Zum Inhalt springen

Passwortsicherheit


Empfohlene Beiträge

Hi zusammen,

wie handhabt ihr das eigentlich mit der Sicherheit Eurer Passwörter? Ich war eine Zeit lang hin und hergerissen. Soll ich einen Passwortsafe verwenden? Soll ich ein Passwort verwenden, das ich für jede Seite leicht abwandle und mir so gut merken kann?

Ich hab mich jetzt entschieden für jede Seite ein eigenes Passwort zu verwenden. Das ist ein zufallsgeneriertes Passwort aus 20 Zeichen mit Zahlen und Sonderzeichen.

Um das verwalten zu können bedarf es einen Passwortsafe. Das macht die Sache natürlich wieder ein Stück unsicher, weil man die Passwörter ja wieder irgendwie über das Netz synchronisiert haben will. Sonst wird es schnell unpraktisch, was dann wieder die Sicherheit reduziert.

Auf der anderen Seite kann man sich informieren, welchem Anbieter man vertrauen kann. Wichtig ist es meiner Ansicht nach, dass die Passwörter verschlüsselt auf den Servern des Passwordmanagers (oder sonstwo in der Cloud) landen, also von einem Angreifer nicht entschlüsselt werden können. Es gibt mittlerweile relativ viele solcher Lösungen. Ich verwende 1Password. 

Wie macht ihr das mit der Passwortsicherheit? 

Link zu diesem Kommentar
vor 22 Minuten schrieb Abd al Rahman:

Wie macht ihr das mit der Passwortsicherheit? 

Kein Safe oder Liste oder ähnliches, sondern eine Logik, die ich bereits seit Jahren verwende und im Kopf habe. Bisher habe ich nur Probleme mit Pin's gehabt (die bekomme ich ja meistens und vergebe sie nicht selbst), aber noch nie ein Passwort vergessen :lookaround:

  • Like 2
Link zu diesem Kommentar
vor 4 Minuten schrieb Leachlain ay Almhuin:

Kein Safe oder Liste oder ähnliches, sondern eine Logik, die ich bereits seit Jahren verwende und im Kopf habe. Bisher habe ich nur Probleme mit Pin's gehabt (die bekomme ich ja meistens und vergebe sie nicht selbst), aber noch nie ein Passwort vergessen :lookaround:

So ne Logik hatte ich auch. Im zuge der ganzen Hacks mit erbeuteten Passwortlisten wurde mir das aber zu unsicher. Eine Methodik die ich mir merken kann, finden auch Angreifer raus. 

Link zu diesem Kommentar
vor 31 Minuten schrieb Abd al Rahman:

Hi zusammen,

wie handhabt ihr das eigentlich mit der Sicherheit Eurer Passwörter? Ich war eine Zeit lang hin und hergerissen. Soll ich einen Passwortsafe verwenden? Soll ich ein Passwort verwenden, das ich für jede Seite leicht abwandle und mir so gut merken kann?

Ich hab mich jetzt entschieden für jede Seite ein eigenes Passwort zu verwenden. Das ist ein zufallsgeneriertes Passwort aus 20 Zeichen mit Zahlen und Sonderzeichen.

Um das verwalten zu können bedarf es einen Passwortsafe. Das macht die Sache natürlich wieder ein Stück unsicher, weil man die Passwörter ja wieder irgendwie über das Netz synchronisiert haben will. Sonst wird es schnell unpraktisch, was dann wieder die Sicherheit reduziert.

Auf der anderen Seite kann man sich informieren, welchem Anbieter man vertrauen kann. Wichtig ist es meiner Ansicht nach, dass die Passwörter verschlüsselt auf den Servern des Passwordmanagers (oder sonstwo in der Cloud) landen, also von einem Angreifer nicht entschlüsselt werden können. Es gibt mittlerweile relativ viele solcher Lösungen. Ich verwende 1Password. 

Wie macht ihr das mit der Passwortsicherheit? 

Ich nutze KeePass, die Daten sind da verschlüsselt und werden auch nur verschlüsselt in die Cloud übertragen. Zum entschlüsseln brauche ich meine Schlüsselkarte.

Link zu diesem Kommentar
Gerade eben schrieb Abd al Rahman:

So ne Logik hatte ich auch. Im zuge der ganzen Hacks mit erbeuteten Passwortlisten wurde mir das aber zu unsicher. Eine Methodik die ich mir merken kann, finden auch Angreifer raus. 

Da hilft letztlich nur ändern (und dann bitte nicht in berechenbaren Abständen ;) ). Nee, hast schon recht, alles was auf Logik aufgebaut ist, dessen Logik kann erkannt werden (ist ja auch der Ansatz, mit dem man Abenteurern "Rätsel" präsentiert).

Letztlich ist mir aber ein Password-Safe zu umständlich und daher muss ich wohl das Risiko eingehen :dunno: 

Link zu diesem Kommentar
vor 2 Stunden schrieb Leachlain ay Almhuin:

Kein Safe oder Liste oder ähnliches, sondern eine Logik, die ich bereits seit Jahren verwende und im Kopf habe. Bisher habe ich nur Probleme mit Pin's gehabt (die bekomme ich ja meistens und vergebe sie nicht selbst), aber noch nie ein Passwort vergessen :lookaround:

So mache ich das auch, wobei ich unterschiedlichen Mustern für Arbeit, Heim und (wichtigen) Webseiten folge. Und unterschiedliche Zugangsdaten nutze (e.g. email- Adressen, Konto- Namen) für unterschiedliche Zwecke sowieso.

In der Firma gibt es viel SSO, da muss ich mir nur das merken, was kein SSO bietet. Habe unterschiedliche technische Kontennamen (user id) für Validierung, Produktion, Entwicklung, Datenbanken, Umgebung, die allerdings einem Muster der "regular user" standard- userid folgen.

Das Kennwort für manche Seiten, wie z.B. das Forum, lasse ich sogar Google / Browser merken.

Für all die Webseiten, die "forgot your password" unterstützen, merke ich mir die Kennwörter gar nicht. Da fordere ich jedesmal die Änderung an, lasse mir von einem (online) Kennwortgenerator / RegEx ein komplexes (zufälliges) Kennwort erstellen, verwende das für die Neuvergabe und die einmalige Anmeldung auf der Webseite. Danach vergesse ich das nie gelernte Kennwort wieder, bis zum nächsten Aufruf der Seite.

 

Zum Glück kann ich mir das alles merken. Oft auch nur mit visueller Unterstützung, d.h. wenn ich nicht vor einer selten genutzen Maschine hocke, dann fällt mir das Kennwort dazu partout (z.B. am Telefon) nicht ein. Hocke ich vor der Kiste, weiß ich es plötzlich.

 

In der Firma verwenden viele Kollegen "KeePass Pro" für eigene Zwecke.

Für formale Zwecke, e.g. adminstrativen Zugriff auf ein System gibt es ein professionelles System, "Privileged Account Managemet System", welches "semiautomatisier geheime (einmal-) Systemkennwörter vergibt, das Verlangen nach und das Herausrücken des Kennworts regelt und protokolliert." Der Zugriff wird zwei mal im Jahr gesichtet, verglichen mit dem System- und Datenlog der ausgeführten Tätigkeiten. Wenn Administratoren ihren Job wechseln, dann kriegen sie keine Kennwörter mehr.

Bearbeitet von Lukarnam
Link zu diesem Kommentar

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online   0 Benutzer

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...