger in einem verschlüsselten Keystore enthaltenen Informationen dem GAU ziemlich nahe kommt - individuell mit mehr oder weniger üblen Folgen. Diebstahl sämtlicher Zugangsdaten, Bankpaßwörter etc. ist schon schlimm genug, und ich müßte dann auch noch einigen Kunden erklären, daß und warum sie jetzt diverse kritische Kennwörter ändern müssen ... das kann ans Existentielle gehen, wenn man neben dem materiellen Risiko auch den Imageschaden mit in Betracht zieht.

Wenn Du Deine Daten, bei welchem Anbieter auch immer, in der Cloud speicherst, dann ist das einzige, was Dich von diesem GAU trennt, letztlich die Qualität des Verschlüsselungsverfahrens und die Deines Schlüssels. Den Cloud-Speicher an sich als absolut vertrauenswürdig zu betrachten, dürfte wohl kaum jemandem in den Sinn kommen: Zum einen sind diese Daten ein extrem attraktives Ziel, zum anderen arbeiten bei den Unternehmen, die so etwas betreiben, viele Menschen, die Zugriff darauf haben. Die Kette hat zu viele Glieder, um verläßlich sein zu können.

Also Verschlüsselung. Deinen Schlüssel hast Du ja hoffentlich im Griff und nutzt ein sicheres Paßwort. Das setze ich bei Leuten, die sich genug Gedanken machen, um einen Paßwortsafe zu betreiben, in ihrer Mehrzahl einfach mal voraus (OK, da bin ich vielleicht nicht pessimistisch genug). Aber schon bei der Eingabe können die Probleme anfangen - Sicherheitslücken in Software oder Hardware des Systems oder Keylogger sind eine relativ einfache Methode, während der Eingabe an den Schlüssel zu kommen. Der andere denkbare Angriffsweg ist die Verschlüsselungssoftware selbst - da muß man gar nicht gleich die Backdoor-Paranoia hervorholen, da tut es auch ein einfacher Programmierfehler. Und die passieren. Auch da gilt wieder: Gerade Software zur Verschlüsselung wertvoller Daten ist ein extrem attraktives Ziel.

Du hast Recht, wenn Du sagst, daß Datenlecks bei Dienstleistern von den Medien gern ausgeschlachtet werden. Aber leider hinterher, wenn das Kind im Brunnen liegt und ein paar Tausend bis Millionen Daten geklaut worden und in den freien Umlauf gelangt sind. Und manchmal mit monatelanger Verzögerung, z.B. weil der Anbieter börsennotiert ist und gerade Quartalsberichte anstehen und naja, peinlich ist das ja schon, und dann wird jemand gefeuert und achjeachje ... also lieber nichts sagen. Und wenn, dann nicht alles. Nicht gleich jedenfalls. Siehe z.B. Yahoo.

Wenn das passiert und bekannt wird und ein Fall wie jüngst bei Twitter ist, dann ändert man halt ein Paßwort und gut ist es. Bei abhandengekommenen Paßwortsafes ist es eine ganz andere Sache ... da muß man sich dann überlegen, ob man ein paar Hundert Paßwörter ändert und ggf. seine Kunden informiert, oder ob man das Risiko eingehen und seinem Paßwort und der Verschlüsselung hundertprozentig vertrauen will.

Was das Bekanntwerden von Sicherheitslücken oder Backdoors angeht, ist das Problem auch noch ein anderes: Sowas bringt auf dem einschlägigen Markt sehr viel Geld, und nicht jeder, der eine Lücke findet oder eine Backdoor ausnutzen kann, ist moralisch gefestigt genug, das dann öffentlich zu machen. Eine Überweisung mit hinreichend vielen Nullen vor dem Komma kann manches Gewissen eine Weile beruhigen.

Unterm Strich muß das natürlich immer jeder für sich abwägen. Aber ich halte es nach wie vor für eine gute Idee, die Angriffsfläche zu minimieren und sich nicht mit seinen Daten genau dahin zu stellen, wo der Blitz mit der größten Wahrscheinlichkeit einschlägt - nämlich da, wo Tausende bis Millonen Benutzer ihre Daten ablegen? Es mag hundertmal (wilde Schätzung ohne nennenswerte Grundlage) schwieriger sein, dort einzubrechen (Insiderangriffe mal außenvor gelassen), aber dafür sind da zehntausendmal (dito) mehr attraktive Ziele.

Da mögen sie ja sogar Recht haben. Ich stelle nur infrage, ob sie das bessere Konzept sind

Für mich war das ganze Gezappel mit AgileBits vor ca. einem Jahr aber der Anlaß, mich nach etwas anderem umzusehen - mit der Synchronisation bei 1Password war ich schon länger nicht zufrieden, aber irgendwie fehlte noch der Leidensdruck. Bei meinem Konstrukt 1Password - OmniPresence - WebDAV war es regelmäßig vorgekommen, daß 1Password Synchronisationskonflikte hatte und die Stände dann manuell synchronisiert werden mußten, was auf die Dauer auch nervig war, und die iOS-App war bei dem Verfahren komplett außenvor.

Das hat Enpass wesentlich besser im Griff, und da mir die Synchronisation über meinen privaten Server extrem wichtig ist, habe ich dann den Wechsel dauerhaft vollzogen, trotz einiger Schwächen beim GUI. Wenn sie jetzt noch den Code offenlegten, wäre die Lösung aus meiner Sicht ziemlich perfekt.

So wie beschrieben wären die Passwörter in der Tat auch in der Cloud sicher.
Der Paranoiker fragt sich aber, ob der Anbieter wirklich keinen Zugriff auf das Masterpasswort hat. Sei es als möglichen Rückgriff von der Cloud auf den Rechner oder ob das Masterpasswort nicht gleich - natürlich verschlüsselt - mit übertragen wird. Letzteres würde natürlich nur nach Beschluss eines (Geheim-)Gerichtes herausgegeben. Sowas ist schon wichtig wegen der Sicherheit des Staates ... man denke nur an Terrorismus ... omg!
Oder die proprietäre Verschlüsselung hat gleich noch eine Hintertür. Auch zum Wohle der NSA und zur Rettung der Welt.
Ende VT!

PasswordWallet

Bis sehr zufrieden damit...

Mit diesem hier habe ich seit Jahren sehr gute Erfahrungen gemacht >>
Safe + für Mac und iOS
Deutscher Entwickler und regelmäßige Updates !!!
"Mit Unterstützung für Touch ID und Wi-Fi Synchronisation zwischen Mac, iPhone und iPad!"

Wow, danke für die vielen Beiträge! Werde sie studieren.
Nur eine schnelle Frage an promac vorweg: Safe+ kann nur Safari, richtig?

LastPass hat in der Vergangenheit Sicherheitsprobleme gehabt, siehe z. B. , und .
Ob der Wettbewerb (z. B. Enpass oder Dashlane) ähnliche Probleme hatte, weiß ich nicht. Es gibt einfach zu viele Angriffsmöglichkeiten auf einen cloud-sync Passwortmanager, daher kommt das (für mich) nicht infrage.

Ich verwende 1Password mit lokalem WLAN Sync und bin damit zufrieden. Natürlich ist der Sync nicht so komfortabel wie er bei cloudbasierten Anbietern sein könnte, aber es ist ok. Hoffentlich bleibt der lokale Sync noch lange erhalten. Dank LittleSnitch kann ich relativ sicher sein, dass die Passwörter nicht irgendwohin hochgeladen werden.

Ich stimme dir absolut zu.

Allerdings sind bei mir weit rund 150 Passwords in Karten und weitere mehrere hundert in Text gespeichert. Der Dieb wird also viel Arbeit haben. Klar, bei Verlust müssten Kreditkarte gesperrt und Konto Login geändert werden.

Absolut vertrauenswürdig ist der PM in der Cloud sicher nicht. Dann aber wird die Abwägung interessant, wo ein Eindringling eher hinkommt: In mein WLAN oder in den Speicher meines PM-Anbieters.

Da würde ich eher PW-Anbieter sagen, weil die gerade wegen der sensiblen Daten öfters zur Zielscheibe werden. Die Ausführungen von Peter Eckel oben sollten eigentlich klar gemacht haben, wo prinzipiell das größere Risiko besteht.

Was soll der Eindringling in Deinem WLAN? Surfen und filesharen? Der Server, der die PW-Datenbank hostet, sollte freilich abgesichert sein. Gegen Brutforce kann man sich auch gut absichern. Wer es noch paranoinder braucht, legt ein vlan an und packt da den Server rein. Der ist dann vom WLAN aus nicht erreichbar.

zumal die passwort-db natürlich mit 256bit aes verschlüsselt ist und eine verbindung dorthin selbstverständlich per https geschieht

Da sind wir genau beim Knackpunkt, auf den ich hinauswill.

Meiner Ansicht nach sind die Paßwort-Daten bei Dir auf einem halbwegs ordentlich abgesicherten Server in Deinem LAN wesentlich besser aufgehoben als in der Cloud.

1. Es ist nicht sehr schwierig, Dein Netz genauso gut oder besser abzusichern als das eines x-beliebigen Providers.

Selbst die gängigen Plasterouter der Provider sind sicherheitstechnisch nicht sooo viel schlechter als ein "professioneller" Router mit Firewall. Man kann mit den großen Dingern mehr machen, man kann aber auch mehr verbocken. Meine Router- und Firewallkonfiguration (auf einem der letzteren) umfaßt etliche tausend Zeilen, von denen ich ziemlich genau weiß, welche was tut - aber ich bin zu lange bei zu vielen Kunden unterwegs gewesen, um mich da Illusionen hinzugeben, daß dieses Qualitätsniveau zu halten ist, wenn da 10 Admins dran herumschrauben. Das liegt nicht daran, daß die Leute nichts können, sondern daran, daß zu viele Anforderungen und zu viele Änderungen von zu vielen Leuten durchgeführt werden. Unter Druck am besten noch, und ohne vernünftige Prozesse.

Zudem hast Du auch noch die Option, die Synchronisation wirklich ausschließlich intern stattfinden zu lassen, und damit den WebDAV-Port oder welchen Weg Du sonst wählst gar nicht nach außen zu exponieren. Das ist ein weiterer Vorteil gegenüber einem Cloud-Provider - dem bleibt gar nichts anderes übrig. Dir schon.

2. Ein ernsthafter Angreifer wird sich eher einen Server eines Cloud-Providers vornehmen als Dein WLAN.

Ein Grund ist die Größe des potentiell zu hebenden Datenschatzes, ein anderer "Ruhm und Ehre". Ich hacke doch lieber einen Server mit Daten von 100000 Nutzern als einen privaten. Zumal, wenn es da auch noch ordentlich was zu holen gibt. Wenn Du persönlich gehackt wirst, geht es meist um was anderes ... SMTP-Relays und Adreßdaten für SPAM, Ressourcen für Crypto-Mining und vielleicht mal einen Verschlüsselungstrojaner zum Beispiel.

"teorema67 hat iCloud gehackt" macht irgendwie mehr her als "teorema67 hat den Server von Peter Eckel gehackt", oder?

3. Ein Großteil aller Angriffe auf Rechnerinfrastrukturen kommt von innen, nicht von außen.

Unzufriedene Mitarbeiter, Geld von Dritten, schlicht die Macht der Versuchung ... wenn man auf einem Datenschatz sitzt, kommt man leicht mal auf blöde Ideen. Und es hat ja nicht nur ein Mitarbeiter auf Nutzerdaten Zugriff, sondern meist ein ganzes Team. Mindestens eines.

Ja, es gibt ganz viele tolle Prozesse wie erzwungenes Vieraugenprinzip oder Auditierung von Zugriffen bis ins letzte Detail, wie man derlei in den Griff zu bekommen versucht, und manchmal funktioniert das sogar. Idiotensicher ist das alles nicht. Für diese Art von Datenreichtum braucht man nicht mal eine Sicherheitslücke oder einen Trojaner, nur ein wenig Social Engineering. Das ist ein Angriffsvektor, den es bei einem lokal gehosteten Server überhaupt nicht erst gibt, und es ist erfahrungsgemäß einer der meistgebrauchten.

Ich nutze eWallet als PasswortManager. Es kann den Sync über iCloud, aber ich nutze ausschließlich den Sync über WLAN. Dieser ist jedoch nicht automatisch sondern muss manuell angestoßen werden. Zusätzlich müssen die zu synchronisierenden Geräte (bis auf jenes welche die Synchronisation startet) in einen "Empfangsmodus" versetzt werden.

Die Einen würden sagen, dass es umständlich ist, ich habe mich aber mittlerweile daran gewöhnt und genieße den Vorteil, dass sich ein falsches Löschen nicht gleich sofort auf alle Geräte durchschlägt.

Ich reihe mich zum diesem Thema mal mit ein:

Ich verwende seit Jahren KeePass am PC und am iPhone MiniKeePass.

Der Ablauf ist wie folgt:
Auf dem PC habe ich die originale DB welche regelmäßig beim Backup auf das NAS gesichert wird.
Am PC kann ich mittels KeePass die DB komplett bearbeiten und editieren.
Diese DB tausche ich am PC via Itunes // Dateifreigabe direkt über MiniKeePass aus.
Da die Schnittstelle zu ITunes von MiniKeePass unterstützt wird, kann ich die *.kdbx DB problemlos VOM iPhone auf den PC holen und auch VOM PC auf das iPhone kopieren.
So kann ich die Passwort DB jederzeit lokal verwalten und brauche lediglich ein Lightning Kabel zur Verbindung.
Das einzige was mich an MiniKeePass stört, ist folgender Aspekt.:
Es scheint so, als ob die Zwischenablage von MiniKeePass nicht gelöscht wird!?!.

Die PC Version von Enpass macht zunächst einen recht guten Eindruck obwohl ich die recht spartanische Funktion etwas " aufgeblasen " vom Installations-Volumen her halte aber das ist eine andere Sache.
OK, ich kann sofern die Enpass DB auf dem NAS liegt , via WLAN synchronisieren.
Mich stört es jetzt jedoch nicht zwingend, wenn ich für die DB fix ein Kabel an das iPhone stecken muss.
Ich finde den Umfang der KeePass Anwendung subjektiv noch immer besser als denen von Enpass.
Die Frage ist daher, was könnt Ihr aus Eurer Erfahrung mit Enpass ins Feld führen, was die Anwendung zu einem " besserem " KeePass macht.
Oder gibt es entscheidende Gründe warum man MiniKeePass eher nicht einsetzen und lieber Enpass verwenden sollte ?
PS: Ich hab die mobile Version für das iPhone noch nicht getestet. Wir dort der Zwischenspeicher nach einer vorgegebenen Zeit automatisch gelöscht?

Ich freue mich aber, das hier im Forum doch noch recht viele Anwender zu finden sind denen gerade bei der PW DB eine öffentliche oder 3rd Anbieter Cloud ein „ Dorn im Auge „ ist.
Mittlerweile scheint für die Mehrheit der Anwender dieser Aspekt von privater Sicherheit gar nicht mehr vorhanden zu sein bzw. bevorzugt man eher das „ leichte Funktionieren „ der Anwendungen.

msecure unterstützt nun auch Wlan Synch. Einer ist der Master. App muss für den Synch gestartet sein. Funktioniert tadellos mit 4 Macs und 2 iOS Geräte.

Nur für Windows 10 und nur aus dem Store .... schon negativ aufgefallen.
Ich konnte nichts darüber finden WO die Daten abgelegt werden.

Ähnlich mache ich es auch.
Es gibt allerdings zwei Nachteile an Enpass die mich persönlich etwas stören:
1. Das Produkt ist nicht open source; zudem ist die Firma nicht in der EU oder Nordamerika angesiedelt. Für unsere Justiz bei Mißbrauch praktisch nicht erreichbar. Wenn die Entwickler eine Hintertür einbauen oder gar unter bestimmten Vorraussetzungen nach Hause telefonieren um Passwörter abzugreifen - wir Nutzer hätten juristisch wenig in der Hand um dagegen etwas zu unternehmen. Wie die indischen Datenschutzstandards für Ausländer sind? Keine Ahnung. Bei Skype und Blackberry war Indien Vorreiter als es darum ging verschlüsselte Verbindung nur mit Hintertüren zuzulassen.
2. Das Datenbank-Passwort ist das Anmeldepasswort. Das finde ich nicht wirklich elegant. Ein sicheres Kennwort das auch lokalen Bruteforce-Attacken standhält muss lang sein. Dieses Kennwort bei jedem Öffnen der Anwendung unter macOS eingeben zu müssen, nervt. Ich hätte mir hier eine Mischung aus einer individuellen Schlüsseldatei/Zertifikat und einem Kennwort gewünscht.

Absolut. Das sind zwei Nachteile, die ich auch sehe ... zumal man bei Enpass auch außer zahlreichen Versprechungen noch nichts in Sachen Audit unternommen hat. Das ist definitiv eine Sache, die es zu beobachten gilt - und ein weiterer Grund, die Daten trotz Verschlüsselung privat zu halten und nicht über einen Cloud-Service zu synchronisieren.

Was das Heimtelefonieren angeht, so ist Enpass bei mir in Quarantäne (wie viele andere Softwareprodukte auch). Dank Little Snitch kein echtes Problem. Bislang ist es nicht unangenehm durch verdächtige Aktivität aufgefallen.
Die Idee hat wirklich was - kennst Du eine Softwarelösung, die das so implementiert?

Letztlich hängt es dann aber natürlich am Schutz des Zertifikats, das in der Regel im Schlüsselbund liegt und daher durch das Passwort des Rechners geschützt ist (das ich bei jedem Aufheben des Bildschirmschoner-Locks eingebe) - das verschiebt das Problem erst einmal nur an eine andere Stelle.

Ich habe mir bei Enpass durch geeignete Einstellungen beholfen - Enpass verlangt eine Neueingabe des Passwortes (oder besser der Passphrase, bei mir ein etwas längerer Satz), wenn der Rechner in den Bildschirmschoner geht oder sich schlafen legt, nach 10 Minuten Inaktivität, und beim Benutzerwechsel. Während der aktiven Arbeit bleibt es also offen, aber wenn ich mich z.B. vom Rechner entferne (und dabei routinemäßig den Bildschirmschoner aktiviere) ist eine Neueingabe fällig. Den Satz bekomme ich sehr schnell auf die Reihe und kann ihn auch schnell eingeben, aber erraten wird man ihn kaum und um Brute Force mache ich mir auch wenig Sorgen

mSecure unterstützt WLAN-Sync schon seit vielen Jahren. So wie von Dir beschrieben. Jedenfalls bis Version 3. ...
Frage: Hast Du Erfahrungen mit neueren Versionen? Vor einiger Zeit war das eine Katastrophe.

Unter macOS / Windows kann man dies machen. Unter iOS wirst du ohne Jailbreak (der wiederum neue Gefahren mit sich bringt) da nicht viel tun können. Du kannst für eine App zwar mobile Daten ausschalten, dies gilt aber nicht im WLAN.
Für Enpass leider nicht.
Soweit ich weiß nutzt 1Password einen Secret Key. Diesen benötigt man zusätzlich zum normalen Kennwort wenn man ein weiteres Gerät erstmals verwenden möchte.
Ob sie das technisch so wie von mir beschrieben machen kann ich allerdings nicht sagen. 1Passwort ist bei mir vor Jahren aus diversen Gründen von den Geräten geflogen (obwohl sie mit Abstand das beste Interface haben)
Auch Keepass nutzt eine zusätzliche Schlüsseldatei.
Daher finde ich es sogar eher verwunderlich dass Enpass diese Option nicht bietet.
Das ist richtig. Aber wenigstens könnte man seine NAS/das Webdav Share frei von der Schlüsseldatei halten. Dort muss ja nur die verschlüsselte Datenbank zugänglich sein. Das würde die Problematik durch eventuelle Sicherheitslücken auf diesem Server stark verringern.
Für eine per Schlüsseldatei verschlüsselten Datenbank wird man vermutlich viele Jahre, wenn nicht gar Jahrzehnte brauchen um diese per Bruteforce zu entschlüsseln. Bei normalen, praxisnahen Kennwörten eher Tage bis Wochen. Entsprechend wären Konfigurationsfehler nicht ganz so dramatisch. Auch einen gewissen, wenn auch nicht vollständigen, Schutz gegen Keylogger würde dies bringen.
Dieser Pin funktioniert ja ohnehin nur in der laufenden Instanz der Anwendung auf dem eigenen Endgerät. Für Brute-Force ist der weniger problematisch, zudem man eh nur einen Versuch hat. Ich nutze da eine vierstellige Zahl (bzw. unter iOS meinen Fingerabdruck). Meine Endgeräte sind aber eh immer gesperrt wenn ich nicht am Platz bin (nur zu Hause nicht, da bin ich zu faul)

Jein - was LS angeht, hast Du natürlich Recht, aber mein WLAN ist nicht direkt mit dem Internet verbunden, sondern über einen Proxy-Server (Squid/Privoxy). Das ist beileibe nicht so komfortabel wie LS auf dem Mac, aber da ich die Logs des Proxies dann und wann auswerte (derzeit mit Graylog, falls Dir das was sagt), kann ich zumindest posthum verdächtige Verbindungen analysieren.

Aber ja, leider sind uns bei iOS ein wenig mehr die Hände gebunden als bei macOS.
Dito hier ... zumal 1Password ja nun auch nicht Open Source ist und zudem noch aus Kanada, einem der five Eyes-Staaten kommt. Ob ich denen mehr vertrauen will als Indien weiß ich ehrlich gesagt nicht ...

Da der Proxy nur auf IP/Geräte-Ebene arbeitet dürfte es schwer werden im Nachhinein herauszufinden welche App auf dem iPhone die 300KB per SSL auf den Amazon Cloud-Server hochgeladen hat. Das kann deine Lightroom-App gewesen sein, aber auch Enpass. Selbst eine IP-Blackliste ist da schwer zu implementieren.

Einen Proxy nutze ich zu Hause nicht, da z.B. Netflix dann sofort blockiert, stattdessen Deep Package Inspection auf einer meiner beiden Firewalls. Gerade über Amazon Cloud kann aber praktisch jeder alles mögliche machen ohne dass man herausfinden kann was tatsächlich die Ursache war.

Die SSL-Übertragung wirst du vermutlich nicht auf dem Proxy ent- und wieder verschlüsseln, oder? Damit könntest du ja tatsächlich die Inhalte mitschneiden, musst aber zusätzliche Zertifikate auf jedem Endgerät installieren. Per DPI kann ich dies natürlich nicht.
Das stimmt.
Ich war schonmal am überlegen ob ich mir das ganze mal selbst programmieren sollte... bin allerdings dann davon abgekommen. Auf die Entwicklung der Browser-Integration habe ich keine Lust. Und mit der steht und fällt das ganze. Da ich so ungefähr alle Browser auf allen Plattformen nutze, wäre das ziemlich spaßbefreit geworden.
Richtig, es hilft nur gegen bestimmte Anwendungszwecke.
Gegen Rechnerverlust hilft Datei-/Volume-Verschlüsselung und gutes Kennwort ebendieser, gegen iPhone-Verlust ebenfalls gutes Kennwort für die integrierte Verschlüsselung.
Backups sollte man ebenfalls verschlüsseln, mit Time Machine ja kein Problem.
Bleibt halt die NAS bzw. nextCloud/ownCloud etc. Verschlüsseln kann ich auch dort, gegen den Remotezugriff auf die für Nutzer unverschlüsselten Daten hilft es leider nicht.

Wie machst du den Zugriff aus LAN UND WAN? Nutzt du eine lokal wie auch global funktioniernde URL für dein WebDav-Share oder biegst du die URL am Proxy/DNS zurecht?

Vollkommen richtig, außer Endsystem und Datenmenge habe ich ohne Aufbrechen der TLS-Verbindung nicht viel in der Hand. Das wäre nun auch kein echtes Problem, aber steht derzeit noch auf der ToDo-Liste - zumal das, wenn man es flächendeckend einsetzen will, wieder andere Löcher aufreißt.
Das ist allerdings ein ziemlich derber Brocken, und es lohnt sich auch einfach nicht - das, was man mit so einer Lösung einnehmen könnte, steht in keinem Verhältnis zum Zeitaufwand, zumindest für mich nicht.
... und genau deswegen gibt es den nicht. Wie schon weiter oben geschrieben: Ich habe den Server für die Paßwort-Synchronisation in ein nur von innen erreichbares VLAN verbannt und ihn auch ansonsten entsprechend abgedichtet, incl. Verschlüsselung der Platten. Wobei ich die Lösung auch extrem einfach gehalten habe: Apache als WebDAV-Server konfiguriert, ansonsten ist nichts auf dem System. Da mit einer eigerlegenden Wollmilchsau-Lösung wie Own-/NextCloud anzufangen oder einem NAS aus dem Karton zu vertrauen würde wieder mehr Probleme aufwerfen als es löst.

Wenn ich unbedingt aus der freien Wildbahn heraus synchronisieren wollte, dann ginge das auch noch per VPN, aber das habe ich derzeit nicht freigegeben, weil es einfach wenig Sinn hat: In aller Regel reicht es mir vollkommen aus, die Synchronisation vorzunehmen, wenn ich wieder im eigenen LAN bin.
Gar nicht, siehe oben

Wie gesagt, wenn ich es machen wollte, dann wäre eine Verbindung per VPN die einfachste Lösung, schon allein weil dann keine Ports direkt nach draußen geöffnet sein müssen.

Alternativ nutze ich auch ganz gern Tor Services für derlei. Das ist für sich genommen nicht sicherer als ein Zugang per nach außen freigegebenem Port, hat aber den Vorteil, daß man keinen Streß mit Portscans und Script Kiddies hat und daß es auch über meine Backup-Anbindung per LTE geht, wenn meine Hauptleitung mal ausfällt.

Da, wo ich es richtig öffentlich brauche, erfolgt das per Split Zone DNS für das externe IPv4-Subnetz mit NAT bzw. gleich direkt per IPv6. Inzwischen ist letzteres kein echtes Problem mehr, da auch die Mobilfunkanbieter da standardmäßig mitspielen (geht inzwischen genaugenommen besser als IPv4 mit CGN).

Wäre eher ein Spaß-Projekt für die Freizeit bei mir. Ebenso wie meine Heimautomatisierung. Da gefiel mir einfach nichts was der Markt hergab/gibt und die Open-Source-Lösungen sind in diesem Fall nix für mich.
Im Moment entwickle ich mir aus diesem Grund auch einen autarken IMAP-Spam-Filter. Dauer natürlich alles unverhältnismäßig lange, macht aber Spaß. Vor allem weil es am Ende genauso funktioniert wie ich mir das vorstelle - und nicht wie es ein anderer meint richtig zu sein.

Soo groß ist der Leidensdruck bei enpass allerdings nicht. Grundsätzlich mag ich die Anwendung.
Das geht bei mir leider nicht da ich teilweise mit VMs auf denen Enpass läuft in LANs bin in denen VPN nicht funktioniert. Letztlich muss ich so mit dem Risiko leben dass wenn jemand meine Webdav-Zugangsdaten kennt (oder auf anderem Weg auf das Share kommt) die verschlüsselte Datenbankdatei herunterladen könnte.
Das hört sich praktisch an. Eine Failover-Konfiguration habe ich am Router bei mir schon vorbereitet, zumindest am Router. Ohne zweite WAN-Anbindung ist diese aber zur Zeit noch nutzlos.
Wie nutzt du das Split Zone DNS?

Ich verwende seit vielen Jahren SplashID Pro hier kann man entscheiden ob Cloud, Wifi oder NoSync. Des weiteren gibt es Versionen für Mac OS, iOS, Android, Windows und Windows Phone. Auf der Webseite schreiben sie nur, dass man monatlich oder jährlich zahlen kann, aber es gibt auch irgendwo eine Kaufversion für die man dann die entsprechenden Updates kaufen muss.

Klar, wenn's zum Spaß ist und man nebenbei noch eine den eigenen Ansprüchen entsprechende Lösung dafür bekommt, dann ist es natürlich auch egal, wieviel Aufwand es ist. Ich habe nur derzeit zu viele offene Baustellen, für die ich auch schon keine Zeit habe ...
Ich finde Enpass auch akzeptabel, zumal für den Preis. 1Password fing halt wirklich an, wehzutun.
Ein SSL-basiertes VPN z.B. per OpenVPN sollte doch eigentlich überall hinzubekommen sein? IPsec ist eine andere Sache, klar. Und ja, es ist schon ein wenig heftig, nur dafür ein VPN einzurichten, da ist die Freigabe des Ports schon eher eine praktikable Lösung.
Das war auch mal wieder einer meiner GANZ einfachen Pläne ... LTE-Router, Außenantenne, fertig ist das Backup-WAN. Pustekuchen ... die Telekomiker arbeiten bei IPv4 mit CGN (v6 ist nativ), und von den LTE-Routern, die ich ausprobiert habe (im Wesentlichen mal Huawei-Derivate und AVM) kann keiner wirklich IPv6 routen, auch nicht die, die es behaupten. Die geben auch nur ihr Prefix weiter, das sie vom Provider bekommen, und das nützt mir nichts, da ich produktiv natürlich ein anderes habe.

Als Folge habe ich jetzt eine APU-Box mit einem LTE-Modem hier stehen und baue mir daraus einen LTE-Router, der auch wirklich ein Router ist. Braucht nur OpenWRT und ein wenig Zeit (wobei ich an OpenWRT auch gerade verzweifle und mit dem Gedanken spiele, einfach ein Standard-Linux auf die Box zu werfen).

Bis das läuft, bekomme ich (CGN und irgendwelche obskuren Telekom-Middleboxen sei Dank) kein IPsec zu meinem Provider zum Fliegen und kann daher meine IPv4 und v6-Netze nicht darüber routen. Also Tor ... damit komme ich zumindest von außen auf den Router, wenn die Telekom-Leitung wegbricht.
Derzeit einfach adreßbasiert. Anfragen aus den internen Netzen werden aus der internen Zone bedient, welche aus den externen Netzen aus der externen Zone. Die Mirrors im Internet haben nur die externe, für intern habe ich einen internen Mirror und der Master hat alle. Hat auch den Vorteil, daß die extern sichtbaren Zonen nicht viel mit der internen Netzwerkinfrastruktur zu tun haben.

Heute wurde mir beim Öffnen von mSecure 3.5.7 mittels Popup ein Umstieg auf die neue Version 5.5 angeboten.
Habe ich ausprobiert. Und ich muss sagen, die zwischenzeitlichen Fehler (Verschlechterungen) sind wieder behoben.
WLAN-Sync wieder möglich
Sprache Deutsch wieder wählbar
Kein Abo-Modell
Allerdings muss man sich jetzt auf der Web-Seite anmelden. Dort kann man ein Upgrade in Höhe von 15,27 € (z.B. über PayPal) bezahlen. Für Neukunden kostet im App Store die Vollversion (Pro, mit Sync) als In-App-Kauf einmalig das Doppelte für mehrere Geräte.
Nach einem Upgrade können die Eintragungen der Vorversion mit einem Klick übernommen werden.
Statt Masterpasswort auch Öffnen mit FaceID und TouchID (jetzt auch beim Mac) möglich.(Wenn man diesen Komfort will.)
Also ich kann mSecure jetzt wieder empfehlen.

Für welchen Passwortmanager oder für welche andere Lösung hast du dich denn jetzt entschieden?

Noch gar nicht. Bin gerade dabei, eine +/- Liste als Entscheidungshilfe zu erstellen, anders geht´s nicht, zu viele Kandidaten. Werde berichten.

Das mit der Vergleichstabelle habe ich wieder aufgegeben, zu viele Ausnahmen und Einschränkungen, das in eine Tabelle zu packen, war mir zu viel. Ich habe mich jetzt – nicht zuletzt aufgrund der ausführlichen Diskussion hier, danke Euch – für Enpass entschieden. Arbeite mich gerade ein. Der 1. WIFI-Sync zum iPhone hat schon mal funktioniert

War ja echt interessant, die Diskussion über das Risiko zu lesen, wenn man über irgendeine Cloud synct. Ich bin jetzt auf diese Variante gekommen, um das einfachste Syncen sicherer zu machen:

- Alle Geräte werden via Cloud, in meinem Fall Dropbox, gesynct.
- Sync wird auf allen Geräten ausgeschalten.
- Die Wallet auf der Dropbox übersiedelt in den Papierkorb
Gibt es Änderungen: Siehe oben.

Ist doch schlau, oder?

Wenn Du sicher bist, daß ein in Dropbox gelöschtes File wirklich gelöscht ist, dann ist das nicht ganz so unsicher, wie die Daten dauernd da liegen zu lassen.

Ansonsten ist es nicht besser als normale Sicherung über Dropbox ... die ist ohne BoxCryptor nichtmal verschlüsselt, wenn sich in den letzten ein, zwei Jahren nichts geändert hat.

Also ich würde es nicht so machen ... wenn die Datei einmal auf einem fremden Server war, betrachte ich sie als kompromittiert. Aber ich sehe das ja vielleicht auch etwas enger als andere

moment... ich fass mal zusammen.

dein hauptausgangskriterium war:

„nur lokal syncen! am besten nur per wlan. bloss kein sync über clouddienste! erst recht keine fremden!“

dann hast du dir x lösungen aufzeigen lassen, gepaart von einer ellenlangen grundsatzdiskussion warum fremde (also das gegenteil von eigene) server in diesem zusammenhang total böse sind und hast dir das alles intensiv durchgelesen.

und dann bist du zu dem schluss gekommen, dass es eine gute idee ist ausgerechnet über DROPBOX zu syncen?

hab ich das richtig verstanden? falls ja: wtf?

Die Rufzeichen in Deiner Zusammenfassung sind nicht von mir. Ich bin ganz entspannt, bitte keine Aufregung..

Ich stelle als Mittelweg zur Diskussion, zB über Dropbox zu syncen, dann die Wallet zu löschen. Sie ist also nur ein paaar Minuten auf Dropbox oder welcher Cloud auch immer. Wobei die Frage von Peter Eckel, ob gelöscht wirklich gelöscht ist, noch offen ist.

kommt auf die perspektive an.
aus datenschutzrechtlicher sicht sicherlich die schlechteste. server in den usa, keine handhabe, keine sicherheit, was mit deinen daten geschieht, evtl rechteabtritt an deinen eigenen daten (weiss
ich grad nicht), mit conduleca rice ein schön republikanischer hardliner im aufsichtsrat, etc, pp.

und genau dieser aspekt (also datensicherheit, datenschutz, kontrolle) ging es dir ja hauptsächlich.

darum bin ich so enorm verwundert.

nicht falsch verstehen: ich hab auch ein dropbox-konto. schon seit dropbox beta war. aber da liegt halt auch nur pillepalle drauf.
wenn mals quick and dirty was an bekannte geshart werden soll oder dergleichen. dafür hat dropbox ja auch einige komfortfeatures.
aber sowas sensibles wie ausgerechnet meine passwort-datenbank würd ich da im leben nicht draufstellen. auch nicht temporär.
zumindest nicht sofort 😉
gibt ja nicht ohne grund bei dropbox die komfortfunktion, dass du dir gelöschte dateien auch wochen später im nachhinein noch easy wiederherstellen lassen kannst mit zwei klicks.
und nach dieser zeit? das weiss keiner... vielleicht frau rice.

edit:
ach und will nix falsches behaupten, aber wars nicht so, dass us-amerikanische unternehmen nach dem milleniums-act (oder wie das teil heisst) der regierung uneingeschränkten zugriff auf alles geben müssen, sobald die anfragen?

So kann ich es schon eher nehmen Der neue Aspekt ist, dass die Wallet eh gleich wieder gelöscht wird. Mir geht´s um die Risikoabwägung. Aus Prinzip, wie Du offenbar meinst, überhaupt nichts Sensibles auf DP zu stellen, egal wie kurz, nehme ich dankend zur Kenntnis.

bei all den genannten varianten, die dir hier aufgezeigt wurden, hast du dich für die mit abstand risikoreichste entschieden.

jetzt könnte man sagen: naja, aber dafür halt für die komfortabelste.

aber nee, nichtmal das. selbst den komfort machst du dir ja mit deiner umständlichen von-hinten-durch-die-brust-ins-auge-aktion direkt zunichte ohne wirklich was damit zu gewinnen.

was bleibt also? nur nachteile, nix gewonnen.

Für dich mag das ein Weg sein. Bei mir kommen so häufig PWs dazu, dass ich entweder ein- bis zweimal pro Woche die Wallet ein paar Minuten in die Cloud legen (und jeweils sicherstellen müsste, dass alle Geräte zeitnah syncen) oder gleich die Geräte von Hand mit neuen PWs füttern müsste. Daher zumindest für mich zu aufwändig und daher keine Option.

Ok, danke für Eure Meinungen. Werde in mich gehen und andere Lösungen noch mal erwägen.

Ich habe mich nun in Enpass eingearbeitet und dabei festgestellt, dass es doch kein WLAN-Sync kann. Nur Backup und Restore etwas kompliziert über den Browser mit jeweils einem Gerät.

Der Support antwortete mir bei der Frage nach dieser Funktion ziemlich schnell dies:
"Actually, the option to sync via local WiFi is currently not available in Enpass and the feature Backup and Restore only restores the data from one device to another. However, the feature for local syncing is already on our roadmap for the next major update.

Auf meine Nachfrage, wann mit der neuen Version zu rechnen sei: "At the moment I can't assure you any ETA. However, we do have plans to release a beta version of Enpass 6 before the end of this month."

Also warte ich nun auf die Beta von EnPass6 und hoffe, dass das WLAN-Syncen g´scheit implementiert ist.
Werde weiter berichten.

Enpass ist übrigens im Handling sehr ähnlich wie 1Password. Und mit dem Interface von DataVault komme ich nicht zurecht.

Enpass kann aber doch WebDav, wenn du dir nun einen eigenen WebDavServer hinstellst und der nur Intern erreichbar ist, läuft die Sache doch.
Für unterwegs könntest du dann mit VPN arbeiten. so liegen die Daten bei dir und nach Außen nicht zugreifbar, außer für dich.

das hat hier in diesem thread auch niemand behauptet soweit ich mich erinnere.

allerdings wurde mehrfach darauf hingewiesen, dass ein lokaler sync über einen eigenen webdav server möglich wäre. elbohu hat das nun ebenfalls nochmal wiederholt.