Passwörter - Sicherheit für Mail, Browser und Smartphone

Eggsplorer · 16. Januar 2017

Hey,

Annahme: Ich habe überall individuelle und mega sichere Passwörter, die ich mir leider nicht alle merken kann und will.

Frage: Wo kann ich diese Passwörter sicher aufbewahren?

Momentan habe ich fast alle meine Passwörter im Firefox gespeichert. Außerdem findet man meine Mail-Passwörter im Thunderbird und diverse Passwörter auf meinem Android-Smartphone in (Firefox for Android und diversen Apps mit Accounts).

Für mein Smartphone möchte ich mir jetzt einen Passwort-Manager zulegen, einfach um mir nicht alles merken zu müssen.
Da werde ich jetzt mal den Dashlane Password Manager testen.

Für meinen PC habe ich allerdings keine wirkliche Vorstellung, was ich machen soll. Es soll natürlich auch unkompliziert sein. Ist es unsicher, seine Passwörter in Firefox und Thunderbird gespeichert zu haben? Bisher hatte ich keine Bedenken damit, da ich ein Antiviren-Programm nutze, auf keine Phishing-Mails reinfalle und generell kein wichtiger Pollitiker bin, der von russischen Hackern heimgesucht werden könnte.

Da ich jetzt aber meine Passwörter erneuert habe, möchte ich natürlich nicht, dass mein Rechner und die darauf gespeicherten Passwörter die "Schwachstelle" sind.

Was meint ihr? Berechtigte Bedenken oder eher paranoid?

Danke =)
Viele Grüße
Eggsplorer

Edit: Windows 10, Avast Antivirus und Android 6.0

HominiLupus · 16. Januar 2017

Keepass. Das kann man auf dem Desktop und Mobiltelefon nutzen, gleichzeitig, gleiche Datenbasis.

azereus · 16. Januar 2017

ein passwort-container der verschlüsselt wird
-> keepass

den verschlüsselten container auf einem gesicherten cloud-speicher zugänglich machen
-> dropbox, ownloud, vpn+nas...

dann hast du immer darauf zugriff
-> sowohl mobile als auch lokal

Eggsplorer · 16. Januar 2017

HominiLupus schrieb:
Keepass. Das kann man auf dem Desktop und Mobiltelefon nutzen, gleichzeitig, gleiche Datenbasis.

Danke für die schnelle Antwort. Keepass sieht super aus. OpenSource mit etlichen Plugins. Was will man mehr

Sieht zwar so aus, als ob ich mich damit mal intensiver beschäftigen muss, aber bei einem so offensichtlich erfolgreichen und sinvollem Projekt ist das vermutlich lohnenswert =)

the_ButcheR · 17. Januar 2017

Nutze auch KeePass und auf dem Smartphone den dazugehörigen Ableger KeePass2Android, (verschlüsselte) Passwortdatenbank auf Dropbox, Onedrive, o.ä gespeichert und von jedem Gerät Zugriff auf alle Passwörter. Wichtig ist ein sicheres Passwort für die Datenbank.
Auf dem Smartphone sollte man zudem nicht die Zwischenablage für die Eingabe der Passwörter nutzen, denn jedes Programm hat Zugriff auf diese Zwischenablage. Es gibt in KeePass2Android eine extra Tastatur für die Eingabe der Passwörter.
Sehr nützlich ist auch die Erweiterung KeeFox für Firefox, hiermit kann Benutzername und Passwort direkt aus der Passwortdatenbank auf jeder Seite eingetragen werden.
Für Chrome kann man hierfür ChromeIPass mit dem Plug-in KeePassHttp nutzen, funktioniert dann ganz ähnlich.
Für Firefox gibt es auch ein "Firefox to KeePass Passwort Importer", damit ist der Import der Passwörter in KeePass schnell erledigt.

MfG

Eggsplorer · 17. Januar 2017

the_ButcheR schrieb:
Nutze auch KeePass und auf dem Smartphone den dazugehörigen Ableger KeePass2Android, (verschlüsselte) Passwortdatenbank auf Dropbox, Onedrive, o.ä gespeichert und von jedem Gerät Zugriff auf alle Passwörter. Wichtig ist ein sicheres Passwort für die Datenbank.
Auf dem Smartphone sollte man zudem nicht die Zwischenablage für die Eingabe der Passwörter nutzen, denn jedes Programm hat Zugriff auf diese Zwischenablage. Es gibt dort eine extra Tastatur für die Eingabe der Passwörter.
Sehr nützlich ist auch die Erweiterung KeeFox für Firefox, hiermit kann Benutzername und Passwort direkt aus der Passwortdatenbank auf jeder Seite eingetragen werden.
Für Chrome kann man hierfür ChromeIPass mit dem Plug-in KeePassHttp nutzen, funktioniert dann ganz ähnlich.

Das hört sich super an. Eigentlich genau das, was ich gesucht habe, ohne dran zu glauben, dass es sowas gibt xD
Danke, werde ich definitiv in Angriff nehmen =)

brianmolko · 17. Januar 2017

the_ButcheR schrieb:
Sehr nützlich ist auch die Erweiterung KeeFox für Firefox, hiermit kann Benutzername und Passwort direkt aus der Passwortdatenbank auf jeder Seite eingetragen werden.
Für Chrome kann man hierfür ChromeIPass mit dem Plug-in KeePassHttp nutzen, funktioniert dann ganz ähnlich.

Wozu extra diese Plugins benutzen? Autologin funktioniert doch sehr gut einfach per Tastatur.

okni · 17. Januar 2017

Schau dir mal den SafeInCloud Passwortmanager an, er ist für Windows kostenlos und für die Android App bezahlt man einmalig ich glaube derzeit 3,99 Euro, ich nutze es seit rund zwei Jahren auf allen meinen Geräten und kann es nur empfehlen.

crashbandicot · 17. Januar 2017

Eggsplorer schrieb:
Das hört sich super an. Eigentlich genau das, was ich gesucht habe, ohne dran zu glauben, dass es sowas gibt xD
Danke, werde ich definitiv in Angriff nehmen =)

Ich würde auf jedes Plugin im Browser verzichten, denn dieses kann auf die Passwörter etc. zugreifen. Autologin funktioniert nativ mit KeePass ohne irgendwelche Plugins.

Eggsplorer · 17. Januar 2017

crashbandicot schrieb:
Ich würde auf jedes Plugin im Browser verzichten, denn dieses kann auf die Passwörter etc. zugreifen. Autologin funktioniert nativ mit KeePass ohne irgendwelche Plugins.

Meinst du damit das Autologin Feature von KeePass direkt? Also z.B. Ctrl+V zum Ausfülln der Login-Felder?

Mal was anderes: Die Funktion vieler Seiten "angemeldet zu bleiben" wird ja durch KeePass nicht beeinflusst. Das kann ich nach wie vor nutzen, auch wenn es die Sicherheit wieder etwas "untergräbt", oder?

crashbandicot · 17. Januar 2017

Eggsplorer schrieb:
Meinst du damit das Autologin Feature von KeePass direkt? Also z.B. Ctrl+V zum Ausfülln der Login-Felder?

Nein, ich meine STRG+ALT+A.

Der-Orden-Xar · 17. Januar 2017

Hiergabs erst vor kurzem was zu dem Thema, wenn du noch ein paar Meinungen brauchst.

Eggsplorer schrieb:
Meinst du damit das Autologin Feature von KeePass direkt? Also z.B. Ctrl+V zum Ausfülln der Login-Felder?

Mal was anderes: Die Funktion vieler Seiten "angemeldet zu bleiben" wird ja durch KeePass nicht beeinflusst. Das kann ich nach wie vor nutzen, auch wenn es die Sicherheit wieder etwas "untergräbt", oder?

Ja, kann man. Mit dem gleichen Risiko, wie sonst auch, dass aber bei halbwegs gescheiter Umsetzung auf der Seite nur besteht, wenn jemand direkten Zugang zu dem Rechner/Handy/whatever hat.

Wenn du KeeFox benutzt müsste (AFAIK) bei durch das AddOn erstellten Einträgen in die Datenbank auch die Information haken, Kein-haken gespeichert sein, anstnsten über

Code:

{USERNAME}{TAB}{PASSWORD}{TAB} {TAB}{ENTER}

(man beachte das Leerzeichen) als Eingabesequenz.

Eggsplorer · 18. Januar 2017

Also ich konnte KeePass nun in Betrieb nehmen und muss sagen, dass mir das Prinzip sehr gut gefällt.
Vor allem in Frefox am PC lässt sich KeePass hervorragend nutzen, erst recht in Kombination mit KeeFox.

Was ich allerdings umständlich finde ist die Nutzung in Android mit Keepass2Android. Mich stören irgendwie die Benachrichtigungen, das Wechseln der Tastaturen und das Switchen zwischen Apps. Da finde ich es doch schon deutlich angenehmer im Firefox direkt meine Passwörter gespeichert zu haben.

Und da mir der Komfort und die Schnelligkeit (besonders auf dem Handy) sehr wichtig ist, bin ich nun doch am überlegen, Passwörter im Firefox zu speichern und zu syncen und sowohl am PC als auch auf dem Handy ein Master-Passwort zu verwenden. Wenn ich es richtig verstanden habe, werden Passwörter unter Verwendung eines Masterpasswortes auch verschlüsselt, auch wenn ich nicht genau herausfinden konnte wie.

Wenn ich dann zusätzlich noch individuelle, zufällig generierte Passwörter verwende, sollte die sicherheit für einen Otto-Normalverbraucher recht vernünftig sein, oder?

TommyG84 · 29. Januar 2017

Liebe Base-Members, Experten und Forenfreunde,

Eggsplorer Frage richtet sich ja bisher nur auf die Passwortverwahrung/Verwaltung...

Ich gehe mal einen Schritt zurück.

1. Wie erstelle ich denn „sichere“ Passwörter für Mail- und andere Online-Accounts?

2. Wie bzw. wie lang braucht ein Hacker um z. B. Meinen GMX oder Skype Account zu öffnen wenn eres auf mich abgesehen hat?

3. Wie kann ich es ihm so schwer wie möglich machen?

Bin gespannt auf eure Hinweise, Links und Ideen!

Danke im Vorab!

LG

Snooty · 29. Januar 2017

zu 1.: siehe https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

zu 2. und 3.: wenn er wirklich die jeweiligen Accounts/Seiten hackt - und nicht einfach nur dein Passwort herausbekommt -, dann kannst du selbst gar nichts dagegen tun. Man liest ja ständig, dass irgendwelche Datenbanken mit Nutzerinformationen gehackt und veröffentlicht wurden - das passiert nicht nur dem 08/15-Blog, sondern auch "Riesen" wie bspw. Yahoo.

zu 3.: du selbst kannst nur a) ein möglichst sicheres Passwort wählen und ggf. b) eine 2-Faktor-Authentifizierung einschalten (womit du bspw. einen zusätzlichen Einmal-Code per SMS bekommst). Das bieten aber oft nur größere Anbieter wie Google oder Microsoft.

andy_m4 · 29. Januar 2017

garfield_79 schrieb:
2. Wie bzw. wie lang braucht ein Hacker um z. B. Meinen GMX oder Skype Account zu öffnen wenn eres auf mich abgesehen hat?

Wie durchprobieren vermutlich ewig, da es einen gewissen Timeout bei Fehlversuchen gibt (zumindest geh ich davon aus, weils üblich ist) und man daher nicht beliebig viele Versuche pro Zeitabschnitt machen kann.

Dann gibts natürlich noch die Problematik, dass die Passwortdatenbank "gestohlen" wird. Erstmal kein Problem, da Passwörter in der Regel verschlüsselt gespeichert werden. Aber es fällt das Zeitlimit weg und man kann nu mit voller Rechenpower sich ans knacken machen.
Wenn Du Glück hast, bemerkt sowas der Betreiber swchnell und gibt auch eine Meldung raus, so dass Du das Problem dadurch entschärfen kannst, in dem Du ein neues Passwort vergibst.

garfield_79 schrieb:
3. Wie kann ich es ihm so schwer wie möglich machen?

Umso länger und so größer der Zeichenvorrat aus dem Du Dich bedienst, umso sicherer.

garfield_79 schrieb:
1. Wie erstelle ich denn „sichere“ Passwörter für Mail- und andere Online-Accounts?

Wenn Du Dir nicht selbst etwas ausdenken willst, nimm ein (vertrauenswürdigen) Passwortgenerator. Aber nicht so ein Online-Generator. Wenn Du es nicht auf den heimischen PC machst, kannst Du es auch sein lassen.

Unter Linux z.B.: http://www.howtogeek.com/howto/30184/10-ways-to-generate-a-random-password-from-the-command-line/
Unter Windows könnte man z.B. das PowerShell-Skript als Ausgangspunkt nehmen:
https://gallery.technet.microsoft.com/scriptcenter/Generate-a-random-and-5c879ed5

Übrigens bringen die meisten Passwortmanager eine Funktion zur Generierung von Passwörtern mit.

TommyG84 · 29. Januar 2017

@Snooty @andy_m4

Vielen Dank für eure wertvollen Hinweise, die Links und die ausführliche Erklärung!

Werde mein Sicherheitsstrategie daran anpassen!

LG

Suche

Passwörter - Sicherheit für Mail, Browser und Smartphone

Eggsplorer

Ensign

HominiLupus

Banned

azereus

Rear Admiral

Eggsplorer

Ensign

the_ButcheR

Vice Admiral

Eggsplorer

Ensign

brianmolko

Lt. Commander

okni

Admiral

crashbandicot

Captain

Eggsplorer

Ensign

crashbandicot

Captain

Der-Orden-Xar

Commander

Eggsplorer

Ensign

TommyG84

Ensign

Snooty

Commodore

andy_m4

Admiral

TommyG84

Ensign