Passwörter verwalten

Moin,

habe 2 Passwörter für Sachen die mir wichtig sind.

dann habe ich mir aus Bequemlichkeit angewöhnt die Passwörter (die vielen unwichtigen) in Chromium abzuspeichern und auch von Chromium erstellen zu lassen.

Wäre ich Paranoide würde ich auf sowas zurückgreifen.

Gruß

Tjaja, die Sache mit den Passwörtern.

Den ständigen Wechsel von PWs erspare ich mir, das habe ich noch nie eingesehen solange nicht bekannt wurde dass entsprechende Accounts gehackt wurden.

Grundsätzlich hilft natürlich nur ein klares Köpfchen um überall seine PWs parat zu haben, Passwortsafes welche sich über andere Server syncen gehen für mich gar nicht.

Was hältst du von einem System bei dem ein Großteil des PW immer identisch ist und ein anderer Teil entsprechend für jeden Account anders, so dass Du Dir aber dennoch merken kannst wie dieser Teil passend zum Account lautet?

Das mit den Richtlinien ist mir auch immer ein Dorn im Auge, dazu mache ich mir gerne mal Notizen wie zB "ohne Sonderzeichen" oder "letzte 8 Zeichen".

Im ernstfall ist die Passwortrücksetzfunktion ein guter Freund von mir

Identische PW für verschiedene Dienste kommt für mich nicht in Frage.

Und da die PW doch nicht mehr Gedächtnisfreundlich sind, verwende ich einen PW Safe.

Da muss ich mir nur noch ein PW merken, mit dem komme ich an den Rest.

Natürlich habe ich auch noch 3-17 weitere PW im Hinterkopf, aber alle rund 80-100 kann ich mir nicht merken!

Erst recht, wenn man genötigt wird, diese alle x Tage/Wochen zu ändern.

Gruss

Hallo Festus,

Passwortsafe/-manager samt einem ordentlichen Konzept und gut is'!

Alles Andere ist auf Dauer ein fürcherliches Gefrickel, zudem anfällig für Fehler und Verlust.

Deine Excelliste ist dann ok, wenn du einerseits den "physischen" Zugriff durch Dritte darauf wirklich verlässlich sicher unterbinden und verhindern kannst und die Passwörter auch nur auf dem PC benötigst. Sicherung per Passwort ist hier nicht ausreichend, weil man das Passwort beispielsweise einer XLSX-Datei recht einfach entfernen kann - und damit wird schon die Datensicherung zu einem Sicherheitsproblem, wenn diese nicht insgesamt gut verschlüsselt ist.

Ich selber nutze einen der erwähnten Passwortmanager, und zwar KeePass.

Im Browser werden keine Passwörter gespeichert, dafür das AddIn Kee - das kommuniziert mit dem Passwortmanager (den ich natürlich manuell öffnen oder entsperren muss, sonst hätte der Aufwand für die Sicherheit ja keinen Sinn) und dort stehen die PW dann drin und werden in den Anmeldefeldern der Webseiten dann auch vorbelegt. Man muss also nichts kopieren oder abtippen o.ä.

Nur das Kennwort für KeePass (bei mir >20 Zeichen) muss man sich natürlich wirklich gut merken.

Die Datenbank ist AES256-verschlüsselt, also nach derzeitigem Kenntnisstand sicher. Deshalb synce ich sie ohne Sorge manuell (also nur nach Änderungen) über gleich mehrere Clouddienste und habe einerseits genug Kopien (auch auf lokalen Rechnern und Sticks und dem NAS sowieso) und andererseits kann ich mit/unter alles Systemen auf meine Passwörter zugreifen, Win, iOS, Android ... also wenn hier der Blitz einschlägt, ein Erdrutsch alles verschlingt, ein Hochwasser oder Brand nichts übrig lässt - dann habe ich zumindest noch die Klamotten am Leibe und alle meine Passwörter

Systeme, die auf (fremden) Servern meine Passwörter ablegen, sind mir ein Graus, Eingabe/Pflege/Abruf per Browser ist für so etwas Sensibles nicht sicher genug für mich; ich habe auch meine Bankdaten, Seriennummern von Geräten sowie Lizenznummern/Keys gekaufter Software da drin abgelegt; man kann ja wunderbar eine eigene Struktur mit Ordnern aufbauen.

Gimmick: Keepass hat irgendwas um die 50 (?) Icons drin, um die Einträge sozusagen zu "klassifizieren" - und man kann noch eigene reinnehmen. Diese sollten sollten nur schon vorher verkleinert werden (bei mir ca. 1KB pro einzelner PNG-Datei), denn solche Sachen wie importierte eigene Icons wie auch Anhänge (die man also auch einbinden kann) machen die Datenbank groß.

Bei weit über 100 Webseiten-Anmeldedaten, diversen "Identitäten" von verschiedenen Messengern (ich nutze das System schon sehr lange, da ist noch meine ICQ-ID samt PW drin ), Bankingdaten, ca. einem Dutzend Mailaccounts bei kaum weniger Anbietern, Rufnummern samt PIN/PUK für die Mobilfunkverträge der Familie usw. usw. usw. plus der erwähnten Seriennummern und Keys sowie zusätzlichen Icons ist meine Datenbank knapp über 130 KB groß.

Ständiges Wechseln von PW wird tatsächlich schon länger nicht mehr empfohlen und wer wie meine Vorschreiber unterschiedliche PW je Dienst nutzt, muss auch keine größeren Sorgen wegen Leaks und deren Auswirkungen auf andere Dienste etc. haben.

Und was glaub ich noch nicht erwähnt wurde: die meisten Passwortmanager bringen auch eine Funktion mit, um mehr oder minder zufällige PW zu generieren. Nutze ich inzwischen auch immer häufiger - und wenn ein System einfacherere Kennwörter verlangt, kann ich jederzeit das generierte PW manuell stutzen, kürzen oder Sonderzeichen ersetzen. Verlängern und komplizieren geht natürlich auch

Links:

https://de.wikipedia.org/wiki/KeePass

https://www.tecchannel.de/a/ke…-password-manager,2019409

oder was dir die SuMa deines geringsten Misstrauens dazu ausspuckt und natürlich

https://keepass.info/

MfG

Frank

Ich nutze mittlerweile Keepass als Passwortmanager in Verbindung mit Nextcloud. Ich kann so meine Passwörter zentral verwalten, habe einen Sicherheitsschlüssel und ein Passwort zum gesicherten Zugriff auf die Datenbank und kann die Passwörter mittels Windows / Android / IPhone zentral ansteuern. Dadurch habe ich keine unsicheren Passwörter mehr und kann mir diese beliebig mittels integrierten Generator erstellen. Positiv dabei ist auch die Integration in Firefox mittels Addon. Ich weiß so bis auf das eine Passwort eigentlich nur noch sehr wenige Passwörter selbst. Für mich funktioniert das sehr gut.

Keepass ist genial.

Weil er mega flexibel ist.

Ein PWgenerstor ist dabei der von einfach bis zum vollen ASCI Zeichensatz alles raus haut.

Ein neuer Inet Shop Punkt 1 Keepass Eintrag erstellen, speichern und dann im Shop registrieren.

Man findet über die Suche alles wieder.

Schwiegervater hat 1PW und das ist ein Horror Tool wenn man Keepass gewohnt ist.

Mega gut ist die Handy App und der Sync. über einen cloud dienst.

So hat man immer alles dabei.

Meine DB hat jetzt 98KB und da ist nur ein Icon import dabei aber hunderte Einträge.

Wird ein Dienst geknackt haben die ein generiertes PW und das ist fix geändert.

PW Änderungen nach Zeitplan, Vorgabe/Empfehlung von Vorgestern.

Machen aber viele Firmen immer noch.

Dann hast die unter der Tastatur oder am Monitor hängen. Musst nur das aktuelle Jahr oder Monat Jahr ergänzen.

Nutze auch schon lange KeePass, auf Windows-PC und sämtlichen Androiden. Addons im Browser sind mir zu undurchsichtig hinsichtlich Sicherheit. Man kann KeePass auch so konfigurieren, dass man per Strg + Alt + A den zum aktuellen Fenster passenden Eintrag angeboten bekommt (Pattern-Matching Fenstertitel) und diesen per Klick eintragen lassen kann.

Auf Windows kann man seine Datenbank auch per Fingerabdruckleser über Windows-Hello entsperren lassen, am Handy oder Tablet sowieso. Damit ist das Ganze auch praktisch.

Ich synchronisiere nicht über die Cloud, sondern per Qsync übers NAS. Für Windows-KeePass gibt es viele Plugins, einige davon zur zusätzlichen Erstellung von Datenbank-Backups. Kann man so einstellen, dass bei jedem Speichern gleich noch eine versionierte Kopie erstellt wird. Die Anzahl der Versionen kann man festlegen.

KeePass nutze ich nicht nur für Passwörter, sondern auch für Lizenzdaten, Kartendaten usw. Man kann auch komplette Dokumente einbinden, Sicherheitsfragen für Accounts usw. Der integrierte Passwortgenerator ist flexibel anpassbar. Das Teil ist einfach die eierlegende Wollmilchsau 😀.

Und von allem das Wichtigste ist für mich die Nutzbarkeit auf so gut wie allen Plattformen sowie dass es Open Source ist.

Bin auch ein Freund von KeePass. Parallel pflege ich zumindest für die wichtigen Passwörter ein Passwortbuch. Mittlerweile im A6-Ringbuchformat, wie man das jährlich bei den Discountern mit Kalendarium für kleines Geld kaufen kann. Das Adressregister wird missbraucht, um die Einträge alphabetisch abzulegen. Das Ringbuch hilft, altes Zeug einfach aussortieren zu können.

Hier findest du wertvolle Beiträge zu Keepass und wie man den Passwortmanager sicher anwendet:

https://www.kuketz-blog.de/?s=keepass

Und mit der nächsten Generation von Grakas dann 1 Tag.

Das ist eine Momentaufnahme.

Vor 5 Jahren dachte auch keiner das ein Seitenkanalangriff auf Intel CPUs möglich sein würde.

Zitat von Festus1

Und selbst bei 33 Jahren (auf einem normalen PC) - meinetwegen Stunden auf einem Supercomputer, wer sollte sich diese Mühe machen um meine unscharfen Urlaubsbilder zu sehen. Oder im Schlimmsten Fall auf mein bescheidenes Konto zugreifen zu können?

Na siehste, hast du ja doch noch gemerkt, dass diese Diskussion müssig ist.

Für ein Passwortsafe reicht deshalb meiner Meinung nach eine Passwortphrase wie: ImTeichschwimmen5Enten!

Zitat von phoneo

Für ein Passwortsafe reicht deshalb meiner Meinung nach eine Passwortphrase wie: ImTeichschwimmen5Enten!

Sehe ich ebenso. Etwas Merkbares mit >20 Länge, das aus Zeichen von mindestens drei der vier Gruppen Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen enthält. Bringt mehr als Festus' mäßig kryptische, aber viel zu kurze Zeichenketten, nicht zuletzt unter Berücksichtigung der von Crazyhorse erwähnten rapiden Stiegerung der Rechenleistung von Prozessoren und eben auch Grafikkarten.

Zitat von Festus1

Sind die Superpassworthackerprogramme so dumm, dass den Satz mit den Entchen nicht erkennen und dann nur noch die Anzahl probieren müssen?

Erkennen tun die garnichts. Die testen einfach durch. Es geht los mit den 08/15-Passwörtern wie 1234 usw., die ja auch oft genug als mit Abstand häufigst genutzte Passwörter veröffentlicht werden, also mit eben diesen Listen von supersimplen Passwörtern von Leuten, die es sich gern SEHR einfach machen.

Dann kommen beispielsweise alle Begriffe aus Wörterbüchern, vermutlich zuerst der Länge, danach der Häufigkeit und zuletzt dem Alphabet nach.

Solche Wörterbuchangriffe umfassen ggf. auch gängigere Zeichenersetzungen, z.B. 4 statt a oder 3 statt e. Ein Kennwort "K4r4wan3" statt "Karawane" beispielsweise würde für einen solchen Angriff kein ernsthaftes Hindernis sein.

Bis zu welcher Buchstabenzahl das probiert wird, weiß ich nicht, kann man vermutlich einstellen. Irgendwann gehen diese Tools zum sog. "brute force" über, dem Durchtesten einfach aller mit einer gewissen Auswahl von Zeichen möglichen Kombinationen, also quasi mit Gewalt.

Und das ist dann auch die Stelle, wo das Ganze aufwändig und zeitraubend wird. Einfach gesagt braucht es

die Summe von m^x (m hoch x) über alle x-Werte von 1 bis l (kleines L)

mit m = Menge bzw. Anzahl der zu berücksichtigenden unterschiedlichen Zeichen und

l = Kennwortlänge.

für ein Kennwort mit 6 Zeichen Länge also m^1 + m^2 + m^3 + m^4 + m^5 + m^6

(Dafür gibt es auch eine Formel, die hab ich aber schon vor Jahrzehnten vergessen und bin grad zu faul zum Suchen)

Nimmt man mal nur die 26 Buchstaben des lateinischen/englischen Alphabets (Sonderzeichen wie ä, ö, ü oder griechische, kyrillische Buchstaben usw. usw. können nicht alle Systeme) und davon jeweils noch groß und klein, hätte man 52 verwendbare Zeichen. Hinzu kommen die Ziffern 0 bis 9, schon sind es 62 verschiedene Zeichen, die sich für Kennwörter verwenden lassen. Nehmen wir die Rechenzeichen hinzu und runde Klammern und #, &, % und noch ein paar mehr, steigt die Zahl der nutzbaren Zeichen noch weiter. Gern vergessen wird dabei auch das Leerzeichen, welches sich aber auch in vielen Systemen verwenden lässt - das würde ich aber vorher testen

Nimm eine nicht zu kleine Zahl an für die Anzahl der verschiedenen nutzbaren Zeichen für die oben genannte Variable m (z.B. 70) und rechne mal spaßeshalber die Zahl der nötigen Versuche für drei Kennwörter verschiedener Länge aus, vielleicht einmal für 12 Zeichen Länge, einmal für 16 Zeichen und einmal für ein 20 Zeichen langes Kennwort. Die Zahl der Versuche zum Erraten ginge sehr steil nach oben .......

Selbst wenn das Zielsystem nicht nach X Fehlversuchen blocken würde, kommen wir allein durch die schiere Anzahl von nötigen Versuchen zu Rechenzeiten, die das Lebensalter jedes Menschen locker überschreiten.

Um das zu reduzieren, versuchen sich Angreifer oft noch darin, die Zahl der überhaupt genutzten Zeichen abzuschätzen und die oben exemplarisch genannte Basis (Variable m) der verschiedenen Zeichen sinnvoll zu reduzieren. Zum Beispiel wird man häufig Zeichen weglassen, die bei der Eingabe höheren Aufwand als beispielsweise nur das zusätzliche Drücken der Shift-Taste erfordern (z.B. eckige und geschweifte Klammern) - die Bequemlichkeit der meisten Anwender ist hier ein ganz brauchbares Kriterium, um die fürs Durchprobieren zu verwendenden Zeichen zu reduzieren, ohne die Erfolgschance übermäßig zu senken.

Zitat von Festus1

Davon abgesehen, will ein Passwort ja erst mal eingegeben werden

Zumindest das schafft ein "Superpassworthackerprogramm" doch in Mikrosekunden und es schafft auch 'zig oder gar Hunderte oder noch viel mehr Passwörter pro Sekunde ....

Wie auch immer: Am Ende ist es die Länge des Passwortes, die den Aufwand zum Erraten bzw. Knacken nebst natürlich diversen weiteren Faktoren ganz maßgeblich definiert.

U.U. wird es einfacher, das ganze System zu hacken und anders auf die geschützten Daten zuzugreifen (inkl. Einbruch und physischer Zugriff auf die Datenträger), als das Zugangskennwort zu knacken.

Dein Bibelvers ist mit 52 Zeichen (inkl. Leerzeichen) lang genug und ich glaube auch nicht, dass die PW-Crackertools auch noch alle Sätze der Bibel durchgehen, von der es nebenbei verschiedene Fassungen gibt, von verschiedenen Sprachen ganz abgesehen. Wenn das Zielsystem mehr als 50 Zeichen überhaupt zulässt (und intern auch tatsächlich alle beachtet!), dann hast du mit einem Bibelspruch dieser Länge ein sehr sicheres Kennwort.

Erzähle nur niemals irgendwem, dass du Bibelverse nutzt, denn dann kann ein Angreifer alle Sonderzeichen außer vielleicht den drei Satzzeichen Komma, Punkt und Leerzeichen weglassen und womöglich auch die Ziffern, was den Aufwand zum Durchprobieren wieder deutlich reduziert

Und fürs nächste Zielsystem brauchst du dann einen anderen Bibelspruch .....

Ich hoffe, ich konnte die Verständnisprobleme ein wenig lindern

Zitat von Festus1

der angegriffene Rechner muss da ja auch mitspielen

berechtigte Anmerkung

Kommt halt immer drauf an, welches System du wogegen absichern willst, also auf den konkreten Einzelfall. Wenn du keine Gäste in dein WLN bzw. heimisches Netz lässt und das NAS außerhalb nicht zu sehen und nicht erreichbar ist, langt dein 11-Zeichen-Kennwort sicherlich locker aus. Das Admin-PW meines NAS ist auch kaum länger und nicht annähernd so kryptisch wie deins.

Für meine Mailkonten oder mein Admin-Konto in der Windows-Domäne meines Arbeitgebers habe ich dagegen deutlich längere Kennwörter und für meine Keepass-Datenbank, die ich über Clouds zwischen meinen Geräten synchronisiere, käme für mich kein Kennwort infrage, was nicht minimal (!) 20 Zeichen lang ist.

Zitat von Festus1

Habe mir bislang eingebildet, zumindest durchschnittliche Intelligenz und brauchbare Computergrundkenntnise zu besitzen, aber hier kommen mir Zweifel....

Ich bilde mir sogar ein, mehr als nur durchschnittlich intelligent zu sein (was m.E. ganz ausdrücklich nicht automatisch auch Klugheit und/oder Erfahrung bedeutet) und nach mehreren Jahrzehnten in der IT auch deutlich mehr als nur "brauchbare" Computer(grund)kenntnisse zu haben, aber ich bin mir dennoch GANZ sicher, das ich noch Vieles nicht oder falsch verstanden habe und noch sehr, sehr, sehr viele Sachen nicht weiß

Also mach dir mal keinen Kopp

Meine Methode bisher war immer, die Passwörter in einem Notizbuch zu notieren. Sicher gegen Trojaner, keine Gefahr von Festplattencrashs.

Jetzt habe ich in der Linux-VM auf dem NAS einen Bitwarden-Server installiert. Damit kann ich Passwörter synchronisieren, ohne diese einem Dienst anvertrauen zu müssen.

Wie sich Bitwarden in der Praxis bewährt, muss sich noch zeigen. Ich habe das erst seit zwei Wochen. In der c't beim Test neulich schnitt Bitwarden sehr gut ab.

(Eine kleine Warnung an die, die das nachmachen: Bitwarden in der VM braucht viel RAM. Nicht wegen Bitwarden, sondern wegen der integrierten MSSQL-Datenbank bzw. dessen Server. Da ich die Datenbank ohnehin brauche, spricht das nicht gegen Bitwarden.)

Zitat von Festus1

Das schon, aber das andere Ende, also der angegriffene Rechner muss da ja auch mitspielen und millionenfach in der Sekunde immer wieder melden: "falsches Passwort". Und das meine ich sollte doch nicht so schnell gehen.

Es kommt drauf an, wie der Angreifer die Passwörter ausprobieren kann.

Wenn der Angreifer die Datenbankdatei deines Passwortmanagers in die Hände bekommt und den Verschlüsselungsalgorithmus kennt, dann kann er - ohne den Passwortmanager nutzen zu müssen und durch diesen behindert zu werden - mit einem eigenen Programm die Millionen Versuche pro Sekunde bewältigen.

Deine Bank begnügt sich hingegen mit einer vier- oder fünfstelligen Pin für deinen Internetzugang. Wenn du da dreimal die falsche Pin eingegeben hast, ist der Zugang gesperrt und du darfst du mit deinem Ausweis zur nächsten Zweigstelle latschen. Da ist nichts mit durchprobieren.

Die meisten Zugänge im Web, ob nun Facebook oder dein offen ins Netz gestelltes NAS, liegen zwischen den beiden Extrema.

Es gibt deswegen auch Verschlüsselungsalgorithmen, die Langsamkeit als Design haben. Ein Angreifer soll möglichst viel Zeit für Brute Force brauchen, selbst wenn er die verschlüsselten Daten direkt unter Kontrolle hat.