PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwort Verwaltung ??


Butter
2017-01-04, 10:16:11
Ich habe mir den Vorsatz gefasst, dass ich zum einen stärkere Passwörter und auch nicht nur ein Passwort für alles nehmen will.

Wie gehe ich am elegantesten vor ohne das ich mir 1000 Passwörter merken muss?

Godmode
2017-01-04, 10:18:15
Ich verwende http://keepass.info/ als Passwortsafe, seit Jahren. Für jeden Account gibt es ein eigenes Passwort, dass ich selber aber nicht weiß. Hackerattacken sind mir somit recht egal, weil eben immer nur ein Account betroffen ist.

lumines
2017-01-04, 10:27:50
Auf Papier: Diceware (http://world.std.com/~reinhold/diceware.html)

Elektronisch: 1Password (https://1password.com/), KeePass (http://keepass.info/) oder Password Safe (https://pwsafe.org/)

KeePass hat bis 2012 keine authentifizierte, symmetrische Verschlüsselung genutzt, daher war es anfällig gegen Chosen-Plaintext-Angriffe (https://www.cs.ox.ac.uk/files/6487/pwvault.pdf), wodurch es für Online-Synchronisierung der Datenbank nicht geeignet war. Mittlerweile haben sie das gefixt, aber man sollte bei Forks aufpassen, die eventuell solche Änderungen am Format nie vorgenommen haben.

Password Safe ist von Bruce Schneier designt worden, wird aber momentan nicht von ihm gepflegt. Er traut der Person aber, die es momentan pflegt und man bekommt den Quellcode vollkommen frei auf GitHub mit vorkompilierten Builds. Das Datenbankformat ist offen und hat wohl bisher allen näheren Untersuchungen standgehalten. Zu der Referenzimplementierung in Password Safe habe ich auch keine negativen Dinge gelesen.

1Password ist auf Komfort getrimmt, wird sehr aktiv gepflegt, die Entwickler engagieren sich bei Diskussionen rund um die Sicherheit ihrer Software und scheinen generell sehr auf dem Laufenden zu sein. Das Dateiformat ist offen, ihre Programme allerdings nicht. Außerdem ist es vergleichsweise teuer. Für maximalen Komfort und Sicherheit ist es vermutlich die beste Lösung. Es bietet auch ein Webinterface, allerdings beschränkt sich die Sicherheit dort auf die deines Browser und TLS.

Grundsätzlich kann es aber nicht schaden sich Diceware einmal anzuschauen, wenn man leicht merkbare und trotzdem starke Passwörter braucht, die leicht einzutippen sind. Die EFF hat auch eigene, etwas optimierte Listen (allerdings nur auf Englisch): https://www.eff.org/de/deeplinks/2016/07/new-wordlists-random-passphrases

Die Passwörter als Backup auf Papier an einem sicheren Ort aufzubewahren dürfte für die meisten Leute übrigens ein guter Kompromiss sein, wenn man keine ausreichende Backup-Strategie hat und man nicht davon ausgeht, dass jemand die Passwörter unbemerkt entwenden könnte (https://ssd.eff.org/en/module/introduction-threat-modeling): https://www.schneier.com/blog/archives/2005/06/write_down_your.html

Ich habe übrigens vor kurzem ein LaTeX-Template gebastelt, um Diceware-Listen einfacher auszudrucken. Die meisten Listen werden leider nur als unformatierter Plaintext veröffentlicht. Ich poste das demnächst einmal, wenn ich die ein bisschen optimiert habe (Schriftgröße, Spalten pro Blatt etc.).

Butter
2017-01-04, 10:33:38
Für neue habe ich das verstanden, wie geht das denn wenn ich alte Accounts mit neuen Passwörtern versehen möchte?
Sage ich keepass mach mal neu oder wie?

lumines
2017-01-04, 10:36:56
Für neue habe ich das verstanden, wie geht das denn wenn ich alte Accounts mit neuen Passwörtern versehen möchte?
Sage ich keepass mach mal neu oder wie?

Ich persönlich hinterlege eine Notiz in meinem Passwortmanager mit dem alten Passwort und lasse dann ein neues generieren. Der Rest ist dann Copy & Paste.

Es gibt zwar auch Passwortmanager mit Browser-Extensions, aber die habe ich nie benutzt. Die Kommunikation zwischen den Extensions ist immer ein Schwachpunkt, aber dafür kann man Phishing-Angriffe erschweren, weil nur für die jeweilige Domain der Passwortmanager die jeweiligen Daten autovervollständigen sollte. Außerdem sollte das Passwort dadurch nie in der Zwischenablage landen, was Keyloggern theoretisch die Arbeit erschwert. Theoretisch insofern, als dass jemand mit so hohen Rechten auf deinem Rechner vermutlich auch andere Möglichkeiten hat die Passwörter abzugreifen (oder mindestens auch einfach das Master-Passwort abfangen kann).

Password Safe unterstützt AFAIK auch Yubikeys, womit man 2FA für den Passwortmanager nutzen kann und Man-in-the-Middle-Angriffe bei der Eingabe des Master-Passworts praktisch unmöglich macht. Allerdings muss man sich damit natürlich Gedanken um Backup-Strategien mit dem Yubikey machen (wie viele Keys will ich als Backup kaufen? Wie viele brauche ich?) und deshalb würde ich mal stark davon ausgehen, dass das für viele Leute kein guter Kompromiss aus Komfort und Sicherheit ist. Je nach Wert der zu schützenden Daten kann das natürlich auch anders aussehen, aber das muss jeder selbst abwägen.

Butter
2017-01-04, 10:47:10
OK, kann ich denn trotzdem die neuen Passworte von Chrome als Autovervollst. ausfüllen lassen?

RaumKraehe
2017-01-04, 10:51:29
Benutze auch Keepass. Bin sehr zufrieden damit.

Allerdings nutze ich keinerlei Auto-Fill funktionen. Aus meiner Sicht kompromittiert eine solche Funktion gleich wieder die Sicherheit.

lumines
2017-01-04, 10:59:49
OK, kann ich denn trotzdem die neuen Passworte von Chrome als Autovervollst. ausfüllen lassen?

Kann man problemlos machen. Man sollte allerdings wissen, dass Chrome und Firefox keine nennenswerte Sicherheit für die Passwörter bieten. Die werden einfach im Plaintext hinterlegt. Die Browserhersteller gehen davon aus, dass man seine Festplatte vollverschlüsselt und ein Angreifer mit lokalen Benutzerrechten so oder so die Passwörter auslesen kann. Bei einem Desktop ist das für dich vielleicht nicht so wichtig, bei einem Notebook würde ich aber definitiv die Festplatte vollverschlüsseln, wenn dein Prozessor AES in Hardware beschleunigen kann.

Man sollte auch aufpassen, dass Chrome bei der automatischen Synchronisierung entweder die Passwörter nicht oder nur mit einer eigenen Passphrase synchronisiert. Mit einer separaten Passphrase werden Daten noch einmal separat verschlüsselt und nicht nur mit deinem Passwort für den Google-Account.

Windows bietet für Vollverschlüsselung z.B. Bitlocker und macOS hat auch eine integrierte Vollverschlüsselung. Genau für solche Fälle kann Diceware sehr nützlich sein.

Allerdings nutze ich keinerlei Auto-Fill funktionen. Aus meiner Sicht kompromittiert eine solche Funktion gleich wieder die Sicherheit.

Das kann man so pauschal nicht sagen.

Butter
2017-01-04, 11:07:25
Vermutlich habt ihr beide recht, ich stelle es mir nur sehr mühsam vor, Masterpasswort, Passwort vom 3Dcenter raussuchen, abschreiben weil c&p auch nicht sicher ist, 3Dcenter öffnen, Passwort eingeben....Und das bei jeder Webseite...Puhhhh...

lumines
2017-01-04, 11:10:01
Masterpasswort, Passwort vom 3Dcenter raussuchen, abschreiben weil c&p auch nicht sicher ist, 3Dcenter öffnen, Passwort eingeben....Und das bei jeder Webseite...Puhhhh...

Zwischenablage und manuelles Abtippen sind gleich (un)sicher.

Kommt immer darauf an, welches Verhältnis aus Komfort und Sicherheit du haben willst. Am wichtigsten ist erst einmal, dass du nicht überall das gleiche Passwort benutzt. Alles andere ist zweitrangig.

Grundsätzlich: Es macht z.B. Sinn, dass man ein leicht zu tippendes Diceware-Passwort als Master-Passwort benutzt, das aber ausreichend sicher gegen nicht-staatliche Angreifer ist (z.B. fünf Wörter) und für die anderen Passwörter beliebige Zeichenfolgen mit Sonderzeichen und Co. zulässt, weil man die ja nicht (oder nur sehr selten) manuell abtippen muss.

Argo Zero
2017-01-04, 11:10:58
1Password integriert sich auch in den Browser. Ob das die Sicherheit beeinflusst? Kein Plan :)
Das hat doch bestimmt schon irgendwer auf dem Planeten untersucht.

Butter
2017-01-04, 11:13:34
Zwischenablage und manuelles Abtippen sind gleich (un)sicher.


Ernsthaft? Wie bekomme ich denn dann die Daten in den PC?

lumines
2017-01-04, 11:20:18
Ernsthaft? Wie bekomme ich denn dann die Daten in den PC?

Indem du einfach annimmst, dass dein Rechner nicht kompromittiert ist. Oder man sorgt nach bestem Gewissen dafür, dass das tatsächlich nicht der Fall ist.

Wenn du wirklich davon ausgehst, dass dein Rechner kompromittiert ist, müsste man ganz andere verrückte Lösungen nutzen, die eventuell aus anderen Gründen nicht praktikabel sind.

Darkman.X
2017-01-04, 11:35:10
Ich selber nutze Password Safe.

Wenn ich mich auf eine Seite einloggen will, gehe ich in Password Safe, gebe das Masterpasswort ein, suche denn richtigen Login heraus (1x anklicken, damit der Eintrag markiert ist) und drücke STRG+T. Dann gibt Password Safe automatisch die Daten in das Loginformular ein. Aber der Fokus muss natürlich auf dem Benutzernamen liegen (der Cursor muss dort blinken). Wenn man völlig unbedarft ohne jeglicher Vorkenntnisse rangeht, kann das auch schief gehen (fehlerhafter Login).

Auf der Arbeit nutze ich KeePass für alle Programme. Ich finde dort das Autofill sehr gut. Ich drücke eine Tastenkombination, KeePass geht auf, ich gebe das Masterpasswort ein und KeePass sucht die richtigen Zugangsdaten anhand der Titelleiste des Programms/Browsers heraus. Das ist die Autofill-Funktion, geht auch ohne (unsicheres) Plugin. Aber dafür muss man Vorarbeit leisten, die korrekten Namen der Titelleisten bei den Zugangsdaten mit eintippen. Das könnte für unbedarfte User doch zu viel Arbeit oder zu kompliziert sein.

Und dann gibt es noch Firefox. Meines Wissens nach verschlüsselt Firefox alle Zugangdaten von der Autovervollständigung, wenn man dort ein Masterpasswort einrichtet, werden also nicht als Klartext (Plaintext) hinterlegt, wie von "lumines" angegeben. Dann gibt man jedes Mal vor der Autovervollständigung das Masterpasswort ein. Hier sollte man auch an die Synchronisation von Firefox denken, sonst sind bei einer Neuinstallation die Daten weg. Aber das gilt auch bei der Passwort-Tools, man muss dort sein "Datensafe" auch sichern oder online synchronisieren.

----------------------------------------------

Zur Unsicherheit von C&P:
Mach dir da nicht so viele Gedanken. Das ganze soll ja auch irgendwie halbwegs komfortabel nutzbar sein. Und wie andere schon geschrieben hatte, macht es keine Unterschied, ob die Zugangsdaten per C&P, händisch oder per Automatismus eingegeben werden. Wenn dein System kompromittiert ist, ist eh alles verloren.

lumines
2017-01-04, 11:45:38
Und dann gibt es noch Firefox. Meines Wissens nach verschlüsselt Firefox alle Zugangdaten von der Autovervollständigung, wenn man dort ein Masterpasswort einrichtet, werden also nicht als Klartext (Plaintext) hinterlegt, wie von "lumines" angegeben.

Ich meinte damit auch Chrome. Firefox verschlüsselt die Daten zwar, aber unauthentifiziert, wodurch es keinen Schutz gegen Man-in-the-Middle-Angriffe bietet: https://www.cs.ox.ac.uk/files/6487/pwvault.pdf

Der Schutz beim Firefox ist eher gegen ich-lasse-jemanden-fünf-minuten-mit-meinem-rechner-surfen. Bei Chrome hat man sich das gespart und erwartet, dass man gegen solche „Angreifer“ einfach seine Session am Rechner sperrt.

Generell muss man leider davon ausgehen, dass bei einem kompromittierten Rechner alle Passwörter abhanden gekommen sind.

5tyle
2017-01-04, 11:55:40
Ich selbst für mich privat verwende keinen Passwortmanager, ich habe ca 15 Passwörter mit 15-20 Zeichen im Gedächtnis, diese Passwörter selbst verwende ich nicht, die dienen als Grundlage für jedes einzelne Passwort, das jeweils dann ein Mix aus Teilen der Passwörter ist, zusätzlich hat jedes Passwort vorne/hinten/und/oder/mittig noch einen eigenen Teil. Das hat den Vorteil, dass man die Passwörter wechseln kann und notfalls so halbwegs wieder herleiten kann, man muss aber trotzdem ein gutes Gedächtnis haben.
Das ist vielleicht unnötiger Aufwand, aber mir ist das immer noch lieber als die Passwörter in welcher Form auch immer rumliegen zu haben, auch wenn sie verschlüsselt sind. Wenn ein Keylogger mitläuft, dann kann man vermute ich mal ebenfalls die Zwischenablage etc auslesen oder einen Passwortmanager angreifen, der weit verbreitet ist (es gab in der Vergangenheit immer wieder Fälle, wo sich Passwortmanager als unsicher erwiesen haben). Selbst wenn man eine Karte oder Biometrie verwendet oder was auch immer, dann wird man trotzdem noch in der Lage sein, das Login-Token zu reproduzieren oder so. Daher habe ich überall wo möglich Zwei-Faktor-Authentifizierung aktiviert, aber gerade viele Webdienste haben da Schwächen, z.B. kann man dann deren API nicht mehr verwenden oder Drittprogramme die darauf zugreifen sind ausgeschlossen, aber vielleicht ist das ja auch gut so.
Vielleicht wäre es eine Idee die Passwörter noch öfter zu ändern, aber wie es scheint ist das nur eine weitere Angriffsmöglichkeit.
Deshalb habe ich mir überlegt, für Dinge, die keine besonderen Daten oder Authentifizierung erfordern, immer einen neuen Account bzw. Login zu generieren und den alten Account zu löschen (oder einen anderen Dienst verwenden der dasselbe bietet), sofern der Aufwand sich in Grenzen hält, oder man Arbeitsdaten z.B. verschlüsseln und speichern kann. Dadurch können die Daten auch weniger verknüpft werden, solange sie nicht zuordenbar sind, was natürlich nicht sicher ist. Jedenfalls kann man so die Zeit verringern, in der potenziell empfindliche Daten von Dritten ausgelesen werden könnten, das wiederum setzt voraus, dass bei dem jeweiligen Anbieter die Daten auch wirklich gelöscht werden und Passwörter bzw. Logins möglichst wenig angreifbar sind.

Kampf-Sushi
2017-01-04, 12:39:52
Nach den letzten Hacks habe ich auch endlich mal meine Passwörter umgestellt. Hatte vorher immer nur 3 Passwörter rotiert.

Mein System sieht folgendermaßen aus:

Ich verwende KeyPass zum Speichern der Passwörter.

Die Datenbank-Datei ist im Dropbox Ordner und wird darüber gebackuped, verteilt, synchronisiert.

Als Passwort für die Datenbank habe ich ein relativ einfach zu merkendes und zu tippendes Passwort, was aber lang ist.

Zusätzlich habe ich eine Passwortdatei. Das ist quasi ein zweites Passwort, zufallsgeneriert mit hoher Entropie.
Von der Passwortdatei gibt es drei Kopien:
-Auf Papier ausgedruckt als Backup. Mit Tesa im Schrank befestigt
-Auf einer Hardwareverschlüsselten Samsung T3
-Auf meinen Smartphone. Android, Verschlüsselt, mit Fingerabdruck gesichert.
-Auf einen USB-Stick im Büro

Als Passwörter nehme ich immer zufallsgenerierte Vorschläge von KeyPass die ich aber manuell an meine Anforderungen anpasse. Meistens habe ich für Webseiten eher kurze leicht zu tippende Kennwörter. Wichtig ist mir nur dass sie auf jeder Website anders sind. Sehe bei Webseiten keinen Sinn in längeren Passwörtern.
Unwichtige Kennwörter wie das vom 3dcenter werden im Browser gespeichert, weils mir ehrlich gesagt, schnuppe ist wenn das mal gehackt wird.

Wichtige Kennwörter werden nicht gespeichert und wenn möglich per two-factor gesichert. Google, Dropbox, PSN, Steam, Bnet, Amazon, PayPal.
Solange du per Cookie eingeloggt bist, sollte das Passwort ja nirgends gespeichert werden sondern nur ein Token. Das ist auch ne Möglichkeit den Komfort zu erhöhen. Mache ich bei meinen Heim-PC auch bei Google oder Steam so.

Es gibt sicher noch Angriffspunkte, wenn man mein Fingerabdruck klont oder wenn mein PC sich einen Trojaner einfängt. Aber im großen und ganzen halte ich das für mich für einen annehmbaren Kompromiss. Und ich hab relativ wenig Angst dass meine Passwörter alle mit einen Schlag weg sind, da sowohl die Passwort-Datei als auch die Datenbank an mehreren Orten gesichert ist.

lumines
2017-01-04, 12:42:16
2FA ist echt ein wichtiger Punkt. Für alles, was irgendwie mit Geld zu tun hat oder andere Accounts zurücksetzen kann (z.B. die hinterlegte E-Mail-Adresse) würde ich pauschal 2FA benutzen ohne weiter darüber nachzudenken. Die hinterlegten Schlüssel für die Generierung der TOTPs kann man z.B. auch einfach auf Papier „backuppen“, wenn man Angst hat, dass das Handy (oder welches Gerät auch immer) abhanden kommt oder kaputt geht. SMS für 2FA ist zwar nicht perfekt, aber wenn das die einzige Option ist, spricht da auch nicht viel dagegen. Man sollte nur vielleicht noch eine zweite Nummer einer Backup-SIM hinterlegen.

Hört sich vielleicht alles sehr aufwendig an, aber praktisch ist das alles sogar gefühlt sehr komfortabel. Nur die Einrichtung ist eben einmal ein etwas größerer Aufwand.

Butter
2017-01-04, 13:39:17
Sorry, aber was ist 2FA und TOTP...?
😥

lumines
2017-01-04, 14:01:14
2FA ist die Abkürzung für Zwei-Faktor-Authentifizierung. Anstatt nur etwas einzugeben, das du weißt (der erste Faktor), musst du auch nachweisen, dass du zusätzlich etwas besitzt (der zweite Faktor).

Beim Online-Banking gibt man deshalb nicht nur ein Passwort ein. Da muss man meistens auch nachweisen, dass man selbst (oder eine andere Instanz, der man vertraut) im Besitz eines zweiten Schlüssels ist. Anstatt aber den Schlüssel selbst zu vergleichen, generiert man üblicherweise Einmalkennwörter (One Time Pad = OTP, Time based One Pad = TOTP) aus diesem Schlüssel. Von diesen Einmalkennwörtern kann man nicht einfach auf den Schlüssel schließen und die verfallen mit jeder Eingabe. Man muss also bei jedem Login ein neues Einmalkennwort generieren.

Es gibt auch hardwarebasierte OTPs, aber plattformübergreifende Lösungen sind da nicht ganz so einfach zu finden. Ist auch immer die Frage, ob so etwas überhaupt unterstützt wird. Da muss man dann gucken.

Praktisch bedeutet das, dass man bei jedem Login statt nur das Passwort zusätzlich noch ein Einmalkennwort eingibt.

Wenn eins deiner Geräte kompromittiert wird und dein Passwort abgegriffen wird, müsste jemand für einen per 2FA gesicherten Login noch deinen zweiten Faktor besitzen. Man geht davon aus, dass das relativ unwahrscheinlich ist, weil das ungleich aufwendiger wäre.

2FA für alles ist je nach dem übertrieben, aber gerade die eigene E-Mail-Adresse ist mittlerweile auch ein universeller Dienst, um Passwörter zurückzusetzen. Leider ist das historisch so gewachsen. Da sollte man schon sehr stark über 2FA nachdenken.

Gmail bietet z.B. mehrere Möglichkeiten für 2FA an. Man kann sich sogar ein Dutzend Einmalcodes als Backup ausdrucken und sicher verwahren, falls die anderen Möglichkeiten einmal fehlschlagen (Handy verloren, Key kaputt etc.). Posteo und Mailbox.org sollten das auch alles können.

5tyle
2017-01-04, 18:40:31
Abgesehen davon, dass man die Passwort an einem sicheren Ort aufbewahren muss, sollte man auch darauf achten, dass sie lange genug sind, um Brute-Force zu erschweren. Wenn ich einen Passwortmanager hätte dann würde ich schon immer die maximale Zeichenlänge verwenden, denn ich müsste mirs ja nicht mehr merken ich verweise da auch mal auf den Artikel:
https://de.wikipedia.org/wiki/Passwort

Fairy
2017-01-04, 19:23:58
Benutze eigentlich schon immer 1Password, habe aber auch schon mit KeePass gearbeitet, aber 1Password > all (imho).
Habs auf Mac, iPhone, iPad und Android und Sync per Wlan klappt immer problemlos. Meine Passwörter sind von 1P generiert um umfassen meist zw. 25 und 35 Zeichen mit Sonderzeichen. Das Masterpasswort so 20 Zeichen und ebenfalls random (muscle memory). Es ist auch in der DB abgelegt, falls ich es mal vergessen sollte. Ist aber noch nicht vorgekommen.

Kampf-Sushi
2017-01-04, 21:43:12
Abgesehen davon, dass man die Passwort an einem sicheren Ort aufbewahren muss, sollte man auch darauf achten, dass sie lange genug sind, um Brute-Force zu erschweren. Wenn ich einen Passwortmanager hätte dann würde ich schon immer die maximale Zeichenlänge verwenden, denn ich müsste mirs ja nicht mehr merken ich verweise da auch mal auf den Artikel:
https://de.wikipedia.org/wiki/Passwort
Lange Passwörter finde ich bei Webseiten schwachsinnig. Bruteforce funktioniert hier "normalerweise" einfach nicht so gut.
Eine andere Sache ist das natürlich wenn man direkten Zugriff auf die verschlüsselten Daten hat.
Ein anschließendes Knacken des PW-Hashes ist auch Zeitverschwendung wenn das Passwort nur einmal verwendet wird.

In einigen Fällen ist es sogar Kontraproduktiv, wenn man dazu neigt gewisse Abkürzungen zu nehmen. z.B: Passwortmanager auf infizierten PC installieren statt das Passwort nur abzutippen. Oder der Klassiker: Passwort auf Zettel an den Monitor kleben ;)

Butter
2017-01-06, 13:15:53
Danke schon mal für die ganzen Tipps.

Ich habe jetzt ein riesen Mastermindwort und für jede Seite ein einzelnes Passwort, diese lasse ich aber durch Chrome per Autofill speichern. Ich hoffe ich habe damit genug getan.