Forum: Blogs

Zitat von gogo2000

(Nebenbei: Ein Passwort Safe ist auch eine sichere Ablage für Kreditkartennummern, PINs, etc)

Ich traue diesen Programmen nur dann, wenn sie als Open Source verteilt werden und auch dann bleiben Zweifel.
Wenn jemand nach interessanten Indormationen sucht, dann wird er sein Augenmerk auf diese Anwendungen lenken.

Wenn ein Spion mit welcher Motivation auch immer großflächig Zugang zu interssanten Daten will, dann könnte er auf die Idee kommen, genau solche Software herzustellen und zu vertreiben und sich Hintertüren einzubauen. Oder zufällig entdeckte Hintertüren auszunutzen. Open Source beugt diesem Ansinnen vor.

Es bleiben in jedem Fall grundsätzliche Schwächen, die in der Hardware und Software der PC-Architektur bedingt sind.

Die Datei mag z.B. auf der Festplatte quasi unknackbar verschlüsselt liegen, aber sobald der Benutzer zugreift, wandern die Klartext-Kennwörter, Schlüsseldateien und die entschlüsselten Daten durch verschiedene Schichten der Architektur, können dort unbeabsichtigt oder beabsichtigt, kontrolliert oder unkontrolliert verbleiben, mitgeschnitten werden usw.

Ein Beispiel der Problematik:

Windows Server 2003 und Windows XP verfügen über ein Modul zur sicheren Verschlüsselung von Dateien auf dem Datenträger.

Mit herkömmlichen Methoden ist es tatsächlich nicht mit überschaubarem Aufwand möglich, diese Dateien zu entschlüsseln.

Dennoch gibt es eine Software, die das in manchen Fällen ermöglicht.

Die Software macht sich den Umstand zunutze, daß die Schlüssel manchmal im Klartext an für den Benutzer nicht sichtbarer Stelle im System verbleiben.

Fazit:

Ich kann mir nur dann ein Urteil über die tatsächliche Sicherheit bilden, wenn ich alle Komponenten, die bei der Bearbeitung eine Rolle spielen, vollständig kenne und nachvollziehen kann, in allen Betriebszuständen.

Davon kann bei den üblichen PC, ob nun Mac oder Windows, nur selten die Rede sein. Hinzugefügte Software, Treibersoftware, vielfältige Hardwareerweiterungen verändern die Bedingungen ständig in unabsehbarer Weise.

Es kann sinnvoll sein, bewusst auf den PC als Speicherort für eine Fülle sensibler Zugangsdaten zu verzichten und stattdessen konventionelle Methoden zu verwenden.

Vor fast 3 Jahren habe ich versucht in einer groß angelegten Aktion Passwörter neu und besser zu vergeben.
Der Zustand vorher war nicht diskusionsfähig!
Dreiteilung wichtig, relevant, unwichtig war noch hinzubekommen.
Eine Regel, bestehend aus 2 Grundpasswörtern und 3 UserIDs, ebenfalls.

Und dann kam die Ernüchterung: Gerade die Banken bieten den geringsten Schutz: nur Nummern möglich.
Ansonsten toi, toi, toi habe ich bis jetzt keinen Missbrauch feststellen können.

habe ich die Möglichkeit einen Zeitraum festzulegen, nachdem der Login nach fehlgeschlagenem Versuch gesperrt ist. 10 Sekunden halte ich dafür für durchaus ausreichend. Ein Brute-Force- Angriff, welcher nur alle 10 Sekunden einen Versuch hat dürfte gnadenlos ins Leere laufen.
Zur "Verschönerung" des Schriftbildes nutze ich auch (nicht nur für Passwörter) seit geraumer Zeit einen sogenannten Leet-Code. Einen Umwandler findet man hier: http://www.robertecker.com/hp/resear...-converter.php

Welcher Privatnutzer zuhause hat soviel auf seinem PC zu verbergen, das er sich solch ellenlange PW´s zulegen muß
Von soher - soviel 191C85R8E120 > Q211T19C8

Zitat von Legacy

Welcher Privatnutzer zuhause hat soviel auf seinem PC zu verbergen, das er sich solch ellenlange PW´s zulegen muß
Von soher - soviel 191C85R8E120 > Q211T19C8

Sie haben das Problem scheinbar etwas missverstanden. "Zu Verbergen" habe ich nichts, aber ich möchte nicht, dass Unbekannte mein Bankkonto leer räumen, und mit meinem Mailaccount Spam versenden. Auch möchte ich nicht, dass Kriminelle sich in mein WLAN hacken und meinen DSL-Account für illegale Zwecke aller Art missbrauchen.

Für den Windows Account an sich reicht meiner Meinung nach ein relativ einfaches Passwort, ein paar Buchstaben und Zahlen, leicht zu merken und leicht zu tippen.
Wenn jemand Zugang zum Rechner inklusive USB oder DVD Laufwerk hat, ist das Windows PW sowieso leicht geknackt (es gibt Software dazu, die sogar ein 10-Jähriger bedienen kann).

Möchte man hier wirklich Sicherheit schaffen (auf dem Laptop beispielsweise), so hilft eine Verschlüsselung des kompletten Systems mit TrueCrypt. Das dürfte für die meisten User allerdings ein wenig Overkill sein, denn so interessant sind die Bilder vom letzten Urlaub und von Tante Ernas Geburtstag nun auch wieder nicht.
Bankdaten und Passwörter sollten sich, wenn überhaupt auf dem Rechner, natürlich immer nur in gut verschlüsselten Passwortarchiven wie z.B. KeePass befinden!

Zitat von sysop

"Passwort", "123456" oder einfach "geheim": Solche Passwörter liegen nahe, sind extrem beliebt - und extrem unsicher. Dabei wäre es so einfach, bessere zu finden. SPIEGEL ONLINE zeigt, wie.

http://www.spiegel.de/netzwelt/web/0...673441,00.html

was mir in letzter Zeit immer öfter auffällt - viele Leute tippen ihre Codes in Iphones oder Ipads ein, und dank des riesigen Ziffernfelds kann man bequem auch noch aus 1m Entfernung sehen wie der Code lautet. Da das tippen auf touchscreens für die Meisten doch etwas komplizierter scheint, wird schön langsam Ziffer für Ziffer getippt und man hat keine Mühe mitzulesen.

Dasselbe gilt, abgeschwächt allerdings, auch für die Art und Weise wie Viele am Laptop ihre Passwörter eingeben - am Flughafen oder wo immmer.

Da wäre etwas mehr Problembewußtsein keine schlechte Sache.

Zitat von etheReal

Sie haben das Problem scheinbar etwas missverstanden. "Zu Verbergen" habe ich nichts, aber ich möchte nicht, dass Unbekannte mein Bankkonto leer räumen, und mit meinem Mailaccount Spam versenden. Auch möchte ich nicht, dass Kriminelle sich in mein WLAN hacken und meinen DSL-Account für illegale Zwecke aller Art missbrauchen

...und seiner Sicherheit steht an erster Stelle Ihre (Un)Sichtbarkeit (WLAN) im Netz für andere. Das gleiche gilt für Ihre DSL-Verbindung. Wer "stealth" ist UND ein gutes PW hat ist aus meiner Sicht recht sicher.

Mail-Spam ist einzig Ihre Sache und wie Sie Ihre Filter einstellen.

Die Sicherheit Ihres Bankkontos obliegt zunächst Ihrer Bank und dem von ihr zur Verfügung gestellten Onlinebanking-Programm. Dazu natürlich wie Sie mit Ihrem Passwort umgehen. Aber wie gesagt - wer Sie erst garnicht sieht weiß auch so gut wie gar nicht das Sie existieren. Außer Ihrem Provider natürlich.

Zitat von Umbriel

Ich traue diesen Programmen nur dann, wenn sie als Open Source verteilt werden und auch dann bleiben Zweifel.
Wenn jemand nach interessanten Indormationen sucht, dann wird er sein Augenmerk auf diese Anwendungen lenken.

[...]


[...]

Fazit:

Ich kann mir nur dann ein Urteil über die tatsächliche Sicherheit bilden, wenn ich alle Komponenten, die bei der Bearbeitung eine Rolle spielen, vollständig kenne und nachvollziehen kann, in allen Betriebszuständen.

Davon kann bei den üblichen PC, ob nun Mac oder Windows, nur selten die Rede sein. Hinzugefügte Software, Treibersoftware, vielfältige Hardwareerweiterungen verändern die Bedingungen ständig in unabsehbarer Weise.

Es kann sinnvoll sein, bewusst auf den PC als Speicherort für eine Fülle sensibler Zugangsdaten zu verzichten und stattdessen konventionelle Methoden zu verwenden.

Bisher habe ich mir die Passwörter immer auf einem kleinen Zettel notiert.

Ich stehe den Password- Safe's auch relativ kritisch gegenüber, suche aber momentan nach einer Lösung, meine Passwörter irgednwie sicher unterzubringen. Merken kann ich sie mir nicht alle. Zunächst einmal werde ich aber vermutlich beim Zettel bleiben...

Ihre Einwände halte ich für äußerst relevant, denn solange die PW's am eigenen PC gespeichert werden werden diese doch auch ein weiteres Mal allein für die Speicherung eingegeben. Vermutlich beinhalten diese Programme auch Funktionen, um die Passwörter dann in die Zwischenablage zu kopieren. Das ist doch ein weiterer Schwachpunkt - denn damit liegen sie ja unverschlüsselt in der Zwischenablage. Viele User, die komplizierte und lange PW's benutzen werden von dieser Funktion wohl auch gerne Gebrauch machen, denn solche Passwörter abzutippen macht keinen Spaß...

Im Artikel wird empfohlen, die Passwörter regelmäßig zu wechseln. Hier frage ich mich, wie das die Sicherheit erhöhen soll?

Meiner Meinung nach sicheres Vorgehen:

1.) Ein "umständliches" Passwort überlegen ... fällt allerdings häufig schwer, noch sicherer ist vermutlich irgendein Generator (http://www.passwort-generator.eu etc., habe bei Google unzählige gefunden...) der Passwörter erstellt. Ich denke, dass sich hierraus kein weiteres Risiko ergibt. (Ist das richtig? Oder besteht die Gefahr dass ein Angreifer meinen Datenverkehr mitliest und sich daraus mein PW "auspickt"?)

2.) Passwort benutzen, (regelmäßig ändern?), notieren auf einem Zettel. Ein sicherer Verwahrungsort eines Zettels ist ganz sicher besser als jede Speichermöglichkeit auf dem Computer - ist diese doch theoretisch angreifbar.

3.) Aufpassen bei Benutzung von offenen WLANs / unverschlüsselt übertragenden Wlans ... hier ist die Gefahr meiner Meinung nach am größten und es sollten evtl. Funktionen in die Betriebssysteme integriert werden, die ausdrücklich davor warnen, dass Passwörter ausspioniert werden können. Wenn wichtige Passwörter über besagte Wlans benutzt wurden, dass diese bei sicherer Verbindung unbedingt wieder ändern....

Gruß

Zitat von les2005

was mir in letzter Zeit immer öfter auffällt - viele Leute tippen ihre Codes in Iphones oder Ipads ein, und dank des riesigen Ziffernfelds kann man bequem auch noch aus 1m Entfernung sehen wie der Code lautet. Da das tippen auf touchscreens für die Meisten doch etwas komplizierter scheint, wird schön langsam Ziffer für Ziffer getippt und man hat keine Mühe mitzulesen.

Dasselbe gilt, abgeschwächt allerdings, auch für die Art und Weise wie Viele am Laptop ihre Passwörter eingeben - am Flughafen oder wo immmer.

Da wäre etwas mehr Problembewußtsein keine schlechte Sache.

Also ich benutze die "55555", aber ich sage nicht in welcher Reihenfolge;o).

MfG. Rainer

Zitat von arcudaki

Ich sehe keinen wirklichen Grund meine Passwörter nicht aufzuschreiben. (Ausnahme wohl das Banking Passwort) Wenn man nicht von Geheimdiensten belästigt wird ist es völlig sicher seine Passwörter auf einem Blatt Papier mit einem Stift aufzuschreiben und neben den Monitor zu kleben. Den Zettel knackt kein Hacker. Dann kann man auch uE8€rAu5 komplexe Passwörter verwenden und muss sich den Blödsinn nicht merken.

Nanu? Zuhause kann es zum Wohnungseinbruch kommen. Am Arbeitsplatz halte ich es prinzipiell für ein gestörtes Verständnis von Sicherheit, wenn man anderen dermaßen vertraut, dass man ihnen Zugang zum Rechner gewährt. Ich sperre grundsätzlich wenn ich vom Stuhl aufstehe meinen PC. Aber auch ganz andere könnten sich vergreifen. Ich kannte mal einen rechnerbegeisterten hackermotivierten Spinner, der sich als Reinigungskraft verdingte und in der Kneipe damit prahlte, was ihm da, wo er nur putzen sollte, an fremden Rechnern schon so alles gelungen sei. Auch beliebige Fremde könnten am Arbeitsplatz herumschwirren, vermeintliche oder echte Handwerker, Kourierfahrer, Fremdfirmen-Kollegen, Kunden usw. Auch wenn die verpflichtet sind, einen Besucherausweis zu tragen, wer achtet schon darauf und traut sich, einen freundlich aussehenden Menschen zu fragen, was er hier zu suchen habe.

Ich würde wenigstens versuchen, das ein bisschen zu verstecken, z.B. auf einen Gegenstand zu schreiben, den ich immer bei mir trage. Der ist dann auch auf Reisen zur Hand.