Mastodawn

R0ux Jun 24, 2022

Kuketz-Blog 🛡

Stiftung Warentest hat mal wieder zugeschlagen. Diesmal: Passwort-Manager. KeePassXC wurde mit einer Gesamtnote 4,1 bewertet, weil es "Master-Passwörter mit weniger als 5 Zeichen zulässt". Dass es noch eine zusätzliche Schlüsseldatei als weiteren Faktor gibt, wird mal eben unterschlagen. Testsieger sind die propritären Anbieter 1Password und Dashlane. Auweia. 🙄

verifiedsabakan

disability_flag

ob da wohl was gesponsort wurde?

Ente :drgnfire::entemicrosoft:Jun 24, 2022

@puniko @kuketzblog Wohl eher das "Stiftung Warentest" einen fachlich eingeschränkten Blick auf das Thema hat.

Oder Geldzahlungen.

verifiedsabakan

disability_flag

@ente @kuketzblog das war ja auch ein scherz

mich würde jetzt mal interessieren, nach welchen kriterien, die stiftung warentest da getestet hat

ck Jun 24, 2022

Sicherheit 30%
Handhabung 50%

Da verwundert das Ergebnis nicht, finde ich aber OK.
Die Stiftung Warentest richtet sich schließlich nicht an versierte Nutzer, sondern an den Bundesdurchschnitt.
Ich schließe mich deshalb auch der Begründung an, dass die Mindestanforderungen an Passwörter wichtig sind, schließlich ist das typische Passwort von Opa Willi nicht 64 Sonderzeichen mit Unicode, sondern (Oma) 'gertrud'.

@kuketzblog @ente

Michael Jun 24, 2022

@ck @puniko @kuketzblog @ente Wenn die Passwort Datei immer nur Lokal auf dem Gerät liegt ist die Passwort stärke außerdem auch nicht so wichtig wie wenn damit die Passwörter verschlüsselt und dann Online gespeichert werden.

Von daher finde ich eine Abwertung dafür übertrieben!

Lieber KeePassXC mit dem Passwort "1234" lokal auf dem Rechner meiner Oma als wenn sie eine Online Passwortdatenbank mit dem Passwort "12345" hat 😅

ck Jun 24, 2022

@Michael1
Wäre das ein gutes Argument, würde Ransomware nicht funktionieren. 😇

@puniko @kuketzblog @ente

verifiedsabakan

disability_flag

@ck @Michael1 @kuketzblog @ente untag me please

Claudius (legacy account)Jun 24, 2022

@puniko @kuketzblog Bestechlichkeit halte ich bei Stiftung Warentest wirklich für sehr weit her geholt.

verifiedsabakan

disability_flag

@claudius @kuketzblog das war auch ein scherz

verifiedsabakan

disability_flag

@claudius @kuketzblog darum das aluhut emoji

Claudius (legacy account)Jun 24, 2022

@puniko @kuketzblog ah. Sorry, den Aluhut habe ich nicht erkannt.

Rince Jun 24, 2022

@kuketzblog Naja, es ist ein _kann_ andere Sachen nutzen.Wenn Du aber Sicherheit haben möchtest schlägt Länge (des PW) Komplexität, und mit der Argumentation ist das durchaus ein Problem.

ꂵꍏꋪꀤꂦ 🖖Jun 24, 2022

@kuketzblog
Es lohnt sich bei Stiftung Märchentest die Testmethoden immer genau unter die Lupe zu nehmen.

zem Jun 24, 2022

@kuketzblog
omg. complete fail! I wonder who recently spend money to that foundation. 🤔

Claudius (legacy account)Jun 24, 2022

@kuketzblog immerhin: im Artikel wird explizit darauf eingegangen:

Claudius (legacy account)Jun 24, 2022

@kuketzblog Ebenfalls im Artikel: die explizite Nennung, dass OpenSource die Sicherheit erhöhen _kann_. Was ich insgesamt ziemlich richtig finde und auch gut formuliert ist, meiner Meinung nach.

joschi Jun 24, 2022

@kuketzblog
"Darunter auch das beliebte und kostenlose "KeePassXC", welches die Bewertung von 4,1 vor allem dem Umstand zu verdanken hat, dass es vom Anbieter keine eigenen Apps für iOS und Android gibt und man auf Angebote von Drittanbietern zurückgreifen muss."

Quelle: https://www.stern.de/digital/computer/stiftung-warentest-vergleicht-16-passwortmanager-im-test-31977110.html

Stiftung Warentest vergleicht 16 Passwortmanager im Test

Wie soll man sich alle Zugänge für Webseiten merken? Am besten mit einem Passwortmanager – aber nicht mit jedem.

STERN.de

rwa Jun 24, 2022

@kuketzblog @joschi "der Anbieter"...wenn man alles durch die kapitalistische Brille betrachtet ist das halt manchmal doof.

Toni Jun 24, 2022

@kuketzblog Natürlich schlagen die bekannten Medien anhand des Artikels in die gleiche Kerbe. #digitalekompetenz

https://www.n-tv.de/technik/Gute-Passwortmanager-kosten-etwas-Geld-article23417775.html

Gratis-Lösung nur ausreichend: Gute Passwortmanager kosten etwas Geld

Passwortmanager sind eine praktische Möglichkeit, viele verschiedene Internet-Zugangsdaten zu nutzen, aber sich nur eine Kombination merken zu müssen. Stiftung Warentest hat 16 Lösungen geprüft. Viele davon sind gut, der einzige kostenlose Open-Source-Safe gehört nicht dazu.

n-tv NACHRICHTEN

rwa Jun 24, 2022

@kuketzblog @BalouX Gute Passwortmanager liegen nicht "in der Cloud" wird dabei leider oft außer Acht gelassen.

Princess Dalius Jun 24, 2022

@kuketzblog lololol, das die KeePass Datei die eigenen Devices nie verlässt war wohl egal?
Also einmal bitte einen Fork machen der nur >50 Zeichen Masterpasswörter zulässt.

Frank Jun 24, 2022

@kuketzblog Bitwarden: Datenschutzerklärung nur auf Englisch führt zu Abwertung. O.k.

Macaldente 🧲Jun 25, 2022

@ironiemix @kuketzblog Ich weiß nicht, ob das Not tut, Bitwarden deshalb abzuwerten. Nicht jeder Anbieter muß es für nötig halten, seine App und seine Website und seine Datenschutzerklärung in weiteren Sprachen wie Deutsch, Italienisch, Chinesisch, Französisch, Russisch anzubieten. Englisch reicht dafür aus, meine ich. Der Aufwand ist ja auch nicht so gering.

Frank Jun 25, 2022

@macaldente
Ja, da wurde die Ironie textuell nicht übertragen - bin genau deiner Meinung.

@kuketzblog wenn es für CloseSouce möglich war, mehr als 3 bis 4 Punkte zu holen, dann brmengel ich klar die Test kreterien bzw. Gewichtung.

@kuketzblog wenn es für CloseSouce mit integrierter Cloud, möglich war, mehr als einen Punkt zu holen, echauffiere ich mich gar.

uɐıʇsɐqǝs Jun 24, 2022

@kuketzblog wtf. Ich dachte erst 4,1 von 5...
aber das ist ja Schulnote -> ausreichend...

Dann dürfen zukünftig alle Messer nur noch mit Mangehalft bewertet werden, weil sich uninformierte Anwender damit in die Handschneiden können 😐

Noah Jun 24, 2022

@kuketzblog Nix neues leider... SRF Kassensturz hat auch schon PW-Manager getestet. Gewonnen hat 1Password, warum genau unklar.

Man hat auch das reguläre Keepass getestet... Dem Programm wurde attestiert, es sei nur für IT-affine Personen geeignet, WÄHREND DER TYP DER DAS SAGT, IM HINTERGRUND DIE KEEPASSXC WEBSEITE OFFEN HAT. 🤦🏼‍♂️🙄

https://www.srf.ch/sendungen/kassensturz-espresso/tests/security-test-diese-passwortmanager-schuetzen-vor-hackern

Security-Test - Diese Passwortmanager schützen vor Hackern

Getestet wurden zwölf der weitverbreitetsten Produkte. Erstaunlich: Gute Passwortmanager gibt es komplett gratis.

Schweizer Radio und Fernsehen (SRF)

Heiko Weier Jun 24, 2022

Maelli Jun 24, 2022

@kuketzblog
Mein Passwort-Manager ist total sicher, heißt Zettel und liegt in Schublade. Leider kann ich von unterwegs nur Sachen machen, für die mein anderer Passwort-Manager Kapazitäten hat, heißt Gedächtnis ☝😆

Jak2k Jun 24, 2022

@Maelli
Eine Faustregel ist, dass ein Passwort, dass man sich merken kann, unsicher ist.
Zettel in der Schublade können beispielsweise bei einem Brand vernichtet werden.
@kuketzblog

Maelli Jun 24, 2022

@Jak2k
Sonderzeichen, Zahlen, völlig sinnbefreite Sätze mit einer Besonderheit und richtig lang, glaub mir, das IST sicher. Ja, das mit dem Brand ist ein Argument...

tom Jun 24, 2022

@Maelli @kuketzblog das mit dem Zettel und total sicher ist ein häufiger Irrglaube. Unter anderem aus dem Grund, dass die Passwörter abgetippt werden müssen und das oft dazu führt, dass Passwörter weniger lang/komplex gewählt werden. Stichwort abtippen ist ein weiterer Punkt, somit bietet man Keyloggern eine mögliche Angriffsfläche bietet. Thema Verlust durch Elementarschaden. Thema unbefugter physischer Zugriff. Die Liste ist lang… 😁

Maelli Jun 24, 2022

@tom @kuketzblog
Ja nun, bisschen Mühe muss frau sich schon geben. Meine Passwörter sind richtig lang, halt Sätze mit Fallstricken. 🤐

Der Brüsseler 🇪🇺Jun 24, 2022

@kuketzblog @crossgolf_rebel mal eine ganz dumme Frage: ich habe einen PC (Linux) mit PW-Abfrage vor dem Booten, Festplattenverschlüssung, Trennung des Admin- und User-Accounts und nutze KeePassXC aus Bequemlichkeit mit einem "schwachen" PW. Ist dies wirklich problematisch wenn dies in einer "sicheren" Umgebung passiert?

hackbyte Antifa (friendica) 13HB1 Jun 24, 2022

@derbruesseler @crossgolf_rebel @kuketzblog KeePass und jedweder andere passwortmanager mit einem schwachen passwort ist immer zumindest suboptimal ja.

Die kdbx datei kann schnell mal exfiltriert werden.

tom Jun 24, 2022

@derbruesseler @kuketzblog @crossgolf_rebel ja, weil es darum geht den Container zu schützen, auch vor unbekannten Szenarien, wo deine oben beschriebene Szenarien nicht greifen. Mindest ein sicheres Passwort auf dem Container direkt ist Pflicht.

Jonas Wiegner Jun 24, 2022

@derbruesseler @kuketzblog @crossgolf_rebel Nein. Wenn niemand an die Datei kommt, ist das Passwort irrelevant.

Michael Jun 24, 2022

@kuketzblog Das is nen Witz oder? 🤨

proedie Jun 24, 2022

@kuketzblog Stöhn. Ich halte ja relativ viel von dem Laden. Aber bei Digitalthemen scheitern sie regelmäßig. Wobei ... scheitern sie vielleicht immer und ich merke es mangels Sachkenntnis einfach sonst nicht? 😰

hackbyte Antifa (friendica) 13HB1 Jun 24, 2022

Um insgesamt auch nochmal eine lanze für KeePass zu brechen.

Ich nutze KeePass seit vielen vielen jahren .. und darüberhinaus auchnoch sehr ausführlich.

Nebst passworten und 2FA daten hab ich da auch so "kleinigkeiten" drinn wie software lizenzkeys, ggf gar mal bilder von lizenzaufklebern, email adressen zu jedem account (ich nutze individualadressen), recovery phrases, selbst keyfiles für verschlüsselten storage und ähnliches.

Das sind mittlerweile weit über tausend einträge ... und sicherer als darin geht es eigentlich fast nicht.. Speziell weil ich keine cloudanbindung dabei hab und noch spezieller weils kein closed source is. ;)

Um mir hin und wieder eine brandgeschützte sicherheitskopie der kepass kdbx datei anzulegen, schick ich sie mir selbst per email.

So brauch ich selbst im allerschlimmsten katastrophenfall lediglich mein email konto und das master-passwort um auf alles wichtige wieder zugriff zu erlangen.

Lars Bartsch Jun 24, 2022

@kuketzblog
Tatsächlich bemerkenswert und kritikwürdig. Es zeigt aber sehr deutlich die Schwierigkeiten, ein Bewertungsmaß für alle untereinander sehr diversen Zielgruppen zu finden. Zugleich hat jede(r) abweichende Erwartungen, welche Features in den Tests mit einbezogen werden, weil damit unterschiedliche use cases verknüpft sind.
Da hilft letztlich nur Transparenz...und die ist mit der Paywall eingeschränkt, wenn gleichzeitig konkrete Ergebnisse geteasert werden

#DigitalerVerbraucherschutz

DJ-Bauer Jun 24, 2022

@kuketzblog so oft wie ich dashlane als YouTube Sponsor sehe ist das garantiert gekauft worden.

samurro Jun 24, 2022

@kuketzblog Stiftung Warentest gehört verboten.

@kuketzblog KeePass is the best

Keepass Hardening 🔒

1) KeePass portable
mind. 15 Stellen Password (Kombi aus Groß- u. Kleinbuchstaben, Zahlen und Sonderzeichen)
mind. 185 byte Daten key (extra speichern/aufbewahren)

2) KeePass in einem VeraCrypt Container stecken
mind. 25 Stellen Password ((Kombi aus Groß- u. Kleinbuchstaben, Zahlen und Sonderzeichen)
mind. 30 kb key (extra aufbewahren)
Cascaden Verschlüsselung 🔒

#keepass #veracrypt #password #safe #hardening #cascades #cascadesofciphers

blobcatfacepalm2

@kuketzblog Es wird mal wieder Zeit, das Abo zu kündigen. 🙄

rc Jun 25, 2022

@kuketzblog Hast du das bei denen schon kommentiert?
Uns ist ja die fehlende Kompetenz von Stiftung Warentest bei "Digital-Themen" klar. Aber wir sind nur ein kleiner Teil der Zielgruppe (wenn überhaupt).

hackbyte Antifa (friendica) 13HB1 Jun 25, 2022

@rc @kuketzblog Wir sind schon allein deswegen nicht zielgruppe, weil wir selbst entscheiden können und entscheiden, ohne uns von wirren artikeln unsere meinung vorkauen zu lassen. ;)

BlackPanter004 / Ben Jun 26, 2022

@kuketzblog Es geht halt bei Stiftung Warentest nicht wer die beste Sicherheit/Datenschutz hat. Es geht halt darum welcher für die breite Bevölkerung am besten ist. Die Benutzerfreundlichkeit spielt eine große Rolle. Es steht auch immer dabei wie getestet wird.