Passwörter: Lieber kompliziert + im Browser speichern oder einfacher + selbst merken?

dark_rider

Active member
Registriert
7 Aug. 2008
Beiträge
1.842
Hallo zusammen,

was ist aus Eurer Sicht vorteilhafter: Komplizierte Passwörter, die man sich im Kopf kaum merken kann und die daher im Browser (z.B. Firefox, Chrome) gespeichert werden, oder einfachere Passwörter, die man sich dafür noch im Kopf merken kann und jedes Mal von Hand eingibt?

Wie sicher sind die Passwortspeicher der gängigen Browser überhaupt?
 
Die komplizierten Passwörter sind nahezu immer deutlich sicherer, da ein Angreifer nur dann eine Chance hat an sie ranzukommen, wenn er deinen Rechner kompromittiert. Anderenfalls kann ein Angreifer direkt die Seite (z.B. dieses Forum) angreifen und hat gute Aussichten auf Erfolg.

Neben der Möglichkeit für die Passwörter im Browser ein Masterpasswort zu vergeben kann man natürlich auch externe Passwort-Manager wie z.B. KeePassX nutzen. In diesem Fall reicht es nicht aus, wenn der Angreifer nur den Browser kompromittiert.
 
Hallo zusammen,

was ist aus Eurer Sicht vorteilhafter: Komplizierte Passwörter, die man sich im Kopf kaum merken kann und die daher im Browser (z.B. Firefox, Chrome) gespeichert werden, oder einfachere Passwörter, die man sich dafür noch im Kopf merken kann und jedes Mal von Hand eingibt?

Wie sicher sind die Passwortspeicher der gängigen Browser überhaupt?

Ich behaupte mal die komplexen Passwörter sind sicherer. Noch besser wenn man sie aus der Excel-Tabelle nur bei Bedarf reinkopiert.
Firefox traue ich soweit.
 
Ein kompliziertes Passwort merkt man sich spätestens nach der 30ten Eingabe, dann flutscht es von selbst. Braucht man dann auch nicht ständig ändern, weil es ohnehin in keinem Wörterbuch vorkommt.

Je nach verwendetem Dienst kann man es komplett nutzen (Banking etc.) oder verkürzt (Forum-Login etc.), mache ich schon seit Jahren so.

Alle drei Monate benutzte, leichte Passwörter ändern ist kontraproduktiver.
 
Speichert Mozilla die PWs lokal und verschlüsselt?
Natürlich... und stets ein Master Password setzen.

P.S.: Falls man Firefox Sync einsetzt, lassen sich Open Tabs, History, Bookmarks, Add-ons, Logins und Preferences über die angemeldeten Browser synchronisieren. Die Sync Settings lassen sich beliebig auswählen. Übertragung erfolgt natürlich verschlüsselt.
 
Wie sicher sind die Passwortspeicher der gängigen Browser überhaupt?
Für jeden Browser gibt es Programme, mit dem man die (verschlüsselten) Passwörter auslesen kann. Insofern: Unsicher.
Der Dieb benötigt allerdings Zugriff auf den Rechner bzw die Passwortdatei.

Wichtige Passwörter, zB Banking, habe ich nicht auf dem Rechner gespeichert.
Wo kein Verlust entsteht, wird im Browser gespeichert.
 
Sicherheitsrelevante Seiten, mittlerweile auch gewisse Foren etc., bieten grundsätzlich eine 2FA an. Verwende ich generell.
 
Ich denke mal wenn jemand dein Passwort braucht holt er sich es sowieso nicht über deinen PC, der greift dort an wo er auch gleich alles bekommt was nötig ist.
Ausser vielleicht die Bankingtricks mit Popups, nur da heist es halt Vorischt walten zu lassen.
 
Ausser vielleicht die Bankingtricks mit Popups, nur da heist es halt Vorischt walten zu lassen.
Wobei da vermutlich eher über Mitlesen der Tastatureingabe abgegriffen wird und nicht durch Auslesen einer Datei.
Oder man fällt auf eine Fake-Mail rein und rückt es "freiwillig" raus.
Und dagegen hilft dann keine Version.
 
Ja sehe ich auch so. Ich kenne sogar einen Fall dem wurde ein falscher Betrag abgebucht und das stand so auch in der SMS Tan, und trotzdem hat er nicht geachtet und die Überweisung getätigt. Blind darf man halt nicht durch das Netz gehen.
 
An alle die hier Keepass erwähnt haben vielen Dank! Ich kannte es noch nicht, habe es mir mal angesehen, es ist super!! Nochmals vielen Dank!!
 
Noch der Hinweis auf den Passwortmanager-Test der Stiftung Warentest. In diesem Test hat man KeePass mal großzügig ignoriert, mit der Begründung, dass die KeePass-Portierungen auf verschiedene Systeme nicht vom gleichen "Hersteller" stammen. Freie Software ist schon ein abgefahrenes Konzept, dann lieber Abo-Software gewinnen lassen :facepalm:
 
Um mal die Eingangsfrage zu beantworten:
Passwörter sind bei mir so kompliziert wie möglich und werden nicht im Browser oder gar in der Cloud gespeichert. Von Hand eingeben kann ich die natürlich nicht mehr. Ich bin auch ein Fan von Keepass, das ich jahrelang benutzt habe. Dafür schon mal eine dicke Empfehlung.

Hier noch eine Open Source Empfehlung:

Im Frühjahr dieses Jahres bin ich davon abgerückt, meine Passwörter irgendwo auf dem Rechner zu hinterlegen und habe mir den Passwortspeicher Mooltipass gegönnt. Das ist ein kleines Gerät, auf dem man seine Passwörter erzeugen und verschlüsselt speichern kann. De-crypten kann man die mit einer Smartcard und einer 4stelligen PIN. Wie bei der EC-Karte, hat man dafür 3 Versuche, dann wird die Smartcard ungültig. Das Gerät funktioniert wunderbar und spuckt die Passwörter in Verbindung mit einer App (Browser-Addon) beim Besuch der jeweiligen Webseite automatisch aus, kann aber natürlich auch ohne App benutzt werden und nicht nur im Browser.

Ein großer Vorteil ist, dass die Passwörter nicht mehr auf dem Rechner sind und man mit dem Mooltipass sehr mobil ist. Man kann das mit der mobilen Version von Keepass und einem USB-Stick in ähnlicher Weise erreichen. Letztlich eine Frage des Geldes und der Bequemlichkeit.

https://www.themooltipass.com/


Ansonsten benutze ich wo möglich noch 2FA. U2F ist ja leider immer noch kaum verbreitet. Eigentlich eine Schande, aber insgesamt das größte Problem. Wenn die unknackbaren Passwörter nicht anständig verschlüsselt werden, sondern z.B. im Klartext in einer Tabelle schlummern, dann ist das nur eine Frage der Zeit, bis es knallt. Schon dutzende Male passiert und immer noch ein Problem, gerade auch bei großen Firmen, wo man es nie erwarten würde.

Noch der Hinweis auf den Passwortmanager-Test der Stiftung Warentest. In diesem Test hat man KeePass mal großzügig ignoriert, mit der Begründung, dass die KeePass-Portierungen auf verschiedene Systeme nicht vom gleichen "Hersteller" stammen. Freie Software ist schon ein abgefahrenes Konzept, dann lieber Abo-Software gewinnen lassen :facepalm:
Das fand ich auch witzlos.
 
Bei moderner(er) Technik/Elektronik und vor allem digitalen Produkten wirken die Methoden der Stiftung Warentest auf mich oft ziemlich antiquiert und fragwürdig - und die Ergebnisse sind aus meiner Sicht leider häufig kaum aussagekräftig/überzeugend. Man kann ein Tablet oder eine Software einfach nicht so testen wie eine Waschmaschine oder einen Fahrradhelm... :rolleyes:

KeePass könnte zwar mal eine GUI-Modernisierung vertragen, erfüllt aber grundsätzlich super seinen Zweck.


Zum Thema: Auf jeden Fall eher lange/"komplizierte" Passwörter verwenden und sich ggf. mit einem Tool (Passwort-Manager, Browser) behelfen. Dann liegt der potenzielle Schwachpunkt zumindest dort, wo du ihn selbst kontrollieren kannst: nämlich bei dir bzw. deinem System. Wenn du kurze/einfache Passwörter verwendest, dann ist praktisch jede Website und jeder Dienst ein potenzieller Schwachpunkt und du kannst im Grunde nichts dagegen tun. Dein System bzw. dein Passwort-Manager/Browser-Speicher sollten dann allerdings ordentlich gesichert sein (sprich: du solltest dir zumindest 1-2 zwei sehr solide Passwörter merken können).

Wenn es jemand mit entsprechendem Knowhow und/oder entsprechenden Ressourcen gezielt auf dich abgesehen hat, hast du ohnehin kaum Chancen. Aber in diesem Fall müsste man sowieso ganz anders an die Sache rangehen...
 
@cyberjonny:

Hast Du denn nicht gewusst, dass das Internet (und somit auch alles, was unmittelbar und mittelbar damit zusammenhängt - also alles, was mit IT zu tun hat) für viele Deutsche (und wohl auch die Stiftung Warentest) Neuland ist?:rolleyes: Hat doch sogar die derzeit geschäftsführende Kanzlerdarstellerin geäußert.:facepalm: Immerhin: Die Kaffeemaschinentests der Stiftung Warentest sind aussagekräftig. Aber schon wenn man sich das Gefrickel um den Calliope ansieht, fragt man sich, was das soll.

Zu den Passwörtern:

Ich verwende Cryptonify dazu: https://www.marcel-carle.de/software/cryptonify/

Ist zwar keine freie Software, aber voll alltagstauglich.

Gruß
enrico65
 
Bei moderner(er) Technik/Elektronik und vor allem digitalen Produkten wirken die Methoden der Stiftung Warentest auf mich oft ziemlich antiquiert und fragwürdig - und die Ergebnisse sind aus meiner Sicht leider häufig kaum aussagekräftig/überzeugend.
Die testen ohnehin nur Massen- und Consumerware.
War da schon mal ein Lenovo T- oder P-Modell oder ein HP Elitebook dabei?
Da wird genommen, was Mediamarkt und Aldi hergeben. Mir wird immer schlecht, wenn Vater mit seinen getesteten Zeugs daher kommt, zB ASUS-Notebook...nach zwei Jahren Touchpad und Akku platt, Plastikbomber, aber hauptsache Testsieger. Und das dümmliche Argument: Ja wenn Lenovo so gut wäre, würde man es auch testen, aber wird ja nicht mal aufgeführt :facepalm:
 
Mooltipass klingt echt genial. Muss ich mir mal genauer ansehen :).
 
Passend dazu:

Pre-Installed Password Manager On Windows 10 Lets Hackers Steal All Your Passwords

If you are running Windows 10 on your PC, then there are chances that your computer contains a pre-installed 3rd-party password manager app that lets attackers steal all your credentials remotely.

Starting from Windows 10 Anniversary Update (Version 1607), Microsoft added a new feature called Content Delivery Manager that silently installs new "suggested apps" without asking for users’ permission.

According to a blog post published Friday on Chromium Blog, Google Project Zero researcher Tavis Ormandy said he found a pre-installed famous password manager, called "Keeper," on his freshly installed Windows 10 system which he downloaded directly from the Microsoft Developer Network.
The Hacker News - Pre-Installed Password Manager On Windows 10 Lets Hackers Steal All Your Passwords
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben