blog:2017:0719_passwort_-_aber_sicher_oder_wenn_schon_cloud_dann_wenigstens_verschluesselt

Passwort(?) - aber sicher(!) oder wenn schon Cloud dann wenigstens verschlüsselt

Ich frage mich immer, über was ich so schreiben soll. Vieles ist für mich einfach selbstverständlich geworden. So auch, dass ich einen Passwortmanager für meine Passwörter verwende.
Vor ein paar Jahren hatte ich noch 3-4 Passwörter für alles. Die haben auch den Komplexitätsanforderungen entsprochen und ich hab sie Jährlich erneuert. Alles kein Problem also?
In den letzten 3 Jahren kamen immer mehr Pressemeldungen dass irgendwelche Datenbanken gecrackt und Millionen Passwörter raus getragen wurden.
Nun wieso da nicht nur irgendwelche Salze und hashes darin gespeichert sind, ist mir schleierhaft. Wenn dann ein Passwort von mir mit dabei ist, sind gleich mehrere Dienste davon betroffen und ich muss los ziehen und mich zum einen Erinnern, wo ich dieses Passwort verwendet habe. Auch nervte, wenn man nach dem Aufsetzen eines neuen PCs einen alten Dienst besuchte, musste man immer 3-6 Passwörter durchprobieren, bis das richtige gefunden wurde.(und nach Murphy war es immer das sechste) Aber wie auch immer, wenn ich dem Dienstanbieter in der Hinsicht keinen Fußbreit über den Weg trauen kann, muss ich andere Wege finden. Einen möchte ich hier darlegen…

…um vorerst nochmal zu meinem Einleitungssatz zurück zu kommen. Viele meiner Freunde, auch die Computer versierten. Sagen oft zu mir, wenn ich von Passwortmanagern spreche und wie ich das so mach: „Hey ich versteh das so nicht, wir müssen uns mal wieder treffen und du musst mir das alles mal Zeigen“
Generell bin ich der Meinung, dass die Strategien, welche Passwörter verfolgen veraltet sind und Generalüberholt werden müssen.
Ansätze dafür gibt es viele.
Siehe dazu folgende Links:
Mooltipass
Yubikey
2 Faktor Authentifizierung mit beispielsweise Google Authenticator oder auch One Time Pads (OTP)
Aber irgendwie ist für mich das Programm, welches die nachfolgend genannten Eigenschaften besitzt, dabei gewesen.
Ich würde gern eine Mischung aus allen haben und zusätzlich die Möglichkeit einen (eventuell kompromittierten) Key zu widerrufen. :)
Ich brauche ein Gerät, was mit NFC und USB Kommuniziert. Yubikey NEO kann das zwar aber viele Webdienste lassen mich so nicht Authentifizieren. Also irgendwie brauch ich dann doch noch so etwas wie Mooltipass dazu. Generell fände ich auch eine Authentifizierung via GnuPG sinnvoll. Wie auch immer, eine wirklich praktikable Lösung für das Ersetzen von Passwörtern habe ich bisher nicht gefunden.
Also kommen wir zu meiner Lösung, bis es da etwas gibt, was mich gänzlich zufrieden stellt.

Ich selber nutze seit gut 2 Jahren Keepass. Da ich allerdings nicht nur einen PC habe brauche ich die Passwörter auf mehreren Rechnern mit unterschiedlichen Betriebssystemen +Smartphones/Tablets daher nutze ich zur Synchronisierung Owncloud. Von Haus aus kann Keepass mit WebDAV, HTTP und FTP Synchronisieren. Man kann es auch mit Plugins erweitern und so die Möglichkeit hinzufügen, beispielsweise mit Hilfe des ioprotocolext Plugins zusätzlich SCP, SFTP und FTPS hinzuzufügen. Auf http://keepass.info/plugins.html findet man noch Plugins um zu google Drive oder Dropbox zu syncen.

Nun aber zurück zu mir und wie ich das mache.
Als erstes braucht man einen Browser. Internet Explorer ist z.B. keiner!
Wenn man Chrome hat, nutzt man ChromIPass
Hat man Firefox, nutzt man PassIFox
Für Safari gibt es wohl auch etwas, das habe ich aber nicht getestet: Passafari
Weiterhin braucht man KeePass 2 Professional
Man installiert KeePass und zusätzlich noch das KeePass HTTP Plugin
Wie man die einzelnen Sachen installiert steht jeweils in den URLs und ich werde nicht näher darauf eingehen.

So jetzt hat man schon seine zukünftigen Passwörter nicht mehr bei Google oder Firefox.
Ein Passwort sollte immer Expiren, deshalb bei allen Passwörtern folgende Einstellung machen:

Generell sollte Keepass dann irgendwann so in etwa ausschauen:

So habe ich für jeden Dienst ein eigenes Passwort und wenn mal ein Dienst kompromittiert wird kann ich ganz lässig das Passwort ändern ohne Angst um andere in Mitleidenschaft gezogene Dienste zu haben.

Jetzt kann man wie gesagt das noch Synchronisieren, sodass man die Datei auf jeden Rechner hat. Ich nutze dafür wie bereits beschrieben Owncloud, weil ich den Kram ja nur mache, weil ich anderen Diensten nicht vertraue, daher auch nicht GoogleDrive, Dropbox etc. Wenn ich auch darauf nochmal eingehen soll, schreibt es in die Kommentare.

Ich möchte an der Stelle auch noch auf Lastpass hinweisen, was ich aber als nicht sicher erachte. Bzw. nicht sicherer als den Passwortmanager von Firefox. Außerdem kostet es auch was. Aber ich glaube nur 12€ per Anno Sowie Passwordsafe> dazu kann ich nur sagen… keine Ahnung, habe ich nie benutzt, weil KeePass entweder eher da war oder eher in meinen Fokus getreten ist und ich mit KeePass auch rundum zufrieden bin.

  • Zuletzt geändert: 2022/01/07 03:31
  • (Externe Bearbeitung)