Praktikabilität von Passwortkarten / Alternativen

[buhtz]

Nutzt von euch jemand Passwortkarten? Eure Erfahrungen damit würden mich interessieren. Für welche Art von Accounts nutzt ihr die?

Mein Problem damit ist, dass damit Passwörter generiert werden, die man sich nicht merken kann. Beispielsweise logge ich mich ein Dutzend Mal am Tag in meinen Bürorechner ein, weil der bei Pausen automatisch (bzw. durch mich) gesperrt wird. Das gleiche (ich weiß, dass sollte nicht sein) Passwort nutze ich für weitere firmeninterne Accounts und Dienste. Das würde bedeuten ich zücke 20 Mal und mehr am Tag diese Karte. Und das ist nur ein Beispiel - ich nutze ja auch noch andere Accounts am Tag außerhalb der Arbeit.
Wie seht ihr das?

Was sind Alternativen? Diese Tokens klingen interessant. So ganz verstanden hab ich es aber noch nicht. Dafür braucht man jeweils auch extra Software, oder? Ich nutze diverse Accounts aber von verschiedenen Rechnern, die auch nicht immer mir gehören. Es muss also ohne Software funktionieren.

[DeletedUserReAsG]

Ich halte von dem ganzen Kram auf der verlinkten Seite rein nichts. Aber das ist nur meine persönliche Ansicht.

Alternativen:
XKCDs Klassiker

Eine weitere klassische Methode wär’s, sich einen langen Satz auszudenken und jeweils die Anfangsbuchstaben der Wörter als Passwort zu nehmen. Wenn man bestimmte Buchstaben durch Sonderzeichen ersetzt, bekommt noch etwas mehr Entropie rein. Man kann ich gleich den ganzen Satz als Passwort nehmen (sofern evt. vorhandene Längenbeschränkungen es zulassen), dann ist es eine Passphrase, und weiterhin gut merkbar.

Eine andere Möglichkeit wäre, sich mit pwgen ein ausreichend langes Passwort generieren zu lassen. Das Passwort ist nicht so sicher, wie eine rein zufällige Zeichenfolge, ist dafür aber relativ leicht merkbar, wenn man’s einige Male laut ausspricht – ich hab da noch Passwörter im Kopf, die ich seit Jahren nicht mehr genutzt habe.

Gibt noch weitere Methoden, Heise hatte da zum Beispiel mal ein System vorgestellt, aber dieses sind die, die für mich funktionieren.

[whisper]

Ich benutze für Webseiten pwdhash.
https://pwdhash.github.io/website/
Es gibt auch plugins dazu, wobei das Chrome plugin nicht ganz so toll ist.
Vorteil, man merkt sich ein einfaches Standardpasswort und kann damit auf jede Webseite mit einem anderen Passwort auftreten.

[novalix]

Ich benutze für Webseiten pwdhash.
https://pwdhash.github.io/website/

This site and plugin are no longer under active development

Die letzte Version des Plugins wird für FF 3.5 annonciert.
Ich vermute mal, dass sich die Verwendung spätestens mit FF 57 erledigt haben wird.

Von den Passwortkarten habe ich zum ersten mal gehört. Für mich wäre das nichts.
Eine gute Hand voll "sicherer" Passphrasen [*] sollte sich jeder merken können. Eine von denen verwendet man dann für einen Passwortmanager, z.B. keepassx.

[*] @niemand hat ja schon auf den Klassiker hingewiesen. Sicherheit ist, wenn es aufs Spielfeld geht, immer eine Kombination aus theoretischen Überlegungen und deren konsequenter praktischer Umsetzung bzw. Umsetzbarkeit.
Die grundlegenden Passphrasen, die man nirgendwo aufschreibt und im Kopf immer abrufbar bereit stehen sollten, sind, wenn man so will, der Single Point of Failure. Deshalb sollten sie "stark" sein.
Bei mir: Minimum 18 Zeichen und lexikalisch nicht problemlos rekonstruierbar, also kein "Donaudampfschiffahrtskapitän1!11".

[whisper]

Die letzte Version des Plugins wird für FF 3.5 annonciert.
Ich vermute mal, dass sich die Verwendung spätestens mit FF 57 erledigt haben wird.

Ja, allerdings ist es auch lokal als Javascript laufähig.

Meine Primitiv Methode vorher war:
Standardpassword, sagen wir "Oelkanne"

Für jedes Forum etc, einfach Oe oder immer lk mit den 1-2 Buchstaben nach dem www. ersetzen, damit kann man es sich gut merken und wenn nur ein Passwort geleakt ist, kann niemand auf die Methode schließen.
Also beim Debianforum: Delkanne resp.: OeDeanne.

[breakthewall]

Von diesen Passwortkarten halte ich im allgemeinen recht wenig. Für mich geht nichts über ein Passwort im Kopf. Und wie niemand bereits ansprach, ist die Satzmethode ein bewährtes Verfahren, wozu ich auch nur raten kann. Wichtig dabei wäre sich einen Satz bzw. Spruch auszudenken, den man gut im Kopf hat, der aber möglichst fiktiv sein sollte.

Ein Beispiel: Ein Ring sie zu knechten, sie zu finden, ins Dunkel zu treiben, und ewig zu binden.

Neues Passwort: ErszkszfidztuezB

Alleine das ist schon ziemlich lang und komplex, aber dennoch gut zu merken. Natürlich lässt sich das noch mittels Sonderzeichen erweitern, wahlweise hinsichtlich der Länge, oder indem aus einem "i" ein "!", bzw. aus einem "e" ein "€" wird. Alles Geschmackssache und was jeweilige Dienste auch zulassen. Nur letzteres ist ohnehin eine traurige Angelegenheit, da einerseits gute Passwörter benötigt werden, aber viele Dienste das derart absurd und idiotisch beschränken, dass das einfach nur noch aufregt. Alternativ kann man als Passwort aber auch irgendein Muster auf der Tastatur wählen, und fährt das eben in beliebiger Weise nach. Der Vorteil dessen wäre, sich die eingesetzten Zeichen erst garnicht merken zu müssen, sondern nur die Position des Musters.

[whisper]

Alternativ kann man als Passwort aber auch irgendein Muster auf der Tastatur wählen, und fährt das eben in beliebiger Weise nach. Der Vorteil dessen wäre, sich die eingesetzten Zeichen erst garnicht merken zu müssen, sondern nur die Position des Musters.

Nein!
Das ist eine ganz dumme Idee, eine Brute Force Attacke hat die typischen Kombinationen auf Tastatur und Numpad integriert.
Auch einen Buchstabe Lautmalerisch oder Geek-mäßig auszutauschen, also 1=! oder o=0, e=3 usw. ist bereits in den Algorithmen berücksichtigt und wird schon in einer der ersten Iterationen benutzt.

Früher hatte ich Inf0rmix als Password für die Datenbank, blöder geht es nicht! John the ripper hatte das schneller, als ich Maff sagen konnte. Also wirklich ein blöder, aber immer wieder verbreiteter Tipp.
Bitte nicht nachmachen. Um bei Informix zu bleiben,
iMformiX!istRot wäre da schon wesentlich besser

[Korodny]

Ich nutze diverse Accounts aber von verschiedenen Rechnern, die auch nicht immer mir gehören. Es muss also ohne Software funktionieren.

Privat würde ich immer eine Passwort-Datenbank benutzen, die heute nötige Anzahl an Accounts kann man m.E. anders nicht sinnvoll verwalten.

Wenn tatsächlich auf Arbeit oft der Fall eintritt, dass du an anderer Leute Computer Passwörter eingibst (wie muss ich mir das genau vorstellen? Klingt gefährlich...) und/oder eine Passwort-Datenbank nicht sinnvoll bzw. gar nicht möglich ist, hast du ja immer noch dein Smartphone. Es gibt Lösungen, die sich auch automatisch mit deinem Desktop-Rechner synchronisieren können, d.h. dann hättest du deine Passwörter immer und überall parat. Kenne mich da allerdings nicht aus, kann also keine entsprechenden Software-Tipps geben.

[novalix]

Auch einen Buchstabe Lautmalerisch oder Geek-mäßig auszutauschen, also 1=! oder o=0, e=3 usw. ist bereits in den Algorithmen berücksichtigt und wird schon in einer der ersten Iterationen benutzt.

Das ist richtig, gilt aber eben nur für lexikalische Ausdrücke und Namen, die in den einschlägigen Listen stehen.
Wenn man eine Passphrase zum selber merken erstellt, sollte man immer darauf achten, dass sie in dieser Form nie und nimmer als sinntragendes Wort in ein Lexikon kommen könnte.
Also ordentlich gegen syntaktische Verknüpfungs- und Rechtschreibregeln verstoßen liebe Kinder!

BleibenWintGoldichDochMehrspur

(Ich habe mal CamelCase genommen, um die einzelnen Elemente auseinander halten zu können.)
So eine Phrase findet sich wohl kaum in einer Wortliste und Ersetzungen erhöhen jetzt schlicht und einfach das Zeichenreservoir.

bL3!b3nw!ntg0Ldichd0chm3hspur

Das geht natürlich noch besser, aber so einen Zeichensalat kann man sich merken.

[breakthewall]

Nein!
Das ist eine ganz dumme Idee, eine Brute Force Attacke hat die typischen Kombinationen auf Tastatur und Numpad integriert.
Auch einen Buchstabe Lautmalerisch oder Geek-mäßig auszutauschen, also 1=! oder o=0, e=3 usw. ist bereits in den Algorithmen berücksichtigt und wird schon in einer der ersten Iterationen benutzt.

Früher hatte ich Inf0rmix als Password für die Datenbank, blöder geht es nicht! John the ripper hatte das schneller, als ich Maff sagen konnte. Also wirklich ein blöder, aber immer wieder verbreiteter Tipp.
Bitte nicht nachmachen. Um bei Informix zu bleiben,
iMformiX!istRot wäre da schon wesentlich besser

Vom Grundgedanken hast zwar recht, aber das betrifft auch nur Begriffe lexikalischer Natur. Man darf nie Wörter aus Wörterbüchern verwenden, und lediglich minimal abändern. Ein gutes Passwort hat heute auch mindestens 16 Stellen.

Ich meinte eher einfache Muster wie:

1) 2ywsde"YWSDE
2) 4rgbcft6$RGBCFT&

Und das ist alles noch sehr simpel. Das kann man noch komplexer aufblasen, in Form und Länge. Das steht dann im Leben in keiner Wörterliste, oder wird durch gängige Permutationen ermittelt. Aber bezüglich deines Beispiels ist das natürlich gefährlich.

[uname]

Ein gutes Passwort hat heute auch mindestens 16 Stellen.

Aha. Leider ist die Länge für die meisten Angriffsszenarien irrelevant auch wenn gerne was anderes erzählt wird. Das lange Passwort hilft nur, wenn jenand an das verschlüsselte und nicht wie so oft an das unverschlüsselte Passwort gelangt. Passwort oft ändern wäre besser.

[Lord_Carlos]

Nutzt von euch jemand Passwortkarten? Eure Erfahrungen damit würden mich interessieren. Für welche Art von Accounts nutzt ihr die?

Die bekommt man zu jeder Daenischen Kreditkarte dazu, um sich leichter den Pin zu merken.
Man fuellt die selber aus und merkt sich dann nur z.B. "Rot von links nach recht"

2813

Gerade in Modernenzeiten wo man nicht immer den Pin eingeben muss und ihn so schneller vergisst ist es ganz nett.

Ob das auch gut fuer lange Passwoerter ist? Kann ich nicht sagen.
Ich mache mir selber immer PWs die ich mir merken kann. "EsIstH3uteSch0nKalt&" oder sowas

[buhtz]

hast du ja immer noch dein Smartphone

Es soll Leute geben, die haben (ganz bewusst!) keines. Selbst wenn, wäre das wohl einer der denkbar schlechtesten Orte um Passwörter oder ähnliches abzulegen. Dann kann man sie gleich im Klartext auf die Google/NSA-Cloud legen.

[buhtz]

Leider ist die Länge für die meisten Angriffsszenarien irrelevant auch wenn gerne was anderes erzählt wird. Das lange Passwort hilft nur, wenn jenand an das verschlüsselte und nicht wie so oft an das unverschlüsselte Passwort gelangt. Passwort oft ändern wäre besser.

Sehr interessanter Hinweis!

[breakthewall]

Aha. Leider ist die Länge für die meisten Angriffsszenarien irrelevant auch wenn gerne was anderes erzählt wird. Das lange Passwort hilft nur, wenn jenand an das verschlüsselte und nicht wie so oft an das unverschlüsselte Passwort gelangt. Passwort oft ändern wäre besser.

Du redest von Vertrauen. Sprich, dass der Ort wo man gute Passwörter verwendet, auch vertrauenswürdig sein sollte. Ist schon klar das man bei beliebigen Webseiten nicht zwingend gute Passwörter benötigt, gerade wenn unklar ist wie diese gespeichert werden. Von daher würde ich Passwörtern im Internet, keine große Priorität einräumen, egal ob nun irgendwelchen E-Mail -oder Foren-Accounts. Und bis auf SSH, VPN, Onlinebanking, Onlineshopping und Vergleichbares, hat hier an sich nichts eine Bedeutung, und kann mit billigsten Passwörtern verwaltet werden. Am eigenen PC sieht das wieder anders aus. Allerdings sehe ich stetige Passwortänderungen eher kritisch, weil jede Änderung wieder eine Möglichkeit eröffnet, dass neue Passwort abzugreifen.

[uname]

Und bis auf SSH, VPN, Onlinebanking, Onlineshopping und Vergleichbares ...

Glaubst du wirklich jemals hat jemand ein Onlinebanking-Passwort erraten? Nach wie vielen Versuchen wird das Passwort gesperrt?

Allerdings sehe ich stetige Passwortänderungen eher kritisch, weil jede Änderung wieder eine Möglichkeit eröffnet, dass neue Passwort abzugreifen.

Soweit mir bekannt wird mit jeder Passworteingabe das Passwort irgendwo hin übertragen. Wo sollte der Unterschied zu einer Passwortänderung sein? Natürlich könnte man die Hash-Werte auch bereits auf dem Client erzeugen.

Mit der Firefox-Netzwerkanalyse (Entwicklerwerkzeuge) kann man schön sehen, dass die Formulardaten (Benutzer/Passwort) im Debianforum direkt als POST-Parameter übertragen werden. Eine clientseitige Vorabberechnung von Hash-Werten wäre wohl nur mit Javascript möglich. Wird der Debianserver gehackt ist auch das beste Passwort mit der Anmeldung abgegriffen. Wobei auch der Hash-Wert dann nicht hilft ... evtl. in Verbindung mit einem Session-Key. Gilt bestimmt auch für viele andere Webanwendungen. Die Komplexität des Passwortes hilft nur wenig.

[Korodny]

hast du ja immer noch dein Smartphone

Es soll Leute geben, die haben (ganz bewusst!) keines. Selbst wenn, wäre das wohl einer der denkbar schlechtesten Orte um Passwörter oder ähnliches abzulegen. Dann kann man sie gleich im Klartext auf die Google/NSA-Cloud legen.

Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen? Natürlich gibt's da eine Menge Dinge zu beachten, und man sollte schon drüber nachdenken was man macht - aber ich hätte keinerlei Problem damit, auf meinem LineageOS-Smartphone (ohne jegliche Google-/Facebook-Apps) eine Passwort-Datenbank abzulegen.

[MSfree]

Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen?

wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen?

[Lord_Carlos]

Wenn du kein Smartphone besitzt, bist du vielleicht nicht übermäßig qualifiziert, die Sicherheit einer Passwort-Datenbank für Android zu beurteilen?

wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen?

Ich vermute mal Korodny will lediglich zum ausdruck bringen das Smartphones nicht der Schlechteste Ort ist eine Passwort Datenbank aufzubewahren. Immer dabei, voll verschluesselt etc.

Einmal Tief ein und wieder Ausatmen
Alle mad hier.

[Korodny]

wie sollte der Besitz eines Smartphones jemanden qualifizieren, die Sicherheit einer Passwort-Datenbank zu beurteilen?

Die "Sicherheit" einer Passwort-Datenbank unter Android dürfte Wesentlich von der installierten Software und der Konfiguration des Smartphones abhängen. Einfachstes Beispiel: Jemandem, der eine der beliebten "kostenlosen" Alternativ-Tastaturen einsetzt, würde ich ganz sicher nicht zur Nutzung einer Passwort-Datenbank auf seinem Smartphone raten... Jemand der Smartphones prinzipiell ablehnt, sollte sich auch eingestehen dass er nicht der erste Ansprechpartner für Fragen zum Thema Sicherheit unter Android sein kann.

Anders ausgedrückt: Wenn ich bezüglich Android komplett paranoid bin, aber unterwegs oder auf Arbeit Zugriff auf Dutzende Passwörter brauche, mache ich folgendes:

• Sehr altes Handy billig kaufen oder schenken lassen
• SIM-Karte wegschmeißen und nicht ersetzen
• LineageOS installieren
• Zugang zum eigenen WLAN einrichten
• Passwort-Datenbank installieren, die sich automatisch mit meinem Hauptrechner abgleicht sobald das Handy sich ins W-Lan einloggt.

Jetzt habe ich eine tragbare, Passwort-geschützte Liste aller meiner Logins, die sich sogar selbstständig aktualisiert. Auf Arbeit hänge ich sie immer an irgendein USB-Kabel zum Aufladen, ansonsten liegt das Ding in meinem Rucksack herum. Halte ich für deutlich Praxistauglicher als "Passwort-Karten" anzulegen und mir diverse Schlüsselwörter, Anfangspositionen oder "Pfade" merken zu müssen.