Wohin mit den Passwörtern ?
-
Ich habe ein kleines Büchlein im Nachtschrank mit BN/PW Kombinationen. Damit niemand diese so einfach benutzen kann habe ich eine Miniverschlüsselung drüber gelegt. Endet das PW auf + wird das n'te um 2 hoch gezählt, bei - und * passieren andere Dinge.
-
Generell auf Softwareseite ist ein Passwortsafe wie KeePass empfehlenswert. Dort werden die Passwörter mit einem Masterpasswort verschlüsselt abgelegt. Außerdem unterstützen die auch sowas wie automatisches Einfügen. Man sollte nur die Archivdatei sichern, falls die Festplatte mal schrott geht. Größter Nachteil: an anderen Rechnern hast du keinen Zugriff auf die Passwörter, es sei denn du schleppst immer die Passwortdatei und das Programm auf einem Stick mit dir rum.
Wenn es speziell um Passwörter auf Internetseiten geht und du Firefox verwendest, ist auch das Addon Password Hasher einen Blick wert. Das generiert aus einer seitenspezifischen Kennung (z.B. den Domainnamen) und einem Masterpasswort ein seitenspezifisches Passwort, das keine Rückschlüsse auf die Passwörter für andere Seiten zulässt (wahrscheinlich mit kryptografischen Hashfunktionen o.ä). Vorteil ist, das es keine Archivdatei gibt, die Passwörter werden algorithmisch generiert. Also auch bei Festplattenschaden o.ö. sind sie nicht verloren, sondern man muss nur das Addon wieder installieren. Nachteil ist wieder, dass du die Passwörter unterwegs nur generieren kannst, wenn du auf dem Computer das Addon installiert ist.
So ein generiertes Passwort kann man aber auch ohne Addon haben. Online-Hasher gibt es zur Genüge, z.B. http://hash.online-convert.com/sha256-generator. Man gibt die Seitenkennung als Text ein (z.B. c-plusplus.net) und das Masterpasswort als HMAC-Key (z.B. 1234) und der resultierende Hash ist das Passwort (hier 7316af8b0e533146e96bec40642d6cf09e3edb0febc59085bd0bc791f39a5400). Selbst wenn der Betreiber das mitschneidet, zumindest meinen Loginnamen kennt er nicht. Sieht jemand sicherheitstechnisch Bedenken?
-
ipsec schrieb:
Sieht jemand sicherheitstechnisch Bedenken?
Man könnte sich in falscher Sicherheit wiegen und 1234 als Master-Passwort benutzen. Dann wäre das wieder leicht angreifbar, falls der Angreifer weiß, welchen Algorithmus man benutzt.
-
SeppJ schrieb:
ipsec schrieb:
Sieht jemand sicherheitstechnisch Bedenken?
Man könnte sich in falscher Sicherheit wiegen und 1234 als Master-Passwort benutzen. Dann wäre das wieder leicht angreifbar, falls der Angreifer weiß, welchen Algorithmus man benutzt.
Jap das stimmt. Und da man einen SHA256-Hash auch sehr gut erkennt, kommt man da wohl recht schnell dahinter. Wenn man sich dessen aber bewusst ist und ein kompliziertes Masterpasswort nutzt, sollte das gehen.
Will mans übertreiben, nimmt man als Masterpasswort einen weiteren Hash. Wenn der Angreifer das nicht weiß, bruteforced er ewig.
-
1Password + kompliziertes Masterpasswort ist die beste und komfortabelste Lösung, die mir bisher untergekommen ist. Kann ich uneingeschränkt weiterempfehlen!
-
Wohin mit den Passwörtern? In den Kopf. man kann auch sichere Passwörter entwickeln, die man sich merken kann. Den Trick mit den Anfangsbuchstaben eine Satzes kennt wohl jeder.
Der Nachteil von solchen Passwortsafes ist, dass man sie nicht immer an dem Ort hat, an dem man sie braucht. Und immer einen USB-Stick mit rumschleppen ist auch nicht so schön.
-
Luckie schrieb:
Und immer einen USB-Stick mit rumschleppen ist auch nicht so schön.
Och, geht schon.
Ich schwöre auf diese Kombo:
http://www.amazon.de/Supertalent-Pico-C-Flash-Memory-USB-Stick/dp/B001BAW7P4/ref=sr_1_14?ie=UTF8&qid=1307923767&sr=8-14
http://www.amazon.de/Troika-Schlüsselhalter-Karabinerhaken-ausklinkbare-Ringeamerik/dp/B00009R4CM/ref=sr_1_1?ie=UTF8&qid=1307923811&sr=8-1
-
Den USB-Stick habe ich auch zum mit rum tragen. Mit der kleinen Kette kann man ihn schön an eine andere Kette, die man um den Hals trägt, fest machen.
-
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Ganz Paranoide können das auszudruckende auch vorher mit einem Masterpasswort verschlüsseln und das Ergebnis als ASCII Code ausdrucken.
-
Am sichersten wäre es natürlich, alles auf Zettel zu schreiben und die dann zu verbrennen. Die Asche dann noch in Salzsäure (konz.) einlegen. Das liest garantiert niemand mehr aus!
-
sdf schrieb:
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Das ist ja unheimlich praktisch, wenn ich jedesmal vor dem Online-Banking zur Bank für das Passwort rennen muss.
Selbst ein nicht eingeschlossener USB-Stick ist mir für manche Sachen zu unhandlich. Z.B. wenn ich unterwegs meine E-Mails abrufen will und den Stick gerade nicht bei mir habe oder an dem Gerät nicht nutzen kann.
-
ipsec schrieb:
sdf schrieb:
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Das ist ja unheimlich praktisch, wenn ich jedesmal vor dem Online-Banking zur Bank für das Passwort rennen muss.
Passwörter merkt man sich, den Zettel oder USB-Stick bewahrt man nur für den Fall auf, daß man die Passwörter vergißt.
So mache ich das zumindest.
Und ja, ich hätte fast mal ein Passwort vergessen, bzw. hatte ich einen Algorithmus entwickelt aus dem das Passwort generiert wurde.
Allerdings war ich bei den dafür notwendigen Parametern mir nicht mehr sicher, die hatte ich leider nach ca. 8 Monaten nicht Gebrauch des Passworts vergessen.
Und die Daten waren für mich wichtig.
Aber es gelang mir, mithilfe eines selbstgeschriebenen Programms und einer Bruteforce Methode daß die variablen Parameter in beschränktem Maße durchgeht, wiederherzustellen.
So konnte ich das Passwort also letzten Endes wieder rekonstruieren.Aber durch diese Erfahrung habe ich auf die harte Tour gelernt wie schlimm das sein kann, wenn man seine Daten Wochenlang nicht mehr herankommt.
Das meine Bruteforcemethode noch funktioniert hat, war reines Glück und die Tatsache, daß ich A) den Algorithmus noch kannte und
die Parameter zwar vergaß, aber wenigstens noch wußte, in welchem Bereich ich sie einschränken mußte.Übrigens, den Algorithmus zum Generieren des Passwort habe ich vorher immer im Trockenen angewendet. D.h. das funktionierte ohne Computer.
Eine heute nun bessere Methode wäre, wenn ich mir nun die Parameter aufschreiben würde, um an meine Passwörter durch neu Generieren heranzukommen.
Aber momentan benutze ich aus Faulheit die einfache Papiermethode.
-
Wie wärs mit auswendig lernen? Hab auch schwer zu merkende Passwörter, da hab ich sie doch glatt alle auswendig gelernt __
-
Minispiri schrieb:
Wie wärs mit auswendig lernen? Hab auch schwer zu merkende Passwörter, da hab ich sie doch glatt alle auswendig gelernt __
In deinem Alter hat man ein besseres Erinnerungsvermögen und weniger wichtige Passwörter. Man sollte schon noch irgendwie die Passwörter gespeichert oder aufgeschrieben haben, im Fall des Falles man hat sie wirklich mal vergessen. Nicht alles bíetet eine einfache "Passwort vergessen"-Funktion.
-
Das kommt drauf an, u.a. auf die Anforderungen.
Forenpasswörter kann man sich auf irgendeinen Merk.txt schreiben, oder auch in ein spezielles kleines dafür vorgesehenes Progamm, z.B. mit Debug:C:\Users\nachtfeuer>debug - -E200 "[\öfftöffübelkübel/]" -E300 "Die Anzahl der zu schreibenden Bytes steht in BX:CX" -E400 "Darum vor dem Schreiben immer BX und CX überprüfen!" -r AX=0000 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000 DS=19F4 ES=19F4 SS=19F4 CS=19F4 IP=0100 NV UP EI PL NZ NA PO NC 19F4:0100 0000 ADD [BX+SI],AL DS:0000=CD -d400 19F4:0400 44 61 72 75 6D 20 76 6F-72 20 64 65 6D 20 53 63 Darum vor dem Sc 19F4:0410 68 72 65 69 62 65 6E 20-69 6D 6D 65 72 20 42 58 hreiben immer BX 19F4:0420 20 75 6E 64 20 43 58 20-81 62 65 72 70 72 81 66 und CX .berpr.f 19F4:0430 65 6E 21 00 00 00 00 00-00 00 00 00 00 00 00 00 en!............. 19F4:0440 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 19F4:0450 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 19F4:0460 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 19F4:0470 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ -rcx CX 0000 :432 -n caesar.com -w Writing 00432 bytes -Admin pwds kann man sich irgendwo an den Rechner kleben, an den Bildschirm, unter oder auf die Tastatur, unter einen Drucker oder in ein Buch in der Nähe schreiben, oder auf ein Blatt Papier in einem Buch in der Nähe.
Haushaltsgeräte und Gegenstände haben eine Reihe schöner Seriennummern und Kennzeichnungen, die man variiert einsetzen und notfalls verschlüsseln kann.
Manche Merkpasswörter müssen gerade am Anfang mehrmals wiederholt werden. Es ist gut, wenn man längerfristige Passwörter gelegentlich oder regelmäßig wiederholt, am besten an bestimmten Tagen, vielleicht Sonntagabend oder der kann ich noch alle Pwds Test beim Warten auf den Bus.
-
nachtfeuer schrieb:
... Admin pwds kann man sich irgendwo an den Rechner kleben, an den Bildschirm, unter oder auf die Tastatur, unter einen Drucker oder in ein Buch in der Nähe schreiben, oder auf ein Blatt Papier in einem Buch in der Nähe...
WTF
-
Für passwörter legt man sich doch auf den Desktop eine Passwords.txt Datei an in der fein Säuberlich alles Passwörter + Accountdaten in Textform drinnen steht.
Ansonsten klebt man sich nen Zettel mit den Passwörtern an den Monitor.Mal im Ernst. Wirklich Kritische Passwörter (Finanzdaten etc) hab ich im Kopf. Zusätzlich ggf nochmal irgendo in einen Ordner aufbewahrt. Eher unkritische Sachen sind dann meist nicht so kompliziert das sie sich merken lassen. Hier verwende ich ggf auch mehrfach das selbe passwort. Was interessiert es mich wenn jemand meint das Passwort für das 15 Browsergame, was ich eh in 3 Monaten nicht mehr spiele, hacken zu müssen.
Oder wie meinte mal mein Netzwerktechnikprof zu uns:
Als mein Chef nicht einsah, dass es nicht unbedingt notwendig ist für jeden Kunden ein neues total Kryptisches Passwort zu verwenden. Hab ich mir einfach eine Liste mit allen Passwörtern an den Laptop gehangen. Einen Monat später gabs nur noch ein Kryptisches Passwort für alle.
