• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Wie verwaltet ihr eure Passwörter?

sterum

Well-Known Member
Themenstarter #1
Ich Frag hier mal so in die Runde wie ihr eure Passwörter verwaltet. Denn es ist nicht einfach für jeden Dienst und jedes Login ein sicheres Passwort zu verwenden. Sowas kann sich ja keiner merken.
Natürlich gibt es diverse Helferlein wie Keepassx oder kwallet oder .... Das funktioniert aber auch nur solange man sich nur auf einem Rechner herumtreibt. Will man mal von Unterwegs - etwa Android oder IOS - oder von einem anderen Rechner auf einen Dienst zugreifen wird es wieder kompliziert und die Versuchung ist groß etwa für alles nur ein Passwort zu verwenden oder sinnlose weil zu einfache zu verwenden.

So, jetzt her mit euren Ideen.:)
 

marmorkuchen

Well-Known Member
#2
Salve,

wo immer möglich setzte ich Keys bzw. Zertifikate ein.
Passworter sammel ich in einer Datei, welche ich mit PGP verschlüssel. D.h. ist das Passwort zu meinem PGP-Key weg bin ich am Ar... :)
Wobei meine Passwörter relativ leicht zu merken sind und trotzdem sind sie lang genug mit Ziffern und allem drum und dran.

Gruß

marmorkuchen
 

Rakor

Administrator
Mitarbeiter
#3
Ich verwalte auch meine Passworte in einer GPG-verschlüsselten Datei. Das ist von unterwegs zugegeben etwas blöde, aber ich will ehrlich gesagt nicht meine Passwörter gesammelt in irgendeiner "sicheren Smartphone-App" ablegen. Da fehlt mir bissl das Vertrauen.

Für Dienste die nicht sicherheitskritisch sind verwende ich (hin und wieder) Müllkennworte die man sich halbwegs merken kann. Fakt ist aber, dass kein Passwort ein lexikalisches Wort sein sollte.
 

marmorkuchen

Well-Known Member
#4
Ich verwalte auch meine Passworte in einer GPG-verschlüsselten Datei. Das ist von unterwegs zugegeben etwas blöde, aber ich will ehrlich gesagt nicht meine Passwörter gesammelt in irgendeiner "sicheren Smartphone-App" ablegen. Da fehlt mir bissl das Vertrauen.
Salve,

die könnte man auf einem Server mit ssh-Zugang ablegen und bei Bedarf darauf zugreifen.
Benötigt wird sie ja nur, wenn man das PW gerade nicht in der Murmel hat. :)

Gruß

marmorkuchen
 

foxit

Well-Known Member
#5
Hallo,

Ja ich speichere auch alles in einer GPG-verschlüsselten Datei.

Passwörter kann man sich sehr gut merken, wenn man sich einen Satz daraus bildet z.B:
Code:
Ich hoffe Yamagi hat keine Probleme bei der Umstellung von bsdforen.de am Wochenende.
Als Passwort geschrieben lautet dies:
Code:
$IhYhkPbdUvbsdforen.deaW.#
Damit dürfte das Passwort sehr sehr sicher sein und man hat immer einen Bezug zum Passwort oder dem Login. :)
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#6
Ich habe mal an einem ruhigen Nachmittag einen Passwortsave zusammengehackt. Er generiert sichere Passwörter und speichert beliebige Passwörter und Nutzernamen in einer Datei. Da die Datei selbst unverschlüsselt ist, liegt sie auf einer GELI-Partition.
 

Rakor

Administrator
Mitarbeiter
#8
Ich habe mal an einem ruhigen Nachmittag einen Passwortsave zusammengehackt. Er generiert sichere Passwörter und speichert beliebige Passwörter und Nutzernamen in einer Datei. Da die Datei selbst unverschlüsselt ist, liegt sie auf einer GELI-Partition.
Hmm... Also wenn der Rechner läuft hat jeder Zugriff darauf? Ohne extra Passwortabfrage?

die könnte man auf einem Server mit ssh-Zugang ablegen und bei Bedarf darauf zugreifen.
Benötigt wird sie ja nur, wenn man das PW gerade nicht in der Murmel hat. :)
Dann schlepp ich aber mein privaten Key mit mir rum.. Das finde ich auch nicht so prickelnd.
 
Zuletzt bearbeitet:

boser

Wasserschlürfer
#9
Hallo Leute,

jetzt wird gelacht.
Also ich alter Knochen ( 50+ ), benutze das openSUSE-Prg. pwgen , was ein Passwortgenerator ist. Bei wichtigen P/W gebe ich die Länge mit 12 an, damit es ja Lang genug ist.
Bei allen anderen lass ich es bei Länge 8.
Wenn mir dann eins gefällt, schreib ich das mit dem Username in mein kleines rotes Buch ( Ringordner ). 3 Seiten sind schon voll geschmiert.

:p :rolleyes: :D :D

*duck* und *weg* :ugly:

:belehren: Es gibt nix sicheres als das geschrieben Wort. :belehren:
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#10
Rakor hat gesagt.:
Hmm... Also wenn der Rechner läuft hat jeder Zugriff darauf? Ohne extra Passwortabfrage?
Jein. Sobald ich weggehe, sperre ich die Kiste und das Script führt u.a. auf die GELI-Partition ein "geli suspend" aus. Wenn mich allerdings jemand niederschlägt und mich vom Keyboard zerrt, wäre es nicht so schön.
 

sterum

Well-Known Member
Themenstarter #12
Was ist von folgendem zu halten?

$sichere_Zeichenfolge#Bezug_zum_Dienst

also z.B. 12345678#b$dforen.de
12345678#w€bdienst.com

oder kann man sich dabei "#Bezug_zumDienst" sparen?
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#13
Die ist an sich egal, man sollte allerdings für jeden Dienst ein einzelne Passwort nehmen. Was dann nirgends anders eingesetzt wird. Letztens wurde z.B. einem Forum u.a. die Passwortliste geklaut. Keine 3 Stunden später versuchten sich Bots mit der dort von mir angegebenen Mailadresse und dem Passwort auf meinem Mailserver einzuloggen. Hätte ich ein "Standardpasswort", wäre das gar nicht lustig gewesen. Noch weniger lustig war eigentlich nur, dass besagtes Forum anscheinend Plaintext speicherte oder die Angreifer verdammt viel Rechenleistung hatten...
 

grogolz

Well-Known Member
#14
Ich schreibe sie auf einen Zettel. Verdammt, wo habe ich den Zettel hingelegt?

Spaß beiseite.

Ich schreibe sie wirklich auf einen Zettel, den ich dann sicher ablege. Naja, was ist heute noch sicher.
 

lockdoc

Well-Known Member
#15
Mit keepassx/keepass bin ich auch ganz zu frieden, vor allem gibt es auch ein command line tool:
kpcli, so dass man seine passwoerter auch remotely via shell abrufen kann.
 

Rakor

Administrator
Mitarbeiter
#16
Ich habe mal an einem ruhigen Nachmittag einen Passwortsave zusammengehackt. Er generiert sichere Passwörter und speichert beliebige Passwörter und Nutzernamen in einer Datei. Da die Datei selbst unverschlüsselt ist, liegt sie auf einer GELI-Partition.
Würdest du uns mal die Sourcen dazu zur Verfügung stellen? :)
 

TCM

Well-Known Member
#17
Ich generier meine auf nem "offline"-Rechner (uralt-Netbook), der das Ergebnis per UDP netcat an den Desktop schickt. $hmac_key wird aus ner Datei gelesen, die auf ner crypto-Partition liegt und sollte niemals auf einen Rechner gelangen, der am Netz hängt. :>

$domain, $user und $iteration sind einfach Strings, die den Account beschreiben. Iteration, damit man für einzelne Accounts das Passwort ändern kann. $chars sind die gültigen Zeichen, $length die Passwortlänge Diese 5 Sachen liegen in ner Textdatei ebenfalls auf der crypto-Partition.

Das Ganze macht dann ein script, wo ich nur einen Suchstring eingebe und er spuckt für alle gefundenen Accounts die Passwörter aus.

Hier der Passwort-"Generator":

Code:
for salt in $(jot 10); do
   echo -n "${domain}:${user}:${iteration}:${salt}" \
   | openssl dgst -sha512 -binary -mac HMAC -macopt hexkey:${hmac_key}
 done \
| tr -d '\n' \
| tr -d '\' \
| sed -E "s/[^${chars}]//g" \
| sed -E "s/^(.{${length}}).*/\1/"
echo
 

minimike

Berufsrevolutionär
#18
Nun keepassx/keepass hatte ich in meiner vorletzen Firma. Wir hatten das an SVN angebunden. Mindestens jeden Morgen musste man dann die KeypassX Datei aus dem SVN ziehen. Änderungen wurden dann erst in KeypassX eingetragen und per SVN hochgeladen.
 
#19
Jein. Sobald ich weggehe, sperre ich die Kiste und das Script führt u.a. auf die GELI-Partition ein "geli suspend" aus. Wenn mich allerdings jemand niederschlägt und mich vom Keyboard zerrt, wäre es nicht so schön.
Und alle Programme auf deinem System können das Teil lesen. Üblicherweise legen "Password-Safe" Programme die Daten daher in einer verschlüsselten Datei ab, die dann nur im RAM entschlüsselt vorliegt, so dass dein Firefox etc da nicht drin lesen kann, obwohl er mit deinen Rechten läuft.

Ich nehm' security/gorilla, wobei ich da gerade auf die schnelle überhaupt nicht genug Infos bekomme wie der gorilla die Passwort-Datei verschlüsselt:
using the peer-reviewed and commercially well-accepted Twofish
algorithm, for the technically inclined
Sprich: Twofish für Verschlüsselung, aber welcher Block-Chiper Mode? Welche KDF? Twofish mit SHA(pw) und ECB wäre z.B. total unsicher, obwohl Twofish selbst als sicher gilt.

Weiß wer näheres?
 
C

CrimsonKing

Guest
#20
Ich bin vermutlich recht naiv, was meine Passwortverwaltung betrifft, aber ich setze da auf die "cloud".

Meine Mailpasswörter (zumindest die, die ich auf meinem "normalen" Webspace verwende) stehen auf einem Screenshot in meiner Dropbox, meine Browser- und Forenpasswörter stehen verschlüsselt (und, wie man so hört, bisher ungeknackt) in LastPass, alles andere erledigt eine verschlüsselte KeePass-Datenbank (wiederum in meiner Dropbox) für mich.

Mein root-Passwort hab' ich allerdings nirgends notiert, das habe ich schon so oft eingetippt, dass ich das nicht mehr brauche. :)

Zum Erstellen habe ich keinen speziellen Trick. Meist nehme ich etwas, was mir gerade spontan einfällt; manchmal lasse ich es auch generieren.
 
Zuletzt bearbeitet von einem Moderator:

Tronar

aus Überzeugung altmodisch
#21
Fast alle meine Paßwörter führe ich auf bekannte Textzeilen zurück, also etwa so:
Code:
O Tannenbaum, o Tannenbaum, wie grün sind deine Blätter!
0T,oT,wgsdB!
Unten steht das Paßwort, wobei ich "O" durch "0" ersetzt habe.
Das ist der direkte Weg, einen indirekten habe ich durch ein kleines Skript realisiert, das folgendes tut:
  1. Text eingeben: "O Tannenbaum ..."
  2. Dessen MD5-Summe errechnen.
  3. Diese in ein Zahlensystem der Basis 95 umrechnen. (ASCII hat 95 druckbare Zeichen.)
  4. Für jede Stelle d das ASCII-Zeichen Nr. 32+d ausgeben.
 

TCM

Well-Known Member
#22
Fast alle meine Paßwörter führe ich auf bekannte Textzeilen zurück, also etwa so:
Code:
O Tannenbaum, o Tannenbaum, wie grün sind deine Blätter!
0T,oT,wgsdB!
Unten steht das Paßwort, wobei ich "O" durch "0" ersetzt habe.
Das ist der direkte Weg, einen indirekten habe ich durch ein kleines Skript realisiert, das folgendes tut:
  1. Text eingeben: "O Tannenbaum ..."
  2. Dessen MD5-Summe errechnen.
  3. Diese in ein Zahlensystem der Basis 95 umrechnen. (ASCII hat 95 druckbare Zeichen.)
  4. Für jede Stelle d das ASCII-Zeichen Nr. 32+d ausgeben.
Und wie merkst du dir die Zuordnung Text<->Account? Das ist doch das gleiche wie direkt Random-Passwörter generieren und speichern. Und wie behandelst du Accounts, die Einschränkungen bei den verwendbaren Zeichen machen?
 

pit234a

Well-Known Member
#23
Hallo Leute,

jetzt wird gelacht.
Also ich alter Knochen ( 50+ ), benutze das openSUSE-Prg. pwgen , was ein Passwortgenerator ist. Bei wichtigen P/W gebe ich die Länge mit 12 an, damit es ja Lang genug ist.
Bei allen anderen lass ich es bei Länge 8.
Wenn mir dann eins gefällt, schreib ich das mit dem Username in mein kleines rotes Buch ( Ringordner ). 3 Seiten sind schon voll geschmiert.

:p :rolleyes: :D :D

*duck* und *weg* :ugly:

:belehren: Es gibt nix sicheres als das geschrieben Wort. :belehren:
sysutils/pwgen

Als ebenso alter Knochen, merkt man sich solche Dinge halt gerne!

Es geht aber auch um das Speichern vieler Passworte, die mehr oder weniger sicher erzeugt wurden.

Mein ehemaliges Konzept, das ich nie realisiert hatte, war so:
Eine Textdatei beinhaltet sehr viel Müll-Text und an manchen Stellen dann meine Passphrasen. Zu den unterschiedlichen Anwendungen baue ich dann scripts, die mir genau die passenden Ausdrücke herausschneiden (mit sed oder so).
Die Textdatei gibt es, sie ist total unübersichtlich und ich finde immer erst nach langer Suche meine Passworte, aber sie ist nicht wirklich mit undurchdringbarem Müll angefüllt und die Scripte habe ich nie geschrieben. Lazy as(s) I am.

Mein derzeitiges Konzept tendiert dazu, diese Datei genauso einfach zu lassen, weil es sich seit Jahren problemlos bewährt hat.

Mein zukünftiges Konzept wäre wohl, diese Datei mit einem meiner Schlüssel GPG zu kodieren. Das habe ich erst seit einigen Wochen angefangen und es ist für mich noch neu, aber es sieht für mich genial und sicher aus.
 
#24
Ich nutze KeepassX bzw. die Androidversion auf dem Handy. Die Datenbank tausche ich direkt unter den Geräten aus, ohne Drittanbieter als Mittelsmann
 

Rakor

Administrator
Mitarbeiter
#25
So, Passworte werden jetzt hiermit generiert (und landen dann immernoch in der gpg-Datei).
Code:
#!/bin/sh

standardlaenge=20

if [ $1 ]
    then laenge=$1
    else echo "Bitte eine Laenge als Parameter uebergeben. Standardlaenge=$standardlaenge"
                laenge=$standardlaenge
fi

head -c $laenge /dev/random | openssl enc -base64 -A | cut -c 1-$laenge