Sicherer Umgang mit Passwörtern: aber wie?

#1 Wie / wo sollten Passwörter verwahrt werden?

Was ist die sicherste oder jedenfalls eine sichere und dennoch zugleich bequeme Methode seine eigenen Passwörter zu verwalten (damit sie nicht etwa von einem Schad-Programm, einem Trojaner ausgelesen und übermittelt werden können wie hier: http://board.protecus.de/t36980.htm#bottom)? Sollte man dafür vielleicht ein Programm benutzen wie einen Passwort-Manager oder kann man sie z.B. in einer txt- oder doc(x)-Datei notieren?

Die browser-eigene Passwortverwahrung-/ verwaltung nicht nutzen, was wohl recht unbequem wäre?

Besser ein Passwort für alles oder für jeden Zugang ein anderes Passwort?

Nette Grüße Dirk
__________
Win 11 22H2

#2 Also bevor du zu einer Text-, Word- oder Exceldatei als "Passwortzettel" zurück greifst, würde ich dir ganz stark zu einem Passwortmanager raten.

Persönlich könnte ich dir hier zu KeePass (http://keepass.info/download.html) raten. Ist Freeware und Open-Source und wird aktiv weiter entwickelt.

Bei Passwortmanagern musst du jedoch eines beachten: Ist das Master-Passwort des Managers kompromittiert, hast du quasi verloren und musst davon ausgehen, dass auch alle darin enthaltenen Passwörter bekannt sind. Da muss das Master-Passwort auch entsprechend sicher sein.

Komfort hat immer einen Preis.

Auch das "analoge" notieren auf irgendeinem Notizzettelchen ist nicht unbedingt empfehlenswert, da sowas natürlich immer gefunden werden kann.



Wirklich "sicher" ist eigentlich nur dein eigener Kopf. Wer jedoch versucht alle Passwörter im Kopf zu behalten, tendiert dazu einfache Passwörter zu vergeben bzw. für viele Dinge die gleichen Passwörter zu verwenden.



Merkhilfe für komplexe Passwörter sind Eselsbrücken und Merksätze:
"Ich aß gestern 3 Äpfel und 2 Bananen"
wäre beispielsweise eine Eselsbrücke für:
"Iag3Äu2B"

Ein komplexes Passwort, welches leicht zu merken ist.



Fazit: Teilweise musst du selber abwägen, ob du nun einen Passwortmanager nutzen möchtest, oder doch im Kopf behältst. Meiner Meinung nach, sind das jedenfalls die beiden einzig vertretbaren Methoden, alles andere ist zu unsicher.

Ich persönlich handhabe es so, dass ich den Großteil meiner Zugangsdaten mit KeePass von einem USB-Stick aus manage. Auch die Datenbank liegt darauf und so habe ich die Dinge immer bei mir.

Auf diese Weise verwalte ich allerdings nur "unkritische" Zugänge. Ich kategorisiere hier für mich persönlich immer, wie schlimm es wäre, wenn der Zugang verloren ginge oder komrpomittiert würde. Bankzugänge usw. landen dort daher nicht und bleiben im Kopf!

So muss ich mir nur noch die wirklich wichtigen Dinge merken und habe für alles andere den bequemen Komfort eines Managers
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 Vielen Dank für die schnelle, ausführliche Antwort, Malkesh,

und danke für die Programm-Empfehlung; macht einen guten Eindruck das Programm, probiere gerade die 1.x-Version aus, frage mich, ob ich lieber 2.x nutzen sollte. Bestimmt könnte man später noch wechseln zur anderen Version. Ob man die portable oder installierte Version nutzt, ist wohl egal, da gibt es in Qualität / Funktionsumfang bestimmt keinen Unterschied.

Die Verwaltung der Passwörter in Browsern ist wohl extrem risikoreich, habe ich den Eindruck (und leider wohl auch die Erfahrung)...aber komisch, benutzt denn ein Programm wie "KeePass" eine bessere / andere Verschlüsselung oder warum könnte es sonst sicherer sein? Und vor allem liegt ja für jeden der Quelltext offen, also auch für die Malware-Schreiber.

Werde dann also wohl alle Passwörter und Nutzernamen in Firefox löschen (nachdem ich sie vielleicht habe importieren können nach KeePass, falls es so eine Funktion gibt). Hoffentlich kann man sich mit KeePass dann genauso bei Websites anmelden wie mit Firefox, also so, daß Name und Passwort automatisch vorgegeben werden, das wäre super.

Ja, gute Idee die Merkhilfe, werde ich nutzen. Muß mich jetzt im Nachzug der Panik wirklich umstellen auf eine sichere Passwortverwaltung.

Vielen Dank, nochmals. Nette Grüße Dirk
__________
Win 11 22H2

#4 Wenn man geowned ist, ist kein Passwort mehr sicher, das ist nun mal so.
Es ist nur eine Frage der Zeit und des Wissens des Remote-Admin.

Zitat

So muss ich mir nur noch die wirklich wichtigen Dinge merken und habe für alles andere den bequemen Komfort eines Managers

Tja, vielleicht reicht für die wichtigen Dinge dann ein Keylogger (es gibt auch Keylogger, die bei jedem Mausklick einen Screenshot machen.)

Ich nutze deshalb so einen "Passwortzettel", weil es letztlich egal ist, wenn man geowned wäre.

Dirk, beschäftige Dich lieber mit PC-Sicherheit und nicht mit möglicher Schadensbegrenzung falls Du nochmal einen uneingeladenen Gast auf dem PC hast.
__________
darknight, die wo anders Heike ist.

#5 Vielen Dank Heike.

Zitat

Dirk, beschäftige Dich lieber mit PC-Sicherheit und nicht mit möglicher Schadensbegrenzung falls Du nochmal einen uneingeladenen Gast auf dem PC hast.

Ja, ich dachte eigentlich, mein Rechner wäre zumindest in gewisser Weise "sicher", da ich ja AntiVir, SpyBot und ZoneAlarm verwende, wüßte momentan gar nicht, was ich noch tun könnte, um den PC sicherer zu machen (außer natürlich die Passwörter besser zu verwalten, bzw. auch andere Daten, allerdings, wüßte ich da nicht, wie).

Zitat

Wenn man geowned ist, ist kein Passwort mehr sicher, das ist nun mal so.
Es ist nur eine Frage der Zeit und des Wissens des Remote-Admin.

"Geowned" heißt, von jemanden (der als Remote-Admin bezeichnet wird) an einem anderen Ort wurde Kontrolle über den eigenen PC übernommen?

Zitat

Tja, vielleicht reicht für die wichtigen Dinge dann ein Keylogger (es gibt auch Keylogger, die bei jedem Mausklick einen Screenshot machen.)

Du meinst, mit dem der Fremde die Passwörter, Benutzernamen für seinen Gebrauch loggen könnte, so daß ein Passwort-Manager oder andere Verfahren zur Geheimhaltung somit ohnehin von weniger oder gar geringer Bedeutung wären?

Nette Grüße Dirk
__________
Win 11 22H2

#6 Ein Passwort-Manager ist eben in erster Linie ein Hilfsmittel zu Aufbewahrung von Zugangsdaten, kein Schutz vor Keyloggern.

Zwar bieten diese Programme auch gerne die Funktion an mit einem verschlüsselten Zwischenspeicher zu arbeiten, doch auf einer verseuchten Kiste würde ich das dennoch nicht unbedingt ausprobieren wollen.

Sobald man den Verdacht auf Malware auf einem Rechner hat, sollte man dort also extrem vorsichtig sein, was Zugänge angeht. Egal wie man diese nun im Browser oder sonst wo eingibt (ob der Copy & Paste oder manuell).
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7

Zitat

Biffle postete
"Geowned" heißt, von jemanden (der als Remote-Admin bezeichnet wird) an einem anderen Ort wurde Kontrolle über den eigenen PC übernommen?

Ja, das heißt es.

Schutzprogramme machen einen PC nicht wirklich sicherer, das Risiko für den PC sitzt 50 cm vor dem Monitor.

Sieh Deine "Schutzprogramme" nicht als Schutz an, sondern lediglich als Hilfsmittel.
Spybot halte ich persönlich für vollkommen überflüssig, es ist mittlerweile alt und war aus meiner Sicht noch nie wirklich gut.
ZoneAlarm als Firewall mag ich persönlich nicht (ich nutze eh keine Firewall). Vielleicht siehst Du Dir mal Outpost an, die Log-Funktion bei Outpost gefällt mir ganz gut. Natürlich muß man sich mit seiner Firewall beschäftigen um das ganze Potential des Programms nutzen zu können. "Installieren, vergessen, aber zu 100% geschützt sein" ist eben nur ein Wunschtraum.
Dasselbe gilt auch für ein AntiVirus-Programm. Hier würde ich wohl Kasperski benutzen (auf meinem PC läuft auch kein AV-Programm), die Einstellungsmöglichkeiten sind doch sehr vielfältig und bieten, bei entsprechender Konfiguration, sicherlich einen guten Schutz.

Kein PC ist zu 100% sicher, das muß man akzeptiern, ein Restrisiko besteht immer. Versuche Dir Wissen auf diesem Gebiet anzueignen, um so das Restrisiko möglichst klein zu halten.
__________
darknight, die wo anders Heike ist.

#8 Hallo Heike,

ja, das verstehe ich, daß es keine 100%ige Sicherheit gibt, das Restrisiko maximal möglich zu minimieren würde mir ja schon (zwangsläufig) genügen, damit eben nicht so etwas passieren kann wie gestern. Allerdings dachte ich ja, durch benannte "Sicherheits"-Programme wenigstens eine Sicherheit zu haben, die gerade einen derartig extremen Eingriff verhindern würde. Davon, daß derartige Schädlinge trotz dieser "Sicherheits"-Programme derartig gravierendes überhaupt tun können, war ich eigentlich weniger ausgegangen.

Muß also erst einmal noch Passwörter ändern aus aktuellem Anlaß / zur Schadensbegrenzung. Die einzige Möglichkeit viele Passwörter zu verwalten, ist da wohl eben ein Passwort-Manager. Hatte auch schon überlegt, ein einziges Passwort, das ich mir nach Malkeshs Technik merke und nirgendwo notiere für alles zu verwenden, also anstelle aller meiner ca. 100 Passwörter zu verwenden, das wäre in der Handhabung recht einfach, aber das ist wohl hinsichtlich der Sicherheit auch nicht so gut...

Nette Grüße Dirk
__________
Win 11 22H2

#9 Du hast es richtig erkannt, nur ein einzigstes Passwort ist überhaupt nicht gut.

Es werden auch schon mal Foren geowned, dann ist es sehr wahrscheinlich, dass auch alle Passwörter der Mitglieder bekannt sind.

Ich nutze um Passwörter zu generieren: Webmaster Password Generator, gefällt mir sehr gut. Sich 100 Passwörter zu überlegen ist ja ne ganze Arbeit.

Ich wünsche Dir einen schönen Sonntag und einen allzeit "sauberen" PC.

Viele Grüße, Heike
__________
darknight, die wo anders Heike ist.

#10 Vielen Dank auch für den Link, Heike,

gut, nicht nur ein einziges Passwort verwenden.

Da fällt mir gerade noch ein, man dürfte ja Anfragen von Websites / Foren wie "Bei jedem Besuch automatisch anmelden?" oder "Angemeldet bleiben" etc. nie mit "ja" beantworten, denn dann würden ja auch wieder Passwörter im PC (Cookies?) offensichtlich gespeichert und abgreifbar (auch wenn sie verschlüsselt wären). Dann müßte man ja überhaupt dafür sorgen Passwörter nie außerhalb des Managers zu speichern / speichern zu lassen, was den Komfort ja nicht unerheblich beeinträchtigt wie mir scheint.

Vielen Dank, nochmals. Wünsche auch Dir einen schönen Sonntag und allzeit geheime Passwörter.

Nette Grüße Dirk
__________
Win 11 22H2

#11 Eine Sache wäre vielleicht ein guter Kompromis zwischen Sicherheit und Bequemlichkeit.

Wenn Du andere Browser als den IE benutzt, könntest Du den Browser nicht installieren, sondern die portable Version nutzen, die eigentlich für den USB-Stick gedacht ist.

Gesetzt den Fall Du bist mit einem Trojaner infiziert, meist ist dann nur ein Klick erforderlich, um Deine gespeicherten Passwörter zu erhalten, dabei geht der Trojaner aber von dem üblichen Speicherort der Passwörter bei einer normalen Installation aus. Bei einem anderen Speicherort funktioniert es nicht mit dem einen Klick, also hättest Du etwas Zeit gewonnen um den Trojaner vielleicht zu bemerken, bevor etwas passiert.
__________
darknight, die wo anders Heike ist.

#12 Hallo Heike,

guter Gedanke, einige meiner Profile von Firefox, den ich benutze, sind auf einer anderen Festplatte gespeichert, würde aber vermuten, wenn der Trojanische Gaul oder wer auch immer nicht ganz doof ist wird er (dem Firefox-Pfad folgend) die Passwörter auch dort finden und wenn er sie ohnehin sammelt über einen Zeitraum, wohl auch alle kriegen. Aber Du hast natürlich recht, falls man ihn rechtzeitig bemerken würde, könnte man bestimmt besser / schneller gegenwirken.

Irgendwo hin muß, bzw. sollte man ja grundsätzlich auch Backups machen, so daß ja mindestens ein zweiter Speicherort für die Passwörter vorhanden sein würde / müßte (wenn man sie ganz verlöre...uff); die Datensicherung wäre hierbei auch etwas unbequemer wohl.

Vielen Dank. Nette Grüße Dirk
__________
Win 11 22H2