Die Inventor FAQ wird unterstützt von:

Inventor FAQ Logo

21.01.2019

Sichere, einmalige Passwörter verwenden und verwalten mit Keepass, Anmeldedaten gegen Leak-DB checken und 2-Faktor Authentifizierung [Windows]

In letzter Zeit gibt es viele Berichte zu geleakten Informationen und Millionen veröffentlichter Passwörter. Mit einem Wort: Die Lage ist Ernst! Zum Thema (Passwort-)Sicherheit im Internet gibt es schon eine Menge Infos. Hier die Dinge, die ich mache:

2-Faktor Authentifizierung

imageBeim Zugriff auf einen Internetdienst die Facebook, Amazon oder Google braucht man mindestens einen Benutzernamen und ein Passwort. Kommt ein böser Hacker (oder ein andere Trottel) an diesen Informationen, ist der Zugang kompromittiert, was verdammt schlecht ist. Bei wichtigen Accounts und Dienste, die ich nutze, habe ich überall die 2-Faktor Authentifizierung aktiviert. Das heißt nichts anderes, als das ich beim Zugriff auf eine solchen Dienst neben dem Benutzernamen und Passwort einen Code benötige, der vom Dienst – in meinem Fall möglichst per SMS – zur Verfügung gestellt wird.

Anders, als kürzlich in einer Talkshow behauptet wurde, ist der Prozess nicht bei jeder Anmeldung etwas kompliziert sondern die Anmeldung kann gespeichert werden, d.h. es ist eben nicht immer ein Code notwendig!

Welche Dienste 2-Faktor Authentifizierung anbieten, findet ihr auf dieser Seite: https://twofactorauth.org/

image

Komplexe, einzigartige Passwörter

Passwörter sollten komplex (lang, ohne System (also keine Wörter) und mit Sonderzeichen) sein, in keiner geleakten Passwortliste auftauchen und für jede Webseite unterschiedlich sein. Das bedeutet aber auch, dass man, wenn man 200 Zugangsdaten zu Webdiensten hat, 200 unterschiedliche (und dazu komplexe) Passwörter merken muss. Um dem Problem zu begegnen, muss man irgend ein Hilfsmittel nutzen.

Passwörter verwalten

Um sich diese vielen Passwörter nicht alle merken zu müssen, sollte man einen Passwortmanager nutzen. Es gibt da eine ganze Menge wie 1Password, LastPass usw. Ich nutze das kostenlose Opensource-Tool Keepass. Keepass verwaltet die die Zugänge zu den Webdiensten in einer verschlüsselten Datenbank, die mit einem Masterpasswort (und anderen Mechanismen wie eine Schlüsseldatei) geschützt ist.

image

Anleitungen für Keepass gibt es im Internet eine ganze Menge, zum Beispiel diese. Keepass-Clienst gibt es u.a. auch für Android. Die Keepass-Datenbank tausche ich hierbei mittels Google Drive automatisch zwischen den verschiedenen PCs/Tabletts/Smartphones aus. Die Datenbank ist ja über ein Passwort geschützt und in meinem Fall über eine Schlüsseldatei, die selbst nicht in Google Drive liegt. Sollte also ein Angreifer 1. Zugriff auf Google Drive habe und 2. mein Masterpasswort kennen nutzt ihm das nichts, weil er nicht an die Schlüsseldatei (die natürlich sicher gespeichert werden muss!) kommt, die einmalig manuell auf alle Geräte kopiert werden muss.

image

Der Passwortmanager speichert nicht nur die Logindaten sondern generiert auch für eine Neuanmeldung (oder Passwortänderung) starke, einmalige Passwörter

image

Wer Keepass einsetzt, sollte – falls er es auf mehreren Geräten nutzen will – IT-affin sein, weil doch das eine oder anderen manuell zu erledigen ist wie Synchronisation des Datenbank zwischen Geräten, Automatismen einrichten mittels Plugins usw. Das ist alles nicht wirklich kompliziert, aber man sollte ein bisschen Spaß am “Computer basteln” haben.

Komfortabler sind kostenpflichtige Dienste wie Lastpass o.a. (sie Link oben).

Tauchen mein Emailadressen (oder Passwörter) in Passwordleaks auf?

Es gibt Internetdienste, über die man prüfen kann, ob die eigene Benutzername/Emailadresse in gestohlenen Listen auftaucht. Der bekannteste Dienst ist https://haveibeenpwned.com/. Über den Punkt “Notify Me” oben kann man sich benachrichtigen lassen, falls die eigene Emailadresse in neuen Veröffentlichungen auftaucht.

image

Um alle seine Logindaten aus Keepass gegen die Have i Been Pwned Datenbank zu prüfen, gibt es ein Keepass Plugin https://github.com/andrew-schofield/keepass2-haveibeenpwned. Und sollte jetzt einer fragen: “Ist es den schlau, seine Passwörter aus Keepass alle an einen Onlinedienst zur Überprüfung zu schicken?” dem sei gesagt: Das Plugin schickt gekürzte Hashwerte und keine Passwörter. Das sagen die Programmierer dazu:

This checker sends a small portion of the password hash to HIBP and then checks the full hash locally against the list of hashes returned by HIBP. This service does not send your password, nor enough of the hash to expose your password to HIBP.

Zusammenfassung

Das hört sich jetzt vielleicht alles kompliziert an, ist aber – wenn mal alles eingerichtet ist – sogar viel komfortabler, als sich irgendwelche Daten zu merken. Über Keepass Browser-Plugins geht das Anmelden dann aber sogar schneller, als wenn man sich alles merken muss. Die 2-Faktor Authentifizierung ist meines Erachtens – neben eindeutigen komplexen Passwörtern – die Möglichkeit, seine Accounts abzusichern. Und über Have I Been Pwned kann man schnell schauen, wo bereits Logininfos von einem gestohlen wurde.

Was ist also zu tun:

  1. 2-Faktor Authentifizierung wo immer möglich aktivieren
  2. Sichere, einzigartige Passwörter verwenden und dies mit einem Passwortmanager verwalten
  3. Prüfen, ob und wo bereits die Login-Daten geleakt wurde

Keine Kommentare:

Kommentar veröffentlichen

War der Beitrag hilfreich oder hast du eine Ergänzung dazu?
Ist noch eine Frage offen?
Ich freue mich auf deine Rückmeldung!

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Related Posts Plugin for WordPress, Blogger...
Inventor FAQ Newsletter. Emailadresse: