Kommentar und Tipps: Sichere Passwörter und der Umgang mit der Cloud

3. März 2013 Kategorie: Backup & Security, Internet, geschrieben von: caschy

Gestern hat es also Evernote erwischt. Man hat Einbrüche auf dem Server festgestellt. Es wurden Daten gestohlen. Man hat kurz danach viele wütende Benutzer gegen sich gehabt. Ich behaupte: Evernote hat das einzig Richtige getan. Systemweite Aufforderung, die Passwörter zu ändern. Es nützt keine Informationsmail a la “Bitte ändere dein Passwort”.

Enigma

Um Schaden abzuwenden, muss reagiert werden. Sofort. Was wurde eigentlich gestohlen? Auch hier herrscht viel Unwissen und Panikmache. Benutzernamen wurden gestohlen und die dazugehörigen E-Mail-Adressen. Über den Umfang ist nichts bekannt, aber unter Umständen bekommt ihr auf dieser Adresse Spam oder betrügerische E-Mails. Wollen wir hoffen, dass die Provider gute Spamfilter einsetzen.

Wurde noch etwas gestohlen? Ja, Passwörter. Aber – und hier herrscht viel Unwissen bei einigen – diese wurden natürlich nicht im Klartext gestohlen. Die Passwörter werden ja vorab erst einmal in einen Hash-Wert umgewandelt.  Was ist ein Hash-Wert bei Evernote? Ein Hash-Wert ist ein Wert fester Länge, welcher aus dem Passwort generiert wird. Dieser Hash-Wert lässt sich aus dem Passwort zwar immer wieder mit der gleichen Summe berechnen, aber im besten Fall nichts rückwärts.

Heißt: Dein Benutzername bei Evernote ist Mongobongo17 und dein Passwort “Passwort123″. Evernote hinterlegt nun aus diesem Passwort einen Hash-Wert auf den eigenen Servern, damit man dich authentifizieren kann. Das alles ist natürlich stark vereinfacht von mir beschrieben.

War das alles? Nein, Evernote setzt noch eine weitere Strategie ein, die sich “Salted Password” nennt. Dies bedeutet, dass eine zufällig gewählte Zeichenfolge vor der Verwendung / Umwandlung in einen Hash-Wert eurem Passwort angehangen wird. Dies ist interessant bei Leuten, die immer und überall das gleiche Passwort benutzen. Die Möglichkeit, dass zwei Benutzer den gleichen Hash-Wert zugeteilt bekommen haben, ist ziemlich gering, nun kommt aber die zweite Komponente ins Spiel.

Benutzername Mongobongo17 ist bei Dienst XY nebst Passwort “Passwort123″ angemeldet. Wird hier zum Beispiel das Passwort gestohlen – aus welchen Gründen aus immer, so könnte man zum Beispiel erkennen, dass Benutzer Mongobongo17 mit dem gleichen Passwort (weil gleicher Hash) auch bei Evernote angemeldet ist. Das Vorab-Salzen des Passworts mit einer Zufallszahl verändert den Hash also auf einmalige Weise, sodass nicht erkannt werden kann, ob Benutzer Mongobongo17 bei den ganzen Diensten ein Passwort nutzt. Dieses macht man auch, um das Entschlüsseln der Hashes zu erschweren. Entschlüsseln = Rechenzeit. Das Salzen sollte zur Pflicht werden, da sich Hashes diverser Passwörter sogar per Google auffinden lassen.

Sichere Passwörter und Cloud-Benimmregeln

Viel trockene Theorie, bevor wir zur Praxis kommen. Habe ich Tipps? Regeln? Schwer, denn jeder meiner Tipps würde euch vielleicht aus eurem Workflow reißen. Sicherheit ist nicht immer bequem. Ich kann ja mal einige Sache in die Runde schmeißen, die ihr vielleicht einmal bedenken solltet. Eure Tipps gerne auch in die Kommentare.

Passwörter erstellen und nutzen

Nutzt nie das gleiche Passwort bei Diensten. Ja, das ist verdammt noch mal nicht gerade einfach, bei vielleicht 50 Diensten den Spaß im Kopf zu behalten. Aber müsst ihr das? Habt ihr keinen Passwort-Manager, der dies für euch erledigt? KeePass? 1Password? Die könnt ihr am Rechner und mobil am Smartphone benutzen. Die Programme können sogar sichere, einmalige Passwörter generieren!

Wie bitte? Ihr braucht Offline-Zugriff auf Passworte? Ok, dann nutzt doch eine Passwort-Karte. Eine Passwort-Karte besteht aus vielen Buchstaben, Reihen und Zahlen. Diese Karten kann man generieren, die Seiten bieten auch weiterführende Information zum Thema: PDF zur Passwort-Karte, Passwort-Karten-Generator und noch eine Seite nebst Generator zum Thema Passwort-Karte.

Speichere deine Passwort-Dateien sicher und verschlüsselt, Textdateien mit Klartext sind gefährlich.

Ihr könnt also problemlos und kostenlos Passwörter erstellen, nutzen, verwalten – und dies sogar offline. Die halbe Miete!

Nutzung der Cloud

Und in der Cloud? Nutzt, wenn möglich, 2-Faktor-Authentifizierung! Google bietet es an, Dropbox bietet es an, LastPass und einige andere auch – Facebook zum Beispiel. Wozu ist das gut? Als weiterer Sicherheits-Aspekt müsst ihr nebst Benutzernamen und Passwort einen Code eingeben, der auf eurem Smartphone erscheint. Somit soll sichergestellt werden, dass Fremde nicht eure Passwörter nebst Benutzernamen ausprobieren.

Zusätzlich verschlüsseln, wenn möglich. Dropbox bietet den Abgleich mit TrueCrypt-Containern an. Wie das geht, beschrieb ich hier. Sofern euer Workflow nicht zerhackt wird – nutzt es! Alternativ funktioniert auch BoxCryptor, welches sogar einfacher zu bedienen ist.

Muss das wirklich in die Cloud?

Hast du Daten wie Wallpaper und Software in der Cloud? Macht nichts, ist ja nicht so wild, wenn das mal wegkommt (so lange es keine Seriennummern sind). Aber denke mal drüber nach, ob die brisanten Dokumente wirklich in unverschlüsselt in der Cloud liegen müssen. Nutzt du das überhaupt? Hast du nicht eine lokale Lösung, die sich vielleicht besser anbietet? Sicherheit ist immer wichtiger als der wenige Mehraufwand. Lies dich vielleicht ein, wie dein Cloud-Anbieter die Daten speichert und überträgt.

Muss man den Dienst nutzen?

Überlegt euch vielleicht, ob ihr den Dienst benötigt. Kannst du nicht vielleicht mehrere Fliegen mit einer Klappe schlagen? Bequemlichkeit ist ein schlechter Berater.

Nicht nur dein Anbieter ist gefragt – auch du! Vielleicht findet der eine oder andere ja nun Muße, ein wenig an seiner Passwort-Sicherheit und an seiner Cloud-Nutzung zu schrauben.

Und ich?

Und da die Frage aufkommen wird, wie ich es denn so handhabe: Ich selber nutze auf allen Rechnern vollständige Festplatten-Verschlüsselung. Ebenfalls nutze ich, sofern angeboten, 2-Faktor-Authentifizierung. Wichtige Daten sind entweder verschlüsselt oder nicht in der Cloud. Dienste-technisch bin ich ein Minimalist. Ich benutze privat nur wenige Dienste, alte Dienste sollte man nicht vergessen, sondern den Account löschen.

Und ihr?

(Bildquelle: Enigma Rotor Set von brewbooks unter CC BY-SA 2.0)

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16514 Artikel geschrieben.


45 Kommentare

tim0e 3. März 2013 um 12:01 Uhr

Da passt die gleiche Frage von mir, die bisher leider noch nicht beantwortet wurde:
Nutzt ihr tatsächlich 1Password in Verbindung mit Dropbox, um die Passwörter auch auf iOS/Android zu haben? Und falls ja: Gibt es die Möglichkeit einer “Einmal-Synchronisation”, die man danach deaktivert, damit die Passwörter nicht ewig in der Dropbox liegen?

5kytec 3. März 2013 um 12:04 Uhr

Sehr gut beschrieben und die Tipps sind gut nachvollziehbar ! Allein “nicht überall das selbe Passwort” verwenden ist schon Gold wert.

Ich habe da allerdings selbst noch eine Frage.

Ich nutze 1Password und synce das via Dropbox (wegen der MacApp), hatte das Anfangs mittels iCloud gesynct, aber die Mac App von 1Passowrd (Version 3.x) kann noch kein iCloud syncen -> daher dann Dropbox.

Ist diese Variante zu empfehlen oder nicht ? Dropbox ist ja nicht wirklich verschlüsselt… wenn mir genau diese Datei abhanden kommen sollte, kann die dann easy peasy geöffnet werden oder ist diese Datei verschlüsselt und kann nur mittels 1Passoword genutzt werden (also nur mit meinem?!)

MfG

tamcore 3. März 2013 um 12:04 Uhr

Eigene Email (ala dropbox.com@tamcore.eu) und nen eigenes Passwort (bspw FRnp34xWnD38v7.6c~H,[wHj*) für jeden Dienst. So kann ich wie im Falle Dropbox und Evernote hergehen und ganz easy die entsprechenden Mail-Adressen an spam@uce.gov weiterlassen. Hinzu kommt, dass ich meine Dropbox schon lange durch ownCloud ersetzt habe.

Gordon 3. März 2013 um 12:12 Uhr

@5kytec: sämtliche Dateien/Daten von 1password sind komplett mit deinem Masterpasswort verschlüsselt. Selbst wenn jemand an die Rohdaten kommen sollte, kann er mit diesen nichts anfangen. Extrem wichtig ist daher natürlich ein starkes Masterpw.

Elmar Kruithoff 3. März 2013 um 12:20 Uhr

PasswordSafe (freeware) in Kombination mit YubiKey Neo. Ansonsten: Online-Banking mit TAN-Generator und PayPal ebenso.

Wixxer 3. März 2013 um 12:26 Uhr

Mir stellt sich bei so etwas immer die Frage: Wie sieht es mit der Sicherheit bei Hosting Paketen ala allinkl oder wie hier hosteurope aus?

Gibt es Möglichkeiten einen Einbruch auf den eigenen “Server” zu erkennen, vorzubeugen oder sind die ausreichend konfiguriert .. für Projekte wie dieses hier… WordPress usw….

Jürgen 3. März 2013 um 12:27 Uhr

Exzellenter Kommentar! Sollte jeder beherzigen!
Danke, Jürgen

sam 3. März 2013 um 12:35 Uhr

2 faktor authentifzierung hat aber auch nachteile und zwar große. egal um welche methode es sich dreht. dongle als app oder senden eines code an email/sms
denn wenn ich eine app auf mein telefon installiere, die mir nun einen 60 sekunden lang gültigen code generiert, kann ich meinen account nur solange ‘sicher’ benutzen, wie diese app unverändert auf meinem smartphone läuft. will heisen… wenn ich mein smartphone tausche, oder der app entwickler einen neuen zufallszahlengenerator benutzt, komme ich an meinen account nicht mehr ran. hoffentlich ist der support in diesemfalle willig zu helfen.

das zusenden eines codes birgt sogar noch die gefahr, wenn es per email passiert, dass jeder email relay server hier mit lesen kann. denn emails sind klartexte… ändere ich meine email, muss ich mich unbedingt daran erinnern, dass ich bei dem dienst auch meine neue email adresse hinterlege, so lange ich noch zugriff auf die alte adresse habe.

ändere ich meine handy nummer hab mit dem einlegen der neuen sim karte keine chance mehr an meinen account zu kommen, da nun der authcode an eine handy nummer geschickt wird auf die ich nicht mehr zugreifen kann.

einige anbieter verfallen hier nun wieder in die dämlichste aller ideen und bauen zu diesem zwecke ‘sicherheitsabfragen’ ein. da muss man dann auf vorgegebene fragen, antworten hinterlegen. dämlich? ja, weil solche systeme immer auf groß/kleinschreibung achten. habe ich nun auf eine frage zu einem ort mit frankfurt, frankfurt main, frankfurt am main, Frankfurt, Frankfurt Main, Frankfurt am Main, Frankfurt Am Main oder sonstigen schreibweißen geantwortet? hmm… gebe ich hier immer die selben antworten, haben social hacker extrem leichtes spiel. ändere ich meine art zu antworten kann ich im extrem fall trotz wissen der korrekten antworten nun an der schreibweiße scheitern. in dem fall zieht sich anbieter die auf sicherheitsabfragen setzen von der verantwortung zurück, mir helfen zu müssen.

ich habe für jeden dienst ein anderes passwort und zwar weil ich mir ein satz zurecht gelegt habe, bei dem ich den anbieter mit in mein passwort einbinde. so kann ich passwort mit mindestlängenpflicht locker erfüllen. groß/kleinschreibung ebenfalls. sonderzeichen ist auch dabei und eine zahl sowie so. klaut nun jemand mein passwort von einem dienst, kommt er unmöglich mit dem passwort an meine daten in einem anderen dienst. einziege einschränkung hier, es sei denn der dienst setzt auf diese sau dämlichen sicherheitsabfragen…

von diensten wie 1password halte ich rein gar nichts. weil ich hier davon abhängig bin, dass diese dienste meine passwörter sicher speichern und sich nicht austricksen lassen bei der automatischen login funktion. ein arbeitskollege hatte mir nämlich zeigen wollen wie toll 1password ist und hat einen wordpressblog auf wordpress.com geöffnet auf dem auch er einen account hat und siehe da, auf der falschen seite hat 1password nun seine account daten in ein fremdes formular eingetragen… für ein grund mehr dieses 1password ding nicht zu benutzen.

caschy 3. März 2013 um 12:41 Uhr

@Sam: Falsch. 1Password ist kein Dienst, sondern ein lokales Programm. Denkfehler 2: bei Zwei-Faktor-Auth bekommst du für diesen Falle spezielle Codes im Vorfeld.

taranis01 3. März 2013 um 13:15 Uhr

bei Heise wurde ein Interessanter Artikel veröffentlicht, wie man die ganzen Passwordtools weglassen könnte: http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html?artikelseite=3

HolgerFreier 3. März 2013 um 13:18 Uhr

ich nutze Roboform light. muss gleich wichtige Passwörter löschen. Man weiß ja nie..

Besucherpete 3. März 2013 um 13:33 Uhr

Ich hab mir schon vor ‘ner ganzen Weile angewöhnt, ähnlich wie oben beschrieben, Passworte zu nutzen, die im Grunde immer gleich sind, jedoch zusätzlich einen konkreten Bezug zum jeweiligen Dienst oder Anbieter beinhalten. Daneben nutze ich KeePass (auf dem Rechner und mobil). Die Datenbank dazu liegt in der Dropbox, allerdings auch nochmal verschlüsselt durch BoxCryptor bzw. EncFS, zusammen mit anderen Daten.

Tchooe 3. März 2013 um 13:45 Uhr

@ sam:
„habe ich nun auf eine frage zu einem ort mit frankfurt, frankfurt main, frankfurt am main, Frankfurt, Frankfurt Main, Frankfurt am Main, Frankfurt Am Main oder sonstigen schreibweißen geantwortet?“

halte dich einfach an die offizielle bezeichnung und an die gültige deutsche rechtschreibung. dann ist dein problem kein problem mehr und auch andere können deine texte in blog-kommentaren flüssiger lesen. und ja, schimpf mich ruhig oberlehrer.

@ caschy:
Vielleicht oute ich mich als total unwissend, aber: Wovor schützt mich die Totalverschlüsselung meiner Festplatte, wenn ich der einzige bin, der Zugang zu meinem Rechner hat? (Einbruch und Diebstahl sei mal außen vor gelassen.)

Jakob 3. März 2013 um 13:53 Uhr

@cashy: Meintest du nichtmal, dass du alle deine eingescannten Dokumente bei evernote hast? Dort kann man die doch nicht versclüsseln oder?

Walter 3. März 2013 um 14:00 Uhr

http://www.datenschutzforum.net/datenschutzforum-wAssets/img/Anleitung_Passwortkarte.pdf

find ich mal für DAUs richtig gut! kannte ich noch gar nicht :) danke

Jakob 3. März 2013 um 14:08 Uhr

Zitat asu dem Heise Artikel:
“Der Sicherheitsexperte Thomas Roth von Leveldown Security analysierte erst kürzlich ein Malware-Sample, das bei Nutzern von 1Password die Klartext-Passwörter aus dem Arbeitsspeicher fischt.”

schulti 3. März 2013 um 14:11 Uhr

Ich habe eine Passwort für (fast) alle Webseiten. Allerdings wird das Passwort bei der Eingabe mit pwdhash verschlüsselt. Als Basis für die Verschlüsselung gilt der Domainname der Webseite auf der ich mich gerade einloggen will. Einfacher geht es nicht.

Funktioniert nur bei meiner Bank nicht, denn die erlaubt keine Sonderzeichen im Passwort. m(

Glenmor 3. März 2013 um 14:12 Uhr

Hat jemand eine Tipp was man macht wenn man bei Evernote kein neues Passwort anlegen kann, bei jedem Versuch kommt Falscher Benutzername und/oder Passwort.

geno 3. März 2013 um 14:35 Uhr

@Caschy
Wie genau funktioniert denn bei dir die Komplettverschlüsselung unter Mac OS X und Timemachine? Landet da nicht letztendlich alles in Klartext im Backup? Würde mich mal wirklich interessieren ob du dafür eine Lösung hast, denn in den Optionen von Timemachine finde ich keine Möglichkeit ein Passwort zu definieren.

Malibu 3. März 2013 um 15:34 Uhr

@tamcore

Die Idee mit der eigenen eMail-Adresse für jeden Dienst halte ich für gut, aber leider auch recht aufwendig. Ich hab das selbst mal gemacht, aber irgendwann will man sich doch “mal schnell” irgendwo anmelden und dann vergisst man doch erst die Mail-Weiterleitung einzurichten.

Jetzt habe ich in 1Password 363 Logins und keine Lust für jeden eine eigene eMail-Adresse anzulegen :)

Und wenn dann doch mal ein Passwort vergisst/verliert steht man vor der Frage:

Hab ich mich damals mit caschy@spamnichtrum.cno oder stadt-bremerhaven@spamnichtrum.cno angemeldet?

Interessant wäre es aber auf alle Fälle. Habe gerade neulich bei einem Dienst angemeldet und hatte keine 10 Minuten später 2 Spam-Mails im sonst Spamfreien Postfach…

Walter 3. März 2013 um 15:39 Uhr

363 logins?… himmel, ich hab evtl. 30 und empfinde das schon als viel :)

dischue 3. März 2013 um 16:06 Uhr

@Jakob:

Je es gibt immer wieder Szenarien, bei den das eine oder ander möglich ist. Den genauen Artikel von Heise kenne ich jetzt nicht – aber letztens stand wieder so etwas drin, bei dem “sicher” Dinge doch gehackt wurden.
Zum Teils ist das aber mit fast absurdem Aufwand verbunden und/oder direkter, lokaler Besitz auf den Rechner nötig (inklusive runterkühlen des Arbeitsspeichers u.ä.)
Das spricht dann zwar für die theoretische Machbarkeit aber nicht unbedingt für eine praktische Umsetzung.
Wenn das bei mir zuträfe – also dass jemand den RAM meines PC kühlen kann – wäre das Paßwortproblem noch meine geringstes.
Das muß jetzt nichts mit dem zu tun haben, was Du meinst, zeigt nur, dass es keine 100% sicherheit gibt.

Wenn ich nicht irre, stand auch bei Heise ein weiterer Trick, um Paßwörter zu speichern:
Notizbuch, kein Toool sondern diese kleinen Dinge mit Seiten aus Papier (das zeug, dass aus Holz gemacht wird und früher mit Stiften beschrieben wurde)
So hat jemand mal dargelegt, dass er die allerwichtigsten PW auf diese Art speichert, die nächst wichtigen per Passwortsafe wie keepass.
Die Lösung taugt natürlich nur bedingt, wenn man oft unterwegs ist…

Emanuel-S 3. März 2013 um 16:25 Uhr

@caschy: verwendest Du selber ein Tool zum Passwort-Management z.B. KeePass oder ähnliches? Oder auch da ganz minimalistisch mit Kopf und Gedankenspeicher?

caschy 3. März 2013 um 16:39 Uhr

@Emanuel: 1Password derzeit, hatte vorher KeePass und LastPass.

Harry 3. März 2013 um 16:50 Uhr

@Caschy
Soso ein Einbruch wird jetzt schon als Panikmache abgetan, hoffentlich erwischt es dich nicht einmal, da bin ich dann der erste der das als Panikmache abstempelt.

caschy 3. März 2013 um 17:06 Uhr

@Harry: Lesen und verstehen. Es gibt Newsseiten, die berichten von geklauten Passwörtern und Daten. Dies ist einfach nicht wahr. Und mir so etwas wünschen? Armselig. Echt. Man wünscht keinem Menschen etwas Schlechtes. Oder bist du so ein schlechter Mensch? Unfassbar, echt.

Thomas 3. März 2013 um 17:56 Uhr

Guter Artikel !
Ich selber nutze einen elektronischen Passwordsafe mit 256Bit Verschlüsseling und starken Masterpassword – darin sind alle meine Off-/Onlinepassworde gespeichert, natürlich mit mehrfachen Backup der Datenbank.
Für Onlinedienste nutze ich in der Regel mind. 12-Stellige vollkryptische Passwörter, die man nicht erraten kann ( Gross/Kleinbuchstaben + Zahlen + Sonderzeichen ).
Meine Festplatten habe ich ebenfalls alle verschlüsselt, allerdings nutze ich mitlerweile keine TrueCrypt mehr dafür, wegen mehrfacher Probleme und Datenverlusten – ich setze auf Bitlocker, welche Bestandteil von Win7 ist.

llcj 3. März 2013 um 19:12 Uhr

“natürlich nicht im Klartext”
So natürlich ist das leider überhaupt gar nicht!

Harry 3. März 2013 um 19:34 Uhr

@caschy
Amen.

Peter 3. März 2013 um 19:49 Uhr

Hallo zusammen.
Für alle die noch bischen oldschool unterwegs sind….und keinen Passwortgenerator benutzen wollen….
Es ist ja schwierig sich ein Passwort zu merken was aus sinnlosen Buchstabenaneinanderreihungen besteht.
Folgender Tipp:
Man nehme den Text eines Liedes an das man sich gut erinnert…
z.B. Ich wünsch mir ne kleine Miezekatze für mein Wochenendhaus,
der schenk ich eine Luftmatratze und eine Spielzeugmaus !!
Daraus wird, wenn man nur die Anfangsbuchstaben nimmt:
IwmnkMfmWdsieLueS!!
Eventuell noch kombiniert mit dem Geburtsdatum des Goldhamsters
und schon hat man ein merkbares sicheres Passwort.
Und das schreibe ich analog in ein kleines schwarzes Moleskinebuch
und alles ist gut.
Vielleicht hilt es ja.
Schönen Abend.
PS: Ich halte es für den einzigen Weg sich bei den Usern ein guten Ruf
zu erarbeiten die Passwörter neu anzufordern.
Auch wenn der eine oder andere genervt ist, so habe ich es in der Hand was ich in Zukunft tue….

Kandisbunzler 3. März 2013 um 20:48 Uhr

Auch ich habe ein Passwort, welches domainabhängig abgeändert wird. Leider kommt auch dieses System teils an seine Grenzen, sofern die Website oder der Dienst Sonderzeichen gar nicht oder nur eine Auswahl davon für Passworte anbieten. Dann gibts Ausnahmen – also schon wieder weitere Passwörter. Geht aber noch.
Ein Programm zur Passwortverwaltung habe ich bisher noch nicht benutzt. Die Faulheit, mich damit zu beschäftigen, hat mich also schon erwischt. Da ist es ganz gut, einen oder 32 Blogs/Foren/Feeds zu lesen, die einem das von Zeit zu Zeit schön aufs Butterbrot schmieren. Das hilft, eine Weile sensibilisiert zu bleiben.
Und Abfragen a la wie hieß das erste Haustier deines Oberlehrers, sind einfach tatsächlich nur Mist. Angenommen du verwendest ein Passwort in schöner Regelmäßigkeit. Dann erlahmt dein Interesse an dieser Website genau so lang, bis du dein Passwort vergessen hast. Dann schaust du mal wieder vorbei auf jener Website. Die nun folgende Nachfrage zur Bestätigung deiner Identität, um ein neues Passwort zu generieren, muss in der bei Einrichtung des Accounts korrekten Schreibweise erfolgen. Wie sicher bist du dir dann noch? Selbst wenn Du dich an die deutsche Räschtschreipunk gehalten hättest, wäre die Wahrscheinlichkeit hoch, dass hier kein Treffer gelandet wird. Ist mir vor Anwendung der o.a. Methode häufig passiert.

mavvy 4. März 2013 um 04:09 Uhr

Minimalist sein finde ich gut. Viele Leute denken heute einfach nicht darüber nach welche sensiblen Daten sie ins Netz stellen. Es ist zu einer Selbstverständlichkeit und das aus Bequemlichkeit so geworden. Es ist auch naiv zu glauben seinen Account irgendwo zu löschen gewährleiste die totale Vernichtung seiner Daten. Schon in irgendwelchen Backups der Anbieter könnten die Daten höchstwahrscheinlich noch vorkommen. Die einzige sichere Option ist es, die sensibelsten Daten nicht physikalisch im Netz zu haben.

Thomas Schewe (@thosch66) 4. März 2013 um 08:28 Uhr

Danke für die unaufgeregte und sachliche Betrachtung zum Evernote-Vorfall. Insbesondere für die Klarstellung, dass salted Hashes noch lange nicht die Passworte sind, was der Masse Derjenigen, die darüber schreiben “mussten”, offenbar nicht klar ist.

H G (@HzweiG) 4. März 2013 um 10:31 Uhr

Die beste Cloud für Passwörter findet man oberhalb des eigenen Auge.
Passworttools sind für mich eher MuluMulu weil ich die kurzen Wege bevorzuge.
Ausserdem:
So toll es mit Crypt und Tool sein mag, ich denke Otto Normal verwirrt es mehr wie es nutzt.
Trotzdem:
Unter Lesen und Verstehen kommt ja auch mal der ein oder andere Tipp.
Hier ist es das “salzen”.
Auf einfachen Weg “salzt” man selbst sein Passwort.

Wie?
Erstmal bestimme ich eine Salzlänge, sollte schon mind. 4 Zeichen haben. Dann den Salz Ort davor oder danach.
Nun geh ich zum Dienst, z.B. Mulucloud.
Mulucloud kürze ich auf die Salzlänge ab, 4 Zeichen z.B. MuCl.
Je nachdem ob ich den Salzort davor oder danach bestimmt habe, setze ich “MuCl” vor oder nach meinem Passwort.
Danach sieht es dann so aus “Passwort-Salzlänge” / CaschyistderbesteMuCl.

Bei iTunes änder ich nur das Salzlänge Wort in Tune etc.
Ich kann zwischen an irgendeinem Ort noch ein Sonderzeichen einfügen und das Passwort noch länger machen.

Vorteil des ganzen:
Jeder Dienst bekommt ein eigenes Passwort ohne das sich das Kernpasswort ändert. Mit Salzlänge und Sonderzeichen verlängert sich dein Passwort und Macht es damit sicherer.
Du bestimmst deinen Algorithmus selbst, was es einfacher macht diesen auch zu behalten.
Das alles kostenlos und ohne weiteres Tool.

Danke Caschy, mit dem Artikel konnte ich was anfangen.

Drulli 4. März 2013 um 11:20 Uhr

Eine bescheidene Frage an die Experten hier: Wieso muss eigentlich ein Passwort-Schlüssel groß sein und somit die Zahl der möglichen Verschlüsselungskombinationen für das Passwort? Bei den meisten Diensten habe ich nur eine Handvoll Versuche. Danach ist entweder Sense oder Pause angesagt. Damit kommt doch kein Hacker(tool) klar.
Wo ist mein Denkfehler? Grüße! Drulli

Felli 4. März 2013 um 11:41 Uhr

Bei den Passwortkarten auf meine-passwortkarte.de habe ich ein Problem festgestellt:

Verwendet man ein Masterpasswort das einen Buchstaben, eine Zahl, mehrfach enthält, klappt das ganze nicht mehr.

Ich hab das mit RAMPENSAU als Masterpasswort ausprobiert und eine neunstellige Nummer zum verschlüsseln angegeben, zB für eine Kontonummer.
Es sollte 456 123 789 verschlüsselt werden und beim entschlüsseln kam 456 789 153 heraus, weil A für 5 steht.
Wie umgeht man dieses Problem? Ich finde die Passwortkarten nämlich echt klasse.

Felli 4. März 2013 um 11:44 Uhr

Ups, bei der zweiten Nummer vertan.
Die sollte 456 123 759 lauten.

Hansbert 4. März 2013 um 14:39 Uhr

@caschy: Bei alten Diensten den Account löschen würde ich auch gerne. Nur gerade beim aktuellen Fall von Evernote geht das gar nicht…

Whisker 4. März 2013 um 16:06 Uhr

@caschy: Danke für die angenehm unaufgeregte Berichterstattung.

Und danke vor allem für den “Tip” “Muss das wirklich in die Cloud?” Anscheinend vergessen manche vor lauter Cloud-Euphorie, daß es auch noch so praktische Dinge wie USB-Sticks, externe Festplatten, CD-/DVD-/BluRay-Rohlinge etc. gibt, um sensible Daten zu speichern.
Und an nem Stick in der eigenen Hosentasche beißt sich auch der beste Hacker die Zähne aus; und Zugriff darauf hat man auch dort, wo mangels Verbindung die ach so omnipräsente Cloud dummerweise grade jetzt nicht verfügbar ist.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.