ich speichere eine Handvoll Passwörter im Android Browser Firefox ab, da meine Logins sich ausschließlich auf Webseiten beziehen und nicht auf Apps.
Wie sicher ist dieser Passwortmanager von Mozilla im Vergleich zu anderen Passwortmanager Apps wie zB. KeepassDX?
Kann man den integrierten Passwortmanager bedenkenlos einsetzen?
Grüße Bluelupo
You must log in or register to comment.
deleted by creator
!kuketzblog@feddit.de- 0 users online
- 1 user / day
- 1 user / week
- 1 user / month
- 122 users / 6 months
- 1 subscriber
- 74 Posts
- 1.02K Comments
- Modlog
Bedenkenlos? Nein. Wenn es nur um vergleichsweise harmlose Passwörter geht (z. B. Foren): Muss jeder selbst abwägen, ist zumindest nicht komplett indiskutabel.
Ein externer Passwortmanager ist eigentlich immer sicherer als die integrierten Tools der Browser, schon weil der PWM keine eigene aus dem Netz unmittelbar erreichbare Angriffsfläche hat. Ich persönlich nutze grundsätzlich KeepassXC bzw. KepassDX.
Ich habe keine Passwörter im Browser gespeichert. Da ist also mein Vertrauen zum Browser nicht sonderlich hoch. Wie viele andere hier auch habe ich auf dem Desktop KeePassXC im Einsatz und auf dem Androiden KeePassDX. Den Passwort-Safe sycronisiere ich automatisch über meine Nextcloud. Das klappt nun schon seit einigen Jahren ziemlich zuverlässig und auch einigermaßen bequem.
@bluelupo
Ein Pi und per Docker Vaultwarden und deine Passwörter gehören dir. Und wenn du dann noch einen Nexcloud darauf machst gehören sogar deinen daten dir. Nextcloud hat auch einen Passwort App.
Das ist mir persönlich zuviel an Aufwand nur für einen Passwortmanager.
@olaf @bluelupo Syncthing am Handy, syncthing am Laptop, syncthing am PC… und keepass vorne dran.
Vaultwarden am PC, die App auf allen Endgeräten.
Zuviel Aufwand?
Ach, schick mir deine Haustürschlüssel und deinen Reisepass. Ich pass gern drauf auf. Bei mir ist das Zeug sicher! *Ehrenwort*
Ich brauche kein sync-Tool, da ich am Smartphone nur eine sehr rudimentäre Anzahl von Passwörtern (max 20) lokal am Gerät abspeichern will. Am PC ist alles im KeepassXC. Der Aufwand soll so gering wie möglich sein.
Alternativ auf allen Geräten Syncthing und Keepass
Bedenkenlos, nein. Wenn schon online-sync warum nicht Bitwarden? Entweder selbst hosten oder einen kostenlosen Account bei Bitwarden selbst. Es gibt für jede Plattform Apps und Browser addons.
@Samsy @bluelupo Ich würde Passwörter doch NIEMALS irgend jemandem anvertrauen, außer mir selbst…
Vaultwarden ist easy selbst gehostet. Und es gibt ein Firefox-Plugin (Bitwarden) eine Desktop-App und eine Android-App. Bin sicher es gibt auch eine für iOS, Windows und Mac (Sorry… Desktop ist bei mir immer Linux)
Hab auch vaultwarden, wobei ich auch schon scharf abgegangen wurde für die Empfehlung, da Vaultwarden genau genommen nicht Bitwarden ist.
Und was daran ist der Kritikpunkt?
Naja war zu einer Zeit da hieß es noch nicht vault- sondern auch Bitwarden. Denke das war einigen zu schräg.
ah ja war glaube ich mal bitwarden-rs oder so? Warum auch immer das jemanden stören sollte.
Also falls es wer testen will, hier gäbe es ein aktuelles Vaultwarden: https://safe.rollenspiel.monster
Nein, nicht bedenkenlos und auch nicht für alles. Ist eine Konzeptionsfrage, denn der integrierte Passwortmanager bringt halt zwei Dinge zusammen, die man eigentlich voneinander trennen sollte: Angriffsoberfläche zum Internet und hochsensible Daten.
Technisch ist Keepass noch nicht negativ aufgefallen, obwohl da schon Bug Jäger und Cryptographie-Experten draufgeschaut haben, also sehr empfehlenswert.
Bei Firefox? Egal wie gut der Code rund um die PW Verschlüsselung ist, es hängt halt alles in diesem Moloch an Browserbetriebsystem drin, was kein einzelner Mensch mehr verstehen kann. Fühlt sich für mich nicht richtig an, da so viel Vertrauen dem Browser entgegenzubringen.
Ich speichere schon das ein oder andere PW im Browser, aber alles, wo Zahlungsinformationen hinterlegt sind oder irgendwas mit meinen Mail-Accounts zu tun hat, bleibt im Keepass. Rein praktisch ist das aber auch nicht so umständlich, weil man ja i.d.R. nach einmaligen einloggen durch einen Cookie angemeldet bleibt, wenn man die nicht regelmäßig löscht.
Danke für deine ausführliche Antwort. Dann werde ich mir die App KeepassDX als mögliche Alternative ansehen. Ich bin weit davon entfernt alle Passwörter im Firefox Browser abzuspeichern, aber ca. 20 Stück werden es wohl sein.
@Scytale @bluelupo Mit KeePass Browserplugin ist der PW Manager im Browser eigentlich obsolet. Sehe da keinen Vorteil, manche Passwörter doch dort zu speichern.
Nun ja, die Passwörter z.B. aufs Telefon zu kriegen ist ansonsten schon immer mit mindestens einem Kontextwechsel verbunden. Je nach Zahl der genutzten Dienste kommt da ganz schön was zusammen.
@tom @Aarkon Hmmm
www.passwordstore.org/
Damit habe ich meine Passwörter am Androiden, am Desktop auf mehreren Laptops…
Ich brauch bloß gnupg, ssh und git.
gnupg, ssh und git auf dem Telefon? Ich kann mir den Vorteil der Lösung vorstellen, aber ein bisschen viel Aufwand wäre mir das persönlich schon. Ganz abgesehen von Freunden und Verwandtschaft, denen man so ein Verfahren nicht mal in geologisch abgeschätzten Zeiträumen überhelfen könnte.
@Aarkon und meine Freundin und die Schwiegermama und meine Mutter (die Mütter sind deutlich über 70, meine Freundin so IT-Affin wie meine Hauskatze) nutzen es.
Denn wenn DU es ihnen einrichtest, müssen sie nur den Store manuell syncen. Und das ist ein Button zum Klicken.
@Aarkon Am Android benötigst du die Apps
- Password Store (f-droid.org/de/packages/dev.ms…)
- OpenKeyChain (f-droid.org/de/packages/org.su…)
Das frühstückt alles ab.
Wenn du synchronisation via git möchtest, dann brauchst du irgend einen Rechner, den du vom Android aus per ssh erreichen kanns. (Das kann dein Laptop im LAN/WLAN auch sein).
Für ein Remote-Repo in ssh - falls du wenig Erfahrung mit git hast - braucht man kein Gitlab oder sonstiges… ein reicht ein Verzeichnis im Filesystem, welches mit
git init --bareinitialisiert wurde.@jakob
OpenKeyChain wird leider nicht mehr aktiv weiterentwickelt, und eine Alternative hab ich noch nicht sehen können…
@Aarkon
@jakob
hier:
https://digitalcourage.social/@cryptgoat/106947481344554114
@stubenhocker @Aarkon wurde möglicherweise wegen dem eingestellt?
www.heylogin.com/de/app
heylogin ist ja der sponsor/betreiber von openkeychain…
@stubenhocker @Aarkon oh… das ist mir gar noch nicht aufgefallen…
das ist aber sehr schade!!
Mit Git kenne ich mich als Programmierer hinlänglich aus, daran scheitert es nicht. ;) Mir stellt sich eher die Frage, ob ich die Schlüssel für PGP auf meinem Telefon mit mir herumtragen wollen würde.
@Aarkon Openkeychain erlaubt auch die Nutzung von Hardware-Token wie Nitro- oder Yubikey…
(und irgendwann mal kriegen die von #Nitrokey es sicher auch hin, dass die versprochene gpg-Funktion des #Nitrokey3 auch implementiert wird… dann nutze ich es auch so)
@Aarkon Verstehe ich nicht ganz. Ich nutze plattformübergreifend KeePass. Was meinst du mit Kontextwechsel?
Na, Du musst erst mal aus dem Browser (sagen wir, Firefox für Android) raus, in Keepass rein, das enstperren, Passwort rauskopieren und zurück, dort ins richtige Feld einfügen. Oder Dein Browser weiß das Passwort halt einfach schon.
Ich sag nicht, dass das besser ist, aber bequemer ist es auf jeden Fall.
@Aarkon
Nicht ganz. Ich wechsel im Eingabefeld über die Benachrichtigungsleiste zur KeePass-Tastatur, gebe mein EntsperrPW ein, wähle den entsprechenden Kontoeintrag, und fülle ihn mit der KeePass-Tastatur in das Eingabefeld wo ich noch drin bin. Also nichts mit Rauskopieren in die Zwischenablage…
@tom
@Aarkon Nein. Ich greife aus dem Browser heraus direkt auf keepass zu. Kein copy&paste oder sonstwas. Sowohl auf dem Smartphone wie auch am Rechner.
@Aarkon Damit hast du dann im Normalzustand das Feld schon vorausgefüllt, oder bei mehreren Accounts für die Seite, hast du bequem ein DropDown im jeweiligen Feld. Die von dir beschriebene Bequemlichkeit gibt es vollständig auch mit Keepass.
Wie geht denn das auf Android? Oder iPhone (will Dir ja nichts unterstellen ;))
@Aarkon Sowohl auf Android wie auch auf IPhone mit der passenden Keepass App und in den Einstellungen des OS Keepass als Passworttool auswählen. Fertig.
Laut eigener Auskunft werden die Passwörter verschlüsselt abgelegt, sofern ein Hauptpasswort gesetzt wurde. Ob die Verschlüsselung von Mozilla besser ist als von KeepassDX weiß ich nicht.
https://support.mozilla.org/de/kb/wie-firefox-passworter-sicher-speichert
Sync ist bei mir nicht aktiv also habe ich auch kein Passwort gesetzt. Die Zugangsdaten (Passwörter) sind nur per Fingerabdruck zu sehen. Ich nutze nur den integrierten Passwortmanager in der FirefoxApp.