"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Passwort Management - Sinn/Unsinn & Empfehlungen

jives 01.04.2011 - 09:16 151970 834 Thread rating
Welchen Password Manager verwendet ihr?
LastPass
1Password
KeePass
Dashlane
F-Secure Key
Kaspersky Password Manager
Intel Security True Key
Keeper Security
Enpass
SafeInCloud
Ja, aber er ist hier nicht gelistet
Nur den Password Manager meines Browsers
Gar keinen, Gehirn, Post-Its und Notepad all the way!
Posts

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Zitat aus einem Post von COLOSSUS
Das imho Vernuenftigste/Sicherste ist die Kombination eines strikt lokal arbeitenden, stark verschluesselnden Passwortmanagers (z. B. Software, die das KDBX-Format versteht) mit einem davon unabhaengigen Synchronisationsmechanismus (z. B. Syncthing) zum Verteilen auf die Endpunkte. Ist fuer manche Leute vielleicht nicht komfortabel genug im Vergleich zu LastPass und Co., aber die haben dann halt mal alle paar Jahre den ***** offen mit Sorgen, ob die geilen Werbeversprechen der Lieferanten (und Subsubsublieferanten) ihrer Software und Dienstleistung wirklich 100%ig fuer bare Muenze zu nehmen sind.

Ich muss diesen wichtigen Absatz gleich nochmals zitieren um euch über ein Selfhosted KeeWeb https://keeweb.info/ zu befragen.
Das ist einfach zu benutzender Webservice der mit der KeePass Datenbank umgehen kann.

Widerspricht zwar genau dem von Colo geschriebenen (strikt lokal, Trennung von Passwort DB und Synchronisations-Mechanismus) aber ist für wohl simpler in der Anwendung

sk/\r

i never asked for this
Avatar
Registered: Dec 2002
Location: oö
Posts: 10585
Zitat aus einem Post von enjoy
imho ist nicht der "Kauderwelsch" der Garant für die Sicherheit eines Passworts, sondern die Länge.
Um zu Verhindern, dass ein Mensch ein Passwort knackt, ist so ein Kauderwelsch gut geeignet, einen Computer ist egal welches Zeichen da steht.

Natürlich sollten es nicht "zusammenpassende" Wörter/Sätze sein, um eine Wörterbuchattacke nicht zu erleichtern

siehe auch https://xkcd.com/936/

bzw. die Tipps von Heise hier https://www.heise.de/ratgeber/Secur...ts-4886755.html

sind imho gut - was hilft dir das beste Passwort der Welt, wenn die Eingabe so umständlich ist und es deshalb nicht verwendet wird?

ja. natürlich ist auch die länge extrem wichtig.
ich orientier mich da eben an passwortcheck.ch.
15 zeichen (ohne eindeutige wörter) = ein paar millionen jahre entschlüsselung via bruteforce.

Master99

verträumter realist
Avatar
Registered: Jul 2001
Location: vie/sbg
Posts: 12574
ist eine random abfolge wirklich sicherer als eine (lang genuge) mehrwortige passphrase?

ist ja nicht so das der angreifer bei einer bruteforce dann feedback bekommt a la ‘toll das erste wort hast du bereits erraten’

wörterbuchattacke demnach auch nicht sinnvoll.

Earthshaker

Here to stay
Avatar
Registered: Dec 2002
Location: .de
Posts: 8735
Ich finds ja erschreckend wieviele Webseiten gar kein komplexes Passwort akzeptieren.
Wie du hast mehr als 12 Stellen und Sonderzeichen? Wtf hau ab

eitschpi

alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4363
"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

b_d

pixel imperfect
Avatar
Registered: Jul 2002
Location: 0x3FC
Posts: 10473
absolut, lächerliche password policy enforcements und NOCH schlimmer, expirations, sind lustigerweise grad im b2b segment fast standard :rolleyes:

watercool

BYOB
Registered: Jan 2003
Location: -
Posts: 5862
Zitat aus einem Post von eitschpi
"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf.

Ist/war bei der Easybank und BA so...

Viper780

Moderator
Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 48756
Zitat aus einem Post von eitschpi
"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

Hab gestern einige Accounts bei netcup erstellt und genau dass wiederfahren. Leider stehen nirgends die erlaubten bzw verbotenen Zeichen.

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2488
Zitat aus einem Post von watercool
da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf.

Ist/war bei der Easybank und BA so...

Am meisten bei der BA stört mich, dass deren tolle App das Pasten von Passwörtern nicht unterstützt. Wollen sie deren Kunden dazu motivieren möglichst schwache Passwörter zu verwenden? :mad:

edit: Den Unterschied zwischen einem PIN und einem Passwort kennen sie ja auch nicht. In der App wird nach dem PIN gefragt während das Passwort gemeint ist :rolleyes:
Ob es noch immer erforderlich ist, dass nach den 8 Stellen nur alphanumerische Zeichen folgen weiß ich nicht. Aber der String darf zumindest über 16 Zeichen lang sein.
Bearbeitet von schizo am 28.01.2023, 18:26

UnleashThebeast

Mr. Midlife-Crisis
Avatar
Registered: Dec 2005
Location: 127.0.0.1
Posts: 3445
Ich bin mittlerweile schon länger von der BA weg, aber machts noch immer einen Unterschied, was man nach den 8 Zahlen eingibt? Als auf das umgestellt wurde, konntest du danach eingeben, was du willst...

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 5796
Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop Software für das Business Banking).
Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs).

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2488
Zitat aus einem Post von ccr
Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop App für das Business Banking).
Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs).

Wenn die BA aber User dazu mittlerweile zwingt eine App zu installieren, über welche sie Onlinebanking betreiben können hebelt die BA von sich aus schön fleißig das 2FA Prinzip aus. Und die Option, dass einem das Smartphone entwendet wird gibts auch. Dazu zu animieren möglichst schwache Passwörter zu verwenden halte ich auch für fahrlässig.

ccr


Avatar
Registered: Jul 2001
Location: am Dach
Posts: 5796
Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden.
Man benötigt also:
- Verfüger
- Passwort
- PIN für das Smartphone (oder Kopf oder Finger des Besitzer)
- Code für die BA App (oder Finger des Besitzers)

Und dann ist man erst einmal nur eingeloggt.

Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal.

Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort :D

schizo

Produkt der Gesellschaft
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 2488
Zitat aus einem Post von ccr
Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden.
Man benötigt also:
- Verfüger
- Passwort
- PIN für das Smartphone (oder Kopf oder Finger des Besitzer)
- Code für die BA App (oder Finger des Besitzers)

Und dann ist man erst einmal nur eingeloggt.

Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal.

Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort :D

Verfüger+Passwort sind des öfteren im Browser gespeichert
PIN für das Smartphone entfällt wenn eine tolle Wischgeste gewählt wird, die mit Hilfe von Fett + Lichteinfall ziemlich leicht herausgefunden werden kann.
Und der Code für die BA App kann ja laut deiner Aussage eh trivial sein, denn es gibt ja 2FA!

Aber ja, dass von der BA selbst die 2FA ausgehebelt wird habe ich in meinem letzten Posting erwähnt.

smashIt

master of disaster
Avatar
Registered: Feb 2004
Location: OÖ
Posts: 4998
Zitat aus einem Post von ccr
Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden

heißt das dann nicht auch, dass die ba das passwort im klartext speichert?
das wäre doch ein noch größerer fail...
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz