Enpass

    Liebe Leute

    Endlich habe ich es gewagt und habe mir ein Passwortmanager installiert. Eigentlich sollte dies Keepass werden, aber nachdem bei ihm Sicherheitslücken gefunden wurden, lasse ich das lieber bleiben.

    Sören hat Enpass erwähnt das er selber auch benutzt und von dem ich noch nie etwas gehört habe (https://www.enpass.io/). Da ich auf seine "Rechner-Erfahrung" Wert lege, habe ich mir dieses Ding installiert und mit meinen Nullkenntnissen in Sachen Passwortmanager, ausprobiert.

    Seine Bedienung scheint einfach zu sein. Trotzdem wäre es schön, wenn es ein deutsches Manual dazu gäbe. Bis jetzt habe ich nichts gefunden. Das Enpass-WindowsDesktop.pdf habe ich heruntergeladen. Leider Englisch und das ist ein Kampf!

    Was ich bis jetzt gemacht habe:

    - Masterpasswort erzeugt
    - Die Abschaltzeit des Programmes vorläufig erhöht :)
    - Addon für Firefox installiert
    - URL, Benutzername und PW eines Forums in Enpass eingetragen und in Firefox gelöscht
    - mit Mausklick Enpass-Addon gewählt, Doppelklick auf den Eintrag

    Ich bin im Forum eingeloggt! :)

    Und jetzt kommen erste Fragen ...

    - Enpass muss aktiv sein wenn ich ein PW daraus benützen will. Da es sich aber nach einiger Zeit deaktiviert, stehe ich im Regen und muss das MasterPW erneut eingeben.
    Gibt es eine Art Zwischenablage, wo man die PWs temporär auslagern kann?
    - Kann man mit Enpass Passwörter erzeugen?

    Vermutlich erledigen sich diese Fragen, wenn ich mich durch das englische Pdf gekämpft habe.

    Bruno

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Ich nutze Enpass, allerdings ausschließlich die Anwendung, ich nutze kein Add-on für Firefox. Alles, was damit zu tun hat, kann ich nicht beantworten.

    Zum Erzeugen von Passwörtern, ich weiß nicht, ob die Oberfläche auf Windows die Gleiche ist wie auf OS X, aber auf OS X gibt es oben rechts einen Button, siehe Screenshot.

    Was meinst du mit "Gibt es eine Art Zwischenablage, wo man die PWs temporär auslagern kann"?

    Danke gefunden! Sieht aus wie bei dir! Nur heisst es bei Windows 'Rezept anzeigen'.

    Mit Zwischenablage meine ich eine Art vorübergehender Speicher, wo ausgewählte Passwörter aus Enpass abgelegt werden können und den ich auch wieder löschen kann.
    Zum Beispiel den Bereich, wo ich Forenzugänge gespeichert habe. Damit ich nicht jedesmal für ein weiteres Login erst Enpass starten und das MasterPW eintippen muss.

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

    Zitat von bigpen

    Endlich habe ich es gewagt und habe mir ein Passwortmanager installiert. Eigentlich sollte dies Keepass werden, aber nachdem bei ihm Sicherheitslücken gefunden wurden, lasse ich das lieber bleiben.


    //Das ist so nicht richtig. Im Programm sind keine Sicherheitslücken bekannt, es geht NUR um die interne Update Funktion (die man übrigens aus stellen kann). Ich nutze KeePass portable (also das .zip Paket) und bin von daher überhaupt nicht betroffen, wenn ich entsprechende Version von hier https://sourceforge.net/projects/keepass/files/ herunter lade. (dafür habe ich mir zur Benachrichtigung einen rss-Feed abonniert https://sourceforge.net/projects/keepass/rss?path=/ )

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Der Updatecheck ist Teil der Anwendung, also zählt das als Sicherheitslücke der Anwendung. Dass man die Funktion nicht aktivieren muss, ist ein ganz schwacher Trost nach dem Statement des Entwicklers, dass Geld wichtiger als Sicherheit ist. Wenn man einer Sicherheits-Anwendung beim Thema Sicherheit nicht vertrauen kann, ist das eine schlechte Basis für die Nutzung. Es muss natürlich jeder für sich selbst beurteilen, was er oder sie für entschuldbar hält, wenn es um die Sicherheit persönlicher Daten geht. Für mich ist das nicht entschuldbar. Die Sicherheitslücke selbst, ja, das kann passieren. Aber die Reaktion auf eine Sicherheitslücke ist häufig wirklich spannend. ;)

    Zitat von Sören Hentzschel

    Ich nutze Enpass, allerdings ausschließlich die Anwendung, ich nutze kein Add-on für Firefox.


    Weshalb benutzt Du das Enpass Add-on nicht? Wegen Sicherheitsbedenken?

    Bei normalen Anwendungen kann man gut und gerne auf Freeware vertrauen, meistens sind es ja keine vertraulichen Daten mit denen man darin arbeitet.
    Bei einem Passwort-Manager hingegen habe ich so meine Bedenken wenn mir eine Software kostenlos kommt und nicht komplett Open-Source ist. Enpass kostet zwar offenbar auf dem Smartphone, aber ob das ausreicht um sich zu finanzieren weiss ich nicht.
    Ich nutze 1Password das zwar auf dem Desktop richtig was kostet, dafür hab ich aber auch ein besseres Gefühl. Natürlich muss auch die Sicherheit der SW stimmten, aber da hab ich nichts schlechtes über 1Password gehört.

    Wie seht ihr das Sören und bigpen? Wieso vertraut ihr einer teilweise kostenloser Software eure intimsten Geheimnise an (Passwörter, Kreditkarten-Daten etc.)?

    Zum einen nutze ich Enpass ausschließlich lokal und nicht in der Cloud. Zum anderen hat Enpass einen hervorragenden Ruf und kann sich einen Skandal wohl kaum leisten. Und Sicherheit vor einem Bug respektive Sicherheitslücke hat man bei gar keiner Software, das Risiko besteht immer. Der Preis ist kein Argument. Firefox ist auch kostenlos. Den kann man auch auf dem Desktop, auf Android sowie auf iOS nutzen und seine Daten synchronisieren, es fällt kein einziger Cent an Kosten für den Nutzer an. Deswegen misstraue ich Mozilla aber nicht.

    Zitat von miku1289

    das zwar auf dem Desktop richtig was kostet, dafür hab ich aber auch ein besseres Gefühl.


    Ein gutes Gefühl ist zwar ein gutes Gefühl, geht aber oft nicht mit der Realität konform. Und lediglich für ein gutes Gefühl Geld bezahlen, da springt, zumindest bei mir, mein Hirn ein und sagt "Stopp". Da müssen schon andere Dinge überzeugen.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Zitat von Sören Hentzschel

    Der Preis ist kein Argument. Firefox ist auch kostenlos.


    Der Preis nicht, da gebe ich dir Recht. Aber die Lizenz ist ein Argument. Enpass sieht nach Closed-Source aus.

    Für mich gilt entweder Closed-Source und gegen Geld oder Open-Source.

    Und wo ist der Zusammenhang zwischen Closed Source vs. Open Source und Geld? Das eine hat mit dem anderen doch nichts zu tun. Open Source heißt schließlich nicht, dass es kein Geschäftsmodell dahinter geben darf, das ist ein ganz anderes Thema. Und auch hier wieder ein Vergleich mit Firefox, denn auch Mozilla hat ein Geschäftsmodell für Firefox. Der Unterschied ist nur, dass im Falle von Firefox Firmen bezahlen und nicht die Nutzer, aber das ändert an der Sache an sich wenig. Und einer Closed Source-Anwendung zum Nachteil machen, dass sie kostenlos ist, find ich etwas eigenartig. Relativ viele Firmen leben nicht vom Verkauf von Software-Lizenzen, sondern von den Zusatz-Leistungen.

    Ich habe wohl meine Gedanken nicht ganz ausgeschrieben.

    Ich gehe davon aus dass es bei einer OpenSource Software nicht zu einem dubiosen Geschäftsmodell kommt, weil ich ja den Code überprüfen kann und daher merken würde wenn er anfangen würde z.B. die Daten auf seinen Server zu laden. Auch kann ich z.B. überprüfen welche Daten er für Fehlerbehbungszwecken abführt. Das macht ja FF auch so gut und DAS ist der Grund für mich wieso ich FF (auf Win-Desktop) vertraue. Nicht weil sie es sagen, sondern weil ich es überprüfen kann.

    Und wenn ich einer Closed-Source Software Geld geben kann ich annehmen dass sie seriös geführt wird.

    Ich kann deiner Argumentation hinsichtlich Open Source und Überprüfbarkeit absolut folgen. Nur beim Punkt mit dem Geld steige ich nach wie vor aus, denn diese Annahme ist für mich auf nichts begründet. Wieso sollte ich denn annehmen, dass eine Software seriös ist, nur weil ich dafür bezahle? Gerade, wenn hinter einer Software jemand nicht Seriöses steht, wäre das direkte Verlangen von Geld doch die einfachste Möglichkeit, die Nutzer über den Tisch zu ziehen. Es gibt ja sogar genug Nutzer, die auf kostenpflichte Downloads von normalerweise kostenloser Software hereinfallen. Also einen Vertrauens-Bonus löst die Tatsache, dass etwas bezahlt werden muss, bei mir überhaupt nicht aus, das nehme ich wirklich komplett raus aus der Betrachtung.

    Ich muss wohl sagen dass ich der Closed-Source Software vertrauen muss.
    Ja OpenSource SW ist gut und in jedem Fall vorzuziehen, wenn das geht. Aber es gibt Ausnahmefälle (oder bei mir eher Regelfälle aufgrund der gewählten Plattform) wo die Closed Source Version mehr kann oder (subjektiv) schöner aussieht. Und wenn schon ClosedSource, dann bitte dafür bezahlen den so besteht wenigstens die Chance dass der Hersteller sein Geschäftsmodell mit dem Verkauf wählt und nicht meine Daten verkauft oder sonst was treibt.

    Zitat von miku1289

    Und wenn ich einer Closed-Source Software Geld geben kann ich annehmen dass sie seriös geführt wird.

    Du kannst das annehmen, man sollte aber eigentlich voraussetzen, das jegliche Software, die offiziell im Umlauf ist, auch fehlerlos funktionieren sollte und diese immer aktuell gehalten und für die jeweils aktuellen Browser verfügbar ist. Hinsichtlich beispielsweise bei den sog. Sicherheitssuiten (z.B. Kaspersky und andere) ist zu beobachten, das gerade letzteres nicht immer von den Entwicklern geleistet wird.
    Die Community rund um ein Open Source Produkt sorgt vielmehr in der Regel eher dafür, das Fehler bzw. Updates schnell erkannt bzw. bereitgestellt werden.