Umstellung auf sichere Passwörter

[gelöschter Benutzer]

Naja, bei EC Karten ist die Pin in der Regel auch nur 5 Stellen oder so, die gehen leicht rein. Selbst wenn ich mein Handy verliere müsste ja immernoch mein Masterpasswort geknackt werden, in der Zeit müsste ich es aber locker schaffen meine Passwörter alle zu ändern. Ich weiß halt nicht wie die App in Android integriert ist, kenne mich da auch wirklich nicht aus, aber gehe ja mal nicht davon aus, dass meine Passwörter da irgendwie in Reinform zwischengespeichert werden.

 

[Kenobi van Gin]

Zum Thema mit dem Lesen von Mails an fremden Rechnern:
Meiner Meinung nach sind auch die Computer von Freunden als potentielle Sicherheitsrisiken anzusehen. Natürlich sind es Leute, denen du vertraust. Aber meiner Erfahrung nach bin ich zumindest in meinem Bekanntenkreis noch mit Abstand am vorsichtigsten was das Besuchen dubioser Websites etc. angeht und auch meines Wissens am längsten frei von Malware. Insofern ist die Frage nicht, ob du deinem Kumpel traust, sondern ob du seinem Surf-Verhalten traust.

Computer in der FH hingegen sind definitiv als risikobehaftet anzusehen. Zwar ist der Zugriff auf die Geräte meist ja noch besser geschützt als im Internet-Café, aber da gehen einfach zu viele Leute ran, als dass das wirklich gut zu überwachen wäre.

Wenns aber gar nicht vermeidbar ist und du unbedingt an irgendeinem fremden Rechner Mails checken willst, dann mach dir doch einfach einen USB-Stick mit nem kleinen Linux (z.B. Tiny Core oder irgendeiner anderen USB-fähigen Live-Distribution) fertig und nimm den immer mit. Dann booteste eben von dem Stick und checkst die Mails da. Dann biste zwar immer noch nicht gefeit vor Hardware-Lösungen zum Mitloggen, aber zumindest das potentiell infizierte OS kann dir dann schonmal herzlich egal sein.

Musst natürlich gucken, ob du am FH-Rechner einfach so von USB starten kannst. Bei uns an der Uni in Münster (mit ~50.000 Studenten und einer IT-Abteilung, die schon auf zack ist) konnte man das jedenfalls. Insofern könnte das auch ne Lösung sein.

Auch da kannst du dann natürlich deine Passwörter speichern. Dafür bietet sich dann ggf. eine Distribution an, die die Möglichkeit zur Verschlüsselung der Datei mit den benutzerdefinierten Einstellungen (so wie z.B. die aktuellen Knoppix-Versionen) von Haus aus mitbringt.

 

[gelöschter Benutzer]

Danke für den hilfreichen Beitrag, werde mal wenn ich Zeit habe drüber nachdenken. Aber dürfte ein FH Rechner der sich für jeden Benutzer resettet nicht eigentlich als relativ risikoarm zu betrachten sein?

 

[a_d_s]

Wird der Rechner von Grund auf neu installiert? Oder wird der Benutzer einfach nur ausgeloggt und du loggst dich dann mit deinem Account ein?

 

[gelöschter Benutzer]

Soweit ich weiß werden für jeden Benutzer Desktop undsoweiter gespeichert. Kenn mich da aber nicht aus. Hatte nur gedacht in der FH wäre sowas relativ problemlos.

 

[alter_Bekannter]

Unsicher, ein kompromittiertes System ist Systemweit kompromittiert und macht vor eingeschränkten Nutzerkonten nicht halt.

Ein Selbst administriertes System ist der einzige zuverlässige Schutz. Beim FH Rechner reicht es nicht dem Admin zu trauen, da kommen zu viele andere an die Hardware und das Sammelaktionen an öffentlichen Rechnern sich nicht lohnen kann keiner behaupten der weiterhin ernst genommen werden will. Mit Hardwarezugriff lässt sich nunmal an jedem System rumpfuschen da hilft die restriktivste Softwaresecurity nicht. Da muss schon mindestens ein Schloss auf dem Gehäuse sein.

Aber selbst dann, wer hat alles den Schlüssel?

 

[a_d_s]

Ist halt ein Unterschied ob das Betriebssystem automatisch nach jeder Nutzung neu installiert und konfiguriert wird, oder ob nur der Desktop des Benutzers beendet wird.

Bei letzterem bleiben eventuelle Hintergrundprozesse laufen (so diese denn nicht gesondert gekillt werden) und sollte jemand eine Hintertür im System gefunden haben, ist diese natürlich auch noch aktiv.

Abgesehen davon dass man keine Kontrolle über die Hardware hat: wenn da jemand einen USB Keylogger angestöpselt hat, wirst du den nur durch sehr genaues Hinsehen finden.

 

[gelöschter Benutzer]

So, benutze jetzt schon seit ein paar Wochen Keepass auf meinem PC, Laptop sowie Handy. Bin super damit zufrieden, man muss sich fast nix mehr merken, Auto Type funktioniert super und der Sicherheitszuwachs ist enorm. Bedanke mich für die Tipps!

 

[Marek]

ich weiß nicht, ob das hier schon genannt wurde, aber man kann auch mit einem recht leichten trick sich verschiedene Passwörter für verschiedene Dienste merken.

- Ihr habt ein "basispasswort", das gilt es sich zu merken, nehmen wir mal was stumpfes zum erklären; password123
- wenn ihr euch jetzt irgendwo anmeldet, z.B. facebook, ergänzt ihr dieses passwort z.B. um die ersten 4 Buchstaben der Website, in dem Falle z.B. so: "password123!face". Bei google: password123!goog", bei gulli "password123!gull" etc.etc.
- das kann man natürlich nach belieben variieren.

Sollte also eines eurer Passwörter mal in falsche Hände geraten, kann es zumindest nicht automatisch mit allen möglichen Diensten abgeglichen werden, denn dort habt ihr ja überall ein seperates pw

 

[gelöschter Benutzer]

Hab ja schon ne Lösung gefunden. Das Problem an deinem System ist das ein menschlicher Angreifer das System leicht erkennt und dann dementsprechend die Passwörter anpassen kann.

 

[a_d_s]

Sollte also eines eurer Passwörter mal in falsche Hände geraten, kann es zumindest nicht automatisch mit allen möglichen Diensten abgeglichen werden, denn dort habt ihr ja überall ein seperates pw

Das hilft nur solange niemand manuell drauf schaut. Und gerade so Suchbegriffe sind das erste was Hacker suchen, weil das normalerweise direkt auf den zu verwendenden Account hinweist.

 

[tm98]

Ich möchte einfach nochmal auf Lastpass hinweisen, auch wenn der TE ja schon eine Lösung (vermutlich die Beste) gefunden hat. Mir ist Keepass an einigen Stellen einfach noch zu umständlich und opfere daher ein (klitzekleines) Bisschen Sicherheit dem Komfort.

 

[gelöschter Benutzer]

Ich hab bisher noch nichts umständliches gefunden. Gerade Auto Type ist sowas von genial.

 

[a_d_s]

(klitzekleines) Bisschen Sicherheit

Du solltest dir im klaren sein das du nicht nur ein "klitzekleines" bisschen Sicherheit opferst sondern alles.

Wenn jemand deine Passworte von vor drei Jahren aufhebt - auch wenn die verschlüsselt sind - dann kann man die später super einfach auslesen, sobald entweder das Passwort bekannt wird oder die Rechenleistung übrig ist um dein Masterpasswort zu knacken. Und es soll ja heutzutage nicht sooooo unüblich sein das diverse Firmen/Geheimdienste/böse Jungs so etwas über Jahre hinaus speichern.

Sicherheit hast du nur wenn du niemanden an deine Passwortdaten heran lässt, auch nicht in verschlüsselter Form. Alles andere ist Illusion.

 

[Pleitgengeier]

@a_d_s: 1. Wo werden heute noch PWs im Klartext gespeichert?
2. Schlimm genug dass die Presse den Unterschied zwischen Hacker und Cracker nicht begreift, im Gulli sollte das nicht passieren...

 

[a_d_s]

@a_d_s: 1. Wo werden heute noch PWs im Klartext gespeichert?

Orrrr wo habe ich das geschrieben? Bitte lies mein Posting noch einmal durch.

 

[tm98]

Naja, bis die Verschlüsselung geknackt ist, sind mir die Passwörter vermutlich nichts mehr wert, zumal ich einmal im Jahr eh eine große Accountslöschungs- und Passwortänderungsaktion durchziehe wo ich alle Kennwörter inkl. Masterpasswort ändere.

Edit: Wer einen Schachtelsatz findet, darf ihn behalten.

 

[a_d_s]

Zumindest ist dann bekannt wo du überall Accounts hast, und wo die Accountnamen sind.
Ggf. erlangt jemand Zugriff auf die ein oder andere E-Mail Adresse und kann Passwort Resets für andere Dienste anfordern.

Alles zu schwammig und zu unsicher. Und die Risikobewertung dafür ist viel zu hoch.