Willkommen auf myCSharp.de! Anmelden | kostenlos registrieren
 | Suche | FAQ

Hauptmenü
myCSharp.de
» Startseite
» Forum
» Suche
» Regeln
» Wie poste ich richtig?

Mitglieder
» Liste / Suche
» Wer ist online?

Ressourcen
» FAQ
» Artikel
» C#-Snippets
» Jobbörse
» Microsoft Docs

Team
» Kontakt
» Cookies
» Spenden
» Datenschutz
» Impressum

  • »
  • Community
  • |
  • Diskussionsforum
Was haltet ihr von Password Tools (bspw. KeePass Password Safe)? vs. einfache und sichere Passworte
raketenhund
myCSharp.de - Member



Dabei seit:
Beiträge: 41

Themenstarter:

Was haltet ihr von Password Tools (bspw. KeePass Password Safe)? vs. einfache und sichere Passworte

beantworten | zitieren | melden

Guten Morgen alle zusammen :)

Ich habe kürzlich einen News-Beitrag über eine Software Namens KeePass Password Safe gelesen. Diese Software ermöglicht es, Passwörter zu speichern und mit einem "Master-Passwort" abzusichern. Persönlich stehe ich solcher Software stets kritisch gegenüber. Ich habe einfach ein unwohles Gefühl dabei, wenn mir eine Software alle meine Passwörter im Klartext darstellen kann, auch wenn ich dafür ein sicheres "Master-Passwort" eingeben muss.

Ich persönlich verwende etwa sieben verschiedene Passwörter. Je nach Sicherheitsanforderung (bspw. Facebook/E-Mails) eine Mischung aus Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen, oder aber bspw. für Foren in etwas abgeschwächter Form.

Wenn ich mir nun ein solches Tool zulegen würde, hätte ich die Daten an zentraler Stelle, bspw. Heim-PC. Bin ich an der Arbeit oder bei Freunden und möchte mich irgendwo einloggen, habe ich keine Möglichkeit die eventuell extrem sicher gestalteten Passwörter einzusehen.

Geht mir die Platte kaputt, hab ich ggf. einen Passwortverlust. Ok, nahezu alle Seiten beiten eine Passwort-Zurücksetzen Funktion, aber was ist mit Zugängen, die diese Funktion eben nicht bieten, bspw. Bankprogramme? Mache ich ein Backup dieser Passwort-Datei, habe ich sie schon nicht mehr zentral an einer Stelle, sondern schon auf mindestens einer weiteren, was einen "Diebstahl" wieder erleichtern könnte (eher weniger im Privaten als im Geschäftsbereich).

Wie sieht es aus mit der Sicherheit solcher Programme und wie steht ihr dazu?

Lg vom raketenhund :)
Projekte
my dvds - Die DVD & BluRay Verwaltung für Windows Phone 8
private Nachricht | Beiträge des Benutzers
dN!3L
myCSharp.de - Experte

Avatar #avatar-2985.png


Dabei seit:
Beiträge: 3138

beantworten | zitieren | melden

Der wichtigste Faktor bei der Stärke von Passwörtern ist die Länge.

Angenommen, wir haben die beiden folgenden Passwörter:
1. Hund....................
2. PrXyc.N(n4k77#L!eVdAfp9
Welches Passwort ist stärker? Manch einen mag es verwundern, aber es ist das erstere. Das zweite Passwort hat zwar viel mehr verschiedene Zeichen, allerdings ist das erste Passwort um einziges Zeichen länger – womit man etwa 95x mehr Zeit zum Erraten benötigt.

Selbst wenn das Passwort mit einem Wort aus dem Wörterbuch beginnt, beim Knacken/Erraten von Passwörtern zählt kein „nah dran“. Es gibt nur "stimmt" oder "stimmt nicht". Ein Angreifer hat auch (üblicherweise) keine Kenntnis, wie lang das konkrete Passwort ist oder welche Zeichen es enthält.

Ein Tipp für starke Passwörter ist also ein einfach zu merkendes Wort zu nehmen und dann irgendwo (davor, dahinter, zwischendrin) mit einem beliebigen Zeichen aufzufüllen.
Wie gesagt: Die Länge macht’s. Nicht schwer zu merkende kurze Passwörter verwenden, sondern leicht zu merkende lange Passwörter.

Um also auf das eigentliche Thema zurückzukommen: Solche Tools benötigt man nicht zwingend, da man Passwörter auch so wählen kann, dass sie sehr leicht zu merken sind.

Zur Veranschaulichung was visuelles: https://xkcd.com/936/.

Den Text habe ich aus einem anderen Zusammenhang und ist stark von https://www.grc.com/haystack.htm inspiriert.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von dN!3L am .
private Nachricht | Beiträge des Benutzers
mabo
myCSharp.de - Member



Dabei seit:
Beiträge: 335

beantworten | zitieren | melden

Ich finde Keepass super und verwalte alle meine Kennwörter damit. Für mich überwiegen die Vorteile, die das Programm bietet. Bei der Menge an Kennwörtern, die man in der heutigen Zeit benötigt finde ich das Programm eine enorme Hilfestellung.

Die Keepass-Datenbank liegt bei mir auf einem Cloud-Speicher, so dass ich nahezu von überall her Zugriff drauf habe. Fürs Handy gibt es auch eine App (und durch regelmäßige Synchronisierung brauche ich auch keine Internetverbindung)

In unserer Firma wird es ebenfalls eingesetzt, um Kennwörter sicher und zentral zu speichern.
private Nachricht | Beiträge des Benutzers
schlumpf2009
myCSharp.de - Member



Dabei seit:
Beiträge: 12
Herkunft: stuttgart

beantworten | zitieren | melden

ganz ehrlich baut euch dóch was eigenes mit rsa z.b. dann habt ihr das problem nicht und lernt noch was dabei
private Nachricht | Beiträge des Benutzers
raketenhund
myCSharp.de - Member



Dabei seit:
Beiträge: 41

Themenstarter:

beantworten | zitieren | melden

@dN!3L:
Hmmmmm, das gibt zu denken :)

Ich bin grad etwas überrascht und weiß nicht mehr was ich dazu schreiben soll. Das ist schon wieder viel zu einfach :)

Vielen Dank auf jeden Fall für den Hinweis. Wenn man sich derartiges mal angewöhnt und dann zur Vorsicht nochmal mit dem ein oder anderen Sonderzeichen (wie dem im Beispiel genannten Punkt) versieht, sollte man schon auf einer recht sicheren Seite sein. Das macht dann solche Tools auch in gewisser Weise überflüssig.

@mabo
Selbstverständlich könnte man sich auch etwas selbst zusammenstellen. Lerneffekt wäre natürlich auch dabei, wobei das für mich nicht derart interessant ist, dass ich dafür etwas selbst entwerfen würde. Mir würde hierzu die Motivation fehlen, da ich, wie oben bereits geschrieben, solchen Tools (ob selbst geschrieben oder anderer Anbieter) recht kritisch gegenüber stehe.

Ich merke mir die Passwörter lieber und verwende ein paar wenige "sichere", als alle in einem Tool zu hinterlegen.

@schlumpf2009
Gut, dass mit den Apps fürs Handy wusste ich nun nicht. Wie werden denn die Daten synchronisiert? Nimmst du dafür einen eigenen Server oder etwas wie DropBox/SkyDrive oder wird das von KeePass auf deren Server hochgeladen?

Vor allem: Wieviele Passwörter hast du denn, dass du hierfür ein extra Tool benötigst? Nutzt du für jede Website ein eigenes? (wenn ich mal so dreist fragen darf?)
Projekte
my dvds - Die DVD & BluRay Verwaltung für Windows Phone 8
private Nachricht | Beiträge des Benutzers
MasterMax
myCSharp.de - Member

Avatar #avatar-2173.gif


Dabei seit:
Beiträge: 280
Herkunft: Deutschland

beantworten | zitieren | melden

Ich nutze firefox sync (mit einem sicheren Masterpasswort) um Passwörter und Lesezeichen zwischen PC und Notebook mit win+linux zu synchronisieren. Lokal sind die Passwörter natürlich ebenfalls mit einem Masterpasswort verschlüsselt. Kritische Passwörter (Bank, Paypal) sind da nicht gespeichert.
-=MasterMax=-
private Nachricht | Beiträge des Benutzers
trib
myCSharp.de - Member



Dabei seit:
Beiträge: 692

beantworten | zitieren | melden

Hallo zusammen,

ich nutze KeyPass ebenfalls und bin froh dass ich es habe.
Für den privaten Gebrauch hilft es sehr gut weiter, wenn man z.B. sich nur in einem Forum angemeldet hat um etwas herunterzuladen. Oder Sich vor 10 Jahren einen Webspace eingerichtet hat und den Zugang nicht mehr kennt.
Es gibt zahlreiche Beispiele, wo ich mir gewünscht hätte schon vor 5 Jahren damit begonnen zu haben die Passwörter zu sichern.
Aktuell habe ich dort alle meine Passwörter drin. Allerdings nutze ich z.B. auch kein Onlinebanking.
Die Gefahr, dass jemand mein Emailkonto mit einem Trojaner knackt sehe ich als Risikoreicher, als dass Jemand meine kdbx-Datei entschlüsselt.
Die Datei liegt auf meinem Handy und auch einem Cloud-Dienst.

Für die Arbeit ist es ebenfalls ungemein praktisch, das ich viele Kundenzugänge habe, die ich dort zentral sammle. Die Datei liegt in dem Fall aber auf meinem Firmenrechner und darüber hinaus in einem verschlüsselten Verzeichnis.
Die Sicherheit sehe ich dabei ebenfalls höher an als die Daten in Emails zu belassen oder auf Zettel zu schreiben. Einige Kollegen haben auch Word/OneNote/Excel-Dokumente und legen ihre Zugänge dort ab. Auch auf einer verschlüsselten Partition, aber wer einmal seinen Rechner nicht sperrt ermöglicht den direkten Zugriff.

Fazit: Ich stehe so einem Programm äußerst positiv gegenüber. Es muss halt nur ein Mindestmaß an Sensibilität vorausgesetzt werden, wenn es um den Ablageort und das Masterpasswort geht.
private Nachricht | Beiträge des Benutzers
EifelYeti
myCSharp.de - Member

Avatar #avatar-3408.jpeg


Dabei seit:
Beiträge: 66
Herkunft: Eifel

beantworten | zitieren | melden

Danke dN!3L !

da überlegt man sich 10 Jahre lang "sichere Passwörter" und dann kommst du um die Ecke und sagst das ich "hundkatzemaus..................." verwenden kann :)

Danke für den super Tipp und die fantastische Veranschaulichung!

Gruß
EifelYeti (der sich jetzt neue Passwörter ausdenkt :) )
Rekursion
(lat. , die) siehe Rekursion
private Nachricht | Beiträge des Benutzers
weismat
myCSharp.de - Member



Dabei seit:
Beiträge: 878
Herkunft: Frankfurt am Main

beantworten | zitieren | melden

Benutze auch Keypass.
Dass man auf jeder Seite heutzutage ein eigenes Password braucht, sollte selbstverständlich sein. Ich finde die 2 Step Anmeldung bei Google gut und denke, dass sich so etwas langfristig durchsetzen wird.
private Nachricht | Beiträge des Benutzers
ujr
myCSharp.de - Experte



Dabei seit:
Beiträge: 1770

beantworten | zitieren | melden

Zitat von dN!3L
womit man etwa 95x mehr Zeit zum Erraten benötigt.

Nun ja - gleiche Zeichen erleichtern häufig die Kryptoanalyse. Brute-force ist aufgrund der Dauer ohnehin selten das Mittel der Wahl.

Insofern spielt die Zusammensetzung schon eine Rolle. Ansonsten könnte man ja auch 100x '.' nehmen und hätte ein unknackbares Passwort.
private Nachricht | Beiträge des Benutzers
tom-essen
myCSharp.de - Experte

Avatar #avatar-2140.png


Dabei seit:
Beiträge: 1928
Herkunft: NRW

beantworten | zitieren | melden

Hallo!

Eher offtopic
In der c't war letztens Passwort-Sicherheit das Thema. Was sich da bei den Passwort-Hackern alles getan hat, ist schon erstaunlich. Das Hauptproblem dabei ist, wenn das verwendete Passwort in deren Wörterbuch vorkommt (und diese Listen umfassen bei den Profis wohl mehrere 100.000 Einträge). Ein kompletter Test dauert dann wenige Sekunden für einfach MD5-Hashes. Dann werden diverse Algorithmen durchlaufen, wo dann Wort-Kombinationen, Leed-Speach, ... variiert werden.

Wichtig dabei ist wohl insgesamt, wie die Passwörter gespeichert werden. Nun muss KeePass ja so speichern, dass die Daten wieder herstellbar sind, d.h. zumindest das Master-Passwort sollte mehrfach gesalzen sein.
Nobody is perfect. I'm sad, i'm not nobody
private Nachricht | Beiträge des Benutzers
aequitas
myCSharp.de - Member

Avatar #avatar-3079.png


Dabei seit:
Beiträge: 517
Herkunft: Unterfranken

beantworten | zitieren | melden

Zitat von raketenhund
Was haltet ihr von Password Tools (bspw. KeePass Password Safe)
Abstand.
be the hammer, not the nail!
private Nachricht | Beiträge des Benutzers
herbivore
myCSharp.de - Experte

Avatar #avatar-2627.gif


Dabei seit:
Beiträge: 52329
Herkunft: Berlin

beantworten | zitieren | melden

Hallo zusammen,

ich benutze kein Passwort-Tool, aber es gibt welche - und das fand ich eine interessante Idee - die jede Eingabe des Masterpassworts als korrekt betrachten und die Passworte einfach damit entschlüsseln. Ein Angreifer muss dann also die anzeigten Passworte erst ausprobieren, um zu wissen, ob er das Masterpasswort korrekt eingegeben hat. Gerade weil es um Passworte geht, weiß er ja nicht, ob der angezeigte Datenmüll eben nur Datenmüll ist oder kryptische/zufällige Passworte.

herbivore
private Nachricht | Beiträge des Benutzers
schlumpf2009
myCSharp.de - Member



Dabei seit:
Beiträge: 12
Herkunft: stuttgart

beantworten | zitieren | melden

mal was zum lesen

Heise Security: Passwort-Schutz für jeden
private Nachricht | Beiträge des Benutzers
mabo
myCSharp.de - Member



Dabei seit:
Beiträge: 335

beantworten | zitieren | melden

Um noch auf die Frage von oben einzugehen:
Die Keepass-Datei liegt auf Google Drive und ich synchronisiere mein Handy (Android) ca. 1 mal täglich wenn ich nach der Arbeit heim komme.
Ich schätze, dass ich da mittlerweile gut 60 Kennwörter gespeichert habe. Natürlich nehme ich für jede Webseite ein eigenes Kennwort. Keepass hat einen sehr guten Kennwort-Generator eingebaut. :)

Und wie sicher KeePass ist kann jeder selbst nachschauen, da die Software OpenSource ist.
private Nachricht | Beiträge des Benutzers
Abt
myCSharp.de - Team

Avatar #avatar-4119.png


Dabei seit:
Beiträge: 16152

beantworten | zitieren | melden

Netter Artikel: [email protected]$$1234: the end of strong password-only security
- performance is a feature -

Microsoft MVP - @Website - @blog - @AzureStuttgart - github.com/BenjaminAbt
private Nachricht | Beiträge des Benutzers
MasterMax
myCSharp.de - Member

Avatar #avatar-2173.gif


Dabei seit:
Beiträge: 280
Herkunft: Deutschland

beantworten | zitieren | melden

Zitat von weismat
Ich finde die 2 Step Anmeldung bei Google gut und denke, dass sich so etwas langfristig durchsetzen wird.
Danke für den Tipp! Hab das nun ebenfalls aktiviert. Finde es auch toll, dass jedes Programm/Device (Smartphone, Thunderbird, Calendar Gadget,...) ein eigenes Passwort hat, das ich jederzeit löschen kann.
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von MasterMax am .
-=MasterMax=-
private Nachricht | Beiträge des Benutzers