Passwort-Manager

Okay. So werde ichs machen. - Werde noch wahnsinnig mit den vielen Passwörtern und Usernamen und Emailadressen und Avataren.

 

retan12
schau Dir als Hilfe oder Alternative (zum Notizbuch) zum Verwalten dieser "Massendaten" mal KeePass an.

Da hast Du die Daten noch "selber in der Hand"

http://keepass.info/

http://www.chip.de/downloads/KeePass-2_37165084.html

 

Kann man Chrome (oder auch Firefox) sich anvertrauen?
Ich habe mal gehört, dass Chrome nach der Erstinstallation automatisch die Paßwörter aus Firefox ausgelesen und angeboten hatte.
Da wird es mir ein wenig mulmig.
Wenn Chrome das schon bewerkstelligt, dann grundsätzlich wohl erst recht noch andere auf so etwas Spezialisierte.

Auch Firefox Sync, kann das nicht als Überwachungsinstrument benutzt werden?

 

Chrome: Keine Ahnung, aber so vertrauenswürdig wie alles andere von Google...

Firefox: Hatte bisher keine ernsthaften Kritiken gefunden.

• https://support.mozilla.org/en-US/questions/1084997
• http://www.makeuseof.com/tag/which-...nager-firefox-vs-chrome-vs-internet-explorer/

 

Das kann Firefox auch.
Unter dem Masterpasswort findet man alle gespeicherten Passwörter.

 

LastPass: Sicherer Passwort Manager für den Browser

Zwar halten moderne Browser für solche Fälle einen Passwort-Manager bereit, diese sind aber oft nicht allzu sicher, da die Zugangsdaten in den Einstellungen einsehbar sind, sofern Sie kein Master-Passwort angelegt haben. Zudem sind diese Daten nur in dem Browser aufrufbar, in dem sie auch eingespeichert wurden. In der Regel also nur am heimischen PC, LastPass schafft hier Abhilfe.

Das kostenlose Add-on für den Internet Explorer, Firefox und Google Chrome, LastPass, verwaltet jedes Ihrer eingespeicherten Passwörter verschlüsselt und zudem weltweit aufrufbar. Dazu müssen lediglich die Erweiterung im Browser installiert und Sie angemeldet sein.


Habe dieses kostenlose Browser-addon seit längerer Zeit für Firefox, Chrome und Opera und bin sehr zufrieden - ein Masterpasswort für drei Browser und alle Passwortseiten.


http://www.chip.de/downloads/LastPass-32-Bit_34778708.html

 

Die Passwörter werden dann Master-PW-Verschlüsselt in der Cloud gespeichert, sodass du sie selbst nicht mehr unter Kontrolle hast. Ja ne is klar nä?

Meiner Meinung nach taugt das nichts, man sollte es möglichst bei sich auf den eigenen Geräten behalten.
zB per USB Stick und einem Offline PW-Manager, welcher nicht als Addon nur Browserspezifisch arbeitet.

Da gibts sonen Spruch:
Wurden deine Passwörter geklaut, waren sie in der Cloud.

 

+1

Seh' ich auch so - sry, aber: Kopf --> Tisch!

 

"
Chrome essentially encrypts your saved passwords with your Windows user account password. Anyone with access to your Windows user account can view your passwords. Firefox offers a master password to encrypt your passwords, but Chrome doesn’t. As long as you use a strong Windows user account password and don’t set your computer to automatically log in, your passwords will remain secure."

Ja. und das Windows Passwort wird zu Microsoft übertragen, und Micosoft arbeitet mit den Ge heim dien sten zusammen.
Nirgendwo eine klare Angabe über den Grad der Verschlüsselung.
Keinerlei Kontrolle über etwaige Hintertüren.
Meine Passwörter in die Wolke setzen. - Dass ich nicht lache! Warum sich nicht mit Filzstift auf die Stirn schreiben!?

-
Ich würde sagen: für unwichtige Sachen kann man den Brwoser benutzen.
Aber was ist schon unwichtig?

Passwort zu Bibliotheken: Kontrolle deines Lesestoffs.
Online-Banking: sowiesonicht
Porno-, Warezseiten: würde dich erpressbar machen

Kommt wohl nur für Gartenbauverein oder so infrage. (und auch nur, sofern du nicht scharzbrennst

 

Es ist bekannt, dass Microsoft das schon gemacht hat.
Nach der (übersetzt) "Vaterlandsliebender Verordnung" die in Amer. seit 2001 aufgemacht wurde und IMMER noch git, sind Firmen dazu verpflichtet, mit den Behörden zusammenzuarbeiten Sie sind dazu verpflichtet über ihre Auskünfte Stillschweigen zu wahren. Bei Verstößen kommen sie vor ein Geheimgericht, und sie dürfen weder über das Gerichtsverfahren noch über das Strafmass etwas an die Öffentlichkeit bringen.
Das ist die Wirklichkeit. Auf deren Grundlage sollten unsere Entscheidungen und Vorsichtsmaßnahmen fußen.

Es gibt einige wenige Firmen, die Konsequenzen ziehen, weil sie sich bei diesen Machenschaften nicht die Finger schmutzig machen wollen.

Die machen dann sogar lieber ihre Firma dicht. Beispiel: Tru ecrxpt.

 

Das mit dem Keepass ist eine feine Sache.

Aber ich habe den immer nur ganz kurz auf. Und da das Hauptpasswort nicht nur aus gerade mal vier Buchstaben besteht, ist das immer auch ein bißchen lästig mit dem Öffnen.


Ich habe Keepass sowohl auf Windows wie auf Linux installiert.

Wenn ich ihn geöffnet ließe, das wäre bequem, aber wenn online habe ich immer ein bißchen Angst, er könne ausgelesen werden.

Frage in die Runde:
Ist das jetzt die pure Paranoia?
Oder ist das unter Windows denkbar (Keylogger und Konsorten), unter Linux aber nicht?
Oder aber dort auch? Oder auch beides nicht??

Was meint ihr dazu?

Geheimgerichte natürlich nicht gegen mich. Die können angewandt werden und werde vermutlich auch ab und zu angewandt gegen Firmen in den Staaten, die nicht kollaborieren wollen. Apple hat offensichtlich versucht, gegen diese Praxis zu revoltieren. Durch seine Macht glauben oder glabuten sie sich dagegen stellen zu können. T rump hat auf diesem Hintergrund ja auch schon in aller Deutlichkeit angekündigt, dass er ihnen solche Flausen austreiben werden wird.

 

Man sollte nicht strikt auf Paranoia setzen. Die Leute verallgemeinern schnell, bezüglich diesen Themas, weil sie nicht genau verstehen was die Geheimdienste tun bzw wie die Technik funktioniert. Deshalb können sie nicht ausreichend unterscheiden.

 

Bei dem ganzen Geheimdienstkram ist vielleicht meine eigentliche Frage untergangen. Daher möchte ich sie gern noch einmal stellen:


Ist es denkbar und technisch machbar, dass Keepass ausgelesen wird, während das Programm geöffnet ist und man online ist?



Keylogger u.ä. unter Windows sind ja keine Seltenheit.
Unter Linux vielleicht schon schwieriger (?)

Hat da jemand Ahnung oder zumindest eine Vermutung?

 

Natürlich wäre es nicht möglich, dass Webseiten das Programm auslesen können, wie du es vlt meinst ?

Offline wäre vieles möglich. Fang doch einfach an: Eine Spyware die Screenshots macht oder direkt die verschlüsselte Datenbankdatei (mit den PWs) ausliest und hochlädt. (Zunäschst nutzlos, aber durch BruteForce...)
Denkbar ist alles. Man sollte natürlich möglichst sicher sein, dass man sich nichts schädliches ausführt. Also einfach die grundlegenden Regeln befolgen, dann kann man auch solche Software sicher nutzen.

Für Linux gibt es natürlich auch Schadsoftware, nur von der Menge ist es weniger.

Ich bin übrings auch auf der Suche nach einem PW-Manager. KeePass sagt mir allerdings nicht zu, weil es zu vollgestopft ist. Ich suche evt einen leichtgewichtigen.
Bisher aber nicht gründlich recherchiert. Vor allem wichtig für mich: Angabe von vielen Details, Kommentaren, Email, webseite blablabla sonst find ich nichts mehr wieder.

 

Hi,
ich bin mit keepass auch erst nach ner Weile warm geworden. Aber nun finde ich die Funktionen doch sehr passend.

 

retan12 ,
hier ist zum Beispiel ein Hack (für ältere Versionen von KeePass), und sollte Dich keinesfall entmutigen oder ermutigen auf .txt in 7zip umzusteigen.
http://www.com-magazin.de/news/keepass/hacker-tool-knacken-keepass-1042057.html

und "ja", ich war (auch) gegen diese Passwort TRESORE (online oder offline) weil die ja ein lohnendes Ziel abgeben ^^ ,
jedoch fühle ich mich eher nicht im Visier von Angriffen (auch von Zufälligen) (klar mache ich den amazan / Paypal email-Link nicht auf , um mein Konto zu entsperren ) ...

Ich glaube eher alle Online Dienste sind interessanter zu hacken als meine Wenigkeit. Deswegen Zitat "Mit den einfachen Grundfunktionen von KeePass 2 sind Sie in der Lage, bei allen Diensten eine sichere, weil lange Passwortphrase zu verwenden, ohne sich diese merken zu müssen."
Also setze ich auf gute Passwörter und dass ich diese auch auf allen meine Geräten benutzen kann, Windows, Linux, Android, Apple (nein)
Vielleicht hilft Dir diese schöne Beschreibung
http://passwortbibel.de/tests-tools/keepass-2-password-safe/33313

Und last but not least:
KeenPass hat eine 2fach Sicherheit, auch wenn jemand die Container Datei kopiert, kann er über z.b. Brute Force nicht rein, weil ihm die Schlüsseldatei fehlt. KeePass Datenbank zusätzlich mit Schlüsseldatei schützen: https://blog.doenselmann.com/keepass-datenbank-zusaetzlich-mit-schluesseldatei-schuetzen/

 

Mag nicht so sicher sein, aber bisher fahre ich mit einem eigenen System bei wichtigeren PW recht gut, habe mir da eine Art Standardpasswort ausgedacht ala R2369"12c ... die variiere ich durch andere Sonderzeichen, mehrere Sonderzeichen, mehrere c'sss am Ende usw.

Klar, merken muss ich mir die schon, aber habe dafür ein Text file auf dem Desktop mit Erinnerungshilfen, wo das Passwort an sich aber nicht drin steht, da kann man also nichts auslesen.

 

Für Online PWs (Webseiten) verwende ich auch ASCII-Symbole, die gibt man durch "ALT + Codes" ein oder einfach kopieren/einfügen - die Symbole werden von vielen Webseiten akzeptiert, aber nicht bei allen.

Hier bei high-way funktionert es.

Es ergibt sich ein Sicherheitsrisiko (oder Gefahr etc) mit der Nutzung von Archivaren: Bevor der Inhalt angezeigt werden kann, wird dieser entpackt - also in lesbarer Form auf die Festplatte geschrieben. Nach dem Beenden des Archivars werden diese temporären Dateien eventuell gelöscht.
Wenn jmd zugriff hat, könnte man evt mit File Recovery Software (Dateiwiederherstellung) diese Dateien wiederherstellen und sichern.

WinRar erlaubt es, temp Dateien beim Beenden zu überschreiben, sodass diese tatsächlich unwiederruflich zerstört sind - 7zip nicht, oder?
Als Workaround empfehle ich eine RamDisk zu installieren und den Temp-Ordner für die Archivare dorthin zu verlegen.

Passwort Tools halten die entschlüsselten Daten im Arbeitsspeicher - sollte auf jeden Fall so sein.

 

Ich habe erst jahrelang Keepass genutzt und bin vor kurzen zu Enpass gewechselt. Ganz ohne Passwortmanager komme ich nicht mehr klar und die Browser sind mir zum speichern einfach zu unsicher. Ich persönlich sehe den Nutzen bei diesen Passwortmanagern auch höher als deren Angreifbarkeit. Abgesehen von LastPass und andere die online archivieren.

 

Interessehalber, warum Enpass? (kenne ich noch nicht)

 

Naja...eigendlich nur weil ich EnPass ansprechender fand und mal was neues wollte

 

Handhabe das auch aehnlich wie Mydgard. Fuer wichtige Sachen wie Paypal, Hauptemailkonto habe ich eigene Passwoerter die meiner Ansicht lang und sicher genug sind und nicht erratbar, sind da sie nichts mit mir persoenlich zu tun haben.
Fuer andere in meinen Augen nicht so wichtige Sachen habe ich verschiedene Standartpasswoerter die ich dann zum Teil noch variiere.
Von Passwortmanagern halte ich auch nicht wirklich viel. Sehe die auch eher als Schwachpunkt an.

Mal davon abgesehen dass 99% der Passwoerter die bei Hackern gehandelt werden nicht durch Brutforce oder raten gehackt werden sondern einfach durch Trojaner oder Keylogger und andere Viren erbeutet werden. Da ist es sch...egal ob das Passwort 15 Stellen hat und aus cryptischen Zeichen besteht. Zudem ist heutzutage bei so gut wie allen wichtigen Seiten ueberhaupt kein Brutforce mehr moeglich weil nach 3-5 falschen Eingaben minestens eine Wartezeit eingebaut wird, wenn nicht sogar noch mehr.

Bei einer normalen Webseite wie Ebay ist ein Passwort wie ";32highwaynutzer" voellig ausreichend. Das Semikolon in Verbindung mit einer Zahl ist in keiner Passwortliste/Woerterbuchliste zu finden.
Viel wichtiger ist wie man ein Passwort aufbaut. 95% der Menschen erstellen ein Passwort mit dem Namen zuerst und danach eine Zahl.
Im obigen Beispiel dann Highwaynutzer32. So ein Passwort ist natuerlich auch durch Brutforce zu erraten, weil da einfach Woerterbuecherdatenbanken durchgegangen werden in Verbindung mit Zahlen dahinter. Gerne wird dann auch noch der erste Buchstabe gross geschrieben weil bei der Eingabe eines Passworts ja mindestens ein Kapital und eine Ziffer/Zeichen verlaqngt wird. Logischerweise wird jedes Brutforce Programm Den grossen Buchstaben am Anfang zuerst beginnen auszuprobieren. Wenn ich also einen grossen Buchstaben verwenden will sollte ich lieber den letzten oder einen in der Mitte aussuchen.

Mit einfachen Sachen wie ein Zeichen plus Zahl am Anfang kann man jedes Brutforceprogramm welches auch mit Woerterbuechern arbeitet ganz einfach auschalten. Jetzt bleibt nur noch moeglich wirklich jede Buchstaben/Zeichen/Zahlen Kombination durchzuprobieren und das kann selbst mit Supercomputern Jahre dauern wenn das Passwort lang genug ist.

Dieses Scenario ist aber wie gesagt bei Webseiten kaum noch anwendbar sondern mehr wenn es um verschluesselte Archive geht wie .Rar, Truecrypt, Bitlocker, usw.

 

Hier kann ich nicht voll zustimmen. Ein Passwortmanager hilft trotzdem sehr, selbst wenn man Malware auf dem Rechner haben sollte, könnte es zumindest eine Überwindung kosten, dass ein PW gesnifft wird, weil Malware durchaus auch die Dateien der jeweiligen Anwendungen aufsucht, in denen die PWs gespeichert sind. Auch soll ein PW-Manager vor unberechtigtem Lokalzugriff schützen. Das ist besonders zu empfehlen, wenn mehrere Personen einen Rechner benutzen oder man bei Diebstahl sicher gehen will oder keine andere Verschlüsselung benutzt.
Kein PW-Manager zu verwenden ist auch keine (sichere) Lösung.

Bruteforce
Klar, bei Websites ist das heute so gut wie gar nicht mehr möglich, Hauptsächlich bezieht sich das nun auf verschlüsselte Dateien/Festplatten oder vlt Angriffen auf ein lokales Konto.

Ich schätze mal, dass wenn Bruteforce "Wörterbuch-PW-Kombis" wie WortZahl errechnen kann, dann geht das auch umgekehrt wie ZahlWort.
Das beste ist hier einfach Zufallkombis zu verwenden. Eine andere Strategie, von der ich las, ist einen Satz zu bilden wie: ich gehe nicht gerne in Hostentaschen einkaufen.
Weil Wortbuchangriffe hier mehrere Wortkombis errechnen müssen, soll es eine gute Alternative zu Zufallskombis sein, aber ich werde mich darauf nicht verlasse. Ein schwachpunkt soll hier wieder sein, dass die meisten Menschen zu einfache Worte wählen und dann nur mehrere zehntausend Wortmöglichkeiten bestehen die es einander zusammenzubringen gilt. Fantasiewort-Kombis sollen sicherer sein.

 

solange die Passwoerter nicht im Browser gespeichert werden ist es auf jeden Fall sicher. Kein Passwort zu speichern kann nur sicherer sein wie ein Passwort zu speichern. Deshalb ja meine Empfehlung lieber ein Passwort zu verwenden was man sich merken kann und trotzdem sicher ist. Solange es nur fuer Webseiten ist muss es nicht kryptisch sein und 20 Zeichen haben.

Es wurden ja auch zum Beispiel Emaikonten von Promis mit Nacktbilder gehackt weil Unsichere Passwoerter benutzt wurden. Wobei das Wort gehackt falsch ist aber immer von der Presse verwendet wird. Richtig wuerde es heissen erraten. In diesen Faellen war das Passwort immer sowas wie der Name des Kindes oder des Haustieres mit eventuell ner ein oder 2 Stelligen Nummer dahinter. Sowas kann man durch probieren mit etwas Glueck natuerlich ganz schnell herausfinden. Haette der Promi einfach nur hinter dem selben Namen eine 4 stellige Kombination aus Zahlen, Zeichen und Buchstaben gewaehlt waere die Wahrscheinlichkeit das Passwort zu erraten geringer als ein sechser im Lotto zu bekommen. Warum? ganz einfach beim Lotto hat man nur 49 Zahlen die man in allen moeglichen Reihenfolgen kombinieren kann. Ich weiss jetzt nicht wieviele Sonderzeichen es genau gibt aber wenn man nur die 24 Buchstaben des Alphabets mit Gross und kleinschreibung plus die Zahlen von 0-9 Plus die 30 Sonderzeichen die ich gerade auf meiner Tastatur gefunden habe benutzt kommt man auf 24x2+10+30=88 Zeichen. 88x4=356. Die 356 kann man nun mit den 49 Zahlen vergleichen und logischerweise kann man aus 356 Zahlen mehr Kombinationen machen wie aus nur 49. Klar, mit Bruteforce kann man ein Benjamin(^34 knacken, aber Braucht schon eine ganze Weile dafuer. Ein Benjamin9^34 zu erraten ist praktisch unmoeglich, ein Benjamin12 dagegen schon weil man dafuer gerade mal 13 Versuche braucht.

Das ginge dann wenn Brutforce vorher schon wuesste wie lang das Passwort ist. Dann koennte man ganz anders herangehen an die Sache. Wenn man vorher wuesste das, dass Passwort 10 Zeichen lang ist koennte Brutforce beim probieren die Woerter aus der Datenbank einfach innerhalb der 10 Zeichen von vorne nach hinten schieben und den Rest durch probieren ergaenzen.
Brutforce ist nur so intelligent wie es Programmiert wurde.
Es besteht aus 3 Teilen.
1. Teil Woerterbuch durchprobieren
2. Teil Buchstaben, Zahlen, Zeichen Kombinationen durchzuprobieren (dauert alleine selbst bei nur 8 Stellen und schnellen Rechner schon verdammt lang)
3. Teil 1 und 2 zu kombinieren

Wird jetzt die Kombination aus Woerterbuch und Probieren benutzt macht es nur Sinn mit dem Woerterbuch anzufangen und danach noch ein paar Stellen durchzuprobieren. Anders herum wuerde sich der Prozess extrem verlangsammen weil ja mit jeder Zeichenkombination das komplette Woerterbuch wieder durchgegangen werden muesste.
https://www.password-depot.de/know-how/brute_force_angriffe.htm

Da gebe ich Dir recht. Wortkombies, wenn genug Woerter koennen sicher sein. Allerdings nur wenn es nicht gaengige Wortkombies sind.
"meinPasswortistBenjamin" waere eine schlechte Kombi. Aber auch hier laesst sich die ganze Wortkombie viel sicherer machen indem man einfach ein oder zwei Sonderzeichen an die erste Stelle setzt. Z.Bsp "^^meinPasswortistBenjamin" waere dagegen schon wieder sehr viel sicherer weil Bruteforce immer nur von vorne nach hinten probieren kann.

Wie aber gesagt lange sichere Passwoerter sind nur dort notwendig wo auch Brutforced angewendet werden kann. Bei Webseiten kommen Passwoerterlisten nur im Umlauf wenn die Passwoerter/Benutzernamen Kombo gestohlen wurde oder einfach erratbar war.
Habe schon einige Passwort/Benutzername Listen gesehen die im Darknet veroeffentlicht wurden. Da waren auch teilweise lange kryptische Passwoerter dabei. Hilft aber nichts wenn der Troajner/Keylogger die Passwoerter stiehlt.

 

Sicher, dass es sicher ist? Ich denke an Drive-by-Download oder ähnliche Methoden über Plugins wie Flash. Deine Aussage ist schlicht zu allgemein gehalten.

Dann merke dir mal zu deinen PWs und 50 Konten alle Kombinationen und natürlich auch die entsprechende Kontenzugehörigkeit. Da geht es nämlich um viele Konten, die man komfortabel verwalten und benutzen kann, und trotzdem ziemlich gut gesichert ist.
Wenn man nur ein paar Konten hat, ist das wohl nicht die Rede wert. Dann bräuchte man keinen PW-Manager.

Absolut, so lange Dinger braucht man für Websites nicht umbedingt. Könnte aber trotzdem hilfreich sein, schließlich wurden schon von großen Internetkonzernen PW-Datenbanken gestohlen durch Hobby-Cracker größtenteils entschlüsselt. Wenn man an diesem Punkt noch nicht informiert ist bzw sich nur selten anmeldet, kann ein längeres PW mehr Sicherheit geben.
Ansonsten sollte man immer bei Dateien die man irgendwo hochlädt bedenken, dass diese irgendwer kopieren und irgendwann durch Bruteforce Einsicht erhalten könnte. Hier machen also komplexe PWs sinn, um sensible Dateien langfristig zu schützen.