00:00:00: Heute in CT Aplink, Passwörter bequem sicher und souverän verwalten vielleicht sogar auf eurem eigenen Server.

00:00:10: Hallo!

00:00:11: Mein Name ist Kevan Tune-Kaboni und ich bin Redakteur bei der CT und begrüße euch zu einer neuen Folge von CT Aplerk.

00:00:18: Und heute geht es um was ganz sensibles unsere Passwürter.

00:00:22: Ihr kennt die Empfehlung ein Passwort pro Account nur nicht die Passworder Recycle nicht mehrfach verwendet.

00:00:28: Aber wie kann man das umsetzen, vor allem wenn sie auch sicher genug sein sollen?

00:00:32: Man braucht ein Passwortmanager.

00:00:34: Jetzt haben wir aber alle mehrere Geräte.

00:00:36: Wie kriege ich also die Passwörter von dem einen Passwort-Manager auf dem anderen?

00:00:41: Also zu den unterschiedlichen Geräten.

00:00:44: Da kommt eine Cloud Anbindung.

00:00:46: Das ist ganz bequem Und da geht das Problem dann schon wieder los.

00:00:50: Wir haben viele Anbieter Die in den USA sitzen zum Beispiel das populäre Bit worden Und US-Behörden können Zugriff auf unsere Daten verlangen.

00:01:01: Theoretisch, vielleicht auch praktisch und das wird noch ein bisschen krasser weil jetzt natürlich unter der unberechenbaren Tramp-Regierung ja man halt auch nicht weiß was da passiert.

00:01:11: also das sind genug gute Gründe für Alternativen und über die will ich heute sprechen.

00:01:17: mit meinen Kollegen aus der Zitierredaktion haben sich nämlich angeschaut.

00:01:22: im Studio begrüße ich Jan Schissler Und Niklas Stierking, hey schön dass ihr da seid.

00:01:27: Moin!

00:01:28: Ihr habt ja gemeinsam mit unserer Kollegin Katrin Stoll diesen Schwerpunkt gemacht wie man Passwörter außerhalb der US-Juristikation verwahren kann also sie zurück nach Hause im EU Heimatland holt.

00:01:42: und darüber will ich mit euch sprechen.

00:01:44: aber nicht nur darüber sondern wir wollen auch ein bisschen allgemeinen über Passwortmanager sprechen.

00:01:49: Tipps best practice ... vielleicht selber machen kann, wenn man Bock drauf hat auf einem eigenen Heimserver.

00:01:57: Also cool, dass ihr da seid!

00:02:00: Erste Frage... Ich habe es ein bisschen angedeutet aber was ist denn jetzt das Problem, einen US-Dienst zu verwenden um meine Passwörter zu singen können?

00:02:10: Wenn die doch sagen, sie machen das sicher und mit guter Koppe und so.

00:02:14: Na ja, man muss vielleicht dazu sagen, dass das Problem ja bis dato so ein bisschen theoretisch ist.

00:02:23: Ein Argument könnte sein, da ist doch egal wo die Daten liegen.

00:02:26: Und wo die Software herkommt wenn alles A-Open Source ist und B die Datenende zu Ende verschlüsselt sind.

00:02:32: Was eigentlich ein ganz schönes Beispiel ist dafür das es ja vor ein paar Wochen diese Untersuchung gab vom Ich glaube von der ETH Zürich war's... ...die sich drei Passwortmanager angeguckt haben LastPass und ich müsste jetzt passen... Dashlane und Bitwon und geguckt haben, und gesagt haben ja es gibt letztlich Lücken die inzwischen auch gefixt wurden größtenteils.

00:02:59: Aber es gibt Lücken über die man trotz Ende zu Ende Verschlüsselung wenn man der Betreiber ist und auf dem Server bereit ist Manipulation vorzunehmen was gar nicht heißen muss dass die öffentlichem Quellcode dokumentiert werden.

00:03:13: Es möglich ist dann trotzdem unter bestimmten Bedingungen Passwörter abzugreifen Wo halt viele gesagt haben so, naja das ist ja ein sehr skurriles Szenario.

00:03:22: Das setzt ja voraus dass der server gekapert ist und... ...genau dieser punkt könnte er eben der sein.

00:03:28: naja wir haben halt diese us-gesetze klautakt und so weiter fieser die halt es rein theoretisch behörden ermöglichen könnten cloud dienst leiste in welcher art auch immer zu einer Stillschweigenden Zusammenarbeit zu verpflichten mit den Behörden.

00:03:45: und das ist ein theoretisches Szenario.

00:03:49: Es könnte aber sein, dass ein theoretisch ein Passwort Server so manipuliert wird... ...dass man eben doch trotz Ende-zu-Ende-Verschlüsselung möglicherweise irgendwie an Daten ankommt.

00:03:59: Und das war einfach ja für den.

00:04:02: also ich habe die Passwort Manager getestet.

00:04:04: erstmal fünf Stück sind das nicht viele wäre unsere Artikel schon länger liest.

00:04:09: weiß hatte mal welche getestet in zwanzig, zwanzi und zwanzigeinzwanzig.

00:04:14: Das waren fünfzehn beziehungsweise fünfundzwanziger Stück.

00:04:19: Und das Spannende war jetzt zu sagen ... erstens wir hätten gerne ja sagen okay es soll von der Firma kommen die nach Möglichkeit nicht unter US Juristikion steht oder eben ein völlig freies Open Source Projekt ist wie zum Beispiel den ganzen Key Pass Geschichten.

00:04:39: Wenn man dazu noch die Bedingungen nimmt.

00:04:41: Wir hätten es gerne open source.

00:04:43: vollständig wird die luft ziemlich dünn.

00:04:46: das ist erstaunlich.

00:04:47: also europäische password manager gibt's einige nicht.

00:04:51: quäl offen du greifst

00:04:52: jetzt schon viel vor aber der ist auch alles wichtig und gute punkt.

00:04:57: Also kein geheimnis dass wir beide den Open Source Newsletter Spotlight machen und auch anderweitig.

00:05:01: vielleicht kannst du noch mal kurz sagen warum.

00:05:06: so wichtig ist.

00:05:06: Also weil manche von diesen beliebten Passwortmanagern sind ja nicht Open Source oder auch jetzt sowas wie, ich glaube das was Google bei Android und sowas eingebaut hat ja auch nicht.

00:05:16: Warum sollte man beim Passwort-Teilenschaften Open Source achten?

00:05:19: Ich würde sagen der Passwort Manager ist ein bisschen mit dass eine der wichtigsten oder sensibelsten Säulen der eigenen digitalen Infrastruktur.

00:05:29: und wenn halt da eben der Quellcode öffentlich einsehbar wenn das ein Open Source Passport Manager ist, dann gibt es halt eben die Möglichkeit oder gibt dritten die Möglichkeit sich den QR-Code anzusehen nach Sicherheitslücken zu suchen.

00:05:41: Also erst auditable sagt man auch.

00:05:44: da können prinzipiell mehr Augen drauf sein.

00:05:47: und ja deswegen werden diesen Projekten eigentlich in der Regel auch wird den Mehrvertrauen entgegen gebracht.

00:05:53: Und jetzt ganz allgemein vorwärts auf die Sachen, die ja nur getestet hast eingehen.

00:05:59: Was macht einen guten Passwortmanager aus?

00:06:01: Er sollte sicher sein.

00:06:02: Wir haben gesagt Open Source.

00:06:05: was macht ihn so sozusagen als User Experience von der Benutzung her aus?

00:06:10: Also soll er das Leben einfacher machen mit den unerträglichen Passwörtern?

00:06:15: Genau also... Ja es geht viel um Usability halt auch.

00:06:22: Beispielsweise dich auf einer Webseite einloggen willst und dann gibt es verschiedene Stufen, dass man zum Beispiel sagt... ...dass du in das Benutzernamenfeld reinklickst und ein kleines Pop-up kommt.

00:06:33: Und du gleich die Auswahlmöglichkeit für diese Kombination aus Benutzernamen oder E-Mail-Adressen Passwort bekommst.

00:06:40: Es gibt so bisschen erweiterte Funktionen, dass es gleich voll automatisch ausgefüllt wird wenn nur ein Account hinterlegt ist für diese Webseiten.

00:06:49: Noch eine weitere Stufe ist dann automatischer Login sogar.

00:06:53: Das ist sowas, wo ich mal eher von abraten würde und man nie hundertprozentig ausschließen kann.

00:06:57: wenn du doch mal auf einer irgendwie kaputten Webseite landest das dein Passwort im falschen Feld landet in einem Klartext irgendwo oder schon verschlüsselt aber letztlich bei einem Betreiber irgendwo landet will wir eigentlich nicht haben.

00:07:08: oder auch erweiterte Funktionen dass zum Beispiel dich auf einer bestimmten Web Seite das erste Mal einlogst Und der Passwortmanager, also geht es letztlich um eine Browser-Erweiterung.

00:07:20: Die erkennt das du dich eingeloggt hast auf einer Webseite... ...die Erweiterungen auch gleichzeitig sieht.

00:07:27: für diese Webseiten sind noch keine Zugangsdaten im PasswortManager hinterlegt und dann sowas sagt wie... Aha!

00:07:33: Das ist neu.

00:07:34: soll ich diese Zugangstaten gleich speichern für später?

00:07:36: So wie man es ja auch von diesen Password-Managern aus dem Browser kennt.

00:07:39: Genau die üblichen Firefox, Edge, Google und so haben das alle drin.

00:07:45: Und Niklas, gibt es irgendwas, was eine Komfortfunktion, die du noch persönlich cool findest?

00:07:49: Also

00:07:50: ich zum Beispiel bin ja auch großer Freund und Förderer der Passkeys als sicheres Authentifizierungsverfahren.

00:07:56: Das wär mir z.B.

00:07:57: auch bei einem Passwortmanager wichtig, dass er im Jahr ist, das er mit Passkeys umgehen kann.

00:08:02: Dass ich da sozusagen sicher unterwegs bin, mich sicher überall anmelden kann.

00:08:08: Also Passkeys nochmal für alle, die es nicht kennen... ...das ist ne passwortlose Zugang über.

00:08:14: Ja, Krypto-Geheimnisse die entweder auf so einem Hardware-Key, so ein USB was heißt nicht Ubiqui ist glaube ich das bekannteste gespeichert sind oder zum Beispiel jetzt in Google Handy iPhone oder Windows Hello kann es auch.

00:08:30: Aber... ...das geht auch die Passwortmanager können das?

00:08:35: Genau viele moderne PasswortManager können dass.

00:08:37: aber ja kommen wir vielleicht noch später drauf zu sprechen Nicht alle die wir uns angeguckt haben.

00:08:44: So Jan jetzt sagt doch mal welche Programme hast du getestet und warum diese.

00:08:49: Also nachdem aus sieben, nach den entsprechenden Kriterien.

00:08:53: also es gibt natürlich ein paar mehr noch.

00:08:55: was ich mir jetzt anguckt habe ist wenn man's natürlich irgendwie eingrenzen muss unter als Testplattform Windows und Android eine Kombination aus Keypass XC und KeyPass DX.

00:09:06: also letztlich gehts um Dabei ja um Apps aus dem KeePass Universum.

00:09:11: Es gibt noch das Ur-KeePass, was auch nach wie vor gepflegt wird.

00:09:14: Wo ich immer sagen würde es sieht so ein bisschen aus wie aus den letzten Jahrtausend.

00:09:19: Manchen würden's noch bevorzugen.

00:09:21: im Kee Pass XC ist schon eine Ecke moderner.

00:09:24: du hast zum Beispiel in KeePASS XC gleich die Fähigkeit mit im Programm drin mit Browser Erweiterungen zu kommunizieren.

00:09:31: Das ist etwas was du im Ur-keePass auch erst mal mit einer Erweitarung mit einem Plugin nachrüsten müsstest ... dazukommt.

00:09:39: Genau, dazu muss man sagen... Das sind jetzt, erklär ich vielleicht gleich die weiteren Kandidaten sind.

00:09:45: der Password Save ist ursprünglich ein von damals vor Ewigkeiten von Bruce Schneier.

00:09:51: knapp dreißig Jahre ist glaube ich die erste Version.

00:09:53: So eine Security-Urgestein?

00:09:54: So eine security

00:09:55: eigentlich glaube ich gilt sogar als der erste Passwort Manager der Welt oder einer der ersten Mal guckt wo der heute steht.

00:10:03: dann zwei Produkte die Open Source und sich ... auch selbst hosten lassen auf einem eigenen Server.

00:10:10: Das sind PassBolt und Psono... ...und dann noch ein, ja ich sag mal ein klassisches Cloud-Angebot von dem Dienstleister,... ...das ist ProtonPass von der Schweizer Proton AG.

00:10:22: Und das ist eben auch einer so ein bisschen klassischer in dem Sinne Ja die sind Open Source,... ...sind aber der einzige wo du letztlich nicht deine Daten in die eigenen vier Wände holen kannst!

00:10:35: ... sei es mit KeePass so, dass du lokale Datenbank-Dateien hast die du hin und her synchronisierst.

00:10:40: Oder das du auf dem Raspberry irgendwie ein Server laufen hast bietet Protonbeides nicht ist halt wirklich einen Cloud-Dienstleister.

00:10:46: So

00:10:47: ein bisschen hast du schon angeschnitten.

00:10:48: aber wie unterscheiden sich die fünf?

00:10:51: Also genau also was ist der ja... Was heißt was dir dabei aufgefallen als ihr dir angeschaut hast?

00:10:58: Genereller Unterschied ist das eben Passport und Psono diese wirklich eine Serverkomponente?

00:11:03: ... voraussetzen auch, also du musst eine Server-Komponente betreiben.

00:11:07: Du kannst es nicht als ein eigenständiger App auf dem Smartphone oder nur auf den PC benutzen und sagen mach einfach ne Datenbank wo mein Zeug lokal drin liegt.

00:11:15: dafür ist es nicht gedacht... Und das sind beides Produkte die eigentlich auch mit Firmenumgebungen im Hintergrund entwickelt wurden mit dem Konzept.

00:11:23: Dass man sagt ich möchte eine Benutzerverhaltung haben wo ich einzelne Benutzer bestimmten Gruppen hinzufügen kann, mit möglicherweise dann mit der Option Passwörter zu teilen untereinander.

00:11:35: So was und ... Keypass- und Password Save sind demgegenüber erst mal Einzelgeräteprogramme die ihre Daten in einer Datenbank Datei speichern einer Verschlüsselten, die du aber problemlos hin und her synchronisieren kannst.

00:11:53: das ist im Grunde so ein bisschen Geschmackssache.

00:11:55: Nimmst du dafür, du kannst auch Google Drive oder OneDrive dafür nehmen?

00:11:59: Sag mal ja bist du letztlich wieder auf einem typischen Cloud-Tagunternehmen was du nutzt.

00:12:06: Ist halt AES oder anderweitig verschlüsselt kann im Grund nicht viel passieren.

00:12:10: mein Favorit ist immer sowas wie Sync Thing zu benutzen.

00:12:13: das ist so eine Art ... Piatopia System, was du dir selber hinkonfigurieren kannst.

00:12:18: Das ist sehr praktisch.

00:12:19: oder auch unser Dauerrenner NexCloud.

00:12:21: Auch da kannst du im Prinzip deine verschlüsselte Datenbank-Datei reinschmeißen und hast die dann halt über verschiedene Geräte synchronisiert?

00:12:27: Genau besonders wenn man die Nexcloud selber hostet, dann ist er wieder auch wieder in einer SYNC-Sync-Hastkarte angeschnitten.

00:12:33: das ist ja... Können wir jetzt im lokalen WLAN, dann verschiedene Geräte.

00:12:38: mein Handy kann mit dem Laptop und den Bestop-Rechner sinken.

00:12:42: Oder halt auch über die halbe Welt wenn du die App so einstellst dass sie auch über Mobilfunk oder andere WLANs.

00:12:48: Syncthing betreibt ja einen ... ... Netz von Discovery Servern und Relay Servern auch also wenn beide Geräten hinter einer Firewall sind.

00:12:57: Sprich ich zum Beispiel hier im Verlag bin... Und mit meinem Server zu Hause der auch hinter einer firewall ist sprechen will ... werden die Daten quasi über den Relay Server weitergereicht.

00:13:09: Ja, gut jetzt wird es jetzt ein bisschen zu weit gehen.

00:13:11: Jetzt nochmal zu darüber reden... Du hast ja auch... Ich weiß nicht ob du aber wir haben ja Artikel sozusagen... Die können wir auch noch mal verlinken.

00:13:18: zur Syncing wie man das einrichten kann.

00:13:21: War ja auch glaube ich in eurem Artikel verlinkt.

00:13:28: Also jetzt ist natürlich die erste Frage auch wenn ich so viele Geheimnisse da drin habe.

00:13:33: Wie schützt denn die Passwort-Manager diese hunderten von Passwarte, die ich da idealerweise darin habe?

00:13:43: Im Prinzip durch eine ganz klassische lokale Verschlüsselung.

00:13:46: Es wandert nichts in irgendeine Cloud.

00:13:48: Welches ist der Standardalgorithmus den Keypass?

00:13:51: Sind hier auf dem AES-Mitglied z.B.

00:13:53: das gerade nicht ganz sicher.

00:13:54: Das variiert so ein bisschen... ... muss ich grad passen, welcher

00:14:00: App... Geht ja ganz schön.

00:14:01: Aber das Grundsatzprinzip?

00:14:02: Genau!

00:14:03: Also es ist letztlich eine verschlüsselte, also ganz entfernt vielleicht vergleichbar mit einem verschlüsselten Container, wen du auch ihn mit VeraCrypt erstellen könntest oder letztlich auch mit dem SIP-Programm wo du halt mit einer AES Verschlüsselung die Dateien bevor sie in die Datei in das Archiv reingeschrieben werden, verschlüsselt werden und du entsprechend auch zum entsperren, zum lesen dieser Datei dann Mindestens beispielsweise das Master Passwort brauchst also den, ... quasi den Hauptschlüssel mit dem du ein Interesse aufmachst und je nach Produkt kannst du weitere.

00:14:37: Ja ich sage mal grob Authentifizierungsmethoden stimmt nicht ganz.

00:14:43: Also... Beispielsweise die Cloud gestützten oder Server... ...gestützt, kannst du zusätzlich mit einem totp zweiten Faktor absichern.

00:14:53: Mit so einem One-Time Password aus einem Authenticator App sind das eigentlich einfach.

00:15:01: alle unterstützen auch die fünf getesteten Verwendung von Ubiqui und Co.

00:15:08: Da muss man immer so sehen.

00:15:11: also man nennt es dann immer zwei FA Zwei Faktore.

00:15:14: Identifizierung Stimmt zum Beispiel bei KeePass ja technisch nicht ganz, weil es keine Authentifizierung im Sinne einer Anmeldung an einem Server ist.

00:15:24: Sondern es wird eine zweite Verschlüsselungskomponente zusätzlich zu deinem Masterpasswort hinzugenommen um die Entropie zu verbessern.

00:15:34: letztlich also kann bei KEE Pass was ganz witzig ist als ich sage mal Variante ... sozusagen als Hardware-Schlüssel für Arme.

00:15:43: Kannst du sagen, du nimmst den ganzen Sting noch mal ein USB-Stick... und packst da eine Schlüsseldatei drauf,... die kann man in KeePass XC erstellen.

00:15:51: Man kann aber auch einfach sagen ich nehme irgendeinen X beliebige Datei her.

00:15:54: Ein Foto das sich mit dem Smartphone gemacht habe.

00:15:58: Wichtig ist die umbenennen in irgendwas was das Betriebssystem nicht durch Automatiken vielleicht mal versucht zu optimieren weil wenn einen Bit an deiner Schlüsseldatei manipuliert wird, kommst du nicht mehr in deine Passwortartenbank rein!

00:16:09: ... und das als zweiten ... ... Verschlüsselungsfaktor mit hinzunehmen.

00:16:14: Okay, aber genau jetzt wenn ich auf dem Handy... ... jedes Mal mein super sicheres Masterpasswort eingebe dann nervig?

00:16:23: Ne.

00:16:24: Genau du hast für mich eine welche ... ... also kann ich irgendwie Fingerabdruck benutzen?

00:16:28: Ja.

00:16:29: Also du kannst bei den fünf Anbietern mit allen Apps ... ... Android-Apps in Fingerabdrücke benutzen.

00:16:37: unter Windows ist es so ein bschen schwieriger.

00:16:41: da unterstützt es auch mit den browser addons.

00:16:44: unterstützt ist unterstützt im test nur die kipas x das kipass xc vernünftig.

00:16:52: Bei den restlichen variiert er so ein bisschen.

00:16:54: also bei.

00:16:56: Passport und psono die ja auch diese server zum selber hostenvarianten sind, kannst du oder kannst du?

00:17:07: bislang keine Authentifizierung per Windows Hello, beispielsweise.

00:17:11: Also keine Entsperren, nennen wir es mal lieber einrichten.

00:17:16: Sono ist da noch ein bisschen komfortabler weil du zumindest sagen kannst lock mich also authentifiziere ich identifizier mich im Browser Addon in der Erweiterung und dann kann ich einen Häkchen setzen.

00:17:29: das ist ein vertrauenswürdiges Gerät.

00:17:30: lass mich einfach dauerhaft eingelockt vielleicht jetzt nicht so ganz der Weisheit.

00:17:35: letzter Schluss verglichen mit, ich sag mal, mit anderen Passwort-Managern die nach einer Minute oder zwei Minuten von selbst widersperren und dann Fingerabdruck verlangen.

00:17:44: Aber es ist ein bisschen besser.

00:17:45: zum Beispiel Passball fand ich halt eigentlich super stressig weil in jeder neuen Browser Sitzung will das Ding neu entsperrt werden mit deiner möglichst komplexem Masterpassphrase... ...und im Zweifel auch noch mit einem zweiten Faktor!

00:17:56: Und das ist halt.

00:17:58: also ja das ist sicher Aber komfortabel ist halt schon anders.

00:18:03: Und der Password Save, dieser ganz alte Password Manager Standalone App hat da keine Option dafür für irgendeine Biometrie.

00:18:15: bei Protonpass ist es so bisschen.

00:18:18: A ist die Frage bezahlst du dafür?

00:18:20: Weil du kannst dieses Plus-Angebot abonnieren dann hast du ein bisschen mehr Funktionen, hast eine Windows App die biometrisch entsperrt.

00:18:30: Biometrisch entsperren im Browser haben sie seit Monaten angekündigt offen gestanden.

00:18:34: Ich konnt's noch nicht sehen, also es scheint noch nicht ausgerollt zu sein... Du kannst das Airdorn aber zumindest mit einer sechsstelligen Pin entsperrenden und dass ist ja nah dran am Komfort am Fingerabdrucksensor.

00:18:48: Jetzt hast du schon das nächste Stichwort genannt nämlich Kosten.

00:18:52: Viele denken immer Open Source Das muss ja kostenlos sein Aber muss es ja nicht Und vielleicht investiert man ja auch paar euros in die eigene Sicherheit.

00:19:00: Das sind denn da die Preismodelle?

00:19:02: Also KeePass ist kostenlos, das ist eine Community.

00:19:07: Genau!

00:19:08: Kee Pass ist kostenlose.

00:19:12: der Passwort-Safe ist eigentlich nicht richtig.

00:19:15: also er hat das angefangen ein paar Jahre gemacht, inzwischen wird es von wem weiterentwickelt aber ist so bisschen damit verbunden und dass da gilt es gleich ist komplett kostenlos.

00:19:24: am bei den Self-hosting Geschichten, Psono und Passbolt.

00:19:31: Kommt es so ein bisschen drauf an welchen Funktionsumfang du haben willst?

00:19:35: Du kannst beide Varianten gratis selber hosten... Wenn du sie selber hostend willst und einen erweiterten Business Umfang haben willst zum Beispiel Single Sign On Funktion mit Microsoft Azure bestimmte Geschichten musst du dann trotzdem die Enterprise Variante buchen Und da muss man auch sagen das nicht Bis aufs letzte wird alles quäl offen ist.

00:19:58: Also so ein bisschen werden es gerade um diese ... Single Sign Non-Autentifizierung mit Google oder Microsoft.

00:20:04: solche Geschichten sind dann teilweise eben doch nicht Open Source, kommt einzelne Komponenten drin und genau das variiert.

00:20:13: das wird aber auch da.

00:20:15: an den Preisen sieht man schnell dass für zum Beispiel ich sage noch mal ein bisschen anders.

00:20:20: Sono kannst du auch als Einzelperson gratis nutzen wenn du's nicht selber hosten willst.

00:20:26: Also die haben so einen auch in ihrer Inapsono Cloud quasi.

00:20:28: es gibt.

00:20:29: So ein Basis Tarif.

00:20:30: das ist dann eben diese Community Edition, die du auch gratis selber hosten könntest.

00:20:35: kannst du auch so gratis mit

00:20:36: wie viel Account?

00:20:38: oder

00:20:38: ich weiß gar nicht so wie ich es verstanden.

00:20:40: ich müsste noch mal tatsächlich nachgucken ist es für Einzelbenutzer

00:20:43: okay?

00:20:46: Ich meine, wenn du es aber für Business buchst kriegst.

00:20:49: Du ist auch dauerhaft gratis für bis zu zehn Personen und darüber musst du's halt licenzieren.

00:20:55: dann so ich gerade nicht wundervorfest legen.

00:20:58: bei Passport ist es so Wenn du Passport dauerhaft gratis nutzen willst musst du selber husten.

00:21:03: Da gibt es quasi gar kein Cloud Angebot.

00:21:05: Und du kannst du hast auch keinen als Einzelperson bezahlbares Cloud angeboten weil die sagen generell mindestens zehn muss mindestens Zehn Benutzer buchen ... und landest dann auch mal direkt bei, wenn du zehn Benutzer buchen würdest.

00:21:17: Fünfzig Euro irgendwas in dem Dreh monatlich...

00:21:20: Und wie ist das jetzt bei Proton?

00:21:21: Hast du gesagt, dass es auch kostenpflichtig

00:21:23: ist?

00:21:23: Genau!

00:21:24: Du hast halt einige Funktionen, Komfortfunktion vor allem nicht drin, wenn man's gratis benutzt.

00:21:29: Du kannst es aber immerhin gratis dauerhaft benutzen, wer du willst.

00:21:35: Ja, und bei Protonen ... ist natürlich immer so.

00:21:38: die Frage nutze ich eigentlich noch mehr von Proton, ne?

00:21:41: Habe ich zum Beispiel einen Proton-Mail-Account oder... ...die haben ja auch ein Cloud-Speicher.

00:21:47: VPN solche diese ganzen Geschichten wofür Proton ja eigentlich... Ich sag mal bekannter ist als für den Passwortmanager jetzt und nur das Proton passen.

00:21:56: monatlich sind drei Euro.

00:21:58: Und ich glaube was wahrscheinlich viele machen ist dieses Proton Unlimited.

00:22:02: Das kostet dann wenn du ein Jahr buchst kostest zehn Euro pro Monat Und da hast du ja gleich ein halbes Terabyte Cloud-Speicher mit drin, du hast VPN mit drinnen.

00:22:11: Ich meine nur, es ist eine Proton-Mail Adresse mit drin und also das ist quasi so ein Komplettpaket gleich... ...und das ist dann vielleicht auch ganz interessant?

00:22:18: Ja!

00:22:19: So Niklas, bevor du jetzt dich fragst warum du hier sitzt und dich zum Wort glaubst.

00:22:25: Genau, eigenen Server.

00:22:29: Jan hat das ja schon angeschnitten.

00:22:31: Es gab ja zwei Anbieter mit einem eigenen Server, die jetzt wirklich einen ... eigenem Passwort Manager Server anbieten.

00:22:39: Was ist jetzt da der Unterschied, vielleicht erst mal allgemein zu... Ich sinke jetzt die Datei mit irgendwelchen anderen, wie bei der Next Cloud oder wo?

00:22:49: Ja diese Lösungen also diese verschlüsselte Datenbank-Datei über SingSync oder Next Cloud das ist ja nochmal so ein bisschen mehr Marke Eigenbau sag ich jetzt mal.

00:22:59: Also dann muss man halt ein bisschen fummeln.

00:23:02: wenn ich jetzt aber so ein bischen Linux und Docker Grundwissen habe, so ein bisschen mich mit Self-hosting beschäftigt habe.

00:23:09: Empfehlung dazu wir haben mal von der Weile einen Self Hosting Companion geschrieben.

00:23:13: das empfehle ich da auf jeden Fall erstmal als Einstieg und ich dann erst einmal diese Server Komponente eben laufen habe auf meiner eigenen Hardware zu Hause im Heimnetz oder auch auf dem angemieteten Server im Netz ist natürlich auch möglich.

00:23:26: Dann unterscheidet sich das erstmal in der Benutzung nicht mehr großartig.

00:23:29: zu dem Cloud Angebot Also wenn ich mich da in die Web-Oberfläche einlogge, dann habe ich da erstmal die gleichen Komfortfunktionen wie jetzt auch eben... ...wenn ich da jetzt die kleinste Hosted Variante buche bei Passball zum Beispiel.

00:23:42: Du hast ja schon mal einen Artikel zu Worldwide geschrieben, ne?

00:23:45: Das ist ja quasi der... ... Open Source Variante von Bitwarden, sag ich jetzt mal.

00:23:51: Ja,

00:23:52: Bitwardenselber ist auch Open Source, das ist nochmal also... Die freie... Wie muss man es formulieren?

00:23:57: Es ist eine freie Implementierung des Bitwarder API.

00:24:02: Genau!

00:24:03: Jetzt hast du aber dir Passbolt angeschaut was Jan ja sozusagen jetzt klein getestet hat, da hast du jetzt mal das Self-hosting getestete.

00:24:10: Warum Passbolt?

00:24:13: Passbolt Ja, also zum einen weil das erstmal sehr gut dokumentiert ist wie man das überhaupt selber aufsetzt.

00:24:23: Und da eben die üblichen Komponenten sozusagen zum Tragen kommen.

00:24:30: zum Beispiel relativ easy als Docker Container installieren, der halt vor den Passport Entwicklern bereitgestellt wird.

00:24:37: Ich kann da so ein Reverse Proxy wie Traffic vorspannen, der sich dann um TLS Zertifikate kümmert automatisch und die verlängert.

00:24:45: das ist alles so ein bisschen Business as usual.

00:24:47: also als Self-Hoster habe ich es da relativ einfach an diesen Passport Server heranzukommen.

00:24:53: Und die Einrichtung hat gut geklappt.

00:24:55: oder was ist so deine?

00:24:56: Ja das war jetzt... kein großes Hexenwerk.

00:25:00: Wie gesagt, wenn man ein bisschen Linux und Docker Vorwisten mitbringt dann ist es, würde ich sagen an dem Nachmittag ist das eigentlich erledigt.

00:25:11: Und wie würdest du den Vergleich jetzt ziehen?

00:25:15: zu World One?

00:25:18: Also ein großer Unterschied.

00:25:24: Passball, Viang ja gerade schon meinte sich so ein bisschen mehr an Teams

00:25:28: richtet.

00:25:29: Das sieht man halt eben im Funktionsumfang.

00:25:31: also das ist da sehr drauf ausgelegt dass auf Benutzerverwaltung Gruppenrichtlinien passweit erteilen und so wollt worden würde ich fast eher.

00:25:41: wenn ich es jetzt wirklich nur alleine benutzen will würde ich das eigentlich eher empfehlen, wenn man jetzt eben nicht darauf bedacht ist dieses okay.

00:25:50: ich möchte jetzt einen Passport Manager selber hosten der von einer Firma entwickelt ist die eben sitzt in der EU hat.

00:25:56: bei Passport wäre das jetzt Luxemburg.

00:25:59: Und was bei Walt Warden noch dazukommt... Ich habe zwar da eine freie Implementierung des Bitwardens Servers aber ich brauche immer noch die offiziellen Bitwarden Apps ne?

00:26:08: Das wäre da sozusagen ein bisschen der Haken ... die dann eben immer noch vor den BID-Worden, Entwicklern signiert sind.

00:26:15: Die eben sitzt in USA haben.

00:26:17: also wenn man das mal wirklich so komplett durchdenkt... ...dann komme ich da sozusagen an dem Punkt nicht weiter.

00:26:23: Ihr

00:26:23: habt ja gesagt ne?

00:26:24: So ein bisschen.

00:26:25: die Luft ist ein bisschen dünn geworden und man sagt nur Open Source und nur aus der EU.

00:26:30: Das war jetzt glaube ich auch so ein bisschen so einen... Ich würde es jetzt mal bezeichnen als Experiment.

00:26:34: okay wir gehen mal mit dieser Prämisse an.

00:26:36: Wenn wir jetzt wirklich hier nur EU Sachen verwenden Wie, also wie schätzt ihr das ein?

00:26:47: Also ich sag mal es soll ja nicht zwingen muss nicht zwinkt der Eindruck entstehen.

00:26:53: Ja wir haben jetzt Passport zum Beispiel zum Self-Housting vorgestellt und um Himmels bilden lasst das mit Bit worden oder Volt worden sein.

00:27:00: Man kann es nach wie vor machen wenn ich sage sorry ich sehe das Szenario nicht so.

00:27:05: Nur mein Eindruck ist tatsächlich über die Jahre gewesen, dass Bitwarden eigentlich immer das ist was immer vorgeschlagen wird.

00:27:11: Das selbe Hausding irgendwie wenn es um Passwortmanager geht und deshalb das Wort Experiment.

00:27:16: Es ist nicht ganz falsch.

00:27:17: also die Idee ist schon zu gucken zu sagen ne wir verzichten mal ganz gezielt darauf und sagen... Gut nur kann man sagen Bruce Schneier ist auch amerikaner war's auch schon als er denn entwickelt hat.

00:27:28: naja okay Aber es ist ein letztlichen Quelloffenes und ein Community-Projekt irgendwie.

00:27:33: Es steht keine Firma dahinter, so ne?

00:27:34: Und das war da so bisschen der Punkt.

00:27:38: Ja einfach mal zu gucken wie weit komme ich damit?

00:27:40: Also das heißt ja nicht dass die zum Beispiel die europäischen anderen Passwortmanager, die nicht quelloffen sind jetzt schlechte Produkte wären.

00:27:51: Die gibt's nach wie vor kann man sich auch angucken.

00:27:55: Ja, aber einfach mal zu schauen wie weit kommen wir denn?

00:27:57: Wenn wir wirklich jetzt mal strenge Kriterien anlegen.

00:28:01: Was wäre so ein idealer Passwort Manager für uns jetzt in diesem Moment?

00:28:06: und einfach mal gucken was gibt es überhaupt?

00:28:09: Also ich würde schon sagen also für mich persönlich würde ich bei einem Passwort Messenger auf jeden Fall dieses Kriterium Ansetzen muss Open Source sein.

00:28:20: Ich finde ja auch bei... Als Beispiel wenn wir jetzt über Messenger reden und sagen okay WhatsApp, wir gehen davon aus das ist sicher weil es benutzt eine Ende-zu-Ende Verschlüsselung aber ... hundert Pro, wissen wir es halt nicht.

00:28:32: Metadaten und

00:28:33: Co.,

00:28:34: ne?

00:28:34: Also das Problem mache ich nicht mal auf!

00:28:36: Das ist ja bekannter.

00:28:39: Also zu sagen okay wenn es um Verschlüsselung geht... ...ist schon eine Open Source Implementierung wichtig.

00:28:46: Und dann sage ich aber wieder weil ich mache viel zum Thema Digitales Momentät und da ist ja auch diese Diskussion was ist darunter gemeint?

00:28:55: Und es gibt ja auch so ein bisschen bei European Trend, also hier Europa zuerst oder europäisch kaufen.

00:29:03: Und frag mich dann halt okay wenn's halt Open Source ist reicht mir das nicht aus.

00:29:08: Ist es da nicht egal dass jetzt irgendwie aus den USA kommt?

00:29:13: Ich mache meinen Extrem aus China!

00:29:15: Ja

00:29:16: es bleibt.

00:29:18: wahrscheinlich muss man sagen, dass es einfach stückweit immer eine Glaubensfrage ist und es ist ja genauso wie... Ja was ist denn jetzt in punkt zur Souveränität eigentlich schlauer, wenn ich zum Beispiel ein europäisches Produkt benutze und vielleicht auch Miete da in Abo-Zahle.

00:29:34: Oder wenn ich mir meine Kipas XC Datenbank selber an die eigenen vier Wände hole?

00:29:39: Ist auch die Frage was das mein Ansatz von Souveranität eigentlich ist?

00:29:42: es wirklich ich will die Daten auf meinen eigenen Geräten und nirgendwo anders haben oder ist es Ich möchte europäische Produkte fördern beispielsweise?

00:29:53: Also ich würde halt sagen, dass für mich sozusagen wenn es halt Open Source ist.

00:29:59: Dann ist mir ein bisschen Schnuppe woher das kommt?

00:30:02: Wobei man natürlich sagen muss, dass... Das für sozusagen so eine Nachhaltigkeit oder auch eine Unabhängigkeit natürlich schon auch wichtig ist, dass sozusagen so ein Projekt quasi nicht nur an dem Tropf von einem Finanzier hängt.

00:30:14: So dann hilft's mir auch nicht, dass es open source ist, wenn dann es vielleicht von einem Tag auf einen anderen plötzlich nicht weitergeht oder sowas.

00:30:22: Und andererseits quasi durch so was wie, ich kann es kaum aussprechen, reproducible builds.

00:30:29: Also deterministische Kompellierung kann man ja das, was du am Anfang erwähnt hast.

00:30:34: Es könnte eine Hintertür in den Open Source Projekt eingebaut werden, da kann man dadurch sozusagen diese Dateien entweder selber kompelliert oder anbieter... Nimmt die die sachen selber kompellieren wie zum beispiel die luxe diskussion oder flat hab.

00:30:50: Oder, ähm eftroid die dann Sachen ja ne oder das halt dadurch dass er wirklich sichergestellt ist Die binärdatei die mir jetzt was als ich bitt worden anbietet die ganze mit worten klein sind ja auf dem source Dass ich da wirklich sicher sein kann.

00:31:03: es ist auch nicht das was Der code der auf github ist und nicht irgendwas noch da reingeschmugelt.

00:31:09: aber ja am ende bleibt eine vertrauensache ... und halt auch eine Frage von, wie viele Ressourcen stecke ich in die Überprüfung... ...und den Pfleger.

00:31:17: Okay, kommen wir vom Metathema nochmal zurück in die Praxis.

00:31:21: Habt ihr irgendwie Tipps?

00:31:22: Was sollte man vielleicht beim Umstieg machen?

00:31:25: Ich würde jetzt zum Beispiel von LastPass jetzt umsteigen auf Keypass oder von...

00:31:34: Also gerade für diese LastPass zu Keypass.

00:31:37: das ist ein Artikel, den wir auch in die Schornrutzern packen können.

00:31:42: Den hatte ich vor, den hatte ich mal geschrieben es fünf Jahre her glaube ich als ist so diese Sicherheitsprobleme immer wieder.

00:31:48: Gab's ja bei LastPass das sie irgendwie keine Password hat.

00:31:51: Dann kommen sie ein bisschen Metadaten und dann haben sich eine Preiserhöhung gemacht und dann ...

00:31:57: Aber was kann man jetzt konkret

00:31:58: machen?

00:31:59: Erstmal für die, diese Migration an sich von A nach B können eigentlich alle Passwortmanager egal welche eine Text Datei, eine CSV-Datei Im Klartext ist es dann im Regelfall exportieren, wo deine ganzen Log in Daten drinstehen.

00:32:17: Und die kannst du in... Also eine CSV-Datei kannst du eigentlich in allen Passwortmanagern gängigen importieren und hast dann einfach deine Datenbank drin.

00:32:26: Ich muss passen wie es gerade mit Passkeys aussieht?

00:32:30: Kannst Du

00:32:31: die...?

00:32:32: Bei KeyPass XT kann man die exportieren.

00:32:34: Ja geht bei KeyPassXT kann das ne?

00:32:37: Die Frage ist, kannst du's zum Beispiel Proton dann importieren, das ist tatsächlich eine gute Frage.

00:32:42: Gehen wir nach?

00:32:47: Genau und was ich empfehlen würde grad wenn man sich mit zum Beispiel mit KeePass XC und DX auf dem Handy und ... Wenn ein iPhone hast wirst du wahrscheinlich Kee Passium oder Strongbox nutzen.

00:33:00: das sind eben... Auf Keepass basierende iOS Alternativen dafür Und auch die Browser Erweiterung auf dem Desktop.

00:33:10: Wenn ihr das macht nehmt euch ein bisschen Zeit und guckt euch alle Optionen, die dieses Ding hat mal von Kopf bis Fuß an.

00:33:16: Ja es klingt nervig und ehrlich Es ist ein bisschen nervig Aber es lohnt sich weil zum Beispiel die browser erweitern Dann erst kommt vor Funktionen irgendwo drin verstellt.

00:33:28: du musst zum Beispiel von Hand aktivieren, dass das Ding auch pass dies können soll.

00:33:31: Du muss von hand in vielen fällen aktivieren Das überhaupt biometrie windows hello benutzt werden darf zum entsperren.

00:33:38: das sind halt so Sachen wo ich denke kommen... ...das haben Sachen so dinger wie proton pass oder sowas alles per default aktiviert.

00:33:45: und Ich verstehe den ansatz ist erstmal alles per Default abgeschaltet zu haben Und es den user selbst entscheiden zu lassen.

00:33:53: ... komfortabler Einrichtung geht anders.

00:33:56: Aber wenn man es dann einmal gemacht hat und weiß, dass es diese Optionen gibt... ... ist man schon ein ganz Stück weiter?

00:34:01: Also im Alltag ist ja KeePass XC-DX... ... schon relativ komfortabel nur genau der Anfang.

00:34:10: Weil es eben auch dieses Autosafe sagt du hast dich gerade einen neuen Log in benutzen... ... dann kenne ich noch nicht solch den Speichern!

00:34:16: KeePass XC macht das, obwohl es halt so ein reines Community-Open Source Projekt ist finde ich super.

00:34:21: Ich würde

00:34:22: nur ergänzen diese CSV Datei auf jeden Fall zu löschen nachdem man wieder irgendwo anders reingefüttert hat weil wenn er am Liege mobst wird dann sieht's schlecht aus.

00:34:28: dass ist eine Art Generalschlüssel für all deine Accounts.

00:34:31: und am besten auch.

00:34:32: also auch mal der allgemeine Tipp Datenträgerverschlüsselung Das können ja alle Betriebssysteme.

00:34:39: Also

00:34:41: ein Tipp wäre zum Beispiel für dieses CSV-Datei Wenn wir uns ein bisschen genauer nehmen möchte Sie über die Downloadfunktion des Browsers, wenn diese Datei dann runterkommt.

00:34:51: Zum Beispiel direkt auf ein USB-Stick zu speichern den man vorher mit einer Verschlüsselung VeraCrypt oder BitLocker versehen hat und danach nachdem die ganze Prozedur abgeschlossen ist diesen Schlüsse überzuformatieren weil dann ist die Verschlüßelungen kaputt gemacht und dann ist einfach nix mehr auslesbar.

00:35:11: Ich könnte aber auch einfach in VeraCrypton aufm... ... Rechner ist denn und den dann löschen?

00:35:15: Ja, genau.

00:35:16: Das

00:35:16: geht genauso.

00:35:18: Okay gut gibt es denn noch?

00:35:22: habt ihr jetzt noch zum Schluss irgendwas so ein Tipp oder irgendein A-H-Ding zum Thema Passwort?

00:35:27: wenn ich schon mal gesagt habe das habt ihr mitgenommen aus... ...oder gibt's irgendwas wo man sich so eine tustelle Sache wo man in den Fuß schießen kann?

00:35:36: und deswegen

00:35:37: also was ich witzig fand ist dass diese beiden Self Hostbaren mit Server self hostbaren Optionen für mein Gefühl ... im Umgang, in der Usability... ... nicht so weit sind wie zum einen Protonpass.

00:35:53: Und zum anderen auch die ganze KeePass XC und DX ist KeePASS Universum.

00:36:01: Hat mich ein bisschen gewundert offen gestanden weil bei... ...Business-Produkten hätte ich einen biometrischen Login auch auf Desktops irgendwie als gegeben vorausgesetzt aber es... Ist tatsächlich teilweise nicht der Fall.

00:36:14: Ich erinnere mich auch noch an so ein Stolperstein oder eine Sache, die dich irritiert hatte bei Passballed, dass man zum Beispiel den Nutzer von allen Geräten abmelden kann.

00:36:25: Das hat damit zu tun das tatsächlich Passballd benutzt ein bisschen anderes Kryptografieverfahren als jetzt sowas wie Bitboarden, die halt symmetrische Kryptographie benutzen also... Da entschlüssel ich halt meinen Passwort-Resort mit dem Masterpasswort.

00:36:38: Bei Passport ist es tatsächlich eine isometrische Kryptografie, also Public Key Verfahren was da hinter den Kulissen am Werk ist und deswegen geht das eben gar nicht so einfach.

00:36:46: Also wie bei PGB quasi?

00:36:48: Genau!

00:36:48: Das

00:36:48: ist auch recht korrekt.

00:36:49: Es steht also

00:36:49: das OpenPGP hinter.

00:36:50: Wenn du jetzt... Du kannst dich nicht einfach auf einem neuen Gerät einloggen ne?

00:36:54: Du musst letztlich wenn du von, ich sag mal neues Browser add on irgendwo irgendwie, ich sage mal aktivieren willst musst du halt, ja brauchst du natürlich den Servernamen und du brauchst den Benutzernamen.

00:37:07: Und das Masterpasswort und das TOTP.

00:37:09: Du brauchst aber zusätzlich eine Kopie deines Private Keys einzurichten... ...die du auch tunlichst angefertigt hast als du diesen Account erstellt hast.

00:37:19: Wenn du den nicht hast bis du halt draußen das Einzige was machen kannst ist der Admin über die Admin-Konsole sagt löscht dieses Benutzerkonto und dann ist das Ding weg.

00:37:30: Danke für diese Einblicke in die Welt der Passwortmanager.

00:37:34: Seid da draußen kein Fault hier, kümmert euch um eure Sicherheit!

00:37:40: Alles über Passwortmanager, der US-Rechtslage und warum die EU da auch ihre Hände nicht ganz in Unschuld baden kann.

00:37:48: Könnt ihr online auf heiseplus nachlesen oder halt im CT.

00:37:51: sieben zwei tausend sechsundzwanzig unsere Winchester Edition?

00:37:55: Und ansonsten schreibt uns gerne Feedback an ablinkedct.de kommentiert im Forum oder auf YouTube und wie immer seid da respektvoll zueinander.

00:38:05: Und da hätt ich auch gleich eine Frage an euch.

00:38:08: Wie verwaltet ihr eure Passwörter?

00:38:11: Macht ihr es mit Passwortmanagern, seid ihr schon wo's geht auf Paskis umgestiegen?

00:38:17: Genau!

00:38:18: Denkt daran verratet nicht zu viel, dass hier euch zu sehr exposed wird.

00:38:22: euren Passwertern Also nicht sagen... Ich packe den... Wo euer Post-It ist, wo die Passwürter draus sind.

00:38:29: Nein kleiner Scherz!

00:38:30: Na gut aber Genuch auch mit der heutigen Ablingfolge.

00:38:34: Vielen Dank, Jan und Niklas dass ihr da wart und danke euch da draußen fürs Zuschauen zuhören und habt eine schöne Woche bis zum nächsten Mal.

00:38:44: Ciao!