Britischer Geheimdienst GCHQ empfiehlt vereinfachte Passwortregeln
Der englische Humor ist ja gleichermaßen berühmt wie berüchtigt – das Statement, welches der britische Geheimdienst GCHQ („Government Communication Headquarters“) aber unlängst von sich gegeben hat, könnte sich kein Komiker Großbritanniens wohl jemals so ausgedacht haben: Die freundliche Organisation, die speziell mit der systematischen Überwachung von UK-Bürgern von sich reden machte, hat nun in einer neuen Informationsbroschüre die Empfehlung ausgesprochen, in Zukunft doch bitte keine zu komplexen Kennwörter zu verwenden.
Wer sich jetzt die Frage stellt, ob die Kolleginnen und Kollegen beim GCHQ möglicherweise zu heiß geduscht haben, sollte sich einmal das Pamphlet „Password Guidance: Simplifying Your Approach“ zu Gemüte führen, um die Vermutung vielleicht bestätigt zu bekommen.
Hier will man den Leuten ein paar Richtlinien auf den Weg geben, die alles „einfacher“ machen sollen – und macht nebenbei eine Rolle rückwärts, empfahl man doch seinerzeit mehr Komplexität für stärkere Kennwörter. Die Richtlinien sollen nicht nur für den Endverbraucher im heimischen Haushalt, sondern auch für IT-Bedienstete gelten – unter anderem empfiehlt man freundlicherweise das Ändern von Standardkennwörtern sowie die Vermeidung davon, diese in Klartext-Dateien zu speichern.
Ergeben die ersten beiden Empfehlungen noch Sinn, kommt man nachfolgend mit dem Rat um die Ecke, einen „Password Overload“ zu vermeiden, bei dem die User zu viele und leicht zu vergessende Kennwörter wählen. Dieses Verhalten resultiere letztendlich darin, dass die Benutzer die Kennwörter aufschreiben und auf mehreren Plattformen benutzen, was sie wiederum unsicher macht. Auch Firmen sollten – anstatt entsprechende Passwortregeln zu nutzen – lieber stärkere Sicherheitsmaßnahmen im Allgemeinen einsetzen, was dann wiederum keine allzu starken Kennwörter mehr erfordert. Nun ja.
Last but not least kommt vom GCHQ dann noch die finale Empfehlung, am Ende doch auf Passwortmanager zu setzen, die sowohl für das Speichern als auch das Generieren der Kennwörter zuständig sind. Zusätzlich gewürzt wird die Empfehlung allerdings durch das „Aber“, was in Form des Gedankens, dass auch Passwortmanager nur (angreifbare) Softwareprodukte sind, entsprechend Grund zum Nachdenken gibt. Schließlich war doch speziell der GCHQ einer der Organisationen, die durch exzessives Bespitzeln der eigenen Bürger innerhalb der Landesgrenzen (und teilweise darüber hinaus) unlängst traurige Berühmtheit erlangt haben.
Wie handhabt Ihr Eure Passwörter? Seid Ihr vielmehr bequem und nutzt ein Kennwort bei vielen Diensten? Oder ist ein Passwortmanager im Einklang mit Funktionen zur Passwortgenerierung Euer bester Freund in Bezug auf die Kennwortsicherheit? Inwieweit könnte Euch ein Dokument Eurer Regierung dazu bringen, an Eurem Verhalten bezüglich Kennwortrichtlinien etwas zu überdenken?
Wird geladen ...
Ich benutze das simple Tools ‚pass‘ zum Verwalten meiner Passwoerter, welche mit meinem PGP-Key verschluesselt sind.
Edit: Das ganze kann man auch gut Syncen mit den üblichen verdächtigen
@mnemo: Haha, genau das war auch mein erster Gedanke! 🙂
KeePass2.
Stationär am PC und unterwegs (Büro etc.) externe Festplatte als portable App.
Synchronisation über PureSync.
Verschlüsselte Messenger sollen im UK ja auch verboten werden.
Muss also doch was dran sein, an der Qualiiät von Threema & Co.!
Fehlt nur noch dass sie dem Nutzer eine Liste „sicherer“ Passwörter in die Hand geben die man nur noch abtippen und ankreuzen muss.
Verrückte Welt..
Ich trage zusätzlich einen spitzen Hut aus Alu-Folie, damit meine sehr langen und komplexen Passwörter weder von den diversen Geheimdiensten, Aliens oder anderen subversiven Elementen aus meinem Kopf gesaugt werden können!
Cast Away. Und Willson ist der Regierungschef. Oder wie?!
Ich nutze Keepass. Den gesamten Online-Passwortmanger-Diensten wie Lastpass oer 1 Password traue ich nicht über den Weg. Ich hätte dort keine Kontrolle darüber was der Anbieter mit meinen Passwörtern macht! Klar, versprechen sie, dass sie es nicht entschlüsseln können, aber kontrollieren kann ich es ebend nicht. Vertrauen ist bei Freunden gut, bei allen anderen ist Kontrolle besser!
Für soetwas kommt nur eine OpenSource-App in Frage, bei der man
1. Einblick in den Quellcode nehmen kann.
2. Den Container da speichern kann, wo ich es für richtig halte (z.B. ein USB-Stick)
3. Ich als Schlüssel auch einen Kombischlüssel festlegen kann. Wie z.B. ein Passwort zusammen mit einer Schlüsseldatei oder Smartcard.
Kein Passwortprogramm. Irgendwie ist mein Vertrauen in diese Art von Software begrenzt und ich habe immer Angst, aus irgendwelchen Gründen auf gar nichts mehr zugreifen zu können. Auch wenn es irrational ist, wie meine Gattin seit Jahren und über viele Handheld/Smartphone Generationen beweist.
Ich versuche einen Mittelweg.
Für einige mir unwichtige Dienste verwende ich gleiche Passwörter.
Für einige wichtige Dienste gibt es verschiedene und Bankkonten bzw. alles was mit Geld zu tun hat (Amazon, Ebay z.B.) bekommen ein spezielles Verfahren mit relativ häufiger Änderung.
Das funktioniert seit Jahren hervorragend und ist auch mit durchschnittlichem Aufwand zu schaffen.
Ich verwende verschiedene Passwörter, die wenn überhaupt, offline aufgeschrieben sind.
Ich nutze seit gefühlten 15 Jahren jpasskeeper (als Java Anwendung) und somit plattformunabhängig.
Passwörter generiere ich mir selbst in Verbindung mit div. festgelegte Parametern, Dienstekennung, Sonderzeichen und einem Algorithmus, welcher mehrere Zahlenwerte aus dem Passwortnamen errechnet. Damit muss ich mir unterwegs keine Passwörter merken sondern nur meine geheimen Parameter. Alles andere leite ich ab und errechne es bei der Nutzung des gewünschten Dienstes schnell im Kopf. Je nach Parametern kann ich dauerhaft Passwörter generieren die mind. 10 und mehr Zeichen beinhalten.
Keepass mit 21-stelligem PW, Boxcryptor/deutsche Cloud und Paranoia ausschalten 😉
1Password mit starkem Master-Passwort und Sync über Dropbox. Für wichtige Accounts (Google, Facebook, Dropbox, MS, etc.) zusätzlich 2 Factor Authentication mit Authy. Papierlösung ist mir zu riskant, da ich die Passwörter unterwegs benötige und mir das Mitnehmen eines Zettels zu gefährlich ist, falls ich diesen verliere oder jemand den ausspäht.
…Tjoa. Interessanter Artikel.
Bei mir: Für („normal-wichtige“ Passwörter) nehme ich auch Keepass. Allerdings wird die Datei nicht gesynct und Keepass bekommt auch keinen Zugang zum Internet. Wichtige Passwörter im Kopf oder im Ordner/auf dem Zettel.
Die *.kdbx Datei liegt außerdem nicht offen auf dem PC sondern per Drittanbieter Software (damals unter Windows) in verschlüsselter Datei.
Jetzt unter Linux (Ubuntu Gnome) habe ich einen verschlüsselten „Private“ Ordner angelegt. Das geht hier supi und einfach. Daher entfällt das zusätzliche Verschlüsseln für meine Wenigkeit.