Passwort-Verwaltungsprogramm? - oder: Wie mache ich meinen Account sicherer?

[theHacker]

Passwort-Verwaltungsprogramm? -
oder: Wie mache ich meinen Account sicherer?
...ein weiterer Thread aus der Serie "theHacker's Moralpredigten"


Ich hab mir schon zweimal überlegt, einen solchen Thread aufmachen. Nun tu ich das hiermit endlich.


Inhalt

• Einleitung
• Die Fälle
• Die Ursachen
• Die Lösung
• Mein Fazit von KeePass
• Intention dieses Threads / Diskussionsgrundlage

Einleitung

Zuerst eine kurze Einleitung, für was dieser Thread überhaupt gut sein soll.
Als Moderator hat man ja den Einblick in das komplette Abuse-Privat-Forum und da findet man viele Threads, die nicht sein müssten. Um eine Sparte geht es hier:
Nämlich um gehackte Accounts, weil das Passwort nicht sicher ist. Doch nicht nur das. Viel mehr geht es um die Einstellung der User, die diese Threads überhaupt erst verschuldet hat.


Die Fälle

Alle nachfolgenden Zitate sind aus dem Abuse-Privat-Forum, also nicht wundern, wenn die Links alle nicht gehen Namen nenne ich natürlich bewusst keine.

Fall 1:
25.000.000 Lose verschwinden von einem klamm-Account. Es stellt sich heraus, dass die Lose manuell transferiert worden sind. Jemand hat sich also mit dem klamm-PW widerrechtlich in den Account eingeloggt.

Passwort-Verwaltungs Programme? Nein, auf keinen Fall! Ich habe eigentlich ein paar "Haupt"-Passwörter, die ich auf Seiten verwende. Natürlich Priroritäten gesetzt
Ähm, nun ja, soo ein Passwort war das nun wirklich nicht, denn das nervt mich irgendwie, jedesmal so ein x-langes Passwort einzugeben.

Quelle: https://www.klamm.de/forum/showpost.php?p=368770&postcount=16

Fall 2:
Ein User bestätigt ganz normal sein Bestätigungspopup, als ihm auffällt, dass sein klamm-Guthaben, welches am Vorabend noch über 8€ aufwies, plötzlich auf 0 steht.
Die Losetransaktionsliste gibt Aufschluss:

18.07.06 19:57:20 -86.134 klamm.de Lose geshreddert
18.07.06 19:57:02 +84.749 klamm.de Lose für € 8,47490 gekauft

Auch hier war jemanden das klamm-Passwort bekannt.

PW-Generator ^^ Benutz ich nich.

Quelle: https://www.klamm.de/forum/showpost.php?p=371077&postcount=7


Die Ursachen

Was ist das Problem ?

• Passwörter werden mehrmals verwendet (s. Fall 1: "Haupt"-Passwörter). Muss nur eine unseriöse Loseseite das Passwort benutzen und durchprobieren: klamm-Account, Mail-Account, ... drum niemals ein Passwort doppelt benutzen !

• Passwörter zu kurz oder zu einfach. Wenn ich als Passwort "alex" oder "280186" nehme, dürfte wohl mit Hilfe meiner Nickpage niemand ein Problem haben, dieses Passwort zu knacken. Passwörter sollen Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten, 8 Stellen sind mindestens zu empfehlen.

• Handelt nicht erst, wenn es zuspät ist, sondern jetzt !

Die Lösung

Wer kann sich all diese Passwörter merken ? Der User im ersten Fall hat es angesprochen, dass es nervig ist, lange Passwörter jedes Mal eingeben zu müssen.
Die Lösung für das alles: Passwort-Verwaltungsprogramme

Ich werde jetzt ein Programm kurz vorstellen, was ich uneingeschränkt empfehlen kann: KeePass Password Safe
Will ich hier Werbung für ein Produkt machen ? Nein ! Keepass ist open-source, d.h. es kostet nichts und der Nutzer profitiert davon, dass viele Leute an diesem Programm arbeiten.

Statt X verschiedene Passwörter, muss man sich ab sofort nur noch ein einziges Passwort merken. Mit diesem Master-PW werden alle Passwörter verschlüsselt abgespeichert.

Meldet man sich auf einer neuen Seite an, kreiert KeePass ein neues, sicheres Passwort. Zusammen mit dem PW kann man Name der Seite, URL, Benutzername, Notizen, eine Anlage und sogar ein Verfallsdatum (wann man an eine Änderung erinnert werden möchte) abspeichern.
Alle Passwörter sind übersichtlich in hierarchisch angeordneten Gruppen einsortiert. Eine Schnellsuche findet auch bei tausenden von Passwörter in wenigen Sekunden das richtige.
KeePass ist mit installierter Sprachdatei komplett in Deutsch.

Möchte man sich irgendwo einloggen, klickt man einfach das entsprechende Element an und wählt "Passwort kopieren (Strg+C)". Im Login-Formular fügt man mit Strg+V das Passwort ein. Und wenn es 60 Stellen sind, es sind genauso viele Knopfdrücker, wie bei einem Passwort mit nur einer Stelle.

Mehr kann ich nicht beschreiben, die Screenshots sollten einen Eindruck vermitteln:
https://keepass.sourceforge.net/screenshots.php


Mein Fazit von KeePass

Ich benutze KeePass nun schon seit über 2 Jahren. Früher hatte ich auf zig Seiten dasselbe Passwort. Ein einfaches Wort in lauter Kleinbuchstaben.
Hätte damals jemand das PW geknackt, hätte er praktisch überall sich einloggen können.
Jetzt fühle ich mich sicherer. Ich verwende Passwörter mit Sonderzeichen, die man nicht mal auf der Tastatur findet. Wer, der es es mit Raten probiert, kommt auf eine solche Idee ? Niemand.
Die Erinnerungsfunktion benutze ich zum Beispiel bei meinem klamm-Passwort. Ich ändere jeden Monat mindestens einmal das PW.

Mein Parade-Beispiel ist mein klamm-Passwort, was ich im Mai hatte:
(6F?òÙ»r;úó[£li¹¦Åṉm8dcèÚcÒ¦ï×
32 Stellen, lauter komische Zeichen; das kann niemand eintippen. Egal: auswählen, Strg+C, Strg+V, fertig.


Intention dieses Threads / Diskussionsgrundlage

Dieses Thema ist zwar allgemein brisant, ich hab mich aber entschieden, hier im klamm-Talk zu posten und gezielt am Beispiel klamm-Account zu argumentieren. Jedem sollte klar sein, dass es um jedes Passwort geht.

Ziel dieses Threads ist es, wenigstens ein paar User wachzurütteln und mal zum Nachdenken anzuregen, wie oft sie denn ihr klamm-Passwort schon im Internet stehen haben. Vielleicht steht es ja sogar auf der Nickpage und man muss es nur ablesen.

Nutzt ihr ein Passwort-Verwaltungsprogramm ?
Ja ? Benutzt ihr auch KeePass oder ein anderes Programm ? Was für Erfahrungen habt ihr gemacht ?
Nein ? Warum nicht ? Irgendwelche Risiken, die ihr denkt, das haben könnte ?

Wer jetzt noch kein Programm zum Verwalten seiner Passwörter hat, kann ich nur sagen: Probiert es aus ! KeePass kostet nichts. Ladet es herunter, installiert es und berichtet. Bleibt ihr dabei ? Oder nicht ? Warum nicht ?
Ich bin gespannt, ob ich ein paar Neulinge im Kreis derer mit sicheren Passwörtern begrüßen darf. So viel von mir.


Ich freue mich schon auf Kommentare, Meinungen und v.a. Erfahrungsberichte.

 

[TeVator]

Meldet man sich auf einer neuen Seite an, kreiert KeePass ein neues, sicheres Passwort. Zusammen mit dem PW kann man Name der Seite, URL, Benutzername, Notizen, einer Anlage und sogar ein Verfallsdatum (wann man an eine Änderung erinnert werden möchte) abspeichern.
Alle Passwörter sind übersichtlich in hierarchisch angeordneten Gruppen einsortiert. Eine Schnellsuche findet auch bei tausenden von Passwörter in wenigen Sekunden das richtige.

Ein weiteres Programm, das genau das auch alles kann (bis auf das Verfallsdatum) ist PasswortTresor. Ich benutze das schon bestimmt über 3 Jahre und bin super zufrieden damit. Klein, einfach und übersichtlich

edit:
Screens gibt es hier.

Mfg
TeVator

 

[DelphiKing]

weißsch, hacker, ich hab mir deinen post mal zu herzen genommen und mir innen ***** getreten.. und werd nu bissl sicherere passwörter nehmen - und dein prog.
davor warn sie zwar net wie in den von dir geschilderten fällen doof-schlecht, aber 16stellige sonderzeichenpasswörter haben schon style.

 

[flashas]

Was für mich gegen solche Verwaltungstools spricht: Bei diversen Sachen loggt man sich auch mal aus der Arbeit, aus der Schule, von einem beliebigen anderen PC aus ein. Dann hat man seine PWs nicht zur Hand. Auch muss ja deshalb die Passwortdatenbank gesichert werden, wenn man nicht bei 'nem Crash ohne Accounts dastehen will. In gewisser Weise ist es ein Widerspruch: "Verwende nicht immer das selbe Passwort" und dann macht man alle PW's von einem Masterpw abhängig. Kommt jmd an das PW-File der Verwaltungssoftware - mit etwas Social-Engeneering durchaus machbar - dann dürfte auch BF einfacher aussehen, denn lokal lässt sich das einiges schneller knacken als über das Internet und wird damit viel realistischer.
Deshalb sind unterschiedliche Passwörter dennoch sehr wichtig. Aber zB als ich aus'm Urlaub kam, Muaha hat ich da Angst, als mir eines der Hauptpasswörter für den PC nicht mehr eingefallen ist Oder allgemein frag ich mich, was bei einem Blackout dann ist, muss man sich von den Daten verabschieden

Achja, eines der wichtigsten Passwörter ist glaube ich das Mailpw. Es ist quasi der zentrale verundbare Punkt, da man die meisten Passwörter so ändern oder erhalten kann.

edit: Toll, was manche Mods für Quellen posten -.- ^^

 

[Wanderfalke]

Ich nutze auch schon seit einigen Jahren Passwort Tresor und kann die Aussage von TeVator nur bestätigen.
Bin zufrieden mit dem Teil, werde aber dennoch Dein Programm mal Testweise ausprobieren, vielleicht ist es ja noch besser.

 

[Smaz]

Ehrlich gesagt hab ich da noch nicht sehr viel drüber nachgedacht. Ich hab bis heute ~5 Passwörter benutzt, alle nicht wirklich sicher. Bei mir wurde aber auch noch nichts gehackt, wahrscheinlich braucht man erst so eine Erfahrung um darüber wirklich nachzudenken. Aber da meine Passwörter mittlerweile nicht nur noch für irgendwelche sowieso unsinnigen Sachen eingesetzt werden, teste ich nun mal Keepass.
Allerdings ist das wirklich ein bisschen blöde, weil man ja unterwegs nicht auf die Passwörter (v.a. für Emails) zugreifen kann. Da muss ich dann wohl doch auf ein selbst konzipiertes und merkbares Passwort zurückgreifen, oder?

 

[DelphiKing]

Man könnte auch immer das Programm auf nem USB-Stick dabei haben...aber wie ich mich kenne hab ich ihn immer genau dann net dabei, wenn ich ihn brauch.

@th: läuft das prog aufm usbstick?

 

[Djdjrjf8e]

Grundsätzlich ist die Verwendung von PAsswort-Verwaltungsprogrammen auf jeden Fall zu empfehlen, da ich selber über 3 Jahre mit CMS-Systemen gearbeitet habe und diese auch bei Kunden installiert und Projekte damit entwickelt habe , ist mir die Problematik nur zu gut bekannt.

Leider gibt es mind. 4 Probleme die eine Verwendung solcher Programme erschweren bzw. unmöglich machen.

• Nur lokal verwendbar:
  Leider sind die mir bekannten Programme nur lokal anwendbar und haben von grottig schlechter (nicht vorhandener) bis sehr guter Verschlüsselung der gespeicherten Passwörter meist auch eine entsprechende Usability / Benutzbarkeit.
  Grundproblem ist hier einfach das die gespeicherten PWs nicht universell zur Verfügung stehen.
  
  
• Webserver / Webseiten, die Sonderzeichen im PW / Benutzernamen nicht erlauben o. verarbeiten können:
  Diese Problem tritt häufiger auf als man denkt, auch sehr gut besuchte Seiten / Foren sind schlecht programmiert, was die Akzeptanz von Sonderzeichen in Benutzernamen/PW's angeht, die von theHacker (hehe richtig geschrieben *gg*) angesprochene Kombination aA-zZ+0-9+Sonderzeichen ist einfach dringend zu empfehlen.
  Leider steht vor diesem Vorsatz einfach irgentwelche Vorgaben, dass nur Zeichen von aA-zZ und 0-9 verwendet werden dürfen, meist geht dies einher mit einer Einschränkung der zulässigen Anzahl an zuverwendenden Zeichen´.
  Ist mal diese Hürde überwunden, tritt manchmal das Problem auf, das zwar Sonderzeichen eingegeben werden können, aber wiederum nicht vom System richtig abgespeichert bzw. übertragen werden.
  Auch hier oft die Ursache von mangelndem Wissen seitens des Programmierers / Webseitenbetreibers oder auch Hosters, der die Shared-Server seiner Kunden mit einer 0815-Konfiguration fährt, um nur ja keinen individuellen Aufwand treiben zu müssen. Wieso sollte dieser auch, bei der heutigen Geiz-ist-Geil-Mentalität und Monats-Pauschalen die den Preis ihres Abdrucks im Prospekt schon nicht mehr reinholen... aber das ist noch eine andere Geschichte...
  
• Betriebsystem-Eingeschränktheit:
  Tja und das ist auch oft der Knackpunkt, das die Programme meist nur für ein Betriebsystem ausgelegt sind, oder was noch problematischer ist einen Austausch der entsprechenden PWDaten-Container-Dateien nicht unterstützen.

Was bleibt?

- Programm auf USB-Stick installieren (wenn möglich)
- PW-Daten-Datei auf USB-Stick / Diskette mitschleppen
- zentral gespeicherte PW-Container mit SSL verschlüsselung (zentraler Webdienst)

Ich preferiere eigentlich die letzte Möglichkeit, leider ist mir ausser Passport / Windows-Live-ID leider kein Dienst bekannt, der dies ansatzweise auch nur unterstützt. Bei Passport sind leider (gottseidank) sehr viele Webseiten-Betreiber wieder abgesprungen, da die Daten dort auch nicht sicher waren..
Was wiederum ein Manko darstellt, das Vertrauen in einen zentralen Dienst der seine PW verwaltet.

Gruß,

jiw

 

[wintermute]

Problem: Arbeiten an verschiedenen Rechnern.
Und die haben teilweise nicht mal nen USB-Anschluss, so daß ich die Passwörter auch nicht auf nem Stick mitnehmen kann. Und nu?

 

[b_kannter]

Ich habe vor ewigen Zeiten mal einen Tresor benutzt. Dann ist mir der PC gecrashed, und ich stand mit einem langen Gesicht da. Deswegen bei so einem Programm für mich Voraussetzung, dass man nach jeder Änderung eine Exportierung in ein sicheres Format machen kann.
Geht das in diesem Fall, theHacker?? In der Featurelist steht nur der Export drin.
Und so Sachen wie Postfach etc. wo ich von unterwegs dran muss, gibt es dann so verteufelte Sachen wie Zettel im Portmonnee oder Handy-Kontakt, aber es lässt sich ja nicht anders regeln. Immer noch sicherer als immer das gleiche.

 

[theHacker]

Oder allgemein frag ich mich, was bei einem Blackout dann ist, muss man sich von den Daten verabschieden

Wie mir neulich die Platte abgeraucht is, hatte ich schon Bammel, weil KeePass mit auf dieser Partition lag. Ich hatte allerdings eine 2 Wochen alte Sicherung der Datenbank und musste außer dem klamm-PW nichts nachtraglich zuschicken lassen und wiedereintragen.
Mit KeePass sind alle Passwörter verschlüsselt einer Datenbank gesichert. Diese besteht auch nur einer Datei, die man einfach irgendwohin kopiert.

@th: läuft das prog aufm usbstick?

KeePass ist unabhängig von einer Installation. D.h. du kannst theoretisch und praktisch das gesamte Programm mitsamt Datenbank auf eine Diskette (912 kB für Programm, Datenbank mit bei mir atm 155 Passwörter, deutsche Sprachdatei, Hilfedatei und Lizenzdatei) oder einen USB-Stick hauen.

Webserver / Webseiten, die Sonderzeichen im PW / Benutzernamen nicht erlauben o. verarbeiten können:

Ja, ein großes Problem. Mein Lose-Passwort besteht auch nur 12 alphanumerischen Zeichen, weil ich schon mehrmals die Sicherheit runterreduzieren musste, weil Billigseiten zum dumm sind, richtig zu programmieren, bzw. die Passwortlänge einschränken, was ich überhaupt nicht verstehen kann. Die speichern doch eh alle Passwörter als MD5-Hash mit VARCHAR(32) ab, da is die Originallänge egal

Betriebsystem-Eingeschränktheit

KeePass selbst ist nur für Windows geschrieben. Da es allerdings ein Open-Source-Projekt ist, haben sich Entwickler für Alternativplattformen wie Linux, Mac und PPC gefunden. Um eine Kompatibilität der Datenbank-Datei zwischen den verschiedenen Version zu gewährleisten, muss man afaik eine etwas ältere KeePass-Version verwenden, aber grundsätzlich dürfte es funktionieren.

Was bleibt? [...]
- zentral gespeicherte PW-Container mit SSL verschlüsselung (zentraler Webdienst)

Ich preferiere eigentlich [obige] Möglichkeit, leider ist mir ausser Passport / Windows-Live-ID leider kein Dienst bekannt, der dies ansatzweise auch nur unterstützt. Bei Passport sind leider (gottseidank) sehr viele Webseiten-Betreiber wieder abgesprungen, da die Daten dort auch nicht sicher waren..
Was wiederum ein Manko darstellt, das Vertrauen in einen zentralen Dienst der seine PW verwaltet.

Ich würde niemals alle meine Passwörter einer Webseite anvertrauen ...und schon gar nicht Microchrott

Deswegen bei so einem Programm für mich Voraussetzung, dass man nach jeder Änderung eine Exportierung in ein sicheres Format machen kann.
Geht das in diesem Fall, theHacker?? In der Featurelist steht nur der Export drin.

Wie oben schon erwähnt, ist die sicherste Variante, einfach die Datenbank-Datei zu sichern. Dort ist alles noch verschlüsselt.
Export-Möglichkeiten hast du in TXT, HTML, XML und CSV.

Afaik ist nur XML geeignet, einen vollständigen Export (auch mit einer Dateianlage im Datensatz) durchzuführen. Die anderen sind nur geeignet, wenn du schnell mal Passwörter auf nen anderen Rechner oder so ziehen willst. Im Grunde kannst du dann aber gleich das komplette Programm mit verschlüsselter Datenbank kopieren.
Ich habe z.B. eine Kopie des KeePass-Verzeichnisses auf meinen Windows98-Rechner.

P.S. Lukas, mach endlich vB 3.6 klar, ich will endlich multi-quoten

 

[MasterCoder]

Da ich oft an anderen PCs arbeite an denen ich nicht mal einen usb stick anschließen kann kommt für mich das Programm nicht in Frage. Die einzige möglichkeit wäre ein Verwaltungsprogramm das ich über ein Webinterface steuern kann, allerdings ist mir das zu riskant wenn da jemand an das masterpasswort kommt. Ich habe 5 Passwörter die ich abwechseln auf allen Seiten verwende, aber mich zu hacken bringt eh nichts
Nur bei ebay verwende ich ein alleiniges 12stelliges Passwort das ich auch regelmäßig ändere.

 

[Goldstein]

Hab bisher auch nur einige verschiedene pw (wortzahlwort) benutzt und werde jetzt auch mal dein PW verwaltungs prog testen.

Bisher habe ich zuhause aber auch sehr die PW-Speicherungsfunktion vom Firefox genutzt. Wie sicher ist diese? Würde es sichere PW's ad absurdum führen sie im Firefox auch zu speichern? (PC ist vor unbefugtem lokalem Zugriff sicher)

LG Goldstein

 

[b_kannter]

Bisher habe ich zuhause aber auch sehr die PW-Speicherungsfunktion vom Firefox genutzt. Wie sicher ist diese?

Naja, du kannst die die PW im FF ja sogar real anzeigen lassen. Wie schwer oder einfach das übers Netz ist, weiß ich nicht, aber drauf vertrauen???

 

[flashas]

Naja, du kannst die die PW im FF ja sogar real anzeigen lassen. Wie schwer oder einfach das übers Netz ist, weiß ich nicht, aber drauf vertrauen???

Stichwort Masterpasswort, dann sind sie auch verschlüsselt. Aber einen Browser als Passwortverwaltung? Es gibt allerdings auch Extensions die aus der jeweiligen Url einer Seite und einem Masterpw ein PW generieren.

 

[theHacker]

Ich habe 5 Passwörter die ich abwechseln auf allen Seiten verwende, [...]

Naja, genau solche Leute wie dich wollte ich mit diesem Thread ansprechen.

Da ich oft an anderen PCs arbeite an denen ich nicht mal einen usb stick anschließen kann kommt für mich das Programm nicht in Frage.

Und Diskette ?

Bisher habe ich zuhause aber auch sehr die PW-Speicherungsfunktion vom Firefox genutzt. Wie sicher ist diese? Würde es sichere PW's ad absurdum führen sie im Firefox auch zu speichern? (PC ist vor unbefugtem lokalem Zugriff sicher)

Naja, Firefox is für Speichern von PWs für Webseiten ausgelegt. Keine Zusatzinfos etc.
So sicher wie mit einem richtigen Programm, was ausschließlich dafür ausgelegt is, ist Firefox sicher nicht.

 

[flashas]

Und Diskette ?

Welcher halbwegs normale Mensch nimmt überall hin seine Passwort-Diskette mit? Desweiteren mind. täglich ein Backup, denn der böse Magnet könnte alles vernichten

 

[theHacker]

Welcher halbwegs normale Mensch nimmt überall hin seine Passwort-Diskette mit?

Zu Zeiten, wo das 5,25"-Laufwerk noch populärer war, war ich froh über ne 3,5"er mit 1,44MB, auf der ich meine Daten mitnehmen konnte

Desweiteren mind. täglich ein Backup, denn der böse Magnet könnte alles vernichten

Ich hab bis jetzt noch nie auch nur ein Byte verloren. Du musst die Diskette ja nicht gleich mitm Magnet an den Computer kleben

 

[United98]

Ich hab mir nen USB Stick mit Fingerabdruckscanner geholt. Der hat ein Passwortverwaltungssystem mit eingebaut.. Sobald du ihn in den PC steckst, hast du nen normalen 1 GB Stick... Wenn du dich zusätzlich mit dem richtigen Fingerabdruck authentifizierst startet er noch ein zweites 1GB laufwerk auf dem deine "sicheren" Daten sind und den Passwort Manager.. Sobald du ihn abziehst, löscht das Programm aufm Stick noch sämtliche Spuren deiner PW's vom PC und beendet sich dann...

Und das alles kann man für knapp 60 € haben ;o)

Jetzt such ich ma eben den Link *g*

Edit: https://shop.transcend.de/product/product_memory.asp?Cid=108&indexnum=5

is sogar grad ne Aktion und günstiger seh ich grad *grummel*

 

[Mani]

Dann bin ich doch ein sehr schlechter User.
Ich habe für alle Internetseiten das gleiche (kein Name oder so, sondern ein Code), ausser Klamm, dort ein eigenes und Losepasswort auch ein eigenes.
Für Adminzugänge jeweils ein Code mit KleinBuschstaben und Grossbuchstaben.