Sichere, aber praktikable Passw├Ârter

Jeder kennt die Ermahnungen der Nerds sichere Passw├Ârter wie mindestens acht Stellen und enth├Ąlt sowohl Klein- als auch Gro├čbuchstaben, Ziffern und nach M├Âglichkeit Sonderzeichen, zu verwenden, also wrzlp4500┬╝runft. Und das ist auch alles richtig, den ''Schatzi'' ist kein Passwort. Aber es ist genauso richtig wie das ''roken totelik'' ist. Alles ein Frage der Vernunft oder des Systems. {DIV(align=>left, width=>25%, float=>right, class="umijabox")}{DIV} Die Realit├Ąt in der IT Security schaut ja dann so aus, das jeder Mensch 20 - 30 Konten hat (geldkarte, email privat & beruflich, 20 socialnets, etc) wenn man diese auch noch alle 3 Monate ├Ąndern soll, k├Ânnte man einen Tag in der Woche nur Passw├Ârter verwalten.

Also braucht man eine Weg zwischen theoretischer Sicherheit und Praktikabilit├Ąt, denn am h├Ąufigsten gelang ein Einbruch durch geknackte, erschn├╝ffelte oder geklaute Passw├Ârter...

Angestellte verursachen mehr Datenverluste als Hacker

Passw├Ârter Erstellen

password_strength.png Erst mal muss man sich ein Passwort erstellen, das ist gar nicht so einfach, denn Hund, Katze, Maus oder ''Name'' von Freund is b├Ąhhh. * Automated Password Generator, bei vielen L'unix Distributionen (zB ubuntu) schon dabei. Einfach gew├╝nschte St├Ąrke einstellen, noch mal die Cracklib dr├╝ber lassen, auf Wunsch Passw├Ârter, die man aussprechen kann, damit sie leichter zu merken sind, etc. Speziell wenn Flo mal mehr als ein Passwort braucht ist das sehr handy. * Rox nimmt gerne S├Ątze mit Sinn &Semantik her, die sie sich merken kann, und benutzt die Anfangsbuchstaben, das ist ziemlich schlau.. + Also so: ''t__imys __h__und __= i__m __s__ommer __3 m__al __g__r├╝n'': __th=is3mg * Man kann auch bissle wild auf der Tastatur rumhauen, und die Zeichen, die man nicht will, rausl├Âschen. Die Gefahr, was zu einfaches zu nehmen, ist dabei geringer, aber auch umstritten denn man ist ''auf das "Adler-Such-System" bei der Eingabe angewiesen''. * oder man nimmt normale, daher merkbare, aber lange Begriffe, soll sogar sichere sein.

Zu dem Thema sich schon ganz viele Leute ausgelassen

Man kann seine __ Methode__ auch testen und die st├Ąrke messen. Bitte nur die Art und weise, nicht eure echten Passw├Ârter reinschicken.

bestimmte Zeichen vermeiden

F├╝r bestimmte Anwendungszwecke sollte man bestimmte Zeichen vermeiden

  • f├╝r htaccess Zug├Ąnge ''?@:&/='' vermeiden, da man solche Passw├Ârter nicht mehr in die URL packen kann (p:Uniform_Resource_Locator#user.2Fpassword
  • Zug├Ąnge die man per Hand eingeben muss (mail, social media kram): Vermeidet vielleicht Sonderzeichen die es nur auf eure ''Heimat''tastatur gibt. Den als Slowene werdet Ihr in Deutschland euch mit dem sicher tollen Passwort ''┼ż3ht├│'' verdammt schwer tun. Im Gegensatz sollte man als Deutscher ''┬░ ┬▓ ┬ž'' vermeiden.

Ampel, Ampel

Man soll sich die Passw├Ârter nicht aufschreiben, aber so viele unterschiedliche merken kann man sich auch nicht. Was also tun? Ein Kompromiss ist, f├╝r unterschiedliche Sicherheitsstufen unterschiedliche Passw├Ârter zu benutzen. Denn wenn jemand Deinen eh nie genutzten flickr und studiVZ account cracked ist das nicht sooo schlimm wie wenn jemand nachts bei Deinem (dann bald Ex-) Arbeitgeber mit Deinem Zugangspasswort die Festplatten mit den geheimen Bauanleitung kopiert

Rotes Passwort

f├╝r root accounts, Passwortdateien (z.B. KeyRing), verifizierende Accounts (z.B CAcert) * richtig schwer mit min 8 Zeichen und so wie oben * nur einmal verwenden * nicht weitergeben

Gelbes Passwort

f├╝r eMail accounts (z.B. umija:google, Wikis, umija

dump Passwort

Wenn dieses verloren geht, oder geklaut wird, darf der Schaden nur tempor├Ąr und marginal sein. Hier kann an gern ein Passwort f├╝r mehrere Dienst verwenden. * gern eines, evtl ├Âfters gewechselt * schnell und leicht

Aufschreiben

Es ist klar das man keine Passw├Ârter auf gelbe PostIt schreib und an den Bildschirm klebt. Aber gerade wenn man eben nicht nur ein Passwort nutzen muss/will wird das oft schnell sehr un├╝bersichtlich, da oben im Gehirn. Lieber sollte man Passw├Ârter aufschreiben als irgendwann genervt dann doch wieder nur ein einziges leichtes zu nehmen. Aber wenn dann richtig. Eine Datei, auch mit noch so unverf├Ąnglichem Namen (der Name ''passw├Ârter.doc'' ist sowieso super d├Ąmlich) wir wenn der laptop mal geklaut ist, schenll entdeckt.

  • man kann Passw├Ârter in einer verschl├╝sselten Datei aufbewahren, dann die Datei aber bitte nicht zug├Ąnglich rumliegen lassen (Webpostfach, laptop etc).
  • Nat├╝rlich gibts hierf├╝r feine Programme: Passwort Datenbanken wie keepass.info. Das geht auch unterwegs (f├╝r Geldkarte, SIM etc) auf dem unterwegs Telefon.
  • Passwortbuch, also analog & Kuli, das aber am besten in einer Geldkasette oder so wegsperren und nicht offen auf dem Schreibtisch liegen lassen.

├ťbermitteln

Am besten nicht in einer normalen eMail. Sondern: * verschl├╝sselte eMail * SMS, kost ja nicht sooviel * Telefonat * pers├Ânlich * wenn der Sender kein GPG hat, aber der Empf├Ąnger, dann k├Ânnt ihr es so machen: klml:gpg

Passw├Ârter f├╝r richtig wichtige Sachen sollten man dann aber auch echt nicht aufschreiben.

Nicht abschreiben lassen

In der Schule ist 'abschreiben lassen' vollkommen ok, aber aufpassen wenn man (dann richtig) Passw├Ârter eingibt. Das h├Ąrteste Passwort, das geheimste Versteck und die beste Software bringt nix wenn man sich auf die Tastatur kucken l├Ąsst.

F├╝r alle CAI Agenten: Nicht nur von direkt Anwesenden auch mit Ferngl├Ąsern wird geguckt, gleich das magnetische Spektrum eines Bildschirms gemessen oder die kabelgebundene [http://www.heise.de/newsticker/Forscher-spaehen-Tastatureingaben-aus-20-Meter-Entfernung-aus--/meldung/117670| Tastatureingaben aus 20 Meter Entfernung] aus.

Alles oder nichts

Zu viel verschl├╝sseln bringt zwar vermeindlich mehr Sicherheit, aber wer bei jedem Computerstart im B├╝ro, im Zug, auf ner Party um Musik zu h├Âren, sein Festplattenpasswort eingibt l├Ąuft viel h├Âher Gefahr das dieses geklaut wird (├╝ber schulter, keylogger, etc). wer nur ab und zu, und das eher dann daheim, seinen cryptocontainer ├Âffnen muss verringert die M├Âglichkeiten zum aussp├Ąhen enorm.

Email sind wie Aktenordner, nur ein kleiner Prozentsatz muss verschl├╝sselt sein. Newsletter, CCspam, Einladungen zur Wohnungseinweihung kann zwar zum Socialminig verwendet werden, das passiert aber wenn schon vorher beim empfangen. Es bringt also nichts emails auf der Platte zu verschl├╝sseln. Und wirklich private Dinge wie Passw├Ârter, h├Âchst pers├Ânliches, Finanzdiskretes muss eh schon bei der email ├ťbertragung verschl├╝sselt sein.

Sicherheitsfrage

''Der eigentliche Hack war alles andere als aufwendig - und hat nichts mit gewieften Programmier-Kenntnissen und komplizierten Cyber-Attacken zu tun. Registriert man sich bei Apples MobileMe, wird man aufgefordert, sich eine "geheime Frage" auszudenken. Hat man sp├Ąter einmal sein Passwort vergessen, kann man mittels Geburtsdatum und der richtigen Antwort auf die "geheime Frage" ein neues bekommen - eine im Internet weit verbreitete Methode, die selbstverst├Ąndlich nur so sicher ist, wie die gew├Ąhlte Frage.''

.... but in the end its much easier. umija:encryption

LOL

https://www.youtube.com/watch?v=yzGzB-yYKcc


howto