Follow

Heute ist - mal wieder - Welt-Passwort-Tag. Was ihr wissen müsst:
- Für jedes Konto ein anderes Passwort nutzen
- Nutzt zufällig generierte, lange Passwörter
- Die Passwörter kann und muss sich niemand merken, dazu gibt es Passwort-Manager 👇
- Für zusätzliche Sicherheit: Zwei- oder Mehr-Faktor-Authentifizierung (2FA, MFA)

kuketz-blog.de/empfehlungsecke

@kuketzblog
Das weiß so ziemlich jeder.

Wo die meisten aber tatsächlich Probleme haben ist abzuschätzen, was mit einem kompromittierten Passwort alles passieren kann.

Von einer Bekannten ist ihr EMail PW bei
haveibeenpwned.com/ gelistet.
Obwohl ich sie drauf aufmerksam gemacht habe, ändert sie es nicht
"Weil sie es sich so gut merken kann"
Von PW Manager brauche ich da überhaupt nicht anzufangen 🤷‍♀️

@Doppellhelix @kuketzblog
Also ich mache die Erfahrung, dass die meisten überrascht sind, wenn ich denen das erkläre.
Ich behaupte immer, dass Anzahl der Zeichen wichtiger als die Komplexität ist. Ich hoffe das stimmt noch :D

@Doppellhelix
Logge dich in ihren account ein und ändere das Passwort. Warte paar Tage und gib ihr dann das neue Passwort.
So lernt sie eine Lektion wenn sie sich plötzlich nicht mehr einloggen kann und ist gleichzeitig vor Identitätsdiebstahl geschützt.
Win-win würde ich sagen.
@kuketzblog

@Doppellhelix

Ach, das weiß so ziemlich jeder, warum, gibt es dann diese unendlich langen passwort listen, die bei Fisching so gut funktionieren.

vielleicht hilft dieser Tipp,

Passwörter vom Passwort Manager erstellen lassen, in ein Notizbuch schreiben und dann halt Händisch pro Profil immer eintippen, ist zwar aufwendiger aber so muss dem Passwort-Manager nicht Blind vertrauen !!!

vielleicht wird ja 2FA auch mal standart. dürfte auf jeden fall helfen.

@cs1004
Ich versteh die Antwort jetzt nicht.
Reden wir aneinander vorbei?

Die meisten "normalen" Nutzer werden nie einen PW Manger benutzen und setzen lieber auf ein einziges einfaches und leicht zu merkendes Passwort.

@kuketzblog

Für mich stellt sich noch die Frage, ob Passwortmanager mit Synchronisation eigentlich sinnvoll ist, wenn dies über Fremdserver laufen (selbst gehosted oder nicht). Eigentlich müsste man ja eher so etwas wie Syncthing nutzen zur dezentralen Synchronisation. Welche Lösung nutzt ihr?

Ohne die anleitung gekannt zu haben, ungefähr so wie @kuketzblog es beschreibt.

@fabyk

@fabyk @kuketzblog

wir haben das in der Familie mittels selbsgehostetem Bitwarden gelöst

@fabyk @kuketzblog

Eine Nextcloud beim webhoster, dazu KeePass Auf dem desktop & Androids, dazu KeePassWeb plugin in nextcloud (so kann ich im Notfall über einen beliebigen Browser per NC web-interface meine Passwörter gucken). Klappt super.

@fabyk Ich würde sagen, solange die Verschlüsselung des Managers nachvollziehbar gut ist, ist die Nutzung solcher Server kein Sicherheitsproblem, das größer ist als die Nutzung eines eigenen Servers. Klar, mit Syncthing oder anderen Lösungen kannst du Server auch ganz umgehen, hast dafür aber u.U. Synchronisierungslücken – inwiefern die in der Praxis relevant sind, ist aber natürlich eine andere Frage.

@fabyk @kuketzblog Ich nutze Keepass und synchronisiere die Datenbank über eine private Nextcloud. Da ich den Server aber nicht besitze und er zudem im Internet exponiert ist, habe ich die DB mit zweitem Faktor "Schlüsseldatei" angelegt.
Die DB ist also nur mit Kennwort und Schlüsseldatei zu öffnen.
Dies Datei wird natürlich nicht synchronisiert und liegt nur auf dem Endsystem vor, auf dem ich die DB öffnen möchte.
Mein Kompromiss zw. Komfort und Sicherheit.

@kuketzblog Was wäre das beste Vorgehen, wenn man regelmäßig an Computern ist, die von mehreren Leuten genutzt werden - da kann ich jetzt nicht so gut meinen Paßwortmanager installieren...
Soll ich dann die Zufalls-Paßwörter vom Smartphone abtippen? Das ist eher wenig komfortabel.

@acn128 @kuketzblog KeepassXC zum Beispiel gibt es zumindest für Windows auch als Portable-Version, die man neben seiner Passwortdatenbank auf einem USB-Stick mitnehmen kann. Ich habe diese Möglichkeit selbst aber noch nicht genutzt und weiß daher nicht, wie gut das funktioniert.

@m2c_n3e @kuketzblog ist prinzipiell ne Idee, nur kenne ich auch viele PCs, an denen aus Sicherheitsgründen die USB-Ports gesperrt sind.

@acn128 @kuketzblog Mit einen USB-Stick viele unterschiedliche PCs zu besuchen, ist aus Security-Sicht ja wahrscheinlich auch keine so gute Idee. 😉 Tatsächlich fällt mir dann nur noch ein, statt Passwörtern Passphrasen zu nutzen.

xkcd.com/936/

@m2c_n3e @acn128 @kuketzblog

Ich nehme auch vorzugsweise Passphrases, die kann man einfacher abtippen wenn man das doch mal braucht.

Auf der Kommandozeile kann man die mit keepass auch erzeugen:

$ keepassxc-cli diceware
unusual raider matchbox badness emu dealer daydream

(Bei "anspruchsvollen" Passwort-Checks muss man halt noch Sonderzeichen, Zahlen und/oder Großbuchstaben dazwischenstreuen - "unusual+raider4Matchbox badness emu dealer daydream" ist dennoch leichter zu tippen als z.B. "P^u~fW1X:MF]'RGew8O=")

#password #passwort #passphrase

@acn128 @kuketzblog finde bitwarden als Browser Erweiterung dafür gut. Einfach abmelden wenn man fertig ist.

@acn128 @kuketzblog
ja ;-)
Die Gegenrichtung ist übrigens komfortabler – Keepassx kann Dinge als QR anzeigen. Man braucht dann aber einen Barcodereader auf dem Handy, der seine Ergebnisse nicht ins Internet hochlädt. QR Droid (m.qrdroid.com/) ist einer, die Variante QR Droid Private unterlässt sogar den Zugriff auf Adressbuch und Filesystem.

@acn128 @kuketzblog Ich nutze Keepass und habe die Passwortdatenbank, synchron mit allen meinen Geräten, in meiner #Nextcloud liegen. An die kommt man dann auf fremden Systemen per Browser dran.

@stumpi @acn128 @kuketzblog Hast Du für die DB eine Schlüsseldatei als zweiten Faktor? Die dann natürlich nicht synchronisieren, sondern manuell auf die Endsysteme kopieren.

@kuketzblog Passwortmanager sind ja schön und gut. Was aber, wenn es das Programm mal nicht mehr gibt oder sich die verschlüsselte Datenbankdatei des PW-Managers nicht mehr öffnen lässt bzw. beschädigt ist?

Dann kommt man an die PW nicht mehr heran. Für dieses Problem habe ich leider noch keine Lösung.

Idee wäre eine mit PGP verschlüsselte CSV Datei.
Ich bin ja ein Fan von Bordmitteln.

@necrosis @kuketzblog
Ausdrucken für den Ernstfall. Ansonsten die Dateien migrieren und auf etablierte bzw. OpenSource-Lösungen setzen.

@necrosis @kuketzblog ich habe die Datei an verschiedenen Orten, da fehlt dann ggf. eine kleine Zahl an Passwörtern

@necrosis @kuketzblog Für das Dateiformat von Keepass gibt es mehrere freie Implementierungen. Die werden nicht plötzlich aufhören zu existieren.

Gegen korrupte Dateien hilft ein regelmäßiges Backup.

@necrosis @kuketzblog die Lösung ist wie so oft: nutze nur frei Software! Dann hast Du die Sicherheit, dass Du sie notfalls “selber” weiterentwickelt könntest, idR. wird es aber Weiterentwicklungen und Forks geben. Konkret: ich nutze #keepassxc, was aufbaut und kompatibel ist mit #keepass. Gibts für alle Plattformen und hat ne sehr große Verbreitung seit laaaaaanger Zeit. Damit wirst Du, im Gegensatz zu proprietärer SW, nicht in einer Sackgasse landen.

@necrosis @kuketzblog Nimm eine der drölf Keepass-Versionen. Deren Datenbankformat ist gut dokumentiert und kann jetzt schon von mehreren Programmen aus verschiedenen Projekten gelesen werden.

@necrosis @kuketzblog Spricht etwas gegen die Verwendung von KeePass? Es basiert auf einem offenen Format (XKDB) und es gibt (mehrere?) OSS Implementierungen. Gegen korrumpierte Dateien hilf eine Versionierung, oder zB. Time-Machine.

@necrosis Darum legt mein Manager regelmäßig mehrere Backups vorheriger Stände der Datenbank an. Und ich synce zwischen mehreren Geräten mittels syncthing. Mit Nextcloud ginge ja auch.

Und da ich meine PW-Datenbank ja täglich verwende halte ich es für unwahrscheinlich, dass von heute auf morgen und von mir völlig unbemerkt plötzlich keine Software-Lösung für das keepass-Format mehr da ist.

@necrosis
Open source Manager verwenden, dann kannst du im Zweifelsfall selber kompilieren. Wirst du aber nicht müssen, wegen open source. :ablobcatwink: eigentlich reicht ja auch ein offenes und verbreitetes Dateiformat.
@kuketzblog

@necrosis @kuketzblog Ich nutze eine Keepass-Datenbank, weil das Format recht breit unterstützt wird. Ich synchronisiere die Datenbank per NextCloud auf mehrere Geräte. Wenn die gesyncte Version kaputt sein sollte, kann man über die Versionierung der NextCloud auf die vorherige Version zurückspringen. Für mich funktioniert das so seit einigen Jahren recht gut. YMMV

@necrosis @kuketzblog

ich nutze seit Jahren pass. Das ist im Grunde einfach ein git repo in dem jedes Passwort als PGP verschlüsselte Datei gespeichert wird. passwordstore.org/

@necrosis @kuketzblog Und früher oder später hat die Backup-Funktion des on-board CSV-Editors die Passwörter irgendwo im Klartext hingelegt... ;-)

@necrosis @kuketzblog Ich oute mich als Passwortausdrucker... ab und an exportiere eine kbdx Datenbank als CSV in ein tmpfs, drucke sie mit lpr, shredde dann wie blöd drüber und remounte das tmpfs.

Schwachstelle hier ist die Kommunikation zum Drucker und der Drucker selbst. Moderne (Netzwerk-)Drucker sind da die Hölle. Ich bräuchte einen alten, "dummen" Drucker sollte das csv vorher zumindest in ein Bild umwandeln, oder?!

@necrosis @kuketzblog ist vielleicht an der Zeit, meinen Erben das Auffinden und Öffnen der Datenbanken beizubringen und ein diceware Passwort einzubläuen...

@kuketzblog Das mit den zufällig generierten langen Passwörtern ist aber so nicht ganz korrekt. Mit Passwortmanager ja, wenn man, aus welchen Gründen auch immer, dass nicht will oder kann, tun es seeeeeeeeeeeehr lange passphrases fast besser als komplizierte xkcd.com/936/

@kuketzblog Zu Deinen Software-Empfehlungen KeePassXc als Passwortmanager und Thunderbird als Email-Client gibt es ein mittlerweile brauchbares Addon keepassxc-mail, mit dem sich Email-Account-Passwörter in KeePassXC verwalten lassen.

Für normale Accounts funktionierts ganz ok, bei aktiviertem Autofill wird der Passwortdialog von Thunderbird automatisch gefüllt (flackert also beim Start von Thunderbird erstmal). OAuth-Credentials funktionieren aber eher unzuverlässig :/

github.com/kkapsner/keepassxc-

@kuketzblog Hast Du eine gute Idee für ein Backup eines selbstgehosteten bitwarden???
Ich denke immer wieder über einen Klartext Export nach, den ich in einen versteckten veracrypt Container legen will...

@newdefined@troet.cafe @kuketzblog@social.tchncs.de Wenn du Vaultwarden im Dockercontainer meinst, dann kannst du auch ein Backup deines gemounteten Volumes machen. Da ist alles verschlüsselt drin.

@morethanevil @kuketzblog Ähm ja, sorry meinte ich.
Dann brauche ich aber auch eine Dockerinstanz, um da dran zu kommen.
Meine Dockerinstanz läuft hier zuhause im Proxmox-Cluster.
Im Worst Case brauche ich Passwörter, aber die Einrichtung einer Dockerinstanz ist in der Prio ganz weit unten.. (oder ich habe gerade technisch keine Möglichkeit... )

@newdefined@troet.cafe @kuketzblog@social.tchncs.de Es ging um Backup, das ist damit erledigt. Wenn du unterwegs deine Passwörter brauchst, kannst du mit der Android App synchronisieren. Die funktioniert auch offline.

@morethanevil @kuketzblog Du hast Recht, aus dem Blickwinkel hatte ich das noch nicht betrachtet... Ich müsste dann die Passwörter evtl für den PC abtippen, aber das wäre verkraftbar... Das klingt zu einfach.. aber logisch..

@newdefined@troet.cafe @kuketzblog@social.tchncs.de Manchmal denkt man zu kompliziert. Schön wenn du jetzt eine Lösung für dich hast. Teste das aber unbedingt vorher einmal, nicht das du irgendeinen Stolperstein übersiehst 😃

@kuketzblog Ich benutze fast nur generierte Kennwörter in Kombi mit Keepass. 2Fa wo immer es geht.

@kuketzblog OKhöl^0W1Nn#$_lCO_7Hh@5Kk$"$hA_1riKüüUd[10Nqvs-äC5 👍

@nido Schönes Passwort, aber hiermit wohl "verbrannt". ;-)

@kuketzblog Schade. Ich wollte es gerade für das neue Passwort des Jahres vom Postillion einreichen. Es ist sicher und damit könnte es jeder nutzen. 😉

@kuketzblog vmtl für technisch versierter Menschen: eigene Domain, Wildcard emails einrichten und für jeden Account eine indivuelle Mailadresse verwenden.

Alternativ auch Email aliasse nutzen XYZ+alias@domain.tld

@kuketzblog Zum Glück sind wir davon abgekommen an solchen Tagen alle aufzufordern ihre Passwörter zu wechseln.

Vielleicht erreicht es dann auch irgendwann mal alle, dass das nicht mehr zeitgemäß ist.

@kuketzblog Man sollte hier aber einen kleinen Aspekt beachten: Authentisierung hat drei Wege: etwas, was man weiß (Passwort); was man hat (Token); oder was man ist (Biometrie). Alles ist für bestimmte Zwecke geeignet, für andere nicht. ein Passwort kann ich z.B. jemand sagen, der/dem ich vertraue (und hinterher ändern). Biometrie nimmt man, wenn genau das nicht gehen soll. Token ist bequem, kann aber verloren gehen. Passwort-Manager ersetzen 1. durch 2., der Folgen sollte man sich bewusst sein.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!