- 20 April 2006
- 22.680
- 1.315
Passwort-Verwaltungsprogramm? -
oder: Wie mache ich meinen Account sicherer?
...ein weiterer Thread aus der Serie "theHacker's Moralpredigten"
Ich hab mir schon zweimal überlegt, einen solchen Thread aufmachen. Nun tu ich das hiermit endlich.
Inhalt
Zuerst eine kurze Einleitung, für was dieser Thread überhaupt gut sein soll.
Als Moderator hat man ja den Einblick in das komplette Abuse-Privat-Forum und da findet man viele Threads, die nicht sein müssten. Um eine Sparte geht es hier:
Nämlich um gehackte Accounts, weil das Passwort nicht sicher ist. Doch nicht nur das. Viel mehr geht es um die Einstellung der User, die diese Threads überhaupt erst verschuldet hat.
Die Fälle
Alle nachfolgenden Zitate sind aus dem Abuse-Privat-Forum, also nicht wundern, wenn die Links alle nicht gehen Namen nenne ich natürlich bewusst keine.
Fall 1:
25.000.000 Lose verschwinden von einem klamm-Account. Es stellt sich heraus, dass die Lose manuell transferiert worden sind. Jemand hat sich also mit dem klamm-PW widerrechtlich in den Account eingeloggt.
Fall 2:
Ein User bestätigt ganz normal sein Bestätigungspopup, als ihm auffällt, dass sein klamm-Guthaben, welches am Vorabend noch über 8€ aufwies, plötzlich auf 0 steht.
Die Losetransaktionsliste gibt Aufschluss:
Die Ursachen
Was ist das Problem ?
Die Lösung
Wer kann sich all diese Passwörter merken ? Der User im ersten Fall hat es angesprochen, dass es nervig ist, lange Passwörter jedes Mal eingeben zu müssen.
Die Lösung für das alles: Passwort-Verwaltungsprogramme
Ich werde jetzt ein Programm kurz vorstellen, was ich uneingeschränkt empfehlen kann: KeePass Password Safe
Will ich hier Werbung für ein Produkt machen ? Nein ! Keepass ist open-source, d.h. es kostet nichts und der Nutzer profitiert davon, dass viele Leute an diesem Programm arbeiten.
Statt X verschiedene Passwörter, muss man sich ab sofort nur noch ein einziges Passwort merken. Mit diesem Master-PW werden alle Passwörter verschlüsselt abgespeichert.
Meldet man sich auf einer neuen Seite an, kreiert KeePass ein neues, sicheres Passwort. Zusammen mit dem PW kann man Name der Seite, URL, Benutzername, Notizen, eine Anlage und sogar ein Verfallsdatum (wann man an eine Änderung erinnert werden möchte) abspeichern.
Alle Passwörter sind übersichtlich in hierarchisch angeordneten Gruppen einsortiert. Eine Schnellsuche findet auch bei tausenden von Passwörter in wenigen Sekunden das richtige.
KeePass ist mit installierter Sprachdatei komplett in Deutsch.
Möchte man sich irgendwo einloggen, klickt man einfach das entsprechende Element an und wählt "Passwort kopieren (Strg+C)". Im Login-Formular fügt man mit Strg+V das Passwort ein. Und wenn es 60 Stellen sind, es sind genauso viele Knopfdrücker, wie bei einem Passwort mit nur einer Stelle.
Mehr kann ich nicht beschreiben, die Screenshots sollten einen Eindruck vermitteln:
https://keepass.sourceforge.net/screenshots.php
Mein Fazit von KeePass
Ich benutze KeePass nun schon seit über 2 Jahren. Früher hatte ich auf zig Seiten dasselbe Passwort. Ein einfaches Wort in lauter Kleinbuchstaben.
Hätte damals jemand das PW geknackt, hätte er praktisch überall sich einloggen können.
Jetzt fühle ich mich sicherer. Ich verwende Passwörter mit Sonderzeichen, die man nicht mal auf der Tastatur findet. Wer, der es es mit Raten probiert, kommt auf eine solche Idee ? Niemand.
Die Erinnerungsfunktion benutze ich zum Beispiel bei meinem klamm-Passwort. Ich ändere jeden Monat mindestens einmal das PW.
Mein Parade-Beispiel ist mein klamm-Passwort, was ich im Mai hatte:
(6F?òÙ»r;úó[£li¹¦Åṉm8dcèÚcÒ¦ï×
32 Stellen, lauter komische Zeichen; das kann niemand eintippen. Egal: auswählen, Strg+C, Strg+V, fertig.
Intention dieses Threads / Diskussionsgrundlage
Dieses Thema ist zwar allgemein brisant, ich hab mich aber entschieden, hier im klamm-Talk zu posten und gezielt am Beispiel klamm-Account zu argumentieren. Jedem sollte klar sein, dass es um jedes Passwort geht.
Ziel dieses Threads ist es, wenigstens ein paar User wachzurütteln und mal zum Nachdenken anzuregen, wie oft sie denn ihr klamm-Passwort schon im Internet stehen haben. Vielleicht steht es ja sogar auf der Nickpage und man muss es nur ablesen.
Nutzt ihr ein Passwort-Verwaltungsprogramm ?
Ja ? Benutzt ihr auch KeePass oder ein anderes Programm ? Was für Erfahrungen habt ihr gemacht ?
Nein ? Warum nicht ? Irgendwelche Risiken, die ihr denkt, das haben könnte ?
Wer jetzt noch kein Programm zum Verwalten seiner Passwörter hat, kann ich nur sagen: Probiert es aus ! KeePass kostet nichts. Ladet es herunter, installiert es und berichtet. Bleibt ihr dabei ? Oder nicht ? Warum nicht ?
Ich bin gespannt, ob ich ein paar Neulinge im Kreis derer mit sicheren Passwörtern begrüßen darf. So viel von mir.
Ich freue mich schon auf Kommentare, Meinungen und v.a. Erfahrungsberichte.
oder: Wie mache ich meinen Account sicherer?
...ein weiterer Thread aus der Serie "theHacker's Moralpredigten"
Ich hab mir schon zweimal überlegt, einen solchen Thread aufmachen. Nun tu ich das hiermit endlich.
Inhalt
- Einleitung
- Die Fälle
- Die Ursachen
- Die Lösung
- Mein Fazit von KeePass
- Intention dieses Threads / Diskussionsgrundlage
Zuerst eine kurze Einleitung, für was dieser Thread überhaupt gut sein soll.
Als Moderator hat man ja den Einblick in das komplette Abuse-Privat-Forum und da findet man viele Threads, die nicht sein müssten. Um eine Sparte geht es hier:
Nämlich um gehackte Accounts, weil das Passwort nicht sicher ist. Doch nicht nur das. Viel mehr geht es um die Einstellung der User, die diese Threads überhaupt erst verschuldet hat.
Die Fälle
Alle nachfolgenden Zitate sind aus dem Abuse-Privat-Forum, also nicht wundern, wenn die Links alle nicht gehen Namen nenne ich natürlich bewusst keine.
Fall 1:
25.000.000 Lose verschwinden von einem klamm-Account. Es stellt sich heraus, dass die Lose manuell transferiert worden sind. Jemand hat sich also mit dem klamm-PW widerrechtlich in den Account eingeloggt.
Quelle: https://www.klamm.de/forum/showpost.php?p=368770&postcount=16User schrieb:Passwort-Verwaltungs Programme? Nein, auf keinen Fall! Ich habe eigentlich ein paar "Haupt"-Passwörter, die ich auf Seiten verwende. Natürlich Priroritäten gesetzt
Ähm, nun ja, soo ein Passwort war das nun wirklich nicht, denn das nervt mich irgendwie, jedesmal so ein x-langes Passwort einzugeben.
Fall 2:
Ein User bestätigt ganz normal sein Bestätigungspopup, als ihm auffällt, dass sein klamm-Guthaben, welches am Vorabend noch über 8€ aufwies, plötzlich auf 0 steht.
Die Losetransaktionsliste gibt Aufschluss:
Auch hier war jemanden das klamm-Passwort bekannt.18.07.06 19:57:20 -86.134 klamm.de Lose geshreddert
18.07.06 19:57:02 +84.749 klamm.de Lose für € 8,47490 gekauft
Quelle: https://www.klamm.de/forum/showpost.php?p=371077&postcount=7User schrieb:PW-Generator ^^ Benutz ich nich.
Die Ursachen
Was ist das Problem ?
- Passwörter werden mehrmals verwendet (s. Fall 1: "Haupt"-Passwörter). Muss nur eine unseriöse Loseseite das Passwort benutzen und durchprobieren: klamm-Account, Mail-Account, ... drum niemals ein Passwort doppelt benutzen !
- Passwörter zu kurz oder zu einfach. Wenn ich als Passwort "alex" oder "280186" nehme, dürfte wohl mit Hilfe meiner Nickpage niemand ein Problem haben, dieses Passwort zu knacken. Passwörter sollen Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten, 8 Stellen sind mindestens zu empfehlen.
- Handelt nicht erst, wenn es zuspät ist, sondern jetzt !
Die Lösung
Wer kann sich all diese Passwörter merken ? Der User im ersten Fall hat es angesprochen, dass es nervig ist, lange Passwörter jedes Mal eingeben zu müssen.
Die Lösung für das alles: Passwort-Verwaltungsprogramme
Ich werde jetzt ein Programm kurz vorstellen, was ich uneingeschränkt empfehlen kann: KeePass Password Safe
Will ich hier Werbung für ein Produkt machen ? Nein ! Keepass ist open-source, d.h. es kostet nichts und der Nutzer profitiert davon, dass viele Leute an diesem Programm arbeiten.
Statt X verschiedene Passwörter, muss man sich ab sofort nur noch ein einziges Passwort merken. Mit diesem Master-PW werden alle Passwörter verschlüsselt abgespeichert.
Meldet man sich auf einer neuen Seite an, kreiert KeePass ein neues, sicheres Passwort. Zusammen mit dem PW kann man Name der Seite, URL, Benutzername, Notizen, eine Anlage und sogar ein Verfallsdatum (wann man an eine Änderung erinnert werden möchte) abspeichern.
Alle Passwörter sind übersichtlich in hierarchisch angeordneten Gruppen einsortiert. Eine Schnellsuche findet auch bei tausenden von Passwörter in wenigen Sekunden das richtige.
KeePass ist mit installierter Sprachdatei komplett in Deutsch.
Möchte man sich irgendwo einloggen, klickt man einfach das entsprechende Element an und wählt "Passwort kopieren (Strg+C)". Im Login-Formular fügt man mit Strg+V das Passwort ein. Und wenn es 60 Stellen sind, es sind genauso viele Knopfdrücker, wie bei einem Passwort mit nur einer Stelle.
Mehr kann ich nicht beschreiben, die Screenshots sollten einen Eindruck vermitteln:
https://keepass.sourceforge.net/screenshots.php
Mein Fazit von KeePass
Ich benutze KeePass nun schon seit über 2 Jahren. Früher hatte ich auf zig Seiten dasselbe Passwort. Ein einfaches Wort in lauter Kleinbuchstaben.
Hätte damals jemand das PW geknackt, hätte er praktisch überall sich einloggen können.
Jetzt fühle ich mich sicherer. Ich verwende Passwörter mit Sonderzeichen, die man nicht mal auf der Tastatur findet. Wer, der es es mit Raten probiert, kommt auf eine solche Idee ? Niemand.
Die Erinnerungsfunktion benutze ich zum Beispiel bei meinem klamm-Passwort. Ich ändere jeden Monat mindestens einmal das PW.
Mein Parade-Beispiel ist mein klamm-Passwort, was ich im Mai hatte:
(6F?òÙ»r;úó[£li¹¦Åṉm8dcèÚcÒ¦ï×
32 Stellen, lauter komische Zeichen; das kann niemand eintippen. Egal: auswählen, Strg+C, Strg+V, fertig.
Intention dieses Threads / Diskussionsgrundlage
Dieses Thema ist zwar allgemein brisant, ich hab mich aber entschieden, hier im klamm-Talk zu posten und gezielt am Beispiel klamm-Account zu argumentieren. Jedem sollte klar sein, dass es um jedes Passwort geht.
Ziel dieses Threads ist es, wenigstens ein paar User wachzurütteln und mal zum Nachdenken anzuregen, wie oft sie denn ihr klamm-Passwort schon im Internet stehen haben. Vielleicht steht es ja sogar auf der Nickpage und man muss es nur ablesen.
Nutzt ihr ein Passwort-Verwaltungsprogramm ?
Ja ? Benutzt ihr auch KeePass oder ein anderes Programm ? Was für Erfahrungen habt ihr gemacht ?
Nein ? Warum nicht ? Irgendwelche Risiken, die ihr denkt, das haben könnte ?
Wer jetzt noch kein Programm zum Verwalten seiner Passwörter hat, kann ich nur sagen: Probiert es aus ! KeePass kostet nichts. Ladet es herunter, installiert es und berichtet. Bleibt ihr dabei ? Oder nicht ? Warum nicht ?
Ich bin gespannt, ob ich ein paar Neulinge im Kreis derer mit sicheren Passwörtern begrüßen darf. So viel von mir.
Ich freue mich schon auf Kommentare, Meinungen und v.a. Erfahrungsberichte.