Zitat daraus: "Schreiben Sie Ihre Passwörter auf, statt diese digital zu speichern. So sind Sie vor Hackern geschützt.Notieren Sie Ihre Geheimzahlen, Kennwörter und PINs sicher."
Also alles im Lot.
Das Thema Kennwortbuch ist garnichtmal so unlogisch heutzutage.
Wenn ich alle 3 Monate alle meine Passwörter ändern muss, aber die letzten 10 Passwörter nicht in irgendeiner Kombi erlaubt sind, und bei jedem Passwort Wechsel Zyklus zig über zig Systeme mit mehreren Usern gewechselt werden müssen...
Die ganzen Passwort Security Guidlines leiten sich von einem IBM Handbuch aus den 70er ab, als es genau 5 Computer weltweit gab und man nur auf einem Rechner nur 1-2 User hatte.
Am besten dann auch noch öüä ins passwort einbauen, denn das kann der Ivan ausn Ostblock nicht eintippen, auch wenn er das PW erspäht hätte.
Security Idioten erklären mir, Passwörter darf man nicht und niemals notieren oder aufschreiben. Seriöse Profis verwenden Keepass!
aber die letzten 10 Passwörter nicht in irgendeiner Kombi erlaubt sind
Das würde ja bedeuten, dass die eingegebenen Passwörter im Klartext verglichen werden.
Mir wird Angst.
KEEPASS?
Wer dessen Passwort bekommt , hat Zugriff auf alle Accounts.
Das würde ja bedeuten, dass die eingegebenen Passwörter im Klartext verglichen werden.
nöp, gibt andere mittel und wege.
KEEPASS?
Wer dessen Passwort bekommt , hat Zugriff auf alle Accounts.
ja mit der aussage ist dir nicht zu helfen.
Wenn ich alle 3 Monate alle meine Passwörter ändern muss,
Wer sowas fordert hat was nicht verstanden.
Der Zwang, die Anwender regelmäßig ihre Passwörter erneuern zu lassen, gilt in der IT-Sicherheit schon länger als überholt. Denn genau das verleitet die User dazu, sich schwache Passwörter, nur leicht variierte Kombinationen auszudenken, weil man sonst irgendwann nicht mehr weiss, wo vorne und hinten ist. Dann wird aus Schnuffi7 eben Schnuffi8 und dann Schnuffi9. Und wenn man die Leute zu "mindestens 20 Zeichen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen" zwingt, dann kapitulieren sie meistens sofort und schreiben sich das Passwort auf einen Zettel, der dann im Geldbeutel steckt oder (meine Mutter!) mit Bleistift an den Bildschirmrand am PC-Monitor geschrieben wird. Oder ganz geheim auf einem post-it unter der Tastatur versteckt ist.
Aus dem gleichen Grund haben sich die technisch an sich ausgereiften digitalen Signatur-Karten nicht durchgesetzt: die PIN war 6stellig und nach 3 Fehlversuchen sperrte sich die Karte irreversibel und eine neue Karte musste umständlich per Post-Ident-Verfahren persönlich beantragt werden.
Ich bevorzuge "Pass-Sätze", die semantisch unsinnig sind, die ich mir aber gut merken kann und streue falsche Rechtschreibung, Sonderzeichen und Ziffern ein. Z.B. "1Blauerschr#nkwandertDurchdenWalt!"
Ein Paradebeispiel aus meinem Arbeitsleben:
Das Passwort muss aus mindestens 8 Zeichen bestehen.
Das Passwort darf nicht mit Usernamen oder Teilen davon übereinstimmen.
Das Passwort muss mindestens 1 alphabetisches Zeichen, ein numerisches und ein Sonderzeichen enthalten.
Das erste und letzte Zeichen muss alphabetisch sein.
Ein Passwort darf nicht eine Gruppe von 3 aufeinanderfolgenden Buchstaben inkludieren (z.B. „abc“ falsch, „cef“ rechts).
Ein neues Passwort muss sich von den letzten 5 verwendeten unterscheiden.
Ein Passwort läuft nach 60 Tagen ab und muss somit vor dem Ablauf abgeändert werden.
Eine Passwortänderung kann nur 1 Mal am Tag durchgeführt werden.
Das Ende vom Lied? Eine in Passwort verkleidete Beleidigung, die nur rudimentär verändert wird...
Bitte mal zurück zum Thema.
Ok, kannst Du bitte das Thema "Passwörter" abspalten? Danke.
Ich finde es hat es verdient diskutiert zu werden.
Wenn ich lese: "Ein neues Passwort muss sich von den letzten 5 verwendeten unterscheiden." fehlt mir die Vorstellungskraft, wie das gehen soll, ohne die Passwörter im Klartext zu speichern.
Kann mir bitte jemand: "nöp, gibt andere mittel und wege." etwas näher beschreiben?
Danke.
Vielleicht muss man auch unterscheiden, vor wem man sein Zugang schützen will:
Szenario 1) Man will verhindern, dass er gefährliche Russische Hacker über das Internet in mein System eindringen kann.
Umsetzung 1) Möglichst lange und komplexes Passwort, welches den höchsten Hacker-Richtlinien entspricht. Schön aufgeschrieben vor der Tastatur abgelegt, sodass es bequem eingetippt werden kann.
Szenario 2) Man will verhindern, dass in einem (anonymen) Grossraumbüro sich jemand unbefugtes an einen Rechner setzen kann und sich dort einloggen kann.
Umsetzung 2) Ein relativ einfaches Passwort welches man sich gut merken kann. Nicht notiert und keine Hinweise zur Person oder zum Usernamen.
Schön aufgeschrieben vor der Tastatur abgelegt, sodass es bequem eingetippt werden.
Habe ich schon gesehen. "Fruehling2021!", Vorgabe alle 3Monate zu ändern, mindestens ein Großbuchstabe, ein Kleinbuchstabe, eine Ziffer und ein Sonderzeichen sind erfüllt. Die Vorgabe: "mindestens 12 Zeichen" wurde in den anderen Jahreszeiten durch Auffüllen mit !!!!! bis zur 12ten Stelle gewährleistet.
Kann mir bitte jemand: "nöp, gibt andere mittel und wege." etwas näher beschreiben?
Genauso wie man das aktuelle Passwort speichert und vergleicht (als "Hash"), aber das halt in einer Historie.
Der Nachteil ist halt ein gleichbleibendes "salt" - aber das geht hier dann zu tief. Auf keinen Fall muss man das im Klartext speichern (auch wenn das wahrscheinlich ein paar freako Systeme tun)
Genauso wie man das aktuelle Passwort speichert und vergleicht (als "Hash"), aber das halt in einer Historie
Ok, Hash 1
de1ba5d20aa34b9bbc4d1775b94ff305
und Hash 2
ffd815b4f2695fc8dab1c81122c7177b
und Du kannst mir jetzt mitteilen, wieviele und welche Veränderungen es zwischen PWa und PWb gibt? Falls ja, wäre ich für den Lösungsweg dankbar.
Ne, du hast zu Zeit "September" das Password mit dem Hash de1ba5d20aa34b9bbc4d1775b94ff305 und im "Oktober" eins mit dem Hash ffd815b4f2695fc8dab1c81122c7177b.
Wenn Du jetzt im "November" wieder auf de1ba5d20aa34b9bbc4d1775b94ff305 wechseln willst, dann sieht das System, dass das schon benutzt wurde (weil halt die letzten X gespeichert werden).
Wie gesagt bedingt das, dass immer das gleiche Salt fuer's Hashing verwendet wird - das ist schlechter als "normal", aber noch lange kein Klartext.
PS: ich rede hier nur von eindeutigen Wiederholungen - Aenderungen von Password01 auf Password02 ("Fehler: zu aehnlich") geht so natuerlich nicht.
Das geht auch mit unterschiedlichen Hashes.
Zum Zeitpunkt der Passwortänderung ist der Klartext des neuen Passworts ja verfügbar.
Dann geht man einfach die Liste der letzten x Passworthashes+Salts durch und probiert aus, ob Hash(neues Passwort, Salt_n) == Hash_n ist.
Falls ja, dann ist das Passwort schonmal benutzt worden.
Wenn ich lese: "Ein neues Passwort muss sich von den letzten 5 verwendeten unterscheiden." fehlt mir die Vorstellungskraft, wie das gehen soll, ohne die Passwörter im Klartext zu speichern.
man speichert die letzten 5 hashes.
Seriöse Profis verwenden Keepass!
Bei Passwordsafes habe ich immer ein ungutes Gefühl gehabt, auch wenn meine Methode auch kein Musterbeispiel für Sicherheit ist. 
Ein Kennwortbuch ist dann von Vorteil wenn jemand versucht über das Internet an deine Passwörter zu kommen, der Medienbruch macht es ihm schwerer. Für einen Einbrecher ist das natürlich ein Volltreffer, denn damit kann er sich dein Geld ja direkt nach hause überweisen.
Der Passwortsafe ist für mich auch aktuell die beste Alternative. Das physische Buch kann beim Einbruch gestohlen werden, beim Wohnungsbrand verbrennen oder verloren gehen. Es ist, sobald man es besitzt, zugänglich.
Und: man muss die, zumindest bei mir, teils sehr komplexen und langen, kryptischen Passwörter jedesmal abtippen. Zu Hause und unterwegs.
Die Keepass Datei liegt bei mir zentral auf dem NAS, ist selbst verschlüsselt und der Ordner auf dem NAS auch. Die Datei wird auf alle PCs und mein Smartphone synchronisiert. Daher habe ich überall meine Passwörter im Zugriff. Wer physisch in Besitz meines Smartphones, des NAS oder eines PCs kommt braucht mindestens das Passwort der Hardware und der Keepass Datenbank. Und ich kann die Passwörter per Copy & Paste einsetzen.
Und Keepass generiert einem die Passwörter je nach Anforderung auch noch. So kann man überall das Passwort verwenden, was die Maximalausprägung an Länge und zugelassener Zeichen darstellt, ohne sich bei der Passwortsuche groß anstrengen zu müssen.
Meine Passwörter erarbeite ich nach diesem Prinzip Passwortphrase:
Einen vollständigen Satz erstellen , der zum Thema passt, also leicht zu merken ist, und dann nur die ersten Buchstaben in korrekter GroßundKleinschreibung und die Satzzeichen nutzen.
Ein frei erfundenes Beispiel:
Mein Lieblingsspiel ( seit 1996) ist, "Mensch ärgere dich nicht", weil sich meine Schwester so toll ärgert.
ML(s1996)i,"Mädn",wsmSstä.
Diese Version kann man sich zur Not auch merken. Die automatisch generierten bestimt nicht.
ich vertraue keinen gebündelten passwortmanagern.
Einige eher unwichtige logins sind im browser gespeichert und die passwörter so, dass ich soe mir merken kann.
Blöd sind Anbieter mit ungewöhnlichen passwortregeln. Da hab ich dann öfter Fehlerversuche
Im klartext schreibe ich nie ein passwort auf. Da fehlen dann einige zeichen.
