News Sicherheitslücken: Passwortmanager erlauben Abgreifen von Passwörtern

[Kasjo]

@Piktogramm
Und jetzt willst du mir auch erzählen, das besagter Fauler User, dessen Datenbank mit dem MasterPasswort: Password123! abgesichert ist, auch das KnowHow dazu besitzt, seinen Rechner entsprechend abzusichern und clean zu halten, geschweige den mitbekommt, das jemand Grad seine Daten und Tastenanschläge abgräbt.

Interessante Weltanschauung die du das hast. Aber das zeigt dass nur, dass deine kriminelle Energie als auch dein Wissen nicht ausreichend sind sich vorstellen zu können, das es Relativ einfach ist auch daran zu kommen. Und das mit ein paar gpus (dabei musste ich echt schmunzeln).
Nur weil dir nicht einfällt, was andere für Möglichkeiten haben an deine Daten ran zukommen, heißt das nicht das Anderen nichts einfällt. Und in diesem Zusammenhang bringt der PW Manager keinen Sicherheitsvorteil.

Wie gesagt, Ein Passwort Manager macht nur Sinn wenn der Rest des Sicherheitskonzeptes auch Funktioniert.

Na ich glaube kaum, das das jemand ernst gemeint hat. Wenn jemand sagt in seinem Kopf ist das Passwort 100% sicher, dann fordert das natürlich ne passende Antwort heraus. :-)

Das meinte ich mit Übertreiben. Für den Normal User ist das Passwort im Kopf 100% sicher. Keiner kann wissen welche Komplexen Passwörter sich Menschen Merken können. Da gibts durchaus fähige Leute.

Jemand der seine Passwörter auf nen Papierzettel hat wird halt dazu neigen die einfach zu halten.

Das Betrifft aber auch das MPasswort des PW managers. Und wenn man den thread so verfolgt, muss man ja davon ausgehen der User gezielt angegriffen werden kann weil: Zitat: "Da ist jeder Ziel und wenn du dir nicht vorstellen kann, was die Motivation bzw. der profitable Aspekt dahinter ist bla bla ...".
Da stellt sich dann schon die frage in wie weit der PW Manager noch was bringt und ob nicht der Zettel die sichere Variante ist. Zumal es oft genug leaks gegeben hat, in dem Datenbanken geleakt worden sind bzw. Coud dienste versagt haben.
Kanns nur Zitieren:
"Leute wie heulen dann, wenn irgend eine Datenbank aufgemacht wird und ihre Universalpasswort damit verbrannt ist..."
Dem kann ich nur Zustimmen. Wer ein Passwort für alles her nimmt is selbst Schuld.

Wie gesagt, mir gings nicht um die Sicherheit einen PW manager zu nutzen, sondern allgemein. Den ersteres war ab Seite 2 schon kein Thema mehr in diesem thread. Das hat aber so mancher nicht verstanden.

 

[andy_m4]

Das meinte ich mit Übertreiben.

Das ist eher ein Beispiel dafür, das Du manche Antworten zu ernst nimmst.

Das Betrifft aber auch das MPasswort des PW managers.

Ja. Aber das ist halt nur ein Passwort was ich mir dann auch relativ gut merken kann.

"Da ist jeder Ziel und wenn du dir nicht vorstellen kann, was die Motivation bzw. der profitable Aspekt dahinter ist bla bla ...".

Klar kann jeder Ziel sein. Nicht im Sinne, das jemand Dich gezielt angreift. Meinst sind das ja so Massenangriffe a-la SPAM-Mail "Ihre Bank hat Wartungsarbeiten durchgeführt. Bestätigen sie bitte ihr Passwort". Da wirst ja auch nicht Du gezielt angegriffen. Da reicht es, wenn ein kleiner Prozentsatz drauf reinfällt.

Zumal es oft genug leaks gegeben hat, in dem Datenbanken geleakt worden sind bzw. Coud dienste versagt haben.

Passwortmanager heißt ja nicht asutomatisch Cloud nutzen.
Passwortmanager unterstützen aber dabei, für verschiedene Dienste verschiedene Passwörter zu benutzen.

Wie gesagt. Klar kannst Du das auch mit Zetteln machen. Nur wer machts? Also ordentlich?
Und es ist immer noch besser einen suboptimalen Schutz zu haben als ein Guten der nicht verwendet wird, weil er den Leuten zu aufwändig ist.

 

[Piktogramm]

Wie gesagt, mir gings nicht um die Sicherheit einen PW manager zu nutzen, sondern allgemein. Den ersteres war ab Seite 2 schon kein Thema mehr in diesem thread. Das hat aber so mancher nicht verstanden.

Ich versteh überhaupt nicht auf was du hinaus willst.
PW-Manager verbessern die Gesamtsituation (die Meinung vertritt ja auch TroyHunt der die Fehler gefunden hat). Die Nutzung ist damit zu empfehlen. Selbst fachfremde Nutzer gewinnen an Sicherheit. Aktuelle Betriebssysteme sind derart sicher und gegenüber ihren Nutzern resistent, dass Angriffe auf lokale Rechner deutlich seltener sind als auf Nutzerdatenbanken von Onlinediensten. Selbst gegen Phisihing helfen PW-Manager, da sie die URLs vor Eingabe der Logindaten prüfen. Unbedarften Nutzern ist "arbeite nicht an deinem PW-Manager vorbei" leichter beizubringen als das KnowHow um Phishing zu erkennen.

Anonsten eine simple Regel: Passwörter die für Menschen bequem sind, sind schlecht. Da muss man auch nicht Gegenbeispiele mit Menschen bringen, die sich sowas in 20facher Variation merken:

()h;>cKx1l(o<]j&j<!)w`p6'rg(YS|B 
.y{WpFap9$!e>RW[4pkCo&VSUT!PPIIu
mC+C=;[Q[p "bDw?2}2@Uq+n;|go:.(Q
|gNnnJT7'XhX]U\nD)S$f>x="9(|NQ[o
{@VQ>gi3%#H{[IvLw^{.nw@QTQ[tz[zk

Und ja, Matserpasswörter müssen nicht annähernd so kompelx. Die verwendeten Hashverfahren sind im Regelfall derart langsam, dass mit deutlich weniger komplexen Passwörtern ein gutes Schutzniveau erreicht wird.

 

[Zac4]

bequem und sicher ist auch einfaches masterpasswort + zusätzlicher Schlüsseldatei (Key File) in keepass.

 

[Turrican101]

Meine Passwörter liegen unter brain.exe. Unknackbar.

Und wie gibst du die ein? Mit der Tastatur, die jeder Keylogger nach Hause telefoniert?

 

[andy_m4]

Und wie gibst du die ein? Mit der Tastatur, die jeder Keylogger nach Hause telefoniert?

Er geht mit einer Batterie direkt ans LAN-Kabel und morst das Passwort da durch, Du noob. :-)

 

[NutzenderNutzer]

bequem und sicher ist auch einfaches masterpasswort + zusätzlicher Schlüsseldatei (Key File) in keepass.

hab keypass ad acta gelegt da so unfreundlich bzgl Einsteiger

wenn ich nun geschnallt hab wie ich nen Eintrag speicher, wie ruft man bequem ne URL auf?

also login cb meinetwegen? nie was gefunden

sind hier nun dazu übergegangen eben doch lastpass für "gefühlt" weniger wichtige Sachen zu nehmen, also social media meinetwegen

für den ein oder anderen Onlineshop/Onlinebanking etc natürlich nach wie vor nur Köpfchen und Backup im Vokabelheft

 

[DoS007]

Auch in der Open-Source-Software KeePass konnten nach Beendigung des entsperrten Modus Passwörter, mit denen der Nutzer zuvor interagierte, im Speicher abgegriffen werden. Das Masterpasswort war in diesem Fall jedoch sicher, sodass nur ein Teil der Passwörter gelesen werden konnte.

Das überrascht mich, KeePass ist ja eigentlich das Passwort-Manager-Programm. Hoffentlich wird da nachgebessert.

Das Problem mit Passwortmanagern ist Folgendes: Sie sind zentral. Eine einfache Textdatei, wo ein Passwort mit Hilfen beschrieben wird, die irgendwo ohne auffälligen Namen liegt, ist idR viel sicherer - kein automatisches Programm wird die so einfach auswertend finden. Oder noch sicherer, wenn der Ort Zuhause sicher ist, ist ein einfaches offline Notizbuch für Passwörter - eine Software kommt da sicher nicht ran.

 

[Piktogramm]

@DoS007
Mehrfach falsch.
Die bekannten Passwortmanager sichern ihre Datenbanken alle sehr gut ab. Derart gut, dass Angreifer die diese Datenbank in die Hand bekommen ohne das Masterpasswort keine realistischen Angriffschancen haben. Beim Abhandenkommen von .txt oder Notizbüchern ist genau diese Sicherheit nicht gegeben.
Vor allem, welcher Nutzer hat heutzutage bitte wirklich die Kontrolle ob sein .txt nicht doch in irgendwelchen Clouds / Backups landet wo sie sich im Zugriff von Dritter befinden kann?

Auch Files zu finden die Passwörter enthalten ist nicht so schwer. Typische Passwörter sind Strings mit einer Länge von 8-20 und befinden sich in einfachen Textdateien die selten größer als 20kB sind. Das ist eher eine Fingerübung für Angreifer als eine Herausforderung entsprechende Dateien automatisiert zu finden.
Spätestens wenn man auf Verdacht alle Dateien eines Rechners auf die häufigsten 1000-10.000 Passwörter abklopft finden man fast immer etwas.

Ansonsten: Notizbücher führen zu schlechten Passwörtern. Sichere Passwörter lassen sich nur schlecht abtippen (Länge und Komplexität), entsprechend neigen Menschen dazu schlechte Passwörter zu wählen um ihren Aufwand gering zu halten. Was es Angreifern dann wirklich leicht macht.

 

[DoS007]

@Piktogramm Man beachte das Zitat in meinem Post: "Auch in der Open-Source-Software KeePass konnten nach Beendigung des entsperrten Modus Passwörter, mit denen der Nutzer zuvor interagierte, im Speicher abgegriffen werden."

Von "

Derart gut, dass Angreifer die diese Datenbank in die Hand bekommen ohne das Masterpasswort keine realistischen Angriffschancen haben

" habe ich nicht geredet und nicht bezweifelt.

"

Beim Abhandenkommen von .txt oder Notizbüchern ist genau diese Sicherheit nicht gegeben

. " Leider nicht genau gelesen: "Textdatei, wo ein Passwort mit Hilfen beschrieben wird, die irgendwo ohne auffälligen Namen liegt, ist idR viel sicherer - kein automatisches Programm wird die so einfach auswertend finden "

"

Notizbücher führen zu schlechten Passwörtern

" man kann vieles schlecht nutzen, auch word, schlecht ist das Grundkonzept deswegen noch lange nicht.

Bevor du also beim nächsten mal etwas von "Mehrfach falsch." schreibst, empfehle ich dir, den entsprechenden Post noch mal durchzulesen. Die drei von mir kommunzierten Punkte im letzten Post sind von deinen Aussagen unberührt und nebenher.

 

[Piktogramm]

Das Problem mit Passwortmanagern ist Folgendes: Sie sind zentral.

Falsch-> Zentralität ist kein Problem. Die Datenbanken sind ausreichend abgesichert

Eine einfache Textdatei, wo ein Passwort mit Hilfen beschrieben wird, die irgendwo ohne auffälligen Namen liegt, ist idR viel sicherer

Falsch.
Passwörter die sich beschreiben lassen sind von ihrer Beschaffenheit unterkomplex und damit unsicher.
Das Wissen um die Position eines Geheimnis zum Absichern von eben diesem ist ein Antipattern namens "Security by Obscurity" und damit unsicher.
Die Benennung von Dateien interessiert Niemanden der auch nur Grundlagenkenntnisse im Schreiben von Scripten und Programmen hat.

- kein automatisches Programm wird die so einfach auswertend finden.

Files mit Passwörtern sind leicht zu finden. Solche Dateien weißen bestimmte Muster/Informationen auf. In der Regel stehen da immer URLs, Usernamen, Passwörter drinnen. Solcher Kram lässt sich sehr leicht mit simplen Bash / Powershell Scripten finden.
Selbst mit deinen "Passworthinweisen" ist das eine simple Angelegenheit bei den meisten Anwendern. Man suche eine Datei oder aber einen Ordner mit Dateien wo Dateien 100kB nicht überschreiten und wo sich die Worte

• google
• facebook
• twitter
• instagram
• pinterest
• dropbox
• amazon

finden. Bei den meisten Nutzern wird man 1-x Treffer landen und hat unter den Treffen sehr sicher genau jene Informationen die man sls Angreifer haben möchte.

Das wäre eine Aufgabe die ich Kindern bei ner CTF (Capture the Flag) stellen würde...

Oder noch sicherer, wenn der Ort Zuhause sicher ist, ist ein einfaches offline Notizbuch für Passwörter - eine Software kommt da sicher nicht ran.

Notizbücher bedingen, dass Passwörter abgetippt werden müssen. Das Tippen ausreichend komplexer Passwörter ist umständlich. Nutzer begegnen dies immer damit unterkomplexe Passwörter zu wählen und so ihre Sicherheit zu minimieren.

Dahingegen generieren PW-Manager sichere Passwörter und speichern diese sicher.

Ich bleibe dabei, dein Post zeugt im Großen und Ganzen einfach davon, dass du in diesem Bereich recht Ahnungslos bist.

 

[DoS007]

@Piktogramm Hast du heute nen schlechten Tee getrunken? Du scheinst ja ein bisschen auf Krawall aus zu sein, auch wenn ich mir schon deine Verhaltensweisen in weiteren oberen Posts so angucke. Atme doch mal einfach in Ruhe aus und sei achtsam auf das loslassen beim Ausamten. Wir sind hier alle nette Leute ✌, die hobbymäßig sich z.B. mal mit Computersachen beschäftigen.

Nun zum Post selbst:

Zentralität ist kein Problem. Die Datenbanken sind ausreichend abgesichert

Darum, dass die Datenbanken ausreichend gesichert sind, ging es mir dabei nicht. Es geht eher darum, dass so ein zentrales Programm, wie z.B. KeePass, groß und bekannt ist und somit in jedem größeren "Hack"-Toolkit "Unterstützung" bekommen wird, genau nach Daten und Arbeitsspeicherinhalten entsprechend für das Programm zu schauen. Man könnte hier auch von schlechter Steganographie durch den Bekannheitsgrad reden.

Passwörter die sich beschreiben lassen sind von ihrer Beschaffenheit unterkomplex und damit unsicher.

Vllt ist nicht ganz klar geworden, was beschreiben bedeuten kann: Ich könnte z.B. mehrere Passwörter im Kopf haben oder aus nur mir bekannten Dingen ableiten, die Beschreibung wäre also nur ein äußerer Reiz "meines" Gedächtnisabrufes. Somit ist das ganze sicher. Ich weiß nicht warum du so pauschalisierst? Wenn es dir um Anerkennung geht: Du bist bestimmt ein guter Mensch 😉.

Selbst mit deinen "Passworthinweisen" ist das eine simple Angelegenheit bei den meisten Anwendern .

Das mag sein, aber nicht jeder gehört zu den "meisten Anwendern" und nicht jeder speichert sich so die Namen bzw. die Plattformen ab.

. Bei den meisten Nutzern wird man 1-x Treffer landen und hat unter den Treffen sehr sicher genau jene Informationen die man sls Angreifer haben möchte.

Das wäre eine Aufgabe die ich Kindern bei ner CTF (Capture the Flag) stellen würde...

Kehren wir zu meinem Punkt zurück: Es ging nur um automatische Auswertung. Ein Mensch würde das sicherlich so hinkriegen - das ist aber nicht der Fall beim massenhaften Datenabgriff.

Notizbücher bedingen, dass Passwörter abgetippt werden müssen. Das Tippen ausreichend komplexer Passwörter ist umständlich. Nutzer begegnen dies immer damit unterkomplexe Passwörter zu wählen und so ihre Sicherheit zu minimieren.

S.o. ("man kann vieles schlecht nutzen, auch word, schlecht ist das Grundkonzept deswegen noch lange nicht" ). Es geht hier gerade darum, dass ohne ungewöhnliche Peripherie, die offline Welt eine harte Schranke für den Computer darstellt, und ein "offline" (hier unelektrisch) Notizbuch insofern (wenn die häusliche Umgebung sicher ist), zugriffsmäßig immer sicherer ist, als eine Programm bzw. Dateilösung im Computer.

Vielleicht auch noch mal hier betont. Mein erster Post hatte drei Kerninhalte:

• Einmal ging es um die Verwunderung über die Nachricht der News "KeePass konnten nach Beendigung des entsperrten Modus Passwörter, mit denen der Nutzer zuvor interagierte, im Speicher abgegriffen werden" -> es ist klar, dass es besser wäre, wenn diese Speicherzugriffsmöglichkeit nicht mehr dann da wäre
• Dann ging es darum, dass eine Textdatei, die nur Beschreibungen usw. nutzt, den Vorteil hat, das sie nicht so schnell wie eine KeePass Installation erkannt wird.
• Und schließlich um ein offline/haptisches Notizbuch - "eine Software kommt da sicher nicht ran "

Jetzt lies noch mal was du darauf geantwortet hast. Der einzige Punkt, den du im Kerngedanken direkt angesprochen hast, war der zweite, und zwar, indem du von einer schlechten Beschreibung ausgeangen bist.

Ich bleibe dabei, dein Post zeugt im Großen und Ganzen einfach davon, dass du in diesem Bereich recht Ahnungslos bist.

? Selbst wenn du das wirklich glaubst, verstehe ich nicht, warum du das schreibst? Jemand, der wirklich professionell ist, hätte sowas jedoch bestimmt nicht geschrieben.

 

[Piktogramm]

@Piktogramm
Darum, dass die Datenbanken ausreichend gesichert sind, ging es mir dabei nicht. Es geht eher darum, dass so ein zentrales Programm, wie z.B. KeePass, groß und bekannt ist und somit in jedem größeren "Hack"-Toolkit "Unterstützung" bekommen wird, genau nach Daten und Arbeitsspeicherinhalten entsprechend für das Programm zu schauen. Man könnte hier auch von schlechter Steganographie durch den Bekannheitsgrad reden.

What? Du widersprichst dir. Denn entweder ist der Kram sicher, oder aber mit üblichen Werkzeugen leicht zu knacken. Entscheide dich!
Auch ist eine zusätzliche Integration in "Hack-Toolkits" arg lächerlich. Speicherdumps von Prozessen ziehen ist Handwerkszeug. Dazu muss nichts irgendwo integriert sein.

Vllt ist nicht ganz klar geworden, was beschreiben bedeuten kann: Ich könnte z.B. mehrere Passwörter im Kopf haben oder aus nur mir bekannten Dingen ableiten, die Beschreibung wäre also nur ein äußerer Reiz "meines" Gedächtnisabrufes. Somit ist das ganze sicher.

Passwörter, die du dir als Mensch ohne Inselbegabung merken kannst sind technisch keine guten Passwörter. Wie du sie dir dabei merkst ist unbedeutend. Wenn du Passwörter mit Regeln erstellst und wiederherstellen kannst, sind sie ganz besonders unsicher. Regeln bedeuten Regelmäßigkeit und das ist immer ein Hauptgewinn für den Angreifer.

Das mag sein, aber nicht jeder gehört zu den "meisten Anwendern" und nicht jeder speichert sich so die Namen bzw. die Plattformen ab.

Dann anders: Eine verschwindend kleine Personengruppe ist die Ausnahme. Diese kleine Personengruppe hat sich im Verhalten und mit technischen Maßnahmen ausreichend abgegrenzt. Alle Anderen sind "die Meisten" deren Schutz nur darin besteht noch nicht belastet worden zu sein.

Kehren wir zu meinem Punkt zurück: Es ging nur um automatische Auswertung. Ein Mensch würde das sicherlich so hinkriegen - das ist aber nicht der Fall beim massenhaften Datenabgriff.

Willst du mich verarschen? Wenn so ein Script einmal geschrieben ist, kann man es an beliebige Exploits anhängen, ausführen lassen und zu eigenen Command & Control Systemen übermitteln lassen. Das ist die Paradedisziplin automatisierter Angriffe. Zuletzt war nur Schutzgelderpressung mittels Cryptotrojanern gewinnbringender.

S.o. ("man kann vieles schlecht nutzen, auch word, schlecht ist das Grundkonzept deswegen noch lange nicht" ). Es geht hier gerade darum, dass ohne ungewöhnliche Peripherie, die offline Welt eine harte Schranke für den Computer darstellt, und ein "offline" (hier unelektrisch) Notizbuch insofern (wenn die häusliche Umgebung sicher ist), zugriffsmäßig immer sicherer ist, als eine Programm bzw. Dateilösung im Computer.

"Hier geht es darum".. als ob eine Einzelperson bestimmen könnte um was es in einer Diskussion in Gruppen geht -.-

Die Schwachstelle des Notizbuches ist nicht der physische Zugriff (f1) darauf. Sondern die wenig komplexen Passwörter die bei der Nutzung solcher Verfahren einhergeht. Diese wenig komplexen Passwörter sind angreifbar wenn mal wieder eine Datenbank von einem Onlinedienst gehackt wird. An der ist das unterkomplexe Passwort angreifbar. Hier erlauben Passwortmanager schlicht und ergreifend die bequeme (!) Nutzung sicherer (!) Passwörter. Benutzungsfehler werden fast komplett ausgeschlossen.

Vielleicht auch noch mal hier betont. Mein erster Post hatte drei Kerninhalte:

Bis auf deine Bemerkung zum Speicherverhalten von Keepass ist der restliche Kram den du geschrieben hast Stuß bzw. anerkannte Antipattern der IT-Sicherheit. Aber davon magst du anscheinend nicht abkommen.

Selbst wenn du das wirklich glaubst, verstehe ich nicht, warum du das schreibst? Jemand, der wirklich professionell ist, hätte sowas jedoch bestimmt nicht geschrieben.

Ich schreibe es, weil ich zu dieser Meinung gekommen bin...
Schau mal nach was "professionell" heißt. Die meisten Begriffserläuterung verknüpfen diesen Begriff vorranging mit gerwerblichen Handlungen. Wenn du mich ausreichend gut bezahlen würdest, würde ich anders kommunizieren. In dem Falle würde ich dir eine sehr gute Ausgangslage im Bereich Cyber attestieren, dies jedoch mit einer Empfehlung verknüpfen dein Wissen rund um Security über eine 2-Tägige Schulung weiter auszubauen (800€ phne Übernachtung, Provision enthalten)

(f1)
Also so ein physisches Notizbuch ist definitiv eine Schwachstelle. In Behörden, Betrieben und Vereinen wäre eine solche Lösung unzulässig, wenn damit der Zugang zu persönlichen Daten möglich wäre.

 

[DoS007]

@Piktogramm Schade, dass du wieder nebenher redest. Ich habe den starken Verdacht, dass du gar nicht verstehen willst, was man dir kommunziert. Ich wünsche dir trotzdem noch einen schönen Tag 👍.

 

[shinXdxd]

Den mag es auch geben, aber alleine die Chance durch PW-Manager seiner Passwörter entledigt zu werden, würde ich höher einstufen. Mal ehrlich: Welchem IT-Softwareanbieter würde man seine gesamten PW anvertrauen?

Sich selbst, KeePass, da Open-Source und keine Cloud-Geschichte. Kann man immerhin komplett offline verwenden. Also würden die PWs in eigenen Händen bleiben.

Der Mensch hat zehntausende von Jahren in Höhlen gewohnt, deutlich länger als in gemauerten Häusern..

Trotzdem finde ich Häuser wesentlich besser. Ein Standard, auf den ich nicht mehr verzichten möchte.

Wozu brauche ich die als Privatmann? So wichtig sind meine Daten nun auch wieder nicht.
Ich könnte mir auch ein Konzept mit 20+ stelligen PW überlegen, für das ich noch nicht einmal einen Zettel brauche, der ist bei meinen PW aber die schnellere Lösung.

Als würden sich Hacker oder sonstige Trolle "wichtige" Personen aussuchen. Es kann jeden Treffen.
Aber ich versteh schon was du meinst, ich verwende erst richtig lange (15+ Zeichen) seit ich KeePass verwende. Immer halt dsa Maximum, was eine Seite zulässt.
Zumindest als kleine Sicherheitsfunktion stehen nur PW's mit Bezeichnungen dabei, ohne Benutzernamen würde man sich ja immerhin auch nicht einloggen können. Benutzernamen stehen unr dabei. wenn's mir egal ist würde der Account weg sein.

Aus Prinzip müsste ich mein Geld in Gold umwandeln und hier im Haus (oder Garten) verstecken oder in Immobilien oder Gründstücke investieren, aus Bequemlichkeit mache ich es jedoch nicht. Banken heutzutage blind zu vertrauen ist sehr naiv. Wenn das System richtig crasht, ist die Kohle weg und auch die Bundesregierung wird das nicht mehr unterbinden können.

Auch ne gute Möglichkeit, solang der Goldpreis nicht auch mit dem System mit crashen würde.

Ergänzung (24. Februar 2019)

Passwörter, die du dir als Mensch ohne Inselbegabung merken kannst sind technisch keine guten Passwörter. Wie du sie dir dabei merkst ist unbedeutend. Wenn du Passwörter mit Regeln erstellst und wiederherstellen kannst, sind sie ganz besonders unsicher. Regeln bedeuten Regelmäßigkeit und das ist immer ein Hauptgewinn für den Angreifer.

Tut mir leid, aber dem muss ich Widersprechen.

AckerHundKatzeLindaSenfUhrSchmetterling ist nicht allzu schwer zu merken und wäre auch ein gutes Passwort.

Man könnte auch noch ein paar Sonderzeichen einbauen wie z.B. "Acker-Hund_Katze LindaSenfUhrSchmetterling

 

[Arcturus128]

@Piktogramm
Du wirkst recht aggressiv, geh' es mal ruhiger an.

Passwörter, die du dir als Mensch ohne Inselbegabung merken kannst sind technisch keine guten Passwörter. Wie du sie dir dabei merkst ist unbedeutend. Wenn du Passwörter mit Regeln erstellst und wiederherstellen kannst, sind sie ganz besonders unsicher. Regeln bedeuten Regelmäßigkeit und das ist immer ein Hauptgewinn für den Angreifer.

Die Schwachstelle des Notizbuches ist nicht der physische Zugriff (f1) darauf. Sondern die wenig komplexen Passwörter die bei der Nutzung solcher Verfahren einhergeht. Diese wenig komplexen Passwörter sind angreifbar wenn mal wieder eine Datenbank von einem Onlinedienst gehackt wird. An der ist das unterkomplexe Passwort angreifbar. Hier erlauben Passwortmanager schlicht und ergreifend die bequeme (!) Nutzung sicherer (!) Passwörter. Benutzungsfehler werden fast komplett ausgeschlossen.

Das stimmt so nicht. Sichere Passwörter können auch leicht zu merken sein, ein Beispiel wurde bereits von @shinXdxd genannt. Das einzige was wirklich wichtig ist, ist dass die Länge der Art des Passwortes gerecht wird. Man kann auch aus Wörtern aus dem Duden ein sicheres Passwort machen, solange man genug Zeichen hat. Dass nur komplexe Passwörter sicher sind ist ein Ammenmärchen.

 

[TrueAzrael]

Tut mir leid, aber dem muss ich Widersprechen.
AckerHundKatzeLindaSenfUhrSchmetterling ist nicht allzu schwer zu merken und wäre auch ein gutes Passwort.
Man könnte auch noch ein paar Sonderzeichen einbauen wie z.B. "Acker-Hund_Katze LindaSenfUhrSchmetterling

Das stimmt so nicht. Sichere Passwörter können auch leicht zu merken sein, ein Beispiel wurde bereits von @shinXdxd genannt.

Zumindest vor einigen Jahren waren solche Satzpasswörter, nach den beliebtesten Passwörtern und Einzelwörtern mit das erste was Brute-Force-Algorithmen durchgearbeitet haben. Ja auch mit Sonderzeichen dazwischen, mit heutiger Rechenleistung wohl innerhalb kürzester Zeit.

Natürlich muss sich dazu erst einmal jemand die Mühe machen deinen Account mit Brute-Force knacken zu wollen. Aber die Annahme gilt ja auch für das ursprüngliche Thema, denn Administrator-Rechte abgreifen und dann gezielt nach Passwörtern in Speichdumps suchen passiert in der Regel nicht im vorbeigehen.

 

[Hirtec]

AckerHundKatzeLindaSenfUhrSchmetterling ist nicht allzu schwer zu merken und wäre auch ein gutes Passwort.

Man könnte auch noch ein paar Sonderzeichen einbauen wie z.B. "Acker-Hund_Katze LindaSenfUhrSchmetterling

Jup, gutes Password, aber mach das bei ein paar Diensten und du verlierst den Überblick. Und dann musst du noch überlegen, wo welche Sonderzeichen waren etc. Und nach ein paar Wochen des Nichtbenutzens besteht die Gefahr, dass du Sachen vergessen hast. Deshalb möchte ich Passwortmanager nicht mehr missen. Ein gutes Masterpasswort und man kann den Rest vergessen. Sehr bequem.

Notizbücher halte ich persönlich für keine praktikable Lösung. Eigentlich gut, dass die Passwörter offline sind, aber mir graust es davor, diese abtippen zu müssen. Copy+Paste oder per Plugin die Daten in den Browser kopieren ist wieder bequemer.

 

[shinXdxd]

@Hirtec Über mir.
Ich sag ja nichts gegen Passwortmanager, ich verwende selbst KeePass. Und wie Snowden so schön sagte, sollte man weg von Passwörter zu Passphrasen gehen. Für viele wäre das auf jeden Fall eine gute alternative für ihr Masterpasswort. Man kann ja auch mittendrin irgendetwas wie "AckerHund =;ney%Rw KatzeLindaSenfUhrSchmetterling " einbauen.
Außerdem dauert Brute-Force ewig. Ich hatte mal ein 3-stelliges PW via bruteforce geknackt, bei dem bekannt war, dass es nur kleinbuchstaben von a-z sein können. Allein das dauerte schon fast 30sec in der VM.
Laut dieser news wäre zwar eh schon alles egal, wenn das System so weit infiltriert ist, dass der Angreifer Adminrechte hat, jedoch im normalen Rahmen weiß der Angreifer ja nicht ob man ein Passwort oder eine Passphrase verwendet.
Auch so eine Diceware Liste zu bruteforcen wäre einfach idiotisch und würde, sofern nicht einfach ein Zufallstreffer kommt, nicht in absehbarer Zeit machbar.
Ich meine auch mal gelesen zu haben, KeePass hat einen Schutz, dass nur 1500 Bruteforce versuche pro Sekunde gestartet werden können. (Bin mir jetzt allerdings nicht sicher ob das stimmt)
Zum Vergleich: Ohne Schutz sind 1 Milliarden oder mehr Versuche möglich.

 

[Piktogramm]

Tut mir leid, aber dem muss ich Widersprechen.

AckerHundKatzeLindaSenfUhrSchmetterling ist nicht allzu schwer zu merken und wäre auch ein gutes Passwort.

Man könnte auch noch ein paar Sonderzeichen einbauen wie z.B. "Acker-Hund_Katze LindaSenfUhrSchmetterling

Wieso sollte das ein gutes Passwort sein? Diese Regel "Wähle einige Wörter und hänge sie aneinander" ist bekannt. Die Regel die man seinem Passwortknacker mitgibt ist also:
Nimm diese Liste mit den häufigsten 500-2000 Wörtern, baue daraus Passwörter und versuche ob es passt. Variiere die erhaltenen Passwörter mit Leetspeek und 3-5 Stellen Sonderzeichen.

Wenn überhaupt sollte man Diceware nutzen und sich da strikt an die Regeln halten und mindestens 6 Wörter nutzen: https://en.wikipedia.org/wiki/Diceware
Die Handhabung entsprechender Listen ist aber in meinen Augen wenig nutzerfreundlich und die enthaltenen Worte mitunter komplexerer Natur. Das Resultat ist dann all zu oft, dass die Nutzer doch nur die simpleren Worte der Listen nutzen und damit ihre Sicherheit untergraben.

Ergänzung (25. Februar 2019)

Außerdem dauert Brute-Force ewig. Ich hatte mal ein 3-stelliges PW via bruteforce geknackt, bei dem bekannt war, dass es nur kleinbuchstaben von a-z sein können. Allein das dauerte schon fast 30sec in der VM.

https://gist.github.com/epixoip/a83d38f412b4737e99bbef804a270c40

Es kommt da natürlich auf das Hashverfahren drauf an und auf die Software die du genutzt hast. Als Angreifer würde ich ja Hashcat / Jack the Ripper nutzen und das auf mehrere Grafikkarten laufen lassen.
Eine Nvidia GTX1080 zum Beispiel. Die schafft ~2900MH/s (Millionen Hashes je Sekunde) bei SHA256. Bei deinem Kumpel hätte ein BruteForce Angriff also ganze 0,000006 Sekunden gedauert (26³/2900.000.000). Unter der Prämisse, dass du das richtige Werkzeug hast.

Das ganze ließe sich beschleunigen indem man zu AMD Vega bis Vii greift. Mehrere Grafikkarten nutzt und/oder dicke FPGAs in Stellung bringt.