mikrocontroller.net

Forum: PC Hard- und Software Allgemeine Frage zu Passwort-Managern


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Richter, Otto (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo da draußen,

Meine Frage: Angenommen ein Passwort-Manager (PWM) ist auf dem PC 
eingerichtet und funktioniert.

Ich kann aber doch weiterhin an das Konto gehen und beim Versuch mich 
einzuloggen (und wenn der PWM sein kompliziertes PW eintragen will) 
drücke ich einfach auf "Passwort vergessen?" und kann so ein neues PW 
einrichten und am PWM vorbei auf das Konto gehen.

Wo ist mein Denkfehler?

Danke für alle Antworten, auch die lustigen und die überheblichen.

Otto aus Berlin

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Richter, Otto schrieb:
> am PWM vorbei auf das Konto gehen.

Geht. Nachteil ist nur, dass Dein PWM dann noch das ALTE hat. Wenn Du 
dann wieder das falsche aus dem PWM verwendest kommt irgendwann der 
Fehler...

Autor: wendelsberg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Richter, Otto schrieb:
> Wo ist mein Denkfehler?

Du glaubst, dass der Passwortmanager fuer hoehere Sicherheit erfunden 
wurde.
Das stimmt aber nicht, der wurde fuer hoehere Bequemlichkeit erfunden, 
das ist genau das Gegenteil.

wendelsberg

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Es gibt unterschiedliche Grade von Bequemlichkeit. Ein Password-Manager 
ersetzt eine andere Bequemlichkeit, nämlich für die meisten Sites das 
gleiche einfach zu merkende Password zu verwenden.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Doch, die Sicherheit, sich mit kryptischen Passworten auszusperren, wenn 
er nicht funktioniert, ist ausgezeichnet.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Richter, Otto schrieb:
> Wo ist mein Denkfehler?

Nirgends.

Ob Sites durch ein einfaches Mailverfahren neue Passwörter erzeugen und 
per Mail zusenden, oder eine zusätzliche Verifikation verlangen, hängt 
völlig von der Site ab. Bei Banken ist das üblicherweise deutlich 
komplizierter, andere Sites verwenden Sicherheitsabfragen.

Mit dem Password-Manager hat das nichts zu tun. Jedenfalls nicht mit 
dem, was im privaten Kontext darunter verstanden wird. Der ist wenig 
mehr als ein verschlüsselter Karteikasten beliebigen Inhalts, ohne 
Verbindung mit der Site oder Anwendung, zu der das Password gehört.

: Bearbeitet durch User
Autor: Bernd K. (prof7bit)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Richter, Otto schrieb:
> drücke ich einfach auf "Passwort vergessen?" und kann so ein neues PW
> einrichten und am PWM vorbei auf das Konto gehen.

Nur wenn Du ohne Passwortmanager auf Deine E-Mail zugreifen kannst. Wenn 
der E-Mail-Account offen ist wie ein Scheunentor für jeden der Deinen PC 
hochfährt ist keiner Deiner anderen Accounts mehr sicher. Wer Dich 
angreifen will wird zuerst versuchen Dein E-Mail-Konto zu übernehmen, es 
ist quasi der Generalschlüssel/Zweitschlüssel für Dein 
Paypal/Amazon/Ebay/Facebook/Wasauchimmer. Das würde ich mit besonderer 
Sorgfalt sichern.

: Bearbeitet durch User
Autor: Cyblord -. (cyblord)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Es gibt unterschiedliche Grade von Bequemlichkeit. Ein Password-Manager
> ersetzt eine andere Bequemlichkeit, nämlich für die meisten Sites das
> gleiche einfach zu merkende Password zu verwenden.

Und das ist sinnvoll, weil "Password Reuse" heute das größte 
Sicherheitsproblem darstellt.

Autor: Robert (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Könnt Ihr einen guten Passwortmanager empfehlen?

Geht rein nur um die Bequemlichkeit

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ich verwende diesen: https://pwsafe.org/

Autor: Tobi T. (freitagvormittag)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich verwende KeePass

https://keepass.info

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Sinnvolle Features:
- Der Password Manager sollte ggf die Webseite starten können.
- Er sollte bei den üblichen Webseiten-Forms Username und Password auf
  Anforderung selbst eintragen können, um nicht immer das Clipboard
  verwenden zu müssen.
Welches Programm ausser Password Safe das kann oder nicht kann weiss ich 
nicht.

: Bearbeitet durch User
Autor: Philip (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich nutze diesen hier:

https://www.safe-in-cloud.com/en/

Die Software speichert die Daten lokal in einer 256 bit AES 
verschlüsselten Datenbank/Datei die dann in einem beliebigen 
Cloudspeicher liegen kann und gemeinsam mit allen Geräten genutzt wird.

Das ganze betreibe ich für mich auf einem von mir administrierten 
Owncloud server. Das ist zwar nicht sicherer als die Datenbank in einer 
Dropbox zu lagern, macht aber ein nerdiges Gefühl. :) (Und die Owncloud 
war eh da...)

Die Apps und Desktopanwendungen funktionieren einfach.

Autor: Philip (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nachtrag:

Als Nachteil mag man sehen, dass es kein Webinterface gibt, über das man 
an seine Passwörter herankommt... Ich sehe das eher als Vorteil.

Autor: Nano (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Robert schrieb:
> Könnt Ihr einen guten Passwortmanager empfehlen?

Stift und Papier.


> Geht rein nur um die Bequemlichkeit

Okay, in dem Fall ein Passwortmanager.
Sind halt zwei Fragen, gut oder bequem.

Beitrag #5686116 wurde vom Autor gelöscht.
Autor: Fauler PC-Nutzrt (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Den nutze ich seit Jahren. Vorteile aus meiner Sicht:

"Sichere" weil lange, kryptische Passworte
Unterschiedliche Passworte
Erinnerung regelmäßig das PW zu ändern
Autostart der Applikation und automatisches Ausfüllen

Autor: Mike B. (mike_b97) Benutzerseite
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Also von meinem Verständnis aus würde ich keiner einzigen derartigen 
Software vertrauen, die ich nicht selbst geschrieben hab.

Wer sagt mir, dass da nicht Hintertüren für den Programmierer eingebaut 
sind?
Der sammelt frech und frei hunderte Passwörter und verkauft sie.
Und wer kennt schon die Programmierer und ihre Arbeitgeber genau?

Autor: Jemand (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Mike B. schrieb:
> Also von meinem Verständnis aus würde ich keiner einzigen derartigen
> Software vertrauen, die ich nicht selbst geschrieben hab.
>
> Wer sagt mir, dass da nicht Hintertüren für den Programmierer eingebaut
> sind?
> Der sammelt frech und frei hunderte Passwörter und verkauft sie.
> Und wer kennt schon die Programmierer und ihre Arbeitgeber genau?

Hast du schon deinen Browser selber geschrieben?

Autor: Gerhard Z. (germel)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Sinnvolle Features:
> - Der Password Manager sollte ggf die Webseite starten können.
> - Er sollte bei den üblichen Webseiten-Forms Username und Password auf
>   Anforderung selbst eintragen können, um nicht immer das Clipboard
>   verwenden zu müssen.
> Welches Programm ausser Password Safe das kann oder nicht kann weiss ich
> nicht.

KeePass kann das.

Außerdem gibt es ein Bug-Bounty-Programm der EU, das im Januar für 14 
Software-Projekte startet (inkl. KeePass). Darin hat die EU insgesamt 
850.000 Euro als Belohnung zur Auffindung von Sicherheitslücken 
ausgeschrieben:
https://www.heise.de/newsticker/meldung/EU-Projekt-zahlt-fuer-entdeckte-Sicherheitsluecken-in-Open-Source-Software-4260264.html

Mike B. schrieb:
> Wer sagt mir, dass da nicht Hintertüren für den Programmierer eingebaut
> sind?
Da läßt sich in Open-Source Programmen wenigstens nachschauen, wass der 
Programmierer gemacht hat - und das werden wohl auch einige wahrnehmen 
im Rahmen des oben genannten EU Projekts. Aber nichts spricht dagegen, 
dass du deinen Zettel mit 100 Passwörtern immer mit dir im Portmonai 
dabei hast. Ist sicher ganz sicher ;-)

Gerhard

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jemand schrieb:
> Mike B. schrieb
> Hast du schon deinen Browser selber geschrieben?

Sollte nicht JEDE Software, die auf dem PC läuft in der Lage sein 
Passworteingaben zu sammeln!?

Also ist eher die Frage ob man alles was auf der HDD ist selbst 
geschrieben hat.

Wobei, was ist mit der Hardware? ;-)


BTW: Zwei-Faktor-Authentifizierung ist nicht kompliziert.
Und es wäre schön wenn es sich endlich durchsetzen würde wenn man bei 
Accounts zwecks Passwort Recovery eine sepperate E-Mail Adresse 
festlegen könnte.

Autor: Mike B. (mike_b97) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jemand schrieb:
> Mike B. schrieb:
>> Also von meinem Verständnis aus würde ich keiner einzigen derartigen
>> Software vertrauen, die ich nicht selbst geschrieben hab.
>>
>> Wer sagt mir, dass da nicht Hintertüren für den Programmierer eingebaut
>> sind?
>> Der sammelt frech und frei hunderte Passwörter und verkauft sie.
>> Und wer kennt schon die Programmierer und ihre Arbeitgeber genau?
>
> Hast du schon deinen Browser selber geschrieben?

Es geht nicht um browser sondern um den Schlüssel zum einem Safe voller 
Schlüssel.
Was in hardware noch halbwegs sicher sein mag, weil der Hersteller von 
Safe und Generalschlüssel nicht unbedingt wissen kann wo beide im 
Endeffekt zu finden sind,
ist als Software mit gewollter Verbindung zum internet irgendwie 
"merkwürdig".
"naiv" (ohne abwertenden Unterton) ist da wohl die korrekte Bezeichnung 
für den User.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gerhard Z. schrieb:
> Außerdem gibt es ein Bug-Bounty-Programm der EU, das im Januar für 14
> Software-Projekte startet (inkl. KeePass). Darin hat die EU insgesamt
> 850.000 Euro als Belohnung zur Auffindung von Sicherheitslücken
> ausgeschrieben:
> 
https://www.heise.de/newsticker/meldung/EU-Projekt-zahlt-fuer-entdeckte-Sicherheitsluecken-in-Open-Source-Software-4260264.html

Danke für die Info, wusste ich noch nicht.

> Aber nichts spricht dagegen,
> dass du deinen Zettel mit 100 Passwörtern immer mit dir im Portmonai
> dabei hast. Ist sicher ganz sicher ;-)

Zwei Zettel auf einem die PW, auf dem anderen die URLs und das ganze 
nicht im Portemonnaie, sondern getrennt aufbewahren.
Die paar PW die man mobil braucht, schreibt man in die Liste und merkt 
man sich zusätzlich im Kopf, dann hat man sie immer dabei.
Das geht auch mit kryptischen PW.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Um das also nochmal zu verdeutlichen, die Listen lässt man 
logischerweise Zuhause.

Wer will, der kann sie natürlich auch verschlüsselt auf Papier speichern 
und sie bei Bedarf auf dem Computer mit einem selbst geschriebenen 
Programm entschlüsseln, wenn man das PW braucht.
Möglichkeiten die Sicherheit zu erhöhen gibt es viele.

Autor: Bastler (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Mike B. schrieb:
> Es geht nicht um browser sondern um den Schlüssel zum einem Safe voller
> Schlüssel.

Stimmt schon, dass ein Passwortsafe ein lohnenedes Angriffsziel ist weil 
die Beute ein ganzer Bund an Schlüsseln sein kann.

Daher ist es ja auch sinnvoll dabei wählerisch zu sein und ein gut 
unterstütztes Open Source Programm zu wählen - bei dem kann man sich 
doch recht sicher sein, dass es da keine Hintertür rein schafft. Wenn 
dann noch eine unabhängige code revision und/oder Bug Bountys existieren 
ist man doch schon sehr sicher.

Trotzdem wird ein Browser öfter angegriffen - was man schon an den 
Summen der Bug Bountys sehen kann - die sind dort deutlich umfangreicher 
als bei Passwortsafes. Die Nutzeranzahl ist halt viel höher, und damit 
sind es die niedriger hängenden Früchte für den Passwortdieb. Bei einem 
gezielten Angriff auf eine Person ist natürlich der Passwortsafe das 
wertvollere Ziel, aber wenn es nur darum geht möglichst viel Beute zu 
machen ist der Browser die sichere Wahl. Schrot-Prinzip eben...

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bastler schrieb:
> und ein gut
> unterstütztes Open Source Programm zu wählen - bei dem kann man sich
> doch recht sicher sein, dass es da keine Hintertür rein schafft.

Nein, kann man nicht.
Der Heartbleed Bug von OpenSSL wurde über Jahre nicht gefunden und 
Millionen Server haben OpenSSL verwendet, darunter waren sogar viele 
finanzkräftige Unternehmen die die Sicherheit ihrer Server dieser 
Software vertrauten aber keinen Cent dafür ausgaben, dass da mal einer 
einen Code Audit macht.

https://de.wikipedia.org/wiki/Heartbleed


Sicherheit erhält man nicht dadurch, dass das viele benutzen, sondern 
Sicherheit erhält man nur dann, wenn tatsächlich auch jemand nachschaut.

Autor: Zitronen F. (jetztnicht)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das wahrscheinlich beste ist ein Buechlein wo man die paare zusammen mit 
der Webseite eintraegt.

Das absolut schlechteste sind Passwormanager auf dem Smartphone. 
Standardmaessig wollen die auch
- zugriff auf das Adressbuch
- zugriff auf das WLAN
- zugriff auf mobilverbindungen
- das Recht Verbindungen aufzubauen.
- den Rest auch noch

Man muss sich nicht viel Muehe geben, oder extrem schlecht denken ..

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zitronen F. schrieb:
> Das absolut schlechteste sind Passwormanager auf dem Smartphone.

Berechtigungen von Keypass2Android Offline:
- Speicher wg Import, Export, Backup
- Vibration
- Fingerabdruck

Keine Internet-Zugriffe. Dafür gibts die Version ohne "Offline", für DB 
in der Cloud.

: Bearbeitet durch User
Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zitronen F. schrieb:
> Das absolut schlechteste sind Passwormanager auf dem Smartphone.

Nicht verallgemeinern, es gibt auch seriöse.

Z.B. Keepass2Android, dort macht sich der Autor sogar die Mühe eine 
parallele Version zu pflegen die minimale Berechtigungen benötigt (es 
fehlen dann natürlich einige Komfortfunktionen die nur möglich sind wenn 
die APP mehr Berechtigungen hat).

Autor: 900ss D. (900ss)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bei Heise war vor Jahren mal eine Methode beschrieben, mit der man sich 
selber Passwörter "generieren" kann. Finde den Artikel nicht wieder.
Ich merke mir nur diese Regel und kann mir für jeden Account das 
Passwort aus dem Kopf wieder herstellen.

Das PW setzt sich aus 2 Teilen zusammen, einen allgemeinen (1) und einen 
Account spezifischen (2).
1) DimsP_  (aus dem Satz: "Dies ist mein super Passwort")
2) mr.n#15 (aus microcontroller.net: davon den ersten und den letzten
   Buchstaben von 'microcontroller' dann den '.' und den ersten Buchstaben
   der domain-Endung, hier 'n'. Danach das '#' und Anzahl der Buchstaben
   wieder von 'microcontroller'.
   
Die beiden zusammengesetzt ergibt 'DimsP_mr.n#15'
Oder für g00gle.de dann: 'DimsP_ge.d#6'


Mit der Regel kann man sich für jeden Account ein Passwort generieren 
und merkt sich nur die Regel und natürlich den Satz zum generieren des 
allgemeinen Teils. Funktioniert sehr gut. Ich schreibe mir nirgends mehr 
Passwörter auf. Man kann die Regel ja auch beliebig nach eigenen 
Bedüfnissen anpssen. Sie sollte nur immer gleich angewendet werden ;)

: Bearbeitet durch User
Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zitronen F. schrieb:
> Das wahrscheinlich beste ist ein Buechlein wo man die paare zusammen mit
> der Webseite eintraegt.

Und diese unverschlüsselte für jedermann lesbare Quelle aller Passwörter 
trägst du immer am Körper oder hast sie im Tresor? Also so, dass 
niemand eine Chance hat, reinzuspicken während du kurz weg bist.

Wenn man sowas nicht sehr diszipliniert im Tresor deponiert, halte ich 
gute Password Manager für sicherer.

Autor: Zitronen F. (jetztnicht)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das Buechlein mit den Logins ist an einem festen Ort, eins auf der 
Arbeit, und eins zuhause. Bedeutet ich habe zuhause keine Logins die zur 
Arbeit gehoeren und umgekehrt. So etwa.

Ich dacht auch schon dran mir einen Android passwort Manager selbst zu 
schreiben. Werd ich auch irgend wann mal tun. In der Zwischenzeit kann 
ich mir ja mal das Keepass2Android anschauen.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Zitronen F. schrieb:
> einen Android passwort Manager

Nach verlorenen Handys wird die Wiederbeschaffung der PWs interessant. 
Die Erfahrung zeigte, daß maschinell gemerkte PWs schneller vergessen 
werden als ständig eingetippte.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oszi40 schrieb:
> Nach verlorenen Handys wird die Wiederbeschaffung der PWs interessant.
> Die Erfahrung zeigte, daß maschinell gemerkte PWs schneller vergessen
> werden als ständig eingetippte.

Das Thema "Backup" kennst du doch, oder? Ist übrigens der Grund, weshalb 
manche PW-Manager die verschlüsselte Database nicht nur lokal, sondern 
zusätzlich auch in der Cloud deponieren können. Wobei das auch eine 
private sein darf.

: Bearbeitet durch User
Autor: Bernd K. (prof7bit)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oszi40 schrieb:
> Zitronen F. schrieb:
>> einen Android passwort Manager
>
> Nach verlorenen Handys wird die Wiederbeschaffung der PWs interessant.

Warum? In dem Fall kopiere ich mir die Passwortdatenbank erneut vom PC 
(wo keepass ebenfalls installiert ist) auf das neue Handy. Wo soll da 
das Problem sein? Keepass gibts für Windows, Linux, Mac, Android, iPhone 
und noch ein paar mehr.

Ein Backup der Passwortdatenbank auf dem Handy mitzuschleppen hat mir 
übrigens schon mehr als einmal fern der Heimat den Tag gerettet, und in 
jedem der Fälle war vorher nicht abzusehen daß ich genau diese oder jene 
Zugangsdaten in Kürze dringend brauchen werden würde.

Autor: vn nn (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oszi40 schrieb:
> Die Erfahrung zeigte, daß maschinell gemerkte PWs schneller vergessen
> werden als ständig eingetippte.

Tja, blöderweise zeigt die Erfahrung auch, dass gemerkte Passwörter 
entweder wiederverwendet werden, oder unsicher sind. Oder beides.

Autor: vn nn (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
900ss D. schrieb:
> Bei Heise war vor Jahren mal eine Methode beschrieben, mit der man sich
> selber Passwörter "generieren" kann. Finde den Artikel nicht wieder.
> Ich merke mir nur diese Regel und kann mir für jeden Account das
> Passwort aus dem Kopf wieder herstellen.

https://www.xkcd.com/936/

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
900ss D. schrieb:
> Bei Heise war vor Jahren mal eine Methode beschrieben, mit der man sich
> selber Passwörter "generieren" kann. Finde den Artikel nicht wieder.
> Ich merke mir nur diese Regel und kann mir für jeden Account das
> Passwort aus dem Kopf wieder herstellen.
>
> Das PW setzt sich aus 2 Teilen zusammen, einen allgemeinen (1) und einen
> Account spezifischen (2).
> 1) DimsP_  (aus dem Satz: "Dies ist mein super Passwort")
> 2) mr.n#15 (aus microcontroller.net: davon den ersten und den letzten
>    Buchstaben von 'microcontroller' dann den '.' und den ersten
> Buchstaben
>    der domain-Endung, hier 'n'. Danach das '#' und Anzahl der Buchstaben
>    wieder von 'microcontroller'.
>
> Die beiden zusammengesetzt ergibt 'DimsP_mr.n#15'
> Oder für g00gle.de dann: 'DimsP_ge.d#6'
>
> Mit der Regel kann man sich für jeden Account ein Passwort generieren
> und merkt sich nur die Regel und natürlich den Satz zum generieren des
> allgemeinen Teils.

Wenn das bei Heise so öffentlich gezeigt wurde, dann gibt es dafür 
sicherlich schon Hashtabellen für jeweils den Teil als Salt, der aus den 
Domains bekannter viel genutzter Seiten konstruiert wird.
Damit reduziert sich die Sicherheit deines PW auf die 5 Zeichen deines 
super Passworts.

Autor: 900ss D. (900ss)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Damit reduziert sich die Sicherheit deines PW auf die 5 Zeichen deines
> super Passworts

Ah, ein super Schlauer. Hashtabellen für einen frei definierbaren 
String?
Ich glaub du hast es einfach nicht kapiert.
Aus dem Domainteil kannst du doch auch machen was du möchtest.

Aus mikrocontroller.net kannst du auch rm.n-15 machen oder 15mr oder.... 
oder....
Du sollst dir nur eine Regel definieren, wie du aus der Domain ein paar 
Buchstaben/Zahlen/Sonderzeichen generierst. Kann doch jeder machen wie 
er möchte.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
900ss D. schrieb:
> Nano schrieb:
>> Damit reduziert sich die Sicherheit deines PW auf die 5 Zeichen deines
>> super Passworts
>
> Ah, ein super Schlauer. Hashtabellen für einen frei definierbaren
> String?
> Ich glaub du hast es einfach nicht kapiert.

Du hast nicht kapiert was ich geschrieben habe.
Du hast bspw. eine Domain, nehmen wir mal google.de.
Dann ist _ge.d#6 für diese Domain immer gleich.
Das ist dein Salt, damit generierst du nun alle möglichen Hashs die sich 
aus diesem Salt und 5 davor gehängten Zeichen bilden.
Und schon reduziert sich deine Anzahl an Hashs auf n^5, wobei n dein 
Zeichenvorrat ist.
Nehmen wir für n alle 26 Buchstaben, 10 Ziffern und sagen wir mal noch 
10 Sonderzeichen, dann sind das nur 46^5 Kombinationen.
Also nur 205962976 Hashs.
Für die Generierung dieser Hash wird man nicht lange brauchen und da 
google.de eine Häufig genutzte Domain ist lohnt sich der Aufwand auch.

Selbstverständlich musst du für eine andere Domain das gleiche noch 
einmal machen, aber das konntest du ja meiner Antwort entnehmen bzw. 
hast den Punkt wahrscheinlich nicht verstanden.


> Aus dem Domainteil kannst du doch auch machen was du möchtest.

Die Regeln für den Domainteil sind ja vorgegeben.
Den ersten und letzten Buchstaben des Domainnamens, dann ein Punkt 
gefolgt von einem # und der Anzahl der Buchstaben des Domainnamens.

Klar, du kannst dir natürlich auch ganz andere Regeln ausdenken, z.b. 
nur der zweite Buchstabe und als Zahl die Anzahl der Zeichen im Namen 
multipliziert mit 42, aber das sind dann eben ganz andere Regeln und 
nicht die, die heise vorgeschlagen hat.


> Aus mikrocontroller.net kannst du auch rm.n-15 machen oder 15mr oder....

Klar, aber das ist eben nicht DER heise Algorithmus.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
900ss D. schrieb:
> ...

Ach noch ein Tipp.
Ändere mal dein PW hier auf mikrocontroller.net.
Du hast schließlich jedem verraten wie du deine Passwörter hier 
generierst und n^5 ist eben kein großer Aufwand.

Im übrigen hat das ganze noch einen weiteren Nachteil.
Manchmal werden auch ohne verschulden des Nutzers die Server gehackt und 
in Folge die Passwörter resettet.
Dann musst du dir für die betroffene Seite eine neue Regel ausdenken.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Selbstverständlich musst du für eine andere Domain das gleiche noch
> einmal machen, aber das konntest du ja meiner Antwort entnehmen bzw.
> hast den Punkt wahrscheinlich nicht verstanden.

Ach und damit das nicht falsch verstanden wird.
Natürlich macht man das nur für eine Handvoll bekannter und viel 
genutzter Domains.

Und somit ganz sicher nicht für den Login des Ortsverreins 
"Hintertupfing Fahrradclub".

Autor: 900ss D. (900ss)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Die Regeln für den Domainteil sind ja vorgegeben.

Nein, eben nicht. Du darfst dir eine eigene aussuchen.

900ss D. schrieb:
> Aus dem Domainteil kannst du doch auch machen was du möchtest.

Nano schrieb:
> aber das sind dann eben ganz andere Regeln und
> nicht die, die heise vorgeschlagen hat

Hat Heise nie vorschlagen. Nur das Prinzip aber jeder darf seine eigene 
Methode nehmen. Und nichts anderes sagte ich auch.

Nano schrieb:
> Klar, aber das ist eben nicht DER heise Algorithmus.

Es gibt nicht DEN Heise Algorithmus. Nur das Prinzip .s.o. Weshalb 
möchtest du das nicht kapieren?

Nano schrieb:
> Dann musst du dir für die betroffene Seite eine neue Regel ausdenken.

In dem Fall ja.

Nano schrieb:
> Du hast schließlich jedem verraten wie du deine Passwörter hier
> generierst

Guter Witz, aber fang schon mal an zu probieren :-)

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
900ss D. schrieb:
> Nano schrieb:
>> Die Regeln für den Domainteil sind ja vorgegeben.
>
> Nein, eben nicht. Du darfst dir eine eigene aussuchen.

Das hast du oben nicht geschrieben da steht ganz klar:
"
> Bei Heise war vor Jahren mal eine Methode beschrieben, mit der man sich
> selber Passwörter "generieren" kann. Finde den Artikel nicht wieder.
> Ich merke mir nur diese Regel
"

Man achte auf die beiden Wörter "diese Regel". Also nicht viele 
verschiedenen Regeln, sondern nur eine und darunter wird diese "EINE" 
Regel dann erklärt.
Von den Wörtern "aussuchen", "bspw.", "ungefähr könnte das so aussehen" 
usw. steht da nichts.


> 900ss D. schrieb:
> Und nichts anderes sagte ich auch.

Doch, es ist eine Regel, es ist diese Regel.

Es ist ja schön, dass du das jetzt hinterher erweiterst, aber ich lag da 
schon richtig mit meinem Einwand, da du das zu dem Zeitpunkt ja nirgends 
klar gestellt hast.
Es ist nicht einmal nachprüfbar, ob das mit dem Erweitern erst jetzt 
kommt, nach dem mein Posting dich über den Fehler aufgeklärt hat.


> Weshalb
> möchtest du das nicht kapieren?

Jetzt wirst du ungerechtfertigt frech, dabei ist es allein dein Fehler, 
wenn du dich nicht richtig ausdrücken kannst.



> Nano schrieb:
>> Dann musst du dir für die betroffene Seite eine neue Regel ausdenken.
>
> In dem Fall ja.

Ja und damit musst du dir mindestens eine Liste führen, bei welchen 
Accounts du inzwischen bei Level 2 bist.

Autor: 900ss D. (900ss)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Das hast du oben nicht geschrieben da steht ganz klar:
> "
>> Bei Heise war vor Jahren mal eine Methode beschrieben, mit der man sich
>> selber Passwörter "generieren" kann. Finde den Artikel nicht wieder.
>> Ich merke mir nur diese Regel

Und weiter unten im gleichen Posting schrieb ich:

900ss D. schrieb:
> Man kann die Regel ja auch beliebig nach eigenen Bedüfnissen anpssen.

Du hast nur nicht alles gelesen oder bist nicht in der Lage, Texte 
sinnerfassend zu lesen.

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
900ss D. schrieb:
> 900ss D. schrieb:
>> Man kann die Regel ja auch beliebig nach eigenen Bedüfnissen anpssen.
>
> Du hast nur nicht alles gelesen oder bist nicht in der Lage, Texte
> sinnerfassend zu lesen.

Können ist kein muss, sondern optional.
Und so liest sich das auch, es gibt diese eine Regel und sie abzuändern, 
das ist optional, da es ein Kann ist und kein muss.

Wäre es anders, dann hättest du bspw. geschrieben:

"Die obige Regel ist nur ein Beispiel wie so eine Regel aussehen kann 
und sollte dringend angepasst werden. "

So etwas steht in deinem Posting nirgends.

Autor: Jemand (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
>> Nano schrieb:
>>> Dann musst du dir für die betroffene Seite eine neue Regel ausdenken.
>>
>> In dem Fall ja.
>
> Ja und damit musst du dir mindestens eine Liste führen, bei welchen
> Accounts du inzwischen bei Level 2 bist.

Das "Level-up" betrifft jede Seite, denn das Abhandenkommen eines 
Passworts kompromittiert die Sicherheit aller anderen erheblich.

Autor: 900ss D. (900ss)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> das ist optional, da es ein Kann ist und kein muss.

stimmt, bravo. Es ist ein kann und kein muss. Es ist nur schlau es zu 
ändern.

Aber es ging doch darum, dass es nicht nur eine Regel gibt, was du 
angenommen hattest, nur ich nirgends geschrieben.

Nano schrieb:
> Wäre es anders, dann hättest du bspw. geschrieben

Jaaa, immer sind die anderen Schuld. Weiß ich doch.
Ich gebe dir demnächst meine Texte vor Veröffentlichung zur Durchsicht. 
Dann kann das nicht mehr passieren. Bitte melde dich an, damit ich dir 
meine Postings vorher schicken kann.

Und nun ist gut, es wird/ist OT. Du hast inzwischen kapiert wie das 
sinnvoll angewendet werden kann. Mach es oder lass es.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jemand schrieb:
> Nano schrieb:
>>> Nano schrieb:
>>>> Dann musst du dir für die betroffene Seite eine neue Regel ausdenken.
>>>
>>> In dem Fall ja.
>>
>> Ja und damit musst du dir mindestens eine Liste führen, bei welchen
>> Accounts du inzwischen bei Level 2 bist.
>
> Das "Level-up" betrifft jede Seite, denn das Abhandenkommen eines
> Passworts kompromittiert die Sicherheit aller anderen erheblich.

Nein, bei einer einfachen Liste oder Passwortmanager wird das alte PW 
einfach durch ein neues ersetzt.
Er dagegen muss sich einen neuen Algorithmus ausdenken und noch merken, 
welcher Algorithmus zu welchem Login gehört.
Der Aufwand steigt.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.