Ich habe auch lange Passwortmanager "verweigert". Hatte immer Angst vor einer Schwachstelle. Inzwischen glaube ich aber, dass der Vorteil eindeutig dem Nachteil einer möglichen Schwachstelle überwiegt. Vorher hab' ich halt doch viel zu häufig meine paar Standardpasswörter genutzt und mein Generierungsschema im Kopf für sicherere Passwörter war irgendwie doch zu unsicher, hab' es laufend durch bessere ersetzt was darin geendet ist, dass hier seit Ewigkeiten eine HDD rumliegt, für die ich das Passwort vergessen habe und ich würde eigentlich schon noch gerne gucken, ob noch irgendwas drauf ist, was ich nochmal brauchen könnte, weil das Backup davon leider nicht mehr existiert.
Aufgrund meiner Arbeit habe ich inzwischen auch immer mehr Passwörter "zugeteilt" bekommen und dann war es mir irgendwann zu viel.
Ich bin dann auch bei KeePass gelandet. OpenSource fand' ich gut, da ist zumindest ein Audit möglich. Einigermaßen Verbreitung und schon lange "am Markt" waren weitere Kriterien. Und ganz wichtig waren mir Möglichkeiten für Import, um z.B. gespeicherte Passwörter aus Chrome importieren zu können (hauptsächlich um eine Übersicht zu bekommen, wo man überall angemeldet ist - war doch ein kleiner Schock als ich gesehen habe, wie viele Einträge das waren), sowie für Export, um sich nicht für immer an ein Ecosystem zu binden, falls irgendwann z.B. die Entwicklung eingestellt wird. Und ja, da ist es wie gesagt Keepass geworden, mit ein paar nützlichen Plugins, sowie Keepass2Android auf dem Handy.
Und seitdem gehe ich gelegentlich durch, schnappe mir 3-5 Dienste, bringe die importierten Einträge auf einen neuen Stand und ändere die Passwörter auf einzigartige und möglichst sichere. Manchmal mache ich das jeden Tag, manchmal ein paar Wochen nicht. Zieht sich jetzt schon etwas hin, aber etwa 250 Einträge sind schon bearbeitet. Etwa 400 liegen noch im Chrome-Import-Ordner und warten auf Überarbeitung, aber Chrome hat auch sehr viele Einträge doppelt und dreifach abgespeichert gehabt, das heißt da bleiben am Ende vielleicht nochmal 150-300 Dienste übrig.
Ist also ganz schön Aufwand, aber es lohnt sich. Ich fühle mich persönlich seitdem sicherer, was Passwörter angeht. Denn meine Passwörter sind seitdem länger und sicherer, ich habe keine Passwörter mehr bei mehreren Diensten und wenn mal wieder so ein Datenleck irgendwo auftaucht, dann kann ich ziemlich beruhigt sein und ändere maximal ein Passwort.
Außerdem muss ich mir nur noch ein einziges Passwort merken, welches natürlich sehr lang und komplex ist, aber mit einem bekommt man das hin. Und notfalls kann man das auch noch irgendwo aufschreiben und wegschließen.
Papierlisten sind auch gut. Können auch sehr sicher sein, wenn man es richtig handhabt. Aber der Vorteil von so einem Passwortmanager ist, dass er auch weiterhin den Komfort bieten kann, wie es z.B. im Browser gespeicherte Passwörter bieten: das auf Wunsch automatische Ausfüllen auf Websites, in Apps, und sonstwo. Bei Papierlisten muss ich abtippen und spätestens bei >20 Zeichen inkl. Sonderzeichen macht das keinen Spaß mehr.
Genau! Man benutzt lieber Passwörter die man sich unter gar keinen Umständen merken kann!
Korrekt. Das ist in der Regel ein Merkmal für gute Passwörter - dass sie so lang und komplex sind, dass man sie sich selbst nicht merken kann, dann ist in der Regel die Entropie auch hoch genug, dass ein Computer/Hacker sie auch nicht knackt.*
Mein Standardschema meines Passwortmanagers spuckt z.B. sowas aus:
A\9Üx`q>g?MQ*4^C\/z7H!ü"`ßAVäwäKeP6J=?bx/|
*Natürlich gibt es auch Passwörter, die sicher sind und man sich trotzdem merken kann. Siehe z.B.
https://xkcd.com/936/