Fragen zur Passwortsicherheit

  • Hallo zusammen,

    da sich in diesem Forum viele mit den nötigen Fachwissen herumtreiben, habe ich mir gedacht, ich bin so frei und stelle ein paar Fragen.
    Allerdings wollte ich jetzt nicht das ganze Forum zuspamen, weswegen ich einfach mal ein Thema aufmache, und dann eine Frage nach der anderen stellen würde...
    Hoffe das ist okay so.

    Frage 1: Passwörter und Passwortsicherheit.


    Aktuell handhabe ich es so, das ich alle meine Passwörter über den Passwortgenerator von Datenschutz.org in der Grundeinstellung generiere, 32 Zeichen lang.

    Ich speichere diese in einer *.xlsx auf einem USB, welche wiederum mit einem Passwort geschützt ist. Diesen stecke ich nur an, wenn ich ein PW brauche.
    Das passiert recht selten, da ich 90% der Passwörter aus Bequemlichkeit in Chrome gespeichert habe (gut oder schlecht)?

    Ich würde dazu gerne eure Meinung hören, sowie eure Verbesserungsvorschläge. Was ist gut, was ist schlecht, wie könnte ich das ganze vereinfachen, oder noch sicherer machen?
    Ja, klar, theoretisch könnte ich alle auf Papier schreiben, aber irgendwie ist mir das dann doch zu viel...

    Bud

    [RS] 2000 G9 | 1000 G8 | Cyber Quack

    [VPS] 2x 1000 G9 | 2x 200 G8 | 2x Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • da sich in diesem Forum viele mit den nötigen Fachwissen herumtreiben, habe ich mir gedacht, ich bin so frei und stelle ein paar Fragen.
    Allerdings wollte ich jetzt nicht das ganze Forum zuspamen, weswegen ich einfach mal ein Thema aufmache, und dann eine Frage nach der anderen stellen würde...
    Hoffe das ist okay so.

    Da das Forum auch für weitere Kunden auch ein Nachschlagewerk ist, würde ich es besser finden, wenn du jede Frage themenorientiert auch mit einem separatem Titel versehen würdest, wie z.B. Frage zur Passwortsicherheit.

  • Bud

    Changed the title of the thread from “Fragen” to “Fragen zur Passwortsicherheit”.
  • Da das Forum auch für weitere Kunden auch ein Nachschlagewerk ist, würde ich es besser finden, wenn du jede Frage themenorientiert auch mit einem separatem Titel versehen würdest, wie z.B. Frage zur Passwortsicherheit.

    Ich hab es mal gemacht, allerdings haben die Fragen ja nichts direkt mit netcup zu tun... Und ich wollte wie gesagt Spam vermeiden...

    [RS] 2000 G9 | 1000 G8 | Cyber Quack

    [VPS] 2x 1000 G9 | 2x 200 G8 | 2x Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE

  • ich habe meine Passwörter auch in der Cloud verschlüsselt in einer .kdbx somit komme ich von allen Geräten/Browser an die Passwörter

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Passwörter im Browser sind zwar sehr komfortabel, aber aus Sicherheitsaspekten bedenklich. Jeder mit lokalem Zugriff kann die in der Regel einfach so auslesen. Im Grunde kann man die dann auch gleich im Klartext in einer Textdatei speichern. Besser einen richtigen Passwort Manager nutzen und ein entsprechendes Browser Plugin installieren, welches die Passwörter einträgt. Dann gibt es auch weniger Stress, wenn man mal den Browser wechseln möchte/muss.


    Zum Generieren nutze ich das unter Linux bekannte pwgen (pwgen -s $LÄNGE). In der Regel 16 Zeichen. Ein Passwort sollte man jederzeit auch manuell eingeben können. Daher im Zweifel nicht zu lang und nicht zu komplexe Sonderzeichen nuztzen. Immer im Hinterkopf behalten, dass man auch mal an einer Tastatur mit US Layout sitzen könnte. Daher nur die Zeichen nutzen, die man auch auf anderen Layouts gut findet. Generell ist Länge eh immer besser als Komplexität.

  • Frage 1: Passwörter und Passwortsicherheit.


    Aktuell handhabe ich es so, das ich alle meine Passwörter über den Passwortgenerator von Datenschutz.org in der Grundeinstellung generiere, 32 Zeichen lang.

    Ich speichere diese in einer *.xlsx auf einem USB, welche wiederum mit einem Passwort geschützt ist. Diesen stecke ich nur an, wenn ich ein PW brauche.
    Das passiert recht selten, da ich 90% der Passwörter aus Bequemlichkeit in Chrome gespeichert habe (gut oder schlecht)?

    Ich würde dazu gerne eure Meinung hören, sowie eure Verbesserungsvorschläge. Was ist gut, was ist schlecht, wie könnte ich das ganze vereinfachen, oder noch sicherer machen?
    Ja, klar, theoretisch könnte ich alle auf Papier schreiben, aber irgendwie ist mir das dann doch zu viel...

    Also ich nehme schon seit Jahren das kostenlose Programm KeePass, welches so klein ist, dass es auch auf einem USB-Stick paßt. Es läuft sogar Plattformübergreifend auf Windows, Linux, MacOS und BSD.


    Mit diesem Programm kannst du auch deine Paßwörter ohne einem externen Dienstleister aus dem Internet generieren, welcher dir eventuell auch deine so generierten Paßwörter abgreifen könnte.


    Weiterhin kann bei Bedarf das Datenfile von KeePass (*.kdbx) über eine App mit Namen KeeWeb in Nextcloud auch geöffnet und genutzt werden.


    Das zwischenspeichern von Paßwörtern in irgendwelchen Anwendungen würde ich auf jeden Fall vermeiden.

  • Ich weiß, dass Passworttresore sehr gängig sind, aber ich persönlich nutze keinen davon.

    Ich speichere Passwörter auch nicht im Browser, sondern gebe sie immer und jedesmal ganz oldschool per Hand ein. :huh:

    In der Regel habe ich die sogar im Kopf. Man kann sich komplexe, sichere Passwörter auch so konstruieren, dass man sie sich merken kann. ;) (Insofern lasse ich die auch nicht generieren) Ich glaube nicht, dass man "schubididu4242#Mein*Kater+scheisst-Gold" knacken kann. ^^

    Falls ich es mal nicht weiß (bei den Zugängen, die ich selten nutze) habe ich eine verschlüsselte Liste (Und auch darin stehen die Passwörter nicht exakt, sondern nach einem einfachen Schema leicht verändert, aber für mich sofort erkennbar)

    Ich halte es also ganz ähnlich wie Bud und fahre gut damit. :)

  • +1 für KeePass. Nutze ich schon seit vielen Jahren.


    Viele hosten die KeePass-DB einfach in irgendeiner Cloud. Ich selbst hoste sie aber zuhause - benötige ich von unterwegs ein Passwort, verbind ich mich mit dem Handy einfach via VPN nach Hause und fertig.

  • Ich bin auch ein großer Freund von Bitwarden. Habe das ganze aber nicht Selfhosted - sondern lade mir einmal im Monat meinen Tresor als Backup herunter.


    Passwörter speichere ich generell nicht in Browsern oder sonst wo. Mein Bitwarden Tresor wird aufm Handy entweder mit Masterkey oder Fingerabdruck entsperrt, und aufm PC nur Masterkey.

  • als die Welt noch ein wenig 'analoger' war galt: die guten Passwörter findet man unter der Tischmatte und die schlechten kennt ohnehin jeder;


    mittlerweile gilt: die guten Passwörter sind so gut, dass sie bei der NSA sicher verwahrt sind,

    und die schlechten sind auf irgendwelchen Spickzetteln notiert; :D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Aktuell handhabe ich es so, das ich alle meine Passwörter über den Passwortgenerator von Datenschutz.org in der Grundeinstellung generiere, 32 Zeichen lang.

    Ich speichere diese in einer *.xlsx auf einem USB, welche wiederum mit einem Passwort geschützt ist. Diesen stecke ich nur an, wenn ich ein PW brauche.
    Das passiert recht selten, da ich 90% der Passwörter aus Bequemlichkeit in Chrome gespeichert habe (gut oder schlecht)?

    Ich verwende und empfehle einen dedizierten Passwortmanager, welcher auf verschiedenen Plattformen nutzbar ist (Desktop, Tablet, Smartphone), etwa KeePass2.

    (Es gibt Alternativen wie KeePassX o. ä., aber wichtig ist mir an dieser Stelle der Applikationstyp.)

    Vorteile sind etwa

    • die zugehörigen Plugins von dritter Seite, welche die Passwörter an einen Browser übermitteln, wenn die hinterlegte(n) URL mit der aktuell gemeldeten Adresse übereinstimmt/en, was Phishing-Angriffe in der Regel neutralisiert (wenn das Plugin die Login-Daten nicht herausrückt, wird man eben doch stutzig)
    • die zugehörige Funktionalität eines Passwortgenerators
    • die Tatsache, dass hier beliebige Anhänge für einen Eintrag möglich sind (etwa ELSTER-Zertifikate); man hat ebenfalls nur eine Datei, diese ist aber sicher verschlüsselt (das geht zwar mit einer .xlsx-Datei auch, aber weniger praktikabel)
    • man muss sich im optimalen Fall nur eine einzige sichere Passphrase merken (s.o.)
    • eine Sammlung von Passwörtern lässt sich relativ einfach zwischen verschiedenen Geräten synchronisieren, ohne auf irgendwelche (von Dritten betriebenen) Plattformen angewiesen zu sein, wenn die Dateikopien nicht parallel modifiziert werden (kann man als Einzelperson recht gut organisieren), beispielsweise mittels Syncthing

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Edited 2 times, last by m_ueberall ().

    Like 2
  • Ich verwende und empfehle einen dedizierten Passwortmanager,

    genau das meinte ich mit

    die guten Passwörter sind so gut, dass sie bei der NSA sicher verwahrt sind


    von daher hat das schon was, wie es Bud handhabt; ich mach es ähnlich mit dem Unterschied, dass ich keine Passwörter im Browser gespeichert habe,

    weil ich eher auf der Seite der schlechten Passwörter bin, die merkt man sich, und wenn nicht, hat man ein Backup und 2FA hier das Mittel der Wahl ist;

    wenn doch notwendig sind die bei mir einem OpenText-File mit etwaigen Zusatzinfos gespeichert;

    welchen ich als Passwortgeschützten PDF über meine eigene Nextcloud-Instanz am Phone habe;


    aRaphael hats ja gezeigt wie der Wahn ausufern kann :P

    (Das längste Thema)

    aber wenn es um Passwörter geht, welche f. Systeme, bei denen nach dem 3ten/4ten Versuch ohnehin Schluß ist,

    macht eine höhere Komplexität genau 0 Sinn - im Gegenteil, je wahrscheinlicher man es sich nicht merken kann, umso schlechter;


    od. hat sich schonmal jemand die Gedanken gemacht, dass die Wahrscheinlichkeit, dass der Nachbar/die Nachbarin den selben

    PIN bei der Bankkarte hat, gar nicht mal so niedrig ist ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited 2 times, last by mainziman ().

  • Mist, jetzt hab ich schlechtes Gewissen weil ich den Google PW Manager nutze :D

    VPS Secret • VPS 200 G8 • 4x VPS piko G11s • 2x RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 VIE

    c@compi.moe

    Like 1 Haha 1
  • Hallo,


    ich habe mich auch für Bitwarden/Vaultwareden entschieden.

    Bei meinen Überlegungen kam ich ziemlich schnelle zu der Erkenntnis, dass eine Cloudbasierte lösung für mich am praktischten wäre.

    Versuche mit Keepass Varianten und Nextcloud kamen da ziemlich bald für mich an Grenzen, die sich in meiner Konstellation so nicht überwinden liessen.

    ( Auf bestimmten Geräten bin ich auf bestimmte Keepass varianten angewiesen, leider funktioniert bei diesen varianten 2FA nicht identisch)

    Meinen Tresor habe ich zusätzlich zum Kennwort mit einem Yubikey abgesichert, so fühle ich mich auch in der Cloud einigermassen sicher.



    Gruß Eckhard

  • Noch eine Stimme für Bitwarden. Verwaltet bei mir 310 Accounts. (Ja, könnte ich mal aufräumen.)


    Wichtig ist ein vernünftiges Masterpasswort. Im Falle eines Datenabflusses, wie es ein großer Mitbewerber gerade erlebt hat, ist das MP das einzige, was zwischen dem Angreifer und den Accounts steht. Es darf also gerne lang sein.

  • Ich habe im Apple Ökosystem lange Zeit die Keychain von Apple genutzt. Seit dem Wechsel auf Chrome unter macOS bin ich jedoch auf 1Password umgestiegen.


    Ich habe zwar auch eine Lifetime Lizenz für Strongbox (ein Keepass-Client), habe jedoch den Wechsel bisher aus Gründen der Bequemlichkeit UND Gewohnheit nicht vollzogen :)

  • Erst mal vielen vielen Dank für die ganzen Antworten!

    Passwörter im Browser sind zwar sehr komfortabel, aber aus Sicherheitsaspekten bedenklich. Jeder mit lokalem Zugriff kann die in der Regel einfach so auslesen. Im Grunde kann man die dann auch gleich im Klartext in einer Textdatei speichern. Besser einen richtigen Passwort Manager nutzen und ein entsprechendes Browser Plugin installieren, welches die Passwörter einträgt.

    Aber ist ein Browser-Plugin denn dann nicht ähnlich anfällig wie das Chrome eigene Google-Profil?

    Also ich nehme schon seit Jahren das kostenlose Programm KeePass, welches so klein ist, dass es auch auf einem USB-Stick paßt. Es läuft sogar Plattformübergreifend auf Windows, Linux, MacOS und BSD.


    Mit diesem Programm kannst du auch deine Paßwörter ohne einem externen Dienstleister aus dem Internet generieren, welcher dir eventuell auch deine so generierten Paßwörter abgreifen könnte.


    Weiterhin kann bei Bedarf das Datenfile von KeePass (*.kdbx) über eine App mit Namen KeeWeb in Nextcloud auch geöffnet und genutzt werden.

    Geht das auch auf einer selbstgehosteten Nextcloud eines Webhostings?

    Ich las schon öfter das die Server verschiedener Chrome PW Manager geknackt wurden.

    Gut zu wissen...

    Ich nutze Bitwarden.

    Also KeePass und Bitwarden scheinen die zwei zu sein die hier am meisten empfohlen werden...

    als die Welt noch ein wenig 'analoger' war galt: die guten Passwörter findet man unter der Tischmatte und die schlechten kennt ohnehin jeder;

    Wenn du aus nostalgischen Gründen nochmal in diese Welt eintauchen willst, lade ich dich zu mir in die Arbeit ein ;)

    [RS] 2000 G9 | 1000 G8 | Cyber Quack

    [VPS] 2x 1000 G9 | 2x 200 G8 | 2x Secret | A | mikro G11s | 4x nano G11s
    [WH] 2x 8000 SE | 4000 SE | 2000 SE