# Passwort Manager?



## McDrake (8. Januar 2013)

Tach

Ich bin auf der suche nach einem guten Passwort Manager.
Hat hier jemand damit Erfahrung?

Man dankt.


----------



## Vordack (8. Januar 2013)

PC oder Android oder IPhone?

PC nutze ich Keepas, welches sich auch mit Android nutzen lässt. (Appe kA)

Allerdings habe ich mir heute das App SecureSafe runtergeladen. Das speichert dei Daten Online und man kann sie von überall aus abrufen.

KeePass Password Safe

App-Test: SecureSafe - PCtipp.ch - Tests

Bis jetzt reicht mir das.


----------



## Herbboy (8. Januar 2013)

Also, ich mach es lieber so: ein Masterpasswort, das ich dann an bestimmten Stellen je nach Account mit einer leicht zu merkenden Regel ergänze.


Ganz vereinfacht gesagt: Masterpasswort zB pA55woR1, und ich setze dann zB den Anfangsbuchstaben des Dienstes, für den der Login ist, in Kleinschrift davor, den Endbuchstaben in Großschrift dahinter - zb für Steam wäre es dann spA55woR1M, für gmx wäre es gpA55woR1X, für pcgames wäre es ppA55woR1S usw. - oder umgekehrt: am Anfang Großschrift, am Ende klein. Oder in die Mitte schreiben. Oder oder oder... 

Du kannst natürlich auch so was machen wie zB in die MItte des Passwortes immer die ersten zwei Buchstaben des Account-Namens bzw der emailadresse oder so was - das ist nur dann blöd, wenn man für viele Dinge den gleichen Nickname verwendet.


----------



## chbdiablo (8. Januar 2013)

Herbboy schrieb:


> für pcgames wäre es ppA55woR1S



Funktioniert nicht. Name oder Passwort fasch.


----------



## McDrake (8. Januar 2013)

Herbboy schrieb:


> Also, ich mach es lieber so: ein Masterpasswort, das ich dann an bestimmten Stellen je nach Account mit einer leicht zu merkenden Regel ergänze.
> 
> 
> Ganz vereinfacht gesagt: Masterpasswort zB pA55woR1, und ich setze dann zB den Anfangsbuchstaben des Dienstes, für den der Login ist, in Kleinschrift davor, den Endbuchstaben in Großschrift dahinter - zb für Steam wäre es dann spA55woR1M, für gmx wäre es gpA55woR1X, für pcgames wäre es ppA55woR1S usw. - oder umgekehrt: am Anfang Großschrift, am Ende klein. Oder in die Mitte schreiben. Oder oder oder...
> ...



Im Grossen und Ganzen hab ich das auch.
Aber es ist trotzdem inzwischen recht unübersichtlich geworden (um die 30 Konten)
Auch weil einige Konten-Passwörter Sonderzeichen voraussetzen, andere die wiederum ablehnen.
Und inzwischen ist der Loginame ja in vielen Fällen die Emailadresse.
Also wenn das eine Passwort mal gehackt wurde, dann kann sich der Hacker relativ schnell die anderen Passwörter ausrechnen.

Es geht mir allerdings nicht unbedingt nur um die Sicherheit, sondern auch um den Komfort.
Jedes mal das ganze manuell eingeben ist halt auch mühsam.


----------



## Herbboy (8. Januar 2013)

McDrake schrieb:


> Im Grossen und Ganzen hab ich das auch.
> Aber es ist trotzdem inzwischen recht unübersichtlich geworden (um die 30 Konten)
> Auch weil einige Konten-Passwörter Sonderzeichen voraussetzen, andere die wiederum ablehnen.
> Und inzwischen ist der Loginame ja in vielen Fällen die Emailadresse.
> Also wenn das eine Passwort mal gehackt wurde, dann kann sich der Hacker relativ schnell die anderen Passwörter ausrechnen.


 Gibt es echt Anbieter, die Sonderzeichen NICHT zulassen? Zur Not ginge ja auch ein Masterpasswort mit nem !, und bei den Seiten, die keine SOnderzeichen akzeptieren, stattdessen eine 1. Selbst wenn Du DIr nicht merken kannst, welcher ANbieter nun mit oder ohne Sonderzeichen arbeitet: 1x fehl-Login, dann weißt du ja fürs 2. mal, was Du nehmen musst


----------



## Vordack (8. Januar 2013)

Herbboy schrieb:


> Also, ich mach es lieber so: ein Masterpasswort, das ich dann an bestimmten Stellen je nach Account mit einer leicht zu merkenden Regel ergänze.
> 
> 
> Ganz vereinfacht gesagt: Masterpasswort zB pA55woR1, und ich setze dann zB den Anfangsbuchstaben des Dienstes, für den der Login ist, in Kleinschrift davor, den Endbuchstaben in Großschrift dahinter - zb für Steam wäre es dann spA55woR1M, für gmx wäre es gpA55woR1X, für pcgames wäre es ppA55woR1S usw. - oder umgekehrt: am Anfang Großschrift, am Ende klein. Oder in die Mitte schreiben. Oder oder oder...
> ...


 
Blöd nur wenn man alle x Tage daß PW erneuern muss


----------



## Herbboy (8. Januar 2013)

Vordack schrieb:


> Blöd nur wenn man alle x Tage daß PW erneuern muss



Wo muss man das denn außer vlt als firmeninterne Anweisung? Ich kenne keinen Service, der das verlangt... ^^


----------



## th_h_hexley (9. Januar 2013)

McDrake schrieb:


> Tach
> 
> Ich bin auf der suche nach einem guten Passwort Manager.
> Hat hier jemand damit Erfahrung?
> ...



Ich benutze seit etwa 2 Jahren 1Password. Bin damit zufrieden. https://agilebits.com/onepassword

Eines der wichtigsten features für mich ist die Möglichkeit, mit dem Browser die verschlüsselte Datei mit den Kennwörtern zu öffnen, sollte man an einem Gerät sein, auf dem man das Programm nicht installiert hat. Synchronisiert über dropbox, wenn man will.

Als kostenlose open source Alternative gibt es KeePass, habe damit aber keine Erfahrung.


----------



## Worrel (9. Januar 2013)

Herbboy schrieb:


> Also, ich mach es lieber so: ein Masterpasswort, das ich dann an bestimmten Stellen je nach Account mit einer leicht zu merkenden Regel ergänze...


 Wenn die Regel aber zu leicht zu erkennen ist, ist es dasselbe, als ob du identische Passwörter verwendest.

Achja: Ich verwende Keepass, dessen Datei ich im Dropbox Ordner speichere.


----------



## Vordack (9. Januar 2013)

Herbboy schrieb:


> Wo muss man das denn außer vlt als firmeninterne Anweisung? Ich kenne keinen Service, der das verlangt... ^^


 
Fällt mir spontasn auch keiner ein. Hab kürzlich mein D3 PW ändern müssen weil es gehackt wurde.

Auf der Firma habe ich aber locker 10 Passwörter, da lohnt sich so ein Programm wie Keepass echt, gerade wegen der PW-Eingabe die ich spare. Hört sich vielleicht blöd an, aber so spare ich mir den Aufwand mir die PW merke/eingeben zu müssen und kann mich mehr auf Arbeit konzentrieren 

Viele meinen jetzt bestimmt "ahhh, Du übertreibst, sind doch nur Sekunden am Tag". Klar, aber wenn man grundsätzlich so "tickt" dann spart man bei fast jedem Arbeitsablauf (nicht nur wg den Passwörtern, man tickt ja generell so) wertvolle Minuten ein so daß man am Ende des Tages merkbar mehr Zeit hatte.


----------



## Herbboy (9. Januar 2013)

Worrel schrieb:


> Wenn die Regel aber zu leicht zu erkennen ist, ist es dasselbe, als ob du identische Passwörter verwendest.


 wieso? Dann muss doch erst Mal einer wissen, welche Accounts mir gehören, DANN noch wissen, dass ich vlt so eine Regel anwende, UND er muss erst mal eines der eh schon schwer zu knackenden Passwörter UND dort auch feststellen, an welchen Stellen ich die Regel anwende. Natürlich muss das Masterpasswort selbst schon nicht zu leicht zu knacken sein - es darf natürlich nicht zB einfach nur der Nachname des Users rückwärts geschrieben sein, und die Regel setzt einfach nur am Anfang der jeweiligen Accounts den Anfangsbuchstaben des Dienstes hin, zu dem der Account gehört, zB s für Steam, t für T-Mobile usw. 


Aber die besten Passwörter nutzen nix, wenn erstmal die email-Adresse geknackt wird. Dann könnte einer natürlich wiederum dort schauen, wo ich evlt noch überall nen Account habe (Shop-Newsletter, Spielehersteller-Newsletter, Bestellbestätigungen usw. ) und dort einfach auf "Passwort vergessen" gehen, sich ein neues Passwort an meine email-Adresse zusenden lassen und es mit meiner geknackten Adresse aufrufen.Dann hätte er gleich mehrere meiner Accounts, die er auf sich "umschreiben" könnte - das hat aber rein gar nicht mit der Passwortmethode zu tun, denn auch wenn Du für die anderen Accounts VÖLLIG andere Passwörter hast, nutzt das nix, sobald ein Bösewicht eben nur die email geknackt hat und die Accounts zu der Adresse zurückverfolgbar sind.


----------



## Worrel (9. Januar 2013)

Herbboy schrieb:


> er muss erst mal eines der eh schon schwer zu knackenden Passwörter [knacken]


... oder eine entsprechende Seite hacken, die schlimmstenfalls die Passwörter im Klartext speichert.

Somit hat der Hacker eine *Nickname *+* E-Mail* +* Passwort* Kombination, ggfalls mit weiteren Daten, schlimmstenfalls mit einem verknüpften Facebook Profil, mit dem _PCGames, Amazon, Deutsche Bank München_ ... ge-liked wurden ...

Bei "gblablubb§$%§4567x" könnte man schon recht schnell darauf kommen, daß "g" und "x" für "GMX" stehen und entsprechend versuchen, sich mit E-Mail + "ablablubb§$%§4567n" bei Amazon anzumelden.



Herbboy schrieb:


> wieso? Dann muss doch erst Mal einer wissen, welche Accounts mir gehören,


Je nachdem, welche Infos der Hacker hat. 
Hierbei nicht zu vergessen, wie viele wertvolle Informationen in so einem Forum wie diesem schlummern (einfach mal die Beiträge eines Users anschauen und man bekommt eine Menge an interessanten Daten)

Dann gibt es natürlich noch die Standard Accounts, die man mit der E-Mail und passend geändertem Passwort abklappern könnte - _Amazon, Facebook, Web.de, GMX, YouTube, WoW, Steam, Origin, Deutsche Bank, Sparkasse, Paypal_, ...



> noch wissen, dass ich vlt so eine Regel anwende,


Nun ja, jetzt, wo du es hier geschrieben hast ...  

Bei der Menge an Passwörtern, die man heutzutage anlegt, ist davon auszugehen, daß sich jeder seine Eselsbrücken gebaut hat.
Und da Passwörter-Knacken ja mitunter deren "Beruf" ist, werden die auch dementsprechend Erfahrung haben und zB zu dem Passwort "L1bd5" analoge Passwörter generieren können. (Auflösung weiter unten)



> ... dort auch feststellen, an welchen Stellen ich die Regel anwende.


Blindes Korn, ick hör dir trapsen. 

Wenn einer relativ viel zu Hardware schreibt, wird halt_ Alternate.de_ mit ausprobiert, schreibt einer viel zu Musik, der _iTunes _Account.



> Natürlich muss das Masterpasswort selbst schon nicht zu leicht zu knacken sein - es darf natürlich nicht zB einfach nur der Nachname des Users rückwärts geschrieben sein, und die Regel setzt einfach nur am Anfang der jeweiligen Accounts den Anfangsbuchstaben des Dienstes hin, zu dem der Account gehört, zB s für Steam, t für T-Mobile usw.


Das hilft aber nur gegen Brute Force Methoden, wenn jemand Zugriff auf eine Account Datenbank hat oder dir einen Keylogger unterjubelt, nützen dir die ausgefeiltesten Passwörter nix.



Auflösung:
L1bd5 - "Luke, ich bin deinVater" - das "i" und "V" als Wert der römischen Zahlen ersetzt.
ein analoges Passwort wäre zB:
Dkn5F1N - "Du kannst nicht vorbei. Flieht, ihr Narren"


btw:



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Herbboy (9. Januar 2013)

Worrel schrieb:


> Bei "gblablubb§$%§4567x" könnte man schon recht schnell darauf kommen, daß "g" und "x" für "GMX" stehen und entsprechend versuchen, sich mit E-Mail + "ablablubb§$%§4567n" bei Amazon anzumelden.


 das war ja nur ein ganz simples Beispiel, um es zu veranschaulichen. Wenn Du statt des 1. und letzten zB den 2. und letzten Buchstaben nimmst, oder den 1. und vorletzten, vlt auch noch um 2 Buchstaben im Alphabet versetzt (also für zB alternate halt statt a ein c und statt e ein g), wird es quasi unmöglich, da draufzukommen,




> Wenn einer relativ viel zu Hardware schreibt, wird halt_ Alternate.de_ mit ausprobiert, schreibt einer viel zu Musik, der _iTunes _Account.


 mit "an welcher Stelle" meinte ich die Stelle im Passwort, an der mal die Regel anwendet. Wenn Du das og. beachtest und dann auch noch nicht einfach am Anfang und am Ende das Masterpasswort ergänzt, sondern zB bei nem Masterpasswort h1Tz48&!5jlR8iJd#T die Buchstaben "nach der 4 " und "nach dem R" platzierst, wird es noch sicherer. Da muss dann einer schon ZWEI Deiner Passwörter knacken und dann im Vergleich merken, an welcher Stelle die sich unterscheiden, dann auch noch nachdenken und testen... also sorry: da haben es "Hacker" woanders viel leichter, da verschwenden die doch keine Zeit für  wenn man jetzt Geheimnishüter wichtiger Firmen-Interna wäre, ist das was anderes - aber für 99% der User ist ein eigenes Passwort, das je nach Einsatz leicht abgeändert wird, völlig ausreichend.




> Das hilft aber nur gegen Brute Force Methoden, wenn jemand Zugriff auf eine Account Datenbank hat oder dir einen Keylogger unterjubelt, nützen dir die ausgefeiltesten Passwörter nix.


das ist sowieso klar, da nutzen dann aber auch Passworttools einen Dreck 


PS: die Aussage des Bildes ist nicht so ganz richtig, denn man "scannt" doch als "Hacker" idR zuerst nach realen Wörtern, d.h ich würd den Satz noch mit Zahlen und groß+kleinschrift variieren


----------



## Rabowke (30. Januar 2013)

Herbboy schrieb:


> [...]
> PS: die Aussage des Bildes ist nicht so ganz richtig, denn man "scannt" doch als "Hacker" idR zuerst nach realen Wörtern, d.h ich würd den Satz noch mit Zahlen und groß+kleinschrift variieren


 Absolut richtig ... in der letzten c't war diesbzgl. ein Artikel, wo es um Passwortsicherheit ging. Sehr interessant und auch sehr erschreckend. Wie du richtig meintest, die Hacker nutzen vorgefertigte Wörterbücher. Was lustig klingt, sind Sammlungen von Wörtern jeder Sprache *und *bereits gehackte und/oder erbeutete Passwörter.

Um das mal mit Zahlen und Fakten zu hinterlegen, Copy'n'Paste des c't Artikels:

_Auch Jens Steube knackt mit Hilfe von AMD-Karten. Er setzt auf zwei Radeon HD 6990, die beispielsweise 40 Milliarden Single-NTLM-Hashes (Windows-Passwörter) pro Sekunde testen können. Doch das ist noch nichts Besonderes. Beinahe zehnmal so schnell ist ein Anfang Dezember im Rahmen der Konferenz Passwords^12 vorgestellter Cluster mit insgesamt 25 AMD-Karten verteilt auf fünf per Infiniband verbundenen Maschinen. Das Resultat: Eine speziell angepasste Hashcat-Variante bringt es auf beeindruckende 348 Milliarden NTLM-Hashes pro Sekunde. Für das Entschlüsseln eines acht Zeichen langen Windows-Passworts würde der Verbund somit zirka  fünfeinhalb Stunden benötigen. Ein mit dem NTLM-Vorgänger LM gesichertes, 14 Zeichen langes Windows-XP-Kennwort entschlüsselt der Cluster in knapp sechs Minuten._

Was das Thema reale Wörter und scheinbarer (!) Buchstabensalat betrifft:
_Doch nicht nur die Hardware, auch die eingesetzte Software hat sich in den letzten Jahren deutlich verbessert – mit dem Resultat, dass heutzutage selbst scheinbar sichere Passwörter wie „poIU09*&l1nk3d1n“ geknackt werden. Fast alle Angriffe beruhen mittlerweile auf Wörterbüchern. Ausgangsbasis für ein Cracker-Wörterbuch ist jeweils ein herkömmliches Wörterbuch wie der Duden; im Netz finden sich Wortsammlungen aller möglichen Sprachen. Nach und nach werden die Einträge von den Passwort-Freaks durch de facto geknackte Passwörter ergänzt beziehungsweise ersetzt. Daher sind Hash-Leaks wie der von LinkedIn so wertvoll für die Cracker. Ein besonderer Glücksfall für die Szene war der Hack der Nutzerdatenbank von RockYou Ende 2009. Stolze 32 Millionen Einträge mit Nutzerdaten standen zur Verfügung. Das Besondere: Die Passwörter waren nicht verschlüsselt, es galt also keine Hash-Werte zu knacken. Vielmehr wanderte die riesige Sammlung im Klartext in die Wörterbücher von legalen und illegalen Hackern. Steubes eigene Wörterbücher umfassen derzeit zirka 110 Millionen Wörter – seiner Einschätzung nach eine vergleichsweise bescheidene Sammlung. Aber die Liste ist auch nur der Ausgangspunkt für die viel ausgefeilteren Angriffe, auf deren Konto die Mehrzahl der geknackten, echten Passwörter gehen. Die klassische Wörterbuchattacke, bei der ein Tool wie John the Ripper jeden Eintrag einzeln und unverändert gegen den jeweiligen Hashwert des Passworts testet, wird dabei nur noch zur Initialisierung der eigentlich relevanten Knackroutinen benötigt._

Wenn man das so liest, macht das mit seinen Passwörtern irgendwie keinen Spass mehr. 

Der Artikel bietet viel mehr Wissen und Grundlagen, dass z.B. mit Wahrscheinlichkeiten gearbeitet wird, d.h. bei nonsens Passwörtern wie "ohiijhijiohophg00fkjti59" werden auch nahe Buchstaben geprüft, d.h. die Wahrscheinlichkeit, dass in i hinter oder vor einem o ist, ist relativ hoch.

Übrigens, als Abschluss ... solche irrwitzigen Berechnungen pro Sekunde funktionieren nur Offline. D.h. der Hacker muss die verschlüsselte Datenbank lokal auf seinem Rechner haben, bei Einsatz moderner Hash Algorithmen, kann die Entschlüsselung 'künstlich' verzögert werden. TrueCrypt setzt das z.B. ein:
_Gute Programme wie Truecrypt verwenden Algorithmen wie PBKDF2, sodass etwa das Tool TCHead bei einem verschlüsselten Container gerade mal ein paar Tausend Passwörter pro Minute durchprobieren kann. Damit hat man keine Chance, ein halbwegs vernünftiges Passwort zu knacken – zumindest nicht ohne zusätzliche Hinweise, die die Suche deutlich einschränken.

_Achso, eigentlich wollte ich keinen Text schreiben ... sondern mich auch nach Programmen erkundigen, die die Daten auf dem PC *und* iOS synchron halten und auch auf mobilen Endgeräten entschlüsseln & natürlich auch auf anderen Desktopsystem, wie z.B. meinem Arbeits-PC, genutzt werden können.Dieses 1Password sieht ganz gut aus, da werde ich wohl mal einen Blick riskieren. Übrigens, was ich als "Quelle" für mehr oder minder sichere Passwörter empfehlen kann: die 2 Wege Auth. von Google. Die dort erstellten Passwörter könnte man nutzen als Grundlage für diese Automatiktools, denn an die Passwörter kann sich garantiert niemand erinnern!


----------



## Rabowke (31. Januar 2013)

*push*

Die *eigentliche* Frage hat immer noch Bestand!


----------



## Keksautomat (8. Februar 2013)

Früher habe ich auch ausgedachte Passwörter genutzt, doch seit neustem (paar Monaten) nutze ich ausschließlich KeePass. Mit einem Masterpassword verschlüsselt (was ich immer im Kopf habe), komme ich an alle darin enthaltenen Passwörter. Ob das Passwort für dieses Forum oder für meinen Steam Account. Alles darin und ich brauch mir keine Gedanken machen, dass mein Account irgendwo mal "gehackt" wird. (Es sei denn der Anbieter verschlüsselt das Passwort nicht in seiner Datenbank)


----------



## Vordack (8. Februar 2013)

Herbboy schrieb:


> Wo muss man das denn außer vlt als firmeninterne Anweisung? Ich kenne keinen Service, der das verlangt... ^^


 
Und wieso soll ich mich auf Arbeit an einen PW Manager gewöhnen de die Arbeit vertraut und privat einen anderen verwenden?

Ich weiss, die Antwort kommt spät, aber sie kommt


----------

