kachiri
Fleet Admiral
- Registriert
- Apr. 2011
- Beiträge
- 18.822
Passwortmanager, wofür? Ein Passwort, welches ich in einem nicht nachvollziehbaren Muster je Anbieter anpassen. Nicht nachvollziehbar, indem ich den flexiblen Teil etwas variiere. Umso mehr Variablen ich habe, umso besser - umso schwerer wird dann natürlich wieder das Merken.
z.B. OttoMag*Variabel 1*!Variabel 2#Variabel 3
Könnte für Google dann bedeuten: OttoMagSocial!Ggl#121212
Variabel 1 -> Was für ein Account. Zum Beispiel Social, Shopping, Streaming...
Variabel 2 -> Einzigarte Variable für den bestimmten Anbieter, hier sollte man möglichst kein Muster erkennen lassen. Sprich: Den einen Anbieter kürzt man vielleicht mit 3 Buchstaben ab, den anderen mit nur einem. Die Abkürzung sind die ersten drei Buchstaben oder wie hier zwischendrin.
Variabel 3 -> Eine beliebige Zahl, die nur mir bekannt ist; möglichst also kein mit dir in Verbindung stehendes weit bekanntes Datum.
Heißt: Ich muss nur mein Basiskennwort mit Variablen 1 und 3 kennen und mir zusätzlich merken, was ich mir als Variabel 2 ausgedacht habe.
Passwortmanager mögen zwar sicherere weil einzigartigere längere Passwörter bilden und damit sicherer sein, sind aber meist auch wieder durch ein Master-Kennwort oder einen Schlüssel "geschützt" und häufig in der Cloud => Auf andere Art und Weise angreifbar.
Was zusätzlich immer auch hilft: Nicht nur verschiedene Passwörter, auch bei den E-Mail-Adressen möglichst kombinieren und vor allem nie E-Mail-Adressen nutzen, die gleichzeitig einen Login zum E-Mail-Account darstellen ; )
Und noch viel wichtiger: Wo geht, 2FA nutzen und nicht zu bequem sein. Es gibt wirklich viele, die keine 2FA einrichten, weil ihnen zu aufwendig...
z.B. OttoMag*Variabel 1*!Variabel 2#Variabel 3
Könnte für Google dann bedeuten: OttoMagSocial!Ggl#121212
Variabel 1 -> Was für ein Account. Zum Beispiel Social, Shopping, Streaming...
Variabel 2 -> Einzigarte Variable für den bestimmten Anbieter, hier sollte man möglichst kein Muster erkennen lassen. Sprich: Den einen Anbieter kürzt man vielleicht mit 3 Buchstaben ab, den anderen mit nur einem. Die Abkürzung sind die ersten drei Buchstaben oder wie hier zwischendrin.
Variabel 3 -> Eine beliebige Zahl, die nur mir bekannt ist; möglichst also kein mit dir in Verbindung stehendes weit bekanntes Datum.
Heißt: Ich muss nur mein Basiskennwort mit Variablen 1 und 3 kennen und mir zusätzlich merken, was ich mir als Variabel 2 ausgedacht habe.
Passwortmanager mögen zwar sicherere weil einzigartigere längere Passwörter bilden und damit sicherer sein, sind aber meist auch wieder durch ein Master-Kennwort oder einen Schlüssel "geschützt" und häufig in der Cloud => Auf andere Art und Weise angreifbar.
Was zusätzlich immer auch hilft: Nicht nur verschiedene Passwörter, auch bei den E-Mail-Adressen möglichst kombinieren und vor allem nie E-Mail-Adressen nutzen, die gleichzeitig einen Login zum E-Mail-Account darstellen ; )
Und noch viel wichtiger: Wo geht, 2FA nutzen und nicht zu bequem sein. Es gibt wirklich viele, die keine 2FA einrichten, weil ihnen zu aufwendig...
Der_Picknicker
Lt. Commander
- Registriert
- Nov. 2020
- Beiträge
- 1.588
Self-Hosted Bitwarden.. Würde ich jedem Empfehlen!
cyberpirate
Fleet Admiral Pro
- Registriert
- Jan. 2007
- Beiträge
- 23.567
kachiri schrieb:
Das ist es ja. Habe etliche Kunden die das wieder raus haben wollen. Bitte wie gewünscht. ist ja nicht mein Problem. Und PW Manager brauche Ich auch nicht. Nutze für alles private eh VC Conatiner. Keine Cloud oder sonstiges.
@kachiri: Mir würde die Tipperei dennoch auf die Nerven gehen. Deshalb finde ich den Passwortmanager eleganter.
Und dann hat noch jede Seite eigene Vorgaben, wie das Passwort auszusehen hat. Oh, die Seite akzeptiert das Sonderzeichen X nicht bzw. gar keine Sonderzeichen. Oh, die Seite erlaubt nur Passworter mit maximal 14 Zeichen... Oh, hier muss mein Passwort aus lediglich Zahlen bestehen. Kann man sich ja alles merken, wenn man möchte.
Und dann hat noch jede Seite eigene Vorgaben, wie das Passwort auszusehen hat. Oh, die Seite akzeptiert das Sonderzeichen X nicht bzw. gar keine Sonderzeichen. Oh, die Seite erlaubt nur Passworter mit maximal 14 Zeichen... Oh, hier muss mein Passwort aus lediglich Zahlen bestehen. Kann man sich ja alles merken, wenn man möchte.
Der_Picknicker
Lt. Commander
- Registriert
- Nov. 2020
- Beiträge
- 1.588
https://idomix.de/courses/bitwarden-password-server-auf-diskstation-fuer-privat-unternehmenNero_XY schrieb:
Das ist denke ich ein guter Einstieg...
Außer dass man nicht weiß, wie (in)kompetent der Anbieter hinter dem Dienst ist. Vielleicht hat der seine Datenbank nicht per Salt abgesichert. Dann kann man die Hashes für simple Passwörter bei einer gestohlenen Datenbank ziemlich schnell finden.GrinderFX schrieb:
Kommt eher selten vor, aber ist auch nicht undenkbar.
Ich möchte aber auch unwichtige Dinge wie Foren- und Spieleaccounts möglichst gut absichern.cyberpirate schrieb:
Das ist natürlich auch eine Möglichkeit, aber klingt für mich viel komplizierter. Es gibt genug Dienste, die nutze ich nur sehr, sehr selten. Dann immer erstmal überlegen, wie genau ich den Anbieter nun in mein Muster eingebaut habe? Ne danke.kachiri schrieb:
Dazu kommen so Sachen wie: Passwort hat eine andere Maximallänge, lässt irgendein Zeichen nicht zu oder sonst was. Vielleicht hat man auch keine E-Mail als Login, sondern einen Nutzernamen oder gar eine Kundennummer. Beim Einsatz von MFA gibt es dann auch noch für den Notfall lange, zufällige Wiederherstellungscodes. Oder wie bei meiner Versicherung eine vorgegebene PIN für bestimmte Aktionen.
Ein Passwortmanager ist außerdem aus meiner Sicht der ideale Ort, um Dinge wie Kreditkartendaten, IBANs, Identifikationsnummer und ähnliches abzulegen.
Dafür gibt es ja verschiedene Anbieter. Ich hab einfach meine KeePass-Datei per OneDrive auf alle meine Geräte synchronisiert. So lange ich keinen Keylogger auf dem PC habe und AES sicher ist, ist es auch mein Passwortcontainer. Und wenn eins von beidem nicht mehr stimmt, bin ich sowieso am Arsch.kachiri schrieb:
cyberpirate
Fleet Admiral Pro
- Registriert
- Jan. 2007
- Beiträge
- 23.567
Also die meisten Spiel Accounts bieten das! Und was das jetzt mit 2 Faktor zu tun hat das Du im Forum sicher bist verstehe Ich nicht? Hier verwendet man eben ein sicheres Passwort. Ich sagte ja das es bei einer 2 Faktor Auth eben nicht mehr so wichtig ist wie gut das PW ist.Conqi schrieb:
GrinderFX
Commander
- Registriert
- Juli 2005
- Beiträge
- 2.249
Problemlos alle 10 Sekunden einen Request ne?
https://www.1pw.de/brute-force.php
De Seite erklärt es dir.
Alleine bei Hallo321 hast du 218340105584896 Kombinationen und das mal 10 Sekunden.....
Dann bestell dir schon mal ein neues Universum und dann hast du nur EIN Passwort von jemand total unwichtigem, also absolut KEINEN Wert für einen mega Aufwand.
Denn schnellere Request werden garantiert geblockt, alleine der DDos Attacke wegen!
Sicher kann man das reduzieren aber es bleibt einfach eine zu hohe Requestmenge und rechtfertigt Kosten und Nutzen nicht nur für einen einzigen Zugang für einen vollkommen wertlosen Account.
https://www.1pw.de/brute-force.php
De Seite erklärt es dir.
Alleine bei Hallo321 hast du 218340105584896 Kombinationen und das mal 10 Sekunden.....
Dann bestell dir schon mal ein neues Universum und dann hast du nur EIN Passwort von jemand total unwichtigem, also absolut KEINEN Wert für einen mega Aufwand.
Denn schnellere Request werden garantiert geblockt, alleine der DDos Attacke wegen!
Sicher kann man das reduzieren aber es bleibt einfach eine zu hohe Requestmenge und rechtfertigt Kosten und Nutzen nicht nur für einen einzigen Zugang für einen vollkommen wertlosen Account.
