Frage:
Passwort-Manager gegen das Speichern von Passwörtern
KilledKenny
2011-04-30 18:10:02 UTC
view on stackexchange narkive permalink

Ich habe immer gedacht, dass Sie keinen Passwort-Manager verwenden sollen, sondern Ihre Passwörter im Kopf behalten sollen, aber in letzter Zeit habe ich über die Vor- und Nachteile eines Passwort-Managers nachgedacht.

Einige Bereiche könnten sein: Passwortlänge, Verhinderung von Schlüsselloggern, Entropie zwischen Passwörtern, Zugänglichkeit.

(Ich frage nicht , wie man ein hartes, aber einprägsames Passwort erstellt! Es könnte ein Teil davon sein der Lösung, aber nicht die ganze Frage.)

Schließlich gibt es eine Möglichkeit, sie zu kombinieren: Behalten Sie eine Hälfte im Manager und geben Sie die andere ein, um Key Logger zu vermeiden.

Vier antworten:
#1
+47
Rakkhi
2011-05-02 11:57:57 UTC
view on stackexchange narkive permalink

Ich schrieb im letzten Jahr über die Vor- und Nachteile von Passwort-Managern:

Vorteile:

  • Hervorragendes Gleichgewicht zwischen Komfort und Sicherheit - Menschen wählen in der Regel einfache Passwörter und verwenden dasselbe Passwort (oder dieselbe Basis) wieder, weil es so viele davon gibt und Sie sie so oft eingeben müssen. Mit 1Password oder Lastpass können Sie ein wirklich sicheres Passwort generieren (zumindest für Ihre kritischen Konten), es aber dennoch automatisch ausfüllen oder zumindest verfügbar auf Ihrem Telefon notieren lassen. Ein echter Vorteil liegt auch in geheimen Fragen. Dies ist häufig eine Schwachstelle, an der ein wirklich starkes Passwort ein Wörterbuch aus 5 Buchstaben als geheime Frage enthält. Sie können jetzt auch starke geheime Fragenantworten generieren.

  • Portabilität - Das Problem bei der Verwendung der Funktion zum Speichern des Kennworts in Ihrem Browser besteht darin, dass dies nicht der Fall ist, wenn Sie sie nicht mit einer Google- oder Firefox-Synchronisierung kombinieren tragbar. Selbst dann ist es derzeit nicht auf Ihrem Telefon verfügbar (zumindest nicht auf dem iPhone, nicht sicher, ob der Android-Browser über Google Sync verfügt).

  • Sicherer Speicher - Ihre vertraulichen Informationen werden verschlüsselt Speicherung und durch ein Master-Passwort geschützt. Dies ist viel besser, als es nur irgendwo zu schreiben oder in einer Notiz oder einer unverschlüsselten Tabelle zu speichern.

  • Nicht nur für Passwörter - Sie können Bankdaten, Versicherungsnummern, Kreditkarten und Reisepässe speichern Zahlen usw., die Ihnen Zeit bei der Eingabe dieser Details sparen und Ihnen einen sicheren Zugriff auf die Details beim Umzug ermöglichen. Sie können auch Dateien wie Scans Ihrer Dokumente oder Ihrer privaten Schlüssel speichern.

  • Verbessern Sie Ihr Gedächtnis - auf Websites, die ich kaum benutze, und auf Regierungsseiten mit diesen komplizierten Benutzernamen, an die ich mich nie erinnern kann diese Details. Starten Sie das iPhone, 1Password und alles, was Sie zur Hand haben, mit der einfachen Suche

  • Die Leute fügen dieser Liste auch Anti-Phishing / Anti-Malware hinzu, aber dieser Liste stimme ich nicht zu. Sie müssen noch Ihr Hauptkennwort eingeben, das von Malware erfasst werden kann. Wenn Sie es auf Ihrem Telefon haben, und das Kennwort erneut eingeben, kann es erfasst werden. Wenn Sie Websites mit dem Tool starten, könnte dies ein Anti-Phishing-Vorgang sein. Dies entspricht jedoch der direkten Eingabe oder Verwendung Ihrer Lesezeichen.

Nachteile: stark>

  • Single Point of Failure, Schlüssel zum Königreich - Wenn Sie Ihren Schlüsselbund mit Ihrem Telefon synchronisieren oder auf Ihrem Desktop oder Laptop haben, können einige darauf zugreifen. Wenn Ihr Master-Passwort schwach ist, verlieren Sie alles auf einmal. Soweit mir bekannt ist, bietet 1Password keine hardwarebasierte Zwei-Faktor-Authentifizierungsoption für das Hauptkennwort an, die das Risiko hierfür erheblich verringern würde. Lastpass bietet die Verwendung eines Yubikey als Zwei-Faktor-Mechanismus an. Da Lastpass jedoch über eine Webanwendung verfügt, kann es zu Schwachstellen in Webanwendungen (z. B. XSS) kommen, die dazu führen können, dass Ihre Kontodaten und im schlimmsten Fall Kennwörter offengelegt werden.

  • Allgemeine Geschäftsbedingungen - Es wird technisch immer noch ein Passwort aufgeschrieben. Dies verstößt möglicherweise gegen die Allgemeinen Geschäftsbedingungen für Dinge wie Ihre Internet-Banking-Website. Dies kann den Schutz, den Sie im Falle eines Betrugs erhalten, verringern oder aufheben. Sie können dies jederzeit überprüfen und das Kennwort für diese Websites nicht speichern.

  • Vertrauen in die Cloud - es soll im Speicher verschlüsselt sein, aber wenn Sie die Daten synchronisieren, werden einige Personen dies tun Vertrauen Sie niemals darauf, dass 1Password oder Lastpass keine Hintertür haben, was möglicherweise einem böswilligen oder verärgerten Mitarbeiter den Zugriff ermöglicht. Alle Software weist Schwachstellen auf. Auch hier kann eine schwerwiegende Sicherheitsmaßnahme einem Angreifer den Zugriff auf Ihre Daten ermöglichen.

Eine weitere Option ist die Verwendung eines Kennwort-Tresors, der auf einem hardwareverschlüsselten Gerät wie einem Ironkey gespeichert ist. In den Versionen ist ein Passwort-Manager geladen. Dies ist etwas unpraktischer, da Sie ihn an ein USB-Laufwerk anschließen und Lesezugriff darauf haben müssen, aber er ist definitiv sicherer. Es mindert einige der oben genannten Risiken, ist hardwareverschlüsselt und nur auf Ihrem Gerät gespeichert. Auch wenn sich Ihr Ironkey an Ihrem physischen Schlüsselbund befindet, ist die Wahrscheinlichkeit, dass Sie ihn verlieren, weitaus geringer als bei Ihrem Telefon oder Laptop. Sie können es auch aus der Ferne zerstören, wenn Sie es schaffen, es zu verlieren.

Für die Online-Remote-Zerstörung benötigen Sie die Unternehmensversion des Schlüssels. Die Remote-Zerstörung ist eine Funktion in der Verwaltungskonsole. Wenn der Schlüssel eingesteckt ist, ruft er nach Hause. Wenn die Zerstörung aktiviert wurde, wird sie in diesem Stadium unbrauchbar und alle Daten gehen effektiv verloren (glauben Sie, indem Sie die Entschlüsselungsschlüssel wegwerfen). Es gibt auch einen Offline-Modus (ähnlich einem iPhone), in dem Sie festlegen können, dass er sich nach 10 fehlgeschlagenen Hauptkennwortversuchen automatisch selbst zerstört.

Fazit

Insgesamt glaube ich, dass die Vorteile die Nachteile überwiegen. Wenn Sie keine Option für die Zwei-Faktor-Authentifizierung haben, ist ein sicheres Kennwort Ihre einzige Verteidigung. Die Verwendung eines Passwort-Tresors macht dies nur viel praktischer und bequemer.

Es gibt keinen Grund, warum Sie nicht die Hälfte des Passworts in einem Passwort-Manager behalten und sich an den Rest erinnern könnten, es würde es für a schwieriger machen Key Logger zum Erfassen Ihres Passworts, jedoch lohnt sich der Kompromiss für die Benutzerfreundlichkeit möglicherweise nicht. Eine bessere Option ist möglicherweise die Verwendung von zwei Faktoren für Ihre wirklich vertraulichen Informationen und eines Passwort-Managers für den Rest

+1 Dies ist definitiv wahr - der einzige Punkt des Scheiterns, Schlüssel zum Königreich. Wenn Sie die Art von Person sind, die gerne alle Eier in einem Korb aufbewahrt und diesen Korb wie ein Falke beobachtet, ist ein Passwort-Manager wahrscheinlich für Sie. OTOH, wenn Sie die Art von Person sind, die sich gerne gegen ihre eigene Unfähigkeit schützen möchte, indem Sie ihre Eier in mehreren schlecht gesicherten Körben aufbewahren, vermeiden Sie Passwort-Manager.
Der heutige Vorfall in den Nachrichten (05. Mai 2011) hebt diesen zentralisierten Risikopunkt hervor: http://blog.lastpass.com/2011/05/lastpass-security-notification.html
Sie sagen, Yubikey würde Sie schützen, mehr Unterstützung für die Verwendung der Zwei-Faktor-Authentifizierung für das Hauptkennwort, wenn Sie einen Kennwortmanager verwenden
@Rakkhi: Können Sie klären, wie Sie den Inhalt eines IronKey aus der Ferne zerstören können?
@jrdioko fügte hierzu weitere Einzelheiten hinzu.
@Rakkhi: Danke! Ich habe die Enterprise Edition nicht ausgecheckt.
für Portabilität - mit Chrome für iOS ist dies jetzt auf dem iPhone verfügbar. Kennwörter werden geräteübergreifend synchronisiert, einschließlich iPhones.
Verpasste eine Reihe von Passwort-Managern - zu einfach, um Passwörter in Nicht-Passwort zu ändern, sodass Sie auf der Website vollständig zurückgesetzt werden müssen.
#2
+8
user1971
2011-05-02 08:19:32 UTC
view on stackexchange narkive permalink

Wenn jemand Ihre Box gerootet hat, kann er Ihre Passwörter mit nicht allzu viel Aufwand von beiden Methoden abrufen. Sie können Ihre Kennwortdatei für den Kennwortmanager und das Kennwort für diese Datei über einen Keylogger abrufen. Wenn Sie nur gespeicherte Kennwörter verwenden, werden diese im Laufe der Zeit erfasst, wenn Sie sie eingeben.

Wenn jemand physischen Zugriff auf Ihren Computer hat, um einen Keylogger zu installieren und abzurufen, kann er sich bei Ihrem Computer anmelden wenn sie längere Zeit physischen Zugriff haben. Wenn sie nicht genug Zeit dafür haben, sind Sie mit dem Passwort-Manager sicherer, da sie nicht über Ihre Passwortdatei verfügen (nur das Passwort dafür). Wenn sie Zeit haben, Root-Zugriff auf Ihre Box zu erhalten und den Remotezugriff nach Belieben zu ermöglichen, befinden Sie sich an derselben Position wie im ersten Absatz.

Wenn Sie so darüber nachdenken, Es gibt sehr wenig oder gar nichts, was das Auswendiglernen über Passwort-Manager hält. Und dass Sie und Ihre Passwörter abgespritzt werden, wenn jemand, der schändlich ist, physischen Zugriff hat ODER Ihren Computer remote rooten kann. Das Verhindern dieser beiden Angriffe ist der Schlüssel.

Sie benötigen zunächst eine gute physische Sicherheit, um physische Angriffe zu verhindern. Dann müssen Sie Remoteangriffe verhindern - eine gute Netzwerkperimetersicherheit implementieren, ein Minimum an Diensten aktivieren und gute Sicherheitspraktiken für diejenigen anwenden, für die Sie keine andere Wahl haben als zu aktivieren. Üben Sie außerdem sichere Surfgewohnheiten, halten Sie Ihren Computer regelmäßig auf dem Laufenden usw., d. H. Die vorbeugenden Maßnahmen, die verhindern, dass Sie überhaupt verwurzelt werden. Und Sie benötigen Backups, falls Sie verwurzelt sind. Wenn Sie verwurzelt sind, sollten Sie davon ausgehen, dass Sie jedes Kennwort ändern müssen, unabhängig davon, ob Sie einen Kennwortmanager verwenden oder nicht.

Das einzige, was Sie IMO durch das Auswendiglernen kaufen, ist vielleicht eine Weile, bis jemand Ihre wichtigen Passwörter protokolliert. Sie opfern viel dafür. Das Speichern ist nicht skalierbar. Je mehr Websites Sie verwenden (und je mehr das Web unser Leben durchdringt, desto mehr Benutzernamen und Passwörter werden benötigt), desto mehr Dinge benötigen Sie Passwörter. Und sie profitieren zunehmend davon, stark zu sein. Um sie stark zu machen, erfordert der Benutzer viel Aufwand und das Auswendiglernen. Oder wenn Sie sie auf ein Blatt Papier schreiben, haben Sie das gleiche Problem wie der Passwort-Manager, außer dass es schwieriger zu sichern und zu synchronisieren ist, auffälliger, leichter zu verlegen, im Klartext usw. Und Sie müssen sie eingeben Anstatt zu kopieren und einzufügen.

Zumindest mit einem Passwort-Manager können Sie für jede Site im Internet, die Sie verwenden (möglicherweise viele), sehr sichere und unterschiedliche Passwörter verwenden. Und auch die Möglichkeit, sich die verschiedenen Benutzernamen leicht zu merken, zusammen mit Notizen zu den spezifischen Sites. Wenn Sie sich ein sicheres Passwort für Ihren Passwort-Manager merken, müssen diese in der Lage sein, Ihre Tastenanschläge irgendwie dazu zu bringen, Ihre Datei zu verwenden, oder sie benötigen Ihre Datei, um Ihre Tastenanschläge zu verwenden.

#3
+1
Wang
2019-04-17 19:55:47 UTC
view on stackexchange narkive permalink

In 10 Jahren haben sich die Dinge sehr verändert. Daher sind fast alle Antworten im vorherigen Beitrag veraltet. In den letzten Jahren verwende ich definitiv einen Schlüsselmanager, anstatt mir Schlüssel für Onlinedienste zu merken. Bewahren Sie lokale Geheimnisse jedoch an einem anderen Ort auf. Es gibt zwei wichtige Richtungen, in die Ihre Geheimnisse einbezogen werden können.

  1. Aus dem Internet. Das bedeutet, dass die von Ihnen verwendeten Onlinedienste gehackt oder gezwungen wurden, Ihren Pass preiszugeben.
  2. Ihr lokales System wurde kompromittiert: Malware, physischer Diebstahl, Raub ...
  3. Es ist schwer zu sagen, welche Richtung heutzutage im Allgemeinen riskanter ist. Aber ich muss sagen, dass das 2. Risiko für einen verantwortungsbewussten Benutzer weitaus geringer ist. Ein verantwortlicher Benutzer wird nicht Folgendes tun:

    1. Geheimnisse auf Geräten als Klartext aufbewahren.
    2. andere Benutzer Ihre eigenen Konten verwenden lassen.
    3. vergessen, die Sicherung beizubehalten Verschlüsselt Ihre Geheimnisse.
    4. Verwenden Sie dasselbe Kennwort länger als 3 Monate.
    5. Deaktivieren Sie aus Gründen der Benutzerfreundlichkeit Ihre Firewall- und Antimalwaresoftware Patches für Ihr System ...
    6. ol>

      Wenn mehrere Geräte von Tätern erhalten wurden. Sie können in kurzer Zeit (mehrere Jahre) immer noch nichts entsperren, da sie nicht über Ihre Hauptschlüssel verfügen. Danach ändert ein verantwortlicher Benutzer seine Passwörter so schnell wie möglich (in wenigen Tagen). Dann ist alles wieder normal. Man würde fragen, was wäre, wenn wir gezwungen wären, den Masterpass aufzugeben? Nun, in diesem Fall haben wir es trotzdem vermasselt. Sie können Sie sogar dazu zwingen, Ihr Vermögen direkt zu übertragen, ohne sich die Mühe zu machen, Sie nach Passwörtern zu durchsuchen. Wenn Sie das Gefühl haben, immer in diesem Risiko zu sein, gibt es nur eine Sache, die Sie möglicherweise hilfreich finden: die Verwendung einer plausibel leugnbaren Verschlüsselung.

      Andererseits ist das 1. Risiko nicht das, was wir kontrollieren. Und das passiert in den letzten Jahren sehr oft. Das kann man nicht wirklich vermeiden. Wir können nur den Schaden minimieren. Theoretisch kann sich niemand mehr als Dutzende von Passwörtern merken und diese alle paar Monate ändern. Wenn wir also keinen Passwort-Manager verwenden, ist es wahrscheinlicher, dass Sie ähnliche Passphrasen für verschiedene Dienste verwenden müssen. Dies gibt den Tätern die Möglichkeit, nach einem erfolgreichen Angriff auf einen Dienst problemlos auf Ihre anderen Konten zuzugreifen. Daher ist das Risiko hier sehr hoch. Mit dem Passwort-Manager können Sie alle paar Wochen zufällige Zeichen für das Passwort generieren. Selbst Sie könnten Ihr Passwort nicht erraten. Also haben wir den Verlust auf nur ein Konto beschränkt. @Rakkhi war besorgt darüber, dass mehrere Kopien von Schlüsselanhängern auf verschiedenen Geräten nach dem physischen Zugriff alles gefährden können. Dieses Risiko ist in den letzten Jahren sehr gering, da wir in der 2. Angriffsrichtung erwähnt haben. Darüber hinaus müssen Sie Ihre Schlüsselanhänger nicht mehr auf anderen Geräten aufbewahren. In einer Ideensituation bewahren Sie Ihre Passwort-Manager nur an einem sicheren Ort auf Ihrem Master-PC auf. Alle anderen Geräte können den von Ihrem Diensteanbieter bereitgestellten Anwendungs- / Gerätepass verwenden. Das App-Passwort ist eine zufällige Passphrase, die von Ihrem Dienstanbieter wie MS, Google, Facebook usw. generiert wird. Diese App-Passwörter werden auf Ihrem Gerät gespeichert und durch den Entsperr- / Sperrmechanismus Ihres Geräts verschlüsselt. Normalerweise hat jedes Gerät unterschiedliche Sätze zufälliger App-Passwörter. Sie können diese Passwörter auf den Webseiten Ihrer Dienstanbieter widerrufen. Selbst wenn es jemandem gelungen ist, auf Ihr einziges mobiles Gerät zuzugreifen, kann er für einige Minuten Zugriff erhalten, aber Sie können den Zugriff dieses Geräts auf Ihre Konten so schnell wie möglich deaktivieren. Wenn Sie Ihre Geräteverschlüsselung wie Fingerabdruck oder Zeichnungen ordnungsgemäß eingerichtet haben, können sie nicht einmal über einen längeren Zeitraum auf Ihre Daten zugreifen, wie im 2. Risiko erwähnt.

      Die Schlussfolgerung lautet also: Sie sollten auf jeden Fall den Passwort-Manager auf einem Master-Gerät verwenden, das App-Passwort für andere Geräte einrichten und ein verantwortungsbewusster Benutzer sein.

#4
  0
Bushibytes
2011-05-02 19:37:02 UTC
view on stackexchange narkive permalink

Rakkhi macht eine sehr gute Darstellung der Vor- und Nachteile von Passwort-Managern. Um dies zu ergänzen und Ihre Frage zu beantworten, ob Ansätze kombiniert werden können, gibt es eine einfache Möglichkeit, dies zu tun. Sie können einen Passwort-Manager verwenden, um komplexe Passwörter aufzuschreiben, die zu schwer zu merken wären, aber ein zusätzliches Maß an Schutz hinzufügen, indem Sie sich einen einfachen Algorithmus zum Transformieren Ihrer Passwörter merken.

Ein solcher Algorithmus besteht darin, einen Teil von zu verketten den Dienstnamen mit Ihrem Passwort (manche nennen es Salting, aber ich bin nicht sicher, ob es in diesem Fall angemessen ist).

Angenommen, Ihr Passwort-Manager gibt Ihnen "Aw! eI10". Als Ihr Facebook-Passwort könnte Ihr aktuelles Passwort "FB-Aw! eI10" sein. . Die Kosten einer solchen Methode für die Benutzerfreundlichkeit sind einfach (denken Sie daran, Ihren Algorithmus einzugeben und dann Ihr Kennwort von Ihrem Manager einzufügen) und können jemanden entmutigen, der Ihren Kennwortmanager in die Hände bekommen hat, oder Ihnen zumindest genügend Zeit zum Zurücksetzen geben Ihre Passwörter, wenn Sie feststellen, dass Ihr Manager kompromittiert wurde.

Was kauft dir das eigentlich? Es ist möglicherweise einfacher, eine automatische Sperre für Ihren Passwort-Manager zusammen mit einem langen und sicheren Passwort festzulegen, das Sie gespeichert haben, um zu verhindern, dass andere Personen Zugriff haben, wenn Sie sich darüber Sorgen machen. Wenn jemand das sichere Passwort für Ihre PM ermitteln kann, verfügt er über ein automatisiertes Mittel, um es zu ermitteln. Und wenn sie genug Erfahrung haben, um Tastenanschläge zu protokollieren, haben sie genug Erfahrung, um ein häufig verwendetes Login wie FB zu finden, die Schlüsselprotokolldatei nach diesem Login zu durchsuchen, alles Folgende zu untersuchen und den Elementarcode zu knacken.
Es verschafft Ihnen zusätzliche Zeit zu sehr geringen Kosten. Mit einem entschlossenen Angreifer, der physischen Zugriff auf Ihre Box hat und über einen Key Logger verfügt, können Sie nicht viel tun. Angenommen, Sie haben mit Ihrem Passwort-Manager einen USB-Schlüssel (oder ein Mobiltelefon) verloren. Sollte Ihr Manager gezwungen werden, sich zu öffnen, wären Ihre Passwörter unverändert nicht nützlich, was die meisten Angreifer (die Sie nicht speziell ansprechen) entmutigen würde. Es bietet auch eine Abschwächung gegen entsperrte Manager, aber das automatische Sperren Ihres Managers ist ein guter Vorschlag.
Länge ist wichtiger als Komplexität.Ihr 7-8-stelliges Passwort kann in den 60ern geknackt werden.`2 ^ 10 >> 10 ^ 2`


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...