Wie verhalten nach Breaching von Passwörtern? (C.O.M.B. etc.)

[Wasserschaden]

Vor einigen Tagen ging ja der Bericht über C.O.M.B. durch die Medien. Auch wenn es an sich nichts Neues ist und wohl schon seit einigen Jahren große Datenbanken mit Klartext-Kombinationen von E-Mail-Adressen und Passwörtern im Darknet kursieren, ist mir durch diesen Bericht erstmals bewusst geworden, in welchem Ausmaße dies passiert. (Die werden ja in Aktionen im großen Stil bei Organisationen abgegriffen, worauf man selbst gar keinen Einfluss hat). Habe daraufhin auch mal meine Mail-Adressen geprüft, und tatsächlich ist eine, die ich für sehr viele (auch wichtige, sensible) Sachen benutze, mit dabei

Neben dem E-Mail-Zugang an sich, sind über die Adresse dann Zugänge zu einigen Web-Services, Foren usw. angelegt. Fahrlässigerweise habe ich nun nicht für jedes von 20 Internet-Foren (oder Social Media Accounts und anderen Diensten), wo ich mich registriert habe, immer ein neues Password gewählt, sondern verwende seit Jahren 4-5 Passwörter, die ich mir noch selbst noch so gerade im Kopf merken kann, bunt verteilt auf meine Mails und Zugänge.

Das aktuelle Mail-Password und ein paar Foren-Zugänge zu dieser Mail-Adresse hab ich dann auch direkt geändert in etwas ganz Neues, wirklich einzigartiges, aber wie geht man nun weiter am besten vor?

Empfiehlt sich wirklich entsprechende Software (Passwordmanager u.ä.) dafür?

Wenn die Passwörter immer länger und komplexer werden oder man einfach eine wilde Zeichenkombination wie Gpoeds77!kl9a6sw23nd0adfjkw83wsDDw0? verwenden, könnte man sie ja auch noch in einem lokalen File abspeichern und per Copy&Paste einfügen, und dann alle paar Wochen mal die Runde machen durch seine Accounts und ein jeweils neues Password verwenden?

 

[Schwartz]

Ganz klar ja - Für jedes Login ein eigenes, starkes Passwort. Alle Passwörter gesammelt in z.B. KeePass. Ich habe sie auch nochmals im Firefox, einfach weil mir das sicherer erscheint als irgendwelche Brückenlösungs-Addons.

Du kannst sie auch in Klartext abspeichern (natürlich ist das nicht ideal), oder in einer Textdatei die du dann mit 7Zip verschlüsselt aufbewahrst. Die PWer alle paar Wochen zu ändern halte ich für eine Sisyphusarbeit und unnötig. Mach für jeden Account ein eigenes PW und gut ist.

Es gibt 2 Möglichkeiten: Entweder du machst wirklich lange PWer aus einem Satz, den du dir merken kannst, oder du machst PWer aus Salat von mindestens 20 Zeichen inkl. Sonderzeichen, die du irgendwo abspeicherst.

Für wichtige Accounts wie Banking, Shopping, eMail usw. bietet sich auch 2-Factor-Authentication an, zum Beispiel mit einem Authenticator-Addon wenn es kein Smartphone sein soll.

 

[Wasserschaden]

Vielen Dank für die Tipps. Zwei Sachen nur eben:

Die PWer alle paar Wochen zu ändern halte ich für eine Sisyphusarbeit und unnötig. Mach für jeden Account ein eigenes PW und gut ist.

Das meinte ich halt, weil es ja immer wieder zu irgendwelchen Breaches (oder Leaks oder wie man das nun nennt) kommt, wo dann die E-Mail-Adresse mit dem zu diesem Zeitpunkt gültigen PW gespeichert wird. Daher dachte ich alle paar Wochen (oder eben Monate), um dieses Risiko zu minimieren.

Ich habe sie auch nochmals im Firefox [...]

Einem Bekannten von mir ist genau damit (glaube ich) aber vor einigen Wochen passiert, dass irgendeine Malware sein Payback-Konto geplündert hat. Es waren zwar nur umgerechnet 20 € drauf, aber immerhin. Die Account, von denen er die PWer nicht automatisch in Firefox gespeichert hatte, waren nicht geräumt.

 

[mectst]

Auch wenn es etwas mühselig ist, bei allen Dingen, wo Geld ins Spiel kommt, setze ich zusätzlich auf eine Zweiwege-Authentifizierung (wenn sie angeboten wird).

Grüße Thomas

 

[Schwartz]

Wenn ein Passwort verloren geht, dann ist nur der zugehörige Account futsch. Das ist er so oder so, ob du nun ab und zu das Passwort änderst oder nicht. Solange du die eMail-Addresse beherrschst, kannst du diejenigen Accounts resetten. Oder nach einem Breach möglichst schnell das PW ändern. Hierfür eignen sich solche Seiten hier: https://haveibeenpwned.com/

 

[s-g]

+1 für KeePass(XC)
Und dann für _jedes_ einzelne Konto ein einzigartiges Passwort mit 30 oder mehr rein zufälligen Zeichen.
(Backup der Datenbank nicht vergessen!)

 

[cuco]

Habe mich lange gegen Passwortmanager gewehrt. Man hat halt auch das Problem, dass man alles auf einen Punkt konzentriert. Dort eine Schwachstelle oder ein Verlust der Datenbank und es ist nicht nur ein Account, sondern eben "alles" verloren. Inzwischen tauche ich aber auch in diversen Datenbanken auf und der Vorteil überwiegt für mich. Außerdem hatte ich eh auch nicht gerade wenige Passwörter im Browser gespeichert. Nur die wichtigsten waren dort nicht drin. Und noch mehr Passwörter konnte ich mir nicht merken - ein Generierungsschema hat halt auch immer den Nachteil, dass jemand das herausfinden kann, woraufhin ein Passwort und das Schema reicht, um auch alle anderen Passwörter erraten zu können.

Daher nutze ich nun auch KeePass. In KeePass habe ich die Datenbank aus meinem Browser importiert. Dann bin ich Eintrag für Eintrag durchgegangen, habe mich beim Dienst eingeloggt und ein neues zufälliges Passwort vergeben. Wo möglich, habe ich außerdem zusätzlich auf 2-Faktor-Authentifizierung gesetzt. Erschreckenderweise bestand die Datenbank meines Browsers durchaus aus etwa 700-800 Einträgen. Aber bei genauerer Durchsicht zeigten sich viele Doppelungen. Trotzdem blieb am Ende eine dreistellige Anzahl übrig. Damit das nicht ermüdend wurde, habe ich einfach jeden Tag ein paar Einträge morgens vor Arbeitsbeginn gemacht. Vielleicht 5-10 Stück jeden Tag. Dann war es nicht mehr so ermüdend und man kam doch recht schnell durch.

Angefangen habe ich mit den Einträgen, die in den bekannten Datenbanken stehen und/oder die, die das gleiche Passwort(-schema) hatten. Danach die Dienste, die man häufig nutzt bzw. jetzt gerade nutzen möchte. Zuletzt die selten oder gar nicht mehr genutzten Dienste (einige konnte man dabei einfach gleich löschen lassen). Nicht wenige der Dienste der letzten Kategorie gibt's sogar gar nicht mehr.

Meine Datenbank hat inzwischen immer noch einige Einträge, die noch nicht verändert wurden. Aber alle aus der letzten Kategorie. Wer es schafft, da rein zu kommen, kann bei mir nichts wichtiges mehr "kaputt" machen. Kein Identitätsdiebstahl, nichts was mit Geld zu tun hat, etc. Irgendwann gehe ich die auch nochmal an.

Neu generierte Passwörter bestehen bei mir aus bis zu 42 Zeichen und dem kompletten Zeichensatz inkl. Sonderzeichen. Bei einigen Diensten muss man aber Abstriche machen - entweder, weil sie die Passwörter nicht akzeptieren (zu lang oder nicht erlaubte Sonderzeichen) oder weil man das Passwort gelegentlich mal händisch eintippen muss. Unter 12 Zeichen gehe ich dabei aber nie, wenn möglich eigentlich nicht unter 16.

 

[hansmxxx]

Es ist sicher auch kein Fehler verschiedene Emailadressen für verschiedene Zwecke bei sorgfältig ausgewählten Providern mit MFA zu nutzen. Posteo und tuta.io sind recht sicherheitsfreundlich.

Hat zwar nicht direkt mit Passwörtern zu tun, aber letztlich gehört zu den meisten Accounts auch eine Emailadresse und wenn die kompromitiert ist, lassen sich auch komplexe Passwörter zurücksetzen.

P. S. In der aktuellen c't ist eine Übersicht von Passwortmanagern. Neben Keepass ist wohl 1password ganz gut und nicht so gesprächig wie z. B. Lastpass.

 

[Aviator]

Danke für das Thema. Habe mich gerade noch mal drangesetzt, mein Keepass wieder zum laufen zu bekommen, nachdem ich das Passwort irgendwie nicht mehr zusammenbekam. War zwar nicht so tragisch, weil mittlerweile nicht mehr viele wichtige Passwörter drin sind, aber geärgert hat es mich dennoch.

Was soll ich sagen, irgendwie ist mir mein Passwort doch wieder eingefallen. :thumbsup: