Wie Passwörter sicher speichern?

[Nowhere Man]

Habe am Wochenende mal wieder Paranoia gehabt und sämtliche für mich wichtigen Passwörter geändert.

Bislang benutzte ich dazu immer reale Wörter mit ein paar Zahlen am Anfang und Ende des Passworts.

Gestern habe ich mir dann mit Hilfe eines Online PW Generators 12 stellige Passwörter generiert, die aus gr. & kl. Buchstaben und Zahlen in beliebiger Reihenfolge bestehen.

Jetzt habe ich also ziemlich sichere Passwörter deren Nachteile aber sind, dass ich mir diese natürlich unmöglich einprägen kann.

Speichern auf dem PC wäre nicht gerade sinnvoll.

Da kam mir die Idee, diese auf eine CompactFlash Karte, die ich noch von meiner alten Digitalkamera rumliegen hab, zu speichern.

Dazu hätte ich jetzt noch eine Frage:

Was kann ich tun, um die Passwörter auf der Karte noch irgendwie abzusichern?


Gruss, Nowhere Man

 

[p3Eq]

In einen Truecrypt-Container packen und diesen auf die Speicherkarte speichern. Ohne das Truecrypt-Kennwort (das einzige, dass du dir dann wirklcih einprägen musst) kommt dann keiner an die anderen Kennwörter.

 

[nik]

Verwende doch einen Passwortmanager wie KeepassX oder Keepass2. Damit wird die Passwort-Datenbank gleich verschlüsselt und du hast noch andere nützliche Funktionen mit dabei.

 

[Tomatenpfahl]

Auswendig lernen wird wohl immer noch am sichersten sein. Ansonsten würde mir noch einfallen das du dein Passwort umformst bspw. zu:

Pfmmmmfmmfmmfppppfpfffmp

und diesen mit einem Zusatz entschlüsseln kannst: http://www.namesuppressed.com/kenny/

Prinzip verstanden? Das kannst du natürlich unterschiedlich codieren (Binär, ASCII usw und sofort). Dann musst du dir nur merken wie du das Passwort wieder umwandeln musst.

 

[Steeve]

Ich machs so, Textdatei mit den Passwörtern erstellen und mit WinRar mit Passwort

(das einzige, dass du dir dann wirklcih einprägen musst)

eine Rar erstellen

 

[Nowhere Man]

Danke für eure schnellen Antworten.

Werde es mal mit einen Passwortmanager probieren.

 

[Kugelfisch]

Ich würde ebenfalls zu einem Passwort-Manager mit integriertem Passwort-Generator raten, z.B. KeePass(X). Damit vermeidest du sowohl die Verwendung schwacher Passwörter als auch die (in vielen Szenarien gefährlichere) Wiederverwendung identischer/ähnlicher Passwörter für verschiedene Dienste. Die Lösung ist sicher, solange dein System nicht kompromittiert wird (und du die Passwörter nur auf deinem eigenen System verwendest, was aber ohnehin selbstverständlich sein sollte); sollte das System kompromittiert werden, könnten jedoch auch alle danach eingegebenen Passwörter mitgeschnitten werden, weshalb dieses Szenario ohne weitere, unabhängige Schutzmassnahmen wie z.B. 2-Faktor-Authentifizierung ohnehin fatal wäre.

Der Nachteil von Eigenbau-Lösungen wie z.B. verschlüsselten RAR-Archiven ist, dass nur schwer sichergestellt werden kann, dass die Passwörter nicht im Klartext auf die Festplatte geschrieben werden, z.B. in der Swap-Datei oder als temporäre Dateien. Werden diese Klartext-Kopien daraufhin nicht überschrieben, kann ein Diebstahl des Rechners bzw. der Festplatte sehr gefährlich sein.

 

[Cybercat]

Ich nutze hier den MyKey von Chipdrive. Sieht aus wie ein USB-Stick. Nur das eine Karte drin steckt die wie eine SIM-Karte vom Handy aussieht.
Da sind alle Passwörter drin gespeichert. Ermöglicht auch automatisches ausfüllen von Formularen.
Nur beim einstecken oder nach dem Systemstart bei gestecktem Stick muss man eine PIN eingeben. Bei mehrmaliger Falscheingabe zerstört sich die SIM-Karte. Dann muss eine neue her.

 

[Kugelfisch]

Solche Hardware-Lösungen sind natürlich eine Option, allerdings muss man dann darauf vertrauen, dass die Implementierung fehlerfrei und sicher ist. Das war in der Vergangenheit nicht immer der Fall, so hat sich z.B. bei diversen `verschlüsselnden` externen Festplatten herausgestellt, dass sie entweder gar nicht verschlüsseln oder einen schwachen oder fehlerhaft implementierten Cipher nutzen. Ohne Reverse Engineering wird z.B. kaum feststellbar sein, ob tatsächlich alle relevanten kryptografischen Operationen (sowie die Überprüfung der PIN) komplett auf der integrierten Smartcard stattfinden. Auch wird nicht feststellbar sein, ob die Daten tatsächlich verschlüsselt gespeichert werden und wie der Schlüssel erzeugt wird. Das ist allerdings essentiell, denn wenn ein Angreifer die PIN-Prüfung Smartcard-unabhängig reproduzieren kann, ist ein effizienter Brute-Force-Angriff auf die (meist sehr kurze) PIN möglich.

Insofern würde ich eine quelloffene Software-Lösung, die bekanntermassen starke Kryptographie einsetzt, vorziehen.

 

[Mr_J]

[...]Gestern habe ich mir dann mit Hilfe eines Online PW Generators 12 stellige Passwörter generiert, die aus gr. & kl. Buchstaben und Zahlen in beliebiger Reihenfolge bestehen[...]

Wir hatten bereits in diesem Thread festgestellt, dass man durchaus sichere Passwörter generieren kann, die man sich auch leichter merken kann. Und warum wirre Kombos aus Buchstaben, Zahlen und Sonderzeichen eigentlich auch keine wirkliche Sicherheit sondern eher Probleme für den Nutzer geben, wurde bereits bildlich bei xkcd erläutert.

[...]
Speichern auf dem PC wäre nicht gerade sinnvoll.

Warum nicht? Die Verwendung eines sicheren Containers sollte ausreichend Schutz bieten.

MfG
Mr. J

 

[godlike]

Wenn du so auf Sicherheit bedacht bist schreib die Passwörter auf nen Zettel oder orientiere dich an MR_J Vorschlag. Schwer entschlüsselbare Passwörter die in $hirn = array() gespeichert werden

 

[Mr_J]

Wenn jetzt schon daran geforscht wird das Gedächtnis von außen zu manipulieren, wie lange dauert es wohl noch bis die ersten Infos ausgelesen werden können? Spätestens dann muss man sich sowieso ein völlig neues Konzept für Passwörter überlegen.

MfG
Mr. J

 

[p3Eq]

Spätestens dann könnte man jede Information von Relevanz, die du online gelesen hast, auch sowieso aus deinem Gedächtnis lesen. Das spielt dann keine Rolle mehr

 

[Mr_J]

Bis es dann die ersten digitalen verschlüsselten Speicher gibt die man irgendwie ins Hirn integriert. Schöne neue Welt *Schauder*.

MfG
Mr. J

 

[p3Eq]

Und wo soll das Kennwort für diese Verschlüsselung hin? *g*

 

[Mr_J]

Muss ein Speicher sein der nur dann gelesen kann wenn keine äußeren Quellen ans Hirn angeschlossen sind.

MfG
Mr. J

 

[p3Eq]

Dann hätte man ja dieselbe Problematik wie bei Logins, bei denen man nach x Fehlversuchen gesperrt wird: Jemand könnte absichtlich durchgehend den Zugriff provozieren, um dich nicht mehr an deine Kennwörter kommen zu lassen :P

 

[Mr_J]

Warten wir mal ab bis es soweit ist, bis dahin dauert es hoffentlich noch ein paar Jahre. Grundsätzlich finde ich es aber interessant, dass Technik wie sie damals z.B. bei Star Trek, Shadowrun oder ähnliches Science Fiction Ideen präsentiert wurde immer mehr einfach zum Stand der Technik wird.

MfG
Mr. J

 

[Cybercat]

Solche Hardware-Lösungen sind natürlich eine Option, allerdings muss man dann darauf vertrauen, dass die Implementierung fehlerfrei und sicher ist. Das war in der Vergangenheit nicht immer der Fall

Der Fisch kann einem echt Angst machen.
Werde wohl mal den Hersteller per Mail kontaktieren und damit mal konfrontieren. Das extrem dünne Handbuch (Wenn man es Handbuch nennen kann) liefert keine brauchbaren Informationen.

 

[MSX]

Interessant im Bezug auf die von Dir genutzte Karte wäre noch, wie sinnvoll der Selbstzerstörungsmechanismus sein soll. Ich denke, das bringt genauso wenig was, wie Bootloader es in der Regel sind, die eine Zeitverzögerung bei falschen Eingaben benutzen, sofern man den Datenträger in Ruhe bearbeiten kann und nicht vor Ort testet, was ohnehin wenig sinnvoll erscheint. Macht man ein Image des Ganzen, dann wars das. Jeder, der so eine Karte findet oder entwendet, der würde sich sehr wahrscheinlich informieren, was er da vor sich hat. Dann ist dieser beiläufige Schutz hinfällig, weil man eben ein Image erstellt und damit arbeitet. Ist vielleicht bei Bruteforce sogar zudem noch schneller als der Kartenzugriff.

Der Hersteller schreibt nicht viel konkretes, außer, daß Triple-DES zur Verschlüsselung benutzt wird. Hab da gestern mal geschaut. - Wie ist es mit der Software? Die wird separat installiert, oder ist die auf der Karte mit drauf? Wenn ja, ist es sicher schwerer, Software von Daten zu trennen, um dann nur letztere zu entschlüsseln. Evtl. findet man aber die Antwort auch in entsprechenden Ecken im Netz und dann ist der Schutz damit wirklich hinfällig.