Passwort-Manager: Datenklau durch Browser-Erweiterungen möglich

Mornsgrans

Mornsgrans

Help-Desk
Teammitglied
Themenstarter
Registriert
20 Apr. 2007
Beiträge
77.739
Mal wieder den Bock zum Gärtner gemacht. Passwortmanager dienen dem Datenklau, so heise heute.
Folgende Passwortmanager wurden untersucht:
1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords als Browser-Erweiterung, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass und RoboForm.

www.heise.de

Passwort-Manager: Datenklau durch Browser-Erweiterungen

Ein IT-Forscher hat eine Lücke in Browser-Erweiterungen von Passwort-Managern entdeckt, die das Stehlen von Zugangsdaten erlaubt.
www.heise.de www.heise.de
 
Zuletzt bearbeitet:
Ich rate von allen nicht Quelloffenen Lösungen dieser Spezies ab. Es sind OpenSource Anwendungen etabliert und ich verstehe nicht wie dafür ein Abomodell hergenommen werden soll. Spendet den jeweiligen Entwicklern....
 
okay, mein Bitwarden im Firefox hat die Version 25.7.1, zuletzt heute am 22.08.25 aktualisiert.

@LZ_ nenne doch einfach mal Namen :)
 
Und bei dieser Gelegenheit: Bitte mal die paypal-Passwörter ändern und bei Bedarf die Zwei-Faktor-Authentifizierung (Code aufs Smartphone) einschalten, da im Darknet gerade Datenpakete herumgeistern, von denen keiner weiß, ob die echt sind.
 
Zuletzt bearbeitet:
KeePass und seine Derivate in lokaler Anwendung und wenn schon der " Cloudansatz " verfolgt werden muss eben selber gehostet.
Alleine die Vielfalt an Plugins spricht dafür!

Vernünftige Namen der kdbx vergeben halte ich auch für sinnvoll, ich persönlich habe die auch am Handy mit und die wird in der Regel abends abgeglichen.

Im kommerziellen Umfeld rate ich auch dringend ab die in den Browsern integrierte PW-Verwaltung zu nutzen!
 
selber hosten ist schon eine Hürde. Da muss man doch permanent einen Rechner laufen lassen, wenn ich das als Laie richtig sehe.

Selbst im kommerziellen Umfeld nutzen so gut wie alle die Verwaltung der Browser. Bei uns wird zwar Bitwarden seitens der IT gehostet, aber die allerwenigsten nutzen das. :rolleyes:
 
Volvo-Berti schrieb:
selber hosten ist schon eine Hürde. Da muss man doch permanent einen Rechner laufen lassen, wenn ich das als Laie richtig sehe.
Zum Vergrößern anklicken....
Mit Syncthing braucht es keinen Server. Auf jedem Gerät wird es installiert. Sobald mehrere Geräte sich sehen, erfolgt der Abgleich. Etwas schwierig wird es, wenn die Geräte sich nicht sehen und auf beiden Seiten geändert wird.

Ich habe das in Kombination mit KeepassXC/KeepassDX seit mehreren Jahren am Laufen. Funktioniert über Betriebssysteme hinweg (Linux, Windoof, Android) und auch über unterschiedliche Browser.
 
Privat brauche ich aber als Einzelnutzer keine Online .kdbx.....

Wer sich dem Risiko aussetzt das seine PW plötzlich nicht mehr funktionieren da ein kostenloser Dienst kompromittiert ( der im jeweiligen Browser ) wurde und obendrein auch nicht für kommerzielle Anwendung gedacht ist, der darf dann auch nicht weinen. Leider bedenken das ganz wenige Anwender / Verantwortliche. Ähnlich wie bei den Backupvermeidern....
 
Ich verwende KeepassXC und hab mein Passwortfile in meiner Drive von Mailbox org liegen. Damit hab ich überall zugriff und es is mir lieber als ein anderer extra Account ders halt in seiner Cloud liegen hat. Browser Plugin verwende ich aber keines weil ich den Vorteil nicht sehe. Am Rechner ist KeepassXC schnell gestartet und das Passwort rauskopiert. Aja am iPhone und iPad lese ich das File per KeePassium ein.
 
Volvo-Berti schrieb:
selber hosten ist schon eine Hürde. Da muss man doch permanent einen Rechner laufen lassen, wenn ich das als Laie richtig sehe.
Zum Vergrößern anklicken....
Oder sich einen Webspace o.ä. mieten. Das ist einfacher und günstiger. Trotzdem würde ich keinem Laien empfehlen, selbst zu hosten, wenn es um Produktivdaten geht. Das wäre hier der Fall. Aber für so eine Nextcloud-Instanz zum Synchronisieren der Passwortdatenbank reichen ja ein paar KB oder meinetwegen auch ein paar MB. Die gibt's vermutlich hinterhergeschmissen. Auf die schnelle habe ich direkt ein Angebot für 12€ im Jahr (also 1€ pro Monat) für 5GB gefunden und du musst dich um nichts mehr kümmern. Kannst sogar die Instanz auch noch nutzen, um ggf. mal Fotos o.ä. zu teilen.
Die Datenbank in der Nextcloud kann man dann direkt über die "URL öffnen"-Funktion in Keepass einbinden/öffnen. Egal ob auf dem PC oder dem Android-Smartphone. Kein Nextcloud-Client nötig - der wäre sogar kontraproduktiv beim Synchronisieren. Aber man sollte natürlich unbedingt nochmal Backups regelmäßig irgendwo hin legen, aber das kann (sollte?) man eh auch manuell machen.

Volvo-Berti schrieb:
Selbst im kommerziellen Umfeld nutzen so gut wie alle die Verwaltung der Browser. Bei uns wird zwar Bitwarden seitens der IT gehostet, aber die allerwenigsten nutzen das. :rolleyes:
Zum Vergrößern anklicken....
"so gut wie alle" ist vermutlich anekdotische Evidenz. In meiner anekdotischen Evidenz sieht es andersherum aus: Da wird quasi ausschließlich auf Passwortmanager gesetzt und fast ausschließlich auf KeePass oder Derivate. Aber das sagt natürlich nichts über die tatsächliche Verteilung in der Wirtschaft oder in der Verwaltung aus.
 
LZ_ schrieb:
Im kommerziellen Umfeld rate ich auch dringend ab die in den Browsern integrierte PW-Verwaltung zu nutzen
Zum Vergrößern anklicken....
Im kommerziellen / dienstlichen Umfeld ohnehin.

Der Chromium Browser kommuniziert mit dem Gnome Schlüsselbund und dem KDE Wallet. Werden die Tresore nicht freigegeben, kennt der Browser keine Kennwörter. Der Schlüsselbund unter Mac OS funktioniert genauso. Schade, dass Windows hier nichts bietet und auch, dass der Firefox keine Schnittstelle zu den Schlüsselbunden mitbringt.
 
Hat jemand einen gut funktionierenden Vorschlag zur lokalen Anwendung?Wichtig wäre mir das es in Linux und in Android funktioniert.Die Passwort Datenbank könnte ich Notfalls manuell aufs Handy übertragen sobald Passwörter hinzu kommen.Aktuell nutze ich Bitwarden und bin eigentlich zufrieden.Nur eben halt auch mit den browseraddons.
 
Zuletzt bearbeitet:
PocoF5 schrieb:
Hat jemand einen gut funktionierenden Vorschlag zur lokalen Anwendung?Wichtig wäre mir das es in Linux und in Android funktioniert.Die Passwort Datenbank könnte ich Notfalls manuell aufs Handy übertragen sobald Passwörter hinzu kommen.Aktuell nutze ich Bitwarden und bin eigentlich zufrieden.Nur eben halt auch mit den browseraddons.
Zum Vergrößern anklicken....
Hab meine Empfehlung schon im Thread geschrieben. Dadurch bin ich dazu gekommen: https://www.kuketz-blog.de/empfehlungsecke/#passwort-manager
 
oder Bitwarden.eu, die Server stehen dann in der EU, und anwendbar als App auf allen Geräten oder im Browser als Add-on.
 
Volvo-Berti schrieb:
oder Bitwarden.eu, die Server stehen dann in der EU, und anwendbar als App auf allen Geräten oder im Browser als Add-on.
Zum Vergrößern anklicken....
Wieso nicht einfach gleich die eigene Passwortdatenbank bei einer Cloud seiner Wahl ablegen und dann mit kompatiblen Programmen einlesen? Damit erspart man sich den zusätzlichen Account.
 
LZ_ schrieb:
es gibt kein EU-Derivat von Bitwarden...
für Dich ganz speziell einer meiner Lieblingslink zum Thema:

Wem dient dieser Server wirklich? - GNU-Projekt - Free Software Foundation

www.gnu.org www.gnu.org
Zum Vergrößern anklicken....
hm, man kann schon auswählen, wo gespeichert wird, wenn man einen neuen Account anlegt.. https://vault.bitwarden.eu/
Hubot schrieb:
Wieso nicht einfach gleich die eigene Passwortdatenbank bei einer Cloud seiner Wahl ablegen und dann mit kompatiblen Programmen einlesen? Damit erspart man sich den zusätzlichen Account.
Zum Vergrößern anklicken....
weil das komplizierter ist, denn zB auf dem iPhone läuft kein Office, wenn man da eine Datei anlegen würde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben