Boogeyman schrieb:
Wenn du aber eine praktikable Lösung für das Verwalten von Passwörter hast, nur her damit.
Ich würde mich durchaus als gesund paranoid mit technischem Hintergrundverständnis bezeichnen bezeichnen (Studium in IT-Sicherheit und auch privat ziemlich viel in dem Bereich unterwegs) und für mich sind Passwortmanager definitiv der way to go. Zusammen mit einem regelmäßigen Austausch der Passwörter, der nur mit solchen Managern wirklich praktikabel ist, ist das mMn der beste Trade-Off zwischen Sicherheit und Benutzbarkeit, den man erreichen kann. Voraussetzung hier ist natürlich ein verantwortungsvoller Umgang mit dem Internet, damit man sich nicht direkt Schadsoftware einfängt, die die Passwortdatenbank stiehlt. Ein Keylogger allein wäre dabei ja nicht einmal tragisch, da man immernoch die Datenbank selbst braucht, um an die Passwörter zu kommen.
Hier kann man den Schutz zum Beispiel zusätzlich erhöhen, indem man die Passwortdatenbank auf einem externen Datenträger hat, den man nur bei Gebrauch einsteckt. Das sorgt nicht für weniger Virenbefall, minimiert aber die Angriffsfläche. Alternativ kann man auch auf ein zusätzliches Keyfile setzen, dass man extern mit sich führt und so eine 2-Faktor-Authentifizierung aufbauen. Das Spiel kann man natürlich beliebig weiter führen, z.B. entsprechende Zugriffsregeln anlegen, sodass nur der Passwortmanager lesend auf die Datei zugreifen darf (zumindest unter Linux sollte das mit entsprechendem Aufwand auf jeden Fall möglich sein).
Wo es möglich ist, benutze ich 2-Faktor-Authentifizierung, z.B. per Google Authenticator App auf dem Smartphone.
Hardware Tokens wie etwa von Yubikey finde ich ebenfalls spannend, mit denen habe ich mich bisher aber noch gar nicht auseinander gesetzt.
Generell macht es wohl Sinn, Dienste nach Schutzbedürfnis zu gruppieren. Die wichtigste Gruppe sind Dienste, die die eigene Identität auch im wahren Leben maßgeblich beeinflussen und gefährden können (eMail, Onlinebanking, heutzutage vermutlich bei den meisten auch Facebook). Davon dürfte jeder Mensch nicht mehr als eine Handvoll haben. Für diese führt mMn kein Weg an einzigartigen Passwörtern ganz ohne System vorbei.
Für etwas weniger wichtige Accounts (diverse Onlineforen, Logins zu Computerspielen, ... Dinge die hauptsächlich die anonyme Online-Identität betreffen) kann es dann vielleicht auch ein per System abgeleitetes Passwort sein.
Allerdings muss klar sein: Je mehr Leute auf diese Technik setzen, desto wichtiger wird es für Angreifer, dies in ihre Überlegung mit einzubeziehen. Einen Algorithmus zu programmieren, der mögliche Buchstaben des betroffenen Dienstes im Passwort ausfindig macht ist kein Hexenwerk, und ob ein Angreifer eine eindeutige Lösung kennt, um sich in weitere Onlinedienste einzuloggen, oder ob er aus einer kleinen Zahl von möglichen Varianten wählen muss macht in der Praxis kaum Unterschied.
Die letzte Kategorie sind Dienste, die mich dazu zwingen einen Account anzulegen, weil ich sonst nicht mit der Seite interagieren kann, bei denen ich mich aber eigentlich gar nicht anmelden will. In dem Fall habe ich tatsächlich ein Standardpasswort, dass ich mehrfach verwende. Wenn ein Dienst geknackt wird habe ich dadurch keinerlei Schaden zu befürchten. Soll ein Angreifer doch in meinem Namen bei der Onlineabstimmung zum Best National Musician of the Year Award teilnehmen.
Solche Herangehensweisen sind im Übrigen auch immer wieder dafür mitverantwortlich, dass Passwörter wie 123456 die Listen der am häufigsten verwendeten Passwörter anführen. Die Situation ist vielleicht also etwas weniger schlimm, als solche Listen den Anschein erwecken
.
Zu Diceware: Es handelt sich dabei im Prinzip nur um eine vorgegebene Wortliste, aus der man Wörter für die Passphrase auswürfelt. Obwohl die Liste vergleichsweise klein ist (soweit ich weiß < 1 Mio Einträge) entsteht durch die Menge der Wörter (typischerweise mindestens 6) eine recht hohe Entropie. 1000000^6 ist eben verdammt groß
. Der Gedanke dahinter ist, dass man sich ein Passwort aus 6 Wörtern sehr viel leichter merken kann als eines aus 10 zufälligen Zeichen.
Noch ein abschließendes Wort zu Passwortmanagern: Eine überwiegende Mehrheit von Sicherheitsforschern empfiehlt deren Verwendung. Ich denke, dieser Einschätzung kann man durchaus trauen
.
