Kommentar und Tipps: Sichere Passwörter und der Umgang mit der Cloud

Gestern hat es also Evernote erwischt. Man hat Einbrüche auf dem Server festgestellt. Es wurden Daten gestohlen. Man hat kurz danach viele wütende Benutzer gegen sich gehabt. Ich behaupte: Evernote hat das einzig Richtige getan. Systemweite Aufforderung, die Passwörter zu ändern. Es nützt keine Informationsmail a la „Bitte ändere dein Passwort“.

Um Schaden abzuwenden, muss reagiert werden. Sofort. Was wurde eigentlich gestohlen? Auch hier herrscht viel Unwissen und Panikmache. Benutzernamen wurden gestohlen und die dazugehörigen E-Mail-Adressen. Über den Umfang ist nichts bekannt, aber unter Umständen bekommt ihr auf dieser Adresse Spam oder betrügerische E-Mails. Wollen wir hoffen, dass die Provider gute Spamfilter einsetzen.

[werbung]

Wurde noch etwas gestohlen? Ja, Passwörter. Aber – und hier herrscht viel Unwissen bei einigen – diese wurden natürlich nicht im Klartext gestohlen. Die Passwörter werden ja vorab erst einmal in einen Hash-Wert umgewandelt.  Was ist ein Hash-Wert bei Evernote? Ein Hash-Wert ist ein Wert fester Länge, welcher aus dem Passwort generiert wird. Dieser Hash-Wert lässt sich aus dem Passwort zwar immer wieder mit der gleichen Summe berechnen, aber im besten Fall nichts rückwärts.

Heißt: Dein Benutzername bei Evernote ist Mongobongo17 und dein Passwort „Passwort123“. Evernote hinterlegt nun aus diesem Passwort einen Hash-Wert auf den eigenen Servern, damit man dich authentifizieren kann. Das alles ist natürlich stark vereinfacht von mir beschrieben.

War das alles? Nein, Evernote setzt noch eine weitere Strategie ein, die sich „Salted Password“ nennt. Dies bedeutet, dass eine zufällig gewählte Zeichenfolge vor der Verwendung / Umwandlung in einen Hash-Wert eurem Passwort angehangen wird. Dies ist interessant bei Leuten, die immer und überall das gleiche Passwort benutzen. Die Möglichkeit, dass zwei Benutzer den gleichen Hash-Wert zugeteilt bekommen haben, ist ziemlich gering, nun kommt aber die zweite Komponente ins Spiel.

Benutzername Mongobongo17 ist bei Dienst XY nebst Passwort „Passwort123“ angemeldet. Wird hier zum Beispiel das Passwort gestohlen – aus welchen Gründen aus immer, so könnte man zum Beispiel erkennen, dass Benutzer Mongobongo17 mit dem gleichen Passwort (weil gleicher Hash) auch bei Evernote angemeldet ist. Das Vorab-Salzen des Passworts mit einer Zufallszahl verändert den Hash also auf einmalige Weise, sodass nicht erkannt werden kann, ob Benutzer Mongobongo17 bei den ganzen Diensten ein Passwort nutzt. Dieses macht man auch, um das Entschlüsseln der Hashes zu erschweren. Entschlüsseln = Rechenzeit. Das Salzen sollte zur Pflicht werden, da sich Hashes diverser Passwörter sogar per Google auffinden lassen.

Sichere Passwörter und Cloud-Benimmregeln

Viel trockene Theorie, bevor wir zur Praxis kommen. Habe ich Tipps? Regeln? Schwer, denn jeder meiner Tipps würde euch vielleicht aus eurem Workflow reißen. Sicherheit ist nicht immer bequem. Ich kann ja mal einige Sache in die Runde schmeißen, die ihr vielleicht einmal bedenken solltet. Eure Tipps gerne auch in die Kommentare.

Passwörter erstellen und nutzen

Nutzt nie das gleiche Passwort bei Diensten. Ja, das ist verdammt noch mal nicht gerade einfach, bei vielleicht 50 Diensten den Spaß im Kopf zu behalten. Aber müsst ihr das? Habt ihr keinen Passwort-Manager, der dies für euch erledigt? KeePass? 1Password? Die könnt ihr am Rechner und mobil am Smartphone benutzen. Die Programme können sogar sichere, einmalige Passwörter generieren!

Wie bitte? Ihr braucht Offline-Zugriff auf Passworte? Ok, dann nutzt doch eine Passwort-Karte. Eine Passwort-Karte besteht aus vielen Buchstaben, Reihen und Zahlen. Diese Karten kann man generieren, die Seiten bieten auch weiterführende Information zum Thema: PDF zur Passwort-Karte, Passwort-Karten-Generator und noch eine Seite nebst Generator zum Thema Passwort-Karte.

Speichere deine Passwort-Dateien sicher und verschlüsselt, Textdateien mit Klartext sind gefährlich.

Ihr könnt also problemlos und kostenlos Passwörter erstellen, nutzen, verwalten – und dies sogar offline. Die halbe Miete!

Nutzung der Cloud

Und in der Cloud? Nutzt, wenn möglich, 2-Faktor-Authentifizierung! Google bietet es an, Dropbox bietet es an, LastPass und einige andere auch – Facebook zum Beispiel. Wozu ist das gut? Als weiterer Sicherheits-Aspekt müsst ihr nebst Benutzernamen und Passwort einen Code eingeben, der auf eurem Smartphone erscheint. Somit soll sichergestellt werden, dass Fremde nicht eure Passwörter nebst Benutzernamen ausprobieren.

Zusätzlich verschlüsseln, wenn möglich. Dropbox bietet den Abgleich mit TrueCrypt-Containern an. Wie das geht, beschrieb ich hier. Sofern euer Workflow nicht zerhackt wird – nutzt es! Alternativ funktioniert auch BoxCryptor, welches sogar einfacher zu bedienen ist.

Muss das wirklich in die Cloud?

Hast du Daten wie Wallpaper und Software in der Cloud? Macht nichts, ist ja nicht so wild, wenn das mal wegkommt (so lange es keine Seriennummern sind). Aber denke mal drüber nach, ob die brisanten Dokumente wirklich in unverschlüsselt in der Cloud liegen müssen. Nutzt du das überhaupt? Hast du nicht eine lokale Lösung, die sich vielleicht besser anbietet? Sicherheit ist immer wichtiger als der wenige Mehraufwand. Lies dich vielleicht ein, wie dein Cloud-Anbieter die Daten speichert und überträgt.

Muss man den Dienst nutzen?

Überlegt euch vielleicht, ob ihr den Dienst benötigt. Kannst du nicht vielleicht mehrere Fliegen mit einer Klappe schlagen? Bequemlichkeit ist ein schlechter Berater.

Nicht nur dein Anbieter ist gefragt – auch du! Vielleicht findet der eine oder andere ja nun Muße, ein wenig an seiner Passwort-Sicherheit und an seiner Cloud-Nutzung zu schrauben.

Und ich?

Und da die Frage aufkommen wird, wie ich es denn so handhabe: Ich selber nutze auf allen Rechnern vollständige Festplatten-Verschlüsselung. Ebenfalls nutze ich, sofern angeboten, 2-Faktor-Authentifizierung. Wichtige Daten sind entweder verschlüsselt oder nicht in der Cloud. Dienste-technisch bin ich ein Minimalist. Ich benutze privat nur wenige Dienste, alte Dienste sollte man nicht vergessen, sondern den Account löschen.

Und ihr?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

45 Kommentare

  1. Da passt die gleiche Frage von mir, die bisher leider noch nicht beantwortet wurde:
    Nutzt ihr tatsächlich 1Password in Verbindung mit Dropbox, um die Passwörter auch auf iOS/Android zu haben? Und falls ja: Gibt es die Möglichkeit einer „Einmal-Synchronisation“, die man danach deaktivert, damit die Passwörter nicht ewig in der Dropbox liegen?

  2. Sehr gut beschrieben und die Tipps sind gut nachvollziehbar ! Allein „nicht überall das selbe Passwort“ verwenden ist schon Gold wert.

    Ich habe da allerdings selbst noch eine Frage.

    Ich nutze 1Password und synce das via Dropbox (wegen der MacApp), hatte das Anfangs mittels iCloud gesynct, aber die Mac App von 1Passowrd (Version 3.x) kann noch kein iCloud syncen -> daher dann Dropbox.

    Ist diese Variante zu empfehlen oder nicht ? Dropbox ist ja nicht wirklich verschlüsselt… wenn mir genau diese Datei abhanden kommen sollte, kann die dann easy peasy geöffnet werden oder ist diese Datei verschlüsselt und kann nur mittels 1Passoword genutzt werden (also nur mit meinem?!)

    MfG

  3. Eigene Email (ala dropbox.com@tamcore.eu) und nen eigenes Passwort (bspw FRnp34xWnD38v7.6c~H,[wHj*) für jeden Dienst. So kann ich wie im Falle Dropbox und Evernote hergehen und ganz easy die entsprechenden Mail-Adressen an spam@uce.gov weiterlassen. Hinzu kommt, dass ich meine Dropbox schon lange durch ownCloud ersetzt habe.

  4. @5kytec: sämtliche Dateien/Daten von 1password sind komplett mit deinem Masterpasswort verschlüsselt. Selbst wenn jemand an die Rohdaten kommen sollte, kann er mit diesen nichts anfangen. Extrem wichtig ist daher natürlich ein starkes Masterpw.

  5. PasswordSafe (freeware) in Kombination mit YubiKey Neo. Ansonsten: Online-Banking mit TAN-Generator und PayPal ebenso.

  6. Mir stellt sich bei so etwas immer die Frage: Wie sieht es mit der Sicherheit bei Hosting Paketen ala allinkl oder wie hier hosteurope aus?

    Gibt es Möglichkeiten einen Einbruch auf den eigenen „Server“ zu erkennen, vorzubeugen oder sind die ausreichend konfiguriert .. für Projekte wie dieses hier… WordPress usw….

  7. Exzellenter Kommentar! Sollte jeder beherzigen!
    Danke, Jürgen

  8. 2 faktor authentifzierung hat aber auch nachteile und zwar große. egal um welche methode es sich dreht. dongle als app oder senden eines code an email/sms
    denn wenn ich eine app auf mein telefon installiere, die mir nun einen 60 sekunden lang gültigen code generiert, kann ich meinen account nur solange ’sicher‘ benutzen, wie diese app unverändert auf meinem smartphone läuft. will heisen… wenn ich mein smartphone tausche, oder der app entwickler einen neuen zufallszahlengenerator benutzt, komme ich an meinen account nicht mehr ran. hoffentlich ist der support in diesemfalle willig zu helfen.

    das zusenden eines codes birgt sogar noch die gefahr, wenn es per email passiert, dass jeder email relay server hier mit lesen kann. denn emails sind klartexte… ändere ich meine email, muss ich mich unbedingt daran erinnern, dass ich bei dem dienst auch meine neue email adresse hinterlege, so lange ich noch zugriff auf die alte adresse habe.

    ändere ich meine handy nummer hab mit dem einlegen der neuen sim karte keine chance mehr an meinen account zu kommen, da nun der authcode an eine handy nummer geschickt wird auf die ich nicht mehr zugreifen kann.

    einige anbieter verfallen hier nun wieder in die dämlichste aller ideen und bauen zu diesem zwecke ’sicherheitsabfragen‘ ein. da muss man dann auf vorgegebene fragen, antworten hinterlegen. dämlich? ja, weil solche systeme immer auf groß/kleinschreibung achten. habe ich nun auf eine frage zu einem ort mit frankfurt, frankfurt main, frankfurt am main, Frankfurt, Frankfurt Main, Frankfurt am Main, Frankfurt Am Main oder sonstigen schreibweißen geantwortet? hmm… gebe ich hier immer die selben antworten, haben social hacker extrem leichtes spiel. ändere ich meine art zu antworten kann ich im extrem fall trotz wissen der korrekten antworten nun an der schreibweiße scheitern. in dem fall zieht sich anbieter die auf sicherheitsabfragen setzen von der verantwortung zurück, mir helfen zu müssen.

    ich habe für jeden dienst ein anderes passwort und zwar weil ich mir ein satz zurecht gelegt habe, bei dem ich den anbieter mit in mein passwort einbinde. so kann ich passwort mit mindestlängenpflicht locker erfüllen. groß/kleinschreibung ebenfalls. sonderzeichen ist auch dabei und eine zahl sowie so. klaut nun jemand mein passwort von einem dienst, kommt er unmöglich mit dem passwort an meine daten in einem anderen dienst. einziege einschränkung hier, es sei denn der dienst setzt auf diese sau dämlichen sicherheitsabfragen…

    von diensten wie 1password halte ich rein gar nichts. weil ich hier davon abhängig bin, dass diese dienste meine passwörter sicher speichern und sich nicht austricksen lassen bei der automatischen login funktion. ein arbeitskollege hatte mir nämlich zeigen wollen wie toll 1password ist und hat einen wordpressblog auf wordpress.com geöffnet auf dem auch er einen account hat und siehe da, auf der falschen seite hat 1password nun seine account daten in ein fremdes formular eingetragen… für ein grund mehr dieses 1password ding nicht zu benutzen.

  9. @Sam: Falsch. 1Password ist kein Dienst, sondern ein lokales Programm. Denkfehler 2: bei Zwei-Faktor-Auth bekommst du für diesen Falle spezielle Codes im Vorfeld.

  10. ich nutze Roboform light. muss gleich wichtige Passwörter löschen. Man weiß ja nie..

  11. Besucherpete says:

    Ich hab mir schon vor ’ner ganzen Weile angewöhnt, ähnlich wie oben beschrieben, Passworte zu nutzen, die im Grunde immer gleich sind, jedoch zusätzlich einen konkreten Bezug zum jeweiligen Dienst oder Anbieter beinhalten. Daneben nutze ich KeePass (auf dem Rechner und mobil). Die Datenbank dazu liegt in der Dropbox, allerdings auch nochmal verschlüsselt durch BoxCryptor bzw. EncFS, zusammen mit anderen Daten.

  12. @ sam:
    „habe ich nun auf eine frage zu einem ort mit frankfurt, frankfurt main, frankfurt am main, Frankfurt, Frankfurt Main, Frankfurt am Main, Frankfurt Am Main oder sonstigen schreibweißen geantwortet?“

    halte dich einfach an die offizielle bezeichnung und an die gültige deutsche rechtschreibung. dann ist dein problem kein problem mehr und auch andere können deine texte in blog-kommentaren flüssiger lesen. und ja, schimpf mich ruhig oberlehrer.

    @ caschy:
    Vielleicht oute ich mich als total unwissend, aber: Wovor schützt mich die Totalverschlüsselung meiner Festplatte, wenn ich der einzige bin, der Zugang zu meinem Rechner hat? (Einbruch und Diebstahl sei mal außen vor gelassen.)

  13. @cashy: Meintest du nichtmal, dass du alle deine eingescannten Dokumente bei evernote hast? Dort kann man die doch nicht versclüsseln oder?

  14. http://www.datenschutzforum.net/datenschutzforum-wAssets/img/Anleitung_Passwortkarte.pdf

    find ich mal für DAUs richtig gut! kannte ich noch gar nicht 🙂 danke

  15. Zitat asu dem Heise Artikel:
    „Der Sicherheitsexperte Thomas Roth von Leveldown Security analysierte erst kürzlich ein Malware-Sample, das bei Nutzern von 1Password die Klartext-Passwörter aus dem Arbeitsspeicher fischt.“

  16. Ich habe eine Passwort für (fast) alle Webseiten. Allerdings wird das Passwort bei der Eingabe mit pwdhash verschlüsselt. Als Basis für die Verschlüsselung gilt der Domainname der Webseite auf der ich mich gerade einloggen will. Einfacher geht es nicht.

    Funktioniert nur bei meiner Bank nicht, denn die erlaubt keine Sonderzeichen im Passwort. m(

  17. Hat jemand eine Tipp was man macht wenn man bei Evernote kein neues Passwort anlegen kann, bei jedem Versuch kommt Falscher Benutzername und/oder Passwort.

  18. @Caschy
    Wie genau funktioniert denn bei dir die Komplettverschlüsselung unter Mac OS X und Timemachine? Landet da nicht letztendlich alles in Klartext im Backup? Würde mich mal wirklich interessieren ob du dafür eine Lösung hast, denn in den Optionen von Timemachine finde ich keine Möglichkeit ein Passwort zu definieren.

  19. @tamcore

    Die Idee mit der eigenen eMail-Adresse für jeden Dienst halte ich für gut, aber leider auch recht aufwendig. Ich hab das selbst mal gemacht, aber irgendwann will man sich doch „mal schnell“ irgendwo anmelden und dann vergisst man doch erst die Mail-Weiterleitung einzurichten.

    Jetzt habe ich in 1Password 363 Logins und keine Lust für jeden eine eigene eMail-Adresse anzulegen 🙂

    Und wenn dann doch mal ein Passwort vergisst/verliert steht man vor der Frage:

    Hab ich mich damals mit caschy@spamnichtrum.cno oder stadt-bremerhaven@spamnichtrum.cno angemeldet?

    Interessant wäre es aber auf alle Fälle. Habe gerade neulich bei einem Dienst angemeldet und hatte keine 10 Minuten später 2 Spam-Mails im sonst Spamfreien Postfach…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.