Passwort-Wahnsinn

Stelle deine Frage öffentlich an die Threema-Forum-Community - über 4.600 Mitglieder helfen dir weiter. > Frage stellen <
  • "Der Mann, der schuld ist am Passwort-Wahnsinn, bereut sein Werk"

    http://www.sueddeutsche.de/digital/it-sic…-werk-1.3623586

    -------
    ʕ•ᴥ•ʔ

    Note II / Android 4.*

    Note 8 / Android 9

    ===============================================================================
    „Der Zweifel ist der Beginn der Wissenschaft. Wer nichts anzweifelt, prüft nichts. Wer nichts prüft,
    entdeckt nichts. Wer nichts entdeckt, ist blind und bleibt blind.“

  • Ich hab kein Problem damit, ein neues Passwort zu finden.

    Meine Passwörter setzen sich aus original Lizenzcodes zusammen, für PC-Spiele, Betriebssysteme und dergleichen, die ich als Kaufversion aus dem Laden auf Papier habe. Also keine virtuellen Käufe. Nur ich weiß welche Lizenzen der Software ich nutze und ob die ersten oder letzten Blöcke des Lizenz-Codes. Nach der vierten oder fünften Eingabe (ich speichere die Passwörter nicht im Browser) kenne ich sie auch schon auswendig.

  • Speicherung in einer App, deren Algorithmus ich nicht kenne? Wirklich?! Danke aber nein Danke! Wenigstens der Programmierer kennt das Hintertürchen. Außerdem führt dieses "sich verlassen" zu einer Abhängigkeit.

    Ein Passwortmanager - elektronischer Art - war noch nie eine ernsthafte Alternative. Schon gar nicht auf einem Gerät, das einen Zugang zum Internet hat. An Offline Geräten habe ich allerdings inzwischen nur noch eins, nämlich ein defektes.

  • Richtig, kennst du die App bzw. den Algorithmus nicht, solltest du den Passwort-Manager nicht nutzen (denn wie du sagst, könnten theoretisch Hintertüren enthalten sein). Deswegen gibt es ja auch Open-Source-Passwortmanager. Schau dir bspw. mal Keepass an: https://de.wikipedia.org/wiki/KeePass Da sind Verschlüsselungsalgorithmus & co nachprüfbar. Die Sicherheit hängt dann von einem Master-Passwort ab, dass du dir merken musst. Dank eines offenen Formates musst du dich auch nicht auf KeePass "verlassen", es gibt sehr viele Forks, die KeePass-Dateien lesen können. Und natürlich sind Passwörter exportierbar.
    Dann kannst du die Datei ja offline abspeichern. Sie auf einem Gerät abzuspeichern, dass nie Zugang zum Internet hatte, ist dann auch etwas paranoid. Immerhin musst du die Passwörter ja ohnehin irgendwann (bei Benutzung) eingeben, in die Webseite. Man kann ja Dinge auch unterschiedlich abspeichern, bspw. ganz selten benutzte Passwörter oder wichtige wirklich auf einem Offline-Gerät.

  • Nein danke. Ich bin auch ganz glücklich darüber, mir den Buchstaben-Zahlen-Mix in Verbindung mit Websites und Login merken zu können.

    Ich habe kein Gerät, das mir permanent offline zur Verfügung steht.

    Ich will mich auch nicht digital abhängig machen. So viel nutzen wie nötig und so wenig wie möglich. Sinnvolle Unterstützung und keine Last.

    Keine Ahnung, warum Du mir sowas aufschwatzen willst, ich seh da wirklich keinen Sinn bei mir & möchte einfach ganz sicher keinen Passwortmanager nutzen.

    Ich hab noch weniger Lust mich erst reinzulesen in das Thema Passwortmanager, Skripte, Sicherheit, das nimmt alles viel zu viel Zeit für den Nutzen, den ich daraus ziehen könnte, wenn ich das in Relation setze. Und beim Passwortmanager gibt man ja das normalerweise die komplette Liste an Websiten und Passwörtern ein. Wenn da dann jemand Zugriff hat, dann hat er wirklich alles.

  • Ich habe weit über 150 Accounts mit jeweils eigenen Passwörtern. Ich könnte mir nicht für jeden Account ein anderes Passwort merken. Wenn du das kannst - cool, dann brauchst du keinen Passwortmanager. Solange du kein Passwort mehrfach verwendest...

    Das Argument der digitalen Abhängigkeit kann ich nicht nachvollziehen. Diese Passwörter sind doch sowieso quasi ausschließlich für die digitale Welt bestimmt. Ich muss mir unabhängig davon vielleicht noch die Zahlenkombination eines Kofferschlosses merken, aber die packe ich ja auch nicht in meinen Passwortmanager.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Wuuut?! Um Himmels Willen ich frag mich gerade: WO?! 150 Accounts. Wow okay, soviele habe ich nicht, definitiv nicht. Ein Zehntel wenn es hochkommt. Aber auch das halte ich schon für zu viel! So viel mach ich echt nicht im Internet. Und ich lebe noch.

    Es kommt vor allem auf die Sinnhaftigkeit und das, was dahinter steht, an.

  • Ohne Passwortmanager wäre ich ebenfalls aufgeschmissen (220 Accounts). Eine Kopie aller Passwörter liegt bei mir noch im Bankschliessfach.

    Aber wenn man davon ausgeht, dass alle Software mindestens eine Lücke hat (den Programmierer der dir etwas unterschieben könnte), dann gibt es diese Lücke auch bei den Orten an denen du das Passwort verwendest. Somit erhöhst du das Risiko nur von einer auf zwei Firmen. Dies ist immer noch viel besser als an vielen Orten das gleiche Passwort zu verwenden.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • >>> Eine Kopie aller Passwörter liegt bei mir noch im Bankschliessfach.

    Sinnvoll. Daumen hoch.

    Den letzten Absatz hab ich nicht verstanden. Ich surfe ja nicht auf allen Geräten auf den gleichen Websites. Wirklich wichtiges hab ich glaub ich auch gar nicht im Internet.

  • Eine Sicherheitslücke wird es immer irgendwo geben. Ob die jetzt in meiner Passwortverwaltungssoftware oder in der Website für die ich das Passwort benutze ist, spielt keine grosse Rolle.

    Jeder Tag könnte Threema Web für iOS Tag sein.

    Jeder Tag ist Threema Web für iOS Tag.

    Jeder Tag könnte Threema Multidevice Tag sein.

    Jeder Tag ist Threema Multidevice Tag.

    Nur mit Threema Safe schläft man ruhig.

  • Das stimmt aber dann hab ich ja mit dem zusätzlichen Programm noch eine potentielle Lücke mehr, um die ich mich kümmern müsste. Das macht ja nicht wirklich Sinn. Es sei denn, man hat wirklich so viele Aktivitäten im Internet. Dann sehe ich da durchaus einen gewissen Zweck dahinter.

  • Oh verdammt. *notiz* *passwörter auf 5678 ändern* *scherz*

    Okay, ich wäre wenn ich ehrlich bin auch nicht drauf gekommen, dass jemand so viele Accounts überall hat. Ich kann mir ja nichtmal vorstellen, wozu.

    Ich glaube es ist auch gar nicht so leicht, nur die verschiedenen Accounts zu verwalten. Selbst mit Passwortmanager. Ich bin froh wenn ich etwas ohne Registrierung nutzen kann, wie dieses Forum beispielsweise. Bei Fragen kann man ja ohne Registrierung einen Thread eröffnen. Ganz klar einer der Punkte, weshalb ich Threema ausprobiert habe. Denn wenn es hakt muss ich mich nicht erst registrieren. Und es gibt auch eine gewisse Hilfsbereitschaft und auch Kompetenz hier, kann man nicht leugnen.

    Aber allein, dass man das nicht mehr ohne Hilfe verwalten kann gibt mir zu denken. Das wäre mir schon eine Spur zu entmündigend. Gut, aber jeder so, wie er glücklich ist.

    Und jetzt denk ich vermutlich den halben Tag noch darüber nach, wo überall man sich denn mit so vielen Accounts anmelden könnte, wenn man nicht mit MultiAccounts unterwegs ist. Und selbst dann wäre das schon verdammt viel. XD

  • Das eigentliche Thema war hier der Passwort-Wahnsinn (initiiert von Bill Burr), der Zwang zum Passwort-Wechsel alle 90 Tage.

    Ich kenne Leute, die haben für fast ALLES dasselbe Passwort (Geburtsdatum der Tochter) und finden das gut und denken, das sei "sicher". :)
    Das ist nur noch von "password" oder "123456" als Passwort zu topen. :)

    Version 3.7 Build 482 Threema Shop – Nutzung mit v3.7.482 zum 30. Sep. 2019 eingestellt X(

    Einmal editiert, zuletzt von BamBam (4. November 2017 um 16:20)

  • Es ist aber definitiv "sicherer", als ein Passwort zu erstellen und nie zu ändern, oder?

    Es gibt ein Mailfach, da hab ich immer mal wieder fehlgeschlagene Login-Versuche, die 100 %-ig nicht von mir stammen. Und das seit über Jahren. Es gibt also immer mal wieder Versuche. Die letzten hatte ich kurz nach meiner Anmeldung hier, wobei ich das jetzt nicht in einen Zusammenhang bringe, davor sicher erst ein- oder zweimal dieses Jahr. Mal einstellig und mal dreistellig innerhalb von wenigen Tagen. Erklären kann ich es mir nicht. Aber ich ändere dann schonmal das Passwort, denn wenn ein Programm eine gewisse Anzahl von Prüfungen gemacht hat, dann ist es sicherlich eine gute Idee, das Passwort zu ändern, denn dann muss das Programm ja erneut prüfen. Ich glaub ja nicht, dass da ein Kellerkind sitzt und per Bruteforce arbeitet.


  • Es ist aber definitiv "sicherer", als ein Passwort zu erstellen und nie zu ändern, oder?

    Eigentlich nur, wenn das Passwort kompromittiert wird. Bei >100 Accounts habe ich aber keine Chance das im Blick zu behalten. Also für jeden Dienst ein anderes Passwort. Somit kann immer nur ein einziger Dienst kompromittiert sein.

    Für extrem schützenswerte Accounts, die ein beliebtes Angriffsziel sein könnten, mag das zusätzlich Sinn machen.

    (Um Verwirrung zu vermeiden: Ich arbeite bei Threema, spreche hier aber für mich.)

  • Woher weiß aber jemand, der sich nicht tiefer - sondern nur User ist - damit beschäftigt, dass sein Smartphone (analog: PC, Laptop, Tablet) sicher ist?

    http://www.zdnet.de/88298407/andro…81db8e4708b45f7

    Ich habe auch nur zufällig davon erfahren. Hab dann mal die Suchmaschine bemüht und finde das erschreckend. Oben der Link ist nur einer der Treffer.

    Dass Smartphones gekapert werden ist nicht nur keine Seltenheit sondern zudem muss es nicht unbedingt vom Benutzer bemerkt werden.

    Das heißt jemand kann ein Gerät kapern und der Besitzer merkt es evtl. niemals. Was da an Daten ausgelesen werden kann wird dann vermutlich auch ausgelesen. Inklusive aller Passwörter und Websiten, die besucht werden. Bankdaten, Kontostände, ... !

  • Richtig, ist dein Endgerät kompromittiert (wie bei dem verlinkten Android-Angriff) . Oft passieren tut das jetzt so naja… kommt drauf an. Dein verlinkter Androidangriff wurde soweit ich weiß noch nie "in the wild" also in der Wildnis gefunden. Aber er ist theoretisch eben möglich.

    Aber ganz allgemein: Noch viel leichter als auf Android, geht es auf den allermeisten Desktop-Betriebssystemen. (Falls du noch nach was suchen möchtest: Keylogger, in Software oder Hardwareform, etc.)

    Aber das sind zwei Dinge:
    1. Ist dein Gerät kompromittiert, dann kann der Angreifer da alles mit machen. Alles was du eingibst und anzeigst, kann ein Angreifer sehen.
    2. Passwortmanager helfen dagegen natürlich auch nicht. Kann man das Masterpassword mitschneiden, hat man Zugriff. Das gleiche gilt aber auch, wenn man Sees Passwort per Hand eingibt. Deswegen macht das kaum einen Unterschied.

    Man muss eben für sich heraus finden/festlegen, was das realistischere Angriffsmodell ist.
    Übrigens: Um Genau den "Worst-Case"-Fall der Kompromittierung des gesamten Gerätes zu verhindern, ist der wohl wichtigste Tipp bzgl. IT-Sicherheit: Immer regelmäßig Updates einspielen. Denn nur dadurch können Sicherheitslücken behoben werden.