Nie wieder seine Passwörter vergessen

Nie wieder seine Passwörter vergessen

Immer wieder stolpert man über das Problem, daß man auf ca. 50 verschiedenen Internet-Seiten ein Passwort benötigt (und natürlich auch einen Benutzernamen). Immer die gleichen Zeichenfolgen kann oder möchte man nicht verwenden – viele Seiten haben auch unterschiedliche Anforderungen (z. B. Sonderzeichen, Zahlen, mindestens 8 Buchstaben, höchstens 8 Buchstaben, …). Und irgendwann passiert es dann.. der Browser hatte Benutzernamen/Passwort immer schön gespeichert, evtl. sogar in einem Cookie, und dann, nach einem Update, Absturz, neuem Rechner.. möchte man sich auf seinen Lieblingsseiten oder auch bei Skype wieder einloggen, und.. das Passwort fällt einem nicht mehr ein.

Am besten hat man für die Registrierung noch eine der 5 Jahre alten Spam-Emailadressen verwendet (die längst nicht mehr gültig sind) und kann sich so auch nicht ein neues Passwort zuschicken lassen.

Unglücklicherweise.. kann ich in solchen Fällen auch nicht helfen (evtl. kann man mal den Dienstbetreiber nett anschreiben, oder tief in sich gehen und in einer Entspannungsübung über das Passwort meditieren), aber zumindest zur Prävention habe ich gute Tips, wie sich Passwörter sicher und (fast) überall zugänglich speichern lassen.

Hierzu bieten sich spezialisierte Programme an, die Passwörter verschlüsselt abspeichern, und wieder per Passwort zugänglich zu machen, wie auch bereits hier beschrieben.

Nun.. warum sollte man sich noch ein zusätzliches Passwort merken wollen? Ganz einfach.. jetzt muß man sich nur noch ein Passwort merken, und kann – wenn man dieses eingegeben hat – auf hunderte von Passwörtern mit ein paar Mausklicks zugreifen. Das „Masterpasswort” sollte man sich dann natürlich möglichst gut einprägen – wenn man das vergißt, sind alle Passwörter weg. Andererseits läßt sich dieses Risiko durch geeignete Wahl des Passworts deutlich reduzieren, ohne Verlust der Sicherheit.

2 Programme als Lösung

Es gibt zwei ähnliche Programme, die benutzt werden können, um Passwörter vorzuhalten. Das eine, KeePass ist speziell für Passwörter konstruiert, das andere, Steganos LockNote, ist ein verschlüsselter Texteditor.

KeePass

KeePass ist ein sehr nützliches und komfortables Programm, um seine Passwörter zu verwalten. Es bietet beispielsweise auch die Möglichkeit, eine bestimmte URL mit einem Eintrag zu verbinden. So lassen sich URL, Benutzername, Passwort, sowie ein ergänzender Kommentar in einem Eintrag speichern, und diese Einträge lassen sich wiederum nach Kategorien sortiert abspeichern.

Benutzername sowie Passwort lassen sich per Drag and Drop in die passenden Felder in allen gängigen Browsern, insbesondere IE, FireFox sowie Chrome ziehen, Opera wird leider weiterhin nicht unterstützt. Neben Drag and Drop gibt es ebenfalls die Möglichkeit, beide Werte in die Zwischenablage zu kopieren, so daß sie von dort an beliebiger Stelle eingefügt werden können. Hierbei gibt es zusätzlich 2 Sicherheitsmechanismen:

  1. Programme (wie z. B. Trojaner), die die Zwischenablage überwachen, werden nicht informiert, verpassen also die spannenden Werte wahrscheinlich.
  2. Nach wenigen Sekunden wird der Wert aus der Zwischenablage wieder gelöscht, so daß man z. B. sein Passwort nicht in der Zwischenablage vergessen kann.

KeePass gibt es leider nur für Windows, dafür aber in zahlreichen Sprachen.

Steganos LockNote

Steganos LockNote ist für diejenigen gemacht, die ihre Passwörter früher immer hintereinander auf einen Zettel geschrieben haben, oder einfach in einer Textdatei abgespeichert haben, und nun einen etwas sichereren Weg suchen.

LockNote bietet hier einen einfachen Texteditor, in dem beliebige Inhalte verschlüsselt und nur per Passwort zugänglich abgespeichert werden können. Neben Passwörtern lassen sich so z. B. auch Notizen, Telefonnummern und jeder andere Text abspeichern.

Um seine Daten hier noch wiederzufinden, empfiehlt es sich, seine Daten gut durchsuchbar zu haben, wie z. B.

www.db.de deutsche bahn
meine@emailadres.se
m31ng3heime5passwort

Somit findet man den Eintrag mit einer Suche nach „db” oder auch „bahn”. Die Daten werden direkt in der Programmdatei gespeichert, so daß man nur diese eine Datei mitnehmen muß.

LockNote gibt es leider auch nur für Windows. Auch sollte man aufpassen, daß die Passwörter direkt im Klartext angezeigt werden – diese Lösung eignet sich also nur bedingt, wenn andere Sicht auf den Bildschirm haben. Auch sollte man das Programm ebenso wie KeePass nicht beliebig lange offen lassen, da andere so evtl. auch Zugriff erhalten können, z. B., wenn man den Rechner kurz verläßt.

Browser-basiert

Viele Browser haben ihre eigenen Lösungen. Diese sind jedoch nur bedingt sicher. Jeder, der Zugriff auf den Rechner hat, kommt auch an die Passwörter dran, standardmäßig werden die Passwörter nicht per Masterpasswort verschlüsselt.

Es gibt eine Übersicht über verschiedene Passwort-Manager für den FireFox, wobei man hier auch wieder Probleme bekommt, wenn man seine Passwörter auf einen anderen Rechner mitnehmen möchte.

Auch nützt so eine Lösung nichts, wenn man z. B. für seine Steuerdaten bei WISO Sparbuch ein Passwort sichern möchte.

Passwörter immer dabei haben

Online synchronisiert

Sowohl KeePass wie auch LockNote erzeugen jeweils eine einzelne Passwort-Datei. Diese läßt sich über Dienste wie Live Mesh oder DropBox mittlerweile kinderleicht synchronisieren und so auf verschiedenen Rechnern aktuell halten. Hier im Blog wurde auch bereits der Prozess für Live Mesh beschrieben, eine Übersicht über verschiedene Angebote gibt es auch, hier haben sich DropBox (DropBox funktioniert analog zu Live Mesh: es gibt hier einen „DropBox”-Ordner im Dokumente-Verzeichnis, der automatisch synchronisiert wird) sowie Live Mesh als beste Lösungen herausgestellt, die Installation ist einfach und schnell, muß jedoch auf jedem benutzten PC erfolgen.

Per USB-Stick

Alternativ lassen sich die Dateien (und auch die Programme – LockNote ist sowieso immer dabei, da die Daten in der Programmdatei gespeichert werden, KeePass ist portabel und sehr klein) auf einem USB-Stick immer mitführen. Sollte der gestohlen werden, kommt der Dieb auch nicht mehr an die Daten dran (ohne Masterpasswort). Man selber wohl auch nicht, daher sollte man regelmäßig Sicherheitskopien anfertigen und sich das Masterpasswort sehr gut merken.

Sichere Passwörter, die man sich merken kann und schnell einzugeben sind

Sicherheit ist immer relativ. 100%ig sichere Passwörter gibt es nicht. Die Sicherheit eines Passwortes bzw. eines Systems wird daher eher darin angegeben, wie lange es dauert, bis es geknackt werden kann.

Hat man z. B. Ärger mit CIA oder FBI, oder möchte sein Bankpasswort speichern und hat 1 Mrd. € auf seinem Konto, so ist man mit einer erhöhten Wahrscheinlichkeit Angriffen ausgesetzt, teilweise auch von mehreren Menschen/Computern, und sollte ein sehr sicheres Passwort nehmen, das auch schonmal aus mehr als 15 vollkommen zufälligen Zeichen oder noch mehr bestehen kann. Hier möchte man vielleicht, daß das Passwort in nicht weniger als 1000 Jahren geknackt werden kann. Man stelle sich z. B. vor, daß ein Geheimdienst mit 1000 Rechnern rechnet, und so bereits nach einem Jahr ein Passwort für eine Datei erhält, die die Identität eines Agenten verrät, der dann hingerichtet wird. Da ärgert man sich dann, wenn man an der Länge des Passwortes gespart hat.

Oft werden hier Passwort- (bzw. Schlüssel-)längen verwendet, die ausreichend sind, um ein Knacken so zeitaufwendig zu machen, daß eine Lösung erst wahrscheinlich gefunden werden kann, wenn die Informationen bereits lange keinen Wert mehr haben (das Konto ist leer, der Agent seit 100 Jahren tot, …).

Für Otto Normalverbraucher sind die Anforderungen bei weitem nicht so hoch. Hier reichen oft 6 Zeichen für z. B. ein Forum oder eine Seite, wo wenig Schaden angerichtet werden kann und 8 Zeichen für Ebay und Co. Oft hat auch ein Angreifer nur 3 Versuche, um das Passwort zu erraten, er wird hier nicht sonderlich weit kommen. Passwörter über das Internet ausprobieren dauert auch deutlich länger als z. B. bei einer lokalen verschlüsselten Datei, da Anfrage sowie Antwort jeweils verschickt werden müssen, und ein Versuch so schon einmal 1s dauern kann anstelle von <1μs, was Einbruchsversuche deutlich schwieriger werden läßt.

Wichtig ist, daß man nicht das Lexikon aufschlägt, und ein Wort nimmt, das es genau so gibt. Z. B. ist „Pferd” ein schlechtes Passwort, „Passwort” und „12345” sind wohl die schlechtesten Passwörter, die es gibt. Nehmen wir mal Pferd – leicht zu merken – und verändern es ein wenig. Pfe1Rd z. B. ist immer noch recht einfach zu merken, jedoch mindestens 100x schwieriger zu knacken. Das liegt daran, daß Pfe1Rd in keinem Wörterbuch steht, und daß sowohl Buchstaben, groß wie auch klein, sowie Ziffern vorkommen. Und das Passwort ist noch ein Zeichen länger geworden. Mit diesem Passwort z. B. kann man schon ziemlich alles machen, wo es nicht um Geld geht und man keine sensiblen Daten abgelegt hat, oder rechtlichen Ärger bekommen könnte.

Eine Möglichkeit für Leute, die es sich gerne kompliziert machen, ist, sich einen Satz zu bilden, und dann jeweils die Anfangsbuchstaben zu nehmen. „Schneewittchen küßte die 7 Zwerge und verschwand hinter den 7 Bergen bei der Hexe.” wird so zu „Skd7Zuvhd7BbdH”. Auf das Passwort kommt niemand – allerdings tippt man hier auch deutlich länger. Das Schöne ist, daß so ein Passwort immer noch relativ gut gemerkt werden kann, somit wird das Risiko des Vergessens geringer. Solche komplizierten Passwörter machen nur für Online-Banking, Ebay und ähnliches Sinn, hier kann man nämlich viel Ärger bekommen, wenn jemand das eigene Passwort knackt.

Passwörter, wie sie hier stehen, sollten natürlich auf keinen Fall verwendet werden.

Auch sollte man – gerade, wenn man mit 10 Fingern schreiben kann – mal ausprobieren, wie schnell das Passwort getippt ist, evtl. möchte man hier und da noch eine Ziffer oder einen Buchstaben austauschen, damit es sich flüssiger tippen läßt – und so z. B. auch Zuschauer nicht das Passwort von der Tastatur ablesen können. „asdfpferd” z. B. findet man auch nicht mit einer Wörterbuchattacke, für Foren etc. ist es völlig ausreichend und auch schnell getippt.

Wie werden Passwörter geknackt?

Es gibt 3 Möglichkeiten, Passwörter zu knacken, wobei nur die letzten beiden für die Passwortwahl relevant sind.

  1. Schwachstelle eines Programmes ausnutzen
  2. Diese Option ist selten interessant, da man als Endbenutzer hier keinen Einfluß hat. Wenn man hört, daß ein bestimmtes Programm eine Schwachstelle hat, kann man es vermeiden, mehr kann man nicht machen. Durch Ausnutzung solcher Schwachstellen in Programmen oder Algorithmen können manchmal Passwörter schneller geknackt werden als sonst. In der Praxis ist dieser Ansatz jedoch nur wenig relevant (setzt viel Wissen voraus, oft nur kleine Verschlechterung der Sicherheit).

  3. Wörterbuch-Attacke
  4. Der Angreifer hat ein riesiges Wörterbuch z. B. der englischen und/oder deutschen Sprache. Der Vollständigkeit halber werden zusätzlich noch einfache weitere Zeichenkombinationen mit aufgenommen, die als Passwort beliebt sind. Mit einer solchen Attacke läßt sich bei weitem nicht jedes Passwort knacken. Was jedoch z. B. bei Ebay (glaube ich? Ich habe nur eine Geschichte über Spoofing usw. gefunden) vorgekommen ist, ist, daß ein Hacker nur wenige sehr beliebte Passwörter auf Tausenden von Accounts ausprobiert hat, und bei vielleicht 10% tatsächlich in den Account reingekommen ist. Dadurch hat er immer noch Kontrolle über zahlreiche Accounts bekommen.
    Um dieser Attacke zu entgehen, sollten Wörter, wie sie in Wörterbüchern, im Internet stehen, oder die einfach beliebte Passwörter sind, wie z. B. einfache Zahlenfolgen („12345”) vermieden werden.
    Erweiterte Attacken prüfen auch auf 2 oder 3 Kombinationen von Wörtern, z. B. „meinpferd1990”.

  5. Brute-Force
  6. Eine Attacke mit „brutaler Gewalt” läuft darauf hinaus, daß sämtliche möglichen Zeichenkombinationen durchprobiert werden. Oft beschränkt sich der Angreifen hier auf Kleinbuchstaben – das macht die Suche deutlich schneller, zumindest, wenn das Passwort nur aus Kleinbuchstaben besteht, sonst scheitert die Suche vollkommen.
    Um diesem Ansatz zuvorzukommen hilft:

    • Groß- und Kleinbuchstaben verwenden
    • Ziffern, evtl. auch Sonderzeichen verwenden
    • Jedes Zeichen, daß man dem Passwort hinzufügt, macht die Suche ungefähr um den Faktor 100 schwieriger. Nach dieser schönen Übersicht über die benötigte Dauer einer Attacke bei verschiedener Passwortlänge benötigt ein Angreifer so bereits knapp 30 Stunden, um ein Passwort der Länge 8 (8 Zeichen) zu knacken. Das klappt natürlich nur, wenn er die Daten lokal prüfen kann, was z. B. im Internet oft nicht der Fall ist. Muß er die Anfragen an Ebay oder Google senden, dauert der Vorgang ca. 10 Millionen mal länger aufgrund der Latenz.

8 thoughts on “Nie wieder seine Passwörter vergessen

  1. Ein weiteres extrem hilfreiches Tool ist Boxcryptor. Speziell für Dropbox entwickelt, ver- und entschlüsselt es alle Dateien in einem Ordner einzeln, on the fly. Also genau das, was man sich für eine einfache, performante sowie sichere Lösung wünscht.
    Natürlich funktioniert Boxcryptor auch mit anderen Diensten, wie z. B. Livemesh.
    Somit kann man nun all seine Dateien, inkl. Bildern und ähnlichem (naja, auf die Größe muß man noch achten) bequem online stellen.

  2. Hallo,

    hatte ich auch mal alle getestet und habe dann Steganos Locknote gegen fsekrit ersetzt.
    Funktioniert im Prinzip genauso. Entscheidender Unterschied war, dass fsekrit eine .exe-Datei erstellt, welche Editor und Passwort-Speicher in einem ist. Sprich, man braucht nicht mehr das Programm selbst und die (per Dropbox) synchronisierte Datenbank.

    Natürlich muss man vor dem Anzeigen/Editieren erstmal ein Master-Passwort eingeben.
    http://f0dder.dcmembers.com/fsekrit.index.php

  3. Betr.: Locknote

    Ich benutze Locknote als Speicherdatei für meine gesammelten Passwörter. Locknote ist lt. Steganos frei,aber dort nirgendwo mehr zu finden.
    Das ist schade, denn ich stehe vor einem großen Problem, welches ich ohne Quelltext nicht
    lösen kann:
    Meine Locknote-Datei hat mittlerweile eine Größe von 340 KB erreicht, und jetzt nimmt locknote
    keine Zeiche mehr an. Lösche ich alten Text, so kann ich entsprechend Neues eingeben, aber nicht mehr.
    Weiß jemand eine Lösung???
    (Hätte ich übrigens auch nie gedacht, dass eine Passwortliste diese Größe erreichen kann!)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.