Anfängerfragen zu Passwortmanagern

Hallo in die Runde,
wahrscheinlich werden die Meisten über meine Fragen den Kopf schütteln. Ich möchte einen Passwortmanager auf meinem Smartphon einsetzen und vielleicht auch mobiles Bezahlen per App nutzen. Alles soll soo sicher sein, was bei mir sofort die Alarmglocken schrillen lässt.
Passwortmanager; ich habe mich noch nicht festgelegt, orientiere mich aber zu KeePassXC. Ich muss den Manager per Passwort schützen, so dass die enthaltenen Passwörter gesichert sind.
Frage 1: Ich starte das Handy und muss das Passwort für den Manager eingeben. Nun kann dieser die Passwörter in die benötigten Accounts einfügen. Ist das richtig? Muss ich für jeden Account erneut das Passwort für den Manager eingeben, oder genügt die einmalige Eingabe beim Start? Wenn ja, was passiert, wenn mein Smartphone in falsche Hände gerät (Diebstahl, vergessen, verloren) Damit wären alle Passwörter futsch. Oder habe ich hier einen Denkfehler? Nein, einen Passwortmanager mit Cloudanbindung schließe ich aus.
Mobiles Bezahlen:
Frage 2: Gleiches Problem wie oben. Ich starte die Bezahl-App und muss mich mit PIN anmelden. Verbleibt die Entsperrung der App bestehen? Wieder stellt sich die Frage bei Verlust. Es wäre ja alles freigegeben und der Finder / Dieb könnte einkaufen.
Hier kommt noch eine Frage dazu. Alle Banken werben mit einer Zwei-Faktor-Authentisierung. Wie soll das auf EINEM Smartphone gehen? Da stehe ich bestimmt noch auf der Leitung. :wink:
Gruß

Frage 1: Könnte einstellbar sein, ich kenne die Software nur dem Namen nach.

Frage 2: Den Denkfehler machst nicht Du, sondern die Banken und die Nutzer, die da einfach mitspielen. Wir sagen seit Jahren, daß das ein Fehler ist, aber sie hören ja nicht.

Grundsätzlich meine Meinung dazu?
Mach keine hochsicheren Sachen auf einem Gerät, das sich in der Öffentlichkeit befindet und nur noch nicht abhanden gekommen ist.
Das ist auch ein Denkfehler: Komfort beißt Sicherheit. Entscheide Dich.
Ich habe nicht einmal eMails auf der Taschenwanze … (ich habe mich entschieden).

1 „Gefällt mir“

zu Pkt. 1: Es ist halt auch bei KeePass Einstellungssache.
Beispiel: Nach dem Starten des SmartPhones und danach erstmaligen Öffnen der Datenbank ist das MasterPasswort erforderlich.

Im Laufe des Tages - bzw. zum Beispiel bis das SmartPhone wieder ausgestellt wurde - kannst Du die Datenbank mit Fingerabdruck entsperren. Die Datenbank bleibt eine Zeit lang geöffnet, kann aber auch manuell gleich wieder geschlossen werden.

Ob die Datenbank geöffnet oder gesperrt ist, wird angezeigt.


Auf der Seite von Keepass gibt es aber auch ein (Einsteiger-) Tutorial. Falls Du dich da noch genauer einlesen möchtest.



zu Pkt. 2: Dann zahl halt nicht mit dem SmartPhone, bzw. am SmartPhone, sondern daheim am Rechner. Dann hast Du die Anmeldung am Rechner und die Bestätigung mit dem SmartPhone.

1 „Gefällt mir“

Dank erst mal für die beiden Antworten. Ich denke mal, dass die Geschichten Passwortmanager und Banking-App technisch sicherlich recht gut entwickelt sind, aber die größten „Bedrohungen“ nämlich durch den User die eigentlichen Sicherheitsrisiken sind. :wink:
Es wurde noch ein Punkt angesprochen. Biometrische Anmeldung. Sicher? Ich hab da meine Zweifel. Was mich aber noch mehr umtreibt, was passiert mit den einmalig erhobenen (Fingerabdruck)Daten. Sie sind ja digitalisiert und könnten dann weitergegeben werden, ganz gleich von wem.

1 „Gefällt mir“

Du musst ja die biometrische Anmeldung nicht nutzen. Ich habe Dir nur ein Beispiel aufgezeigt, wie man es machen kann. Das war keine ausdrückliche Empfehlung, wie man es machen soll.

So habe ich es auch nicht verstanden. Fingerabdruck, Irisscan usw. liest / hört man inzwischen aller Orten. Wie denkt Ihr darüber?

Eine gute und sichere Sache, sofern nichts das Gerät verlässt und im Secure Element gespeichert wird.

1 „Gefällt mir“

vielleicht noch zur Ergänzung, KeepassXC kann auch 2FA per TOTP. Welche Bank es unterstützt weiß ich nicht. Meine leider nicht.
Ich möchte auf Keepass nicht mehr verzichten und nutze es auf allen Geräten. Die Datenbank liegt auf Nextcloud und ist somit für alle Geräte immer aktuell.
Grüße

Oder man hat zwei Datenbanken…

… eine lokal auf dem PC mit allen Kennwörtern und

… eine „abgespeckte“ lokal auf dem SmartPhone nur mit den Kennwörtern, die man unterwegs wirklich benötigt.

3 „Gefällt mir“

Sehe ich leider anders. Biometrische Merkmale haben zwei Probleme:

  • Sie sind vergleichsweise einfach zu kopieren, weil Fingerabdruck, Iris, etc. Informationen sind, die sich in der Öffentlichkeit nicht verbergen lassen. Ja, ein qualitativ brauchbares Replikat anzufertigen ist ziemlich aufwändig, aber deutlich einfacher als eine zufällige Passphrase zu erraten.
  • Sobald das Merkmal einmal „verbrannt“ ist, kann man es nicht mehr ändern, jedenfalls nicht ohne Eingriff in die physische Unversehrtheit. Ein Passwort kann man jederzeit ändern.

Ist übrigens auch ungünstig, wenn man sich die Fingerkuppe mit dem Küchenmesser abgesäbelt hat und dann nicht mehr in seine Konten reinkommt. Man braucht also immer noch eine Hintertür, die dann einen weiteren Angriffspunkt darstellt.

2 „Gefällt mir“

Sollte für KeePassXC auf dem Mobilgerät KeePassDX gemeint sein…
Für die Handhabung des Passwortes für die Datenbank gibt es einige Einstellungen. Am besten schaust du dir die Anwendung einfach einmal an, und/oder liest dich ein z.B. bezüglich Advanced Unlocking (Englisch), welches aber auch nicht verwendet werden muss.
Bei deinen Punkten ist die Antwort: Es ist beides möglich.

Wenn sie nicht ausreichend gesichert sind (je nach Konfiguration), kann ein Angreifer sie nutzen. Wenn du mit futsch ausschließlich das einfache verlieren der Passwörter meinst:
Datenbank-Sicherungen (Englisch). Speichere deine Datenbank zumindest regelmäßig auf unabhängigen Datenträger(n!), als auch idealerweise an verschiedenen Standorten.

Ich denke gar nicht mal dass das so ist, außer man ist technisch völlig Inkompetent, und gestattet allen/m alles.
Das größte Problem ist einfach, dass nur das Gerät infiziert werden muss, und im äußerst komplexen Softwaregeflecht ausreichend(e) Sicherheitslücken vorhanden sein müssen, und die ganze Sicherheit einfach dahin ist. Grade auf alten Geräten, ohne Sicherheitsaktualisierungen.

Ich halte es auch für fragwürdig, den Apps zu vertrauen, solange es keine Prüfungen durch kompetente Personen gibt, mit Veröffentlichung entsprechender Berichte. Grade auch in Anbetracht von implementierten Trackern.

Oder kurzzeitiger, wohl je nach Gerät: Die Finger nass oder verschrumpelt sind. :smiley:

Rein theoretisch (mir ist keine solche Anwendung untergekommen): Sofern Fingerabdrücke höchstens als Abwehrmechanismus bei bereits entsperrtem Bildschirm (Passwort/PIN) verwendet werden, halte Ich sie gar nicht für so sinnlos, natürlich haben sie trotzdem auch dann Schwächen. Als eine Art zweiter Faktor, wenn die Bildschirmsperre nicht greift. Das Passwort für ebenjene, und automatisiertes Sperren der Datenbank würde es aber auch, und definitiv besser, tun.

1 „Gefällt mir“

Ich hätte nicht gedacht, dass meine Frage eine solch angeregte Diskussion auslöst. Vielen Dank an alle!
Fazit: Ich habe eine ganze Reihe neuer Erkenntnisse gewonnen. Es wurden teils technische Dinge angesprochen, zu denen ich eher einen Draht habe. Stichwörter aktuelles Betriebssystem, Software usw.
#D299 - Unter Angreifer verstehe ich eher böswillige technische Zugriffe. Diese Möglichkeit sehe ich für mich kaum, wenn man es auch nicht ausschließen kann. Mir geht es eher um meine eigene Unwissenheit, Nachlässigkeit und Faulheit. Wenn ich ehrlich bin, sind das für mich die Risiken. Handy liegen gelassen, verloren, vergessen… Noch ist es mir nie passiert, aber aus meiner Sicht das wahrscheinlichste Szenario.
Wichtig für mich ist die Erkenntnis, dass man KeepassDX (#D299 :slight_smile: ) einstellen kann, wie lange die Freigabe gilt. Gab es so was für das Smartphone nicht auch schon mal? War aber mit root?
Backup für Keepass ist klar und ich vertraue das nur meiner eigenen lokalen Cloud an.
#Kong Ja, auch mein Smartphone hat nur das allernötigste drauf. Einkauf läuft nur am Rechner. Die Fummelei auf einem Handy ist mir mit meinen Wurstfingern zu anstrengend. Monitor, Tastatur, zehn Finger… allemal besser. :wink:
Auf mobiles Bezahlen brachte mich mein Schulfreund, der drei Jahre in Skandinavien gearbeitet hat. Kleine Beträge, Parkschein, Einkauf im Supermarkt. Das wird sich sicherlich auch in Deutschland mal durchsetzen.
Nochmals vielen Dank für Eure Hilfen und Anregungen!

Es ist auch jederzeit eine Entsperrung mit dem hinterlegten Passwort möglich, ohne ein Passwort hinterlegt zu haben kann man keine biometrische Eingaben machen. Bei mir wird sogar alle 72 Stunden anstatt des Fingerabdrucks das Passwort verlangt, ob das bei allen Geräten ist kann ich nicht sagen.

Zum Thema:
Ich nutze den Manager pass, der verwendet einen PGP Schlüssel um die Dateien mit den hinterlegten Passwörtern zu verschlüsseln, die Dauer der Freigabe kann verschieden gewählt werden, bei der Abfrage durch separate App jedes mal auswählbar, ich meine von ganzen Tag bis hin zu jeder Bildschirmsperre.
Die Daten sind so lange sicher solange keiner das Smartphone entsperrt und mit der Freigabe in die Finger bekommt, ein Verlust oder Diebstahl des Smartphones heißt dann auch Verlust der Passwörter, sollte kein Backup der Daten vorhanden sein, aber sicher sind diese zumindest so lange die Freigabe abgelaufen ist.

zu Frage zwei: die OTA App, solltest Du gesondert noch mit Passwort geschützt sein, bei mir gibt es noch ein Datenschutzpasswort was bei ausgewählten Apps abgefragt wird, somit kannst Du die zwei Faktor Authentisierung absichern.

Bei Bezahlapps wird ein Passwort abgefragt, was im Manager gespeichert ist, sorge dafür das Deine Datenbank sich oft genug verschlüsselt und wähle ein sicheres Passwort für die Entsperrung des Smartphones.

18 Beiträge wurden in ein neues Thema verschoben: Diskussion: KeePass

Je mehr Leute anfangen, sowas zu nutzen, umso mehr. Und wenn es genügend Leute nutzen, wird davon ausgegangen, dass es jeder nutzt, auch der, der nicht kann oder will (analog zu App-Zwang) und irgendwann wird das Bargeld abgeschafft.