Sicherheitsprogramme Meinung zu Dashlane

[jörg111]

Hallo Leute.

Ich würde gerne wissen, was Ihr zu den Behauptungen von Dashlane sagt:


Ich habe gehört, dass der Passwortmanager Dashlane von Stiftung Warentest empfohlen wird und auch im Google Play Store überwiegend sehr gute Bewertungen hat.
Allerdings sind die Leserkommentare auf einigen Seiten weniger gut.

Jetzt weiss ich nicht was ich glauben soll.


Ich habe hier einige Dinge kopiert und mich würde Eure fachliche Meinung dazu interessieren:

Quelle: Google Play Store Antwort von Dashlane auf die Fragen verschiedener User:

Ihre Daten werden lokal auf Ihrem Gerät und mit Ihrem Master-Passwort verschlüsselt. Ihre Daten können nur über Ihr Master-Passwort entschlüsselt werden. Nur Sie kennen Ihr Master-Passwort. Es wird niemals an unsere Server gesendet oder über das Netzwerk übertragen.

***

und das hier:

Hallo, die Daten unserer Benutzer werden in Europa - genauer gesagt in Irland - von Amazon Web Services gehostet, einer der angesehensten und sichersten Cloud-Hosting-Lösungen auf dem Markt. Sie sind auch eine der zuverlässigsten Hosting-Lösungen und bieten eine der besten Betriebszeiten.

***

Und von sowas lass ich mich auch leicht blenden aber womöglich ist es ja doch nicht alles gelogen?!:

Quelle Google Play Store von Dashlane selbst:

Mehr als 1 Million Nutzer weltweit
• Mehr als 60.000 Fünf-Sterne-Bewertungen

Auszeichnungen und Anerkennungen für Dashlane 

• PC Mag: „Editors' Choice Award“
• Webby Award: „People's Voice Best Mobile Services & Utilities App“
• Kiplinger: „Best Identity Theft Prevention Tools“ 
• Inc.com: „Best for Passwords and Checkouts“
• Techlicious: „The Best Security Apps“
… und viele weitere


Gewinner des Google Play Excellence Award 2018

***

Und noch was fachliches: Klingt doch sicher oder?


Schutz von Daten über die branchenführende AES-256-Verschlüsselung
Zero-Knowledge-System: Niemand kann Ihre Daten sehen – noch nicht einmal Dashlane

***

Quelle: Internetseite von Dashlane:


Sowohl im Apple App Store Wahl der Redaktion
und im Google Play Store Beste App
Angeblich nutzen es 10.000 führende Unternehmen

***

Kennt sich damit jemand aus ob das ein Sicherheitsrisiko darstellt?:

Quelle: Internetseite von Dashlane:

Wir sind stolz auf unser Zero-Knowledge-Sicherheitssystem, das gewährleistet, dass niemand außer Ihnen Zugriff auf die vertraulichen Informationen hat, die Sie über unsere Anwendung verschlüsseln.

Dennoch muss Dashlane aus naheliegenden Gründen in begrenztem Umfang Informationen zu Ihnen erheben und speichern, um unsere Anwendung und unseren Service bereitstellen zu können. Wenn Sie sich beispielsweise als Nutzer registrieren, ist es erforderlich, eine E-Mail-Adresse anzugeben. Wenn Sie ein zahlungspflichtiger Kunde sind, müssen uns entsprechende Rechnungsinformationen vorliegen. Wenn Sie unseren Support kontaktieren, speichern wir jegliche zwischen Ihnen und unserem Team ausgetauschten Nachrichten.

Wir erheben darüber hinaus auch Informationen dazu, wie unsere Anwendung verwendet wird. Diese Informationen werden jedoch anonymisiert, bevor sie an Dashlane übermittelt werden, sodass sie nicht mit einem bestimmten Nutzer in Verbindung gebracht werden können. Ihre verschlüsselten Daten können zwar über unsere Server übermittelt oder auf diesen gespeichert werden, werden jedoch zu keinem Zeitpunkt von Dashlane gelesen.

***


Wie sind Eure Erfahrungen?

Vielen Dank im voraus.


Gruss

 

[build10240]

Passwortmanger sind für unwichtige Passwörter geeignet, vielleicht auch für wichtige Passwörter, deren zugehörigen Konten über einen starken und unabhängigen zweiten Faktor abgesichert sind. Wohlgemerkt bedeutet unabhängig in dem Zusammenhang, daß über den Kanal bzw. das Gerät mit dem der Passwortmanager verbunden ist bzw. läuft nicht der zweite Faktor laufen sollte. Letztendlich ist es unter der Bedingung unmöglich Passwörter wie vom Online-Banking in einem Passwortmanager zu speichern, wenn man die Geräte, auf denen der Passwortmanager läuft, von den Geräten, mit denen man z.B. das Online-Banking betreibt, strikt trennt. Für Konten in Foren und anderem mehr oder weniger unwichtigen Diensten - in dem Sinne, das sich der Schaden dort in Grenzen halten würde - tut's auch schon der Passwortspeicher vom Firefox oder dem Browser der Wahl.

Ein Passwortmanager ist immer nur so sicher wie die Programmierer des jeweiligen Anbieters fähig sind. Da selbst große Unternehmen nicht vor Einbrüchen durch Hacker sicher sind, wäre es naiv den Herstellern der Passwortmanager, die sich überwiegend im Größenbereich eines Startups bewegen, blind zu vertrauen. Zentralisiert gespeicherte bzw. zugängliche Informationen sind grundsätzlich schlecht. Wer sich nicht die Mühe machen will, sich Passwörter zu merken oder anderweitig sicher aufzubewahren, muß eben mit den Risiken der Passwortmanager leben.

Daß Passwortmanager trotzdem allseits so viele Emfpfehlungen - auch von Stiftung Warentest - erhalten, liegt wohl daran, daß die das Gröbste verhindern wollen. Ohne Passwortmanger verwendet nämlich Trottel Normalnutzer die Passwörter "Passwort", "1234", usw.

 

[PeteM92]

Ich habe gerade die negativen Kommentare zu Dashlane auf test.de gelesen. Das ist jetzt fast ein Jahr her. Ob das Programm Dashlane inzwischen verbessert wurde, weiß ich nicht.

Ich benutze das kostenlose Keepass.

Stiftung Warentest schreibt zu Keypass:
Und hier noch einmal unser Hinweis aus dem letzten Jahr: KeePass wurde nicht in den Test einbezogen, da das Programm nicht für alle prüfrelevanten Betriebssysteme vom Hersteller angeboten wird. Ein Passwortmanager macht aus unserer Sicht nur dann Sinn, wenn man ihn auf allen Geräten einsetzt, mit denen man ins Internet geht.

Ich weiß nicht, wie da getestet wurde. Ich benutze Keepass auf meinem Windows-Rechner, auf meinen Androids und auf meinen iPhones. Das heißt dann teilweise KeypassDroid bzw. Keepass Touch. Möglicherweise war damals Keepass für Windows Mobile nicht verfügbar - das ist aber nicht mehr relevant.

 

[jörg111]

@build 10240

Danke.

Onlinebanking nutze ich nicht aber PayPal mit 2 Faktor und Amazon mit 2 Faktor (allerdings habe ich PC und Android als vertrauenswürdiges Gerät gespeichert so dass keine Code Abfrage kommt. Kommt dann nur bei anderem Gerät oder Browser).
Dann mein Internetanbieter.
Ansonsten etliche Foren und diverse Shops.

AES256 hört sich ja immer so gut an und auch Zero-Knowledge-Sicherheitssystem.

Und auch Riesen Konzerne werden gehackt. Wenn man danach geht, dürfte man sich nirgends mehr registrieren. Allerdings ist es natürlich viel schlimmer wenn eine Passwortmanager Firma gehackt wird weil dann Daten von ALLEN Zugängen der Kunden bekannt sind und nicht nur einer. Das Masterpasswort ist Dashlane angeblich nicht bekannt. Aber wenn die gehackt werden dann brauchen die ja das natürlich auch nicht weil die dann alle Passwörter aller Zugänge haben. Mist. Jedenfalls wenn man in der Cloud speichert was wichtig ist für die Synchronisation zwischen Geräten. Jedenfalls ist es das bequemste. Aber unsicher. Alles schwierig.


Meinst du, dass man sich den zweiten Faktor zb. den Code oder Fingerabdruck nicht vom Programm am PC geben lassen sollte sondern lieber in der App auf dem Smartphone? Wenn der Passwortmanager auf dem PC drauf ist mein ich.


Und eine andere Mailadresse für den zweiten Faktor nehmen als die Mail mit der der Passwortmanager registriert ist?

Am besten 2 verschiedene Geräte. Auf einem Gerät lässt man sich den Code geben oder loggt sich mit Fingerabdruck ein für den zweiten Faktor und am anderen Gerät nutzt man den Passwortmanager und das Programm?

Sicherer aber umständlich.

Ich bin aber nicht sicher ob ich dich richtig verstanden habe.

Bei zwei Faktor lass ich mir momentan den Code per Anruf auf meinem Festnetz per Sprachansage zukommen. Die Google Authentificator App nutze ich nicht. Keine Ahnung was sicherer oder einfacher ist.



Leider reicht mein Wissen nicht aus um zu beurteilen ob die folgenden Punkte von Dashlane ernstzunehmen sind oder nur Werbung sind. Für mich als Laien hört sich das sicher an:
Aber vielleicht sagst du was anderes:

Also selbst wenn Dashlane gehackt wird dann würden die nur verschlüsselte Daten finden schreiben die. Aber lies bitte selbst.
Hier noch ein Zitat von Dashlane:

Was würde passieren, wenn die Server von Dashlane gehackt würden?
Sollte es einem Hacker trotz aller unserer Sicherheitsvorkehrungen doch gelingen, auf unsere Server zuzugreifen, würde er dort nur mit einzigartigen, auf dem jeweiligen Master-Passwort basierenden Salt-Schlüsseln verschlüsselte Benutzerdaten finden.

Und natürlich kennen nur Sie Ihr Master-Passwort. Es wird nie auf unseren Servern gespeichert und kann somit auch nicht auf diesen gestohlen werden.

***

Hier auch interessant: Deine Meinung bitte:

Können Dashlane-Mitarbeiter auf meine Daten zugreifen?
Nein.

Mitarbeiter von Dashlane können weder auf Ihr Master-Passwort noch auf Ihre Daten zugreifen.

Ihre Daten werden mit Ihrem Master-Passwort verschlüsselt.
Ihre Daten werden lokal auf Ihrem Gerät und mit Ihrem Master-Passwort verschlüsselt. Ihre Daten können nur über Ihr Master-Passwort entschlüsselt werden.

Nur Sie kennen Ihr Master-Passwort. Es wird niemals an unsere Server gesendet oder über das Netzwerk übertragen.

(Hier steh ich auf dem Schlauch. Kannst du mir erklären wie das gemeint ist?
Ihr Master-Passwort wird standardmäßig nicht auf Ihrem Gerät gespeichert. Falls Sie es jedoch bevorzugen, sich automatisch auf Dashlane anzumelden, ohne Ihr Master-Passwort einzugeben, steht Ihnen jetzt eine Option zur Verfügung, um sich sicher an Ihr Master-Passwort zu erinnern: Diese finden Sie unter Windows und macOS ebenso unter Einstellungen wie unter Android und iOS.

Nur ein authentifiziertes Gerät kann Ihre Daten entziffern.
Ihre verschlüsselten Daten werden nur dann entschlüsselt, wenn Ihr Gerät auch authentifiziert wurde. Die Authentifizierung des Geräts wird stets überprüft, bevor Ihre Daten entschlüsselt und Ihr Dashlane-Konto geöffnet wird

Bei der Authentifizierung eines neuen Gerätes wird automatisch ein temporärer Sicherheitscode an Ihre Kontakt-E-Mail-Adresse gesendet.

Ist für Ihr Dashlane-Konto die Zwei-Faktor-Authentifizierung aktiviert, werden die temporären Codes direkt durch den Dashlane-Eintrag in Ihrer Zwei-Faktor-Authentifizierungs-App erzeugt.

und hier:

Dashlane erfordert ein starkes Master-Passwort. Wir raten unseren Nutzern, ihr Master-Passwort so komplex wie möglich zu gestalten.
Ihr Master-Passwort wird nicht auf unseren Servern gespeichert und wird niemals über das Internet übertragen. Dadurch kann Ihnen dieser Schlüssel zu Ihrem Safe nicht gestohlen werden, und Ihre verschlüsselten Daten auf unseren Servern sind für Hacker nutzlos.
Bei Dashlane wird kein Passworthinweis erfasst oder gespeichert. Da solche Hinweise häufig eine Schwachstelle darstellen, über die Unbefugte an Passwörter gelangen, werden sie bei uns nicht eingesetzt.
Dashlane speichert keine „Authentifizierungshashes“ zur Aktivierung neuer Geräte. Sie müssen jedes Mal ein Token eingeben, wenn Sie sich mit einem neuen Gerät anmelden, damit Ihre Daten sicher bleiben.
Sicherheitsmaßnahmen für die Dashlane-Infrastruktur
Dashlane wird auf Amazon AWS gehostet, einer der renommiertesten und sichersten Cloud-Hosting-Lösungen auf dem Markt.
Unsere Produkte werden allesamt regelmäßig und von verschiedenen Sicherheitsgremien geprüft.
Unsere Server werden regelmäßig auf Spuren verdächtiger Aktivitäten untersucht und unsere Infrastruktur wird regelmäßig auf Sicherheitslücken geprüft.

Zum Abschluss noch dieses hier:

Wir sind stolz auf unser Zero-Knowledge-Sicherheitssystem, das gewährleistet, dass niemand außer Ihnen Zugriff auf die vertraulichen Informationen hat, die Sie über unsere Anwendung verschlüsseln.

@PeteM92:

Mir ist allerdings auch die Bedienung wichtig und Keepass ist ja nicht ganz so einfach wie man hört.

Gruss

 

[PeteM92]

Mir ist allerdings auch die Bedienung wichtig und Keepass ist ja nicht ganz so einfach wie man hört.

Probiers doch einfach aus - das ist schneller gemacht als Forumsbeiträge zu schreiben.

 

[build10240]

Onlinebanking nutze ich nicht aber PayPal mit 2 Faktor und Amazon mit 2 Faktor (allerdings habe ich PC und Android als vertrauenswürdiges Gerät gespeichert so dass keine Code Abfrage kommt. Kommt dann nur bei anderem Gerät oder Browser).

PayPal und Amazon sind doch genauso wichtig wie Onlinebanking, weil damit mindestens genauso viel Schaden angerichtet werden kann, wenn jemand anders Zugang erlangt. Und ein zweiter Faktor auf einem mobilen Gerät, das dann auch noch als vertrauenswürdiges Gerät definiert wurde, macht den zweiten Faktor überflüssig.

Dann mein Internetanbieter.
Ansonsten etliche Foren und diverse Shops.

Muß jeder selbst wissen wie weit er da einem andern vertraut. Meines Erachtens gehören gerade Zugangsdaten zum Internetanbieter in keinerlei fremde Hände. Shop-Zugänge im Passwortmanager nur, wenn durch zweiten sicheren Faktor abgesichert.

Meinst du, dass man sich den zweiten Faktor zb. den Code oder Fingerabdruck nicht vom Programm am PC geben lassen sollte sondern lieber in der App auf dem Smartphone? Wenn der Passwortmanager auf dem PC drauf ist mein ich.

Ein zweiter Faktor sollte unabhängig sein. Die Benutzung von Dienst und zweitem Faktor auf einem Gerät ist nicht unabhängig. Gerade wenn so viele Zugänge auf einmal kompromittiert werden könnten, sollte man das ordentlich absichern.

Bequemlichkeit ist da eben der Feind der Sicherheit. Aber den meisten ist ja schon zu viel ihr Mobilgerät jedes Mal per Fingerabdruck, PIN usw. zu entsperren.

 

[jörg111]

Deshalb lasse ich mir ja einen Code per Festnetz zukommen bei Zwei Faktor.



Das nachfolgende ist für User, die Dashlane kennen in der Hoffnung, dass ich durch die schlauer werde:

Ich habe inzwischen Dashlane installiert.
Aber für jeden Passwortmanager den ich installiere zum Testen steigt doch die Datenunsicherheit weil die Firmen meine Passwörter evtl. sehen können (angeblich nicht aber man weiss ja nie). Deshalb weiss ich nicht ob ich einfach alle durchtesten soll.

Dashlane ist soweit okay.
Installation klappte inkl. Übernahme der Chrome Passwörter. Nur teilweise sind die Namen (Bezeichnungen) anders übernommen worden in Dashlane.

Mir fiel auf, dass es nicht auf allen Seiten funktioniert. Zb. bei Dr. Windows wird nur mein Benutzername automatisch ausgefüllt aber nicht das Kennwort.
Wenn ich im Benutzernamefeld auf die blaue Antilope klicke dann werde ich gefragt ob ich mich anmelden will (Anmelden als ... dann steht der Name der Seite und mein Benutzername) und dann geht es. Warum wird das Kennwortfeld nicht automatisch ausgefüllt?
Wie ist das bei Euch?


Manchmal kommt ein Fenster rechts unten dass mein Passwort schwach ist und ich es ändern soll. Aber es gibt keinen Button wo man raufklicken kann zum ändern. Nach paar Sekunden verschwindet das Fenster wieder. Oder muss ich das manuell ändern mit dem Menüpunkt? Diese automatische Änderung funktioniert bei mir nicht. Password Changer ist nicht verfügbar in Deutschland. Bei Euch auch nicht?

Noch eine letzte Sache bitte:

Gibt es ein Handbuch? Auf der Support Seite ist zwar einiges erklärt aber eine Beschreibung wie die einzelnen Einstellungen sich auswirken bzw was sie bedeuten habe ich nicht gefunden. Bei einigen Einstellungen bin ich mir nicht sicher wie sich das auswirkt.

Danke und Gruss

PS: Warum wird man bei einigen Seiten automatisch eingeloggt und bei anderen wird nur Benutzername und Kennwort ausgefüllt aber auf anmelden muss man selbst klicken?

Gerad bei Dr. Windows gibt es Probleme. Ständig ist das Passwort falsch obwohl es richtig hinterlegt ist in Dashlane. Trag ich es manuell ein bei Dr. Windows ins Kennwortfeld dann geht es. Aber weder bei auf die Antilope klicken bei Benutzername noch wenn ich die Browsererweiterung aufrufe und manuell die Daten von Dr. Windows aufrufe... Immer falsch. Dashlane scheint hier das Kennwortfeld nicht zu erkennen. Allerdings klappte es anfangs wie ich oben schrieb. Aber jetzt nicht mehr. Hmmm.

 

[ExtraDrei]

Ich benutze das kostenlose Keepass.

Ich auch, und zwar die portable Version. Die Passwörter befinden sich auf dem Stick und nicht auf irgendwelchen
Servern. Zugangsdaten für Online-Banking werden natürlich anders behandelt.