winterj86
Anmeldungsdatum: 13. Juli 2013
Beiträge: Zähle...
|
Kristall schreibt: Oder mal anders gefragt: Kennt jemand eine Möglichkeit, irgendwie überall unterschiedliche Passwörter zu nutzen ohne ständig bei jedem Dienst erst in Heften und Büchern nachblättern zu müssen, welches Passwort hier und dort gerade aktuell ist?
Ich bin Gundsätzlich kein Freund von der Verwendung von Software um sich Passwörter/Passphrasen zu merken und zu verwenden. Es gibt eine relativ zuverlässige Methode um sichere Passwörter selbst zu generieren die man sich dann auch merkt. Man nehme zum Beispiel ein Lieblingsgedicht und:
"Wer reitet so spät durch Nacht und Wind..." Dann schreibt man z.B. jeden 1. Buchstaben und jedes i heraus:
WrissdNuWi Dann ersetzt man einige Buchstaben durch Zahlen und Sonderzeichen die ähnlich wie die Buchstaben aussehen:
Wr!5sdNuW1 oder,
W&155dNuW! usw.... Jetzt hat man ein Passwort das man sich merken kann und wenn man wirklich eine Notiz machen möchte kann man sich diese z.B. so Notieren:
Erlkönig 1i Natürlich braucht man dafür mehrere Zitate, Gedichte, what ever, dass das so Funktioniert weil wenn man das selbe Passwort in verschiedenen Varianten verwendet wirds auch wieder schwer sich das richtige zu merken.
Ich finde es ist eine gute Methode und hat den schönen Nebeneffekt dass man sein Denkzentrum trainiert.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
Prima Methode, und nach 5 Jahren weiß ich dann nicht mehr wie das ging. Der Mensch vergisst Sachen, es ist einfacher sich ein sicheres Passwort zu merken als sich 10.000 verschiedene. Zumal Login Daten nicht nur aus dem Passwort sondern auch aus Benutzernamen, URLs, Ablaufzeiten, Mails usw.. bestehen können. Wenn du mit deiner Methode zurecht kommst ist das schön, die meisten Menschen neigen aber dazu sich eher wenige Passwörter zu merken. In dem Fall kann man das Problem dann durch eine Software erschlagen die Passwörter verschlüsselt speichert. Dient gleichzeitig auch als Dokumentation wo man überall angemeldet ist. mfg Stefan Betz
|
winterj86
(Themenstarter)
Anmeldungsdatum: 13. Juli 2013
Beiträge: 6
|
Dass dieses System seine schwächen hat möchte ich nicht bestreiten, vor allem brauch man dazu etwas Übung und ein gewisses Schema, aber die Software ist eben auch nur so lange sicher bis der User einen Fehler macht. Das Gleiche trifft eben auch auf mein System zu. Leider nützt einem auch die beste eigene Sicherheit nichts, wenn dann Unternehmen die Passwörter sogar in Klartext speichern.
Also denke ich ist es ziemlich egal, welches System man anwendet. encbladexp Dient gleichzeitig auch als Dokumentation wo man überall angemeldet ist.
Das die Software gleichzeitig eine Art, Dokumentation ist, ist ein Blickwinkel, den ich so noch gar nicht in Betracht gezogen habe. Das werde ich einmal überdenken. Den User als Fehlerquelle jetzt einmal ausgeschlossen, gibt es eigentlich Erfahrungswerte wie sicher die Programme von Bitdefender usw. sind bei der Passwortverwaltung?
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
winterj86 schrieb: Den User als Fehlerquelle jetzt einmal ausgeschlossen, gibt es eigentlich Erfahrungswerte wie sicher die Programme von Bitdefender usw. sind bei der Passwortverwaltung?
Hier die 2 üblichen Security Grundregeln:
Systeme die du nicht selbst nachvollziehen könntest (d.h. Quellcode nicht vorhanden) sind per Definition nicht sicher, Hintergrund ist das deren Sicherheit eben nur mittels Reverse Enginering nachvollzogen werden kann. Systeme die du selbst nachvollziehen könntest (d.h. Quellcode vorhanden) sind per Definition auch nicht sicher, hier ist es aber möglich zu prüfen ob das System das tut was es vorgibt zu tun.
Bitdefender ist ein kommerzieller Anbieter von Software, Gewinnorientierte Unternehmen neigen dazu auch Dienstleistungen anzubieten die du als Kunde so nicht erwartest. Das ganze wird jetzt aber Offtopic… Daher Kurz: Vermeide Bitdefender und nimm KeePass oder KeePassX. mfg Stefan Betz
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
Nur mal so in die Runde geworfen: Jedes System hat doch für gewöhnlich nen Keyring, welcher nach dem Anmelden entsperrt wird bzw. seperat entsperrt werden muss. Wieso wird der eigentlich nicht für solche Dinge verwendet? Oder integriert sich KeePassX in ein solch vorhandenes System? mfg
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17447
|
Diesen Keyring kann ich nicht auf andere Betriebssysteme (Smartphones, Windows, …) übertragen und dort nutzen. Gleichzeitig ist ein dauerhaft entsperrter Keyring eine eher dämliche Idee 😉 mfg Stefan Betz
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
Developer92 schrieb: Nur mal so in die Runde geworfen: Jedes System hat doch für gewöhnlich nen Keyring, welcher nach dem Anmelden entsperrt wird bzw. seperat entsperrt werden muss. Wieso wird der eigentlich nicht für solche Dinge verwendet? Oder integriert sich KeePassX in ein solch vorhandenes System?
Chromium und dieses Gnome-Web Browserding legen die PW im Keyring ab.
|
march
Anmeldungsdatum: 12. Juni 2005
Beiträge: 17337
Wohnort: /home/noise
|
Kennt jemand eine Möglichkeit, irgendwie überall unterschiedliche Passwörter zu nutzen ohne ständig bei jedem Dienst erst in Heften und Büchern nachblättern zu müssen, welches Passwort hier und dort gerade aktuell ist?
Einiges wurde ja schon genannt aber es gibt u.a. noch https://lastpass.com/ und Firefox-Sync. Letzteres läßt sich auf einem eigenen Server betreiben.
Ich finde es ist eine gute Methode und hat den schönen Nebeneffekt dass man sein Denkzentrum trainiert.
Dito - ich habe auch nach einer ähnlichen Methode meine PW generiert. Ärgerlich sind da teilweise nur die Beschränkungen mancher Internetseiten auf 20 Zeichen...
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
march schrieb: [...] Beschränkungen mancher Internetseiten auf 20 Zeichen...
20 Zeichen? Traumhaft. Gibt ja Dienste, die Beschränken auf 16 Zeichen. Wobei ich nicht verstehe, warum. Die Passwörter werden im Optimalfall doch sowieso gesalzen und anschließend gehasht, welchen Unterschied macht es da, ob das ursprüngliche Passwort 10, 16 oder 20 Zeichen hat? Ich meine die künstliche Beschränkung von Seiten des Betreibers ist doch in diesem Fall wirklich unnötig. mfg
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Developer92 schrieb: march schrieb: [...] Beschränkungen mancher Internetseiten auf 20 Zeichen...
20 Zeichen? Traumhaft. Gibt ja Dienste, die Beschränken auf 16 Zeichen. Wobei ich nicht verstehe, warum. Die Passwörter werden im Optimalfall doch sowieso gesalzen und anschließend gehasht, welchen Unterschied macht es da, ob das ursprüngliche Passwort 10, 16 oder 20 Zeichen hat? Ich meine die künstliche Beschränkung von Seiten des Betreibers ist doch in diesem Fall wirklich unnötig. mfg
weil die Passwörter nicht gesalzen und Gehascht sondern im Klartext gespeichert werden und ein Azubi beim Anlegen der Datenbank gedacht hat varchar(16) reicht... winterj86 schrieb: Dass dieses System seine schwächen hat möchte ich nicht bestreiten, vor allem brauch man dazu etwas Übung und ein gewisses Schema, aber die Software ist eben auch nur so lange sicher bis der User einen Fehler macht. Das Gleiche trifft eben auch auf mein System zu. Leider nützt einem auch die beste eigene Sicherheit nichts, wenn dann Unternehmen die Passwörter sogar in Klartext speichern.
Also denke ich ist es ziemlich egal, welches System man anwendet.
nicht ganz: Die CT ist ja ein großer Verfechter des "PasswordSatzes" bzw. halten Keepassx für unsicherer als ein "Passwortschema". Bei ihrem letzten Rport über die PasswordCracker Szene wurde dann aber festgestellt, das die aktuellen Algorithmen zu Passwortraten so gut sind (wurden dank den ganzen DB-Leaks gut trainiert), dass sie besser Zusammenhänge erkennen als wir uns merken können. Den Einstieg zu den Artikeln findet man hier Passwortschutz für jeden Mein Fazit: man kann sich zwar ein noch so komplexes Passwortschema ausdenken, aber bei der Rate an Password-DB-Leaks ist die Wahrscheinlichkeit hoch das sie dich mehr als zwei mal erwischen. (mich selbst hat es schon 3 mal erwischt, zum glück immer mit Random Passwörtern) Dann kannst du nur hoffen, dass sie von deinem Konkreten Passwort nicht auf den Schema schließen können...
|
kaputtnik
Anmeldungsdatum: 31. Dezember 2007
Beiträge: 9245
|
Developer92 schrieb: 20 Zeichen? Traumhaft. Gibt ja Dienste, die Beschränken auf 16 Zeichen.
16 Zeichen? Traumhaft. Die Sparkasse beschränkt auf 4 Zeichen 😲
|
erd_baer
Ehemalige
Anmeldungsdatum: 16. Februar 2008
Beiträge: 551
|
kaputtnik schrieb: Developer92 schrieb: 20 Zeichen? Traumhaft. Gibt ja Dienste, die Beschränken auf 16 Zeichen.
16 Zeichen? Traumhaft. Die Sparkasse beschränkt auf 4 Zeichen 😲
Bei meiner Sparkasse sind’s 5 😉 Und auf eine handvoll Anmeldeversuche, die man durchführen kann, ist es auch beschränkt. Danach muss man persönlich zur Bank latschen. Ich fand das zwar auch erst störend, dass da nur so wenig geht, aber bei so wenig Versuchen wiederrum dürfte es denke ich kein großes Risiko darstellen, oder?
|
Developer92
Anmeldungsdatum: 31. Dezember 2008
Beiträge: 4101
|
erd_baer schrieb: kaputtnik schrieb: Developer92 schrieb: 20 Zeichen? Traumhaft. Gibt ja Dienste, die Beschränken auf 16 Zeichen.
16 Zeichen? Traumhaft. Die Sparkasse beschränkt auf 4 Zeichen 😲
Bei meiner Sparkasse sind’s 5 😉
Okay, jetzt wirds echt kurios. Bei meiner Sparkasse sinds 8 Zeichen. Aber ist ja nicht so, dass Transaktionen mit tatsächlichem Wert für den Großteil der Menschheit großartig abgesichert werden sollten. Ich mein, was kann schon passieren wenn man Zugriff auf mein Konto bekommt. Das bisschen Geld, pah. Das alles ist doch ein Witz, eine Parodie, und der (Cyber-)Bankraub ist die Pointe. Auf sehr schräge Art irgendwie komisch ☺ mfg
|
Miccovin
Anmeldungsdatum: 9. Februar 2007
Beiträge: 756
|
Kristall Oder mal anders gefragt: Kennt jemand eine Möglichkeit, irgendwie überall unterschiedliche Passwörter zu nutzen ohne ständig bei jedem Dienst erst in Heften und Büchern nachblättern zu müssen, welches Passwort hier und dort gerade aktuell ist?
Ein kleiner Denkanstoss: Bastel Dir zunächst ein 8-10-Zeichiges Grundpasswort mit der "nötigen Sicherheit", sprich, es sind Ziffern, Sonderzeichen und Gross- und Kleinbuchstaben enthalten (z.B. nimmst Du als Grundgerüst von einem Dir wichtigen Satz die Anfangsbuchstaben). Nun nimmst Du dieses und hängst von jeder Webseite die ersten beiden Buchstaben hintendran. Schon hast Du für jede Webseite ein anderes leicht zu merkendes Passwort. (Das System zur Bildung kannst Du natürlich beliebig variieren.....sei einfach kreativ) PS: Ich würde Apostrophe und ähnliches vermeiden, auch soll das Sonderzeichen & Probleme machen)
|