Anzeige

PasswordMaker: Teil 1 – Grundlagen und Einrichtung

DonHæberle schlägt zum zweiten Mal zu. Nachdem er bereits vorgestern aktiv war, geht es heute gleich weiter in Sachen Passwörter . dieses mal komplett unabhängig vom Browser. Ich wünsche viel Spaß beim lesen! Folgendes Bild: Keyloggers von Robbert van der Steeg unter CC auf Flickr.

Als vor Kurzem über RndPhrase berichtet wurde, gab es Kritik ob dessen Plattformunabhängigkeit. Dank Leser El Burro konnte mit PasswordMaker nun eine deutlich bessere Alternative gefunden werden. Es unterstützt alle gängigen Browser (OperaFirefoxChrome), Plattformen (WindowsMacAndroidiPhone), Widgets, Kommandozeile oder GUI, funktioniert als Bookmarklet oder JavaScript-Version und ist notfalls auch völlig ohne lokale Einrichtung direkt über die Webseite nutzbar.

Kurz zur Theorie: Wofür das Ganze? Sichere Passwörter sind ein leidiges Thema im Netz. Entweder verwendet man überall das Gleiche und riskiert bei Kompromittierung alles preiszugeben. Oder man verwendet unterschiedliche und braucht irgendwann einen Passwortmanager. Noch besser wäre es jedoch, wenn man auf jeder Webseite unterschiedliche Passwörter verwenden könnte, ohne sich diese merken oder irgendwo abspeichern zu müssen. Wie soll das funktionieren? Mit dynamisch generierten Passwörtern.

Es wird lediglich ein Regelwerk vorgegeben, nach dem kryptische Passwörter erstellt werden. Surft man die Login-Seite an, wird anhand der Domäne und weiteren Regeln (Länge, Zeichensatz, Algorithmen etc. pp. …) das Passwort automatisch erzeugt und eingetragen. Fertig!

Vorteile: Man braucht sich die lästigen Dinger nicht mehr speichern, merken bzw. überhaupt zu wissen. Man ist vor Keyloggern sicher und wenn es doch mal jemand in die Finger bekommen sollte, betrifft es lediglich einen einzigen Account, da es sonst nirgendwo verwendet wird. Hört sich kompliziert und theoretisch an? Also genug davon und nun zur Praxis:

Nach der Installation des Firefox-Add-ons bekommt man in den Einstellungen nur die allgemeine Basis-Ansicht zu sehen, die für den Anfang auch genügen sollte. Das Masterpasswort und die aktuell aufgerufene Domäne werden zur Erzeugung der Passwörter ebenfalls mitverwendet. Wer auf Nummer sicher gehen will, kann die Speicherung des Masterpasswortes ebenfalls unterbinden.

In den „Erweiterten Einstellungen“ lassen sich noch weitere Parameter einstellen (Länge, Algorithmen, Zeichensatz, Subdomains, etc. pp. …). Ausserdem lassen sich auch Spezialfälle abfangen, wie z. B. Multiple Logins (selbe Domäne – unterschiedliche Accounts oder umgekehrt), worauf ich allerdings ein anderes mal eingehe.

Zusätzlich findet man beim Anpassen der Symbolleiste zwei neue Icons, wovon man sich vorallem den „CoolKey“-Button einrichten sollte. Den anderen Button braucht man eigentlich nicht, da PasswordMaker einerseits in der Statusleiste noch ein kleines Icon zum Öffnen hinterlässt und andererseits geht dies ohnehin über die Add-on-Einstellungen.

Befindet sich der Cursor nun in einem Passworteingabefeld und man klickt auf den „CoolKey“-Button, dann wird umgehend aus den o. g. Parametern ein individuelles Passwort für diese Seite erzeugt und in das Feld eingetragen. Bei allen Vorteilen sollte man aber dennoch nicht vergessen, auf jeder Webseite eine Mail-Adresse zu hinterlegen, um sich im Notfall ein neues Passwort zuschicken lassen zu können.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

53 Kommentare

  1. Wie wichtig ist denn bei der ganzen Sache die Auswahl des Master-Passworts?
    Reicht es aus sich ein ganz simples zu überlegen, was z.B. auch im Duden zu finden ist?

  2. SO hab nun endlich meine Antwort (somit ist das Tool/Addon leider gestorben)

    „Of course, PasswordMaker cannot know the current password for a site (or service) if you didn’t use PasswordMaker to create it. You must change the password at that site (or service) to the password generated by PasswordMaker so that PasswordMaker can provide it thereafter. Just log into the site (or service), navigate to the change password form, enter your old password, ask PasswordMaker to generate a password for that site, and put it in the new password and confirmation fields.“

  3. @bla
    Wenn du das addon verwenden willst, dann musst du explizit mit rechter Maustaste in das Feld klicken und die Funktion nutzen.
    Standardmäßig füllt das addon nichts automatisch aus. Ausgenommen natürlich du stellst das so ein.
    Du kannst also weiterhin das alte Passwort nutzen, musst es dir aber logischerweise merken.
    Passwordmaker ist ja auch kein passwortverwaltungstool für bereits existierende Passwörter.

  4. @bla: Wenn es Dir nur ums merken geht (so hab ich das bei Dir verstanden), dann gib einfach Dein „Lieblingspasswort“ im add-on ein und das gescrambelte auf der Webpage – Das Passwort ist sicher, und Du musst Dir nichts anderes für die bestimmte Seite merken. Hast Du’s so gemeint ?

  5. Es geht nicht ums merken, es geht um Verständnis 😉
    Und wenn – siehe Zitat von oben – ich das bis dahin richtig verstanden habe, dann kann ich mit dem Addon halt meine ALTES PASSWORT, welches ja bei DIENST X HINTERLEGT ist NICHT MEHR VERWENDEN.

    Nochmal, falls meinen Gedankengang immer noch keiner verstanden hat:

    Situation:
    a) ich würde das addon gerne benutzen
    b) um das addon benutzen zu können, muss ich – addonbedingt – mein altes passwort bei Dienst X durch eines ersetzen, was vom Addon erstellt wurde (zitat oben)
    c) da somit mein altes Passwort nicht mehr gehen würde, wäre das Addon für MICH sinnfrei.

    hat’s jetzt jeder? 😉

  6. Hier nochmal der Teil, warum ich das Addon für unbrauchbar halte. (wenn man sich ZUSÄTZLICH zu einem solchen Addon, noch das ein oder andere Passwort merken möchte):

    „“Of course, PasswordMaker cannot know the current password for a site (or service) if you didn’t use PasswordMaker to create it. You must change the password at that site (or service) to the password generated by PasswordMaker so that PasswordMaker can provide it thereafter.“

  7. Halb richtig. Natürlich müßtest Du beim Dienst Dein Paßwort ändern. Aber Du könntest Dein ursprüngliches weiterverwenden, nämlich als Masterpaßwort.

    Beispiel:
    Ist Dein altes PW 1234, dann gibst Du in dem Tool als Masterpaßwort 1234 an. Er spuckt Dir dann z.B. 6789 aus. 6789 setzt Du dann als Paßwort im Dienst. Wenn Du Dich dann später einloggen willst, gibst Du 1234 im Addon an und er füllt für Dich 6789 in das Paßwortfeld.

  8. Das hab ich soweit schon beim ersten mal verstanden. Es ging mir lediglich darum, dass ich meine Passwörter ändern müsste, und das kommt halt für mich nicht in Frage.

  9. „Plattformen (Windows, Mac, Android, iPhone)“
    den screenshots nach zu urteilen unterstütz es auch ubuntu?

  10. @bla
    Passwordmaker ist, wie im Namen auch schon enthalten, ein Tool, welches NEUE (sichere) Passwörter erstellt. Für Deine Zwecke, wenn Du bestehende Passwörter nicht ändern willst (aus welchem Grund auch immer. Man sollte seine Passwörter eh in regelmässigen Abständen ändern), ist dann eher KeePass zur Verwaltung von Passwörtern geeignet (obwohl KeePass selbstverständlich auch sichere Passwörter erzeugen kann. Nur halt nicht so „komfortabel“ wie Passwordmaker)

  11. Sehe ich das richtig, dass das Addon nur 8 stellige Passwörter erzeugt oder nur kann? Hmmm, ausserdem gibt es noch Webseiten, die gar keine Sonderzeichen ausser Buchstaben und Zahlen als Passwort akzeptieren. Meine Passwörter sind alle min. 16 Zeichen oder mehr.

  12. Nehmen wir mal den schlimmsten Fall an und ich muss mich auf einem öffentlichen Rechner einloggen, der ausgestattet ist mit Keylogger, Screen Capture Programm, Überwachung der Zwischenablage und des Internetverkehrs inklusive aller Inputfelder. In einem solchen Falle würde der Masterkey bekannt und die Parameter, die das Passwort generieren. Das heißt, ich würde damit den Zugang zu ALLEN anderen Accounts ebenfalls preisgeben, weil die Berechnungsmethode bekannt ist.
    Natürlich sollte ein öffentlicher Rechner generell als maximal unsicher eingestuft werden. Aber habe ich traditionell für jede Seite ein eigenes Passwort, würde das wenigstens den Schaden auf die an diesem Rechner aufgerufenen Seiten begrenzen. Wegwerfpasswörter wären hier meiner Meinung nach die einzig einigermaßen zufriedenstellende Lösung, manuell geändert oder so wie es beispielsweise Facebook jetzt im Programm hat.
    Oder habe ich was übersehen?

  13. @Azrael Grundsätzlich richtig was du sagst. ABER, für mich, klingt das nach einem Addon, was einem die „Abtipp-arbeit“ ersparen kann. Nicht primär nach einem „passworterstellungsprogramm“. 😉

  14. @bla
    Dann hast Du evtl. die Funktionsweise des Programmes doch noch nicht voll für Dich erschlossen 🙂
    Ich empfehle die volle Lektüre der Wiki. Da werden alle Fragen restlos beantwortet

  15. deshalb sagte ich… KANN…

    um mir nur ein passwort zu erstellen brauche ich das nicht, das denke ich mir a) aus, oder b) gibt es zich alternativen.

    das addon kann/könnte mir, aber das ausfüllen ersparen, zusätzlich würde es mir die sicherheit geben, dass ich niemals mein „echtes passwort“ abtippen muss, und somit hätte ich ein stück mehr sicherheit.

    nichts desto trotz, ist das nicht nur ein „passwortmacher“, sondern doch eher ein addon, was einem sicherheit bieten kann und arbeit abnehmen kann.

  16. Ich würde meine Passwörter niemals über Drittanbieter generieren und verwalten lassen. So schön das alles auch ist, nur umsonst ist nichtmal der Tod, denn der kostet das Leben.

    Die Gutgläubigkeit der Menschen ist teilweise grenzenlos.
    Gruß Jabba

  17. @ Jabba

    Ja, da hast du recht! Also von daher, benötigen tue ich dieses Addon nun nicht wirklich, verwalte lieber meine Passwörter selber und diese sind nicht nur 8 stellig, sondern min. 16 Zeichen oder mehr.

  18. Kinners 🙂
    Es geht doch gar nicht darum, wer wie seine Passwörter verwaltet/erstellt/handhabt. Hier wurde „nur“ ein weiteres Programm vorgestellt, welches dem ein oder anderen vielleicht nützlich ist. Warum wird hier nur immer wieder alles zerissen? Da sollen die Blogger und Guestwriter noch Motivation haben…

  19. DonHæberle says:

    @stefan: Auf den Screenshots ist die Firefox-Version zu sehen. Eine spezielle Stand-alone-Version für Ubuntu gibt es leider nicht. Als browserunabhängige Version für Linux/Unix gibt es entweder eine Variante für die Kommandozeile oder die Python-Version.

  20. DonHæberle says:

    @Kim: Bei soviel Rechnerüberwachung hast du natürlich recht. Aber andererseits: Wer seine privaten Daten auf öffentlichen Rechnern eingibt, sollte sich m. E. erst einmal grundsätzlich Gedanken über Sicherheit machen. Wenn es sich nicht anders vermeiden lässt, dann sind Wegwerf-Passwörter natürlich die bessere Variante. Allerdings lebst du damit ständig in der Gefahr, dass ein Dritter deinen Account schon wenige Sekunden nach deiner Anmeldung übernimmt und seinerseits dass Passwort ändert. Der Verlierer bist in jedem Fall immer du.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.