Passwörter: Lieber kompliziert + im Browser speichern oder einfacher + selbst merken?

[dark_rider]

Hallo zusammen,

was ist aus Eurer Sicht vorteilhafter: Komplizierte Passwörter, die man sich im Kopf kaum merken kann und die daher im Browser (z.B. Firefox, Chrome) gespeichert werden, oder einfachere Passwörter, die man sich dafür noch im Kopf merken kann und jedes Mal von Hand eingibt?

Wie sicher sind die Passwortspeicher der gängigen Browser überhaupt?

 

[Gurow]

Das klingt für mich nicht viel sicherer als andere Lösungen.

Wie genau das funktioniert und welche potentiellen Risiken dabei bestehen, weiß ich nicht genau. Der Punkt ist aber doch, dass ich diese Funktion nicht benutzen muss, d.h. ich selbst abwägen kann, ob ich das brauche, oder nicht. Man kann die Login-Daten auch einfach selbst auswählen und an die Felder abschicken. Bei VPN-Clients oder z.B. encrypted vaults, also außerhalb des Browsers, muss ich das ohnehin so machen. Es ist nun wirklich nicht viel unbequemer, seine Login-Daten selbst auszuwählen und dabei auf ein mögliches Einfallstor zu verzichten.

Ich denke, dass diese Lösung sicherer ist, als viele andere. Die 100%ige Sicherheit gibt es nicht.
Die Trennung der Passwörter vom Computer halte ich für sehr klug. Ebenso die Übertragung, bei der ich nichts händisch eingeben (Keylogger) oder rauskopieren muss. Die Passwörter habe ich auf dem Mooltipass erzeugt und abgespeichert.

 

[dark_rider]

Die Trennung der Passwörter vom Computer halte ich für sehr klug. Ebenso die Übertragung, bei der ich nichts händisch eingeben (Keylogger) oder rauskopieren muss.

Aber wenn der Kasten ein Keyboard emuliert, kann ein Keylogger doch da genauso mitlesen als wenn Du selbst tippen würdest.

Ich verstehe aber natürlich schon die Vorteile des Mooltipass (sperriger Name ;-):
- Nur bei Bedarf verbunden.
- Daten nur auslesbar, wenn User vorher Smartcard eingesteckt und PIN eingegeben hat.

Im Prinzip ist das eine immanente Mehrfaktor-Authentifizierung für alles. Fürs Homebanking gibt es das ja auch (Kartenleser mit Smartcard und PIN), nur: Wer benutzt das? Ist halt recht unbequem. Immerhin kann man den Mooltipass für fast alles gesammelt verwenden und nicht nur für eine Anwendung wie beim Homebanking.

Ich befürchte, dass viele User das Gerät aus Bequemlichkeit dauerhaft angesteckt und auch die Smartcard eingelegt lassen. Wie lange gilt eine PIN-Eingabe denn, nur für ein Passwort oder länger?

 

[Gurow]

Ich befürchte, dass viele User das Gerät aus Bequemlichkeit dauerhaft angesteckt und auch die Smartcard eingelegt lassen. Wie lange gilt eine PIN-Eingabe denn, nur für ein Passwort oder länger?

Grundsäzlich entsperre ich mit der PIN das Gerät und das bleibt voreingestellt 60 Minuten entsperrt oder eben bis ich es wieder abziehe. Ich kann in den Einstellungen das aber beliebig ändern, meinetwegen auf 2 Minuten bei Inaktivität.
Ich kann einige Einstellungen vornehmen, vom Keyboard-Layout bis zur Zeit, nach der die "credential requests" wieder aufgehoben werden sollen (Voreinstellung: 15 Sekunden), oder wie mit dem Passwort-Output im Detail umgegangen werden soll. Ein sehr kleiner Speicher für Daten ist auch vorhanden, z.B. für ein Textdokument.

Was Keylogger angeht, kenne ich mich nicht aus. Überhaupt bin ich alles andere als ein Hacker. Hardware-Keylogger sind auf Tastendruck angewiesen, das fällt flach. Wie es bei Software-Keyloggern aussieht, kann ich nicht sagen. Ich habe dem Entwickler diesbezüglich mal ein paar Fragen geschickt, mal sehen, ob der Zeit dafür hat.

Das Argument mit der Umständlichkeit kann ich nicht so ganz nachvollziehen. Die Handhabung ist wirklich sehr einfach und ich habe mich sehr schnell daran gewöhnt.
- - - Beitrag zusammengeführt - - -
@dark_rider @moronoxyd
Ich habe jetzt ein paar Antworten zu den Fragen: Sollte der worst case eintreten und ein Angreifer den Browser samt extensions übernommen haben, könnte er im Moment der Übertragung des Passworts dieses theoretisch abgreifen. Das wäre schwierig aufgrund der kurzen Zeit, aber theoretisch möglich. Das einzige Mittel gegen Keylogger wäre die Implementierung von U2F auf Webseiten, die leider bisher noch kaum Verbreitung gefunden hat. Da heißt es also abwarten.

 

[mcb]

Am besten Unverschlüsselt.
Oder einfach Passwort123 nehmen

Deswegen gibt es Passwort Manage, einer wurde ja schon genannt.
Jedenfalls Google würde ich meine Passwörter nicht freiwillig anvertrauen. Speichert Mozilla die PWs lokal und verschlüsselt?

https://keepass.info/download.html
Mit den richtigen Plugins genau absolut komfortabel.

Mist woher weißt du denn mein Passwort - das waren wohl die Russen ...

Ev. ist die Tabelle doch nicht die schlechteste Methode

https://www.ghacks.net/2017/12/31/how-web-trackers-exploit-password-managers/

Frohes Neues

mcb

PS: https://www.reddit.com/r/firefox/co..._are_pulling_data_from_your_browsers/drz04qk/

(unverified)

 

[tuxpad]

Zur Diskussion Länge/Komplexität sollte man unbedingt mal den kurzen Strip bei XKCD lesen:

https://www.xkcd.com/936/

Fazit: Länge schlägt Komplexität.

Anstelle eines Passwortmanagers nutze ich übrigens auch eine Liste, die in einem VeraCrypt-Container gespeichert wird.

Viele Grüße

Dirk

 

[joker4791]

Also ich speichere die Passwörter auch am Liebsten im Gehirn, denn das habe ich auch meistens dabei (Dateien und USB-Krams liegt oft woanders rum).

Übrigens kann man auch komplexe Passwörter gut merken, wenn man die richtige Strategie hat:
BrenendeRoltrepe*1 oder
LuftAngrifNeuJork9/11

Grüße,
j.

 

[moronoxyd]

Übrigens kann man auch komplexe Passwörter gut merken, wenn man die richtige Strategie hat:
BrenendeRoltrepe*1 oder
LuftAngrifNeuJork9/11

Das klappt aber nicht bei 30 oder 40 Passwörtern. Und Passwörter wiederverwenden will man ja nicht.

 

[s-g]

[...]

Interessant. Dürfte sich aber recht einfach aushebeln lassen, wenn man das automatische Ausfüllen deaktiviert.
Bei KeePass werden die Daten z.B. nur durch drücken von Shift+Strg+U in die Felder geschossen. Außerden blockiere ich generell jegliche Scripte von Drittanbieterseiten (uMatrix).

Von Papier abtippen ist mir zu umständlich, vor allem bei Passwörtern wie 0923u4OIJKNM<DLÖN... und ob das jetzt 256 bit AES-Verschlüsselt bei VeraCrypt oder 256 bit AES-Verschlüsselt in KeePass liegt, dürfte sicherheitstechnisch keinen großen Unterschied machen?!

 

[maculae]

In der c't 18/2014 wurde ein damals neues Konzept für den Umgang mit PW vorgestellt. Ich fand das damals beim Lesen schlüssig. Das Ganze ist schon eine Weile her, aber die dort vorgestellte Software wird wohl immer noch gepflegt, sie ist quelloffen und bei Github einsehbar - und das dahinterstehende Konzept ist recht spannend.
https://www.heise.de/ct/ausgabe/201...fuer-den-Umgang-mit-Passwoertern-2284364.html

Gruss, maculae

 

[independence]

In der c't 18/2014 wurde ein damals neues Konzept für den Umgang mit PW vorgestellt. Ich fand das damals beim Lesen schlüssig. Das Ganze ist schon eine Weile her, aber die dort vorgestellte Software wird wohl immer noch gepflegt, sie ist quelloffen und bei Github einsehbar - und das dahinterstehende Konzept ist recht spannend.
https://www.heise.de/ct/ausgabe/201...fuer-den-Umgang-mit-Passwoertern-2284364.html
Gruss, maculae

Auch ein interessantes Vogehen - aber auch doch mit Aufwand (wie bei KeePass zb. (nutze ich selbst)) verbunden und erfordert Selbstdissziplin..
Kommt mir auch sehr bekannt aus der Cryptowelt und dem Private- und Public-Key vor. So (bzw. ähnlich) werden dort auch die Public Keys aus dem Private Key mit elliptischen Kurven berechnet

 

[dark_rider]

... und ob das jetzt 256 bit AES-Verschlüsselt bei VeraCrypt oder 256 bit AES-Verschlüsselt in KeePass liegt, dürfte sicherheitstechnisch keinen großen Unterschied machen?!

Doch, finde ich: Schadprogramme suchen wenn dann gezielt nach gängigen Passwort-Managern wie denen im Browser oder z.B. KeePass. Für eine selbstgebaute Tabelle, die dann verschlüsselt gespeichert ist, müsste das Schadprogramm quasi alle oder zumindest alle verschlüsselten Dateien des ganzen Systems untersuchen, diese versuchen zu knacken, und dann müsste der Urheber manuell schauen, ob verwendbare Daten darunter sind.

 

[moronoxyd]

Verschlüsselte Daten sind nicht sicher, weil ein Angreifer nicht weiß, wo er suchen soll, sondern weil der Verschlüsselungsalgorithmus dafür sorgt, daß das Durchprobieren der möglichen Lösungen viel zu lange dauert.

Im Ruhezustand sollten die Daten also in beiden Fällen gleich sicher sein (gleich starke Passwörter/Keyfiles vorausgesetzt).

Aber bei der Nutzung schneidet eine Containerverachlüsselung m.E. schlechter ab:
Bei einem Passwortmanager sind die Daten auf der Festplatte immer verschlüsselt. Bei einem Container sind sie unverschlüsselt erreichbar, wenn der Container eingebunden ist.
Ein Passwortmanager kann Maßnahmen ergreifen, um die geladenen Daten im RAM möglichst schwer abgreifbar zu machen. Bei der Containerverschlüsselung lädt man die Daten mit einem Texteditor o.ä., der nicht weiß, das er Passwortdaten geladen hat, die geschützt werden müssen.
Das Kopieren der Daten in den Browser (oder das andere Zielprogramm) erfolgt in beiden Fällen über die Zwischenablage. Aber ein Passwortmanager kann die Zwischenablage automatisch nach x Sekunden löschen.

 

[cyberjonny]

Stimme moronoxyd zu. Der Passwortmanager ist auf jeden Fall zu bevorzugen. Security by obscurity ist imho kein sinnvoller Ansatz.

 

[s-g]

c't 18/2014

Gibt es in dem Konzept nicht noch ein paar Lücken? Einziger Vorteil zum PW-Manager mit verschlüsselter Datenbank, der mir beim Lesen auffällt, ist

Denn ich bin damit völlig vom Inhalt dieses Safes abhängig – ohne ihn kann ich nicht mal mehr meine Mails lesen und zum Beispiel Passwort-Resets durchführen. Wer den Safe nicht auf mehrere Geräte verteilt – und natürlich die Kopien immer schön synchron hält – riskiert schon mit einem einfachen Platten-Crash den Verlust seiner Identität.

Dafür sind bei der Datenbank alle Passwörter voneinander unabhängig. Wird bei der CT-Lösung aus irgendeinem Grund das Masterpasswort verbrannt (der Sitznachbar in der U-Bahn hat beim Tippen über die Schulter geschaut; ...), müssen alle Passwörter geändert werden. Die Dienstnamen sollten dabei ja eigentlich immer gleich Strukturiert werden. Sobald anstelle von „eBay“ oder „Amazon“ „eBay2‘39ed“ verwendet wird, ist das nicht besser, als sich das Passwort zu merken.
Nächstes Problem: Was passiert, wenn nur für einen Dienst das Passwort geändert werden soll?
Werden, wie im Artikel weiter unten vorgeschlagen, Keyfile und Zähler verwendet, entfällt der oben zitierte Vorteil. Ohne Keyfile und Zählerdatenbank kein Passwortzugriff. Die beim Einsatz mehrerer Geräte auch irgendwie synchron gehalten werden müssen.

Die Passwörter in einer verschlüsselten Datenbank über die Cloud auf mehrere Geräte zu synchronisieren, würde mir jetzt auch nicht so viel Bauchweh bereiten. Verschlüsselung mit starkem Passwort + Keyfile (welches natürlich nur lokal auf den Geräten ist) und gut. Im Zweifel das Ganze nochmal zusätzlich durch Boxcryptor o.ä. jagen.

 

[maculae]

Ja, die in der c't vorgestellt Lösung hat auch ihre Mängel. Vor allem aber ist sie in der Praxis recht unkomfortabel.

Meine Lösung, die auch meine Familie mittlerweile so praktiziert: Keypass mit einem langen und nur per BruteForce zu ermittelnden PW (in keinem Lexikon zu finden, Zahlen, Klein- und Großbuchstaben und Sonderzeichen), die DB liegt dabei zuhause auf der Synology und wird jeweils im heimischen Netzwerk über die verschiedenen Rechner synchronisiert. Das funktioniert zuverlässig, ist einigermassen komfortabel und für meine Bedürfnisse sicher genug...

Gruss, maculae

 

[schdrag]

habe mir eine Datei mit den Passwörtern auf einem veracrypt Laufwerk erstellt, das mit einem relativ sicheren pw (keine Wörterbuchkomponten, Zahlen und Sonderzeichen) gesichtert ist: eine alte SD-Karte, Diese stecke ich nur dann ein, wenn ich die pw's benötige.

 

[Thinksurfer]

Nabend.

Wollte gerade ein neues Thema aufmachen, da fand ich diesen Thread. Sorry Jungs, aber ich habe noch nicht mal die Hälfte von dem verstanden, was ihr hier zum besten gegeben habt. Vielleicht kann das jemand für mich vereinfachen. Aber vorne weg, mit "have i been pwned" habe ich prüfen lassen, ob eines meiner email acoounts gehackt wurde. Bei einem wurde das Prüfprogramm fündig. Doch es stellt sich mir die Frage, was wurde eigentlich gehackt, der eigentliche account, also das Login bei meinem email Anbieter, oder das bei einem meiner Forenzugänge, wo ich diese betreffende email Adresse während der Registrierung angegeben habe? Das Passwort beim Anbieter-Login ist sehr sicher, das in diversen Foren eher nicht.

Der 2. Teil meiner Frage betrifft meine Bequemlichkeit, in dem ich Firefox anweise, alle meine Passwörter zu speichern. Einiges zu dem Thema hier habe ich verstanden, wie z.B. die Verwendung von Passwort Manager. Ich wusste zunächst nicht, ob es eine Freeware für mein Linux Mint gibt, anscheinend ja. Werde mich damit mal befassen. Jetzt aber zu meiner Frage. Angenommen, ich schaffe es den PM in mein Mint zu integrieren, was passiert mit dem Firefox Passwort Speicher? Muss ich den komplett leerfegen, mir jedoch vorher alle Passwörter notieren um sie in den neuen PM einzugeben, oder übernimmt der Neue die Passwörter automatisch? Hoffe, ich habe mich halbwegs verständlich ausgedrückt.

Gruß, Jürgen

 

[mcb]

Nabend.

Wollte gerade ein neues Thema aufmachen, da fand ich diesen Thread. Sorry Jungs, aber ich habe noch nicht mal die Hälfte von dem verstanden, was ihr hier zum besten gegeben habt. Vielleicht kann das jemand für mich vereinfachen. Aber vorne weg, mit "have i been pwned" habe ich prüfen lassen, ob eines meiner email acoounts gehackt wurde. Bei einem wurde das Prüfprogramm fündig. Doch es stellt sich mir die Frage, was wurde eigentlich gehackt, der eigentliche account, also das Login bei meinem email Anbieter, oder das bei einem meiner Forenzugänge, wo ich diese betreffende email Adresse während der Registrierung angegeben habe? Das Passwort beim Anbieter-Login ist sehr sicher, das in diversen Foren eher nicht.

Der 2. Teil meiner Frage betrifft meine Bequemlichkeit, in dem ich Firefox anweise, alle meine Passwörter zu speichern. Einiges zu dem Thema hier habe ich verstanden, wie z.B. die Verwendung von Passwort Manager. Ich wusste zunächst nicht, ob es eine Freeware für mein Linux Mint gibt, anscheinend ja. Werde mich damit mal befassen. Jetzt aber zu meiner Frage. Angenommen, ich schaffe es den PM in mein Mint zu integrieren, was passiert mit dem Firefox Passwort Speicher? Muss ich den komplett leerfegen, mir jedoch vorher alle Passwörter notieren um sie in den neuen PM einzugeben, oder übernimmt der Neue die Passwörter automatisch? Hoffe, ich habe mich halbwegs verständlich ausgedrückt.

Gruß, Jürgen

Zu "have i been pwned" steht dort nicht bei Anbieter xy (z.B. Dropbox) Konto & Login, also die EMailadresse ?

Dann würde ich bei allen Diensten die gl. EMailadresse & GENAU das Paßwort verwenden als erstes die Paß... ändern - sorry bin müde ...

Den FF Passwortmanager kann man erstmals weiterverwenden & dann in Ruhe schauen.

 

[Thinksurfer]

Danke für die Antwort. Nein, da steht leider nicht, wo der Klau stattfand. Aber ich habe vorsichtshalber sämtliche Passwörter für diese Adresse geändert.

 

[mcb]

Danke für die Antwort. Nein, da steht leider nicht, wo der Klau stattfand. Aber ich habe vorsichtshalber sämtliche Passwörter für diese Adresse geändert.

Das ist schonmal gut!

Ich selbst arbeite mit einer Tabelle für die Passwörter die ich nur selten brauche.
Wichtige Konten Bank ... habe ich auf 2FA umgestellt.
Die Logins die ich oft benutze sind im Firefox gespeichert.
Passwortmanager benutze ich nicht.

Muß jeder selbst für sich abwägen.