Passwort Management

vb-server

Registered User
Hallo zusammen

Ich bin grad auf der Suche nach einem neuen "Passwort-Konzept". Im Moment habe ich TeamPass mit generierten Passwörtern. Da diese Teampass-Installation aber im Minutentakt angegriffen wird, bin ich auf der Suche nach einer Alternative. Am liebsten wäre etwas offline, jedoch brauch ich die Passwörter immer und überall, auf Linux sowie Windows.

Wie macht Ihr das?


Viele Grüsse
 

sbr2d2

Registered User
Als ich noch Server hatte, habe ich eine txt angelegt wo alle Namen incl. pw´s drin waren.Hatte allerdings 5 blinde dazwischen womit ich dann die pw-spalte um 5 zeilen verschieben konnte. Anders erklärt, die ersten 5 Benutzer gab es nicht und der 6 Benutzer hatte das pw vom ersten usw... War die letzte maßnahme für den Fall das die Datei in falsche Hände gerät.
 

d4f

Kaffee? Wo?
Ich verwende Keepass mit Dropbox, keinerlei Probleme. Android-Implementierungen gibt es ebenfalls, zum schnellen Zugriff von Unterwegs.
 

fbartels

Member
Verwende aufgrund der guten Browserintegration (und Unterstützung der von mir verwendeten Browser und Betriebssysteme) auch lastpass.com (in der freien Edition). Auf meinen Android Geräten behelfe ich mit mit Tiny Password und einem csv Export von lastpass.
 

Thunderbyte

Moderator
Staff member
Weil Admin-Software eben nicht gleich Admin-Software ist: i-MSCP -- Ostseehaus Lana

Benutzer wegen nicht den Nutzungsbedingungen entsprechender Signatur UND Werbung (wohl eher Schleichwerbung / versuchte Google"optimierung") ohne Anbieterstatus doppelt verwarnt. Nebenbei sind wir hier nicht im Ostseehausgeschäft.

Bei nicht vollzogener Anpassung erfolgen weitere Verwarnungen bis zur Sperre.
 

vb-server

Registered User
Müsst ihr in diesem Forum wirklich jeden Thread zum Offtopic Thread machen? Ich habe es langsam echt satt hier!
 

infinitnet

New Member
Müsst ihr in diesem Forum wirklich jeden Thread zum Offtopic Thread machen? Ich habe es langsam echt satt hier!
Das ist das SSF, was erwartest du. :D

OT: LastPass wäre am Einfachsten, wenn mehrere Personen auf jeweils eine aktuelle Liste der Passwörter Zugriff haben sollen. Ansonsten KeePass, was ich privat anwende. Wenn's etwas paranoider oder für's Unternehmen sein soll, könntest du dir mal die Produkte von yubico ansehen (http://www.yubico.com/products/yubikey-hardware/), welches sich zusammen mit LastPass verwenden lässt.
 

d4f

Kaffee? Wo?
könntest du dir mal die Produkte von yubico ansehen (http://www.yubico.com/products/yubikey-hardware/), welches sich zusammen mit LastPass verwenden lässt.
Ein Yubikey schützt entgegen anderslautender Suggerierung des Anbieters weder gegen social engineering noch gegen Keylogger, USB-Bus Abhöhren usw.
Es ist schlicht eine USB-Tastatur welche über Macro (durch Knopfdruck getriggert) das Passwort eintippt.
Somit hilft es ausschliesslich gegen Passwort-vergessen oder damit in Zusammenhang stehende Post-It Notizen am Bildschirmrand. Sollte aber jemand den Yubikey in die Hand kriegen ist dein Passwort auch verloren...
Ich hab selber 2 Stück und diese setzen momentan Staub an...
 

infinitnet

New Member
Ein Yubikey schützt entgegen anderslautender Suggerierung des Anbieters weder gegen social engineering noch gegen Keylogger, USB-Bus Abhöhren usw.
Es ist schlicht eine USB-Tastatur welche über Macro (durch Knopfdruck getriggert) das Passwort eintippt.
Somit hilft es ausschliesslich gegen Passwort-vergessen oder damit in Zusammenhang stehende Post-It Notizen am Bildschirmrand. Sollte aber jemand den Yubikey in die Hand kriegen ist dein Passwort auch verloren...
Ich hab selber 2 Stück und diese setzen momentan Staub an...
Danke für deine Bewertung, ich habe selbst keine Erfahrung mit den YubiKeys. So wie der Hersteller das vermittelt, bin ich davon ausgegangen, dass der Zugriff auf die Passwortlisten nur mit Hilfe der Sticks möglich ist, statt mit Passwort und natürlich entsprechend verschlüsselt ist.
 

d4f

Kaffee? Wo?
Das ist korrekt was den User betrifft. Dies muss das Passwort nicht kennen (es ist aber stark angeraten es in einem Safe oder Bankschliessfach auf zu bewahren. Technikausfall soll nicht das Ende der eigenen Online-Existenz sein)
Technisch ist es nicht korrekt - schliesslich muss es mit legacy-Applikationen zusammenarbeiten.

Ich bin in persönlichem Kontakt mit Entwickler alternativer Loginsysteme welche ohne Zugangsdaten auskommen und kann aus deren Versuchen sagen dass es verdammt schwer ist das einer legacy-Applikation bei zu bringen. (Schwer ist aber nicht identisch mit unmöglich, es gibt ein paar sehr interessante Verfahren)

Ich glaube das war aber genug OT =)
 

infinitnet

New Member
Naja, auch wenn YubiKey nicht das Sicherste ist, wäre es für ein Unternehmen wohl doch besser, wenn die Angestellten nur mit Hilfe eines Sticks Zugriff auf die Passwortlisten haben, welcher nicht nach Hause mitgenommen werden darf. SE wird um Einiges komplizierter, wenn der Angreifer erst an Hardware gelangen muss, als nur an ein Passwort (siehe bspw. WHMCS.com Hack vor etwa einem halben Jahr). Desweiteren ist es unwahrscheinlicher, dass ein Stick, welcher immer im Büro bleiben muss, in die falschen Hände gerät, als ein Passwort.

Hört sich interessant an und wäre wohl ein Thema im SSF wert, sobald etwas Produktionsfertiges dabei herausgekommen ist. :)
 
Top