Umstellung auf sichere Passwörter

[gelöschter Benutzer]

Moin,

ich bin heute mal auf den Draht gekommen, dass ich für fast alles ein und das selbe nicht allzu sichere Passwort verwende. Dies möchte ich nun ändern. Überlegt habe ich mir nun erstmal ein sicheres "Masterpasswort" anzulegen. Beispielsweise etwas nach einem ganz einfachen Muster:
BoardBoarBoaBoB01!
Nun wäre aber noch die Frage wie ich das Ganze so modifizieren kann, dass ich für jede Seite ein unterschiedliches Passwort habe, mir aber dennoch alle merken kann.
Habe schon an die Verwendung eines Passwortmanagers gedacht, aber da habe ich das Problem das ich die Passwörter eben nur an einem Ort habe. Will ich aber nun mal bei einem Kumpel auf beispielsweise meine Mails zugreifen hab ich dazu schon keine Gelegenheit mehr.

 

[Kugelfisch]

Die Verwendung eines Passwort-Managers ist die einzig sinnvolle Lösung, um tatsächlich unabhängige Passwörter zu erhalten. Bedenke, dass in der Regel nicht die Unsicherheit (im Sinne zu geringer Entropie) der Passwörter das grösste Problem ist, sofern sie nicht absolut trivial sind - sondern viel eher die Verwendung desselben Passworts bzw. Varianten davon für verschiedene Dienste/Websites sowie die Verwendung von wichtigen Passwörtern auf kompromittierten Systemen. Insofern kann ich nur stark davon abraten, beliebige fremde Systeme zu benutzen, auf sensible Daten wie z.B. E-Mails zuzugreifen.

Die grundsätzliche Problematik wurde in https://ngb.to/threads/2593-Passwort-sicherer-durch-wiederholung, https://ngb.to/threads/2806-Wie-Passwörter-sicher-speichern und https://ngb.to/threads/1264-Länge-des-WLAN-Schlüssels übrigens bereits ausführlich diskutiert.

 

[gelöschter Benutzer]

Habe die drei Threads grade durchgelesen. Bin aber für mich noch zu keiner Erkenntnis gekommen. Ich benutze meine Passwörter ja nicht auf irgendwelchen wildfremden Pcs. Aber beispielsweise auf einem Pc in unserer Fachhochschule würde ich doch gerne die Möglichkeit haben mal ne Mail abzufragen.
Angenommen ich denke mir jetzt zumindest für jeden wichtigen Dienst wie Paypal, Ebay, Amazon usw. ein Passwort nach dem oben aufgeführten Beispiel aus und merke mir das, bin ich dann erstmal sicher unterwegs?

 

[Kugelfisch]

Wie aus den verlinkten Threads hervorgeht, empfiehlt es sich, anstelle vergleichsweise kurzer, kryptischer und schwer zu merkender Passwörter wesentlich leichter zu merkende, sinnvolle Sätze zu nutzen, welche die nötige Entropie durch ihre Länge erhalten, zumindest als Master-Passwort für den Passwort-Manager und zusätzlich für alle Dienste, deren Passwörter du dir merken möchtest.

Das Problem bei der Nutzung fremder Systeme ist, dass du dir kaum jemals sicher sein kannst, dass sie nicht kompromittiert sind und eingegebene Passwörter mitscheiden, speziell dann, wenn du nicht einmal über administrative Rechte verfügst. Wird dadurch dein E-Mail-Konto übernommen, lassen sich über die `Passwort vergessen`-Funktion vieler anderer Dienste auch weitere Benutzerkonten übernehmen. Wenn du weder ein Notebook, noch ein mobiles Endgerät (Smartphone, Tablet, ...) hast und daher unterwegs fremde Systeme zum Lesen der E-Mails nutzen musst, kannst du die Gefahr zumindest minimieren, indem du für unterwegs ein separates E-Mail-Konto verwendest, das nirgendwo als E-Mail zum Zurücksetzen von Passwörtern eingetragen ist.

 

[gelöschter Benutzer]

Ich könnte mir halt ein Muster und dann jeweils ein Wort pro Dienst besser merken. Aber bei Sätzen hätte ich wieder Angst das diese beispielsweise durch Wörterbücher oder so geknackt werden könnten. Bin aber auch nicht wirklich in der Materie drin, müsste mich hier einfach auf andere vertrauen.
Ich habe mich also schonmal von der Idee verabschiedet ein Masterpasswort für die einzelnen Dienste modifizieren zu können. Aber wirklich zufrieden wäre ich denke ich mit einem Passwortmanager auch nicht.

 

[Kugelfisch]

Aber bei Sätzen hätte ich wieder Angst das diese beispielsweise durch Wörterbücher oder so geknackt werden könnten.

Das ist sicherlich nicht ausgeschlossen, allerdings enthält ein normal langer Satz mindestens ebenso viel Entropie wie ein kurzes, kryptisches Passwort (vgl. etwa https://xkcd.com/936/). Vereinfachend kannst du jedes Wort als ein Zeichen betrachten, wobei das Alphabet dann aus allen (gebräuchlichen) Wörtern z.B. des Deutschen besteht und zusätzlich die Grammatik die Entropie reduziert. Allerdings ist die Stärke bei nicht-trivialen Passwörtern für Web-Dienste ohnehin nicht das entscheidende Problem, da Online-Angriffe derart ineffizient sind (mehr als ~1000 Passwörter pro Sekunde sind IMHO wenig realistisch), dass auch schwächere Passwörter kaum innerhalb sinnvoller Zeit erraten werden können. Viel gefährlicher sind wie erwähnt wiederverwendete oder auf fremden Systemen verwendete Passwörter.

 

[Casper]

Naja bei Onlineangriffen sollte man auch bedenken, dass die Datenbank in Fremde gelangen kann. Paypal hat ja beispielsweise erst vor kurzem wieder bewiesen, dass ihnen Sicherheit am Arsch vorbei geht wenn Ihnen Lücken die Zugriff auf Userdaten gewähren gemeldet werden und es Wochen dauert bis sie geschlossen werden. Wobei das dann auch nur hilft wenn man nicht von vollkommenen Idioten umgeben ist. Sony ja erst vor nem Jahr oder so bewiesen, dass in einem so großen Unternehmen nicht zwangsläufig auch auf Sicherheit geachtet werden muss. Dagegen kannst du dich wie gesagt nur schützen, in dem du keine Passwörter doppelt verwendest.

Zu den Passwörtern selbst: Du kannst auch einfach einen Satz nehmen den du dir gut merken kannst, wie z.B. "Ich gehe jeden Montag Morgen um 7 Uhr arbeiten.". Davon nimmst du die Anfangsbuchstaben in korrekter Rechtschreibung: "IgjMMu7Ua." Schon hast du ein relativ sicheres kryptisches Passwort, das alle sicherheitsrelevanten Zeichenklassen enthält: Groß/Kleinbuchstaben, Zahlen und Sonderzeichen. Wenn z.B. in deinem Satz keine Zahl drin ist hängst du das Jahr, dein Geburtsjahr oder etwas ähnliches an. Für Sonderzeichen kannst du alternativ auch ein Zeichen suchen und das vorne oder hinten dran hängen.

 

[Kugelfisch]

Naja bei Onlineangriffen sollte man auch bedenken, dass die Datenbank in Fremde gelangen kann.

Das ist klar, und in diesem Szenario könnte eine schwächeres Passwort bei einem folgenden Offline-Angriff leichter angegriffen werden als ein starkes. Allerdings ist das Passwort in diesem Fall ohnehin bereits als kompromittiert zu betrachten und wenn man keine Passwörter wiederverwendet, beschränken sich die Auswirkungen konkret auf das Benutzerkonto bei der erfolgreich angegriffenen Website.

Zu den Passwörtern selbst: Du kannst auch einfach einen Satz nehmen den du dir gut merken kannst, wie z.B. "Ich gehe jeden Montag Morgen um 7 Uhr arbeiten.". Davon nimmst du die Anfangsbuchstaben in korrekter Rechtschreibung: "IgjMMu7Ua."

Einen Satz zu wählen, kann ich wie erwähnt nur unterstützen. Sofern die Passwort-Länge nicht künstlich beschränkt ist, bietet es sich jedoch an, den kompletten Satz, inklusive aller Leer- und Sonderzeichen, als Passwort zu verwenden - das erleichtert einerseits das Eintippen, andererseits enthält der ursprüngliche Satz mehr Entropie als das aus den Anfangsbuchstaben gewonnene Passwort.

 

[gelöschter Benutzer]

Ich werde meine Passwörter nun auf einigermaßen lange Sätze umstellen, die ich mir dann wohl oder übel für die einzelnen Dienste merken muss. Erscheint für mich die einzige Möglichkeit zu sein dass nicht alle meine Passwörter durch erraten eines einzigen Passwortes aufgedeckt werden und zum anderen, dass ich auch auf anderen Geräten (PC, Laptop, Handy) meine Passwörter verfügbar, also nicht in einem Passwortmanager gespeichert hab.

 

[a_d_s]

Was spricht dagegen einen Passwortmanager zu verwenden der auf allen Geräten verfügbar ist?
Dann kann man zumindest für seltener verwendete Dienste ein generiertes Passwort verwenden und muss sich nicht so viele Passwörter merken.

 

[gelöschter Benutzer]

Ich kenn einfach keinen Passwortmanager der auf allen Geräten verfügbar ist. Wie soll das gehen?

 

[Kugelfisch]

Ein Beispiel für solch einen Passwort-Manager ist KeePass - mit KeePassX existiert eine Version für unixoide Systeme, mit KeePassDroid/KeePass2Android Implementierungen für Android-Smartphones. Implementierungen für weitere Systeme sind unter http://keepass.info/download.html gelistet. Zumindest das KeePass-1.x-Format können alle verfügbaren Implementierungen lesen und schreiben.

 

[a_d_s]

Ein Beispiel für solch einen Passwort-Manager ist KeePass

Korrekt. Die v1 Version läuft hier auf allen Geräten mit jeweils der gleichen Datei.

Einziges Problem: ich muss aufpassen auf welchem Gerät ich die Datei bearbeite - weil ich die keiner zentralisierten Cloud-Lösung anvertrauen möchte.

 

[gelöschter Benutzer]

Somit hätte ich aber auch nur auf all meinen Geräten die Passwörter. Auf anderen Geräten hätte ich dann aber nur Zugriff wenn ich tagtäglich ein USB Stick mit der Datenbank rumtrage. Ist mir eigentlich ein wenig zu umständlich.

 

[a_d_s]

Fragezeichen?

Pack die Datei auf dein Handy, dort hast du dann ständig Zugriff.


Zum Beispiel ...

 

[nik]

Brauchst du denn alle Passwörter jeden Tag?

Das Passwort für deinen E-Mail-Account z.B. kannst du dir ja merken, wenn du das regelmäßig brauchst.
Da es Keepass aber auch für das Smartphone gibt, kannst du da die Datenbank ja öffnen, falls du Zugangsdaten für einen bestimmten Account benötigst, die du nicht auswendig kannst.

Du solltest allerdings den Hinweis von Kugelfisch beachten, dass du den Login bei deinen Diensten nur auf vertrauenswürdigen Systemen durchführen solltest. Sonst bringt dir das sicherste Passwort nichts.

 

[gelöschter Benutzer]

Das mit dem Passwort auf Handy anzeigen lasssen ist nen guter Tipp. Danke dafür. Die Passwörter auf dem Handy sind aber absolut sicher? Bin mir bei Android nie so ganz sicher. Werd mir Keepass gleich mal runterladen und genauer anschauen

Edit: Ich logge mich ja auch nicht auf irgendwelchen Internet Cafe Pcs oder so ein. Aber bei einem Kumpel oder halt in der FH hätte ich doch gerne die Möglichkeit.
Edit2: Ich denke Keepass Professional sollte ich nehmen oder?

 

[a_d_s]

Was ist schon absolut sicher ...

Generell solltest du schauen das niemand deine Passwort Datei in die Hände bekommt - selbst wenn sie verschlüsselt ist. Wenn derjenige das Passwort später mal in die Hände bekommt ...

Dafür erlaubt dir jedoch ein Passwort Manager das du beliebig komplexe und unterschiedliche Passwörter für jeden Dienst einsetzt, die sich nicht mal irgendwie ähnlich sehen. Erhöht also deine Sicherheit ungemein.

 

[gelöschter Benutzer]

Hab mich da wohl ein wenig blöd ausgedrückt. Aber das Benutzen von KeePass auf Android stellt jetzt nicht direkt ein Risiko da? Wenn ja bin ich beruhight.

 

[Whuntwo]

Solange du das Handy nicht verlierst oder es eine Lücke gibt durch welche jemand Drahtlos deine Daten ausspähen kann oder eine infizierte App installiert ist, besteht keine Gefahr :P

Wie du siehst, besteht immer, egal wie man es macht, eine gewisse Gefahr.

Gerade bei Foren nutze ich häufig das gleiche kryptische Passwort plus eine Erweiterung... also z.B. 123abc456def_*kürzeldesforums* Ist jetzt auch nicht die beste Variante aber immerhin etwas

Bei sensiblen Diensten wie Cloudspeicherdiensten, E-Mail, etc. kommen gänzlich eigene Passwörter zum Einsatz die man sich halt schlichtweg merken muss :P Mit Eselsbrücken ist das auch nicht schwer. In der Regel scheitert es einfach nur an der Motivation.

Bei EC oder Kreditkarten merkt man sich neue Pins in der Regel recht schnell. Warum? Weil es an der Motivation nicht hapert, immerhin gehts um Geld