ComputerBase Menü
Aktuelles

Ein aktuelles, sicheres und gleichzeitig komfortables Passwortkonzept

Nilson

Nilson

Grand Admiral
Registriert
Dez. 2008
Beiträge
25.065
Hallo zusammen,

Vorwort:
nach dem ich die letzten Wochen damit beschäftigt habe ein sicheres und gleichzeitig komfortables Passwortkonzept zu erstellen, wollte ich hier mal meine Lösung vorstellen. Zum einen um Feedback zu erhalten, eventuell habe ich ja eine Lücke übersehen und zum einen als Anregung, falls jemand eine ähnliche Lösung sucht.

Allgemeines:
Im Grunde gibt es vier Szenarien, wie ein Passwort kompromittiert werden kann
  1. Gezieltes erraten (z.B. durch "social engineering")
  2. Ungezieltes erraten durch Wörterbuchattacken oder Brutforcen
  3. Abgreifen durch Keylogger etc.
  4. Sicherheitslücke des Anbieters
Gegen 1. und 2. hilft es ein Passwort zu haben, dass sich nicht leicht erraten lasst. Also im Idealfall eine zufällige Kombination aus Buchstaben, Zahlen und Sonderzeichen und dazu am besten nicht zu kurz.

Ein abgreifen des Passworts per Keylocker lässt sich nicht immer und eine Sicherheitslücke des Anbieters lässt sich kaum selbst vermeiden. Bei solche einem Szenario geht es also primär um Schadensbegrenzung. Die erreicht man man einfachsten, in dem man pro Website ein eigenes Passwort verwendet.

Daraus ergibt sich das Dilemma, vor dem viele schon mal standen. Wie soll man sich die ganzen einzigartigen Passwörter denn merken?

Die Lösungskonzepte
Im Grunde stößt man auf zwei Konzepte dies zu meistern:
  1. Die Verwendung eines Passwortmanagers
  2. Die Erstellung eines individuellen Passwortes aus einem Masterpasswort
Die Idee des Passwortmanagers ist einfach, man speichert all seine Passwörter in einer mit einem Masterpasswort verschlüsselten Datenbank.
Die Passwortmanager lassen sich grob in zwei Unterkategorien einteilen. Zum einen gibt es offline Dienste wie KeePass, die zwar, zumindest vom Konzept her, sicherer sind, aber auch einen höheren (eigenen) Aufwand erfordern, wenn man die Passwörter zwischen Geräten synchronisieren will. Auf der anderen Seite gibt es Cloud-Lösungen, wie LastPass oder Bitwarden, die das synchronisieren für einen übernehmen und daher etwas komfortabler sind, allerdings auf kosten der maximal möglichen Sicherheit.
Auch wenn sich viele der Passwortmanager mit zusätzlichen Maßnahmen wie einer 2FA* oder einem Keyfile abgesichert werden können gilt dennoch: Wird die Datenbank kompromittiert, fällt die Sicherheit in sich zusammen wie ein Kartenhaus.

Dagegen wirkt Konzept Nummer zwei. Statt die Einzigartigen Passwörter pro Website in einer Datenbank zu speichern wird einfach aus einem Basispasswort und Informationen der entsprechenden Website ein Passwort gebaut.
Einfaches Beispiel: Das Basispasswort sei Mas1erPw und für computerbase.de würde dort der erste und der dritte Buchstabe der URL dran gehängt, sodass das Passwort für computerbase Mas1erPwcm wäre.
Der Vorteil ist klar, solange man sein Basispasswort kennt, und wie man damit aus der URL sein Passwort baut, bekommt man immer sein Passwort, ohne es jemals aufgeschrieben oder gespeichert zu haben. Und einmal gehasht sehen die auch nicht mehr gleich aus.
Nachteil des ganzen: Errät jemand den Algorithmus, kann er alle Passwörter (re)konstruieren.

Meine Lösung
Wie man sieht sind beide Lösungskonzepte nicht zu 100% sicher. Klar, die Wahrscheinlichkeit dass der Tresor (vor allem bei gut geprüften wie KeePass) oder der Algorithmus erraten werden sind sehr klein, aber vorhanden.
Ich habe also eine Lösung gesucht, die beiden Konzepte zu vereinigen um einen "single point of failure" zu vermeiden und gleichzeitig ein Mindestmaß an Komfort zu erhalten.

Am Ende habe ich mich dann dafür entschieden:

Als Passwortmanager nutze ich Bitwarden. Ich habe für Bitwarden gegenüber KeePass entschieden, da Bitwarden komfortabler zu bediene ist und native Plugins und Apps für fast alle Plattformen anbietet. Wie Keepass ist es OpenSource und kann, wenn man dem Anbieter nicht traut, auch auf einem eigenen Server gehostet werden. Extra Sicherheit gibt es durch eine 2FA*. Die Browser-Plugins haben einen Passwort generator und für den Komfort gibt es eine Auto-Fill Funktion.

Das in Bitwarden gespeicherte Passwort ergänze ich dann an bestimmten Stellen um bestimmte Stellen der URL. Somit erhält jemand, der Bitwarden komprimiert nie mein ganzes Passwort.

Im ganzen ergibt sich so eine, für mich komfortable, aber gleichzeitig sicherer Lösung:
  1. Bitwarden per Masterpasswort entsperren (einmal pro Browserstart)
  2. Login-Daten per Auto-Fill eintragen lassen (Komfort-Funktion)
  3. Mit Pfeiltasten schnell zu der Stelle springen, an dem die Buchstaben aus der URL eingetragen werden und eintragen

Geht recht zügig, klar länger, als über z.B. den Chrome Passwortmanager, aber Sicherheit kommt halt immer mit etwas Komfortverlust.

Bonus: Zwei Faktor Authentifizierung
Zusätzlich zu dem ganzen sollte man, wo immer möglich, vorallem wenn es um Geld geht, auch die zwei Faktor Authentifizierung (2FA) aktivieren. Damit muss man ein Login zusätzlich per Smartphone (SMS oder Code aus App) bestätigen und erhöht die Sicherheit auf drei Ebenen

-------------------

Also, falls jemand bis hier gelesen hat: Lasst mich eure Gedanken hören ;)

Gruß
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: stillshady
Danke ;) Aber sonst eher konstruktive Beiträge bitte ;)
 
  • Gefällt mir
Reaktionen: z723dzgb und CMDCake
Ich war der Meinung, dass Korrektur eines groben lexikalischen Fehlers konstruktiv sei.
Mea culpa.
 
  • Gefällt mir
Reaktionen: DEFCON2, Hirtec, Lillymouche und 3 andere
Nur so als zusätzlicher Gedankengang, du musst beim Synchronisieren zwischen Geräten ja nicht auf die Cloud-Lösung des Anbieters selbst setzen. Ich persöhnlich verwende Keypass mit Passwort und Keyfile, synchronisiert wird das ganze einfach über Dropbox + Boxcryptor (nur das Datenbankfile, das Keyfile tausche ich einmalig auf anderem Wege zwischen den Geräten aus).

Nilson schrieb:
Auch wenn sich viele der Passwortmanager mit zusätzlichen Maßnahmen wie einer 2FA* oder einem Keyfile abgesichert werden können gilt dennoch: Wird die Datenbank kompromittiert, fällt die Sicherheit in sich zusammen wie ein Kartenhaus.
Zum Vergrößern anklicken....

Wenn ein Angreifer an dem Punkt angelangt ist, an dem er Zugriff auf die Datenbank hat (damit meinst du die lokale Datei nehme ich an), hat er vermutlich ohnehin Zugriff auf das ganze System, und dann gibt es ohnehin keinerlei Sicherheiten mehr.
 
Es gibt ja z.B. Keylogger die auf Passwortmanager spezialisiert sind. Oder Dropbox hat ne Lücke (wenn auch Boxcryptor da eine zweite Ebene Sicherheit miteinbringt). Es gibt also Wege, wie ein Angreifer die Datenbank kompromittieren bzw. in seinen Besitz bringen kann ohne direkten Zugriff zum Rechner zu haben.
 
Nilson schrieb:
Es gibt ja z.B. Keylogger die auf Passwortmanager spezialisiert sind.
Zum Vergrößern anklicken....

Wie gesagt, wenn ein Angreifer fremden Code auf deinem System ausführen kann, dann ist eh alles zu spät.

Nilson schrieb:
Oder Dropbox hat ne Lücke (wenn auch Boxcryptor da eine zweite Ebene Sicherheit miteinbringt). Es gibt also Wege, wie ein Angreifer die Datenbank kompromittieren bzw. in seinen Besitz bringen kann ohne direkten Zugriff zum Rechner zu haben.
Zum Vergrößern anklicken....

Dazu müsste Dropbox gehackt werden, die Boxcryptor-Verschlüsselung geknackt werden und auch noch die Keepass-Verschlüsselung des DB-Files selbst (Boxcryptor als auch Keepass verwenden hier bekannte Crypto-Bibliotheken und nichts selbstgebasteltes). Wenn dir das nicht sicher genug ist, dann ist die Online-Synchronisierung wohl generell keine Option.
 
Deswegen basiert "meine" Lösung ja auf zwei Ebenen. Ein Angreifer/Keylogger kann so viel Auslesen wie er will. Er kann das Passwort von Bitwarden / Keypass mitschreiben, er kann die Datenbank in die Hände bekommen, er hat nie die ganzen Informationen.
Außer natürlich er ließt das Passwort direkt aus dem Eingabefeld auf der Webseite aus, aber dafür gibt es für die wichtigsten Seiten ja 2FA.

Natürlich ist die Lösung teils "ober the top", aber wenn man sich schon mal die Mühe macht alles einzurichten, dann richtig, oder? :D
 
Was genau meinst Du hier mit Masterpasswort ? Das Passwort für den Safe oder das Basispasswort für die jeweilige Webseite ? Ich mache nämlich etwas ähnliches wie Du. Bei mir bekommt jedes System ein individuelles, langes Passwort generiert per PasswortSafe (Länge > Komplexität). Bei ganz kritischen Systemen wird dann beim Login noch etwas von mir an das Passwort angehängt, daß ich mir nach einem "persönlichen Algorithmus" herleiten kann und von Hand dazu eingebe. Die Basis ist aber für jede Webseite unterschiedlich bei mir. Die Mühe mache ich mir aber nur für kritische Systeme mit hohem Mißbrauchspotential.
 
  • Gefällt mir
Reaktionen: Nilson
Ich hab den Abschnitt angepasst, um das eindeutiger zu machen.

Und das hört sich wie meine Lösung an :daumen:
 
Ich nehme sehr lange Passwörter, die ich mir aber trotzdem merken kann.
 
Nilson schrieb:
Gezieltes erraten (z.B. durch "social engineering")
Zum Vergrößern anklicken....

Das empfand ich persönlich noch nie als Gefahr. Natürlich ist "eigener Vorname + Geburtstag" keine gute Idee. Packt man aber genug reale Daten und Orte zusammen erhält man ein Passwort das (einigermaßen) leicht zu merken ist und trotzdem nicht erraten werden kann.
 
Nilson schrieb:
Gezieltes erraten (z.B. durch "social engineering")
Zum Vergrößern anklicken....
Wenn du dein Passwort per SE rausrückst, braucht der Angreifer nicht mehr zu raten. Da ist die komplexität des Passworts auch vollkommen egal. Nur die brain.exe schützt dich davor.
"Geziehltes erraten" würde ich eher zur Wörterbuchattake oder bekannte Passwörter (admin, 123, etc.) zählen.
 
HerrRossi schrieb:
Ich nehme sehr lange Passwörter, die ich mir aber trotzdem merken kann.
Zum Vergrößern anklicken....
Ich hab nur drei Passwörter, die ich mir merken muss. 1.PW nur für Foren, 2.PW für z.B. PayPal und Co. und das 3.PW NUR für Email. Das 3. PW ist bei mir sehr lang und schwer zu eraten.
 
das ist ein brauchbarer Ansatz
ein paar allgemeine Gedanken:
- wer sich durch 1.+2. anfällig macht, ist doch ganz klar selber schuld
- einfach muss nicht schlecht heißen. einfach muss nicht kurz heißen. kurz muss nicht schlecht sein. Wenn jemand allerdings für seinen vermeindlich megawichtigem account ständig weitere tools benutzen MUSS, dann macht er sich - zwangsläufig - für andere Angriffsszenarien anfällig.
- zu Passwörtern kann man nicht viel raten: Strategien populärer zu machen ist immer so eine Sache. Ich glaube, der wichtigste Hinweis ist, sich einfach Gedanken drüber zu machen.
- ein Passwortmanager hilft umgemein. Wie gut er einem helfen soll und wie komplett er befüllt ist, das muss jeder für sich entscheiden
- es ist oft nicht so, aber oft schon: Komfort geht meist zu Lasten der Anfälligkeit. Ein Leben ohne Komfort kann jedoch zäh sein und ermüden und ist vielleicht auch überhaupt nicht das, was man sich vorstellt. Je aktiver man ist und je mehr (eigentlich banale) Accounts es gibt, desto mehr wird man den Nutzen eines Passwortmanagers schätzen, doch den Überblick zu wahren. Den "Komfort", jederzeit und überall Geldgeschäfte von wichtigen Konten unterwegs tätigen zu können, sollte man hinterfragen.. (Nutzen, Bedarf, Risiko)
- 3. es heißt doch Keylogger. Keiner will es, aber es passiert. 'Augen auf' ist doch eigentlich die oberste Premisse.
- eine gesunde Skepsis gegenüber Maximal-Komfort und Umsonst-Produkten von Großkonzernen ist nie verkehrt.

the Konzept: Leben bedeutet ständiges Üben und nichts ist beständig :)
 
  • Gefällt mir
Reaktionen: Nilson
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

R
Passwortsafe zum selber nutzen und teilen von Passwörtern
Antworten
5
Aufrufe
722
Rach78
R
I
Passwortmanager-Empfehlungen/-Meinungen?
2
Antworten
36
Aufrufe
2.640
Apopex
Apopex
Brati23
Im Browser gespeicherte Passwörter. Eure Meinung.
Antworten
10
Aufrufe
1.001
Oli_P
Oli_P
Dermitlinux
TOTP und Passwort in der selben Datenbank "ok"?
Antworten
8
Aufrufe
771
Dermitlinux
Dermitlinux
W
Masterpasswort merken welches selten benötigt wird - 2FA
Antworten
18
Aufrufe
1.673
JX666
J
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz