Willkommen im User-Forum von mailbox.org
 

Passwortsicherheit: Speicherung, Ratschläge, Kniffe

9719906 hat dies geteilt, 21 Tage her
vorgeschlagen

Für meine Arbeitsstätte habe ich eine Anleitung erstellt. Ich denke die ist auch hier nützbar. Hoffentlich können viele davon profitieren.

______________________________________________________________


Passwortsicherheit – ein trockenes Thema, allerdings nur auf den ersten Blick.

Wir werden Ihnen zeigen, wie Sie sich ein sicheres Passwort würfeln, welches leicht merkbar ist.

Als Bonus verraten wir Ihnen, wie Sie dieses Passwort mit Hilfe von zwei Personen so aufteilen, dass keiner der beiden das komplette Passwort weiß, Sie es aber jederzeit wieder herstellen können.


Wir möchten heute also beleuchten:

1. Welches die am häufigsten verwendeten Passwörter sind und wie sich Betrüger dies zu Nutze machen,

2. Warum Sie mit herkömmlichen Anforderungen an Passwortkomplexität nicht gutberaten sind,

3. Wie Sie sich ein Passwort würfeln,

4. Wie Sie sicherstellen können, dass Sie Ihre Passwörter nicht verlieren und analoge Vorkehrungen für ein Wiederherstellen treffen können.


1. Welches die am häufigsten verwendeten Passwörter sind und wie sich Betrüger dies zu Nutze machen

Das Hasso PlattnerInstitut hat einen Datenleak analysiert und daraus die häufigsten Passwörter in Deutschland herausgezogen. Ist Ihres auch dabei?(Quelle:https://www.waz.de/leben/passwoerter-2018-die-haeufigsten-passwoerter-fuer-e-mail-konten-in-deutschland-id216041197.html)


1. 123456

6. hallo123

2. 12345

7. hallo

3. 123456789

8. 123

4. ficken

9. passwort

5. 12345678

10. master


Beliebt sind außerdem Kombinationen von Buchstaben, die auf der Tastatur nebeneinander liegen. Etwa: “ztrewq1” oder “qwertz”


In den letzten Jahren kursieren E-Mails von Betrügern, die auf gut Glück E-Mails an tausende Personen herausschicken. Darin behaupten sie, sie würden das Passwort des Empfängers kennen und bedienen sich dieser häufig verwendeten Passwörter. De facto kennen Sie aber das Passwort garnicht, sondern behaupten dies nur.

Zudem wird derAbsender der E-Mail gefälscht, so dass man denken könnte, der Betrüger hätte vom gekaperten Konto des Besitzers auch geschrieben.


Eine solche E-Mail kann so aussehen:


Betreff: “hallo123”


Hey! Hey! Hey!


Wie du vielleichtbemerkt hast, habe ich dir eine E-Mail von deinem Konto geschickt.

Das bedeutet,dass ich vollen Zugriff auf dein Konto habe.

Dein Passwort fürdiese E-Mail Adresse lautet “hallo123”


Ich beobachtedich schon seit ein paar Monaten.

Tatsache ist,dass Sie über eine von Ihnen besuchte Website für Erwachsene mitMalware infiziert wurden.


Wenn du damitnicht vertraut bist, werde ich es dir erklären.

Der TrojanerVirus gibt mir Zugang und volle Kontrolle über einen Computer oderein anderes Gerät.

Das bedeutet,dass ich alles auf deinem Bildschirm sehen kann, die Kamera und dasMikrofon einschalten kann, aber du weißt es nicht.


Ich habe auchZugang zu allen Ihren Kontakten und Ihrer gesamten Korrespondenz.


Warum hat IhrAntivirus keine Malware erkannt?

Antwort: MeineMalware verwendet den Treiber, ich aktualisiere seine Signaturen alle4 Stunden, so dass Ihr Antivirus still ist.


Ich habe einVideo gemacht, das zeigt, wie zufrieden ich auf der linken Hälftedes Bildschirms bin, und auf der rechten Hälfte sieht man das Video,das man gesehen hat.

Mit einemMausklick kann ich dieses Video an alle seine E-Mail- undSocial-Network-Kontakte senden.

Ich kann auchZugang zu deiner gesamten E-Mail-Korrespondenz und zu den von dirverwendeten Messengern posten.


Wenn du dasvermeiden willst, überweise den Betrag von $295 auf meine Bitcoin-Adresse (wenn du nicht weißt, wie, schreib an Google:"Bitcoin kaufen").


Meine Bitcoin(BTC Wallet) Adresse lautet: 1JgjcCi7sWmr3L7YXKaTAW2qoQdKztXXXX


Nach Erhalt derZahlung werde ich das Video löschen und Sie werden nie wieder vonmir hören.

Ich gebe dir 48Stunden Zeit, um zu bezahlen.

Ich habe eineNachricht, die diesen Brief liest, und der Timer wird funktionieren,wenn du diese Mail öffnest.


Eine Beschwerdeirgendwo einzureichen macht keinen Sinn, da diese E-Mail nicht wiemeine Bitcoin-Adresse verfolgt werden kann.

Ich mache keineFehler.


Wenn ich feststelle, dass Sie diese Nachricht mit jemand anderem geteilt haben, wird das Video sofort verteilt.


HerzlichenGlückwunsch!


Abgesehen davon, dass man mit einfach zu erratenden Passwörtern sehr leicht Opfer solcher und ähnlicher Betrügereien werden kann, kann ein einfaches Passwort schnell mit entsprechender Software (Brute Force mit Rainbow Listen https://de.wikipedia.org/wiki/Brute-Force-Methode) geknackt werden. Alle der oben aufgeführten Passwörter kann ein Computer innerhalb von wenigen Augenblicken erraten. Zum Testen der Passwortstärke gibt es ein interessantes Tool:https://howsecureismypassword.net/


2. Die herkömmlichen Passwortempfehlungen bieten nur begrenzten Schutz.


Wer kennt es nichtvon der Arbeit? Jeden Monat läuft das Computerkennwort ab und man muss es umständlich neu eintragen.

Während der Hintergedanke der Administratoren nachvollziehbar ist – dasbisherige Passwort könnte von Dritten bei der Eingabe abgelesen oder über einen Keylogger (https://de.wikipedia.org/wiki/Keylogger) über die Tastatur ausgelesen worden sein – geht dieses Vorgehen meist nach Hinten los.


Forscher sind sich sicher: Ein häufiges Wechseln des Kennwortes bringt nur Vorteile, wenn es sich um ein komplett neues Kennwort handelt. Wenn aus “1234”nach dem Wechsel “123456” wird, ist nicht viel gewonnen.(http://people.scs.carleton.ca/%7Epaulv/papers/expiration-authorcopy.pdf)

Vielmehr wird ein spontaner Wechsel nach einem bestimmten Ereignis empfohlen, so zum Beispiel nach einem Hackerangriff auf die Firma oder wenn der Verdacht besteht, das Kennwort könnte geklaut worden sein.


Werden Kennwortanforderungen zu komplex, so steigt die Wahrscheinlichkeit, dass der Anwender dem Vergessen eines Kennwortes durch Befestigung eines Zettels mit dem Kennwort als “Merkhilfe” am Monitor oder unter der Tastatur zuvor kommen möchte. Kein Wunder, ein sicheres, 30 stelliges Passwort könnte so aussehen:


uOIb/xSt+J\,JAP.;`+gv@D~&qJp%V


Hierfür bräuchte ein aktueller Computer 9 Duodezillion (9x1072) Jahre, um es zu knacken.


Aber wer will sich so ein Passwort merken?


Es besteht also ein Spannungsfeld zwischen komplexen Passwörtern und der Merkbarkeit.


3.Passwortmanager und ein gewürfeltes Passwort als Lösung:


Passwortmanager sind Softwareprogramme, die Kennwörter komfortabel auf einem Endgerät verschlüsselt speichern. Alle gespeicherten Kennwörter können nur durch ein Masterkennwort freigeschaltet werden. Gewöhnlich werden diese Passwortmanager auch zum Speichern von Handy oder Kreditkarten PINs genutzt und auch für Zugangsdaten zu Online Shops.


Keepass XC(https://keepassxc.org/) bzw. Keepass 2(https://keepass.info/download.html) sticht hier als Passwortmanager hervor. Er ist für alle Plattformen verfügbar, die Datenbanken sind kompatibel mit älteren Versionen und er wurde ausgiebig auf Sicherheitslücken durch EU Fördergelder (Projekt Fossa) getestet. (https://www.waldhofer.at/?p=446) Zudem ist die Software kostenlose Open Source.


Mit diesen Passwortmanager kann man komplexe Passwörter generieren lassen.


Nur wie kann man sich am besten ein merkbares Masterpasswort für den Passwortmanager kreieren?


Der Sicherheitsexperte Mike Kuketz (https://www.kuketz-blog.de) beschreibt, dass wir Menschen nicht inder Lage sind, uns selbst sichere Passwörter auszudenken.


Stattdessen empfiehlt er das so genannten Diceware Verfahren.(https://de.wikipedia.org/wiki/Diceware)


Wir würfeln mit 5 Würfeln gleichzeitig und zwar mindestens 6 Mal.

Auf einem Zettel werden dann die Augen der jeweiligen Würfel pro Wurf notiert.

Die Reihenfolge ist dabei egal.


Das sieht dann soaus:

1. Wurf: 14332

2. Wurf: 53342

3. Wurf: 63421

4. Wurf: 14432

5. Wurf: 54211

6. Wurf: 43324


Dann erfolgt derAbgleich der auf diese Weise zufällig generierten Zahlenkombinationen mit einer Wörterliste, auf der für alle erwürfelbaren Zahlenkombinationen von 11111 bis 66666 ein entsprechendes Wort aufgeführt ist.


Für unser Beispiel nutzen wir diese Liste und durchsuchen das Dokument entsprechend(http://world.std.com/~reinhold/Diceware_German.pdf):


14332 = bart

53342 = ruhe

63421 = verl

14441 = beamte

54212 = schah

43324 = mine


Daraus bilden wir mental einen Merksatz.

In diesem Falle könnte der Satz so lauten:

„Der Schah verl(angt) nach dem Beamten, der sich in aller Ruhe den Bart kratzt bevor er in die Mine geschickt wird.“


Nun verbinden wirdie Wörter mit Sonderzeichen wie zum Beispiel „+“ oder „=“.


Das Passwort lautet also „Schah=verl=Beamte=Ruhe=Bart=Mine=“.


Weitere Hinweise zum Diceware Verfahren:

Unter diesem Link kann man sich online deutsche Diceware Kennwörter erstellen:

https://www.starkes-passwort.de/diceware-generator/


Sofern man den Tor Browser mit einer verschleierten IP Adresse verwendet, und das Passwort noch anpasst so wie im Beispiel oben mit "=" und Großbuchstaben, finde ich dies einen guten Kompromiss zwischen Komfort und Sicherheit. Generell ist es natürlich immer schwierig, wenn ein Dritter das Kennwort kennt.


Einige Passwortmanager bieten auch die Möglichkeit Diceware Passphrasen zu generieren. Meiner jedoch nur auf Englisch. Schauen Sie sich auch diese Optionen an.


4. Wie Sie sicherstellen können, dass Sie Ihre Passwörter nicht verlieren und analoge Vorkehrungen für ein Wiederherstellen treffen können


Nachdem Sie im vorherigen Schritt also eine Passwortmanagerdatenbank mit einem Diceware Passwort angelegt haben und sich einen Merksatz dafür ausgedacht haben, geht es nun darum, wie Sie diese nun sehr wichtige Datenbank sichern können.


Mögliche Szenarien sind:

- Die Datenbank wird beschädigt

- Die Festplatte, auf der die Datenbank liegt, wird beschädigt

- Der Rechner, derdie Festplatte beinhaltet wird gestohlen oder verloren

- Das Masterpassword wird vergessen (Unfall, schlechte Erinnerung, Tod)


Gegen die ersten Szenarien hilft ein regelmäßiges Backup der Datenbank. Etwa auf einer externen Festplatte und online beim mailbox.org Drive.


Für das Vergessen des Masterpasswortes sind verschiedene Szenarien denkbar.


Entweder bitten Sie eine Person Ihres Vertrauens, das Masterpasswort in ihren Passwortmanager für Sie zu übernehmen.

Oder Sie teilen das Passwort auf: Vertrauensperson A bekommt die eine Hälfte des Passwortes und Vertrauensperson B die andere.

Hier können Sie das System noch weiter verfeinern.


Denkbar wäre etwa eine Tabellenkalkulation, die sehr viele Elemente Ihres Passwortes enthält, aber auch eine große Anzahl an nicht darin enthaltenen Elementen.

Diese Tabelle bekommt Person A. Person B erhält lediglich die Koordinaten der inder Tabellenkalkulation eingetragenen Wörter, welche in Kombination das Masterpasswort ergeben.


Zur Absicherung des Todesfalles wäre es gut, wenn Person A Person B nicht kennt und der eine den anderen nur kontaktieren darf, wenn Sie für X Tage nicht mehr erreichbar sind und er selbst erfolglos war bei der Verbindungsaufnahme mit Ihnen.

Gemeinsam können die beiden dann auf Ihren digitalen Nachlass zugreifen, sofern sie Zugriff auf die Speichermedien bekommen.

Hier sind dann natürlich auch entsprechende Regelungen im Testament notwendig, sodass die Herausgabe der Speichermedien an die entsprechenden Personen geregelt ist.


Es bleibt festzuhalten, dass ein System zur sicheren Aufbewahrung von komplexen Passwörtern relativ leicht umsetzbar ist. Durch die Nutzung von Diceware Merksätzen brauchen Sie sich im besten Fall nur noch ein Masterpasswort zu merken und können dann mit dem Passwortmanager arbeiten.