Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Passwort Manager Sinn oder Unsinn?
- Ersteller Christian_b219
- Erstellt am
hax69
Ensign
- Registriert
- Feb. 2017
- Beiträge
- 209
cosmo45 schrieb:Ich nutze seit Jahren Bitwarden Free
Ich ebenfalls. Habe vorher auch 1Password und LastPass genutzt. Bin bisher mit Bitwarden am zufriedensten, nutze allerdings die Cloud-Lösung.
Frightener
Rear Admiral
- Registriert
- Nov. 2001
- Beiträge
- 5.194
PC295 schrieb:Das wurde z.B. aus den Sicherheitsempfehlungen für sichere Passwörter die u.a. das BSI herausgibt entfernt.
Das Problem: Wenn Nutzer häufig dazu gezwungen werden Passwörter zu ändern, verleitet es sie dazu einfache Passwörter zu verwenden, nicht nur aus Bequemlichkeit sondern auch die Gefahr zu verringern, das neue Passwort zu vergessen.
https://www.mittelstand-heute.com/artikel/regelmaessiger-passwortwechsel-kann-schaedlich-sein?
Microsoft sagt dazu auch Fordern Sie kein obligatorisches periodisches Zurücksetzen der Kennwörter für Benutzerkonten., allerdings soll man gleichzeitig auch MFA erzwingen. „Regelmäßig“ kann ja auch „alle zwei Jahre“ bedeuten. D.h., wenn es keinen regelmäßigen Wechsel mehr geben soll, müssen andere Maßnahmen getroffen werden.
Und bezüglich Vertrauen in dies oder das:
Wenn man es auf die Spitze treibt, müßte man auch den Hardwareherstellern (Maus, Tastatur, Mainboard…), dem Betriebssystem usw. vertrauen. Irgendwo muß man halt Kompromisse eingehen, oder tatsächlich Stift und Papier benutzen.
Zuletzt bearbeitet:
calippo
Vice Admiral
- Registriert
- Juli 2015
- Beiträge
- 6.994
Szenario: Eifersüchtiger Freund installiert Keylogger/Spionagemalware auf seinem System und lässt Freundin den Rechner "großzügig" nutzen. Freundin trennt sich einige Zeit später, Ex-Freund kann weiterhin E-Mails lesen, bis das Passwort geändert wird.WhiteHelix schrieb:Und was soll das Kennwort wechseln bringen wenn das generiert mit 20+ Zeichen ist?
Ich wechsle meine Passwörter jetzt auch nicht nach einem festen Zeitplan, alle x Monate. Aber ich gehe regelmäßig jedes Jahr durch meine Accounts im PW Manager und deaktiviere nicht mehr benötigte Accounts, aktualisiere Daten, aktiviere 2FA wenn das als neue Funktion bereitgestellt wurde und aktualisiere hier und da auch mal ein Passwort.
jmockert89
Lt. Junior Grade
- Registriert
- Okt. 2004
- Beiträge
- 418
Ein Passwort kann wie hier schon geschrieben prinzipiell an unterschiedlichsten Stellen, sei es nun Anwender- oder Serverseite- unbemerkt ausgelesen werden. Insofern kann es bei besonders kritischen Anwendungen tatsächlich sinnvoll sein, ein Passwort hin und wieder (durch gleichfalls sicheres) zu ersetzen.
Danke für den Hinweis auf die BSI Empfehlung, die Änderung war mir so noch nicht bekannt. Ob das so uneingeschränkt seine Berechtigung hat, wage ich zu bezweifeln, muss ja jeder selbst für seine Umgebung und Anwendungen entscheiden.
Danke für den Hinweis auf die BSI Empfehlung, die Änderung war mir so noch nicht bekannt. Ob das so uneingeschränkt seine Berechtigung hat, wage ich zu bezweifeln, muss ja jeder selbst für seine Umgebung und Anwendungen entscheiden.
Incanus
Fleet Admiral
- Registriert
- Jan. 2022
- Beiträge
- 14.604
Dann wäre
Es ging um den regelmäßigen vorsorglichen Wechsel der Passwörter. Wenn die Sicherheit kompromittiert ist, ist ein Wechsel natürlich obligatorisch.calippo schrieb:Szenario: Eifersüchtiger Freund installiert...
calippo
Vice Admiral
- Registriert
- Juli 2015
- Beiträge
- 6.994
Es muss ja nicht immer so offensichtlich und klar erkennbar sein, dass eine Kompromittierung stattgefunden hat.Incanus schrieb:Wenn die Sicherheit kompromittiert ist, ist ein Wechsel natürlich obligatorisch.
Es gibt so viele Szenarien, in denen ein Passwort mal abgefischt werden kann, ohne dass der Nutzer das bemerkt.
Gebrauchten Rechner gekauft und mit bestehendem System mal hochgefahren um zu testen, ob er überhaupt läuft. Irgendwas lenkt einen ab und trotz aller guten Vorsätze und gegen jede Vernunft loggt man sich dort schnell irgendwo rein (gut, beim Einsatz von PW Managern kann mir das nicht passieren, weil ich ja erst mal aktiv den Manager installieren muss und das Keyfile lokal übertragen muss) und vergisst es.
Oder im Großraumbüro oder Zug: Der Stalker dreht die Webcam ein bisschen schräg, so dass die Tastenanschläge gefilmt werden können. Bei Gebrauch von langen Wörterketten (CorrectHorseBatteryStaple), die ja u.a. empfohlen werden, kann man nach ein paar Eingaben vielleicht schon das Passwort rekonstruieren.
jmockert89
Lt. Junior Grade
- Registriert
- Okt. 2004
- Beiträge
- 418
In der aktuellen BSI Empfehlung heißt es: "IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden. Standardpasswörter MÜSSEN durch ausreichend starke Passwörter ersetzt und vordefinierte Kennungen MÜSSEN geändert werden. […]. Nach einem Passwortwechsel DÜRFEN alte Passwörter NICHT mehr genutzt werden. […].“
Demnach wird nicht vom Passwortwechsel allgemein abgeraten, sondern lediglich vom rein zeitgesteuerten Wechsel. Dir neue Empfehlung ist also eine Konkretisierung der alten und auf dieser Grundlage ergibt es m.E. auch Sinn.
Demnach wird nicht vom Passwortwechsel allgemein abgeraten, sondern lediglich vom rein zeitgesteuerten Wechsel. Dir neue Empfehlung ist also eine Konkretisierung der alten und auf dieser Grundlage ergibt es m.E. auch Sinn.
schwimmcoder
Lt. Junior Grade
- Registriert
- Nov. 2022
- Beiträge
- 381
PW Manager haben neben den bereits erwähnten Vorteilen auch den Vorteil, das Fishing weniger klappt, da die Passwort Manager nur der hinterlegen Website die Daten automatisch ausfüllen, bei Fishing Mails wird die orginale Domain ja nachgeahm, aber groß I durch klein L ersetzt, das es dem Nutzer kaum auffällt, PW Manager füllen dann aber nicht das Feld aus und man sollte stuzig werden.
Persönlich nutze ich 1Password, KeePass wäre warscheinlich noch etwas besser, da keine Cloud, aber mir ist dann die Bedienungsfreundlichkeit nicht komplett egal. Gibt aber genug Alternativen, wie Bitwarden,Vaultwarden, Enpass, etc..
Jedenfalls alles besser als den Browser Passwort Manager.
Persönlich nutze ich 1Password, KeePass wäre warscheinlich noch etwas besser, da keine Cloud, aber mir ist dann die Bedienungsfreundlichkeit nicht komplett egal. Gibt aber genug Alternativen, wie Bitwarden,Vaultwarden, Enpass, etc..
Jedenfalls alles besser als den Browser Passwort Manager.
S
s1ave77
Gast
Gekoppelt mit 2FA ist das Passwort eh nur noch eine Komponente, die ohne die 2. Authentifikationsebene wenig Nutzen bringt. Den Zahlencode, den die TOTP-App anzeigt, im Gültigkeitszeitraum (1 min bei meiner) zu erraten ist eher Illusorisch .jmockert89 schrieb:Demnach wird nicht vom Passwortwechsel allgemein abgeraten, sondern lediglich vom rein zeitgesteuerten Wechsel. Dir neue Empfehlung ist also eine Konkretisierung der alten und auf dieser Grundlage ergibt es m.E. auch Sinn.
jmockert89
Lt. Junior Grade
- Registriert
- Okt. 2004
- Beiträge
- 418
Wobei ich offen gestanden 2FA auch nur in ganz bestimmten Bereichen wie Online-Banking etc. einsetze. Wenn man jetzt bspw. an 'normale' Web Anwendungen wie an den Zugang hier zu ForumBase denkt, wäre es ebenfalls sehr unschön, wenn sich hierzu fremde Personen Zugang verschaffen würden. Gleichwohl verwende ich hier wie für viele andere Anwendungen keine 2FA. Es ist anzunehmen, dass das 'normale' Passwort in vielen Bereichen bis auf weiteres weiterhin eine einschlägige Rolle spielen wird.mae1cum77 schrieb:Gekoppelt mit 2FA ist das Passwort eh nur noch eine Komponente, die ohne die 2. Authentifikationsebene wenig Nutzen bringt.
S
s1ave77
Gast
Bei Zugängen, die kritisch im Bezug auf Impersonation und Datensicherheit sind, ist bei mir 2FA Pflicht. Das betrifft meine private 'Cloud' ebenso wie Paypal, Email, Webspace mit Domain und viele andere. Da ist das mittlerweile Usus, das anzubieten, sollte man halt auch nutzen. Moderative/Administrative Accounts bieten das meines Wissens auch.jmockert89 schrieb:Es ist anzunehmen, dass das 'normale' Passwort in vielen Bereichen bis auf weiteres weiterhin eine einschlägige Rolle spielen wird.
AES-verschlüsselte Backups meiner TOTP-App und die Speicherung von Recoverypasswörtern in KeePass sorgen für stressfreien Umgang, durch die Möglichkeit alles auf einem anderen Gerät wiederherzustellen.
Oli_P
Commodore
- Registriert
- Mai 2006
- Beiträge
- 4.886
Hach, Password-Manager Threads. Hat man in kurzer Zeit mehrere Seiten voller Beiträge. Aber da sind auch durchaus manchmal nützliche Denkansätze bei. Ganz zu Beginn fand ich das Gegenargument zum Einsatz eines PM-Managers ganz schön, da Google ja sowieso an die Passwörter käme wenn sie denn wöllten. Also ich bin überzeugt, dass die nicht an meine ran kommen. Es ist eher ein Argument gegen den Einsatz z.B. des Chrome-Browsers als PM-Manager, weil dann speichert man seine Passwörter ja in einem Google-Produkt und synchronisiert diese schlimmstenfalls auch noch mit Google-Servern (damit man auf allen Geräten immer seine Passwörter synchron hat). Die beste Lösung ist tatsächlich eine Drittanbieter-App wie Keepass oder die Alternativen. Aber quelloffenen Code sollten diese Apps haben. Und dann macht man sich seine eigene Infrastruktur im eigenen LAN, um die Passwörter auf verschiedenen Geräten synchron zu halten. Das kann man alles offline machen, ohne dass die sensiblen Daten jemals ins Internet gelangen.
I
Iqra
Gast
Naja, das BSI ist ja weniger für Privatis da als für Einrichtungen, und da unterstelle ich mal hat nur ein statistisch insignifikanter Teil der Anwender "in etwa" Ahnung "von PCs". Dann sollen die sich alle paar Monate ein neues und vor allem sicheres Paßwort ausdenken? Natürlich nicht, die erfüllen vielleicht die Domain Policies aber mehr auch nicht, dann hatten die grad so ABCD1234 und ein Ausrufezeichen hinten dran und weil es ne PW Historie über 2 Jahre gibt wo sie die bisherigen 24 Passwörter nicht verwenden *können, naja dann wird das halt ABCD1235, 36 und so weiter. Absolut sicher... oder eher, absolut sicherer Fall wo die Vorgaben exakt das erreichen würden was sie eigentlich vermeiden sollten.jmockert89 schrieb:Ob das so uneingeschränkt seine Berechtigung hat, wage ich zu bezweifeln
Otto Normal Computerbasler sollte (hoffentlich) in der Lage sein (A) zu kapieren daß von jetzt auf eben schon mal ein Algorithmus kompromittiert werden kann, wir denken an MD5 und SHA1 und daß es (B) ja schon irgendwie weg von proof-of-knowledge in Richtung proof-of-ownership geht und daß letztere Option, vorbehaltlich "sicherer" Algorithmen, die zu bevorzugende Idee ist - Wissen kann abfließen, Ownership nicht, jedenfalls nicht unbemerkt.
PW Manager der selber noch mehrteilig abgesichert werden kann ist, vor allem in Verbindung mit Empfehlungen oder Generatoren für neue Passwörter, definitiv die bessere Option. Aber auch da gilt, je mehr Hansel da zugreifen können "sollen" desto problematischer wird es, und wenn man ssh keypairs, FIDO oder dergleichen im Sinne von "hab ich" anstelle von "weiß ich" verwenden kann, dann sollte man das auch tun. Muß man sich gar nix merken. Nur den Key dran halten. Und ihn halt nicht verlieren.
jmockert89
Lt. Junior Grade
- Registriert
- Okt. 2004
- Beiträge
- 418
Hinsichtlich BSI Empfehlung zu PW Wechsel ist mittlerweile aufgeklärt siehe meinen anderen Post oben.Iqra schrieb:Naja, das BSI ist ja weniger für Privatis da als für Einrichtungen, und da unterstelle ich mal hat nur ein statistisch insignifikanter Teil der Anwender "in etwa" Ahnung "von PCs".
Zuletzt bearbeitet:
WhiteHelix
Commander
- Registriert
- März 2022
- Beiträge
- 2.737
Dann sind Kennwörter die ggf. gewechselt werden oder nicht aber dein geringstes Problem. Da sollte man sich dann um ganz andere Lebensentscheidungen Gedanken machen, wenn das eine Möglichkeit ist.calippo schrieb:Szenario: Eifersüchtiger Freund
Woking
Ensign
- Registriert
- Aug. 2020
- Beiträge
- 255
rpsch1955 schrieb:Bei mir sind das ein paar Blätter Papier und nur ich kenn wirklich die Passwörter
Vielleicht hier mal eine Frage an alle.WhiteHelix schrieb:How to not password safe.
Bieten Passwort Manager mehr Sicherheit als eigene Passwörter welche man zuhause auf einem Blatt Papier notiert? Also ich meine gute Passwörter und nicht 1234 oder so.
Incanus
Fleet Admiral
- Registriert
- Jan. 2022
- Beiträge
- 14.604
Kommt darauf an, wofür und wie man es nutzt. Es gibt immer verschiedene Angriffsvektoren. Den Zettel zu Hause, kann jemand kopieren, oder man nimmt recht kurze, unkomplizierte Passwörter, damit das Merken und Eintippen nicht so schwer fällt, während man unterwegs ist.
Ein Passwortmanager kann auch auf mobilen Geräten sicher verwendet werden. Die Passwörter können beliebig aufwändig sein, weil man sie nicht eintippen muss etc.
Ein Passwortmanager kann auch auf mobilen Geräten sicher verwendet werden. Die Passwörter können beliebig aufwändig sein, weil man sie nicht eintippen muss etc.
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.755
Das haengt ein bisschen von deiner Wohnsituation ab.Woking schrieb:Vielleicht hier mal eine Frage an alle.
Aber solange nicht Gott und die Welt bei dir vorbeikommen kann um mal durch das Passwortbuch zu blaettern, halte ich ein solches fuer nicht die schlechteste Idee.
Ein paar Haken hat es natuerlich: Aufgrund dessen das du kein Copy/Paste oder Autotype verwenden kannst, um ein Passwort einzugeben, wirst du mit einem solchen Buch tendenziell schwaechere Passwoerter verwenden.
Bei einem Passwortmanager auf dem Rechner gibst du deine Passwoerter nicht mehr manuell ein, es ist also kein Problem an das Maximum fuer Komplexitaet und Laenge zu gehen.
Auf der anderen Seite ist ein Buch vor direkten Cyberangriffen sicherer. Einzelne Passwoerter kann ein Keylogger natuerlich dennoch abgreifen, aber nicht die ganze Datenbank.
Ein auf mehreren Geräten abgespeicherter Passwortsafe ist vor allem sicherer vor Wasserschäden, Bränden, Blitzeinschlägen, Neffen, Kaminen, Unordnung, etc.. Er ist auch deutlich komfortabler, da man Passwörter einfach kopieren und einfügen kann (und selbst das übernehmen Safes bei Bedarf ebenfalls).
Das mit Abstand wichtigste ist, dass für jeden Login ein eigenes Passwort verwendet wird.
Das mit Abstand wichtigste ist, dass für jeden Login ein eigenes Passwort verwendet wird.
Ein Keylogger holt sich einfach das Passwort zum öffnen des Safes ;-). In dem Szenario, dass der Computer kompromittiert ist, ist das händische Eintippen aus einem Buch deutlich sicherer, denn monatelang darauf warten, dass Herr Maier aus Obersdorf Passwort X eintippt ist schlicht nicht ökonomisch. Außer natürlich, er hat viel Geld auf Blockchains.Ranayna schrieb:Einzelne Passwoerter kann ein Keylogger natuerlich dennoch abgreifen, aber nicht die ganze Datenbank.
Ähnliche Themen
- Antworten
- 22
- Aufrufe
- 1.056
- Antworten
- 19
- Aufrufe
- 1.219
- Antworten
- 8
- Aufrufe
- 3.207
- Antworten
- 12
- Aufrufe
- 3.142