ComputerBase Menü
Aktuelles

Masterpasswort merken welches selten benötigt wird - 2FA

W

werdas34

Cadet 3rd Year
Registriert
Aug. 2021
Beiträge
50
Hallo,

folgende Situation:
Regulären Passwörter in einen PasswortManager.
Alle extra Infos wie 2FA-Code, Backup-Code etc in einem extra Ordner der mit AES-256 verschlüsselt wird. Warum nicht im PasswortManager? Naja, hat man Zugriff auf den PasswortManager, bringt einem der 2. Faktor nichts wenn er neben den Login-Daten liegt.
Schlussfolge: 2 verschiedene Masterpasswörter, einmal PasswortManager und einmal verschlüsselter Ordner mit den zusätzlichen Daten.

Aktuelles Problem:
Masterpasswort vom PasswortManager kann man sich gut merken, da man den PasswortManager fast täglich braucht.
Den 2FA-Ordner brauche ich selten im Average-Case. Selbst mit Techniken wie "Mache einen absurden Satz und merke dir die ersten Buchstaben" ist die Gefahr groß, dass man einen Zeichendreher drin hat.

Ich suche nach einem System, welches es mir erlaubt mein Masterpasswort zu rekonstruieren bzw eine Hilfestellung darstellt.
Die wohl beste Lösung: Notfallmappe und da die Passwörter reinschreiben bzw nur denn Satz/Muster aus dem man das Passwort ableitet.
Was machen, wenn man paar Monate im Ausland ist, das Smartphone gestohlen wird und man nun ein neues Smartphone einrichten muss?
Deswegen wäre mir ebenfalls eine Cloudtaugliche Variante am liebsten.

Jetzt die Frage: Wie macht ihr das? Was sind eure Tipps bei Passwörtern die man selten benötigt? Wie sichert ihr euch ab? Was sind eure Strategien/Techniken?

Mein bisheriger Ansatz wäre eine Tabelle mit mindestens 20x20 Zellen. Jede Zelle kann ein Wort, Zahl oder Sonderzeichen oder eine Kombination von mehreren oder allen enthalten.
Das Masterpasswort ist so aufgebaut. Man hat seine Startzelle und in der benachbarten Zelle (nach links/rechts/unten/oben, im Uhrzeigersinn, diagonal, etc), befindet sich der nächste Teil bzw Muster zum Ableiten für des Masterpasswort. Die Startzelle befindet sich random in der Tabelle verteilt.
Kann man sich an einen Teil des Mustersatzes erinnern kann man das Muster aus der Tabelle rekonstruieren.

Ist jetzt keine Idee von der ich 100% überzeugt bin, deswegen frage ich nach anderen Ideen/Ansätzen. :D

Beste Grüße,
werdas34
 
Ich nehme dafür einfach Dinge aus der Kindheit, bzw. von vor langer Zeit die ich in den letzten 15-30 Jahren nicht vergessen habe.

Da kann man sich dann komplexe Dinge überlegen z.B. die Telefonnummer der Oma die seit 20 Jahren nicht mehr exisitiert rückwärtes, gemixt mit der ICQ nummer und dem Satz "DummesGehirn"....

Das kann man sich dann immer wieder rekonstruieren, notfalls kann man ja irgendwo eine Notiz aufheben wie man es zusammensetzt....

Was man letztendlich einsetzt muss sich dann jeder selbst überlegen.

Edit: Meine Beispiele mit "öffentlichen" Nummern sind natürlich die schlechtesten, aber selbst hier wird es sicher wenn es lang genug und ordentlich durchgemixt ist.
 
werdas34 schrieb:
Wie macht ihr das?
Zum Vergrößern anklicken....
Für 2FA einen Yubikey mit Yubico Authenticator der auch gleichzeitig für Challenge-Response + Passwort für den Passwortmanager benutzt wird. Die Handhabung ist einfach und das Ganze ist ziemlich sicher. Man muss sich nur ein Passwort merken und auch das muss nicht hochkomplex sein.
 
Zuletzt bearbeitet:
Ich nehme dafür einen langen Satz im (fast) Klartext wie z.B. "Hierhabeichdas_P@sswortvonmeinemPassw0rtManager".
Ist lange genug, um nicht geknackt zu werden und ich kann mir solche Sätze gut merken.
 
Wenn es dir nur um die Möglichkeit mit dem Satz geht, dann könntest du z.B. einen frei einsehbaren Text wählen, der sich sehr wahrscheinlich nicht ändert.

Da wären Gesetzestexte eine Möglichkeit.
Die Verfassung der USA oder Teile des Grundgesetz werden dich nicht ändern.
Ggf. tun es da auch Bibelstellen.

Da kann man jederzeit online nachsehen und ein ausgedrucktes Exemplare erregt keinen Verdacht.
 
Einfach einen absurden Satz nehmen und sich den merken, also z.B. Computerbase und Vanilleeis fahren zusammen in einem melodischen Omnibus.
 
Eines meiner Masterpasswörter liegt in einem Umschlag mit Zahlenmeer in einem Safebag.
Kann man zur Not auch im Handgepäck mitnehmen und man bekommt mit, wenn sich jemand daran zu schaffen gemacht hat.

Ich weiß nur nicht, ob man das bei der Einreise irgendwo öffnen müsste. USA will AFAIK Passwörter wissen.

Ein anderes hatte ich immer in der Brieftasche dabei. Allerdings nur das reine Passwort, keine URL, kein Username usw. Kein Hinweis wofür oder was es ist. Einfach ein schmaler Papierstreifen mit etwas sinnlosem. :)
 
Zuletzt bearbeitet:
mojitomay schrieb:
Da wären Gesetzestexte eine Möglichkeit.
Die Verfassung der USA oder Teile des Grundgesetz werden dich nicht ändern.
Ggf. tun es da auch Bibelstellen.
Zum Vergrößern anklicken....
Google mal "password bruteforce bible" und schau Dir die ersten 10 Hits an.
 
  • Gefällt mir
Reaktionen: Einfallslos2023
deinDadseinFrau schrieb:
So etwas könnte etwas für dich sein.
https://www.ines-it.de/informationssicherheit/passwortkarte/
Zum Vergrößern anklicken....
Ah wusste ich gar nicht. Ist ja fast so ähnlich wie mein Tabellenansatz.

Ansatz von @SpamBot und @00Julius:
Sowas ähnliches habe ich zum Teil auch. Aber wie oft kam es bei mir schon vor das ich die Vorwahl meiner Eltern nicht mehr genau wusste, weil ich sie seit Jahren nicht benötige. Da hat man schnell nen Dreher drin. Vorallem wenn man es sehr selten braucht. Oder auch bei dem von @00Julius. Wenn ich das nur einmal im Jahr brauche, dann kann ich schnell vergessen, ob ich den Unterstrich oder einen Bindestrich verwendet habe, oder ob ich Passwort oder Passswort geschrieben habe.

Helge01 schrieb:
Für 2FA einen Yubikey mit Yubico Authenticator der auch gleichzeitig für Challenge-Response + Passwort für den Passwortmanager benutzt wird. Die Handhabung ist einfach und das Ganze ist ziemlich sicher. Man muss sich nur ein Passwort merken und auch das muss nicht hochkomplex sein.
Zum Vergrößern anklicken....
Ich muss wirklich mal Erfahrung mit Yubikeys sammeln. Für mich sind das immer noch einfache USB-Sticks. Und wenn ich mich zurückerinnere, als ich regelmäßig nen USB-Stick durch die Gegend getragen habe, war der nach 2 Jahren kaputt.
Mir ist bewusst das Yubikeys langlebiger sind, aber mir fehlt da noch praktische Erfahrung :D

mojitomay schrieb:
Wenn es dir nur um die Möglichkeit mit dem Satz geht, dann könntest du z.B. einen frei einsehbaren Text wählen, der sich sehr wahrscheinlich nicht ändert.

Da wären Gesetzestexte eine Möglichkeit.
Die Verfassung der USA oder Teile des Grundgesetz werden dich nicht ändern.
Ggf. tun es da auch Bibelstellen.

Da kann man jederzeit online nachsehen und ein ausgedrucktes Exemplare erregt keinen Verdacht.
Zum Vergrößern anklicken....
Eine sehr schöne Lösungen. Man kann sich sogar das entsprechende Dokument in die Cloud packen. Am besten noch was zu den eigenen Interessen passt. Z.B. das Bitcoin Whitepaper.

TorenAltair schrieb:
Einfach einen absurden Satz nehmen und sich den merken, also z.B. Computerbase und Vanilleeis fahren zusammen in einem melodischen Omnibus.
Zum Vergrößern anklicken....
Mache ich auch. Aber ich hatte schon öfters das Problem das man den Satz auch etwas anders formulieren kann.
Z.B.: Die Aufgabe ist 3x um den Pool zu robben. - Die Aufgabe lautet 3x um den Pool zu robben.
Bei etwas was man regelmäßig verwendet kein Problem, da brennt sich das schon ins Gehirn ein. Aber wenn ich das nur einmal im Jahr verwende.. Habe ich ein Problem.
 
@werdas34 Dann nimm etwas was Du direkt weisst. Also bspw.: Als Kind habe ich den Urlaub in Großbärenweiler immer geliebt [Anmerkung: den Ort gibt es bei uns]
 
werdas34 schrieb:
ob ich den Unterstrich oder einen Bindestrich verwendet habe, oder ob ich Passwort oder Passswort geschrieben habe.
Zum Vergrößern anklicken....
Ja, da kann ich dich gut verstehen.
Die Frage ist: braucht man bei so langen Passwortphrasen überhaupt Sonderzeichen?
Wenn nicht, dann die Sonderzeichen weglassen und den Satz sollte man sich so merken können.

Edit:
Oder man macht zwischen jedem Wort einen Unterstrich. Das kann man sich auch merken.
 
Zuletzt bearbeitet:
Ein Yubikey ist kein einfacher USB-Stick, sondern eher ein kleiner PC. ;) Er hat CPU, RAM und ein OS. Er ist ziemlich robust. Man sollte trotzdem immer gleich mehrere parallel als Backup anlegen.
 
xammu schrieb:
Kein Hinweis wofür oder was es ist.
Zum Vergrößern anklicken....
Ich zeichne hier einfach noch ein Bildliches Schema mit dazu, und schreibe bei bestimmten Zahlen / Wörtern nur die ersten 1-3 Ziffern auf.

Die Angaben sind so das sie ohne Backgroundwissen nutzlos sind. Den Zettel mit einer Zeichnung (Passwortschema) und dem Anfangsziffern könnte ich hier als Userbild nutzen und kein Mensch könnte damit etwas anfangen.
 
xammu schrieb:
Eines meiner Masterpasswörter liegt in einem Umschlag mit Zahlenmeer in einem Safebag.
Kann man zur Not auch im Handgepäck mitnehmen und man bekommt mit, wenn sich jemand daran zu schaffen gemacht hat.

Ich weiß nur nicht, ob man das bei der Einreise irgendwo öffnen müsste. USA will AFAIK Passwörter wissen.
Zum Vergrößern anklicken....
Da könnte ich auch vereinfacht meine Notfallmappe mitnehmen. Ist auch das Szenario bei der Notzfallmappe, was ist wenn diese abbrent mit Rechner Smarrtphone allen drum und dran. Dann komm ich auch nicht mehr rein. Ne Safebag ist wahrscheinlich feuerfest.
Ich weiß auch das meine Szenarien den Worst-Case darstellen. Aber es geht nunmal um sehr sensible Daten.

GrumpyCat schrieb:
Google mal "password bruteforce bible" und schau Dir die ersten 10 Hits an.
Zum Vergrößern anklicken....
Interessant. Vor allem für englische Sätze, wegen der Groß und Kleinschreibung. Ist jetzt im deutschen weniger das Problem.
TorenAltair schrieb:
@werdas34 Dann nimm etwas was Du direkt weisst. Also bspw.: Als Kind habe ich den Urlaub in Großbärenweiler immer geliebt [Anmerkung: den Ort gibt es bei uns]
Zum Vergrößern anklicken....
Stimmt ist ne Möglichkeit. Müsste man dann bisschen anpassen, damit Rainbowtables keine Chance haben.

00Julius schrieb:
Ja, da kann ich dich gut verstehen.
Die Frage ist: braucht man bei so langen Passwortphrasen überhaupt Sonderzeichen?
Wenn nicht, dann die Sonderzeichen weglassen und den Satz sollte man sich so merken können.

Edit:
Oder man macht zwischen jedem Wort einen Unterstrich. Das kann man sich auch merken.
Zum Vergrößern anklicken....
Dieses Beispiel hatte ich davor aufgeführt:
Z.B.: Die Aufgabe ist 3x um den Pool zu robben. - Die Aufgabe lautet 3x um den Pool zu robben.
Beides valide Sätze die ein Passwort bze Teil eines Passwortes sein können.

Helge01 schrieb:
Ein Yubikey ist kein einfacher USB-Stick, sondern eher ein kleiner PC. ;) Er hat CPU, RAM und ein OS. Er ist ziemlich robust. Man sollte trotzdem immer gleich mehrere parallel als Backup anlegen.
Zum Vergrößern anklicken....
Ja stimmt. Wie gesagt muss da noch Erfahrungen sammeln :D
Man soll ja immer zwei Yubikeys haben. Einen den benutzt man und den anderen als Backup.
Wenn ich jetzt einen Yubikey verliere, habe ich nur noch einen. Muss ich mir dann zwei Yubikeys kaufen und das Passwort ändern oder kann ich einen Yubikey mit dem Secret vom Backup überschreiben?

SpamBot schrieb:
Ich zeichne hier einfach noch ein Bildliches Schema mit dazu, und schreibe bei bestimmten Zahlen / Wörtern nur die ersten 1-3 Ziffern auf.

Die Angaben sind so das sie ohne Backgroundwissen nutzlos sind. Den Zettel mit einer Zeichnung (Passwortschema) und dem Anfangsziffern könnte ich hier als Userbild nutzen und kein Mensch könnte damit etwas anfangen.
Zum Vergrößern anklicken....
Auch ne gute idee. Habe auch schon überlegt mit Steganographie ein Bild zu bearbeiten.
 
werdas34 schrieb:
Mein bisheriger Ansatz wäre eine Tabelle mit mindestens 20x20 Zellen. Jede Zelle kann ein Wort, Zahl oder Sonderzeichen oder eine Kombination von mehreren oder allen enthalten.
Das Masterpasswort ist so aufgebaut. Man hat seine Startzelle und in der benachbarten Zelle (nach links/rechts/unten/oben, im Uhrzeigersinn, diagonal, etc), befindet sich der nächste Teil bzw Muster zum Ableiten für des Masterpasswort. Die Startzelle befindet sich random in der Tabelle verteilt.
Kann man sich an einen Teil des Mustersatzes erinnern kann man das Muster aus der Tabelle rekonstruieren.
Zum Vergrößern anklicken....
Solche Sachen sollte man keinesfalls machen. Erstens, weil Privatpersonen safety ebenso wichtig ist wie security und komplexe Setups diese verringern. Zweitens verringerst du sehr schnell ohne es zu merken auch die security, z.B. die Entropie des Passworts.


Password-Safe mit 2FA absichern. Da alles ein packen, auch andere 2FA Codes etc.
Die beiden Faktoren an verschiedenen Orten außerhalb der Wohnung sicher aufbewahren (z.B. Bankschließfach oder Safe eines guten Freundes).
 
BeBur schrieb:
Solche Sachen sollte man keinesfalls machen. Erstens, weil Privatpersonen safety ebenso wichtig ist wie security und komplexe Setups diese verringern.
Zum Vergrößern anklicken....
Ich verstehe nicht ganz was du meinst? Meinst du falls mir was passiert, das dennoch meine Freunde/Familie da rankommt? Weil sie erst das Muster verstehen müssen?
Also ich hätte sowieso ne Notfallmappe, da steht das drin. Und den Personen würde ich schon mal das System erklären. Wobei ich jetzt eh nicht den Tabellen Ansatz verfolgen würde.

BeBur schrieb:
Password-Safe mit 2FA absichern. Da alles ein packen, auch andere 2FA Codes etc.
Zum Vergrößern anklicken....
Den PasswordSafe mit 2FA abzusichern finde ich gut. Aber alles da rein + 2FA Codes halte ich für fatal.
Stell dir vor jemand kann ein geöffnetes Abbild deines PasswortSafes machen. Wie? Das ist egal! Nun hat er gleich alles. Neben den Login Daten auch den 2. Faktor. Da ist der 2. Faktor so ziemlich nutzlos.
Ist der 2. Faktor separat abgelegt, dann muss er auch diesen Ort knacken.
 
BeBur schrieb:
Solche Sachen sollte man keinesfalls machen. Erstens, weil Privatpersonen safety ebenso wichtig ist wie security und komplexe Setups diese verringern. Zweitens verringerst du sehr schnell ohne es zu merken auch die security, z.B. die Entropie des Passworts.


Password-Safe mit 2FA absichern. Da alles ein packen, auch andere 2FA Codes etc.
Die beiden Faktoren an verschiedenen Orten außerhalb der Wohnung sicher aufbewahren (z.B. Bankschließfach oder Safe eines guten Freundes).
Zum Vergrößern anklicken....
Dem würde ich zustimmen :daumen: Nutzt du den Passwort Manager auch auf einem mobilen Endgerät? Falls ja, wie machst du es da mit einem 2FA?

@werdas34 Ob du deinen Passwort-Safe mit einem 2FA zusätzlich absichern möchtest liegt natürlich bei dir. Ich würde sagen, dass es ein klassisches Bequemlichkeit vs. Sicherheits abwägen ist. Kennst du das Diceware Verfahren?
Masterpasswörter sind mit dem Diceware Verfahren tatsächlich relativ einfach zu merken und trotzdem ausreichend stark. Damit könntest du dir z.B. ein Passwort für den zweiten Safe generieren.

Viele Grüße
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DevPandi
Leserartikel Kühler- gegen Steckergate: DevPandis Hin und Her
2 3 4
Antworten
72
Aufrufe
16.361
Robman86
Robman86
Nilson
Ein aktuelles, sicheres und gleichzeitig komfortables Passwortkonzept
Antworten
15
Aufrufe
4.043
sPeziFisH
sPeziFisH
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz