Passwortmanager

Hallo, es gibt ja eine Menge Passwortmanager, bei denen man nur noch ein Masterpasswort braucht. Wenn ich nun so etwas installiere, muss ich dann alle meine vorhandenen Passwörter manuell ändern oder geht das automatisch? Wäre ja ziemlich viel Arbeit, das einzeln zu konfigurieren.
Danke im Voraus

Gute Frage! Aber nebenbei: Ich liebe Keepass und nutze den ausgiebig. Gehe halt nur einen anderen Weg. Jeder wie er mag.

Friede und schönen Tag noch.

ROFL!!! Brute Force!!!

Kein Mensch will Brute Force machen. Es geht auch nicht darum, die Sperrmechanismen der Dienste zu umgehen. Dafür reicht auch „geHeim123“.

Es geht darum, was passiert, wenn die Passwörter in die falschen Hände geraten. Dann hängt es nur noch davon ab, ob der Dienst sauber programmiert ist und die Passwörter als individuell gesalzenen Hash weggespeichert hat ODER ob es Klartext oder ein einfacher md5 ist. Das hast du aber nicht in der Hand, da müsstest du dem Programmierer trauen.

Dann kommt nämlich kein Brute Force zum Einsatz, sondern einfache und billige rainbow tables. Und wenn irgendjemand sonst noch auf deine tolle Idee gekommen ist „Hansimglück0815“ zu nehmen und das findet sich dann auch noch in der rainbow table, dann ist dein Passwort geknackt, auch wenn du es so sicher fandest.

Ich stimme dir zu, dass die Merksatzmethode besser ist als „ThisIsTheGMXPassword“ aber ein wirklicher Zufallstext ist noch erheblich sicherer.

Wozu? Das führt üblicherweise nur dazu, dass man überall das gleiche Passwort einsetzt (=unsicher) oder ein Standardpasswort nur leicht variiert (=unsicher). Bei den Webdiensten gibt es immer die Passwort-Vergessen-Funktion, die du im Zweifelsfall nehmen kannst. Da musst du dir gar nichts merken.

Es ist ganz erheblich sicherer, dir die einzelnen Passwörter mit hoher Entropie erzeugen zu lassen und diese in einem lokalen Passwortsafe zu speichern. Dann solltest du natürlich dafür sorgen, dass dieser Passwortsafe auch immer brav in deiner Datensicherung inkludiert wird.

Und noch was: Finger weg von online-Passwortmanagern, das führt das ganze System ad absurdum. DAS ist richtiges und gefährliches Schlagenöl.

Hallo Roberti,

alle Deine Empfehlung kann ich nur unterstreichen.
Allerdings kann man die Angriffsszenarien noch differenzieren:

Das relevante Risiko ist, dass jemand Zugriff auf das Datenabbild eines Zugangssystems bekommt. Viel wahrscheinlicher, als das Live-System zu hacken, ist dabei der Zugriff auf Kopien in Backups, Archiven, Testsystemen usw.

Wie Du richtig sagst, sind ungesalzene Ablagen am gefährlichsten, weil man innerhalb von Sekunden aus der großen Datenbank Tausende von Standardkennworten oder zu kurzen Kennworten (z.B. bis 10 Buchstaben) abgreifen kann.

Aber auch bei einer fachgerechte Ablage kommt man schnell zu Treffern, wenn man einen Wörterbuchangriff macht. Das setzt voraus, dass man in den geklauten Daten auch den Code zur Ablage findet - oder man bei Standardsoftware ohnehin das Verfahren kennt.
In diesem Fall ist der Aufwand zwar deutlich höher, aber immer noch Potenzen von Brute-Force entfernt: Man probiert mit jedem gespeicherten Salz das Wörterbuch durch.

Ciao, Allesquatsch

Ja. Und wenn du es richtig machst, dann nutzt du die Gelegenheit, um gleich alle Passwörter zu erneuern.

Die meisten Passwortmanager können auch selbst sichere Passwörter erzeugen (>20 Zeichen, wild durcheinander), die du dann als die neuen Passworte in den verschiedenen Diensten eintragen kannst.

Also wenn du dir schon die Arbeit machst und deine Passworte anfasst, dann ändere sie gleich. Damit gehst du sicher, dass wirklich ALLE relevanten DIenste ein sehr sicheres Passwort verwenden.

Wenn man bisher die Passwörter mit dem Browser gespeichert hat, dann gibt es zumindest bei der Kombination Browser Firefox / Passwortmanager KeePass2 die Möglichkeit zu exportieren / importieren. Der Export erfolgt mit dem Addon Password Exporter im XML-Format.

Danke für die Info!
Mir ist noch nie in den Sinn gekommen, meine Kennwörter vom Browser speichen zu lassen. Deshalb habe ich mich auch nie mit einer automatischen Übernahme der Kennwörter aus dieser Quelle beschäftigt.
Der von mir verwendete Passwortmanager heißt natürlich KeePassX.
Ich bitte den Tipfehler zu entschuldigen.
Gruß,
charly60.

Passwörter in Klartext zu exportieren, ist natürlich eine riskante Angelegenheit. Ich würde das nur bei getrennter Netzwerkverbindung machen und die Datei schnellstens wieder mit einem Eraser platt machen.

Hallo Anna_Hase,
solche Passwortmanager kenne ich nicht. Bei meinem (KexPassX) kann man verschiedene Unterordner anlegen z.B.
www
dort wird der User eingetragen:
Anna_Hase
und dazu das aktuelle Kennwort:
kennwort
Die gesamte Datenbank wird mit allen Unterordnern gespeichert. Dazu benötigt man das Masterpasswort.
Wenn Du dich also hier anmeldest, öffnest Du die Datenbank suchst im jeweiligen Unterordner die Daten die Du Dir nicht merken kannst/willst und kannst Dich dann hier anmelden.
Ich denke mal, automatisch geht da nichts, da der Passwortmanager Deine Geheimnisse ja (noch) nicht kennt. Also ist hier Handarbeit angesagt. Aber danch sollten alle Kennwörter ohne Probleme auffindbar sein und die Arbeit muss nur noch für neue Foren getan werden und Du musst Dir nur noch das Masterpasswort merken.
Ich hoffe ich konnte trotzdem helfen.
Gruß,
charly60.

Wenn es im Klarttext ist ist „mausi“ genauso unsicher wie „u743bhdnnHd20=HGR/&/“ oder was willst du damit sagen? Und derjenige der versucht meinen Facebookaccount zu knacken wird wohl eher einige pw ausprobieren als einen Angriff auf die FB-Datenbank zu starten. Ich meine ich kann mein Fahrrad auch mit 36 Schlössern sichern, muss dann aber auch mit den Konsequenzen leben. Und wer für den log-in auf der Seite seines Häkelvereins die Willi zusammengeschustert hat das gleiche pw verwendet wie für seinen GMX Account der hat eh selbst schuld.

Warum lässt du hier den Rest weg?

Ig5xpWiFut3S! Aus dem Merksatz „Ich gehe 5x pro Woche ins Fitnessstudio und trainiere 3 Stunden!“ ist doch ein super sicheres pw welches man sich auch noch merken kann. Warum also ein kryptisches welches ich mir nicht merken kann?

Ich will sagen, dass ein zufälliges Einmalpasswort sicherer ist als eine irgendwie geartete Regel, mit der man aus dem Dienstnamen ein Passwort ableitet.

Und warum ignorierst du meine Meinung zu deinem Rest?

Weil das nur Schlangenöl ist. Gerade Passworte, die man selten benutzt merkt man sich auch nicht über diese Methode. Weißt du in 2 Jahren noch, ob du 5x die Woche 3 Stunden oder 3x die Woche 5 Stunden gegangen bist? Außerdem sind da keine zufälligen Sonderzeichen drin. Und wenn du jetzt anfängst, aus jedem S ein $ zu machen, bist du auch nicht zufällig.

Nochmal: es spricht nichts gegen deinen Merksatz aber die Realität sieht bei den meisten Benutzern dann schnell mal so aus:

• GMXpass123
• WEBpass123
• GOOGLEpass123

Merkt sich leicht aber aus Kenntnis eines einzelnen Passwortes kann man alle anderen erraten. Und genau das ist das Problem. Die Leute halten sich nicht oft an ihre eigenen Vorgaben. Dann doch lieber gleich einen Passwortmanager eintrichtern und eben gar nicht erst versuchen, merkbare Passworte zu generieren.

Worüber streiten wir uns hier eigentlich? Du meinst, du brauchst keinen Passwortmanager, weil du deinen Weg gehst, mit dem du zweifelsfrei sichere Passwörter generieren kannst. Bitte gern. Ich halte mehr davon, einen Passwortmanager zu verwenden und mir keine echten Zufallstexte merken zu müssen. Auch gut. Jeder macht das, was er für sicher hält, des persönliche Sicherheitsempfinden ist vermutlich Geschmackssache.

Und als Beweis hier noch ein tagesaktueller Bericht von Heise:

…

…

Was beweist das:

1. man hat als Benutzer keine Chance zu überprüfen, wie die Passworte bei den einzelnen Diensten gespeichert sind.
2. Wer das gleiche Passwort bei mehreren Diensten verwendet, hat ein ernstes Sicherheitsproblem.

Ja, nettes Feature welches einem zusätzliche Sicherheit vorgaukelt. Jedoch ist das etwas zuviel des Guten, denn mein Credo ist dass ich mir ein pw im Notfall auch merken kann. Da komme ich aber mit den „hnfu2345n?ndwe%GvNSgze9“ oder „Hnsblwpre=73%%672nf98/6354“ nicht weit. Dann lieber pw nach der Merksatz-Methode: https://www.uni-due.de/zim/services/sicherheit/sicheres_passwort.shtml

So ein pw ist nicht unsicherer als ein generiertes, denn ein brute-force Angriff (https://de.wikipedia.org/wiki/Brute-Force-Methode) auf z.B. GMX oder Gmail ist sinnlos weil die Server nach dem 3. oder 5. Fehlversuch jeden weiteren automatisierten Versuch abblocken. da hilft nur noch ein direkter Angriff auf die Datenbanken der Anbieter, eine Aufgabe an der 99,9% der normalen Internetuser sicherlich scheitern werden. Auch ein einfaches Erraten wird schon bei „Hansimglück0815?“ extrem schwierig.

Nebenbei kannst du ja mal hier gucken wie lange ein brute force mit Hansimglück0815? bei einem System welches unendlich viele Versuche zulassen theoretisch dauern würde: https://www.grc.com/haystack.htm (englisch)

Der ändert überhaupt keine Passwörter. Der speichert dir nur deine dahinein geschriebenen Passwörter und hilft dir, die schnell in andere Software einzugeben.

Du hast eine Verständnisschwierigkeit, wofür ein Passwortmanager da ist.

Drum frag ich ja!
Ich habe mindestens 50 verschiedene Passwörter. Die muss ich nun alle in den Passwortmanager eintragen???