Hallo,
angeregt durch den Beitrag "notgedrungene Namensänderung" von User MoneundFrank in dem genannt wird, dass durch einen PC-Crash alle gespeicherten Passwörter weg waren, möchte ich hier darlegen, wie ich das handhabe.
An anderer Stelle haben User ja schon manches beschrieben und zum Beispiel darauf verwiesen, dass der eigene Kopf immer noch der beste Passwortsafe sei.
Das ist sicher richtig, wenn es sich um vier bis fünf Passwörter handelt und diese noch ziemlich kurz sind. Aber sind das dann auch Passwörter?
Bei mir haben sich im Lauf der Zeit so etwa 70 - 80 Passwörter angesammelt beruflich und privat (Mailkonten eingerechnet). Die kann ich mir nicht alle merken, schon gar nicht, wenn ich - was ich für dringend notwendig halte - kein Passwort doppelt verwenden will. Also wie lösen?
Schlechte Lösungen: in eine Datei schreiben und speichern. Wer an den PC rankommt (oder an den USB-Stick, wenn man die Datei mitnehmen will), wie auch immer, hat auch die Passwörter.
Noch schlechter: Zettel, die irgendwo auf dem Schreibtisch herumliegen oder im Portemonnaie stecken (Unsere Portemonnaies sind mal in Frankreich auf einem Campingplatz nachts aus dem Wohnmobil geklaut worden).
Am allerschlechtesten: zu kurze Passwörter, die leicht erraten werden können.
Gut also: lang und kompliziert. So etwa: 9MvTaz]Qa7-z(yhZ,
Das hab ich gerade erfunden und auf Sicherheit testen lassen, in diesem Fall (weiß nicht genau, ob ich 'nen Link hier schon hinschreiben darf. Aber mit "passwort testen" beim Hern G....e bekommt man schnell zum Beispiel den Datenschutzbeauftragten der Schweiz.
Das Ergebnis:
Simulation eines Hybrid-Passwortcrackers:
Anzahl benötigte Versuche: 3'585'931'746'649'498'535'183'307'553'800'165
Eingabe Fragment aus Wortliste Restliche Zeichen
"9MvTaz]Qa7-z(yhZ," "Taz" 14 "9Mv" "]Qa7-z(yhZ,"
Ungefähre Zeit für Suche: 56'854'574'877'116'605 Jahr(e) (bei 2'000'000'000 Tests/Sekunde)
Das wäre ja wohl ausreichend. Aber wer merkt sich dieses Passwort (und alle vergleichbar guten)?
Eine klare Hilfe ist Keepass. Die Software ist Opensource, kostet nichts und wird von Freiwilligen entwickelt, die sich auch geggenseitig kontrollieren. So kann man sicher sein, dass kein Hersteller eine Hintertür eingebaut hat. Das Programm gibt es als Portableversion, d.h. man kann es ohne Installation auf einem USB-Stick mitnehmen.
Die Passwörter sind in einer Datei mit hohem Verschlüsselungsfaktor sehr gut gesichert. Der Haken (?): sicher ist das natürlich nur, wenn das Masterpasswort, um die Datei öffnen zu können, gut ist (s.o.).
Lange Zeit habe ich das so gemacht, benutze Keepass auch heute noch portable, da ich zur Betreuung unserer rund 45 Computer an der Schule sonst mit den notwendigen Daten überfordert wäre.
Zurück zum Masterpasswort: 9MvTaz]Qa7-z(yhZ, wäre ja klasse, aber das müsste ich mir tatsächlich merken und jedesmal eintippen, wenn ich die Passwortdatei brauche. Wer macht's? Ich nicht. Dafür aber so etwa (ich werde den Teufel tun und hier zutreffende Passwörter posten. Es ist nur ein Beispiel, auch kein sonderlich Gutes, aber das Prinzip wird klar): SwenP-hddna?
Passwortqualität (s.o.):
Simulation eines Hybrid-Passwortcrackers:
Anzahl benötigte Versuche: 4'067'763'557'844'735'528'012
Eingabe Fragment aus Wortliste Restliche Zeichen
"SwenP-hddna?" "Swen" 8 "P-hddna?"
Ungefähre Zeit für Suche: 64'494 Jahr(e) (bei 2'000'000'000 Tests/Sekunde)
Könnte ausreichend gut sein, geht aber auch viel besser.
Dieses Passwort kann ich mir gut merken: es ist nämlich der Satz "S chon w ieder e in n eues P asswort - h ört d as d enn n iemals a uf ?
Wenn ich so vorgehe, kann ich sehr, sehr gute Passwörter verwenden. Etwas umständlich ist dann nur noch die Eingabe in die entsprechenden Anmeldefelder. Aber auch das geht.
Viel bequemer wird das Ganze mit Lastpass. Aber da sind manche User misstrauisch und argumentieren, dass man dann die Daten einem fremden Anbieter überlässt.
Ich sehe das nicht so, denn lastpass versichert, dass die Daten auf dem lokalen PC verschlüsselt werden bevor diese bei Ihnen abgespeichert werden und also kein Hacker und auch kein Firmenmitarbeitere die Daten lesen kann. Bisher ist das auch von niemand widerlegt worden.
Wenn man Lastpass vertraut, hat man eine sehr bequeme Passwortverwaltung: auf jedem PC, auf dem man diese Browsererweiterung installieren kann (und darf), braucht man auch wieder nur ein Masterpasswort, um den eigenen "Tresor" zu öffnen. Statt die Seite, bei der ich mich anmelden will, jetzt aufzurufen und dort die Daten einzutragen, klicke ich den entsprechenden Eintrag im Tresor an. Lastpass ruft die Seite in einem neuen Tab auf und meldet mich an.
Bin gern bereit, auf Rückfragen zu antworten.
Wolfgang
- SOLAR FORUM
• - Login <-- oder -->
- kostenlos Anmelden •
- Reiseberichte •
- Wohnmobilstellplätze •
- Wohnmobildatenbank •
- Anzeigen-Markt •
- Menü •
Links zu ebay oder Amazon sind Werbelinks. Wenn Sie auf der Zielseite etwas kaufen, bekommen wir vom betreffenden Anbieter Provision. Es entstehen für Sie keine Nachteile beim Kauf oder Preis.
Sicherheit am Computer
|
Hallo Wolfgang, erst einmal vielen Dank für Deinen Beitrag über Passwortsicherheit. :top: Ich habe es mit Interesse gelesen und interessiere mich nun für KeePass. Auf --> Link gibt es 2 Versionen, Classic Edition und Professional Edition. Wo sind die Unterschiede und was kannst Du empfehlen? Ich habe mehrere Rechner(Windows und Linux), ein Smartphone und demnächst eventuell ein Tablet. Wie kann ich am geschicktesten alles automatisch synchronisieren? Irgendwo habe ich etwas über Dropbox gelesen, aber ist das wirklich sicher? Du scheinst Dich ja sehr intensiv in dieses Thema eingearbeitet zu haben und kannst sicher meine Zweifel verstehen. Einen Tipp habe ich auch noch: Sichert Euren Rechner regelmäßig, am besten erstellt ein ein Image vom PC ( z.B. mit Arcronis). Dann ist, egal was passiert, eine Wiederherstellung auf den letzten Stand immer wieder möglich. Michael Wenn ich meine Forenzugangsdaten vergessen habe, dann kann ich mir ja mein Passwort zuschicken lassen. Natürlich benötige ich hierzu mein Mailkennwort :lach: Das kann ich zur Not per Post, Telefon ect. von meinem Provider ändern lassen. Dauert halt alles etwas, aber es funktioniert. Ich habe einen Safestick und darauf eine Excelliste in der allen meinen beruflichen- bzw. Privaten Kennwörter, Zugänge, Mailkonten und Versicherungs-/Bankdaten hinterlegt sind. Zudem Scans von Bank- und Kreditkarten und der wichtigsten Dokumente wie Pass, Reisepass, Fahrzeugschein ect. Eine Kopie des Sticks liegt in meinem Safe. Das Kennwort der Sticks liegt in einem Umschlag inkl. Testament bzw. Patientenverfügung beim Notar meines Vertrauens.. Falls ich mal umfalle dürfte mein elektronisches Dasein relativ gut nachvollziehbar sein. peter
Was willst Du denn genau damit machen? Festplatte oder Dateien verschlüsseln?
Was willst Du denn syncronisieren? Ein Datei, mehrere Dateien, ganze Ordner, Festplatte, alls über alle Betriebssysteme?
Sehr guter Tipp der auch noch sowas von einfach funktioniert :ja: peter Michael
Hallo Michael, mache ich auch seit Jahren. Benötigte das nur einmal: als mir das Notebook kurz vor den Pyrenäen auf dem Cplatz durch Einbruch geklaut wurde. So. Und nun hatte ich einen Vistarechner und es gab -fast- nur noch Win7 Rechner in Neu. Habe doch noch einen Vistarechner ergattert. Was wäre aber gewesen, wenn ich einen Rechner nur in Win7 erhalten hätte mit allen dafür passenden Treibern und dann mein Vista-Acronis drübergestülpt hätte?? Zumindest viel Arbeit und ein evtl. unsauberes System. Leider ist also nicht alles immer so sicher, wie man meint. :) hallo, @Michael: ist eigentlich egal, in der Nutzung sind beide praktisch identisch. Die classic-Variante ist eine Version 1.xx, die prof. eine 2.xx. Unterscheiden tun sie sich in der internen Speicherung der Daten in erster Linie. Vergleichen kann man das auf deren Seite unter "Edition Comparison Table". Wenn du auf verschiedenen Rechnern die Anmeldedaten nutzen möchtest, ist meines Erachtens Lastpass unschlagbar. Ich bin im Umgang mit dem Internet nicht leichtsinnig, schon im Beruf - habe keine Lust, an > 40 Rechnern bei > 100 Usern ständig damit kämpfen zu müssen, also vorgesorgt. Zunächst war ich also auch mißtrauisch, meine Daten jemanden in den USA anzuvertrauen und habe gründlich in Fachkreisen recherchiert. Es stimmt wohl wirklich, dass die Daten noch auf meinem PC verschlüsselt werden. Ich weiß es zu schätzen, wenn ich auf drei Rechnern zuhause und allen in der Schule mich, wenn notwendig, leicht anmelden kann (bei Herstellern, Helplines usw.). Von Lastpass gibt es auch eine App für Android. Schönes Wochenende! Was für ein herrliches Wetter! Leider ohne Womo, das neue kommt erst im Frühjahr. Wolfgang Hallo, @Peter: es spricht überhaupt nichts dagegegn, so vorzugehen wie du das machst. Hauptsache ist doch, dass man sich der Notwendigkeit bewußt ist und die Sicherheit nicht schleifen lässt. An der Excelliste würde mich stören, dass zum Lesen dann eben auch an dem Rechner, an dem ich sie brauche, Excel bzw. eine excelfähige Software installiert sein muss. Wer das nur privat an wenigen Rechnern braucht, kann damit bestimmt ganz gut leben. In beiden Lösungen, die ich beschrieben habe, kann man auch sensible andere Daten ablegen (Kreditkartendaten, Pass-Nummern usw.), genauso verschlüsselt. Bei 'nem Stick muss ich halt aufpassen, dass der mir nicht mitgeklaut wird, sonst nützt er mir gar nichts. Wenn ich aber auf einem Polizeiposten im Nirgendwo, der Internetzugang hat, an den PC darf, habe ich auch alle meine Daten und kann sie verwenden. Noch was zur Verschlüsselung: Keepass kann keine Dateien, Ordner oder Festplatten verschlüsseln, es geht nur um Nutzerdaten. Das andere wäre eher ein Fall für Truecrypt. Ach ja, Image von Festplatte: für mich eine Selbstverständlichkeit. Wie sollte ich bei der minimalen Ermäßigung, die ich dafür bekomme, ohne so etwas die Menge an PC in der Schule adminstrieren? Wolfgang
Hallo Wolfgang, das ist jetzt total OT, aber dennoch: Deine Situation wird sich sicher nicht verbessern, wenn das Jahreskonto eingeführt werden wird, die neue Regelung bezüglich der MAU-Stunden greifen wird und andere nette Sächelchen mehr. Am 13.12. heißt es: Auf nach Stuttgart!!! Entschuldigt bitte alle den OT-Einwurf. Mit freundlichen n, Ottomar hallo, vor einige Zeit dachte ich, ich könnte auf meiner HP in einem -anderen Personen- unbekannten Verzeichnis für mich wichtige Daten speichern. Sodass ich im Schadensfall von jeder Polizeistation drauf zugreifen kann. Wenn keine HP-Seite drauf verweisst, dachte ich, sei das eine gute und sichere Möglichkeit. Geht natürlich auch mit Emailkonto, dachte halt, das sei einfacher. Ein "Spezialist" aus dem Bekanntenkreis hat dann mal in Minutenschnelle eine Software drüberlaufen lassen, die tatsächlich alle Daten aufspürte. Für mich immer noch unklar (es geht offenbar mit Pingmeldungen), wie der das so schnell schaffte. Also nur mal so nebenbei: sowas funzt nicht :D
Nö, der Stick ist bootfähig und bringt openSUSE und ein openOffice mit :wink: Hab überlegt jetzt auf Windows-to-go umzusteigen, aber in diesem Fall bleibe ich bei Opensource. Aber klar, einen PC benötigt man. peter Hallo Ottomar,
Dazu ebenso OT: wie erkennen wir uns dort? Ich bin dabei. Hoffentlich sind es so viele, dass wir gar keine Chance haben, uns zu erkennen. Ansonsten: ab August darf sich jemand anderes darum kümmern. Ich hab's dann hinter mir. Muss jetzt in den nächsten Tagen meinen Antrag stellen. Die Kinder sind jetzt alle versorgt, die 3,6% sollten verkraftbar sein. Im Frühjahr kommt das neue Womo. Wolfgang
Das hatten wir bei einer ähnlichen Diskussion hier schon durchgespielt. Dateien ohne Verweiss in einem Unterverzeichnis der Hompage abgelegt. Wurde ohne Probleme entdeckt. Klar kann man Dropbox oder ähnliches nehmen, wenn man denn dem Betreiber vertraut. Ich nutze Dropbox und verschlüssel mit Boxcryptor. peter
So was funzt tatsächlich nicht. Bei den meisten Providern kann man mit jedem popeligen FTP-Programm auf den kompletten Inhalt zugreifen (hängt halt auch hier mal wieder stark an der Passwortsicherheit). Wenn schon wichtige Daten online abrufbar sein sollen, dann lieber Onlinespeicher benutzen, vielleicht nicht gerade Dropbox dafür, es gibt auch anderen, eventuell ein paar wenige Teuronen investieren (z.B. Hidrive bei Strato). Aber wenn diese wichtigen Daten vor allem EC-/Kreditkartennummern/Pins, Ausweis-/Passnummern, KV-Daten usw. sind, also etwas, was man notieren kann, und auf die man im Bedarfs-/Notfall unterwegs zugreifen möchte: ich habe die als "Sichere Notiz" auch in Lastpass untergebracht. Wolfgang
Da muss ich Peter unbedingt recht geben. Nur verschlüsselt, ob mit Boxcryptor oder Truecrypt oder ... Hab' ich vergessen dazuzuschreiben. NB: deine Solo-Bootlösung ist schon große Klasse. Aber da ich in der Regel die Rechner im laufenden Betrieb administrieren muss, würde mir das meist nichts nützen. Ansonsten an fremden PC, die nicht von mir gewartet werden müssen, sondern die ich nur als Plattform brauche, natürlich schon. Wolfgang
Ich möchte meine Passwörter und Anmeldedaten damit verwalten und auf allen Geräten synchronisieren. Außerdem gibt es scheinbar gute Browser-Plugins welche die Anmeldung dann automatisch vornehmen können. Erfahrung habe ich damit noch nicht und bin über jeden Ratschlag dankbar. Wenn soll es auch professionell und absolut sicher in der Anwendung sein. Die im Browser gespeicherten Passwörter habe ich zwar auf meinem Netbook nochmal zusätzlich geschützt, aber eine wirklich sichere Speicherung in der Cloud (Online Speicher) wäre für alle Notfälle sicher die bessere Lösung. Michael
Wie gesagt, Dropbox in Verbindung mit Boxcryptor halte ich für sehr sicher :ja: peter
Hallo Michael, jetzt hast du dein Anliegen ja noch mal präzisiert. Und deshalb bin ich erst recht der Meinung, dass meine Vorschläge gut geeignet sind für diese Problemstellung. Wer seine Daten - auch wenn diese verschlüsselt sind - nicht aus der Hand geben mag, muss halt zu einer lokalen Lösung greifen, ob in eine eigene (Excel-)Liste geschrieben oder mit einem Passwortprogramm. Nur: eine Synchronisation der Daten ist auf diesem Weg nicht möglich, mir ist da nichts bekannt. Die einzige Möglichkeit ist, die verschlüsselte Datei mit den Anmeldedaten hin und her zu transportieren (oder diese und nur diese in Dropbox zu lagern - sofern sie tatsächlich mit einem sehr, sehr guten Kennwort geschützt ist - ) und sie von dort an den in Frage kommenden Computern zu nutzen. Kann ganz gut funktionieren so, aber für die "Synchronisation" ist man selbst zuständig: wenn man auf einem Gerät die Daten ändert, muss man selbst dafür sorgen, dass diese auch auf den anderen erneuert werden. Um das Gewünschte (identische Anmeldedaten auf allen Geräten) zu erreichen, bleibt wirklich nur ein browserbasierter Zugriff: wenn man sich bei Lastpass einloggt, entschlüsselt es auf dem PC, an dem man sitzt, die Daten (hierfür ist das Plugin notwendig und installiert. Meldet man sich ab, werden diese wieder im lokalen PC verschlüsselt und erst dann auf dem Lastpass-Server abgelegt. Dass das wirklich so zutrifft, davon gehe ich aus, soweit geht mein Vertrauen schon (es gibt sehr rührige Gruppierungen, die versucht haben herauszufinden, ob da manipuliert wird. Bisher wurde nichts gefunden). Übrigens: im Browser selbst, egal welcher, würde ich keine Passwörter speichern, das ist wirklich nicht sicher genug. Lastpass kann sie importieren - dann aber unbedingt löschen. Schönes Wochenende Wolfgang |
Anzeige
|
UMTS-Antennen