Passwortsicherheit Vor/Nachteile

[iKantholz]

Hallo ich möchte zwei Mögichkeiten für sichere Passwörter gegeneinander abwägen.

1. (bisher) Starke Passwörter mit Sonderzeichen, also technisch schwer zu knacken. Aber mit Merkhilfe, d.h. kennt man eines lassen sich die anderen erraten.

2. Firefox bietet einen Passwort Safe, der sich auch auf dem Mobiltelefon nutzen lässt. (wiederum durch starkes Master Passwort geschützt). Damit ließen sich nun für jeden Account generierte, maximal starke Passwörter verwenden, die auch noch völlig unabhängig voneinander sind. Aber eben abhängig von Firefox. Auf fremden Rechnern lassen sich diese nicht nutzen, weil dafür erst noch ein extra Key eingegeben werden muss, den offline auf Papier notiert ist.

Macht das von euch jemand so? Dann hängen halt sämtliche PW am Firefox Profil und sind (verschlüsselt) auf Mozilla Servern gespeichert.

3. ???

Bin durch IT Meldungen drauf gekommen, dass wohl so manche Anbieter PW in Klartext aufm Webserver liegen haben

 

[Yuuri]

3. Lastpass für Windows, Linux, Mac, Android, iOS, Firefox, Chrome, IE, Opera, Safari, ...

edit: Am besten gleich mit xmarks nutzen, dann gibts auch die Lesezeichen gleich mit überall.

 

[Hancock]

Mein Prinzip:
Einfache, merkbare Passwörter, aber nicht zu kurz und zu trivial.
Auch gern mal das Standardpasswort, außer es formt sich eine Kette, so z.B. mit der Emailadresse. Wenn ich mich bei einem Betrüger registrier/die Seite gehackt wird, soll der nicht gleich meine Emails lesen können
=> Email hat ein anderes Passwort.

Zur Berechnungssicherheit: Ab 10 Zeichen wirds echt schwer, aber mit ner Sicherheitslücke gehts am schnellsten. Es gibt ne Studie, die herausgefunden haben will, dass lange Passwörter öfters geknackt werden, weil die öfters aufgeschrieben werden.

 

[distrophik]

Also zu eins braucht man nichts zu sagen. Wenn sich bereichts das Passwort aus einem bekannten Zeichen erraten lässt, dann ist das ein schlechtes Passwort.
Aus die zweite variante sollte man sich eventuell auch nicht unbedingt verlassen. Du kannst nie sicher sein wo der Server ist, wie deine Passwörter dort verwaltet werden und wie gut der Server gegen Angriffe geschützt ist.
Übrigens solltest du für verschiedene Dienste auch verschiedene Passwörter verwenden. Klar ist es nicht so einfach so viele zu merken, dafür gibt es aber auch abhilfen.
Schau dir KeePass an. Damit kannst du viele Passwörter verwalten und die z.B. auch auf dem USB Stick transportieren.
Andere Lösung könnte z.B. ein TrueCrypt Container sein, wo du dann z.B. in einer Textdatei deine Passwörter abspeichern kannst.
Den Aufwand für die ganze Passwortverwaltung musst du aber selbst abwägen.

 

[iKantholz]

KeePass kenne ich. Das blöde ist, dass sich eine Lösung, die auf dem Rechner oder nem USB Stick liegt, nicht flexibel genug ist, um "hässliche" Passwörter einsetzen zu können.

Von 1. will ich auf jeden Fall weg. Ich hab zwar unterschliedliche Serien je nachdem wie sehr ich der jeweiligen Seite vertraue, aber ideal ist das nicht. Unabhängige Passwörter müssen aber wieder einfach sein und sind dadurch technisch leicht zu knacken, zum Beispiel dann wenn eine Seite so gehackt wird, dass die PWs verschlüsselt vorliegen.

Wie funktioniert Lastpass?

edit:
Bei Mozilla sind sie PWs nochmals End-to-End verschlüsselt, deswegen muss man ja jeden Rechner nochmals extra freischalten.

 

[Danner]

Hi Silverhawk,

ich hatte früher immer ein "sicheres" Passwort (also Buchstaben, Zahlen, Sonderzeichen, etc) aber immer das gleiche - war ein schwerer Fehler da mir deswegen fast ein ziemlich dicker finanzieller Schaden entstanden wäre ... aber egal...

Dann mußte natürlich schnell Rat her .. aber was machen?
- für jede Seite / Shop / Forum ein eigenes Passwort??
--> wer soll sich sowas merken / eine Tabelle auf nem Blatt Papier ??!!

- Passwortmanager in dem alles abgespeichert wird?
--> hmm war mir zu dem Zeitpunkt zu unsicher


Also hab ich mir was anderes Überlegt und siehe da .. ich hab für jede Seite die irgendwas mit Geld oder "wichtigem" zu tun hat ein eigenes Passwort - und ich weiß jedes auswendig!

Man muß das Passwort nur mit "System" aufbauen:
Folgendes wird ja i.d.R gefordert:
- min. 6-8 Zeichen
- Groß- und Kleinschreibung
- min. eine Zahl
- Sonderzeichen

Und so kriegste das alles unter einen Hut:

Du nimmst eine Zahlenfolge die dir geläufig ist und die ist auch bei jedem Passwort das du vergibst gleich - minestens 5 Stellen - wir nehmen hier für´s Beispiel 12345

Also Sonderzeichen nehmen wir +

Nun brauchen wir noch die Buchstaben:
Nimm die erst beste Buchstabenfolge die dir einfällt wenn du ein Passwort vergibst:
Als Beispiel hier für ComputerBase nehmen wir natürlich CB.
Das setzen wir dann vor und hinter die Zahl.

Nicht vergessen Groß- und Kleinschreibung!

Also ergibt sich hier folgendes Passwort:
CB12345cb+

Du hast alle oben genannten Kriterien erfüllt und solltest kein Problem haben es dir merken zu können.. ein paar Beispiele:

Web.de --> WEB12345web+
GMX --> GMX12345gmx+
Mindfactory --> MIND12345mind+ oder auch MF12345mf+

was dir halt als erstes Einfällt .. und falls du mal ein Passwort länger mal nicht gebraucht hast - spätestens beim 2ten versuch haste das richtige.
Natürlich kannst du die "Bausteine" so setzen wie du willst und das + nach vorn setzten - nur halt immer gleicher Aufbau - so kannst dir das leicht merken.

Ich hab mittlerweile alles was wichtig ist auf das System umgestellt - viel besser ( und sicherer) gehts wohl kaum.

Ich hoffe ich konnt´s verständlich erklären - und dir helfen!

Gruß
Danner

 

[Yuuri]

Wie funktioniert Lastpass?

So wie Firefox/KeePass/... Es gibt ein Master Passwort, das gibst du einmalig ein und hast dann Zugriff auf jedes andere, egal ob unter Windows, Linux oder dem Handy. Ist auch "doppelt sicher" dank Google Authenticator, also ähnlich Steam Guard (neue Geräte müssen erst authorisiert werden). Im Zusammenspiel mit xmarks (bekommt man zusammen gleich vergünstig), hat man all seine Passwörter und Bookmarks auch (fast) überall verfügbar (xmarks ist leider nicht so flexibel einsetzbar wie Lastpass).

 

[iKantholz]

coll, danke. Das ist dann Browserunabhängig, oder? Wäre dann von riesigem Vorteil, wenn man es -wie zum beispiel KWallet unter Kubuntu- auch für App Passwörter verwenden kann.

Ergänzung (8. November 2012)

Hi, danke für den ausführlichen Beitrag. Das entspricht in etwa der Variante 1. Wär auch kein Problem solange die jeweiligen Websiten nicht gehackt werden. Kennst du eines, kennst errätst du die anderen zu leicht

 

[Yuuri]

Im Prinzip ja, du musst dich halt nur an die Plugins halten. Unter Windows werden alle Browser unterstützt, unter Linux siehts da schon "schlechter" aus.

https://lastpass.com/misc_download.php

 

[iKantholz]

genial, danke, sowas hatte ich gesucht.

Ist da auch gleich ein passender Generator mit dabei? Werde beizeiten umsteigen. Merkbare Passwörter ab da dann nur noch für Emails, Bank etc. die bleiben aussen vor.

 

[Yuuri]

Jap natürlich. Ich hab mal ein paar Screenshots angehangen.

Wenn du ein Passwort erstellst, wird dieses automatisch in deinem Tresor abgespeichert. Theoretisch geht also kein einziges Passwort mehr verloren.
Notizen gibts auch, wo du Sachen abgelegen kannst, die nichts mit Login-Daten zu tun haben. Keys von Programmen/Spielen, Login-Daten von Anwendungen, WLAN-Passwörter, etc. sind also auch komfortabel einsehbar.
Der Im- und Export ist auch sehr umfangreich.
Profile kannst du auch erstellen - Arbeit und Privates können also wunderbar getrennt werden, falls du das wünschst. Mittels Profilen kannst du ebenso komplette Formulare ausfüllen, brauchst also hier wiederum kein zweites Addon oder Programm.
Weiterhin gibts auch einen Sicherheitstest, wo du alle gespeicherten Passwörter analysieren kannst (Anzahl gleiche Passwörter, Anzahl Stellen, Anzahl unterschiedliche Passwörter, ...).

Wenn du mal an einem System sitzt, für welches kein Plugin vorhanden ist, kannst du natürlich trotzdem auf den Tresor mittels Browser und Homepage zugreifen.

Das alles für 12 $ im Jahr ist nicht wirklich viel. Mit xmarks sind es übrigens 20 $ im Jahr, hab grad nochmal nachgesehen.

edit:

Ergänzung (8. November 2012)

Hi, danke für den ausführlichen Beitrag. Das entspricht in etwa der Variante 1. Wär auch kein Problem solange die jeweiligen Websiten nicht gehackt werden. Kennst du eines, kennst errätst du die anderen zu leicht

Das würde dann aber auch nur zu einem Problem werden, wenn die Daten nicht verschlüsselt auf dem Server vorliegen. In Lastpass kannst du auch einstellen, mit wie vielen Runden die Daten gesichert werden. Standardeinstellung ist glaube ich 500. In Kombination mit einem guten Passwort also theoretisch sicher.