Eigene Zugangsdaten sicher verwalten

  • Oft hört oder liest man - auch in der Fachpresse - dass man Passwort-Manager verwenden soll, um seine Zugänge zu verwalten.


    Ich rate dringend von Passwortmanagern ab!


    Passwortmanager packen alle Zugänge in einen Container und verschlüsseln diesen mit einem einzigen Kennwort. Der Logik folgend könnte man auch gleich sämtliche Zugänge mit diesem einzigen Kennwort versehen, was alles andere als sicher ist. Hinzu kommt, dass die Verwaltung der eigenen Zugänge von Technik abhängig gemacht wird und nicht stets verfügbar ist. Darüber hinaus sind Passwortmanager bestens dokumentiert und bevorzugtes Ziel von Angreifern, um in den Besitz der eigenen Zugangsdaten zu gelangen. Das alles sind schwerwiegende Argumente gegen die Verwendung von Passwortmanagern, wie zum Beispiel Dashlane, NordPass oder auch dem Apple Schlüsselbund beim iPhone und Mac.


    Hier die einzig sinnvolle Alternative - mit einem Kennwortprinzip kann man sich leicht Dutzende langer und komplexer Kennworte merken und sie der zugehörigen Plattform zuorden. Ganz ohne Liste, Passwortmanager oder dergleichen - einfach mit dem eigenen Gedächtnis:

    11889-pasted-from-clipboard-jpg

    In der Cybecrime-Beratung weisen wir bereits seit geraumer Zeit darauf hin. Die jüngsten, die bei Vorträgen mit diesem Prinzip vertraut gemacht werden, sind 10 Jahre alt; die ältesten - bei den Senioren-Beratungen - sind durchaus 80 Jahre und älter. Die Rückmeldungen sind dabei eindeutig. Hat man dieses Prinzip erstmal einige Male angewendet, ist es kinderleicht und greiseneinfach.


    Lieben Gruß

    Tunarus

  • Alleine die Abhängigkeit von der Gegenseite in Bezug auf Verfügbarkeit und Technik hat mich schon immer bewogen, keinen Passwort-Manager zu nutzen.

    Fuck the „REGULATION (EU) 2019/1148“ of the European Parliament and of the Council! Denn Kunst und Wissenschaft wie auch Forschung und Lehre sind frei gemäß Art. 5 Abs. 3 GG.

    Erst wenn in Deutschland und in der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

  • Passwortmanager packen alle Zugänge in einen Container und verschlüsseln diesen mit einem einzigen Kennwort. Der Logik folgend könnte man auch gleich sämtliche Zugänge mit diesem einzigen Kennwort versehen, was alles andere als sicher ist.

    Das "Master-Passwort" das vor dem ausfüllen des Anmeldeformular eingegeben werden muss ist im Gegensatz zu einem normalen Passwort für zb gmx.at nur lokal gespeichert. Es gibt nur das Ausfüllen der Anmeldedaten für zb. gmx.at frei.


    Passwortmanager sind nützlich beim Umgang mit Phishing-Mails: --> RE: Sicherheitsforscher lassen KI GPT-3 überzeugende Phishing-Mails schreiben

  • Hallo,


    dem kann ich mich nicht so ganz anschließen.


    Zitat

    Ich rate dringend von Passwortmanagern ab!

    Ich würde das gerne differenzierter sehen: ich empfehle einen lokalen Passwortmanager und rate von cloudbasierten Passwortmanagern ab.


    Zitat

    Passwortmanager packen alle Zugänge in einen Container und verschlüsseln diesen mit einem einzigen Kennwort. Der Logik folgend könnte man auch gleich sämtliche Zugänge mit diesem einzigen Kennwort versehen, was alles andere als sicher ist.

    Die Logik dahinter ist der Safe, hier ein Passwortsafe. Oder eine Waffenkammer. Alles an/in einer sicheren Stelle.


    Zitat

    Hinzu kommt, dass die Verwaltung der eigenen Zugänge von Technik abhängig gemacht wird und nicht stets verfügbar ist.

    Du gehst hier von Passwortmanagern aus, welche in der Cloud speichern. Ich denke an lokale Passwortmanager wie KeePass oder KeePassXC. Da ist die einzige Technik mein eigener PC. Und zur Not gibt es natürlich ein Backup auf einem externen Datenträger.


    Zitat

    Darüber hinaus sind Passwortmanager bestens dokumentiert und bevorzugtes Ziel von Angreifern, um in den Besitz der eigenen Zugangsdaten zu gelangen.

    In Anlehnung daran: die Sicherheit einer Verschlüsselung darf nicht von der Geheimhaltung der Algorithmen abhäng sein (Kerckhoffs’ Prinzip). Jeder kann nachlesen, wie z.B. die AES-Verschlüsselung funktioniert. Und trotzdem wird diese so gut wie überall eingestzt und funktioniert bis jetzt sicher.


    Dem Tipp mit dem Satz schließe ich mich an. Ein guter Weg an ein recht gutes Passwort zu kommen. Trotzdem besteht bei diesem Beispiel die Gefahr, dass alle Konten geknackt werden können, da es eine Systematik gibt mit nur sehr geringen Abweichungen. Habe ich Eines, habe ich Alle. Da würde ich mir eher ein Gedicht neben den PC legen und jeder Zugang hat eine eigene Zeile, welche zu einem Passwort umfunktioniert wurde.


    Was mir fehlt, ist der Hinweis auf 2FA, die Absicherung des Kontos duch eine SMS, E-Mail, Security-Key, ...

    Es ist immer besser, den Schutz auf mehrere Faktoren zu setzen. Etwas das ich kenne, Etwas das ich habe und bestenfalls Etwas das ich bin. Dann wären wir aber bei 3FA und für privat schon grenzwertig.


    CU

  • Das "Master-Passwort" das vor dem ausfüllen des Anmeldeformular eingegeben werden muss ist im Gegensatz zu einem normalen Passwort für zb gmx.at nur lokal gespeichert. Es gibt nur das Ausfüllen der Anmeldedaten für zb. gmx.at frei.

    Passwortmanager sind nützlich beim Umgang mit Phishing-Mails: --> RE: Sicherheitsforscher lassen KI GPT-3 überzeugende Phishing-Mails schreiben

    Unabhängig vom Funktionsprinzip der individuellen Passwort-Manager-Software und der Frage ob cloudbasiert oder lokal gilt - rein prinzipbedingt - "eines für alles", was einer individuellen Absicherung zuwider läuft. Und auch vor der Anmeldung am Phishing-Server schützt ein Passwortmanager nicht, da die Entscheidung sich anzumelden, vom Benutzenden ausgeht.

    1. Eine Ablage von sensiblen Daten an irgendeinem (virtuellen oder tatsächlichem) Ort kann nach meiner Meinung prinzipbeding nicht so sicher sein, wie das eigene Gedächtnis, unabhängig von der Sicherheits- und Ablagesituation. Darüber hinaus besteht immer noch das Problem der Abhängigeit von der Verfügbarkeit des Ablageortes, was bei einem Kennwortprinzip ebenfalls nicht besteht.


    2. Mir geht es um das Prinzip alle Zugangsdaten zentral abzulegen und - wie auch immer - zentral zu sichern. Dieses Prinzip "eines für alle" halte ich für das Problem, nicht den Ablageort online oder offline.


    3. Vollkommen richtig, das unterstützt meine Meinung, dass ein Ablageort, an den man nicht herankommt, sicher ist. Und da siegt meiner Ansicht nach der eigene Kopf vor einer - dokumentierten oder geheimen, virtuellen oder realen - Örtlichkeit.


    4. Um dies zu erreichen müssten mindestens gleich mehrere Zugangsdaten bekannt werden, um durch Korrelation herauszufinden, dass...

    - ...es sich überhaupt um ein Prinzip und nicht um ein willkürliches Kennwort handelt.

    - ...überhaupt Variablen verwendet werden.

    - ...welche Variablen das sind.

    - ...welchem Prinzip die Auswahl der Variablen entsprechen.

    Und selbst dann wäre es vermutlich letztlich doch nur brute force, die zum Ziel führen könnte.


    5. Vollkommen richtig, die "2 Faktor Authentifizierung" oder auch "Anmeldung in 2 Schritten" oder ähnlich ist ein sehr wichtiger Bestandteil der eigenen Sicherheit, daher liefere ich das gerne nach, danke für den Hinweis.

    Beim BSI kann man ➥ auf dieser Seite nachlesen, wie eine Anmeldung in zwei Schritten funktioniert und warum das sinnvoll ist.


    Ich freue mich, mit diesem Thema offensichtlich eine Diskussion angeregt zu haben. Denn über eines herrscht - wie ich annehme - wahrscheinlich Einigkeit. Der sorglose Umgang mit Zugangsdaten ist heutzutage nicht mehr zu verantworten und dennoch offenbar immer noch nicht im Mainstream angekommen, wenn man sich beispielsweise ➥ die häufigsten Kennwörter aus dem Jahr 2021 ansieht. Sensibilisierung tut Not und genau das soll dieser Beitrag bewirken.


    Lieben Gruß

    Tunarus

  • Hallo,


    Kopf/Gedächtnis ist natürlich eine gute Lösung, aber auch da sehe ich mehrere Probleme (vor denen ich u.a. bei Bekannten gerade stehe):

    • Vielzahl der Konten
    • Nachlassendes Gedächtnis im Alter
    • Gedächtnisverlust z.B. auf Grund eines Unfalls
    • Angehörige brauchen Zugang bei Unfall, Tod, ...


    Die Idee war dann halt ein Passwortmanager mit dem Masterpasswort auf einem Zettel, verschlossen im Scheibtisch.

    Wenn Du oder jemand anders eine bessere Lösung/andere Idee hat, dann bitte posten.


    CU


    P.S. auch ich finde es schön, so ein sensibles Thema mal wieder hervorzukramen, sich selber zu hinterfragen, andere Meinungen zu hören und zu durchdenken, ... - danke dafür

  • Hallo newbie123,

    da gebe ich dir recht - eine individuelle Lösung für ein individuelles Problem ist sicher am besten. Strategien wie beispielsweise obiges Kennwortprinzip sind allgemein gedacht und gehalten. Viele - die meisten - werden damit zurechtkommen, für alle anderen muss eine individuelle Lösung her. Und wenn die funktioniert - wie in diesem Falle dankenswerterweise durch deine Hilfe - dann ist das sicher besser. Spontan fällt mir auch keine alternative Lösung ein, die geeigneter wäre.


    Lieben Gruß

    Tunarus

  • newbie123: Was den digitalen Nachlass angeht?


    Jeder denkt über das Unausweichliche nach! Die einen, wem sie etwas nicht gönnen; die anderen, welche Spuren sie hinterlassen wollen. In der heutigen Zeit gehört in diesem Zusammenhang eben auch dazu, das über seine Spuren nachzudenken ist, welche in der digitalen Welt hinterbleiben sollen. Vielen ist es egal, weil sie die Tragweite dessen noch nicht begriffen haben und viele sehen auch schon zu Lebzeiten, welche Auswirkungen hier entstehen können, wenn mal etwas im Netz landet, was eigentlich nicht dort landen sollte. Die meisten Gesetze haben dafür bereits auch die Grundvoraussetzungen geschaffen und die Firmen, sehen langsam, das dies eine Frage der Zeit geworden ist und haben sich angepasst oder sind noch auf den Weg dahin.

    Es ist heutzutage ein leichtes sein digitales Erbe mit in die Hinterlassenschaften einzubringen. Wer seinem Notar nicht traut, kann es auch mit einer Person seines vertrauen regeln. Ich selber sehe im digitalen Nachlass heute keine Probleme mehr!


    Anders ist es mit der Sicherheit solche "Datenbanken", in der alle Informationen zu einem Netzzugang abgelegt werden. Wege an diese zu kommen gibt es durchaus und leider wird hier; damit meint ich jetzt nicht dieses Forum; viel zu wenig berichtet. Denn auch solche "Datenbanken" sind zum Angriffsziel geworden. Große Beleibtheit weckt eben Begehrlichkeiten! Und bei den vielen Sicherheitslücken, welche die User auch noch freiwillig bereitstellen, erstaunt es mich nicht, wenn es da mal die Schlagzeile geben wird.

    Klar! Der eigene Kopf ist kein Dauersafe, welcher lebenslang Funktionieren wird. Aber es gibt genügend Alternativen, wie man sich vor dem Verlust der "Daten" schützen kann. Da muss man sich nicht auf Programme verlassen. Selbst die gute alte "Stift-Zettel-Methode" ist heute noch beliebt ;)


    Aber schön, wenn solche Themen auch mal aufgegriffen und zum Nachdenken darüber angeregt werden. Der Eine oder Andere hat vielleicht noch nicht einmal über Alternativen nachgedacht. Es ist ja soviel einfacher ;)

    Denkst du noch oder googelst du schon?



  • Und auch vor der Anmeldung am Phishing-Server schützt ein Passwortmanager nicht, da die Entscheidung sich anzumelden, vom Benutzenden ausgeht.


    Hat man seine Anmeldedaten für eine Webseite hinterlegt werden diese nur auf klick ausgefüllt wenn man sich auf dieser URL befindet. Bei amazon.de zb. login.amazon.de


    Ist es eine Fake URL (die zb Optisch sehr ähnlich ist) oder ein andere legitime Webseite für die keine Daten hinterlegt sind werden gar keine Daten ausgefüllt. Ganz einfach aus dem Grund das es dafür keine Anmeldedaten gibt.


    Das ausfüllen der Anmeldedaten erfolgt also automatisch und ohne zu tun des Nutzers.

    https://gnulinux.ch/ Freie Software, Freie Gesellschaft (Redaktion und Podcast vom Schweizer Verein)

    2 Mal editiert, zuletzt von Kater () aus folgendem Grund: Ein Beitrag von Kater mit diesem Beitrag zusammengefügt.

  • Das ist tatsächlich ein Vorteil, da gebe ich dir recht. Es ist grundsätzlich gut, wenn technische Maßnahmen zu einer Warnung führen. Das unterstützt unachtsame und arglose Nutzende bei der Abwehr von Angriffsversuchen.


    In dieses Horn blasen aber auch Webbrowser und Schutzsoftware - sofern sie vorhanden und aktuell sind.

    Hier zwei Beispiele - ich habe gerade mal spaßeshalber auf zwei Links in Phishing-Mails geklickt:


    Im ersten Fall warnt mich der aktuelle Chrome-Broswer - und das alles andere als schüchtern:


    Im zweiten Fall warnt mich Avira Antivir Pro auf ähnliche Weise:


    Wichtig ist ganz grundsätzlich, dass man unterstützende Schutzmaßnahmen aktiviert, vollkommen richtig.


    Lieben Gruß

    Tunarus

  • Fuck the „REGULATION (EU) 2019/1148“ of the European Parliament and of the Council! Denn Kunst und Wissenschaft wie auch Forschung und Lehre sind frei gemäß Art. 5 Abs. 3 GG.

    Erst wenn in Deutschland und in der EU alle Chemikalien verboten sind; auch Kochsalz und Essig Abgabebestimmungen unterliegen und der letzte Hobbychemiker das Handtuch geworfen hat; wird die Politik sehen, dass es immer noch Terrorismus und Drogen gibt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!