Passwords

From Torben's Wiki
Jump to navigationJump to search

Ein paar Gedanken zum Thema Passwörter.

Inspiriert von der Feststellung, dass bereits 6 meiner Passwörtern von verschiedenen Webseiten geklaut und ins Netz gestellt worden sind.
(siehe https://haveibeenpwned.com )

Fazit: Passwort Datenbanken von Webseiten werden regelmäßig geknackt und geklaut. Ein Passwort kann also noch so sicher sein, es besteht eine hohe Wahrscheinlich, dass dies mit der Zeit in Kombination mit deiner E-Mail Adresse in die dunklen Seiten des Netzes wandert.

Alternativ zu meiner Meinung hier eine Zusammenfassung der CT: Sicherheits-Checkliste Passwörter

Tipps

  • Nie das gleiche Passwort auf mehreren Webseiten/Apps verwenden um den Schaden zu begrenzen
    (siehe https://xkcd.com/792/)
    • Insbesondere gilt dies für Diensten bei denen es um Geld geht (Bank, Shopping, eBay, Amazon, Bahn, ...) oder um persönliche Daten (Google, Apple, Microsoft)
    • Erst recht nicht das der E-Mail-Adresse, denn über diese kann man andere Passwörter zurücksetzen lassen
  • Passwörter knacken/raten wird üblicherweise über Wörterbuch-Angriffe gemacht. Schlechte Beispiele sind
    • Worte die im Wörterbuch stehen (Blumentopf)
    • Passwörter die anderen Leute auch verwenden (Passwort123)
    • Datum (Geburtstag)
  • Gute Passwörter 1 (merkbar)
    • Lang (zB. 20 Zeichen)
    • Nicht im Wörterbuch
    • Gerne zusammengesetzte wie HundeStrasseKeksMondLoetkolbenTorben da so trotzdem noch merkbar
    • Gerne noch mit Tippfehlern, Zahlen und Sonderzeichen darin, aber die Länge ist wichtiger (siehe https://xkcd.com/936/)
  • Gute Passwörter 2 (zufallsgeneriert)
    • Auf die allermeisten passwortgeschützen Webdienste/Apps greife ich nur von meiner Hardware aus zu
    • Das Passwort muss ich oft nur einmalig pro Gerät eingeben, dort wird es gespeichert
    • Daher ist es meist gar nicht notwendig ein merkbares Passwörter zu wählen
    • Stattdessen kann man getrost 20-stellige Zufallszeichenfolgen verwenden
    • Gute Zufallspasswörter kann man von random.org oder von mir bekommen
  • Verwalten/Speichern von Passwörtern
    • Zum Verwalten von zufallsgenerierten Passwörtern sollte man ein Passworttool wie KeePass/KeePass2 oder MacPass verwenden
      (denn ein sicheres aber vergessenes Passwort ist auch blöde...)
    • Passwörter die im Browser gespeichert werden, sollten mit einem Masterpasswort geschützt werden, da sonst jeder der an dem Rechner sitzt in die Passwortdatenbank des Browsers schauen kann.
  • Übertragen von Passwörtern auf die Geräte
    • zB. Copy und Paste über einen Dienst der auf allen Geräten erreichbar ist. zB Word Dokument in der Cloud
    • Aber: nicht dazu schreiben wofür diese Zeichenkette/Passwort ist (also nur das Passwort, nicht den Benutzernamen/E-Mail/Webseite)
    • Ein zusätzliches Zufallszeichen einfügen
    • Nach dem Kopieren auf das Zielgerät, direkt wieder aus der Cloud löschen
  • Wo möglich sollte 2-Faktor-Authorisierung via SMS oder E-Mail verwendet werden
  • Trotzdem von Zeit zu Zeit (zB. jährlich) Passwörter ändern da regelmäßig durch Sicherheitslücken die Benutzerdatenbanken von Webseiten geklaut werden. (wie zB. passiert bei LinkedIn, Facebook, Dropbox,... siehe https://haveibeenpwned.com)

Kluge Sprüche

Treat your password like your toothbrush. Don't let anybody else use it, and get a new one every six months. — Clifford Stoll