PasswordMaker: Teil 1 – Grundlagen und Einrichtung
von caschy | 53 Kommentare
DonHæberle schlägt zum zweiten Mal zu. Nachdem er bereits vorgestern aktiv war, geht es heute gleich weiter in Sachen Passwörter . dieses mal komplett unabhängig vom Browser. Ich wünsche viel Spaß beim lesen! Folgendes Bild: Keyloggers von Robbert van der Steeg unter CC auf Flickr.
Als vor Kurzem über RndPhrase berichtet wurde, gab es Kritik ob dessen Plattformunabhängigkeit. Dank Leser El Burro konnte mit PasswordMaker nun eine deutlich bessere Alternative gefunden werden. Es unterstützt alle gängigen Browser (Opera, Firefox, Chrome), Plattformen (Windows, Mac, Android, iPhone), Widgets, Kommandozeile oder GUI, funktioniert als Bookmarklet oder JavaScript-Version und ist notfalls auch völlig ohne lokale Einrichtung direkt über die Webseite nutzbar.
Kurz zur Theorie: Wofür das Ganze? Sichere Passwörter sind ein leidiges Thema im Netz. Entweder verwendet man überall das Gleiche und riskiert bei Kompromittierung alles preiszugeben. Oder man verwendet unterschiedliche und braucht irgendwann einen Passwortmanager. Noch besser wäre es jedoch, wenn man auf jeder Webseite unterschiedliche Passwörter verwenden könnte, ohne sich diese merken oder irgendwo abspeichern zu müssen. Wie soll das funktionieren? Mit dynamisch generierten Passwörtern.
Es wird lediglich ein Regelwerk vorgegeben, nach dem kryptische Passwörter erstellt werden. Surft man die Login-Seite an, wird anhand der Domäne und weiteren Regeln (Länge, Zeichensatz, Algorithmen etc. pp. …) das Passwort automatisch erzeugt und eingetragen. Fertig!
Vorteile: Man braucht sich die lästigen Dinger nicht mehr speichern, merken bzw. überhaupt zu wissen. Man ist vor Keyloggern sicher und wenn es doch mal jemand in die Finger bekommen sollte, betrifft es lediglich einen einzigen Account, da es sonst nirgendwo verwendet wird. Hört sich kompliziert und theoretisch an? Also genug davon und nun zur Praxis:
Nach der Installation des Firefox-Add-ons bekommt man in den Einstellungen nur die allgemeine Basis-Ansicht zu sehen, die für den Anfang auch genügen sollte. Das Masterpasswort und die aktuell aufgerufene Domäne werden zur Erzeugung der Passwörter ebenfalls mitverwendet. Wer auf Nummer sicher gehen will, kann die Speicherung des Masterpasswortes ebenfalls unterbinden.
In den „Erweiterten Einstellungen“ lassen sich noch weitere Parameter einstellen (Länge, Algorithmen, Zeichensatz, Subdomains, etc. pp. …). Ausserdem lassen sich auch Spezialfälle abfangen, wie z. B. Multiple Logins (selbe Domäne – unterschiedliche Accounts oder umgekehrt), worauf ich allerdings ein anderes mal eingehe.
Zusätzlich findet man beim Anpassen der Symbolleiste zwei neue Icons, wovon man sich vorallem den „CoolKey“-Button einrichten sollte. Den anderen Button braucht man eigentlich nicht, da PasswordMaker einerseits in der Statusleiste noch ein kleines Icon zum Öffnen hinterlässt und andererseits geht dies ohnehin über die Add-on-Einstellungen.
Befindet sich der Cursor nun in einem Passworteingabefeld und man klickt auf den „CoolKey“-Button, dann wird umgehend aus den o. g. Parametern ein individuelles Passwort für diese Seite erzeugt und in das Feld eingetragen. Bei allen Vorteilen sollte man aber dennoch nicht vergessen, auf jeder Webseite eine Mail-Adresse zu hinterlegen, um sich im Notfall ein neues Passwort zuschicken lassen zu können.
Wird geladen ...
Danke, klingt sehr interessant. Ich wollte mein „Passwort-System“ eh mal überarbeiten und verbessern.
Ich benutzte nach wie vor eine Passwortliste und für jede Anwendung einfach ein anderes. Mein Konzept läuft auch sehr gut allerdings wächst die Liste natürlich nach und nach an und da alles auf Papier geschrieben ist und an einem sicheren Ort verwahrt, glaube ich mal etwas besseres gibt es nicht.
Aber sicher nettes Tool hier, allein von der Bedienung her.
Ich verstehs nicht… mein z.B. Gmail-Passwort ist doch bei Google hinterlegt, mein Facebook Passwort bei Facebook usw. – irgendwo muss ich dem Programm/addon doch sagen, wie man passwort dafür ist.. oder steh ich total aufm Schlauch?
@bla:
Yep, ein klein wenig auf dem Schlauch. Ich erkläre nur das Prinzip, Details können abweichen.
Du surfst z.B. http://www.gmx.de an um Dein Paßwort einzugeben. Du gibst Deinen Nutzernamen ein. Dann Dein Universalpaßwort, das nicht das echte ist für die Seite. Anhand der Domain (gmx.de), Deinem Universalpaßwort und einem bestimmten Schlüsselwert wird dann das Paßwort erstellt bzw. bei Bedarf errechnet. Deswegen müssen keine Paßwörter gespeichert werden.
Stelle es Dir als Formel vor:
Paßwort=a+b+c
a ist dann die Domain, b das Universalpaßwort und c der Schlüssel. Somit ändert sich das Paßwort für alle Seiten, braucht aber nicht gespeichert werden, da die Variable a eingesetzt werden kann wenn Du auf der Seite bist.
Was aber alles zur Generierung verwendet wird weiß ich nicht. Vielleicht ja auch noch der Nutzername, was nicht verkehrt wäre.
Das ist wirklich eine geniale Idee, doch die Sache hat einen Haken:
Was wenn dieser Algorithmus für die Passwort-Generierung geknackt wird? Sollte doch nur eine Frage der Zeit sein 🙁
@Sylvio:
Auch dann sollte es kein Problem sein.
Denn wenn der Algorithmus geknackt ist, fehlen weiterhin mindestens zwei Komponenten, die durch Bruteforce gefunden werden müßten: Dein universalpaßwort und der „geheime Schlüssel“. Eigentlich auch die Domain, auf der Du Dich einloggen willst, aber da kommt man wohl eher leichter heran. Denn um die Bruteforcemethode anwenden zu können, bräuchte man ja auch die Seite, auf der Du registriert bist, da der Name auch eine Variable ist.
Okay bin mir nicht ganz sicher ob ich das ganze system richtig verstanden habe, aber wenn ich das programm nicht bei mir habe, dann habe ich ein problem und kann mich nicht einloggen. d.h. in nem internetcafe mal schnell einloggen geht dann nicht?
Dann gehst Du über die oben genannte Webseite. da keine Daten übermittelt werden sondern die Berechnung lokal erfolgt, ist dies auch sicher. Man kann die Webseite daher eher wie ein lokal vorliegendes Programm sehen.
Die Idee ist echt gut ein Passwort für alle seiten das man sich merken muss und trotzdem würd Überall ein einzigartiges verwendet.
Nur was ist wen durch Schadware oder einen Plattencrash das Add-on ins Daten Nirvana Abraucht? Kome ich dan wieder an meine Passwörter dran ? Indem ich das Firefox und das Add-on Neuinstalliere
Gibts nen Grund, warum alle Links im Artikel mit „http://www.google.com/url?q=“ anfangen?
Ansonsten: Sehr interessantes Thema. Mir persönlich fehlt da ein bisschen die Kontrolle über meine Passwörter. Andererseits vergesse ich selten genutzte Passwörter auch gerne mal. 😀 Vielleicht probier ichs mal bei denen aus.
@Fraggle das Prinzip hab ich verstanden… aber ich muss dann dem addon ja mein Passwort welches bei Dienst X hinterlegt ist irgendwo mitteilen? bzw. wenn er mein ECHTES passwort – was ich ja letztendlich zum einloggen brauche, da ja bei Dienst X hinterlegt – errechnen kann, dann klingt das für mich nicht sonderlich sicher. Ich raffs irgendwie nicht 😉
Ah, jetzt verstehe ich. Eigentlich ist dieses Addon ein Keygenerator. D.h. denke am besten erst einmal an die Nutzung bei einer neuen Registrierung.
Dann startest Du das Programm und läßt Dir einen Key für die Seite, bei der Du Dich registrieren willst, erstellen. Und um Dich einzuloggen kannst Du dann später mittels Masterpaßwort diese Generierung reproduzieren und das angezeigte Paßwort eintragen bzw. eintragen lassen.
Ein bestehendes Paßwort muß also geändert werden.
Ich hab auch noch eine Frage. Ich hab leider noch keine Zeit gehabt das Program auszuprobieren, aber eine Frage würde mich doch noch interessieren. Wie kann man der Problematik mit dem Programm aus dem Weg gehen, ein sicheres Passwort zu erhalten, dass man aber auch gleichzeitig sharen kann.
Problemstellung:
Ein Freund und ich arbeiten an einem Projekt und haben dafür mehrere Passwörter. Da es keine Nutzerverwaltung gibt müssen wir uns ein Passwort teilen. Natürlich wäre es schöner ein leichtes Passwort im Kopf zu haben und auch eingeben zu können. Ist es also möglich für bestimmte Webseiten oder IPs oder Programme mehrere Keys zu beherbergen.
Gruß
Beat
@Beat:
So wie ich es verstehe, geht dies. Es gibt ja die Möglichkeit mehrerer Masterpaßwörter. So kannst Du z.B. „Beat“ als Deines verwenden, das private Deines Kollegen lautet z.B. „Anton“ und gemeinsam nutzt ihr „Arbeit“. Natürlich wißt ihr von den anderen Masterpaßwörtern nichts.
Nutzt Du es privat, gibst Du Beat ein, geht es um das Projekt, gibst Du Arbeit ein.
Dazu kann man die Zeichensätze ändern, Modifikatoren einbauen etc.
Ich nutze PasswordMaker schon sehr lange und bin seit langer Zeit sehr glücklich damit. Hauptsächlich, weil ich überall immer an meine Passwörter komme und die Passwörter nicht zu erraten sind.
Ein Nachteil ist aber, dass Websites unterschiedliche minimale bzw. maximale Passwortlängen und Zeichen erwarten.
Beispiele
Website 1
Nur Buchstaben, beliebig, 6-8 Zeichen.
Website 2
Buchstaben und Zahlen und Sonderzeichen. Mindestens von jedem Zeichen 1. , genau 8 Zeichen.
, 6-8 Zeichen.
Website 3
Buchstaben und Zahlen. Beliebig. Keine Kleinschreibung. Mind. 8 Zeichen.
usw.
Das kann man zwar teilweise mit Gruppen erschlagen, aber macht aber wenig Spaß. Also macht man einen Default-Gruppe, mit der man 99% erschlägt. Die ist dann aber nicht soo sicher.
Der zweite Nachteil. Manchmal muss man sein Passwort austauschen (z. B. wenn man im Urlaub in einem Internetcafe ist und Mails abruft.). Dann muss man eine neue Gruppe anlegen oder ein anderes Masterpasswort nutzen.
Zur Zeit fange ich an, Keepass mit Dropbox aufzubauen und tausche nach und nach die Passwörter aus. Das ist etwas umständlicher aber deutlich sicherer und zusätzlich für andere Schlüssel (Software, Kreditkarten usw.) nutzbar.
hm oki, wenn man bestehende Passwörter also ändern muss (hab die wichtigsten im Kopf), dann fällt das – sicherlich gute Tool – schon mal komplett aus da dann unbrauchbar für mich.
Danke aber für die Erklärungen
@Bertram Simon:
Den ersten Nachteil versteh ich, den zweiten aber nicht. Genau dafür ist doch die Webseite da. Mußt nur Zeichensatz und möglichen Modifikator behalten und gut ist.
@bla
Nein, man muss nicht zwingend bestehende Passwörter verändern.
Wenn man möchte, dann nutzt man das addon, wenn man aber einfach ganz normal ein passwort eingeben möchte, dann macht man das ebenso.
http://passwordmaker.org/Firefox/Mozilla/SeaMonkey/Flock/Netscape/GettingStarted
Weiter unten auf der Seite gibts auch 2 Videos wie man das ganze dann verwenden kann.
Der Sinn der tools ist ansonsten ganz einfach folgender: Du merkst dir nur ein einziges Passwort (dein masterpasswort) und hast dennoch bei jeder Webseite ein anderes Passwort. Das tatsächliche passwort wird nämlich on-the-fly generiert.
Funktioniert leider noch nicht mit Firefox 4 🙁
@sharky: so wie ich das bisher verstanden habe, müsste ich mein passwort von Dienst X durch eines ersetzen, was ich mit dem Tool erstellt habe. Oder ich müsste halt dem Tool irgendwo sagen, wie mein aktuelles Passwort ist (was ja nach wie vor bei Dienst X liegt wo ich es mal erstellt habe..). Ansonsten wüsste Tool X ja nicht, wie mein wirkliches Passwort für die Seite ist, und könnte mich somit auch nicht einloggen.