In meiner vorhergehenden Kurzmitteilung habe ich auf einen Beitrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hingewiesen, in dem es um die Sicherheit von Passwortmanagern geht.
Nun möchte ich über Sinn und Unsinn von solchen Programmen sprechen und vorstellen, wie ich sie nutze.
Ein Passwortmanager ist ein kleines Programm, das Passwörter sicher verwahrt. Darauf zugegriffen wird über ein Masterpasswort, das man sich gut merken oder es gut aufbewahren sollte. Jemand, der das Masterpasswort kennt, kann auf alle gespeicherten Zugänge zugreifen. Anders herum kann bei Verlust des Kennworts kaum oder gar nicht darauf zugegriffen werden. Es gibt sie als Onlineplattform und als lokales Programm.
Ich habe mich sehr lange dagegen verwehrt, solche Passwortmanager zu verwenden. Vor ungefähr 3 Jahren habe ich angefangen, ein solches zu testen. Zuerst KeepassXC und nun Secrets (Gnome). Beide erstellen eine einzige Datei (Save) für alle Passwörter, welche von vielen Programmen auf dem Smartphone, auf dem Computer oder bspw. von einer App in Nextcloud geöffnet werden kann.
Am meisten begeistert hat mich die Möglichkeit, Passwörter eingeben zu lassen. Ich öffne also den Passwortmanager, wähle den entsprechenden Eintrag aus, klicke auf die URL, welche sich im Browser öffnet. Nun klicke ich auf Eintragen und er trägt mir meinen Benutzernamen und mein Passwort ein. Das geht sogar, wenn zuerst der Benutzername, dann die Entertaste und dann das Kennwort eingegeben werden muss.
Leider gibt es wohl Uneinigkeit, ob das ganz toll sicher ist oder nicht, daher wurde diese Funktion bei manchen Programmen entfernt und ich muss auf kopieren (oder Symbol) klicken und danach im Browser auf einfügen. Geht auch, ist nur nicht ganz so lässig.
Ich habe meine Passwörter lokal gespeichert. Zusätzlich habe ich auf der eigenen Nextcloud ein paar weitere Saves, auf die mehrere Personen zugreifen können. Die Masterpasswörter dieser Dateien habe ich in lokal. Zum einen kann der Save als Datei synchronisiert werden oder sogar per entsprechender App direkt in der Nextcloud geöffnet und bearbeitet werden. Man darf nur das Speichern nicht vergessen.
Innerhalb der Familie hat nun jeder seinen lokalen Passwort-Save und ich habe alle Masterpasswörter. Für mich hat sich dadurch vieles vereinfacht, denn wenn ich etwas helfen möchte, öffne ich den Save und habe alle Passwörter, die ich benötige. Und die Familienmitglieder gewöhnen sich auch daran und freuen sich, dass sie ihre Zugänge schnell und einfach finden.
Wie im oben erwähnten Artikel, ist darauf zu achten, dass bei manchen Programmen nach einer Änderung des Masterpassworts die Neuverschlüsselung des Passwort-Saves nicht zuverlässig funktioniert. Falls jemand weiß, ob das bei Secrets und KeepassXC zuverlässig klappt, freue ich mich über ein Kommentar.
Hi.
Bei Keepassxc nennt sich die Funktion zum Einfügen von Passwörtern AutoType. Funktioniert im Browser als auch z. B. im Terminal. Derzeit gibt es aber Probleme unter Wayland.
Die Zwischenablage zu verwenden ist keine gute Idee, da das Passwort dort im Klartext vorliegt und von jedem Programm ausgelesen werden kann.
Hi trurl,
das heißt unter Wayland anzeigen lassen und abtippen. Puh….
Damit können dann wieder Tastatureingaben abgefangen werden.
Hoffen, wir dass das schnell gefixt wird.
Grüße
Ich finde auch pass/gopass ziemlich brauchbar. Blöderweise unterstützt die mobile pass-App aber noch nicht die age-Verschlüsselung von gopass.