Jaja, Heartblöd. Also Passwörter ändern. Das sollte man ja eh öfter machen und jedes Passwort sollte anders sein, weil die Kombination Mail + PW schnell mal geknackt wird. Und wenn man ehrlich ist, das nutzt man ja doch ein PW und eine Mailadresse für all die Seiten, bei denen man denkt: „Ach, nicht so wichtig.“ Oder man nimmt halt gerade das Übliche PW für eine Seite und denkt: „Das ändere ich dann mal später.“ Und im Grunde schleppt man so fünf bis acht Varianten des PWs mit sich rum. Wie unsicher das ist, habe ich selber mal erfahren, als mein Twitter Password, das jetzt auch nicht so einfach war, gehackt wurde.
Was bisher geschah
Ganz, ganz früher hatte ich nur ein Passwort. Das war toll, aber ich kannte noch keine Wordlists. Als Ende der 90er mir mal jemand zeigte, was man mit einer Wordlist und einem BruteForce-Programm anstellen kann, habe ich dann ein paar mehr genommen. Bisher hatte ich 12 oder 15 verschiedene PWs, von denen es wiederum weitere Varianten gab (Mit Unterstrich, Prozentzeichen usw). Für deren Verwaltung nutze ich seit einiger Zeit Lastpass, das mich auch regelmäßig anmeckert, wenn es entdeckt, dass ich auf verschiedenen Seiten das gleiche PW nutze. („Geh weg, das ändere ich später“).
Ab sofort
Ich habe nun einen Teil der PWs durch solche ersetzt, die Lastpass generiert hat. 12 Zeichen. Vermutlich auch zu kurz, aber schön mit Sonderzeichen und dem ganzen Quatsch. Ich werde das auch konsequent für alle Seiten machen, auf denen LastPass mich anmeckert. Das Problem an der Sache: Ich werde mir die Passwörter, die alle ungefähr so aussehen „U8%dl2s0!_ri“, nicht merken können. Niemals. Vielleicht zwei oder drei, aber beim Rest werde ich komplett von LastPass abhängig sein.
Was im Grunde nicht problematisch ist, auf den Rechnern erledigt LassPass sowieso alles automatisch für mich. Nerviger wird es da schon den mobilen Endgeräten. Die PWs werden meist innerhalb der Apps gespeichert, dagegen kann man sich in den meisten Fällen nicht mal wehren. Ergo kann man da nur hoffen, dass die PWs nicht unverschlüsselt übermittelt werden. Ein anderes Problem sind Webseiten, die man nur selten ansurft. Man kann die PWs im Browser speichern, aber dann kann man sie vermutlich auch gleich per Beamer an eine Wand werfen. Da ich meine nun teilweise nicht mehr weiß, muss ich die PWs aus der LastPass App holen, kopieren und im Browser einfügen. Das ist unbequem, aber vertretbar. Manche Seiten lassen sich auch mit dem internen Browser von LastPass ansurfen.
Was tun im Urlaub?
Zu einem richtigen Problem wird die Sache erst, wenn man an einem fremden Rechner, Smartphone usw. sitzt, zum Beispiel im Urlaub in einem Hotel. Dann müsste ich etwas machen, was extrem unsicher und nervig ist. Das Masterpasswort für LastPass (was ich mir hoffentlich gemerkt habe) auf einem fremden Rechner eingeben. Logischerweise muss ich das Masterpasswort sofort wieder ändern (das aus einem unsinnigen Satz besteht), sonst macht das keinen Sinn. Eine andere Variante ist, eine Liste mit wichtigen PWs an einer sicheren Stelle zu hinterlegen. (Was man eh machen sollte, man weiß ja nie, ob der Passwortmanager nicht mal unerreichbar ist). In diesem Fall liegt meine Liste an zwei Orten, gezippt und mit einem PW versehen.
Natürlich muss diese Liste auch dann wieder aktualisiert werden, wenn die PWs sich ändern, was man regelmäßig machen sollte. Weil das alles sehr unpraktisch ist, habe ich meine PWs in verschiedene Kategorien unterteilt:
1. Wirklich total wichtig
– Facebook, Google, Twitter, Amazon usw.
2. Wichtig
– Seiten, die ich regelmäßig besuche, aber die nicht unwichtig sind wie Flickr,
3. Unwichtiger
– Seiten, die ich selten besuche, die keine wichtige Funktion haben.
PWs der Seiten der Kategorie Eins werden jetzt alle drei bis sechs Monate geändert, der zweiten Kategorie jährlich, der dritten dann wie es gerade passt.
Das wäre alles in der Handhabung deutlich einfacher, wenn man ein System hätte, dass die PWs automatisch alle drei bis sechs Monate ändern würde und dabei eine Liste als Text-File zur Verfügung stellt. Diese Liste könnte man dann einfach halt wieder auf seine geheimen Geheimplätze werfen.
Das ist alles zu kompliziert? Das eigene Leben wird schon nicht einem Hacker anheimfallen? Dachte ich auch, bis mein Twitteraccount geknackt wurde. Und es war unschön, wieder an meinen Account zu kommen.
Warum ich keine Zwei-Wege-Authentifizierung nutze
Man könnte zusätzlich auch noch bei einigen Accounts die Zwei-Wege-Authentifizierung aktivieren, also dass man bei fast jedem Login einen weiteren Code aufs Handy gesendet bekommt. Ich mache das nicht. Das Problem ist bei dieser Art der Authentifizierung entsteht bei einem Verlust des Smartphones. Vertragskunden bekommen ihre alte Nummer wieder, Prepaid-Kunden, und das ist die Mehrheit in Deutschland, schauen meist in die Röhre und bekommen eine neue Nummer. Zwar gibt es ausdruckbare Backup Codes (Google z.B.) aber die hat man vermutlich gerade nicht dabei, wenn das Smartphone weg ist. Im Urlaub zum Beispiel. Theoretisch kann man die Backup-Codes natürlich mitnehmen, aber viel Spaß, wenn die Tasche mit Handy UND Backups-Codes gestohlen wird. Ich verzichte daher auf die Zwei-Wege-Authentifizierung und verlasse mich auf starke Passwörter.
7 Antworten zu „Passwortverwaltung – Variante Dahlmann“
LastPass? Ist das die Firma deren Firmensitz (Fairfax. Virginia) weniger als 20 Minuten vom CIA-Hauptquartier (Langley, Virginia) entfernt ist?
-scnr-
Ich dachte, dass war KeePass, aber ich sehe grade, dass die da auch um die Ecke… je nun, NSA ist ja noch mal was ganz anders. Da liegt das Problem vermutlich weniger bei den PWs, sondern bei den Backdoors zur jeweiligen Webseite.
Ich habe mich von http://xkcd.com/936/ überzeugen lassen und meine neuen Passwörter werde ich – soweit möglich – eher in dem Stil anlegen.
Das Problem mit der Variante ist, dass man sich theoretisch für jede Seite so einen Satz überlegen müsste. Was man sich dann irgendwann auch nicht mehr merken kann. Es ist alles doof :)
Ich habe mich lange gegen 2-Step-Authentification gewehrt aus den genannten Gründen, aber es vor ein paar Wochen für Google eingerichtet. Grund war, dass der Gmail-Account eines nahen Verwandten gehackt und gelöscht wurde (nachdem die ganze Kontaktliste mit Hilferuf angeschrieben wurde). Wiederherstellung unmöglich.
Google hat gegen das Problem bei Nummerverlust neben den bereits erwähnten Offline-Entsperrcodes als zusätzliche Absicherung die Möglichkeit geschaffen, dass man den Account durch bereits aktivierte Geräte ebenfalls entsperren kann. Das ist mir Sicherheit genug.
Über Gmail könnte man bei mir fast alle Passwörter zurücksetzen. Da ist es dann egal wie toll die sind, neues anfordern und der Account ist verloren. Daher habe ich mich für diesen zusätzlichen Sicherheitslayer entschieden.
Um sich weiterhin ohne 2-Step-Auth einloggen zu können kann man die Single-Application-Passwörter nutzen. Diese sind eigentlich für Apps gedacht, die 2-Step nicht unterstützen und haben somit nur begrenzte Rechte. Etwa, dass der Account nicht gelöscht werden kann. Bringen aber wieder das Problem, dass andere Accounts darüber zurückgesetzt werden könnten. Weshalb ich sie noch nicht ausprobiert habe. Sollten aber aufgrund des single-use-prinzips nicht so einfach missbraucht werden können.
Ich hab nach ein paar Gesprächen auch die 2-Step-Authentification aktiviert, allein um es mal auszuprobieren. Einrichtung, vor allem für die Smartphones, war etwas nervig, aber ging. SMS kamen auch rasend schnell. Soweit zufrieden.
Bei mir Im Prinzip ähnlich, wie das viele Systeme a la KeePass(X) etc. machen: Ein zentraler Speicher, verschüsselt. Bei Zugriff: Entschlüsselung, Ausgabe des Passworts, Ende Gelände.
Allerdings kein extra System irgendeiner Art für die Verwaltung. Brauch ich nicht, und ist mir auch viel zu umständlich. Truecrypt reicht, da brauch ich mir nur das Haupt-Passwort zu merken (wobei ich viele davon trotzdem auswendig kann) ;)
cu, w0lf.