Hello rundum,

angeregt durch das jüngste Userdatenleak bei Twitter nehme ich mich an der Nase und will meinen Umgang mit Passwörtern verbessern Passwortmanager, aber welchen?

Habe den Abend lang diverse Produkttests und Beschreibungen geschmökert, ohne aber DIE Antwort auf mein Hauptanliegen zu finden: Keine Serverdienste zur Synchronisation (2 iMac, 1 MBP, 1 iPad, 1 iPhone), sondern über WLAN oder anders nur lokal.

Dieser an sich interessante Vergleich von sieben PW Managern (netzsieger.de) geht darauf nicht ein und einer der Platzhirsche, 1Password, bei dem es tw. über unsupportete Umwege geht, kommt gar nicht vor.
Die 2 Threads hier zum Thema habe ich gelesen, aber dort kommt WLAN-Sync nur am Rande vor.

Frage daher in die Runde: Mit welchem Manager kann man am besten zwischen mehreren Geräten über WLAN syncen? Der Preis ist, soferne im Rahmen, kein Kriterium.
Danke für Eure Erfahrungen.

Danke elBohu und john für den wiederholten Hinweis auf WebDav, das kannte ich bisher noch nicht, trotz heavy user seit Mac Plus 1986 (dafür weiss ich noch, was TOPS ist und hatte es immer übersprungen.
Aber ... tataaa! Jetzt ist der WebDAVNav Server aus dem Appstore installiert, es funkt und ich habe es verstanden.

Ab der Version 6.0 wird Enpass übrigens genau diese Schlüsseldatei-Funktion unterstützen:
https://stadt-bremerhaven.de/passwort-manager-enpass-6-0-wir d-neue-funktionen-und-andere-optik-bringen/

Eben von Enpass auf Twitter gelesen: Die Beta V6 für Mac kommt nächste Woche.

Das Programm Wallet (gibt es für OSX und iOS) synchronisiert über WLAN (man muss mit beiden Geräten im gleichen WLAN sein) zwischen den Geräten.

Habe nicht den ganzen Thread gelesen, ob das schon empfohlen wurde, ist bei mir im fast täglichen Einsatz.

Ich habe hier im Thread als wesentlichen Schwerpunkt "mitgenommen": Der Sync sollte entweder über den Passwort-Manager direkt – oder über eine selbst kontrollierte Lösung, die "im Haus bleibt" und nirgendwo hin "telefonieren" kann – erfolgen. Cloud-basierte Dienste Dritter scheiden somit aus, sofern man sie nicht selber hostet. Das finde ich gut.

Allerdings wurden hier einige Apps vorgeschlagen, die entweder:
1.) Ein Abomodell als Geschäftsgrundlage haben
2.) Eine Registrierung erforderlich machen, bevor man damit sinnvoll loslegen kann

Beide Kriterien sind für mich nicht akzeptabel. Ich habe beispielsweise vor einigen Wochen mal mSecure im App-Store geladen und mich registriert, um das testen zu können. Seitdem bekomme ich von denen "Informationen" per Mail, um die ich nicht gebeten habe. Für mich sind seitdem alle Apps mit einer "Zwangsregistrierung" ein No-Go.

Zum Sync: Ich mache viel mit Resilio, weil die Inhalte nicht auf fremden Servern liegen. Somit steht für mich nicht mehr im Vordergrund, ob die Passwort-App den Sync beherrscht. Das macht ja Resilio. Eventuell kann ja jemand für sich diese Strategie aufgreifen und kommt in seiner Entscheidung einen Schritt weiter.

Ein weiteres Problem ist der Import der Daten, wenn man beispielsweise schon einen PW-Manager nutzt, von dem man sich über kurz oder lang verabschieden will (ist in meinem Fall SafeinCloud, bitte keine Diskussion darüber, warum). eWallet habe ich mir beispielsweise angeschaut, die haben Null Importmöglichkeit.

Was ich mich immer wieder frage: Warum macht man das eigentlich nicht mit dem guten alten FileMaker? Sind die Datenbanken so unsicher, dass man trotz Passwort da so ohne weiteres dran kommt? Da gibt es doch jetzt diese CryptEncrypt Funktion.

FileMaker ist ja mehr oder weniger nur die Datenbank.
Du bräuchtest Clients für alle Systeme mit den entsprechenden Browser-Plugins, Synchronisierung (soll ja auch funktionieren wenn man im Funkloch ist oder die NAS down ist) und die von der benötigten Zusatzfunktionen (z.B. eigene Felder, oAuth etc., Passwort-Generator, Schlechte-Passwörter-Finder, gute Suchfunktionen etc).

Auf das automatisierte Eintragen der Daten kann ich ohne Not grundsätzlich verzichten. Ich brauche tatsächlich "nur" die reine Datenbank aus der ich per Mausklick eine URL aufrufe und dann per Copy/Paste die Zugangsdaten in die jeweilen Felder eintrage. Fettich. Keine PlugIns für den Browser, dessen Spezifikationen sich ändern können, wie es dem Hersteller gerade so beliebt (Safari). Keine "Krücke", die mir sagt, ob mein Passwort "gut" oder "schlecht" ist und dafür auch noch einen eigenen Dienst vorhält (1Password), der in meinen Augen ein zusätzliches Risiko darstellt. Ich suche die berühmt-berüchtigte "kleine Lösung", die nur das tut, was sie soll: Daten verwalten, über die ich die Kontrolle habe.

Dafür könnte man sich in der Tat eine kleine Webanwendung mit Login-Funktion für basteln, mit zentraler Datenbank, Suchfunktion und das ganze verschlüsselt auf der eigenen NAS bzw. dem Homeserver. Das ganze per SSL angebunden natürlich. Geht dann auch als Web-App unter iOS fast wie eine echte App (erspart dann auch das Handling mit Safari-Tabs).
Die Passwörter könnte man mit einem zusätzlichen nur-clientseitigen Master-Key der nie auf dem Server landet verschlüsseln (oder einem Browser-Zertifikat). Das Kopieren in die Zwischenablage könnte man in Javascript vereinfachen. Aufwand vielleicht zwei-drei Tage.
Der fehlende Komfort würde mich allerdings in der Praxis nerven.

Ich habe heute meinen PW-Manager im FileMaker realisiert. Ist zwar alles noch ziemlich rudimentär, weil mir einfach die Erfahrung beim Umgang mit FM fehlt. Was ich dabei besonders spannend finde: Die sicherheitskritischen Transaktionen mit der Bank oder PayPal laufen jetzt komplett in der FM-Datenbank. Die Zugangsdaten werden also nur noch innerhalb der Anwendung benötigt, die sonstigen Browser auf dem Rechner sind davon nicht tangiert. Sogar ein Cookie-Management ist möglich. Wobei das alles wie gesagt sehr rudimentär von mir implementiert wurde und sich wahrscheinlich einem gestandenen FM-Fachmann die Nackenhaare sträuben.

Im nächsten Schritt kommt die Abstufung der Zugriffsrechte, damit die Lösung auch Mehrbenutzertauglich ist.

Ich bin gerade dabei Enpass mit lokalem Webdav Sync zu testen. Als WebDav-Server habe ich einen Mac mini early 2009 mit Mavericks und Server.app. Per Dateifreigabe kann ich dann auch tatsächlich von meinem MacBook aus per Webdav die Passwortdatenbank synchronisieren. Bei gleichen Einstellungen auf iPhone und iPad funktioniert der Zugriff aber nicht. Bekomme immer die Meldung, dass Benutzername und Passwort nicht korrekt wären. Benutzername und PW bestehen nur aus Buchstaben (nix besonderes also). Gesichert ist die Verbindung mit einem selbstsignierten Zertifikat, welches ich direkt in der Server.app erstellt habe.
Jemand eine Idee, was das sein könnte?
Mit einer Webdav App konnte ich vom iPad aus auf das Verzeichnis zugreifen.

Keiner eine Idee?

Es gab früher das Problem dass Enpass bei WebDAV nicht mit selbstsignierten Zertifikaten unter iOS klar kam. Ich habe daher seit dem echte Zertifikate auf meiner NAS (mit echter Domain sowohl vom WAN wie auch vom LAN aus). Habe dafür sogar extra einen Proxy für die Lets Encrypt Validierung programmiert damit der die externen ACME-Anfragen an das korrekte Gerät im LAN weiterleitet und dessen Response ausgibt obwohl die NAS außer mit WebDAV nicht von extern aufrufbar ist,
Man sollte das Zertifikat aber auch über Safari o.ä. systemweit installieren können so dass dies kein Problem mehr sein sollte.

Hab jetzt noch ein wenig mit webDAVNav Server rumprobiert (aus dem Appstore).
Es liegt anscheinend an der Authentifizierungsmethode. Die Server.app nutzt defaultmäßig digest als Authentifizierungsmethoden (was auch eine gute Wahl ist). Enpass auf dem Mac kommt damit auch klar. Enpass auf iOS allerdings nicht. Das kann nur basic

Siehe

Abhilfe vielleicht mit Version 6 von Enpass.

Kannst du auf dem Server nicht auf Basic umstellen? Verschlüsselung hast du durch TLS ja eh.