Tag Archives: Passwort

Sichere und komfortable Passwort-Verwaltung mit Keepass

By | 5. April 2018

Passwörter – zu viele, zu komplex, kaum zu merken

Es gibt zahl­rei­che Mythen rund um die The­men Pass­wort und Sicher­heit, die sich hart­nä­ckig hal­ten. Und das obwohl allen Akteu­ren eigent­lich klar sein soll­te, dass die Ide­en dahin­ter aus dem Bereich Fan­ta­sy ent­stam­men, jedoch nicht zur Pass­wort-Sicher­heit bei­tra­gen. Anhän­ger der Theo­ri­en “Pass­wör­ter müs­sen immer Son­der­zei­chen und Zah­len ent­hal­ten” und “Pass­wör­ter muss man regel­mä­ßig wech­seln” las­sen sich davon eh nicht abbrin­gen. Die Ver­nünf­ti­gen der Zunft haben die Zei­chen der Zeit erkannt und drang­sa­lie­ren die Nut­zer nicht mehr mit die­sem Bal­last, der kon­kret beleuch­tet eher Unsi­cher­heit statt Sicher­heit bringt. Doch hier sol­len kei­ne Glau­bens­krie­ge aus­ge­foch­ten wer­den. Wen es inter­es­siert, hier haben wir wei­te­re Details dazu zusam­men­ge­tra­gen:

Fakt ist, unter­schied­li­che Log­ins / Accounts soll­ten auch unter­schied­li­che Pass­wör­ter nut­zen. Damit ist sicher­ge­stellt, dass ein ein­zel­ner kom­pro­mit­tier­ter Zugang nicht zum Öff­nen aller ande­ren Zugän­ge genutzt wer­den kann. Unab­hän­gig von Pass­wort­län­ge und Kom­ple­xi­tät kom­men hier für einen Anwen­der im Lau­fe der digi­ta­len Nut­zung zig Log­in-Daten zusam­men (PC Anmel­dung, Pro­gramm Anmel­dung, Cloud-Spei­cher Anmel­dung, diver­se Accounts bei Online-Shops, PINs und und und). Und alle Zugän­ge haben ein unter­schied­li­ches Pass­wort. Wer soll sich das alles mer­ken? Abhil­fe schaf­fen soge­nann­te Pass­wort-Tre­so­re wie … Weiterlesen

Ich bereue den Passwort-Wahnsinn”

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Sei­ten, die es in sich haben. Die “NIST Spe­cial Publi­ca­ti­on 800–63. Appen­dix A”. Ver­fasst 2003 von Mis­ter Bill Burr. Sei­ner­zeit Mit­ar­bei­ter des Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy (NIST). Das NIST ist eine US-Behör­de, die unter ande­rem für Tech­no­lo­gie­stan­dards zustän­dig ist. Die dama­li­ge Emp­feh­lung hielt Ein­zug in die Sicher­heits­li­te­ra­tur und hält sich seit­her dort hart­nä­ckig. Auch der BSI IT-Grund­schutz und ande­re Sicher­heits­stan­dards bau­en auf die­ser Emp­feh­lung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST emp­fahl bis­her zur Pass­wort­si­cher­heit:

  1. Pass­wör­ter sol­len kom­plex sein (Groß­schrei­bung, Klein­schrei­bung, Zah­len, Son­der­zei­chen)
  2. Pass­wör­ter sol­len alle 90 Tage gewech­selt wer­den

Im Ergeb­nis fluch­ten die End­an­wen­der rund um den Glo­bus. Siche­rer sind Pass­wör­ter hier­durch nicht gewor­den. Dafür haben die­se Emp­feh­lun­gen viel Ner­ven und Zeit gekos­tet.

Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. “Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.” Wir haben auf unse­rem Sicher­heits­blog in 2016 bereits einen Arti­kel hier­zu ver­fasst “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”.

Das NIST hat nun im Som­mer 2017 die­se 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit Weiterlesen

Passwort-Safes zu Unrecht wenig beliebt

By | 27. Oktober 2014

Laut einer aktu­el­len Bit­kom Stu­die nut­zen ledig­lich 24% der befrag­ten Inter­net­nut­zer Pass­wort-Safes für Com­pu­ter und Online-Diens­te. Das sind 5% Pro­zent­punk­te mehr als im ver­gan­ge­nen Jahr, was sei­tens Bit­kom auf ein gestie­ge­nes Pro­blem­be­wußt­sein sei­tens der Nut­zer auf­grund der NSA Affä­re zurück­zu­füh­ren sei. Die Mehr­heit bevor­zugt jedoch nach wie vor ein­fa­che und mehr­fach genutz­te Pass­wör­ter. Letz­ters wird schnell zum Pro­blem, wenn ein Account erfolg­reich kom­pro­mit­tiert wur­de.

Über die Län­ge und Kom­ple­xi­tät von Pass­wör­tern wer­den wah­re Glau­bens­krie­ge geführt. Kann es der einen Par­tei nicht lang und kom­plex genug sein, zeich­net sich die Gegen­sei­te durch eine teil­wei­se naï­ve Sicht­wei­se auf das The­ma aus. Die Lösung wird – wie so oft – dazwi­schen lie­gen. Fakt ist, zu kur­ze Pass­wör­ter even­tu­ell noch ohne Kom­ple­xi­tät sind ein gefun­de­nes Fres­sen, sofern kei­ne wei­te­ren Hür­den wie Log­in Sper­ren nach x Fehl­ver­su­chen auf­ge­stellt sind. Fakt ist aber auch, ein zu lan­ges Pass­wort ist aus der Pra­xis her­aus unsi­cher, da es sich der Anwen­der nicht mer­ken kann und irgend­wo nie­der­schreibt.

Einen Kom­pro­miss stel­len Pass­wort-Safes dar. Die­se wer­den durch ein ein­ma­li­ges kom­ple­xes siche­res Pass­wort geschützt und in der dahin­ter­lie­gen­den Daten­bank wer­den alle ande­ren Zugangs­da­ten für Com­pu­ter und Online-Diens­te ver­schlüs­selt abge­legt. So muss sich der Nut­zer erst mal nur das Haupt­pass­wort mer­ken, das … Weiterlesen

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

By | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medi­en berich­ten vom wohl größ­ten Daten­klau in der Geschich­te des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost aus­ge­hen.

Einer rus­si­schen Hacker­grup­pe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sät­ze zu hacken. Betrof­fen sei­en Benut­zer­na­men, Pass­wör­ter und auch Email-Adres­sen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­te­re Infor­ma­tio­nen aus den USA vor­lie­gen habe, wer­de man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und die­se ver­öf­fent­li­chen. Ursprüng­lich sei­en wohl sogar mehr als 4 Mil­li­ar­den Daten­sät­ze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­ti­on auf 1,2 Mrd. gekom­men.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das die­se gewi­ße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, soll­te sich mitt­ler­wei­le rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­re­re Diens­te ist geeig­net, es Hackern und Die­ben leich­ter zu machen – von daher kei­ne gute Idee. Da man sich die­se nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Pass­wort-Tre­sors wie Kee­pass an. Cloud basier­te Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst ver­bie­ten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Kom­fort-Merk­ma­le … Weiterlesen

Evernote erfolgreich gehackt – Millionen Nutzerdaten und Passwörter abgegriffen

By | 3. März 2013

Der cloud­ba­sier­te Notiz­ser­vice Ever­no­te wur­de Opfer eines erfolg­rei­chen Hacker­an­griff. Dies ver­laut­bar­te das Unter­neh­men ges­tern auf sei­nem Blog.

Blog Meldung Evernote Hack

 

Lapi­dar wird über den Zugriff und das Aus­le­sen von ca. 50 Mil­lio­nen Nut­zer­pro­fi­len samt Pass­wör­tern berich­tet. Letz­te­re waren ver­schlüs­selt und bei Ever­no­te ist man sich ziem­lich sicher, das eine Ent­schlüs­se­lung nicht mög­lich sei. Den­noch hat das Unter­neh­men alle Pass­wör­ter zurück­ge­setzt. Sobald sich ein Nut­zer ein­loggt, wird er zur Ver­ga­be eines neu­en Pass­worts auf­ge­for­dert. Eine wei­te­re Auf­klä­rung des Nut­zers über das War­um und Wie­so unter­läßt Ever­no­te an die­ser Stel­le. Die Grün­de muss der Nut­zer selbst im Web recher­chie­ren.

Nach Anga­ben von Ever­no­te sei­en kei­ne Zah­lungs­da­ten von Pre­mi­um-Nut­zern betrof­fen gewe­sen.

Update 03.03.2013, 15 Uhr: Mitt­ler­wei­le ver­sen­det das Unter­neh­men Emails an die Account-Inha­ber mit einer ent­spre­chen­den Erklä­rung des Vor­falls. Es han­delt sich dabei um eine Über­set­zung des ein­gangs erwähn­ten Blog­bei­trags.… Weiterlesen

Kostenloser Online Passwort Check

By | 29. Juni 2010

Der Daten­schutz­be­auf­trag­te des Schwei­zer Kan­tons Zürich bie­tet einen kos­ten­frei­en Online Check für die Stär­ke eines gewähl­ten Pass­worts. Die Ein­ga­be erfolgt über eine ver­schlüs­sel­te https – Ver­bin­dung, eine farb­li­che Mar­kie­rung in Grün oder Rot zeigt die Taug­lich­keit des gewähl­ten Pass­worts an.

Es ist rat­sam, kein akti­ves Pass­wort für die Über­prü­fung zu wäh­len, son­dern auf ein in der Struk­tur und Zusam­men­set­zung ähn­li­ches Pass­wort aus­zu­wei­chen.

Weiterlesen

Die Hitliste unsicherer Passwörter und Passwortfehler

By | 22. April 2010

Man glaubt es kaum, doch trotz aller War­nun­gen und Sen­si­bi­li­sie­rungs­ver­su­che wer­den nach wie vor die ein­fachs­ten Regeln zur Pass­wort­si­cher­heit nicht ein­ge­hal­ten. Nicht ohne Grund wer­den die Charts der unsi­che­ren Pass­wör­ter ange­führt von

  • 12345
  • pass­wort / pass­word
  • abcdef
  • qwertz (schau­en Sie mal auf Ihre Tas­ta­tur oben links)
  • (Kose-) Name der Frau / Freun­din / Kin­der
  • Haus­tier­na­men
  • Geburts­da­tum
  • Hob­bies
  • Name der Grund­schu­le
  • Lieb­lings­film
  • uvm.

Wo ist das Pro­blem, mag man­cher den­ken? Ganz ein­fach: selbst ein Stan­dard-PC braucht mit im Netz frei erhält­li­cher  Soft­ware nur noch weni­ge Sekun­den mit sog. Wör­ter­buch­an­grif­fen oder eben­falls ver­füg­ba­rer Zah­len­lis­ten, um sol­che Pass­wör­ter aus­zu­he­beln. Doch auch zu kur­ze Pass­wör­ter sind mit sog. bru­te force Atta­cken (die auch sinn­freie Kom­bi­na­tio­nen aus­tes­ten) in kur­zer Zeit geknackt.

Die Fol­gen unter­schied­lich – von ein­fa­cher Account­über­nah­me bis hin zu finan­zi­el­len Schä­den im pri­va­ten oder betrieb­li­chen Umfeld.

Was soll­te bei der Aus­wahl von Pass­wör­tern und ihrer Anwen­dung beach­tet wer­den?… Weiterlesen