Welchen Passwortmanager nutzt ihr?

Gerade gelesen:

Schweizer Forscher knacken beliebte Passwort-Manager

Betroffen sind

• Bitwarden
• LastPass
• Dashlane

Passwortmanager sollen unsere Zugangsdaten schützen. Doch ETH-Forscher zeigen in einer Studie: Drei beliebte Tools mit 60 Millionen Usern weltweit haben massive Sicherheitslücken

https://www.blick.ch/digital/studie-von-eth-zuerich-schweizer-forscher-knacken-beliebte-passwort-manager-id21701779.html

Aus Seite 2 der PDF steht:

Apple und Google haben zwar 55 Prozent Marktanteil, aber wegen fehlendem Quellcode war keine einfache Analyse möglich. Zudem ist End-to-End-Verschlüsselung bei Google nur optional aktiviert, Apple hingegen ist generell End-to-End verschlüsselt.

Ich nutze auch nur die Apple Passwörter und bisher damit so zufrieden das ich daran nichts ändern möchte in absehbarer Zeit.

1Password seit der ersten Stunde! Ist für mich immer noch die 1. Wahl

• Kann alles mögliche speichern
• Einmalpasswort sehr smooth
• Mehrere Tresore um bspw. Privat und Beruf zu trennen
• WatchTower
• URL Paste von Login Credentials funktioniert sehr gut
• Browser Extensions

Kann mir gut vorstellen, dass ich das mal durch Apple Passwörter ersetze. Momentan jedoch nicht.

Das Risiko, dass jemand von extern an meinen Vault kommt, so wie es im Szenario beschrieben ist, halte ich für unwahrscheinlich. Man muss es halt „richtig“ machen.

Warum? Ich löse den Servernamen vault.meinedomain.tld nur im DNS von Pi-Hole auf eine lokale IP Adresse auf. Trotzdem liegt ein gültiges SSL Wildcard Zertifikat für meinedomain.tld und *.meinedomain.tld auf dem Webserver vor (wird regelmäßig per DNS Challenge erneuert - Stichwort neilpang/acme.sh - auch keine Ports nach außen geöffnet!). Das Zertifikat braucht man, damit eine sichere SSL Verbindung aufgebaut werden kann.

Heißt konkret in der Anwendung: Der Server - also Vaultwarden - ist nur lokal im Heimnetz (oder wenn ich per VPN verbunden bin) erreichbar. Weltweit existiert der Name vault.meinedomain.tld im DNS System gar nicht. Es gibt keinen externen Zugriff auf den Vaultserver.
Es geht nur darum den Sync über mehrere Geräte im Heimnetz zu schaffen aber nichts ins Internet zu exponieren und keine Angriffsvektoren zu bieten.

Anders sieht das möglicherweise aus, wenn Leute den Service der jeweiligen Anbieter nutzen und deren Cloud als Tresor verwenden. Und dieses Problem haben auch Google und Apple mit ihrer iCloud - auch wenn die viel Geld in Security buttern.

Was auch im Artikel steht und zur Wahrheit dazu gehört: andere PW Manager z.B. auch die von Google und Apple lassen sich nicht so leicht analysieren, weil sie sich hinter Closed Source verstecken. Das heißt nicht, dass sie nicht oder weniger vulnerabel sind. Der Vergleich ist daher nicht ganz fair.

Zitat von djiwondee

1Password

Hatte ich vor Apple auch. Das Abomodell hat mich dann weg gebracht. Und die in den 2010ern hängen gebliebene GUI.

Die Untersuchung erwähnt 1Password am Rande (in dem PDF):

Zitat

Kritisch:

1Password authentifiziert öffentliche Schlüssel nicht. Das betrifft insbesondere das Sharing. Ein kompromittierter oder bösartiger Server kann falsche Public Keys ausliefern und so Sharing-Angriffe durchführen .

Schwerwiegender ist der sogenannte Vault Substitution Attack. Das Vault-Key wird zwar mit RSA-OAEP verschlüsselt, aber nicht authentifiziert. Der Server kann beim Anlegen eines Vaults ein eigenes Vault-Key einschleusen. Der Client merkt das nicht, entschlüsselt es mit seinem privaten Schlüssel und nutzt anschließend dieses manipulierte Vault-Key weiter .

Folge: vollständige Kompromittierung von Vertraulichkeit und Integrität. Der Angreifer kann alle danach gespeicherten Daten lesen und manipulieren. Voraussetzung: Der Client holt Key-Material vom Server, zum Beispiel bei Login auf einem neuen Gerät oder bei Vault-Erstellung .

1Password ist konzeptionell stärker gegen Offline-Brute-Force durch den Secret Key.
Im bösartigen Server-Modell hat es jedoch ebenfalls strukturelle Schwächen bei der Authentisierung von Schlüsseln und Vault-Keys.

Ich habe die KI mal nach der Analyse befragt:

Zitat

Selbst-Hosting macht dich zum „Server“ im Threat Model. Wird dein Server kompromittiert, greifen dieselben Designprobleme.

Beispiele aus der Studie, die weiterhin relevant bleiben:

• Keine kryptografische Bindung zwischen Vault-Key und Ursprung
• Fehlende Authentisierung von Public Keys bei Organisationen
• Unauthentisierte KDF-Parameter
• Downgrade über Legacy-Code

Das sind Architekturthemen, keine Cloud-Themen.

Offline ohne Internet-Zugriff reduziert die Angriffsfläche massiv.

Aber:

• Ein Angreifer mit Zugriff auf deinen Server kann weiterhin manipulieren.
• Ein kompromittierter Client bleibt ebenfalls ein Problem.
• Updates bleiben kritisch.

Praktisch heißt das:

Self-Hosting ist sicherer gegen externe Angriffe auf den Anbieter.
Es löst nicht automatisch die im Paper beschriebenen kryptografischen Designschwächen.

Alles anzeigen

Da scheint es wohl doch ein paar Designfehler zu geben, wenn ich das so richtig interpretiere.

Wahrscheinlich ist das Ganze aber ein eher unwahrscheinliches Szenario. Wenn man sich richtig auskennt, und den privaten Server richtig absichert, wird das vermutlich sehr sicher sein.

Verwundert war ich ein mal mehr, dass Google keine E2E bei den Passwörtern nutzt.

Ein ungutes Gefühl, ob 1Password (wie auch jede andere Lösung) mal gehackt wird bleibt natürlich...Das wäre eh der GAU. Wie immer bleiben Aufmerksamkeit gepaart mit einem gewissen Maß an Skepsis bspw. für merkwürdige Emails oder die dunklen Seiten im Web das A und O bei der Nutzung des Internets.

Bei https://haveibeenpwned.com finden sich ein paar meiner früheren Credentials. Bisher bin ich von jeder Attacke verschont geblieben, einschließlich Hard Disk Verschlüsselung und der damit üblicherweise einhergehenden angedrohten Veröffentlichungen aller meiner vielen "Schmuddelbilder", die dort angeblich gefunden wurden...

Zitat von djiwondee

Bei https://haveibeenpwned.com

Da checkt Apple Passwörter auch autonom immer. Das finde ich auch super.

Zitat von Dan

Da checkt Apple Passwörter auch autonom immer. Das finde ich auch super.

Sorry, wenn die Platte einen Sprung bei mir hat… Bitte nicht persönlich nehmen 😉 aber auch das ist nichts, was Apple erfunden hat oder nur Apple kann und macht bzw. die „hauseigene Lösung“ als überlegen den Marktbegleitern auszeichnet.

Wie gesagt, Apple kam sehr spät mit einer vernünftigen Lösung daher, die halt technisch mehr oder weniger gleichauf mit allen Anderen ist. Kein Quantensprung.

Ne, alles gut. Habe ich auch nicht als Alleinstellungsmerkmal aushandeln wollen.
Wollte nur drauf aufmerksam machen, da das viele nicht wissen.

Es kommt eine Push, dass ein Passwort komprimiert wurde. Finde ich klasse.

Wo wir es gerade hatten. Das landete heute im Posteingang:
Der Inhalt kann nicht angezeigt werden, da du keine Berechtigung hast, diesen Inhalt zu sehen. Aber melde dich gerne bei uns an und werde Teil der Community!

So 3-4 ct./Tag. Nicht dramatisch werden sich manche denken, die es ausgiebig nutzen.

Zitat von Andy

die es ausgiebig nutzen

täglich mehrfach. Aber das macht das schon. Habe heute gelernt, dass die Firma für die ich arbeite der weltweit zweitgrößte Token-"Produzent" für GPT-Requests ist. Was macht es dann, wenn ich vier/fünf Mal am Tag mein Passwort brauche

Ich habe eigentlich immer KeePass genutzt, aber da das mit dem Sync von Überall immer etwas schwierig ist, haben wir jetzt die Familien-Variante von Bitwarden. Kostet Geld, aber das ist mir in dem Fall egal.

Parallel dazu nutzen wir dann noch Apple Passwörter. Sei es als Schutz vor Verlust oder auch, weil wir noch Windows-Geräte parallel nutzen.

1Password hatte ich auch früher schon mal, ist aber schon sehr lange her...

Dazu mal zwei kurze Fragen: Mit Bitwarden kann man ja im Web-Portal komprommitierte Passwörter ausfindig machen.

a) Welche Datenbank(en) nutzt Bitwarden dafür?

b) Werden NUR Passwörter oder auch Mail-Adressen gecheckt?

Apple, Google, MS

Ich wusste gar nicht, dass Apple Passwort mittlerweile auch auf Windows geht: https://support.apple.com/de-de/guide/ic…babf5e03/icloud

Zitat von Dan

Ich wusste gar nicht, dass Apple Passwort mittlerweile auch auf Windows geht: https://support.apple.com/de-de/guide/ic…babf5e03/icloud

Wusste ich bisher auch nicht. Ob es auch mit dem Brave-Browser geht ?

Ja brave ist chromium base