Moin zusammen! Ihr habt ja sicherlich mitbekommen, was da rund um Sony abgegangen ist. Sony betonte auch, dass man seine Passwörter ändern sollte, sofern man woanders das identische nutzt, wie im PlayStation Network. Kennt man ja: 100 Dienste – ein Passwort. Ist ja leichter zu merken (aber ziemlich doof). Dann gibt es noch die Spezies Mensch, die ihre Passwörter online bei einem Dienst hinterlegen. Nicht unbedingt klüger, allerdings praktisch.
Der wohl bekannteste Dienst dürfte dabei LastPass sein, um Passwörter von A nach B zu synchronisieren. Es werden alle Browser unterstützt und zudem ist man auf allen Plattformen vertreten. LastPass bietet einen Sicherheitscheck für die Passwörter an. Dabei werden die von euch verwendeten Passwörter auf Häufigkeit und Komplexität getestet. Für den Sicherheitstest von LastPass müsst ihr nur diese Seite besuchen. Nach dem ihr euer Ergebnis erfahren habt, könnt ihr genau erlesen, warum es so ist, wie es ist. Doppelte Passwörter, kurze Passwörter und und und. Sollten LastPass-Benutzer ruhig mal machen 
Bildquelle: Safe von Jan Tik auf Flickr.
>> Sollten LastPass-Benutzer ruhig mal machen
klar, und mein hascherl landet auf ewig in irgendeiner rainbow table im internet.. ganz doll
“As always with LastPass, all encryption and decryption is done 100% locally on your machine. All unencrypted passwords are tested with local checks only.”
@Starantwalt, lesen, denken, posten.
Sehe ich das falsch oder wollen die, das ich dafür extra nen Konto anlege?
Nö, wenne eins hast, brauchste kein neues.
… also ja!
Wie soll Lastpass eure bei Lastpass gespeicherten Passwörter sonst auswerten?
@gabe, ich wollte mal das denken bleiben lassen und nur posten
wäre es im artikel erwähnt worden, wäre das nicht passiert. ne zeile wärs zumindest wert gewesen. denn die meisten online passwort generatoren und tests sammeln eben im großen stil für rainbow tables. sollte man sich zumindest mal im hinterkopf bewahren.
Ich habe mal eine Frage zur TrueCrypt Verschlüsselung. Wenn ich AES wähle, ab wie viel Zeichen ist das Passwort relativ sicher? Wie merkt ihr euch z.B. ein 40 Zeichen Hauptpasswort?
Ich habe mir einen kleinen Text gemacht und dort dann noch / usw. eingebaut, aus dem Text habe ich dann den ersten Buchstaben vom jeweiligen Wort genommen. Den Text habe ich im Kopf.
Achja, welche Verschlüsselung ist denn überhaupt relativ sicher? (Habe meine Daten auf einem USB-Stick mit einer versteckten Partition).
Macht ihr das auch so?
Oha!
Wie macht ihr das denn mit den Passwörtern? Bin durch Caschy auf 1Password gestoßen (inklusive Lizenz) und hau’ dort alles rein. Einige Passwörter weiß ich auch so, doch alle natürlich nicht. Allerdings traue ich mich auch nicht, meine Datenbank über die Dropbox zu synchronisieren. Würdest ihr Lastpass als gute Alternative sehen? Oder ist das das gleiche in grün?
Schönen Gruß, bin für jeden Tipp dankbar
Wenn man Passwörter schon auf ihre Qualität testen will, dann kann man dies auch auf seriöseren Seiten wie
https://passwortcheck.datenschutz.ch/
machen. Wobei ich selbst dort die Passwörter nicht 1:1 in der Form eingeben würde, in der sie letzten Endes tatsächlich verwendet werden.
Also ich habe etwa 10 PWs die ich aus alten Zeiten übernommen habe. Der Rest ist von Lastpass generiert. Und bei dem Test komme ich auf 70% ? Das spricht dann aber nicht für LP oder?
Nabend,
wollte auch erst sämtliche Passwörter auf dem iPad speichern. Bin aber wieder von abgekommen, denn jedes Backup und das iPad können ja auch futsch gehen.
Hab nun im Fernsehen einem Spezi einen guten Tipp abgeschaut.
Erstellt euch einen Satz den ihr euch sehr gut merken könnt. Dann nehmt ihr die Anfangsbuchstaben und auch Satzzeichen und bildet euer Passwort:
Satz = 46, dies ist meine Schuhgröße!
Passwort = 46,dimS!
Find ich super und leicht zu merken. Das ich nicht selber darauf gekommen bin.
Hi,
ich find LastPass ne super Sache und hab den Test auch gleich mal gemacht… war vom Ergebnis leicht schockiert, aber egal
Also mir sind diese Passwort Dienste suspekt – wenn es da mal ein Sicherheitsleck gibt, sind alle Passwörter weg.
Um nicht auf allen Websiten dasselbe Passwort zu benutzen und dennoch die Zahl der zu merkenden Passwörter klein zu halten, benutze ich des FF Add-On Password Hasher. Das generiert für jede Website ein individuelles Passwort – mit Sonderzeichen usw. Gespeichert wird da kaum was und ich muss mir quasi nur das Master Passwort merken.
Praktischerweise kann man das Tool mittels Generator auch portabel nutzen – beispielsweise über die Dropbox. Finde ich die beste Lösung!
https://addons.mozilla.org/en-us/firefox/addon/password-hasher/
@-e!-: Password Hasher gibt es allerdings nur für Firefox. Flexiblere Lösungen, die Firefox nicht zwingend voraussetzen, wurden mit PasswordMaker und RndPhrase bereits hier im Blog vorgestellt. Dennoch haben alle diese Lösungen aber ein gemeinsames Problem: Soll das Passwort für eine Adresse einmal geändert werden oder ändert sich die URL sogar selbst, sind Anpassungen entweder nur sehr umständlich oder sogar überhaupt nicht möglich.
@DonHæberle
Danke für den Hinweis, werd ich mir mal ansehen. RndPhrse erscheint mir auf den ersten Blick jedoch umständlicher.
Den Hasher benutze ich jetzt schon seit Jahren und kann die besagten Probleme nicht nachvollziehen.
Das Tool bietet einen portablen Ableger – eine einfache HTML Seite – in den Optionen zum Download an, die daher quasi überall aufgerufen werden kann, bloß muss man dann das Passwort händisch kopieren. Kann also am USB Stick oder wo auch immer benutzt werden – flexibler geht es doch kaum?
Das Passwort für eine Seite zu ändern ist imho kein Problem, weil eine Funktion zur Variation eingebaut ist – die auch problemlos funktioniert. Zumindest hatte ich nie Probleme damit.
Bleibt noch der letzte Punkt, die URL – PasswordHasher merkt sich jedoch nicht die URL selbst, sondern nur einen Teil – bei Amazon reicht “amazon”, bei Paypal “paypal” – diese Namen werden auch gespeichert, so stellt eine URL Änderung in der Regel keine Probleme dar, weil man ja auf das alte Passwort einfach zugreifen kann.
Im Moment kenne ich, als Laie, keine bessere Lösung. Und unter Firefox ist das Ganze auch sehr komfortabel gelöst.
@-e!-: Es gibt auch andere, einfachere und sogar softwarelose Methoden um sich für unterschiedliche Seiten unterschiedliche Passwörter zu erstellen, die man sich nicht einmal merken muss. Aber ich muss zugeben, dass ich zur Sicherheit (und auch aus Bequemlichkeit) dennoch auf Datenbanken wie KeePassX zurückgreife und mir alternative Tools wie diese gelegentlich gerne anschaue.
@DonHæberle
Klingt interessant – welche wären dies? Als Kompromisslösung zwischen Komfort und Sicherheit kenne ich keine Alternativen. Eine Datenbank für Passwörter hat für mich jedenfalls einen schalen Beigeschmack – alles was nicht gespeichert ist, kann auch nicht geklaut werden… ^^
Nun – ich konstruiere mir meine Passwörter immer ad hoc aus mehreren Komponenten. Ein Teil davon ist statisch und wird quasi immer in den Passwörtern verwendet. Ein anderer Teil ist dynamisch und hängt von der Seite und/oder Teilen des Loginnamens ab. So brauche ich mir lediglich ein einheitliches Schema merken und hab dennoch (selbst in der Länge) unterschiedliche Passwörter mit Ziffern, Sonderzeichen, Groß-/Kleinschreibung etc., die selbst mit verhältnismäßig lausigem (kurzem) dynamischen Teil im Worst-Case-Fall lt. datenschutz.ch mehrere Quintillionen(!) Versuche benötigen würden. Auch wenn ich die Passwörter nicht weiß, so sind sie damit immer sehr leicht zu rekonstruieren – von den üblichen Ausnahmen mal abgesehen.
Ich mache das nach folgenden Schema: dienst/website-passwort
Der Vorteil man merk sich ein komplexes Passwort und erweitert das dann um den jeweiligen Dienst. Beispiel: paypal-8JAtwHt3
So muss man sich nur 8JAtwHt3 merken und hat trotzdem immer ein unterschiedliches Passwort.
@Steffen
Naja, aber wenn jemand einmal dein System raus hat, wirds leicht. Ich glaube Keypass und TrueCrypt(AES) mit einem 40 stelligen Password sollte für “normale” Anwender reichen.
Kenn jetzt zwar nicht die ganzen Unterschiede zwischen AES usw., aber denke das sollte dann sicher genug sein.
Hi! Ich merke mir inzwischen außer meinem Computer-Login und dem Master-Paßwort für KeePassX kein Paßwort mehr. Toll an KeyPassX ist die AutoType-Funktion, mit der Username und Kennwort nach Drücken einer Tastenkombination automatisch in die Eingabe-Felder eingetragemn werden. Das funktioniert in Web-Browsern als auch in Anwendungs-Programmen. Die individuellen Paßwörter erstelle ich alle mit einem Tool unter KeePassX. Zumeist sind das Zufallsfolgen von Zahlen und Buchstaben, Groß- und Kleinschreibung. Dabei nutze ich immer die Maximalanzahl der Zeichen aus – Merken muß ich mir das Gott-sei-Dank nicht mehr. Die verschlüsselte KeePassX-Datenbank lagert überall zugreifbar auf meinem DropBox-Account. Außerdem habe ich KeePassX auch auf meinem Windows Mobile Phone, falls ich z.B. mal vor der Packstation stehe und mir die Postpin nicht einfällt
ich würde nie einen passwort test im netz machen. einfach aus prinzip. egal wie seriös der betreiber ist.
werft einfach nen blick auf diese grafik und verinnerlicht die fakten. mehr braucht man nicht:
http://fastcache.gawkerassets......swords.jpg
@Pietz: Es zwingt dich niemand die richtigen Passwörter bei solchen Tests 1:1 zu verwenden. Wobei ich das bei o. g. LastPass-Test nicht sagen kann, da dieser ohne das LastPass-Add-on (und somit dortiger Registrierung und Anmeldung) nicht verfügbar ist.
3 Trackback(s)
Lastpass Security Challenge , Test Your Last Pass Passwords
Anonymous
Mozilla visualisiert Passwörter
Deine Meinung ist uns wichtig...