Sichere, aber praktikable Passwörter

Jeder kennt die Ermahnungen der Nerds sichere Passwörter wie mindestens acht Stellen und enthält sowohl Klein- als auch Großbuchstaben, Ziffern und nach Möglichkeit Sonderzeichen, zu verwenden, also wrzlp4500¼runft. Und das ist auch alles richtig, den ''Schatzi'' ist kein Passwort. Aber es ist genauso richtig wie das ''roken totelik'' ist. Alles ein Frage der Vernunft oder des Systems.

Die Realität in der IT Security schaut ja dann so aus, das jeder Mensch 20 - 30 Konten hat (geldkarte, email privat & beruflich, 20 socialnets, etc) wenn man diese auch noch alle 3 Monate ändern soll, könnte man einen Tag in der Woche nur Passwörter verwalten.

Also braucht man eine Weg zwischen theoretischer Sicherheit und Praktikabilität, denn am häufigsten gelang ein Einbruch durch geknackte, erschnüffelte oder geklaute Passwörter...

Angestellte verursachen mehr Datenverluste als Hacker

Passwörter Erstellen

password_strength.png

Erst mal muss man sich ein Passwort erstellen, das ist gar nicht so einfach, denn Hund, Katze, Maus oder ''Name'' von Freund is bähhh.

  • Automated Password Generator, bei vielen L'unix Distributionen (zB ubuntu) schon dabei. Einfach gewünschte Stärke einstellen, noch mal die Cracklib drüber lassen, auf Wunsch Passwörter, die man aussprechen kann, damit sie leichter zu merken sind, etc. Speziell wenn Flo mal mehr als ein Passwort braucht ist das sehr handy.
  • Rox nimmt gerne Sätze mit Sinn &Semantik her, die sie sich merken kann, und benutzt die Anfangsbuchstaben, das ist ziemlich schlau..
  • Also so: ''t__imys __h__und = __i__m __s__ommer __3 m__al __g__rün'': __th=is3mg
  • Man kann auch bissle wild auf der Tastatur rumhauen, und die Zeichen, die man nicht will, rauslöschen. Die Gefahr, was zu einfaches zu nehmen, ist dabei geringer, aber auch umstritten denn man ist ''auf das "Adler-Such-System" bei der Eingabe angewiesen''.
  • oder man nimmt normale, daher merkbare, aber lange Begriffe, soll sogar sichere sein.

Zu dem Thema sich schon ganz viele Leute ausgelassen

Man kann seine Methode auch testen und die stärke messen. Bitte nur die Art und weise, nicht eure echten Passwörter reinschicken.

bestimmte Zeichen vermeiden

Für bestimmte Anwendungszwecke sollte man bestimmte Zeichen vermeiden

  • für htaccess Zugänge ''?@:&/='' vermeiden, da man solche Passwörter nicht mehr in die URL packen kann (P:Uniform Resource Locator
  • Zugänge die man per Hand eingeben muss (mail, social media kram): Vermeidet vielleicht Sonderzeichen die es nur auf eure ''Heimat''tastatur gibt. Den als Slowene werdet Ihr in Deutschland euch mit dem sicher tollen Passwort ''ž3htó'' verdammt schwer tun. Im Gegensatz sollte man als Deutscher ''° ² §'' vermeiden.

Ampel, Ampel

Man soll sich die Passwörter nicht aufschreiben, aber so viele unterschiedliche merken kann man sich auch nicht. Was also tun? Ein Kompromiss ist, für unterschiedliche Sicherheitsstufen unterschiedliche Passwörter zu benutzen. Denn wenn jemand Deinen eh nie genutzten flickr und studiVZ account cracked ist das nicht sooo schlimm wie wenn jemand nachts bei Deinem (dann bald Ex-) Arbeitgeber mit Deinem Zugangspasswort die Festplatten mit den geheimen Bauanleitung kopiert

Rotes Passwort

für root accounts, Passwortdateien (z.B. KeyRing), verifizierende Accounts (z.B OnlineBanking)

  • richtig schwer mit min 16 Zeichen und so wie oben
  • nur einmal verwenden
  • nicht weitergeben

Gelbes Passwort

für eMail accounts (z.B. Google, Wikis, umija

dump Passwort

Wenn dieses verloren geht, oder geklaut wird, darf der Schaden nur temporär und marginal sein. Hier kann an gern ein Passwort für mehrere Dienst verwenden.

  • gern eines, evtl öfters gewechselt
  • schnell und leicht

Aufschreiben

Es ist klar das man keine Passwörter auf gelbe PostIt schreib und an den Bildschirm klebt. Aber gerade wenn man eben nicht nur ein Passwort nutzen muss/will wird das oft schnell sehr unübersichtlich, da oben im Gehirn. Lieber sollte man Passwörter aufschreiben als irgendwann genervt dann doch wieder nur ein einziges leichtes zu nehmen. Aber wenn dann richtig. Eine Datei, auch mit noch so unverfänglichem Namen (der Name ''passwörter.doc'' ist sowieso super dämlich) wir wenn der laptop mal geklaut ist, schenll entdeckt.

  • man kann Passwörter in einer verschlüsselten Datei aufbewahren, dann die Datei aber bitte nicht zugänglich rumliegen lassen (Webpostfach, laptop etc).
  • Natürlich gibts hierfür feine Programme: Passwort Datenbanken wie keepass.info. Das geht auch unterwegs (für Geldkarte, SIM etc) auf dem unterwegs Telefon.
  • Passwortbuch, also analog & Kuli, das aber am besten in einer Geldkasette oder so wegsperren und nicht offen auf dem Schreibtisch liegen lassen.

Übermitteln

Am besten nicht in einer normalen eMail. Sondern:

  • verschlüsselte eMail
  • SMS, kost ja nicht sooviel
  • Telefonat
  • persönlich
  • wenn der Sender kein GPG hat, aber der Empfänger, dann könnt ihr es so machen: Gpg

Passwörter für richtig wichtige Sachen sollten man dann aber auch echt nicht aufschreiben.

Nicht abschreiben lassen

In der Schule ist 'abschreiben lassen' vollkommen ok, aber aufpassen wenn man (dann richtig) Passwörter eingibt. Das härteste Passwort, das geheimste Versteck und die beste Software bringt nix wenn man sich auf die Tastatur kucken lässt.

Für alle CAI Agenten: Nicht nur von direkt Anwesenden auch mit Ferngläsern wird geguckt, gleich das magnetische Spektrum eines Bildschirms gemessen oder die kabelgebundene [http://www.heise.de/newsticker/Forscher-spaehen-Tastatureingaben-aus-20-Meter-Entfernung-aus--/meldung/117670| Tastatureingaben aus 20 Meter Entfernung] aus.

Alles oder nichts

Zu viel verschlüsseln bringt zwar vermeindlich mehr Sicherheit, aber wer bei jedem Computerstart im Büro, im Zug, auf ner Party um Musik zu hören, sein Festplattenpasswort eingibt läuft viel höher Gefahr das dieses geklaut wird (über schulter, keylogger, etc). wer nur ab und zu, und das eher dann daheim, seinen cryptocontainer öffnen muss verringert die Möglichkeiten zum ausspähen enorm.

Email sind wie Aktenordner, nur ein kleiner Prozentsatz muss verschlüsselt sein. Newsletter, CCspam, Einladungen zur Wohnungseinweihung kann zwar zum Socialminig verwendet werden, das passiert aber wenn schon vorher beim empfangen. Es bringt also nichts emails auf der Platte zu verschlüsseln. Und wirklich private Dinge wie Passwörter, höchst persönliches, Finanzdiskretes muss eh schon bei der email Übertragung verschlüsselt sein.

Sicherheitsfrage

''Der eigentliche Hack war alles andere als aufwendig - und hat nichts mit gewieften Programmier-Kenntnissen und komplizierten Cyber-Attacken zu tun. Registriert man sich bei Apples MobileMe, wird man aufgefordert, sich eine "geheime Frage" auszudenken. Hat man später einmal sein Passwort vergessen, kann man mittels Geburtsdatum und der richtigen Antwort auf die "geheime Frage" ein neues bekommen - eine im Internet weit verbreitete Methode, die selbstverständlich nur so sicher ist, wie die gewählte Frage.''

.... but in the end its much easier. Encryption

LOL

https://www.youtube.com/watch?v=yzGzB-yYKcc

Howto