Wie verwaltet ihr eure Passwörter?

Rakor schrieb:
So, Passworte werden jetzt hiermit generiert (und landen dann immernoch in der gpg-Datei).
Code: 
#!/bin/sh

standardlaenge=20

if [ $1 ]
    then laenge=$1
    else echo "Bitte eine Laenge als Parameter uebergeben. Standardlaenge=$standardlaenge"
                laenge=$standardlaenge
fi

head -c $laenge /dev/random | openssl enc -base64 -A | cut -c 1-$laenge
Zum Vergrößern anklicken....

Du nutzt /dev/random Ausgabe direkt für dein Passwort. Die gewöhnliche Methode ist,
/dev/random Bytes als Seed für einen kryptographischen PRNG zu verwenden. Das schwächt
die Folgen erheblich ab, wenn zu wenig Entropie in dem Seed steckt. (Beim PRNG kann man die
angenommene Entropie konservativ wählen und entsprechend viele Bytes lesen. Du nimmst
eine Entropie von einem 8 Bit pro Byte < /dev/random an und ich weiß nicht, ob das eine gute Idee ist.
Also, theoretisch gesprochen jetzt. Praktisch ist das glaube besser als admin/admin ;-).

random(4) beschreibt dieses Vorgehen selbst:

Generation of passwords, session keys and the like requires cryptographic
randomness. A cryptographic random number generator should be designed
so that its output is difficult to guess, even if a lot of auxiliary
information is known (such as when it was seeded, subsequent or previous
output, and so on). On FreeBSD, seeding for cryptographic random number
generators is provided by the random device, which provides real random‐
ness. The arc4random(3) library call provides a pseudo-random sequence
which is generally reckoned to be suitable for simple cryptographic use.
The OpenSSL library also provides functions for managing randomness via
functions such as RAND_bytes(3) and RAND_add(3). Note that OpenSSL uses
the random device for seeding automatically.
Zum Vergrößern anklicken....

Vielleicht wäre es daher eine gute Idee, rand(1) zu verwenden. Etwa so:

Code: 
rand -base64 $((3*$n)) # für 4*$n Zeichen lange Passwörter

(oder natürlich mit deinem 'cut', wobei du dann $n ausreichend lang wählen solltest um nicht die padding "=" Zeichen zu haben.)
 
Zuletzt bearbeitet:
Kurz zusammengefasst: Die eierlegende Wollmilchsau gibt es nicht. Aber es ist unbedingt notwendig für jeden Dienst ein eigenes Passwort zu verwenden. Ich werd mir wohl mal keepassx näher ansehen.
 
Ich würde sogar soweit gehen und behaupten, dass die Qualität des Passwort bis auf zwei Punkte irrelevant ist:
- Es sollte lang genug sein, mal über den Daumen 8 Zeichen
- Es sollte kein Wort oder eine Abwandlung eines Wortes sein
Damit kann man mit recht hoher Sicherheit die meisten Rainbow-Tables schon mal ausschließen und dank der Länge ist Bruteforce für den gewinnorientierten Cracker auch nicht mehr lohnend. Letztendlich hat man den wichtigsten Punkt, nämlich die vom Dienstanbieter verwendete Hash-Funktion, eh nicht unter seiner Kontrolle. Und daher bleibt eigentlich nur die pragmatische Sicht: Wenn man für jeden Account ein eigenes Passwort hat, nehmen sie wenigstens nur diesen Account hoch.
 
Hi,
ich würde noch einen Schritt weiter gehen und behaupten, dass Passwörter generell unsicher sind. Von daher ist es zusätzlich zur Länge und Qualitä wichtig, diese möglichst häufig auch auszutauschen durch neue Passwörter. Wirklich wichtige Dinge sollte man möglichst mit Keys und Passphrase lösen, sofern das halt möglich ist. Als Transportmedium dient hier normal ein eToken oder eine SmartCard mit USB Kartenleser der Klasse 3 oder 4. Auch hier gilt, dass es keine absolute Sicherheit gibt. Es gab Fälle, wo z.B. die Firmware solcher Leser bereits erfolgreich gehackt wurde. Von daher ist es hier wichtig vor Nutzung die physikalischen Sicherheitssiegel der Geräte zu prüfen.

Gruß Bummibär
 
Yamagi schrieb:
Ich würde sogar soweit gehen und behaupten, dass die Qualität des Passwort bis auf zwei Punkte irrelevant ist:
- Es sollte lang genug sein, mal über den Daumen 8 Zeichen
- Es sollte kein Wort oder eine Abwandlung eines Wortes sein
Zum Vergrößern anklicken....

Gute Faustregel, aber auch nur bedingt richtig. 8 Zeichen sind glaube ich mittlerweile kaum noch genug und was häufig übersehen wird ist die Mathematik dahinter. Länge ist wichtiger, als die "Kein Wort" Regel bzw. trifft diese Regel nur zu, wenn du Passwörter auf eine bestimmte Art erstellst.

Die Überlegung ist ja grundsätzlich dass, du nicht sinnvoll mit Bruteforce oder Dictionary-Attacke angegriffen werden willst. Die verbreitetste Methode ist natürlich einen Haufen an Zeichen zu machen, damit ein Angreifer wirklich alles durchgehen muss. Eine andere Möglichkeit, die vielleicht sogar besser ist, weil sie leicht merkbare Passwörter ermöglicht und du nicht überall das selbe Passwort nutzt ist Diceware.

Diceware basiert auf einem Wörterbuch/einer Wortliste. Die Überlegung ist, dass du ein Liste mit X Worten hast, die du dir leicht merken kannst. Nehmen wir an, du gehst vom Duden aus. Da drin hast du 140000 Wörter. Wenn du daraus 3 zufällige Wörter heraussuchst, der Angreifer weiß, dass du dieses Wörterbuch und genau 3 Wörter verwendet hat dieser immer noch 2.744.000.000.000.000 Kombinationen probieren. Das dauert schon ein Weilchen. Ein netter Seiteneffekt ist, dass du etwas längeres und aufwändiger zu berechnendes, aber trotzdem leichter merkbares Passwort, als =425Ad4g hast.

Wobei das was ich beschrieben habe zwar das grundsätzliche Prinzip, aber nicht ganz Diceware ist. Diceware wird hier beschrieben: http://world.std.com/~reinhold/diceware.html


Zum Thema Passwortverwaltung bei einer Einzelperson möchte ich Passwordmaker empfehlen, weil man da nichts verschlüsselt speichern muss. Es hat nichts mit Dicware zu tun, sondern basiert darauf, dass man für gewöhnlich irgendeine Form von URL hat wo man sich anmelden will. Das Ganze ist eine Funktion, die als Input ein Standardpasswort und die URL des Services hat (optional viele andere Settings) und über eine Hashfunktion kommt ein sicheres Passwort heraus. Der große Vorteil daran ist, dass das Passwort nirgends gespeichert wird. Das ist zum Einen ein Angriffsvektor weniger und zum Anderen bedeutet das, dass wenn man aus welchem Grund auch immer seine Daten verliert man nicht gleich seine Passwörter los ist.

Auch cool ist, dass die Funktionsweise extrem simpel ist, es Extensions für alle Browser gibt, Shell Scripts, etc und man sich das Ding dementsprechend in ein paar Minuten selbst bauen kann und somit niemanden vertrauen muss, sich Fehler nicht auswirken, etc.

http://www.passwordmaker.org/
 
Bin ich der einzige hier, der ist alles im Kopf hat?

Meine Passwörter sind unterschiedlich schwierig, je nach Anwendungszweck, Disk-Encryption und GPG-entschlüsselung sind relativ lang, kompliziert, mit allen möglichen Zeichen. Für meine Person irrelevante und eh unverschlüsselt übertragene Passwörter wie bei diesem Forum hier sind eher einfach. Manche Passwörter verwende ich wieder, aber nur bei Foren etc. E-mail, Bank usw haben natürlich alle ihre eigenen.

Ansonsten weiß ich aber außerdem aus dem Kopf noch die Passwörter in allen Routern, die ich je eingerichtet habe, die von meinen Eltern, deren Routern... ich frag mich auch manchmal ob ich die Gehirn-space nicht effizienter nutzen könnte...
 
grogolz schrieb:
Ich schreibe sie auf einen Zettel. Verdammt, wo habe ich den Zettel hingelegt?

Spaß beiseite.

Ich schreibe sie wirklich auf einen Zettel, den ich dann sicher ablege. Naja, was ist heute noch sicher.
Zum Vergrößern anklicken....

Ich mach's auch auf die alte Art.
Zwei Notizbücher und manche habe ich in den Notizen meines Mobiltelefon notiert.
Wenigstens die wichtigsten und die häufig gebrauchten kann ich auswendig.

Generiere sie selber, immer auch mit Grossbuchstaben und Zahlen und je nach Wichtigkeit 7-ca 15 Zeichen.

Je nachdem wo man sie ablegt kann es auch wichtig sein, der Domain nicht den richtigen Namen zu geben.
zB statt "bsdforen.de = xxxxxxx" "bfon = xxxxxx"
 
Und ich habe zwei Passwörter, die ich im Kopf habe, von denen es ein paar Variationen gibt. Diese benutze ich aber überall! D. h. sicher ist das auf keinen Fall. Aber nun...
 
Danke Athaba für die Tips.
Ich hab mir nun einige Kennwörter erwürfelt. Für die wichtigen Sachen halt, wie root, user, email usw. Diese habe ich im Kopf.
Und für den dreckigen Rest, wie z.B. bsdforen.de :) usw. verwende ich passwordmaker.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben