Passwortmanager

[stagflation]

vor 23 Stunden von Lazaros:

Hättet ihr da Sicherheitsbedenken?

 

Also komm... Das ist doch nun die absolute Grundregel, dass man für jede Website ein anderes Passwort verwendet. Und zwar ein vollständig anderes. Nicht eines, das man mit irgendeinem System gebastelt hat.

[Lazaros]

vor 12 Minuten von stagflation:

 

Also komm... Das ist doch nun die absolute Grundregel, dass man für jede Website ein anderes Passwort verwendet. Und zwar ein vollständig anderes. Nicht eines, das mit irgendeinem System gebastelt hat.

Und wie merkst du Dir die ganzen Passwörter - auf diversen Zetteln die überall liegen? Hab mal so 'nen Zettel gefunden, war lustig.

Aber konkret zur Frage: Wo ist das Problem. Mit Passwort und Benutzername kann keiner was damit machen. Ob jemand meinen Depotstand sieht, ist mir egal, aber nicht mal das geht bei der ING..

 

Schlimmer wäre: Meine 4 Karten (Spk, Comd., Visa, Mastercard) haben alle die selbe Wunsch-PIN.

[mmusterm]

8 minutes ago, Lazaros said:

Mit Passwort und Benutzername kann keiner was damit machen.

Aber der 1. Faktor der Zwei-Faktor-Anmeldung ist damit schon übersprungen/ausgehebelt.

 

PS: Bei der Targo kommt man mit Benutzername und Kennwort schon mal in die komplette Depot-/Kontenübersicht.

[Geldhaber]

vor 1 Minute von mmusterm:

Bei der Targo kommt man mit Benutzername und Kennwort schon mal in die komplette Depot-/Kontenübersicht.

Bei Comdirect auch, aber bei ING eben nicht.

@Lazarusnutzt für ING den TAN-Generator, der bei ING durch PIN geschützt ist. 

[stagflation]

vor 19 Minuten von Lazaros:

Und wie merkst du Dir die ganzen Passwörter

KeePassXC

[Lazaros]

Ausgehend von einer Off-Topic Diskussion im ING Thread, würde mich interessieren: Wie merkt ihr euch die ganzen Passwörter?

 

Und noch wichtiger: Welche einfache Lösung (statt eines Notizbuchs) habt ihr für eure Eltern und Großeltern?

 

[west263]

alle wichtigen stecken auf meinem PC in KeePass

[marti_a]

Bitwarden als Browser-Plugin für den Firefox sowie als Smartphone-App für Android Tablet als auch Smartphone.

[leoluchs]

vor 38 Minuten von Lazaros:

Ausgehend von einer Off-Topic Diskussion im ING Thread, würde mich interessieren: Wie merkt ihr euch die ganzen Passwörter?

Sie stecken in zwei Keepass-Dateien.

vor 38 Minuten von Lazaros:

Und noch wichtiger: Welche einfache Lösung (statt eines Notizbuchs) habt ihr für eure Eltern und Großeltern?

Die zitierten Familienmitglieder haben gerade geantwortet und alles Wichtige für den Nachwuchs in einer Datei notiert - auch die Passwörter für die Passwörter.

[drizzit]

KeePassXC

[Sir Zock-a-lot]

Bitwarden 

[dippi]

Selfhosted Vaultwarden (mit der bitwarden ios app und firefox addon).

[313]

Privat nutze ich "KeePass 2" und Keepass2Android und speichere die Datenbank für den gemeinsamen Zugriff in der eigenen Nextcloud. Da landet quasi alles drin, was ich als wichtig erachte und ist via Kee-Plugin im Firefox mit drin. Ich denke hier schon länger darüber nach, auf KeePassXC zu wechseln, aber bislang läuft alles auch noch so. Nachteil an KeePass generell ist, dass man es schlecht mit mehreren Personen teilen kann, ein Anwendungsfall, wie er z.B. in der Familie sinnvoll sein kann. 

 

Für Sachen, die nicht so wichtig sind (z.B. Shops, die unbedingt ein Kundenkonto anlegen möchten) nutze ich PwdHash mit der Browsererweiterung "PwdHash-Sidebar" im Firefox. PwdHash speichert keine Passwörter, sondern generiert aus einem Masterpasswort und der Domain der Webseite ein seitenindividuelles Passwort. Der Algorithmus gilt jedoch als unsicher, vor allem wenn das Masterpasswort zu kurz ist, kann es zurückgerechnet werden. Wenn man das Masterpasswort wechselt, muss man sich merken, wo man welches Masterpasswort benutzt hat, das macht es unpraktikabel. Es gibt eine Weiterentwicklung PwdHash2, aber das erzeugt mit anderem Algorithmus halt auch andere Passwörter... Trotzdem habe ich es immer noch für genau den genannten Zweck im Einsatz, da damit halt jede Webseite schnell ein anderes Passwort bekommt und man sich die Keepass-Datei nicht vollmüllt.

 

Auf der Arbeit benutzen wir Passbolt (Windows, Mac, iPhone, Android), dies löst sehr gut das Problem, wenn man Passwörter mit mehreren Nutzern sicher teilen möchte. Das Selbsthosten davon ist kein Hexenwerk.

[Karolus]

die unwichtigen schreibe ich auf Post-it und hefte sie an den Monitor. Die wichtigen verstecke ich natürlich unter der Tastatur.

[dimido]

"Enpass Premium", hatte mir vor rund 8 Jahren für rund 25€ eine Lifetime Lizenz gekauft.
Ohne "Cloudzwang", Plattformübergreifend für MacOS, iOS, iPadOS, Windows, Lunix, Android und Browserplugins für Safari, Firefox, Chrome.
Gibts aber nur noch im Abo.

Für 2 meiner "älteren" Verwandten (60 mit Mac und ü70 mit Windows) habe ich denen die Free Variante von Enpass installiert und im Rahmen eines "Audits" alle Passwörter geändert und eingetragen (und ja, auch da habe ich einige Passwörter vorgefunden, die für verschiedene Accounts identisch waren, weil man sie sich ja "so schwer merken kann" ...)
Die Desktop-Variante hat praktisch keine Limitierung (lediglich keine Pro-Features), nur die Mobile Variante ist auf 25 Einträge begrenzt.

[Ramstein]

Bisher "1Password", aber die Preiserhöhung mache ich nicht mit. Da ich nur in der Apple-Welt unterwegs bin, stelle ich auf "Passwörter" um.

[zora]

vor 12 Stunden von Lazaros:

………Schlimmer wäre: Meine 4 Karten (Spk, Comd., Visa, Mastercard) haben alle die selbe Wunsch-PIN.

Finde es immer wieder interessant, wie sorglos manche Ihre Daten mit der Allgemeinheit teilen. 

 

Gruß

zora

[Schildkröte]

Ich habe ein gewisses System für meine Passwörter, bei dem die Vorgaben Groß- und Kleinbuchstaben, Sonderzeichen sowie Zahlen berücksichtigt werden. Bei Seiten, die ich häufig nutze, merke ich mir das jeweilige Passwort (weil das Passwort für mich jeweils eine Assoziation zur Seite hat). Bei Seiten, die ich nur gelegentlich bis sehr selten besuche, drücke ich meist direkt gleich "Passwort vergessen" und lasse mir ein neues an meine Mailadresse schicken.

[Lazaros]

vor 20 Minuten von zora:

Finde es immer wieder interessant, wie sorglos manche Ihre Daten mit der Allgemeinheit teilen. 

Man beachte den Konjunktiv. 

vor 13 Stunden von Lazaros:

Schlimmer wäre: Meine 4 Karten (Spk, Comd., Visa, Mastercard) haben alle die selbe Wunsch-PIN.

 

Nebst Notizbuch ist folgendes eigentlich der Standard in meinem Bekanntenkreis (auch in so manchem Kleinunternehmen), wobei Post-its die lästige Tendenz haben einfach zu verschwinden, besonders wenn man sie braucht.

vor 10 Stunden von Karolus:

die unwichtigen schreibe ich auf Post-it und hefte sie an den Monitor. Die wichtigen verstecke ich natürlich unter der Tastatur.

Dass es dies (= Diskrepanz zwischen Vermögen, Alter und Passwortsicherheit) zu verbessern gilt, ist klar.

Daher danke für die Antworten.

[Al Bundy]

Alle Passwörter sind in einer Excel-Datei gespeichert. Die Datei liegt in einem VeraCrypt-Container auf der Festplatte. Sicherheitskopien des Containers liegen auf externer Festplatte und in der Cloud.

Ich überlege aber auf KeyPassXC umzusteigen.

[Schlumich]

WIe wird denn hier GENERELL der Einsatz eines Password-Managers gesehen im Hinblick Sicherheit?

[hquw]

vor 13 Stunden von Lazaros:

Und wie merkst du Dir die ganzen Passwörter - auf diversen Zetteln die überall liegen? Hab mal so 'nen Zettel gefunden, war lustig.

Wenn sie auf einem Zettel irgendwo niedergeschrieben sind, muss man sie sich doch nicht mehr merken, oder?

 

Man kann sich leider nur sehr wenige Passwörter / Passphrasen merken, die ausreichend sicher sind. Wer also versucht sich alle seine Passwörter zu merken, versucht irgendwann Teile seiner Passwörter wieder zu verwenden. Damit macht man dann starke Abstriche bei der Sicherheit. Keine Passwörter mehrmals zu verwenden ist das A und O und entscheidet über die Sicherheit noch mehr als die Stärke der Passwörter.

 

Also braucht man irgendein System, mit dem man seine starken, zufällig generierten Passwörter irgendwie managet, die man sich nicht merken kann. Auf einen Zettel werden wahrscheinlich nicht alle deine Passwörter passen, welche du so benutzt und du dir nicht merken kannst. Ein eigenes Notizbuch an einem sicheren Ort (was auch immer das genau für dich in deinem Haushalt bedeutet) wäre besser geeignet. Dann musst du sicherstellen, dass du bei der Erzeugung der Passwörter so vorgehst, dass kein Passwort Rückschlüsse auf ein anderes Passwort zulässt. Hier kommt der Zufall ins Spiel, denn Zufall ist genau das, was dir diese Eigenschaft liefert. Nimm dir z.B. eine sogenannte Diceware-Liste in einer Sprache deiner Wahl und würfle mit Casino-Würfeln (diese haben keinen "Bias") mehrere Wörter. Die Sicherheit kommt hier von der Menge der Wörter in Kombination mit der zufälligen Auswahl. Die zufällige Auswahl ist hier wichtig, weil es einem Angreifer dadurch nicht die Möglichkeit gibt schneller vorzugehen als einfach alle Kombinationen stur auszuprobieren. Das ist eine wichtige Eigenschaft, weil jedes weitere zufällig ausgesuchte Wort auch wirklich deine Sicherheit erhöht. Bei solchen "Passwortsystemen", bei denen Teile wiederverwendet werden, ist das nämlich nicht der Fall. Im schlimmsten Fall bricht es beim Bekanntwerden eines einzigen Passworts komplett in sich zusammen.

 

Ein Passwortmanager macht im Grunde nichts anderes. Es ist letztendlich eine Komfortfrage.

vor 13 Stunden von Lazaros:

Aber konkret zur Frage: Wo ist das Problem. Mit Passwort und Benutzername kann keiner was damit machen. Ob jemand meinen Depotstand sieht, ist mir egal, aber nicht mal das geht bei der ING..

Dazu kann man nur sagen: Spiele dumme Spiele, gewinne dumme Preise. Jede Bank hat auch einen "Reset Flow" zum Zurücksetzen von Login-In-relevanten Informationen. Je weiter ein Angreifer kommt, desto weniger Hürden muss er nehmen, um seinen eigenen TAN-Generator zu registrieren oder das Passwort zurückzusetzen. Der TAN-Generator ist nur ein weiterer Faktor und nicht als alleiniger Faktor zum Login gedacht. Wer das nicht nachvollziehen kann, spielt mit dem Feuer und kann sich schnell seine Hand verbrennen.

[Malvolio]

Ich habe Bitwarden als PW-Manager. Die Passwörter für meine Mutter sind auf Papier im Aktenordner abgeheftet, sind aber auch nicht so viele.  

 

 

[Vios]

Ich traue keinem Passwortmanager.

Daher Zettel und Bleistift und bei Abwesenheit vom PC ein guter Safe.

Zugriff für nächste Angehörige im Notfall gegeben.

 

[t.klebi]

vor 3 Stunden von hquw:

Die Sicherheit kommt hier von der Menge der Wörter in Kombination mit der zufälligen Auswahl. Die zufällige Auswahl ist hier wichtig, weil es einem Angreifer dadurch nicht die Möglichkeit gibt schneller vorzugehen als einfach alle Kombinationen stur auszuprobieren.

Wie oft ist es im Alltag überhaupt möglich, Passwörter offline per Bruteforce-Angriff zu knacken? Üblicherweise wird nach wenigen erfolglosen Versuchen das System vollständig oder für einen gewisse Zeitdauer gesperrt 

Viel wichtiger ist doch, an jedem Zugang einzigartige (!) Passwörter  zu verwenden. 

vor 1 Stunde von Vios:

Ich traue keinem Passwortmanager.

Daher Zettel und Bleistift und bei Abwesenheit vom PC ein guter Safe.

Ich habe aktuell 358 Passwörter in meinem Passwortmanager. Typischerweise 20 Zeichen lang und unter Ausnutzung aller erlaubten Zeichen. 
Das möchte ich gewiss nicht mit einem Bleistift notieren.