4. Speicher ihr Passwörter?

Speicher ihr Passwörter?

  • Administrator

    Gruum schrieb:

    Sich mehrere Passwörter, die man nur ab und zu mal benutzt, zu merken ist einfach unmöglich.

    Geht schon, du musst dir nur eine Eselsbrücke einfallen lassen, welche unteranderem auf dem Namen des zu benutzenden Dienstes aufbaut.
    Also ein ganz einfaches System nur zur Verdeutlichung:
    C++forum[324634=

    In diesem Fall also:
    Zuerst der Name mit dem ersten Zeichen als Grossbuchstaben. Der Rest wird in Kleinbuchstaben geschrieben.
    Danach immer die öffnende eckige Klammer.
    Dann eine zu merkende Zahl, welche bei jedem Passwort gleich bleibt.
    Und am Ende noch ein Gleichzeichen.

    Ich speichere übrigens keine Passwörter 🙂
    Ich merke mir Passwörter grundsätzlich über Bilder, welche sich zum Teil dann auch aus den Logos der genutzten Seiten zusammenfügen. Falls ich wirklich mal ein Passwort vergesse, kann ich es trotzdem über die Bilder-Eselsbrücke rekonstruieren. Und gewisse Passwörter sind einfach in meinen Händen gespeichert. Wenn ich sie oft brauche, muss ich gar nicht mehr drüber nachdenken, was ich eintippen muss 🙂

    Grüssli

    0
  • ?

    Gruum schrieb:

    Wenn jemand an mein Passwort kommt, dann vermutlich durch Malware auf einem der PCs die ich benutze.

    Mir fallen da noch genug andere Beispiele ein. Denk zum Beispiel an die gehackte StudiVZ Datenbank. Mit jedem weiteren Dienst, bei dem du das gleiche Passwort verwendest, steigt die Wahrscheinlichkeit, dass bei einem Dienst, den du nutzt, dein Passwort missbraucht wird.

    Es brauch nur eine Seite geben, bei der du dich mit E-Mail-Adresse und Passwort registrierst, und diese Daten mal bei anderen Diensten probiert, um Schaden an zu richten.

    Password-Maker ist auf jeden Fall besser, als nur ein oder zwei Passwörter zu verwenden.

    0
  • E

    Wär mir alles zuviel arbeit ^^
    Ich habe 3 kryptische Passwörter, eines welches ich entbehren könnte, eines was etwas mehr von Relevanz ist, und eines für die kritischen Sachen die Online Banking.
    Bis auf die Kritischen Sachen lass ich alles Speichern, bin faul ^^

    0
  • R

    Hurrz schrieb:

    SVN/CVS/GIT...

    Dafür gibt es ja man: ssh-agent. Zumindest um das Password temporär zu halten.

    0
  • ?

    Ich nutze eigentlich immer die jeweils im System mitgelieferte Passwortverwaltung, also in der Regel KWallet oder unter Gnome den Keyring.

    0
  • Administrator

    ProgChild schrieb:

    Denk zum Beispiel an die gehackte StudiVZ Datenbank. Mit jedem weiteren Dienst, bei dem du das gleiche Passwort verwendest, steigt die Wahrscheinlichkeit, dass bei einem Dienst, den du nutzt, dein Passwort missbraucht wird.

    1. Normalerweise speichert eine Webseite nur einen Hashwert des Passwortes ab. Wenn sie an die Datenbank kommen, haben sie nur den Hashwert und noch nicht das Passwort. Nützt ihnen also nichts.
    2. Sie müssten zuerst mal herausfinden, welche sonstigen Dienste du denn nutzt. Dann wäre es schon bald einmal ein gezielter Angriff. Also ziemlich unwahrscheinlich.

    Grüssli

    0
  • ?

    Dravere schrieb:

    1. Normalerweise speichert eine Webseite nur einen Hashwert des Passwortes ab. Wenn sie an die Datenbank kommen, haben sie nur den Hashwert und noch nicht das Passwort. Nützt ihnen also nichts.

    Schön, dass du dich so gutgläubig, auf die Anbieter verlässt. Ich wäre mir da nicht immer sicher. Gerade im Web wird ne Menge Blödsinn gecodet. Da bin ich froh, wenn ich das selber übernehmen kann. Da weiß ich nämlich, dass es definitiv gehasht wird.

    Und selbst wenn, die Seite nur Passwort-Hashes speichert. Es kann durchaus sein, dass ein Hacker da den Login-Vorgang mitschneidet. Ein gekaperter Server erlaubt da so einiges.

    Dravere schrieb:

    2. Sie müssten zuerst mal herausfinden, welche sonstigen Dienste du denn nutzt. Dann wäre es schon bald einmal ein gezielter Angriff. Also ziemlich unwahrscheinlich.

    Och... Eigentlich sehr wahrscheinlich. Ich setzte einfach eine Seite auf, auf der man irgendwas tolles bekommen, wenn man sich mit E-Mail-Adresse und Passwort registriert. Dann probiere ich einfach das Passwort bei den gängigen E-Mail-Diensten, wie Hotmail, Web.de usw. aus. Wenns klappt, dann melde ich mich an und versende über den Mail-Account Spam. Ziemliche trivial.

    Btw. Password-Maker hat noch einen weiteren Vorteil: Phishing-Attacken laufen damit ins leere.

    0
  • Administrator

    ProgChild schrieb:

    Schön, dass du dich so gutgläubig, auf die Anbieter verlässt. Ich wäre mir da nicht immer sicher. Gerade im Web wird ne Menge Blödsinn gecodet. Da bin ich froh, wenn ich das selber übernehmen kann. Da weiß ich nämlich, dass es definitiv gehasht wird.

    Ich melde mich auch nicht einfach überall an und habe die Augen offen. Der beste Schutz ist immer noch etwas Grips.

    ProgChild schrieb:

    Och... Eigentlich sehr wahrscheinlich. Ich setzte einfach eine Seite auf, auf der man irgendwas tolles bekommen, wenn man sich mit E-Mail-Adresse und Passwort registriert.

    LoL, also wenn jemand auf sowas reinfällt, dann ist er selber schuld. Wie gesagt, etwas Grips braucht es natürlich auch im Internet. Da hilft auch kein Passwort-Manager.

    Grüssli

    0
  • ?

    Dravere schrieb:

    Ich melde mich auch nicht einfach überall an und habe die Augen offen. Der beste Schutz ist immer noch etwas Grips.

    Du scheinst offenbar eine Methode gefunden zu haben, wie man entscheiden kann, ob man Leuten, die man nicht kennt, trauen kann oder nicht. Sehr faszinierend. Damit lässt sich sicher gut Geld verdienen...

    Ich gehe da lieber auf Nummer sicher, aber das ist jedem selber überlassen.

    0
  • N

    Dravere schrieb:

    Normalerweise speichert eine Webseite nur einen Hashwert des Passwortes ab. Wenn sie an die Datenbank kommen, haben sie nur den Hashwert und noch nicht das Passwort. Nützt ihnen also nichts.

    Das ist nichts weiter als eine Wunschvorstellung, die sich überhaupt nicht mit der Realität deckt.

    Dravere schrieb:

    LoL, also wenn jemand auf sowas reinfällt, dann ist er selber schuld. Wie gesagt, etwas Grips braucht es natürlich auch im Internet.

    Ganz schön arrogant.

    Es braucht kein Phishing, es reicht auch schon wenn eine Site gehackt wird, die Passwörter im Klartext gespeichert hat, oder der Hashwert in einer Rainbow Table steht.

    Ich habe über 250 Passwörter in KeePass gespeichert. Die kann man sich nicht alle merken, da hilft auch keine Eselbrücke mehr, die muss man entweder irgendwo speichern oder Passwörter mehrfach verwenden.

    0
  • ?

    Ich verwende nie das gleiche Passwort und meine Passwörter sind auf einem Rechner der nicht online oder im Netz ist und sind dort nochmals verschlüsselt abgelegt.

    0
  • ?

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja? 😕

    0
  • Administrator

    ProgChild schrieb:

    Du scheinst offenbar eine Methode gefunden zu haben, wie man entscheiden kann, ob man Leuten, die man nicht kennt, trauen kann oder nicht. Sehr faszinierend. Damit lässt sich sicher gut Geld verdienen...

    Nö, ich bin nur verdammt misstrauisch. Ich bin ca. an 15-20 Orten im Web registriert. Den anderen Websites vertraue ich nicht oder melde mich gar nicht an, weil ich keinen Grund dazu sehe.
    Ich melde mich bei einer Webseite erst an, wenn ich schon ein Weile dort bin und erfahren habe, wer zuständig ist. Dann schaut man sich an, welche Technologien sie einsetzen und wie der HTML Code so gestaltet und aufgebaut ist. Wie ist die Website aufgebaut, wie regelmässig fanden Updates statt? usw. usf. Ich vermindere das Risiko auf ein aktzeptables Mass. Und ich hatte bisher noch nie Probleme. Es wurden sogar schon Webseiten gehackt, auf welchen ich war, aber alle hatten einen Hash gespeichert. Und der letzte erlebte Angriff liegt nun schon mehr als 2 Jahre zurück. Die Webseite selber existiert seit noch viel mehr Jahren. Und da wurden schon Hashs eingesetzt. Wenn ich ehrlich bin, mag ich mich nicht erinnern, wann ich das letzte mal davon gehört habe oder gesehen habe, dass irgendwo Passwörter im Klartext in einer Datenbank abgespeichert wurden. Das lernt jeder Webseitenbetreiber von Anfang an heutzutage.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    Normalerweise speichert eine Webseite nur einen Hashwert des Passwortes ab. Wenn sie an die Datenbank kommen, haben sie nur den Hashwert und noch nicht das Passwort. Nützt ihnen also nichts.

    Das ist nichts weiter als eine Wunschvorstellung, die sich überhaupt nicht mit der Realität deckt.

    Jede einigermasen seriöse Webseite wird einen Hash speichern. Und heutzutage bauen immer wie mehr Webseiten auf CMS auf. Die haben grundsätzlich alle automatisch einen Hash.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    LoL, also wenn jemand auf sowas reinfällt, dann ist er selber schuld. Wie gesagt, etwas Grips braucht es natürlich auch im Internet.

    Ganz schön arrogant.

    Dummheit kostet nunmal. Ich schliesse mich davon nicht aus. Aber so sieht die Realität halt aus. Wer im Netz nicht aufpasst und mitdenkt, der fällt früher oder später eben in eine Falle rein. Dabei wird es wirklich oft genug gesagt, dass man aufpassen soll. Ein Restrisiko wird sicher bleiben, aber das besteht immer und überall. Ich lebe meistens nach der 80:20 Regel.

    Nukularfüsiker schrieb:

    Ich habe über 250 Passwörter in KeePass gespeichert.

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Nukularfüsiker schrieb:

    ..., oder der Hashwert in einer Rainbow Table steht.

    hacki schrieb:

    @Dravere: Dir ist schon klar das man aus einem Hashwert auch das Passwort wieder rausbekommt wenn es nicht gut gewählt ist ja?

    Wie ich schon mal gesagt habe, braucht man auch im Inet Grips. Also gehört es dazu, dass man sich auch gute Passwörter ausdenkt. Zudem wird bei heutigen CMS meisten gleich auch noch einen Salt eingesetzt.

    Aber gut, wenn ihr denkt, ich handle grobfahrlässig, dann lasst mich doch. Wie ich oben sagte, Dummheit kostet. Wenn ich hier also nach eurer Meinung dumm bin, dann wird mich das eben kosten. Ich habe allerdings so meine Zweifel. Und aktuell erarbeite ich gerade auch noch ein neues Passwortsystem, wodurch ich wahrscheinlich noch bessere Passwörter über meine Eselsbrücke werde generieren können. Aja, wie gesagt, ich verwende auch unterschiedliche Passwörter 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Ich melde mich bei einer Webseite erst an, wenn ich schon ein Weile dort bin und erfahren habe, wer zuständig ist. Dann schaut man sich an, welche Technologien sie einsetzen und wie der HTML Code so gestaltet und aufgebaut ist.

    Dravere schrieb:

    Jede einigermasen seriöse Webseite wird einen Hash speichern.

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail. Da du dich ja offenbar ein bisschen auskennst, hast du sicher eine grobe Vorstellung davon, an vielen Stellen zwischen Absender und Empfänger man diese Daten abgreifen kann. Da spielt es auch keine große Rolle mehr, wie "der HTML-Code aufgebaut" ist.

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.
    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Oh, wie unglaublich schlimm.
    Und finde ich mal wieder bezeichnend, dass dieses Sicherheitsloch als erstes erwähnt wird. Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nukularfüsiker schrieb:

    Ansonsten habe ich nun mal ein anderes Nutzungsverhalten als du, ...

    Klar hast du das, jeder wird wohl das Internet unterschiedlich benutzen.

    Nukularfüsiker schrieb:

    ... bin vielseitig interessiert und komme öfter in Ecken rum, wo eine Registrierung notwendig ist. Du bist vielleicht nur ein Sonntagsfahrer, die haben naturgemäß weniger Unfälle und halten sich deshalb für tolle Fahrer.

    Klar, wenn du meinst 🤡

    Grüssli

    0
  • N

    Dravere schrieb:

    Dabei gäbe es ein viel grösseres Sicherheitsloch. Wenn du dich einloggst, dann übermittelt dein Browser das Passwort per HTTP-POST im Klartext. Jedensmal, immer und immer wieder und nicht nur einmal am Anfang in einer E-Mail, welche sowieso niemand abfangen wird.

    Völliger Unfug. Ich logge mich hier einmal ein und das wars. Ab da wird immer nur noch die Session-ID übertragen. Die E-Mail geht potenziell über viel mehr Zwischenstationen und wird überall zwischengespeichert, mit unbekannter Speicherdauer.

    welche sowieso niemand abfangen wird

    Ziemlich ignorante Ansage für so einen sicherheitsbewussten Internet-Profi. 🙂

    Dravere schrieb:

    Nukularfüsiker schrieb:

    Dravere schrieb:

    250 Passwörter ... du bist also an 250 Stellen registriert? Da sieht man den Unterschied 🙂

    Das ist offensichtlich eine Milchmädchenrechnung.

    Klar ist es das, aber stimmt sie denn nicht?

    Nein, denn es ist eine Milchmädchenrechnung. 250 Passwörter bedeutet nicht 250 Registrierungsstellen.

    0
  • N

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr. Das ist davor einfach niemandem aufgefallen, was primär daran liegt, dass unsere Registrierungen schon so elendslange zurückliegen.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    0
  • N

    nman schrieb:

    Nukularfüsiker schrieb:

    Dem setze ich mal folgendes entgegen: Diese schöne Website hier verschickt bei der Registrierung dein Passwort im Klartext per E-Mail.

    Nein, seit Mitte April nicht mehr.

    Oh, schön.

    Draveres Einwand bleibt bestehen, ich halte das HTTP-Auth auch für gefährlicher, da das öfter stattfindet als der Mail-Versand und ebenso leicht abgreifbar ist. (Registrieren musst Du Dich nur einmal, einloggen jedesmal beim Cookies löschen, Browser wechseln, neuen Rechner in Betrieb nehmen etc.)

    Ich halte die Angriffsfläche bei E-Mails für größer als bei HTTP, aber seis drum. Es spielt ohnehin keine Rolle. Sein Einwand irritiert mich, denn er legt bei der Registrierung angeblich Wert auf sichere Technologien und schaut immer ganz genau hin - aber registriert sich trotzdem bei einer Site, die Klartext-Passwörter verschickt und kein sicheres Login bietet, und tut diese Schwachstellen als irrelevant ab. Ein wenig schizophren, das.

    0
  • Administrator

    Nukularfüsiker schrieb:

    Ein wenig schizophren, das.

    Die Chance ist deutlich grösser, dass jemand probiert eine Seite wie diese hier zu hacken und Informationen einmalig herauszuholen, als dass jemand versucht die Daten irgendwie mitzuschneiden. Zudem würde sowas ziemlich schnell auffallen. Und an die böse Regierung, welche alle abhört und erpresst, glaube ich nicht. Es ist nicht schizophren, sondern ein Mittelweg. Wie ich schon vorher sagte, lebe ich oft nach der 80:20 Regel. Und ich bin eben der Meinung, dass man diese 80 relativ einfach mit ein wenig Grips hinbekommen kann. Ich verringe das Risiko schon nur dadurch, dass ich nicht an vielen Stellen registriert bin.

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Grüssli

    0
  • N

    Dravere schrieb:

    Übrigens noch eine Frage an dich: Wenn man die Passwörter bei dieser Seite so einfach mitschneiden kann, wieso wird es dann eigentlich nicht gemacht? 😉

    Zum einen habe ich nicht von "so einfach" gesprochen; dass ein Passwort einfacher abzugreifen ist, wenn es als Klartext gesendet wird als wenn alles verschlüsselt abläuft, ist ja wohl nicht zu bestreiten. Weiters halte ich es für logisch, das ein über Relays versendetes und irgendwo in einem oder mehreren Mail-Ordner (lokal und auf dem Server) gespeichertes Passwort (welches somit "unendlich" lange für einen Angriff zur Verfügung steht) ein leichteres Ziel ist als eines, das genau jetzt per HTTP versendet wird.

    Außerdem will ich diese Site auch nicht als besonders unsicher bezeichnen. Sie ist gleichauf mit den meisten anderen Sites, und besser als wirklich schlechte. Aber wenn es jemand stark auf dein Passwort abgesehen hat, dann hat er es hier wesentlich leichter als beispielsweise bei Amazon.

    Wenn du deine Passwörter immer nur einmal vergibst, dann ist das ein guter Ansatz. Das mache ich auch so, aber habe es auf die harte Tour lernen müssen.
    Mein Punkt ist aber, dass du nicht so sorgfältig bist bei der Auswahl der Seiten bei denen du dich registrierst, wie du vorgibst. Du handelst auf Basis von Vermutungen und lässt dabei die tatsächlich relevanten und für dich sogar sichtbare Fakten außer acht, weil sie dir nicht in dem Kram passen, oder weil du sie unterschätzt. Ein schöner HTML-Code sagt nichts über die Sicherheit einer Site aus. Das versenden von Passwörten im Klartext aber schon.

    0
Anmelden zum Antworten