PasswordMaker: Teil 1 – Grundlagen und Einrichtung
von caschy | 53 Kommentare
DonHæberle schlägt zum zweiten Mal zu. Nachdem er bereits vorgestern aktiv war, geht es heute gleich weiter in Sachen Passwörter . dieses mal komplett unabhängig vom Browser. Ich wünsche viel Spaß beim lesen! Folgendes Bild: Keyloggers von Robbert van der Steeg unter CC auf Flickr.
Als vor Kurzem über RndPhrase berichtet wurde, gab es Kritik ob dessen Plattformunabhängigkeit. Dank Leser El Burro konnte mit PasswordMaker nun eine deutlich bessere Alternative gefunden werden. Es unterstützt alle gängigen Browser (Opera, Firefox, Chrome), Plattformen (Windows, Mac, Android, iPhone), Widgets, Kommandozeile oder GUI, funktioniert als Bookmarklet oder JavaScript-Version und ist notfalls auch völlig ohne lokale Einrichtung direkt über die Webseite nutzbar.
Kurz zur Theorie: Wofür das Ganze? Sichere Passwörter sind ein leidiges Thema im Netz. Entweder verwendet man überall das Gleiche und riskiert bei Kompromittierung alles preiszugeben. Oder man verwendet unterschiedliche und braucht irgendwann einen Passwortmanager. Noch besser wäre es jedoch, wenn man auf jeder Webseite unterschiedliche Passwörter verwenden könnte, ohne sich diese merken oder irgendwo abspeichern zu müssen. Wie soll das funktionieren? Mit dynamisch generierten Passwörtern.
Es wird lediglich ein Regelwerk vorgegeben, nach dem kryptische Passwörter erstellt werden. Surft man die Login-Seite an, wird anhand der Domäne und weiteren Regeln (Länge, Zeichensatz, Algorithmen etc. pp. …) das Passwort automatisch erzeugt und eingetragen. Fertig!
Vorteile: Man braucht sich die lästigen Dinger nicht mehr speichern, merken bzw. überhaupt zu wissen. Man ist vor Keyloggern sicher und wenn es doch mal jemand in die Finger bekommen sollte, betrifft es lediglich einen einzigen Account, da es sonst nirgendwo verwendet wird. Hört sich kompliziert und theoretisch an? Also genug davon und nun zur Praxis:
Nach der Installation des Firefox-Add-ons bekommt man in den Einstellungen nur die allgemeine Basis-Ansicht zu sehen, die für den Anfang auch genügen sollte. Das Masterpasswort und die aktuell aufgerufene Domäne werden zur Erzeugung der Passwörter ebenfalls mitverwendet. Wer auf Nummer sicher gehen will, kann die Speicherung des Masterpasswortes ebenfalls unterbinden.
In den „Erweiterten Einstellungen“ lassen sich noch weitere Parameter einstellen (Länge, Algorithmen, Zeichensatz, Subdomains, etc. pp. …). Ausserdem lassen sich auch Spezialfälle abfangen, wie z. B. Multiple Logins (selbe Domäne – unterschiedliche Accounts oder umgekehrt), worauf ich allerdings ein anderes mal eingehe.
Zusätzlich findet man beim Anpassen der Symbolleiste zwei neue Icons, wovon man sich vorallem den „CoolKey“-Button einrichten sollte. Den anderen Button braucht man eigentlich nicht, da PasswordMaker einerseits in der Statusleiste noch ein kleines Icon zum Öffnen hinterlässt und andererseits geht dies ohnehin über die Add-on-Einstellungen.
Befindet sich der Cursor nun in einem Passworteingabefeld und man klickt auf den „CoolKey“-Button, dann wird umgehend aus den o. g. Parametern ein individuelles Passwort für diese Seite erzeugt und in das Feld eingetragen. Bei allen Vorteilen sollte man aber dennoch nicht vergessen, auf jeder Webseite eine Mail-Adresse zu hinterlegen, um sich im Notfall ein neues Passwort zuschicken lassen zu können.
Wird geladen ...
@jabba und cokii:
Ich glaube, ihr schreibt von einem anderen Programm. Weder ist der Zeichensatz festgelegt, noch die Länge, noch werden die Paßwörter verwaltet. Die Paßwörter werden auch nicht über Drittanbieter generiert und das lokal. Der Code liegt offen vor und ist einsehbar.
@Kim:
Dein Szenario beschreibt, wie diese Vorgehensweise knackbar wäre. Du vergißt aber eines: Wenn Du in ein öffentliches Internetcafe gehst und Dich per Hand einloggst, ist von Deinem Szenario nur der Keylogger nötig. D.h. es wird erschwert, ein keylogger alleine reicht nämlich nicht mehr mit addon Nutzung. Unmöglich ist es nie.
Ich für meinen Teil habe mir Passwordmaker angeschaut. Natürlich sind Passwörter mit 16 oder mehr Zeichen möglich, was zeigt wie trollhaft Kommentare wie von cokkii sind. o.O
Dennoch kann ich mich mit der Lösung nicht ganz anfreunden, inbesondere durch die Wartung der Passwortsicherheit für verschiedene Webseiten und der Mehrfachverwendung von Accounts auf verschiedenen Webseiten.
Für mich hat sich KeePass(X) als die beste Lösung herauskristallisiert um meine über 100 Passwörter zu verwalten.
Als Masterpasswort verwende ich hier ein (ca. 😉 ) 30 stelliges das sicher vor Wörterbuchattacken ist. Ich exportiere in unregelmäßigen Abständen in das alte KDB-Format was dann automatisch in die Dropbox verschoben wird um sich mit dem Handy zu synchronisieren.
Damit habe ich eine automatische Eingabe der Passwörter auf allen Seiten / Tools gewährleistet und auch den mobilen Zugriff sichergestellt.
Am Handy rufe ich KeePass mittels Bewegungsgeste auf (Tasker) wenn ich auf einer Webseite das Passwort eingeben möchte. Nur das Masterpasswort ist hart zu tippen auf der Tastatur 😉
Insgesamt für mich die beste Lösung. AutoType steht meines Wissens auch beim normalen KeePass für Linux zur Verfügung (zumindest hat mein N900 diese Option aufgezeigt).
Thalon
@DoXer: Der Screenshot war vielleicht etwas unglücklich gewählt, aber es lässt sich trotzdem problemlos anpassen. Dies kann man über die „Erweiterten Optionen“ in den kontenspezifischen Einstellungen ändern. Am besten erstellt man sich für solche Seiten eine extra Gruppe. Wie das genau funktioniert, beschreibe ich in den weiteren Beiträgen, die demnächst noch kommen.
Zuerst: Freude! – Klasse Tipp! (Kannte ich bisher noch nicht)
Dann: Enttäuschung… Leider funktioniert es als Opera-Widget nicht. Die FAQ sagt lediglich „The widget seems to be totally broken with Opera 10…“, was dann auch stimmt.
Schade.
@ Thalon
Was heisst hier trollhaft? Das Addon hat mir immer nur 8 Zeichen für Passwörter gezeigt mehr nicht, ich habe auch keine Option gefunden, wo ich mehr Zeichen eingeben kann. Also von daher, Addon gelöscht und für unbrauchbar befunden/gehalten, fertig, aus!
@Cokii:
Sorry, aber dann hast Du das Addon nicht richtig angesehen. Sieh mal in den erweiterten Einstellungen nach. Die Standardeinstellung ist 8 Zeichen, das ist aber einstellbar, ganz simple sogar.
Versteh mich nicht falsch, ich werde es vermutlich auch nicht nutzen, aber vielleicht ist es für andere interessant, wenn sie es verstehen.
@DonHæberle:
Danke, hab’s gefunden. ist aber wirklich sehr versteckt.
@cokkii: über die Einstellungen kann man auch Passwörter mit mehr als 8 Zeichen generieren lassen. Und für Logins bei denen z.B. keine Sonderzeichen erlaubt sind, kann man eine neue Gruppe anlegen, für die dann andere Einstellungen vorgenommen werden können.
Edit: ok, ich war wohl etwas zu spät. 🙂
Für die Skeptiker, welche ihre Passwörter nicht ändern wollen, bleibt zumindest noch das FF-Addon „Secure Login 0.9.5“. Besser als nichts…
https://addons.mozilla.org/de/firefox/addon/4429/
Hallo! @tuhsan
Was mich nur interessieren würde ist:
Was mache ich nun wenn ich auf einem Fremdsystem surfe und an meine Seiten einlogen will. Wie kann ich unterwegs mir das Passwort generieren lassen? Zum beipiel mal kurz ins Internet Cafe um dort meine Mails checken, oder so…
So wie es mir zur Zeit vorkommt, muss wohl auf jeder Plattform, auf der ich diese Funktionalität benutzen will dieser Passwordmaker installiert sein, oder?
Müsste es nicht ein Virtuelles System geben was mir vom Cloud oder woher auch immer die Funktionalität bietet?
Gruß
AK
@tuhsan: Es gibt eine Webversion, die auch im zweiten Absatz verlinkt wurde.
Interessant. Werde mir PasswordMaker mal genauer anschauen. Bisher setze ich Keepass und Dropbox ein, um meine Passwörter unter allen Plattformen (Windows, Linux, Android) synchron zu halten. Hielt das bisher für die einzig verfügbare plattformübergreifende Lösung. Besonders gut an keepass finde ich, dass man alle Art von Informationen sicher speichern kann. Also auch PINs usw. Man kann auch Dateien als Attachment bei einem Eintrag in die keepass-Datenbank mitspeichern. Ich mach das beispielsweise bei SSH Private Keys so.