Chrome generiert bald Passwörter
von caschy | 21 Kommentare
Machen wir uns nichts vor. Viele von uns sind Weichflöten, die aus Gründen der Bequemlichkeit oftmals bei verschiedenen Diensten das gleiche Passwort nehmen. Das ist bequem, schön leicht zu merken, aber leider doof. Wenn man es ganz genau nimmt. Und so gibt es mittlerweile einen Wust von Diensten, die dem einfallslosen Surfer so vorschlagen, was man so an Passwörtern nutzen könne. KeePass fällt mir da spontan ein – oder aber auch der Onlinedienst LastPass. Auch bei Google arbeitet man mittlerweile an einer Umsetzung, dass der Browser direkt ein sicheres Passwort vorschlagen kann.
Ihr seid also auf einer Seite unterwegs, die euch anbietet, einen Account nebst Passwort zu erstellen. Chrome würde dann auf Wunsch eines generieren und dieses dann im Passwort-Manager speichern. Hört sich natürlich klasse an, kann aber nicht auf allen Seiten genutzt werden. Des Weiteren heißt es im Beitrag, dass Chrome so zu einem beliebten Ziel von Hijackern werden könne. Und nun Hand aufs Herz: würdet ihr das System nutzen oder eher links liegen lassen, um eigene Passwörter zu nutzen?
Wird geladen ...
Selber Weichflöten!
Die Idee von Google hört sich ja noch bequemer an – somit müsste man sich dann irgendwann gar kein Passwort mehr merken, sofern alle Seiten mit dem Dienst kompatibel sind.
Also ich würd’s nutzen.
Morgis, ein ähnliches Verfahren benutze ich auch – allerdings ist es dennoch sehr unsicher. Betreibt man z.B. eine Seite um Passwörter zu fischen, sagen wir mal ein unscheinbares Forum, dass alle Userpasswörter im Klartext speichert und mir die Einsicht bietet auf die Mail/Passwort Kombi.
Nun, gerade bei deiner Methode reicht oft nur ein einziges Passwort von dir auf einer mir bekannten URL aus, um den Algorithmus zu erraten. Zusammen mit deiner E-Mail Adresse habe ich dann den gleichen Spaß wie mit einem statischen Passwort.
Passwörter sind nur sicher, wenn sie „zufällig“ und nur ohne Zweckbezug generiert werden.
Wenn das Ding sichere Passwörter generiert und diese dann selbst durch die Google 2-step verification geschützt sind ist das sicher eine Option.
Wenn es nur um einen Passwortgenerator im Browser geht, dann empfiehlt sich z.B. http://passwordmaker.org/. Geht auch auf FF, IE, Opera, et cetera.
Finde ich Sinnvoll…
es wird ja warscheinlich im google account gespeichert, zwischen den rechnern/Tablets/Android-Phones synchronisiert und mit dem Google-Accountpasswort oder selbst gewählten Master-Passwort verschlüsselt – wenn das dann das einzige PW ist, das man sich merken muss kann es auch kompliziert+sicher sein 🙂
Ich erzeuge meine Passwörter unter Linux mit pwgen lieber selbst. Meiner Meinung nach wird diese neue Funktion einfach nur eine neue Möglichkeit für Phishing-Atakken.
Browser haben mit ihrer Internetanbindung zu viele Einfallsmöglichkeiten, daher denke ich nicht, dass das die Sicherheit wirklich erhöhen wird.
unter Ubuntu könnt ihr das Programm so installieren:
sudo apt-get install pwgen
und dann mit pwgen 16
ein 16stelliges Passwort, oder mit pwgen -s -y 16 ein komplexes Passwort mit Sonderzeitchen erstellen.
für Foren gibt es bei mir ein Passwort und für Mails ein anderes.
Lastpass verwende ich aus Bequemlichkeit und wenn Chrome oder FF es anbieten würde incl. Sync dann wäre ich auch dabei.
1. KeePass 26zeichen+sonderzeichen+zahl langes Passwort erzeugen.
2. Keepass schützen mit einem 50zeichen langem Passwort.
3. Keepass in einem mit TrueCrypt verschlüsselten 100zeichen langen Passwort verschlüsseln
und gut ist 😉
Ja ich bin Paranoid.
Ich muss zugeben, dass ich Morgis Verfahren auch haeufiger mal benutze, besonders fuer alle „unwichtigen“ Dinge wie Foren-Logins, Cloud Dienste ohne sensible Daten, „Spam“-Zweitemailadressen, etc.
Diese ganzen Passwoerter verwalte ich momentan mit LastPass. Nettes tool, damit man nicht immer tippen muss und trotzdem keine Passwoerter im Browser gespeichert hat, dennoch die Passwoerter ueberall synchronisiert verfuegbar hat.
Fuer alle Dinge, die zum Diebstahl meiner Identitaet oder zum Diebstahl von Geld dienen koennten benutze ich harte Passwoerter, die ich, wie viele hier, mit keepass verwalte.
Alle paar Wochen uebertrage ich dann die LastPass Passwoerter auch mal zu meiner keepass Datenbank, damit ich im Fall von Schwierigkeiten bei LastPass immer noch ein Backup habe.
@Morgis
Demnach wäre
spiegel.de
e710:M0rn!ngShow
Aber generell sind solche Methoden schon gut und deutlich sicherer als die Passwörter welche wohl 90% der Bürger verwenden. Wenn im Bekanntenkreis mal wieder Computerprobleme anstehen und einem Passwörter mitgeteilt werden kann man sich immer nur an den Kopf fassen. Allein der Name der Kinder macht schon fast 50% aus welche im nächsten sozialen Netzwerk preisgegeben werden.
Obige Algorithmen benötigen da schon mehrere Passwörter um sie zu entschlüsseln. Sicher kann man es mit ausreichend Zeit auch anhand eines lösen, aber diese Mühe wird sich kaum einer machen. Da greifen „Täter“ lieber zum nächsten Account welcher wieder ein Universalpasswort verwendet.
Nicht ganz:
spiegel.de
i510:M0rn!ngSh0w
Okay, meine Annahme war zweite Vokal + Anzahl der Zeichen vor dem dot (abgesehen von geteilten wie dieser hier) + Anzeichen der kompletten Domain 🙂 Lag dann wohl daneben 🙂
Nur zu 1/3 korrekt 😉
Meine Annahme wäre 1. Zeichen: keine Ahnung + Anzahl aller Konsonanten in der URL + Anzahl aller Zeichen in der URL.
Schätze mal 2/3 richtig 😉 Auf das 1. Zeichen komme ich nicht.
Ich finde, bevor Google einen PasswortCreator in Chrome einbaut, sollten zunächst mal Masterpasswörter möglich sein. Chrome ist sehr komfortabel, aber der PasswortManager ist grottig. Deswegen warte ich erst mal ab, wie sich Chrome entwickelt, bevor ich jubel.
Idealer sind entweder LastPass oder die Variante, die Morgis vorstellt. Habe selbst so ein Passwortsystem genutzt. Nun setze ich aber auf den PasswordMaker und empfehle den sogar weiter. Der Einstieg ist zwar mit ein wenig Aufwand verbunden; dafür lässt sich der PasswordMaker nach ein bisschen Eingewöhnung sehr flott und komfortable nutzen.
Würde ich nicht machen, meine Passwörter generiere ich mir selber, da gibt es viele Möglichkeiten a la Eselsbrücken und so. Mir währe das zu unsicher.
Nutze selbst so ein variables Kennwortsystem seit zwei Jahren.
Hatte auch mit der Zeit fast jedes Passwort nachträglich geändert..
bis auf iTunes!
Und da wurde gestern 2×69,99€ durch inApp-Käufe abgebucht.. großes Kino! Gestern noch bis spät in der Nacht bei fast allen Diensten die Zahlungsmöglichkeiten entfernt. ClickandBuy und Apple haben zwar gut reagiert, aber dennoch bleibt der Schaden ein paar Tage/Wochen bestehen.
Man denkt immer dass sowas einem selbst nicht passieren kann.. bis es passiert 😀
@CherryCoke:
„Anzahl aller Konsonanten in der URL“ – Nicht ganz richtig, aber falsch. Die Konsonanten werden gezählt aber nicht in der URL 😉
Ich lasse für jeden Account ein eigenes 12-20 Stelliges Passwort von KeePass oder 1Passwort generieren. Dann habe ich meine Ruhe und dann Groß-und Kleinschreibung, Zahlen und Sonderzeichen auch nicht so leicht hacken. Nachteil: ich kann mir natürlich die Passwörter nicht merken und bin so immer von den oben genannten Tools abhängig. Aber die gibt es ja mitlerweile als mobile und Desktop Version.