Soweit okay! Aber wie ist Deine Einschätzung betr. lokal installierter SW? Mal abgesehen davon, dass auch hier sicherheitsbewusstes Arbeiten Pflicht ist, wäre eine solche Lösung doch wohl sicherer, oder? Halt auch unkomfortabler, weil dann nur von einem PC auf die Login-DB zugegriffen werden könnte - oder innerhalb eines hausinternen Netzwerks.
Die Frage lässt sich nicht so leicht beantworten.
Prinzipiell ist es natürlich klar, dass ein lokaler PW-Tresor besser ist, als einer, der als Online-Lösung konzipiert wurde. Es gibt auch Möglichkeiten (mit z.B. KeePas und Yubikey NFC) solche Tresore auch in einem gewissen Rahmen Mobil zu verwenden.
Aber zurück zum Thema Lokal:
Je nach dem wie Paranoid man ist, kann man auch eine lokale PW-Tresor Lösung als Unsicher einstufen. Schliesslich ist die PW-Sammlung auch in einer Datei abgelegt und wenn man keine OpenSource Lösung verwendet, könnte da ebenfalls eine Backdoor existieren. Selbst wenn man eine OpenSource Lösung verwendet, kann eine Malware geschrieben werden, welche solche Tresor-Dateien weitersendet und ein Keylogger kann wahrscheinlich das Passwort abfangen und schon ist man wieder gleich weit.
Jetzt könnte man natürlich die PW Datei in ein TrueCrypt Archiv ablegen und nur dann entschlüsseln, wenn man es braucht (somit das Risiko Minimieren). Man könnte auch eine 2 Faktor Authentifizierung verwenden (Token, FIDO Stick, etc pp) um ein Passwort Diebstahl weniger tragisch zu machen. Aber auch hier hatten wir das Problem, dass beispielsweise bei RSA die Schlüssel geklaut wurden und somit einige Hacker wohl deren Token berechnen können.
Es ist eben immer eine Frage wie weit man die Szenarien ausdenken und einrechnen möchte.
Es gibt Leute, welche ein Passwort-Schlüsselsystem verwenden. Beispielsweise Haben Sie ein Speziell-Kompliziertes PW (z.B. "0rk*faHd") dass sie sich auswendig gelernt haben und dann verwenden sie immer die ersten zwei Buchstaben und der letzte der Webseite und Domain: pcp-0rk*faHd-ch
Man kann das nun beliebig umformulieren...
Der Haken ist natürlich, dass dies auch relativ unsicher ist, sobald jemand mindestens 2-3 Dienste gehackt hat, wo du dabei bist. Das könnte reichen, dass man dann dein System erkennt.
Es gibt nun neue Ideen wie Enigmaze-Notizbuch (
http://enigmaze.org/) oder halt der Klassiker als niedergeschriebene Passwörter in einem Buch versteckt.
Im Endeffekt:
Je sicherer man etwas haben will, desto mehr Komfort muss man bereit sein auf zu geben.
Nebenbei:
Ich verwende LastPass. Der Hauptgrund war für mich der Umstand, dass ich zuerst mal alle 180 Dienste das Passwort ändern muss und zu dem Zeitpunkt gab es keine gute Alternative mit Mobile-Phone Möglichkeit (3 Rechner, 1 Mobile Phone). Trotz dieser News bin ich nun nicht in Panik. Mein Master-Passwort ist kompliziert genug und lässt sich nicht mit einem Wörterbuch knacken. Somit sollt eich noch mindestens 5-10 Jahre keine Angst haben, dass jemand mein Passwort auf LastPass hat ;)
Ich bin nun aber trotzdem am evaluieren. Zumindest die eine Option mit Keepass und dem Yubikey (der via NFC auch für Handy geht) klingt interessant und ich bin am prüfen, ob ich auf die umsteigen kann. Dann würde ich wohl zwei Datenbanken führen (Mobile und Desktop-Only)