Gedanken zur Passwortverwaltung

Soeben habe ich einen Artikel zum Thema Passwort Cracking für das IT-Sicherheitsmagazin Hakin9 fertiggestellt. Dieser wird voraussichtlich in der nächsten Ausgabe zu lesen sein.

Dabei habe ich mir mal wieder einige Gedanken über mein eigenes Passwort-Management Gedanken gemacht, und gemerkt, dass ich mich selbst nicht an alle Empfehlungen wie regelmässiges Ändern von Passwörtern, unterschiedliche Passwörter für unterschiedliche Konten und Dienste und ähnliches halte.

Nun wollte ich mal in die Runde fragen wie ihr denn das so handhabt?

Benutzt ihr ein Tool wie zum Beispiel den Schlüsselbund von Gnome? Oder ist bei eurem Benutzerpasswort ein Ablaufdatum gesetzt? Ändert ihr eure Passwörter überhaupt noch?

Wählt folgend die Optionen aus, welche euren Passwortalltag am besten beschreiben (mehrere Antworten möglich):

[poll id=“9″]

Und wer noch mehr zu sagen hat, der kann alles auch in einem Kommentar beschreiben.

22 Kommentare bei „Gedanken zur Passwortverwaltung

  1. Hallo,

    ich verwende zwar überall unterschiedliche Passwörter und habe das auch in der Umfrage angegeben, aber das „Grundgerüst“ der Passwörter ist immer gleich. Ich tausche nur immer gewisse Zeichen (Klein-, Großbuchstaben, Sonderzeichen, Zahlen) aus.

    z.B.
    Mein Passwort fängt immer mit „muster“ an und darauf folgt dann eine willkürliche Anzahl von Klein-, Großbuchstaben, Sonderzeichen und/oder Zahlen. Dann wird aus „muster“ z.B. „musterABC+123-„

    1. +1,

      auch ich verwende überall verschiedene Passwörter, welche aber alle vom selben einfachen Muster (der selben Grammatik sozusagen) abgeleitet werden. Dadurch merke ich mir keine Passwörter (!!) sondern nur die relativ einfache Grammatik. Diese ist allerdings genügend komplex, dass auch mit zwei, drei veröffentlichen Passwörtern nicht so einfach die gesamte „Grammatik“ reverse-engineered werden kann… (hoffentlich 😉 ). Informatiker und Mathematiker nennen dieses Konzept auch „Einwegfunktion“ (de.wikipedia.org/wiki/Einwegfunktion).

      Früher hatte ich zB. auch den Ort eines Zeichens auf der Tastatur miteinbezogen, aber dies kann schnell problematisch werden, wenn zB. die Tastatur in einer anderen Sprache vorliegt, oder das Smartphone benutzt wird 🙂

  2. Die Passwörter häufig zu ändern, hat den Nachteil, dass die Verwaltung wesentlich komplizierter und fehleranfälliger wird.

    Und einen wirklichen Vorteil hat es auch nicht: Wenn jemand Deine Passwörter klaut, wird er wohl sofort zuschlagen wollen, und sie nicht auf Vorrat klauen.

    (Eine Ausnahme wäre wohl eine eifersüchtige Freundin, die die E-Mails mitliest. Das würde man dann wohl nicht merken. Aber dann hat man noch viel weiter reichende Probleme als Passwörter…)

    Oder sehe ich das falsch?

    1. Da muss ich dir recht geben, besonders bei z.B. eBanking. Aber ist es ein eMail-Konto oder Social-Network kann ich mir gut vorstellen, dass ein Angreifer immer mal wieder nach interessanten Dingen vorbei schaut, und da würde es dann helfen.

      1. Ich würde gerne mein Passwort beim eBanking ändern!
        Da ich KeePassX benutze mal schnell den Passwortgenerator
        angeworfen und 249 Bits gewählt, wer soll das Passwort knacken!
        Dann kam die Ernüchterung nur 5 Zahlen sind erlaubt, ja richtig gelesen
        z.B. 25683.
        Ich denke da kann ich wohl drauf verzichten das Passwort zu verändern!

    2. Im Falle eines WLAN-Access-Point ist es schon sehr sinnvoll, den Schlüssel regelmäßig zu ändern. Ein potenzieller Angreifer könnte hier den Traffic mitschneiden und dann zuhause auf seiner Rechenfarm versuchen, den Schlüssel herauszufinden. Durch einen neuen Schlüssel muss er wieder ganz von vorne anfangen…

      1. Kommt drauf an, wofür man das WLAN benützt. Gerade, wenn es viele Benützer gibt, ist ein häufiges Ändern des Schlüssels praktisch nicht möglich.

        Wenn es nur wenige oder einen Benützer gibt (privat), würde zwar das Ändern des Schlüssels Sinn machen, aber wozu sollte man das WLAN eingeschaltet lassen, wenn man es nicht braucht (das ist wohl die meiste Zeit)…

        Für WLAN gilt aber noch in höhrem Maße als für das LAN: Wichtige Daten überträgt man so oder so nur verschlüsselt (https, ssl, tls, vpn oder Anoymisierungs-Proxy mit Verschlüsselung)! Da sich hier die Schlüssel im Idealfall bei jedem Verbindungsaufbau ändern, kann der Hacker ruhig das WLAN hacken…

  3. Also ich verwende das Firefox Addon PwdHash (https://addons.mozilla.org/de/firefox/addon/1033/) welches mir für jede Seite aus einem Passwort und dem Seitennamen einen Hashwert erstellt und den automatisch als Passwort auf der Seite eingibt.

    Das hat den Vorteil das ich auf jeder Seite ein eigenes kryptisches Passwort benutze, mir aber nur eins merken muss. Das eine Passwort wird nie über das Internet übertragen, was stehlen unmöglich machen sollte. Und da die Hashwerte von dem Addon eingegeben werden, bin ich auch sicher gegenüber herkömmlichen Keyloggern. Die bekommen nur das Passwort welches ich nirgendwo verwende.

  4. Heute wurde mein Passwort lauten:

    IhgeKbB,Bam5cg,eim1.KidB.

    Zu Knacken?

    Zu Merken? ja.

    Der Satz heißt: Ich „Ich habe gerade einen Kommentar bei Bits, Bytes and my 5 cent geschrieben, es ist mein 1. Kommentar in diesem Block.“

    Hier jetzt jeweils der Anfangsbuchstabe und korrekt groß und klein geschrieben.

    SkmsePm

    So kann man sich ein Passwort gut merken.

    JO

  5. Unterschiedlich. Ich habe eine handvoll schwache Passwörter für Seiten, denen ich keine besondere Beachtung schenke (ala 1x Anmelden für Download oder sowas), etwas komplexere Passwörter für alltägliche Aufgaben (Mail, Foren, …) und dann ein Längeres für die Passwortverwaltung, welche dann wiederum die Logindaten für Onlineshops, eBay, … beherbergt. Hier lasse ich mir dann für jede der Seiten ein eigenes Passwort generieren. Die brauch ich nicht kennen, dafür hab ich ja die Verwaltung. Aktuell benutze ich dafür Keepassx.

  6. Ich verwende das Passwortprogramm KeepassX für die Verwaltung. Ich habe ein ca. 30-stelliges Masterpasswort und damit fühle ich mich schon ziemlich sicher ;-). Für die verschiedenen Dienste lasse ich mir immer Passwörter mit der maximal möglichen Länge generieren. Bei jedem Passwort ist eine Ablaufzeit von einem halben Jahr eingestellt, dann warnt mich Keepass. Bei den Sicherheitsfragen für diverse Onlinedienste erfinde ich auch immer etwas und schreibe es dann als Notiz in die DB.

    Die Datenbank wird 5mal redundant abgespeichert und auch ins Internet gesichert. Falls bei mir einmal alles schiefgeht und meine Bude restlos abfackelt, kann eine Vertrauensperson die Datei auch aus dem Internet herunterladen, sodass ich sie mir dann einfach nur holen muss. Für mobilen Zugriff hab ich die Datenbank auf einem USB-Stick mit einer portablen Keepassanwendung.

    Ich hatte noch nie irgendwie entfernt ein Problem mit unsicheren Passwörtern oder geknackten Accounts.

  7. Ich handhabe das ähnlich wie Seaman – mit dem Unterschied, dass die Zusätze zum „Stamm“ nicht willkürlich sind, sondern immer im Zusammenhang mit dem Kontext stehen. Und zwar so, dass es leicht zu merken ist bzw. leicht für mich nachzuvollziehen, wie das PW zustande kam.
    Also irgendwie dann doch so eine Art Tool, dass aber im Kopf steckt … 🙂

  8. Ich verwende für Foren und E-Mail-Konten jeweils den gleichen persönlichen Grundstock vorne und hinten, die Mitte bildet i. d. R. der Seitennamen.

    Und trotzdem kommt man immer wieder einmal durcheinander :-O

  9. Ich habe tatsächlich alle Passwörter im Kopf, allerdings weiss ich die nur wenn ich vor dem PC sitze und die Eingabemaske anschaue. Ein grösseres Redesign der Webseite hat mir da schon Probleme bereitet.

    Diese Fähigkeit habe ich ziemlich schnell in meiner Jugend an mir entdeckt und nutze sie seit da konsequent.

    Um meine Passwörter zu merken, merke ich mir in der Regel das Muster, das ich auf der Tastatur eintippen muss. Nur schon deshalb kann ich keine normalen Wörter verwenden.

    Natürlich habe auch ich Schwierigkeiten mit sehr selten benutzten Passwörtern. Für diese und für Müll Registrationen habe ich ein Standardpasswort.

    Passwörter wechsle ich dann wenn ich sie mal vergessen habe, kommt gelegentlich vor.

    Das Systempasswort, sollte ich mal wieder ändern.

  10. Ich verwende auch die Grundmuster + Zeichenkette Lösung. Nur die Zeichenketter erinnert mich an den jeweilgen Zeck der Passworts. Zum Beispiel die Internetseite oder ein besonders hervorstechendes Wort. So brauche ich mir nur das Grundgerüst merken.

    Zum Wlan Passwort: Welches Interesse hat den jemand meinen Netzwerkverkehr mitzuschneiden? Zum anderen ist das ein Passwort, welches ich nicht immer eingebe. So ist es dann zwischen 30 und 50 Zeichen lang und liegt notiert im Schrank. Da soll mal einer Knacken kommen. 😉

    lG
    Schumbi

    1. Das Knacken von WLAN-Passwörtern ist für einige eine Art Sport, nennt sich dann „Wardriving“. Und wieder andere knacken die Passwörter, um das WLAN für irgendwelche illegalen Aktivitäten zu verwenden, was dann auf einen selber zurückfallen kann. Darum halt ein einen sehr langen Schlüssel + WPA2 verwenden, wie du es ja bereits tust.

  11. Ich habe ebenfalls nur sehr wenige Passwörter im Kopf. Halt das was ich täglich überall benötigte.

    Den Rest verwalte ich mit KeePass. Da kann ich dann auch ohne Probleme sehr starke Passwörter verwenden die ich mir nicht merken muss.

  12. ich habe eine handvoll password“bausteine“, die ich kombiniere und hintereinander reihe. jeder pw-baustein ist generiert und mind. 6 zeichen lang. durch die kombination lassen sie sich leichter merken. aufgeschrieben sind sie nirgends

  13. Ich habe für alles ein eigenes Passwort. Jedes ist 25 Zeichen lang, besteht aus Zahlen, Buchstaben (Groß- und Kleinschreibung) und Sonderzeichen – alles wie blöde und zufällig gemixt. Blöd ist, dass manche Anwendungen solch lange Passwörter nicht annehmen – die sind dann eben jeweils kürzer.

    Verwaltet werden sie mit KeePass bzw., weil ich Linux nutze, mit KeePassX. Die Datenbank ist durch das Programm automatisch verschlüsselt (AES, Twofish oder was es da sonst noch zur Auswahl gibt). Ich muss mir also nur ein einziges PW merken: Das für die Passwortdatenbank.
    Alle Passwörter lasse ich auch, wenn sie erneuert werden oder generell neue dazu kommen, vonn KeePass erstellen (da ist ein PW-Generator drin).

    Da ich oft unterwegs bin habe ich die Datenbank, zusammen mit der Mobilversion von KeePass auf einem USB-Stick. Bisher hatte ich so keinerlei Probleme und die wenigen paar Klicks mehr sind die enorm erhöhte Sicherheit m.E.n. wert – auch, wenn das fast schon ein wenig paranoid anmutet 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.