Passwords

From Torben's Wiki

Password Hacks

Wichtige Grundlagen zu Passwörtern im Internet

Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months. — Clifford Stoll

Hier ein paar Gedanken zum Thema Passwörter im Internet, nachdem ich feststellen musste, dass meine Logindaten von 6 mittlerweile verschiedenen Webseiten geklaut und ins Netz gestellt worden sind.
(Online-Prüfung ob deine Logindaten im Netz kursieren https://haveibeenpwned.com)

Passwort Datenbanken von Webseiten werden regelmäßig geknackt und geklaut. Ein Passwort kann also noch so sicher sein, es besteht eine hohe Wahrscheinlich dass dies mit der Zeit in Kombination mit deiner E-Mail Adresse in die dunklen Seiten des Netzes wandert. Daher:

  • nicht das gleiche Passwort auf mehreren Seiten verwenden
    Insbesondere nicht die zu Diensten bei denen es um Geld geht (Bank, Ebay, Amazon, Bahn,...) und erst recht nicht das der E-Mail-Adresse, denn kennt man das kann man sich neue Passwörter zB für Amazon zusenden lassen...
    (siehe https://xkcd.com/792/)
  • Passwörter knacken wird üblicherweise über Wörterbuch Angriffe gemacht, also verwende besser welche die lang sind (zB 20 Zeichen) und die kein anderer verwendet. ZB ist HundeStrasseKeksMondLoetkolbenTorben vermutlich relativ sicher (siehe https://xkcd.com/936/) obwohl gut merkbar. Besser noch mit Tippfehlern, Zahlen und Sonderzeichen drin.
  • Trotzdem von Zeit zu Zeit (zB jährlich) Passwörter ändern da regelmäßig PasswortDB geklaut werden. (wie zB von LinkedIn, Dropbox , MySpace,... siehe https://haveibeenpwned.com)
  • zum Verwalten statt merken von langen sicheren Passwörtern kann ich ein Passworttool wie keepass2 empfehlen (https://keepass.info) denn ein sicheres aber vergessenes Passwort ist auch extrem blöde...
  • auf die meisten Passwortgeschützen Webdienste greife ich nur von meiner Hardware aus zu, daher ist es nicht notwendig, dass ich mir diese merke, sondern es reicht vollkommen wenn ich diese im Passworttool und ggf. im Browser speichere (hier natürlich durch ein Masterpasswort geschützt)
  • wo möglich sollte 2-Faktor-Authorisierung via SMS verwendet werden (zB bei Facebook, Dropbox, LinkedIn)
  • Zufallspasswörter kann man von hier oder von mir bekommen