Vor Jahren als die Situation mit den USA habe ich nach einer langen Testphase mit dem Passwortmanager Dashlane angefangen. Bis vor Kurzem war ich sehr zufrieden, warum?

- Die App auf den iOS Geräten funktioniert sehr gut,
- die Erweiterungen in den Browsern auch,
- sehr einfache und schnelle Synchronisation,
- viele tolle Features, inkl. Passwort Sharing in der Familie,

Die Preisstruktur ist sehr fair und auch das Sicherheitsgefühl ist noch sehr hoch. Allerdings wechselt man einen Passwort-Manager auch nicht mal eben so und ich weiß nicht wie das mit den USA so weitergeht und möchte mich vorbereiten.

Was nutzt Ihr denn so für Eure Passwörter? Gerne Tipps zu Lösungen die iOS, iPadOS und Windows unterstützen.

Ich nutze seit gefühlt >15 Jahren 1Password:
Anbieter aus Canada, Server in EU (glaube Frankfurt)

Letztlich brauchst Du ein gewisses “Grundvertrauen“ in den Anbieter und evtl. hast Du auch die Möglichkeit / den Wunsch, alle self gehostet zu haben...

ohne es zu kennen: zu Dashlane habe ich aber auch eher positive Meinungen in Erinnerung...

Ich nutze sowohl privat als auch in der Firma Enpass . Unterstützt mehrere Sync-Möglichkeiten (inkl. WLAN Sync), mehrere Tresore, Passwörter teilen, in der Business Variante zusätzliche Kontrollmöglichkeiten, was der Mitarbeiter mit den Tresoren machen darf (z.B. den geteilten Geschäftstresor zwar Passwörter erstellen und lesen zu können, aber den Tresor nicht lokal als Backup abspeichern zu dürfen, Passwortrichtlinien usw...). Vor Enpass habe 1PW genutzt, aber der Cloudzwang hat mich davon dann abgebracht...

Danke Euch für die Tipps. Ich werde dann wohl mal 1Password testen und schauen, wie gut der Import funktioniert. Enpass sieht technologisch auch gut aus, ist aber leider auch US-Hersteller.

habe gerade selbst mal gesucht und bin dabei auf diese Seite gestossen - EU-Alternativen für Software:

shotekitehi
ich seh grad, dass pCloud dort gelistet ist - und damit stellt sich die Frage bei mir anhand welcher - vor allem Qualitätskriterien - dort Lösungen gelistet werden.
Zu pCloud gab's mal einen Thread: - durch ETH Forscher nachgewiesene, erhebliche Sicherheitsmängel. Also Finger weg. Und somit muss auch jeder einzelne Tipp von dieser Webseite nachrecherchiert werden, ob das wirklich empfehlenswert ist.

Wer hat denn Erfahrungen mit Passwords aus dem Nexcloud Paket?
Sieht so ja erst mal gut aus, aber ist mir eigentlich noch nie untergekommen.

Danke für den Tipp! Kannte ich auch noch nicht. Wenn jemand eh schon ein NextCloud betreibt, läge es nahe. Es scheint das hier zu sein oder ? Ich kenne mich mit NextCloud nicht aus, aber macht mir den Eindruck, dass es nicht zum offiziellen Paket gehört, sondern eine Art "App Add-On", die von Dritten (bzw. hier wohl einer Person) entwickelt werden und zur Verfügung gestellt werden.
Gemäss den Angaben gibt es aber keine (zumindest keine fertigen) Native Clients für macOS (noch Windows, noch Linux). Alle 3 Subprojekte sind im Status WIP.

Wenn es um's Selbsthosten geht und mutmasslich ein ähnlich starkes Feature Set wie 1Password & Co. geht, kommt einem seit geraumer Zeit Bitwarden , sowie Vaultwarden (als alternative Backend-Implementation für Bitwarden Clients) in den Sinn.

Grad über den Weg gelaufen noch dazu Bitwarden Lite:

Für mich: Keepassium, ohne Abo.

Auch eine gute Wahl auf iOS. Wenn es Strongbox nicht geben würde, wäre das meine nächste Wahl.
Was setzt du als Client auf dem Mac/PC dann ein? Keepassium gibt's ja nur für iOS.

Wie ich grad seh, gibt's doch mittlerweile auch eine Mac App von Keepassium. Wohl noch nicht allzu lange - zumindest damals nicht als ich zwischen Keepassium und Strongbox evaluierte.

Die iPad-App wurde schon vor einer Weile für macOS freigegeben - und dann auch vom Entwickler an macOS angepasst.

Windows-PC nutze ich nicht. KeepassDX auf Android (bin aber neu auf letzterer Plattform).

Mir ist ein offenes, unabhängiges Format und systemübergreifende Unterstützung wichtig, sowie dass es kein Aboanbieter ist, der die Kontrolle über mich hat.

Das letzte Release ist leider auch von 2024.

Achso. Mangels fehlendem Silicon Mac hab ich so was bisher noch nie gesehen bzw. testen können.
Grundsätzlich würde ich "richtige" Native Clients vorziehen. iPad Apps unter MacOS - ist mehr eine Krücke als empfehlenswert - oder?

1Password
Funktioniert bei mir seit Jahren zuverlässig.

KeePassium für den Mac (und andere Systeme) wurde zuletzt vor zwei Monaten aktualisiert.

Der Vorteil bei KeePass-kompatiblen Apps ist gerade der, dass man jederzeit wechseln kann, wenn einem eine App nicht mehr gefällt oder sie nicht weiterentwickelt wird. Ist einem das Hantieren damit zu kompliziert, würde ich zu Enpass greifen, weil man da beim Sync sehr flexibel ist – wie einst bei 1Passwort. Leider ist die selige Version von 1P bislang unerreicht auf dem Mac in Bezug auf UI und UX.

Ich hatte Jahrelang 1passwort @@gevaugeh und habe mich dann dagegen entschieden weil
diese tolle Software frisch erstellte Passwörter erst nach Stunden am am gleichen Gerät sichtbar und nutzbar gemacht hat. Support konnte nicht helfen und wollten mir sogar schon 6 Monate umsonst das Abo geben.

Heute apple Passwörter, bis auf das ständige sperren auch für die Familie.

Ich nutze sowohl dashlane (Firma) als auch 1password (Family) und Apple passwords.
1password funktioniert für mich am besten. Apple passwords hat mir noch zu wenige bzw zu komplizierte Features.

Ich hatte früher 1password, aber nutze seit über 2 Jahren nur noch den in iCloud integrierten Passwortmanager.

Warum nutzt ihr einen anderen? Wegen Plattform-übergreifender Nutzung, mehr Funktionen oder Sicherheitsbedenken?

Alleine dieser Grund reicht für mich aus den Apple Passwortmanager auf keinen Fall einzusetzen:
- es gibt aber auch andere Gründe.

Mich erstaunt ein wenig, dass du den Unterschied vor allem aus funktioneller Sicht nicht siehst, da du selber mal 1Password Benutzer warst. Apple zu anderen Lösungen, insbesondere 1Password, ist wie einen Trabbi mit einer Oberklasse-Limousine zu vergleichen. Evtl. heisst dass, das du nur sehr rudimentäre Funktionen benötigst und deshalb dir der Apple Passwortmanager ausreicht?
Alleine schon Custom Felder hinzuzufügen und eigene Strukturen aufzubauen in besseren Lösungen sticht Apples Passwortmanager schon seit Beginn an aus.

Warum ich allerdings auch speziell 1Password überhaupt nicht mehr empfehlen kann, hab ich hier schon beschrieben:

Ja, ich brauche auch nur die Basisfunktionen und habe nur Apple Geräte. Daher reicht der Apple Passwortmanager für meinen Gebrauch.

Das wäre der Super-GAU, da meine iCloud E-Mail-Adresse meine Haupt-E-Mail-Adresse ist. Von allen Daten (iCloud, Fotos, Kalender,..) und auch den Passwörtern mache ich regelmäßig ein Backup.

Mir ist ein völliges Rätsel, wozu man zum Verwalten von Passwörtern mehr als einen Trabbi braucht. (Ich selbst nutze nach wie vor die Schlüsselbundverwaltung, ich weiß nicht, was das aus Deiner Sicht ist – ein Lkw?)

Nutzt/„missbraucht“ Ihr Euren Passwortmanager als verschlüsselte allgemeine Datenbank oder wofür ist z. B. das Anlegen neuer Felder erforderlich? Es geht doch immer nur um dasselbe – URL, Nutzername und Passwort.

Weia,
ja, nicht nur reine Logins. Z.B. auch Kreditkarten, Pässe/Ausweise, sonstiges Identity Zeugs (was nicht immer ein Login selber darstellt), sowie selbst bei Login-Daten alleine schon speichere ich für mich zusätzliche Infos ab, die sich über mehrere Zusatzfelder (wenn strukturiert) oder im Freitextfeld (der "Container für alles") erstrecken.

Also ein PW-Manager bietet hier schon mehr (im meinem Fall 1Password):

• Template für SW-Lizenzen ( wann gekauft / Lizenzschlüsssel etc)
• Template f. WLAN (Login / PW der Basisstation / Verschlüsselung)
• Anlage von “Sicheren Notizen“ incl. der Möglichkeit, dort Dokumente zu hinterlegen.
• Mehrere Tresore (incl. der Möglichkeit für Grenzübertritte temporär einen Pseudo-Tresor anzulegen).
• Unabhängigkeit von iCloud (-Verfügbarkeit).
• Zwar “Five Eyes“ aber kein US-Unternehmen
• Server in EU
• Selbst mit der aktuellen (Electron-) GUI Welter bessere UserExperience als das Schlüsselbund (klar: das kann man dazu “missbrauchen“, das ist aber dafür nicht gedacht / gemacht).

usw. usf.

War natürlich etwas plakativ gemeint oben, aber um das mal auf dem humoristischen Level weiterzuziehen: Keychain ist ja nun wirklich schrecklich könnte der Verbandskasten im Trabbi sein

Zudem birgt die Schlüsselbundverwaltung noch das Risiko, dass Passwörter recht unsicher per Zwischenablage übertragen werden müssen, sofern Weia die Passwörter-App nicht als Teil der Schlüsselbundverwaltung ansieht. Die kann ja Felder auf sicherem Wege ausfüllen. (Mir ist klar, dass die Zwischenablage Passwörter anders behandeln kann, ändert aber nichts am Grundproblem.)

Wieso muss ich etwas in die Zwischenablage kopieren? Die Passwörter werden doch automatisch eingesetzt.
Nein, habe ich in diesem Kontext nicht.

Das automatische Einsetzen ist nicht Teil der Schlüsselbundverwaltung, sondern der Passwörter-Funktion. Autofill-Daten liegen zwar im Schlüsselbund, aber nicht alles was im Schlüsselbund liegt, ist über Autofill auch nutzbar. Der Schlüsselbund ist viel Älter als Autofill, das Apple auch erst recht spät von Safari auf Systemebene geholt hat und leider immer noch nicht von Chrome und Firefox genutzt werden. Hier ist Copy & Paste weiterhin nötig, sofern man nicht den iCloud-Schlüsselbund nutzt.

Sogar 1Password hatte früher mal seine Daten im Schlüsselbund hinterlegt.

Ich würde noch etwas weiter gehen als weia:
Passwörter ist für mich komfortabel genug. Und sicher sollte es doch sowieso sein, weil die PW-Daten ja verschlüsselt in der iCloud liegen, wenn man zwischen Geräten synchronisiert. Bezüglich Sicherheit traue ich da Apple wesentlich mehr als alternativen Anbietern solcher Lösungen, die vermutlich leichter unter Druck gesetzt oder vielleicht gar gehackt werden können.

Das Problem bei Apple ist das Vendor-Lock-in und dass sie die bei allen modernen Geräten den Zugang entziehen können. Das kann auch durch Bugs im Diebstahlschutzsystem passieren. Deshalb ist es besser, die Passwörter vom Anbieter der Geräte separat zu halten. Das ist zwar nur ein Worst-Case-Szenario, aber so wie die USA Leute aus ihren E-Mail-Accounts aussperren können, wie jüngst mit einem EU-Abgeordneten geschehen, wird das sicher auch mit Apple möglich sein. Technisch und rechtlich ginge es jedenfalls.

Sorry, ich weiß nicht, wovon Du redest. Was meinst Du mit „Passwörter-Funktion“? Autofill-Passwörter liegen (jedenfalls bis einschließlich Mojave) im Anmelde-Schlüsselbund und können natürlich von jeder App, die darauf zugreift, genutzt werden. Ich nutze das seit Anbeginn von Mac OS X und habe noch nie ein Passwort in den Webbrowser kopiert!?!

Mit Webbrowser meinst du sicher Safari, der Passwörter ja im Schlüsselbund ablegte und für Autofill nutzte. Das ist mittlerweile eine Systemfunktion, die über die Passwörter-App verwaltet wird. Sie nutzt wie alles am Mac den Schlüsselbund. Der Schlüsselbund ist aber lediglich der Speicherort und kann deutlich mehr speichern, als Autofill nutzen kann. Autofill war und ist nie Teil der Schlüsselbundverwaltung gewesen. Erst mit dem systemweiten Autofill wäre überhaupt denkbar, dass Firefox und Chrome dieselben Daten nutzen könnten wie Passwörter. Andere Apps können das ja längst. Vorher wäre es wie mit 1Password gelaufen. Sie hätten zwar ebenfalls seit jeher den Schlüsselbund als Speicher verwenden können, aber wären dann für die eigenen Einträge verantwortlich gewesen und hätten sich um die Verwaltung kümmern müssen.

Wenn du einen Weg hast, deine Einträge ohne Copy&Paste in Firefox/Chrome zu verwenden, wäre ich sehr über den erhellenden Tipp dankbar.

Alles sehr gute Argumente.

Jedoch: 1Password hatte noch keine Breaches mit Nutzerdatenkomprimittierung.
Und nur die haben das "Secret". Selbst, wenn der 1Passwordserver abgeräumt wird, können die Abräumer ohne Deinen Secretkey nichts entschlüsseln (derzeit). Secretkey+Password ist Dein AES-256-Schlüssel. Und vom SecretKey ist nichts in 1Password gespeichert. Und Du kennst ihn auch nicht auswendig. Eine 5$-Wrench-Attack ist somit auch nutzlos.

Und 1P ist halt schon sehr komfortabel.

Ist Enpass nicht eigentlich ein indisches Produkt? Die haben zwar einen Sitz in den USA, aber ich glaube der eigentliche Standort der Entwicklung und der Gründer ist in Indien.

Enpass hat statt der Secret-Key-Phrase von 1Password ein Secret-Key-File. Und die Erstellung ist optional. 1Password ohne SecretKey geht nicht.

Enpass sitzt in Delaware und ist damit z.B. dem CLOUD-Act unterworfen. Egal, wo es eigentlich herkommt.

1Password ist Toronto. Auch kein Ruhmesblatt seit Trudeau.

Nein, Safari nutze ich nicht. Mein Standardbrowser ist OmniWeb und neuerdings nutze ich auch viel Orion. Generell halt nur Cocoa-Webbrowser, die macOS-konform programmiert sind (sprich, die den macOS-Schlüsselbund für Passwörter nutzen).
Ich verstehe nach wie vor nicht, was Du damit meinst. Die Systemfunktion sind die macOS-Schlüsselbünde und waren es von Anfang an. Autofill ist eine Funktion der jeweiligen App (Webbrowser oder was auch immer, Adobe Acrobat Reader zum Beispiel), die, wenn sie macOS-konform programmiert ist, dafür einen macOS-Schlüsselbund nutzt, in der Regel Anmeldung. Passwörter und Schlüsselbundverwaltung sind lediglich zwei verschiedene GUIs zur Verwaltung des macOS-Schlüsselbünde, die eine für DAUs, die andere für Profis.
Nein, natürlich nicht. Wie sollte das auch gehen? Das muss schon die App machen, in der irgendetwas ausgefüllt werden soll.
Das könnten sie seit 25 Jahren, wenn sie macOS-konform programmiert wären.
Eben. Was hätte Firefox und Chrome daran gehindert?
Die nutze ich halt nicht, u.a. genau deswegen, aber auch aus vielen anderen Gründen. Zumindest von Firefox weiß ich aber, dass er Passwörter von Safari importieren kann. Muss man halt immer manuell anstoßen.

Habe jetzt am Wochenende zusammen mit der Familie 1Password eingerichtet und die Daten aus Dashlane importiert. Bis auf ein paar optische Probleme, hat das reibungslos funktioniert. Sowohl auf sämtliche iOS, iPadOS und Windows Geräten läuft das. Ich nehme mir jetzt noch eine Woche Zeit zum Testen und Probieren, dann wird Dashlane gekündigt. Theoretisch würde 1Password sogar die Restgebühren übernehmen.

Moin,

auch wenn du schon etwas gefunden hast, werfe ich einmal Proton Pass in die Runde.
Kommt aus der Schweiz und ist in der Basis kostenlos.

Gruß
Claus

Interessanter Artikel bei heise: Forscher der ETH Zürich haben Schwachstellen bei Bitwarden, Dashlane und LastPass (die ja schon mindestens 2 öffentlich bekannt gewordene Breaches hinter sich hatten) gefunden. Es wurden nur die 3 Anbieter untersucht, weil die die grössten Userzahlen aufweisen. Das heisst also nicht, dass z.B. 1Password sicher(er) wäre.
"Schwachstellen in Cloud-basierten Passwort-Managern"

Auch wenn die Hersteller vorgeben "hypothetisches Szenario handelt und keine derartigen Exploits in freier Wildbahn beobachtet wurden", zumindest die gemeldeten Probleme gefixt wurden und die Angriffe eine Komplexität umfassen (sprich: nichts was Skript-Kiddies mal eben so machen können), Cloud-basierte Passwortmanager sind von Natur aus ein attraktives Ziel, da hier - wenn - gleich der grosse Jackpot winkt.

Nachwievor halte ich es für hirnrissig seine ganz persönlichen Credentials, Secrets, usw. ganz prinzipiell aus den Händen zu geben, wenn es auch Komforteinbussen bedeuten kann.

Lokaler Passwortmanager ist einfach immer noch das beste mit dem höchstwahrscheinlich geringstem Risiko (unter der Annahme, dass man nicht jeden Mist aus dem Netz installiert und sein System selber kompromitiert), bestenfalls im LAN mit WebDAV-gesyncten Tresoren oder falls Client-Server-Lösung (sprich Bitwarden/Vaultwarden self-hosted), dann ebenfalls nur im LAN im Zugriff. Zur Not per VPN noch, aber ob man so eine Notwendigkeit verspürt sekündlich immer drauf angewiesen zu wäre auch etwas speziell.

Sicher sind Sachen in der Cloud ein attraktives Ziel. Gäbe es das nicht, wären aber lokale Speicher nochmals attraktiver und man würde sich mehr darauf konzentrieren, dort einzubrechen, bzw. Daten von dort abzuluchsen. Selten gibt es wirklich rein lokale Netzwerke, oft haben einzelne Geräte dann doch Internetzugang. Wenn man den Browser dazu bewegen kann, eine URL aufzurufen, können bereits Daten abfließen. Da hilft dann auch kein VPN.

Du hast das falsch verstanden. Die Passwortmanager Software soll nicht über's quasi "public" Internet funktionieren, sondern lediglich im LAN (wenn ein Sync erfolgen soll; alternativ völlig ohne Sync (aber das wäre mir auch zu unbequem).

Ja, ich habe auch nie verstanden, wie man auf die Idee kommen kann, ausgerechnet seine gesammelten Passwörter in die Cloud auszulagern. Das wäre nun wirklich das Allerletzte, was ich in die Cloud verfrachten würde.

Ist halt praktisch zum einfachen Synchronisieren zwischen verschiedenen Geräten. Da geht Bequemlichkeit vor Sicherheit...

Das ist mir schon klar, aber ich kann das halt nicht nachvollziehen. Weder, warum es so fürchterlich wichtig ist, alle Passwörter auf allen Geräten zu haben, noch, was das Problem ist, die ab und an manuell zu synchronisieren, geschweige denn, wie man ausgerechnet den Generalschlüssel für sein gesamtes digitales und zunehmend auch analoges Leben für ein bisschen Bequemlichkeit riskieren kann.

Das ist egal. Wenn dein Passwort-Tresor nur lokal vorliegt, kann er dennoch abgefischt werden. Dein Mac muss nur dazu gebracht werden, die Datei lokal in eine URL zu kodieren und diese aufzurufen. Das ist natürlich aufwendiger, weil viel mehr Voraussetzungen erfüllt sein müssen. Aber technisch nicht unmöglich. Und wenn du sowas wie Synology nutzt, hast du auch bereits ein attraktives Ziel. Es nur lokal erreichbar zu machen, minimiert die Angriffsziele, aber sobald einer der Clients Webzugriff hat, kann dieser Daten vom NAS abschleusen. Nur weil man auf Cloudsync verzichtet, ist nicht automatisch alles sicherer. Es kann sogar das Gegenteil eintreffen, weil man noch weniger Ahnung hast als etwa Admins bei LastPass.

Nebula,
Du hast es weiterhin nicht verstanden.
Es gibt keine 100% Sicherheit und es geht auch nicht um 100% Sicherheit und auch nicht um konstruierte Szenarien ohne Hand und Fuss. Von automatischer Sicherheit hat auch keiner gesprochen. Sondern u.a. um Wahrscheinlichkeiten und Angriffsvektoren - und wie man es ggf. abmildern kann. Und ein Schritt wäre erst gar keine (von Drittherstellern kontrollierte) Cloud-basierten Passwortmanager zu benutzen.

Der war gut 😂 - aber wer sein Hirn beim Abo-Abschluss - gerade bei LastPass - abgeben will, bitte schön.

Hello,

weder den Threat ganz gelesen ( nur mal die ersten paar Posts ). Muss ich wohl mal nachholen. Eben ploppte aber in der Seitenleiste meiner App »NewsBar« ( sehr empfehlenswert ) eine neue Meldung rein:

Password managers’ promise that they can’t see your vaults isn’t always true

Ebenfalls nicht gelesen, aber da es zum Thema passt und die Diskussion ggf. unterstützt, einfach mal hier schnell reingeschmissen.

Greetings, C.

Ich bin Null im Thema:

Aber aus meiner Laiensicht: Ich nutze 1P seit 0.9.0. Und ich bleibe dabei: Nur 1Password hat den zusätzlichen "SecretKey" aus 34 Zeichen und 128-Bit-Verschlüsselung neben dem Masterpassword. Das ist unbequem, scheint jedoch deutlich mehr Sicherheit zu bieten. BitWarden hat die "Lücke" jetzt mit einem PassKey "geschlossen". Ich halte einen PK für schlechter, weil durch einen 5$Wrench-Angriff aushebelbar.

Es sind auch keine Datenbreaches bekannt. Nur das hier klafft seit einem Jahr:

Na? Schlecht geschlafen?