Wohin mit den Passwörtern ?
-
Mittlerweile habe ich so viele Passwörter (vor allem sichere, die sehr
lang sind) und ich weiß nicht mehr wo ich diese aufbewahren soll ?!?!?!Auf dem PC sind die zu unsicher (?!) zu Hause könnte ich es auch behalten.
Aber da drohen auch gefahren : Einbruch, Brand oder Verlust durch Zimmer
Aufräumen.Hättet ihr vielleicht paar vorschläge oder tod sichere Softwares ??
-
Zettel bei dir im Zimmer. Wenn du einen Einbruch oder Brand hast, dann hast du ganz andere Probleme. Und pass eben auf beim Aufräumen.
Oder denk dir leichter zu merkende Passwörter aus. Alleine schon wenn du deutsche Umlaute einbaust, schlägst du auch mit normal langen Passwörtern alle gängigen Brute-Forcer oder Rainbow-Tables. Und es gibt auch genug Systeme, wie du dir Passwörter mit hoher Komplexität erzeugen kannst, die trotzdem merkbar sind.
-
Hast du keinen PDA oder Business-Smartphone, bei dem man definitiv nur mit Passwort ran kommt?
Ich habe heute noch auf meinem alten Palm alle meine Passwörter drauf. Wer das Passwort für den Palm nicht kennt, kommt nicht ran. Daten sind auch im internen Speicher.
Passwort kann man nur mit ner Nadel am Reset-Taster weg bekommen, aber dann sind auch die Daten weg. Seit kurzem habe ich aber auch ein Nokia E5 Business-Smartphone: den Speicher kann man serienmäßig verschlüsseln.
Da werde ich mal demnächst meine Passwörter übernehmen.Ansonst würde ich halt einen Zettel zu Hause im Schrank aufbewahren. Ist am unkompliziertesten und nicht unsicherer, als alles andere, was in deinem Haushalt vor Diebstahl unsicher wäre.
-
Ich persönlich benutze http://passwordsafe.sourceforge.net/, ein Programm um Passwörter zu verwalten.
(Da gibt's natürlich mehrere zur Asuwahl)
Dann musst dir nur noch eins merken.
Und die (verschlüsselte) Passwortdatei hab ich noch im Internet, damit mir nix verloren geht.
Natürlich muss ich darauf vertrauen, dass die richtig gut verschlüsselt is.
-
Ich hab nen TrueCrypt Container auf nem USB Stick, der in der Schreibtischschublade liegt.
-
Wie kann man denn so viele unterschiedliche Passwörter haben, dass man sich die nicht mehr merken kann
Abgesehen davon ist ein
SeppJ schrieb:
Zettel bei dir im Zimmer.
doch wohl klar die beste Lösung. Ein Einbrecher wird sich wohl kaum für deine Passwörter interessieren, die Zettel gehen nicht verloren bzw. man kann das Passwort für seine Passwörter nicht vergessen, und Zettel sind von Natür aus unhackable
-
Also ich benutze meinen Kopf. Die wenigen PINs kann ich mir merken, die frei zu vergebenden Passwoerter waehle ich mit System. Die sind auch schoen lang und beinhalten auch Variationen. Kein Papier, kein Speicher -> keine Sorge
-
Ich hab auch nen Zettel mit Passwörten und auch Logins von Portalen / Foren / etc.
Bei den weniger relevanten Logins hab ich auch immer das selbe Passwort, für Accounts, die eh keine Sau interessieren
Wenn bei mir jemand einbricht sieht er als erstes haufenweise IT-Krams, vom TV bis zum Notebook. Für den Zettel mit MeinVZ-Login oder C++Forum-Login wird er sich wohl nicht interessieren
Das einzige was sich nur in meinem Kopf befindet, sind die Logins und Pins für jegliche Bankangelegenheiten. Sowas schreib ich nicht auf.
-
Ich habe ein kleines Büchlein im Nachtschrank mit BN/PW Kombinationen. Damit niemand diese so einfach benutzen kann habe ich eine Miniverschlüsselung drüber gelegt. Endet das PW auf + wird das n'te um 2 hoch gezählt, bei - und * passieren andere Dinge.
-
Generell auf Softwareseite ist ein Passwortsafe wie KeePass empfehlenswert. Dort werden die Passwörter mit einem Masterpasswort verschlüsselt abgelegt. Außerdem unterstützen die auch sowas wie automatisches Einfügen. Man sollte nur die Archivdatei sichern, falls die Festplatte mal schrott geht. Größter Nachteil: an anderen Rechnern hast du keinen Zugriff auf die Passwörter, es sei denn du schleppst immer die Passwortdatei und das Programm auf einem Stick mit dir rum.
Wenn es speziell um Passwörter auf Internetseiten geht und du Firefox verwendest, ist auch das Addon Password Hasher einen Blick wert. Das generiert aus einer seitenspezifischen Kennung (z.B. den Domainnamen) und einem Masterpasswort ein seitenspezifisches Passwort, das keine Rückschlüsse auf die Passwörter für andere Seiten zulässt (wahrscheinlich mit kryptografischen Hashfunktionen o.ä). Vorteil ist, das es keine Archivdatei gibt, die Passwörter werden algorithmisch generiert. Also auch bei Festplattenschaden o.ö. sind sie nicht verloren, sondern man muss nur das Addon wieder installieren. Nachteil ist wieder, dass du die Passwörter unterwegs nur generieren kannst, wenn du auf dem Computer das Addon installiert ist.
So ein generiertes Passwort kann man aber auch ohne Addon haben. Online-Hasher gibt es zur Genüge, z.B. http://hash.online-convert.com/sha256-generator. Man gibt die Seitenkennung als Text ein (z.B. c-plusplus.net) und das Masterpasswort als HMAC-Key (z.B. 1234) und der resultierende Hash ist das Passwort (hier 7316af8b0e533146e96bec40642d6cf09e3edb0febc59085bd0bc791f39a5400). Selbst wenn der Betreiber das mitschneidet, zumindest meinen Loginnamen kennt er nicht. Sieht jemand sicherheitstechnisch Bedenken?
-
ipsec schrieb:
Sieht jemand sicherheitstechnisch Bedenken?
Man könnte sich in falscher Sicherheit wiegen und 1234 als Master-Passwort benutzen. Dann wäre das wieder leicht angreifbar, falls der Angreifer weiß, welchen Algorithmus man benutzt.
-
SeppJ schrieb:
ipsec schrieb:
Sieht jemand sicherheitstechnisch Bedenken?
Man könnte sich in falscher Sicherheit wiegen und 1234 als Master-Passwort benutzen. Dann wäre das wieder leicht angreifbar, falls der Angreifer weiß, welchen Algorithmus man benutzt.
Jap das stimmt. Und da man einen SHA256-Hash auch sehr gut erkennt, kommt man da wohl recht schnell dahinter. Wenn man sich dessen aber bewusst ist und ein kompliziertes Masterpasswort nutzt, sollte das gehen.
Will mans übertreiben, nimmt man als Masterpasswort einen weiteren Hash. Wenn der Angreifer das nicht weiß, bruteforced er ewig.
-
1Password + kompliziertes Masterpasswort ist die beste und komfortabelste Lösung, die mir bisher untergekommen ist. Kann ich uneingeschränkt weiterempfehlen!
-
Wohin mit den Passwörtern? In den Kopf. man kann auch sichere Passwörter entwickeln, die man sich merken kann. Den Trick mit den Anfangsbuchstaben eine Satzes kennt wohl jeder.
Der Nachteil von solchen Passwortsafes ist, dass man sie nicht immer an dem Ort hat, an dem man sie braucht. Und immer einen USB-Stick mit rumschleppen ist auch nicht so schön.
-
Luckie schrieb:
Und immer einen USB-Stick mit rumschleppen ist auch nicht so schön.
Och, geht schon.
Ich schwöre auf diese Kombo:
http://www.amazon.de/Supertalent-Pico-C-Flash-Memory-USB-Stick/dp/B001BAW7P4/ref=sr_1_14?ie=UTF8&qid=1307923767&sr=8-14
http://www.amazon.de/Troika-Schlüsselhalter-Karabinerhaken-ausklinkbare-Ringeamerik/dp/B00009R4CM/ref=sr_1_1?ie=UTF8&qid=1307923811&sr=8-1
-
Den USB-Stick habe ich auch zum mit rum tragen. Mit der kleinen Kette kann man ihn schön an eine andere Kette, die man um den Hals trägt, fest machen.
-
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Ganz Paranoide können das auszudruckende auch vorher mit einem Masterpasswort verschlüsseln und das Ergebnis als ASCII Code ausdrucken.
-
Am sichersten wäre es natürlich, alles auf Zettel zu schreiben und die dann zu verbrennen. Die Asche dann noch in Salzsäure (konz.) einlegen. Das liest garantiert niemand mehr aus!
-
sdf schrieb:
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Das ist ja unheimlich praktisch, wenn ich jedesmal vor dem Online-Banking zur Bank für das Passwort rennen muss.
Selbst ein nicht eingeschlossener USB-Stick ist mir für manche Sachen zu unhandlich. Z.B. wenn ich unterwegs meine E-Mails abrufen will und den Stick gerade nicht bei mir habe oder an dem Gerät nicht nutzen kann.
-
ipsec schrieb:
sdf schrieb:
Bei deiner Bank kannst du ein Bankschließfach mieten, da kannst du die Passwörter entweder ausgedruckt oder auf einem USB-Stick reinlegen.
Das ist ja unheimlich praktisch, wenn ich jedesmal vor dem Online-Banking zur Bank für das Passwort rennen muss.
Passwörter merkt man sich, den Zettel oder USB-Stick bewahrt man nur für den Fall auf, daß man die Passwörter vergißt.
So mache ich das zumindest.
Und ja, ich hätte fast mal ein Passwort vergessen, bzw. hatte ich einen Algorithmus entwickelt aus dem das Passwort generiert wurde.
Allerdings war ich bei den dafür notwendigen Parametern mir nicht mehr sicher, die hatte ich leider nach ca. 8 Monaten nicht Gebrauch des Passworts vergessen.
Und die Daten waren für mich wichtig.
Aber es gelang mir, mithilfe eines selbstgeschriebenen Programms und einer Bruteforce Methode daß die variablen Parameter in beschränktem Maße durchgeht, wiederherzustellen.
So konnte ich das Passwort also letzten Endes wieder rekonstruieren.Aber durch diese Erfahrung habe ich auf die harte Tour gelernt wie schlimm das sein kann, wenn man seine Daten Wochenlang nicht mehr herankommt.
Das meine Bruteforcemethode noch funktioniert hat, war reines Glück und die Tatsache, daß ich A) den Algorithmus noch kannte und
die Parameter zwar vergaß, aber wenigstens noch wußte, in welchem Bereich ich sie einschränken mußte.Übrigens, den Algorithmus zum Generieren des Passwort habe ich vorher immer im Trockenen angewendet. D.h. das funktionierte ohne Computer.
Eine heute nun bessere Methode wäre, wenn ich mir nun die Parameter aufschreiben würde, um an meine Passwörter durch neu Generieren heranzukommen.
Aber momentan benutze ich aus Faulheit die einfache Papiermethode.
