"Passwörter sicher und bequem" aus c't 18/2014

[Tommes]

Hat einer von euch den Artikel "Passwörter sicher und bequem" aus der c't 18/2014 gelesen?
Neben den allgemeinen Floskeln, über Aufbau, Länge und Komplexität eines Passwortes und wie man sich solche Passwörter merken kann bzw. diese in Passwortsafes ablegt, wurde ein für mich neues Vorgehen zur Generierung von individuellen Passwörtern angesprochen, welches ich wirklich interessant fand.

Man denkt sich ein "starkes" Master-Passwort aus welches dann zusammen mit dem Namen des Internetdienstes (eBay, Facebook etc.) kombiniert und auf diese Weise ein einmaliges Passwort errechnet wird. Der Vorteil ist, das das Passwort "angeblich" (ich drück mich hier mal vorsichtig aus) nirgendwo gespeichert wird, sondern jedes mal neu errechnet wird. Das Master-Passwort als solches wird auch nirgendwo gespeichert, schon garnicht in einer Cloud oder aber in der Datenbank des Internetdienste-Anbieters.

In dem Artikel wurde die App Master-Passwort genannt und verwendet. Wer mag kann sich das ja mal anschauen.

Ich fand diesen Ansatz ziemlich genial und wollte mal hören, was ich davon so haltet. Würde mich über eine angeregte Diskussion freuen.

Tommes

 

[Peter_Lehmann]

Hi Tommes,

Hat einer von euch den Artikel "Passwörter sicher und bequem" aus der c't 18/2014 gelesen?

ja klar doch. Wie jeden Freitag Nachmittag (und "früher" Samstag Nachmittag) ;-)

Diese neue Methode, PW zu generieren hat mir auch gut gefallen. Ich kann mich aber auch erinnern, dass es einmal für den Firefox ein Add-on gab, welches es in ähnlicher Art machte.
Das eigentliche Problem der heute (und schon sehr lange ...) üblichen Authentisierungsmethode ist aber, dass wir fast immer das "geheime" Passwort zumeist unverschlüsselt an den Provider schicken, und erst dort der Vergleich mit dem dort hinterlegten Passwort erfolgt. Und dabei hoffen wir, dass der Provider so vernünftig ist, und nicht etwa das Passwort, sondern nur seinen hoffentlich auch gesalteten Hasch speichert. Wir hoffen es, denn wissen können wir es nicht.
Und diese Art der Authentisierung ist einfach nur Sch****!

MfG Peter

 

[b1tchnow]

Meine Passwörter Folgen seit Jahren diesem Aufbau. Ich darf aber zugeben, das hab ich mir damals selbst überlegt.

Ich habe mehrere achtstellige kryptische Passwörter, die ich mir merke und auch beliebig kombiniere, wenn es ganz sicher sein soll.

Die Passwörter sind auch thematisch zugeordnet, d. h. eines für Foren, eines für Shops, etc.

Diese werden dann noch um Informationen des TLD ergänzt, z. B. für synology-forum.de sähe das Passwort dann so aus:

Kernpasswort: G)5rF30h
Ergänzung um TLD-Infos, z. B. die letzten drei Konsonanten hinten und die ersten drei Vokale vorne: oooG)5rF30hfrm

So kann man sich die Passwörter merken und sie sind trotzdem relativ lang und sicher.

Danke für den Hinweis auf den Artikel. Den werde ich meiner Freundin mitbringen, die noch relativ unsichere Passwörter hat.

 

[dani86]

Das hat die ct' schon vor ca. 1,5 Jahren mal geschrieben. Seitdem verwende ich eine solche Systematik auch. Kanns mir auch prima merken und habe so für jeden Onlinedienst ein eigenes Passwort, welches immer aus Groß-, Kleinbuchaben, Sonderzeichen und Zahlen besteht und auch immer eine gewisse Mindestlänge aufweißt.

Doofs wirds, dass es tatsächlich noch vereinzelt Dienste gibt, die keine Sonderzeichen akzeptieren, oder denen Paswörter tatsächlich zu lang sind. Dann muss man also leider von der Systematik abweichen.

Um einen anständigen PasswordSafe kommt man natürlich trotzdem nicht herum. Drum verwende ich für Dienste die ich höchst selten benötige und eh ausschließlich vom PC aus ansteuere immernoch ein vom PW-Generator generiertes Passwort.

Aber ist ne klasse Sache für die gängigen Dienste, die man recht häufig braucht. Einfach um auf Ebay, PayPal, Amazon, E-Mail und Co nicht überall das selbe Kennwort zu haben.

 

[Ameisentaetowierer]

Ich benutze ebenfalls seit Jahren eine ähnliche Technik.

Und damit ich wirklich nichts vergesse, werden die Passwörter mittels Passwordsafe (http://passwordsafe.sourceforge.net/) in der Wolke gespeichert.

 

[Frogman]

...
Diese werden dann noch um Informationen des TLD ergänzt, z. B. für synology-forum.de sähe das Passwort dann so aus:

Kernpasswort: G)5rF30h
Ergänzung um TLD-Infos, z. B. die letzten drei Konsonanten hinten und die ersten drei Vokale vorne: oooG)5rF30hfrm

Naja, grundsätzlich ist der Gedanke ja nicht neu, wie ja auch schon gesagt wurde.
Allerdings halte ich jede Systematik für die Erweiterung eines Basispassworts auch nicht unbedingt für das Gelbe vom Ei, selbst wenn der Dienstleister einen Hash verwendet. Es gibt reichlich Hash Cracker - und zwar nicht nur auf der guten Seite, sondern auch weniger empathische Genossen. Dabei interssieren die sich auch besonders für die Variationen aus einem Basispasswort mit individuellen und Regeln folgenden Ergänzungen, die sich aus Hashes ermitteln lassen. Dass die Dienstleister hier salzen, ist - wie Peter schon schrieb - der Idealzustand, doch leider keine Alltagsrealität. Und auch nicht jeder Salt ist ein guter...

Die Empfehlung übrigens von den Jungs der diesjährigen CMIYC-Gewinner hashcat: „Das einzig gute Passwort ist generiert, also gänzlich zufällig, hat mindestens 16 Zeichen und ist ein Mix aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen“.

 

[Tommes]

Naja, in dem Artikel geht es aber grade darum, eben keine Passwortsafes mehr zu verwenden und man sich eben nicht mehrere Passwörter merken muß, oder sich nicht aus einem Grundpasswort ein individuelles Passwort für jeden Internetdienst zu basteln.

Nach dieser Methode braucht man halt nur noch ein Passwort, sonst nichts. Es wird nirgendwo ein Passwort gespeichert sondern jedes mal neuberechnet. Und das finde ich das geniale daran.

Tommes

 

[b1tchnow]

Ich verwende noch nie einen Passwortsafe, weil ich finde, man wird so unflexibel. Wie soll ich mich dann auf einem anderen Rechner bei einem zufälligen 16-stelligen Passwort ohne Safe noch anmelden?


Hier kollidieren wieder Komfort und Sicherheit und alle wirklich wichtigen Services sind eh über 2-Wege-Authentifizierung oder TAN abgesichert.

 

[Frogman]

Naja, in dem Artikel geht es aber grade darum, eben keine Passwortsafes mehr zu verwenden und man sich eben nicht mehrere Passwörter merken muß, oder sich nicht aus einem Grundpasswort ein individuelles Passwort für jeden Internetdienst zu basteln.

Mein Einwand bezog sich auf den Post von b1tchnow (hab den Bezug nochmal ergänzt).

Zu dem verwendeten Tool: hier spielt natürlich immer auch die Implementierung eine Rolle - wenn dabei Schwächen auftreten, dann folgen auch die erzeugten Passwörter u.U. Regeln bzw. begrenzt das die Unumkehrbarkeit.

 

[Frogman]

Ich verwende noch nie einen Passwortsafe, weil ich finde, man wird so unflexibel. Wie soll ich mich dann auf einem anderen Rechner bei einem zufälligen 16-stelligen Passwort ohne Safe noch anmelden?

Aus diesem Grunde werden gute Passwordsafes wie bspw. KeePass ja auch für weitgehend alle Plattformen angeboten. Wenn Du also Dein Smartphone dabei hast, kannst Du Dich auch im Internetcafe anmelden - wenn es auch nicht mit einem Klick getan ist...

 

[dani86]

Aber meine Erfahrung zeigt eben, dass es gänzlich ohne PW-Safe nicht geht. Es gibt einfach in der Tat noch Dienste die die max. Anzahl der Zeichen beschränken oder gar Sonderzeichen nicht zulassen (glaube sogar GMail ist so einer?). Dann muss ich vom System abweichen und es wieder irgendwo "aufschreiben".

Ich halte es für keinen Ersatz. Denn ein PW-Safe (ich verwende KeePass) der nicht in irgendwelchen Clouds seine Daten speichert und mit einem sicheren Kennwort geschützt ist ist denke ich schon recht sicher (vorallem besser als die Notizen im Outlook, oder der Zettel unter der Tastatur) Und die aus dem Generator wirklich zufällig generierten Passwörter sind mit Sicherheit auch besser als ein, nach welchem System auch immer verändertes, Basispasswort.

Aber die Methode hier halte ich einfach für extrem gut für Dienste die man regelmäßig braucht (eBay, Amazon, E-Mail), das Passwort muss also merkbar sein. Und im Welten besser als ein und das selbe Passwort überall ist es allemal.

100% Sicherheit und die Eierlegende Wollmilchsau gibts aber auch hier nicht. Aber ich fühle mich mit meiner Kombination aus KeePass und für gewisse Dienste (die die ich eben unterwegs auch brauche) mit diesem "variablen Passwort" gut und sicher unterwegs.

 

[Tuvok42]

wenn es auch nicht mit einem Klick getan ist...

In dem genannten Artikel wird auch auf einen USB-Stick (Inputstick) hingewiesen, der dann diesen "Klick" ausführt. Ich habe mir mal einen bestellt; mal sehen was der taugt (für Keepass2Android gibt es ein entsprechendes Plugin).

Das Prinzip eines Passwortwechsels für den selben Dienst (weil das alte PW kompromitiert ist) mit den Seitenzähler (Site Counter) habe ich nun verstanden. In den entsprechenden Apps für Android (www.passwordmaker.org) und dem Firefox habe ich aber nichts gefunden. Wie kann ich dies dort lösen?

In dem Artikel wird erwähnt, dass der Entwickler von KeePass (oder war es KeePass2Android) bereits eine Vorabversion des Masterpasswortverfahren entwickelt hat, die man "über den Link am Ende des Artikels" erreichen kann. Leider führt dieser Link (www.ct.de/1418082) in eine Paywall. Wie kann man diese Vorabversion erreichen?

Edith sagt: Erst Links lesen, dann rechts Posten.

 

[Tommes]

Mein Einwand bezog sich auf den Post von b1tchnow (hab den Bezug nochmal ergänzt).

Meiner bezog sich auf den Post von dani86. Dein Post ist nur irgendwie dazwischen gerutscht. Warst wohl schneller als ich mit schreiben.

Aus diesem Grunde werden gute Passwordsafes wie bspw. KeePass ja auch für weitgehend alle Plattformen angeboten.

Ich verwende hier seit langem KeePass, wobei die Passwortdatenbank auf der DS liegt und ich in meinem LAN von überall drauf zugreifen kann... naja... bis auf meine iOS-Geräte! Sicherlich könnte ich die iOS-App Mini KeePass installieren, jedoch müßte ich dann über iTunes die KeePass-Datenbank von Hand rüberschieben, womit ich wieder zwei Datenbank-Kontainer pflegen muß. Wirklich komfortabel ist das also nicht und ich habe auch bisher auch keine "bezahlbare" App gefunden, die Plattformübergreifend arbeitet und ich die Datenbank auf meiner DS speichern kann.

Aber meine Erfahrung zeigt eben, dass es gänzlich ohne PW-Safe nicht geht. Es gibt einfach in der Tat noch Dienste die die max. Anzahl der Zeichen beschränken oder gar Sonderzeichen nicht zulassen (glaube sogar GMail ist so einer?). Dann muss ich vom System abweichen und es wieder irgendwo "aufschreiben".

Aber genau das kann diese Masterpasswortapp ja. Sie generiert Passwörter, so wie du sie brauchst so das du sie in den Internetdiensten nutzen kannst. Das macht diese App ja so genial, wie ich finde.

Auch ich werde wohl erstmal weiter mit KeePass meine Passwörter verwalten, jedoch werde ich den Ansatz mit dem Masterpasswort auf jedenfall mal ausgiebig testen und auf Alltagstauglichkeit hin prüfen. Man kann diese Masterpasswortapp wohl auch auf Windows, Mac etc. ausführen.

Tommes