Gibt es eine gute Möglichkeit, Anmeldeinformationen außerhalb eines Passwort-Managers zu speichern?

ThoriumBR

2019-03-26 01:47:40 UTC

view on stackexchange narkive permalink

Installieren Sie einen Passwort-Manager. Ein guter Passwort-Manager ist viel, viel besser als alles, was Sie selbst tun können.

Es handelt sich um Software, die von Sicherheitsexperten erstellt wurde, strengen Entwicklungsregeln folgt, von vielen Personen getestet und von a angegriffen wird viele Leute. Sie haben bessere Chancen, Ihre Passwörter zu schützen als alles, was der Durchschnitt selbst der überdurchschnittliche Benutzer erfunden hat.

Woher weiß man, welches Passwort gut verwaltet werden kann und ob tatsächlich alle strengen Entwicklungsregeln eingehalten werden?

@NigelFds Einige, wie z. B. Passwort, werden von Dritten geprüft.https://support.1password.com/security-assessments/

Ich benutze [Enpass] (https://enpass.io) und es ist sehr gut geschrieben.

@Schwern super, das ist gut zu wissen

@NigelFds Anderes Beispiel: KeePass Es ist Open Source und kann buchstäblich von jedem geprüft werden. Wenn Sie es wirklich wünschen, können Sie es sogar selbst kompilieren.

Für den geschäftlichen Gebrauch, der von der IT verwaltet wird, würde ich 1Password oder LastPass empfehlen.Beide genießen hohes Ansehen, und die Unternehmensfunktionen machen das Geschäft glücklich und die Benutzer sicherer.Ich habe sie beide benutzt.Ich würde 1Password für Mac und LastPass für Windows / Linux empfehlen.Erfinden Sie keine eigenen und tragen Sie nicht zur "Schatten-IT" am Arbeitsplatz bei.

@JesseM LastPass ist ein Cloud-basierter Passwort-Manager.Dies sollte sofort im Widerspruch zu einer vernünftigen Sicherheitsrichtlinie des Unternehmens stehen.Außerdem hatte LastPass verschiedene Sicherheitsvorfälle und einen Verstoß.Ich würde es niemandem empfehlen, auch nicht für persönliche Zwecke.Halten Sie sich an Offline-Passwort-Manager.

@NigelFds Letztendlich kommt es auf Vertrauen an, aber es ist besser, einem "Entwickler + vielen Fachleuten von Drittanbietern" zu vertrauen als nur einem "Entwickler".Es gibt einen Grund, warum KeePass und LastPass weithin anerkannt sind.

Um fair zu sein, egal wie gut ein Passwort-Manager entwickelt ist, verhindert dies nicht, dass Malware durch andere Software eindringt und dann träge alle Passwörter aus dem Passwort-Manager liest.Natürlich verbessern sich Passwort-Manager nur sehr langsam, indem sie dies erschweren (https://www.helpnetsecurity.com/2019/02/20/flawed-password-managers-allow-malware-to-steal-passwords-from-computer-memory)/), aber am Ende des Tages ist es riskant, Passwörter auf dasselbe System wie Ihre gesamte andere Software zu setzen (und eine Papieragenda könnte sicherer sein).

@scai _ "Dies sollte sofort im Widerspruch zu einer vernünftigen Sicherheitsrichtlinie des Unternehmens stehen" _ Total BS.Solange die richtige Verschlüsselung verwendet wird, können Sie Ihre Geheimnisse überall speichern, einschließlich der Cloud._ "Außerdem hatte LastPass verschiedene Sicherheitsvorfälle und einen Verstoß" _ Bitte lesen Sie [Schwerns Antwort] (https://security.stackexchange.com/a/206109/3992) und hören Sie auf, FUD zu verbreiten.Außerdem: Verwenden Sie IMMER 2FA (wenn Sie von dieser Website unterstützt werden können / werden).

Schwern

2019-03-26 05:25:48 UTC

view on stackexchange narkive permalink

Sie beziehen sich wahrscheinlich auf die jüngsten Artikel über Fehler in Kennwortmanagern.

Genau dort in den Titeln haben Passwort-Manager Fehler und Sie sollten immer noch einen verwenden , weil sie sicherer sind als das, was viele Leute tun. B. Passwörter in Excel behalten, per E-Mail versenden, in den Chat einfügen, wo sie von allen protokolliert werden ...

Alle Software weist Fehler auf. Passwort-Manager und Sicherheitssoftware im Allgemeinen unterliegen einem höheren Standard als herkömmliche Software. Die Fehler, über die diese Artikel in Passwort-Managern sprechen, sind keine Anfängerfehler, sondern Risikokompromisse.

1Password hat einen Bericht über den neuesten Fehler sowie eine tiefe Diskussion in ihren Foren. Es ist kein Fehler, da es eine Folge eines Kompromisses ist, um andere schlimmere Speicherfehler zu vermeiden. Das Wichtige ist, dass Ihr Computer bereits kompromittiert sein muss und Sie kürzlich Ihr Hauptkennwort eingegeben haben. Wie jpgoldberg von 1Password es ausdrückte...

... müssen wir berücksichtigen, dass der Angreifer

muss, um einen Angriff zu ermöglichen
Sie können den 1Password-Prozessspeicher lesen, wenn 1Password gesperrt ist.

Sie können den 1Password-Prozessspeicher nicht lesen, wenn 1Password entsperrt ist.
ol>
Nummer 1 erfordert, dass der Angreifer das Gerät bereits ernsthaft kompromittiert hat. Nummer 2 bedeutet, dass der Angreifer (der Ihr Gerät ernsthaft kompromittiert hat) diese Kontrolle nur zu merkwürdig begrenzten Zeiten hat.

Wenn Ihr Computer bereits so kompromittiert ist, kann ein Angreifer den Prozessspeicher von 1Password lesen Sie brauchen diesen Exploit nicht. Sie können einfach warten, bis 1Password entsperrt ist.

Und wenn Ihr Computer kompromittiert ist, bietet Ihnen das Speichern Ihrer Kennwörter in einer Excel-Tabelle keinen Schutz.

Kennwortmanager können andere Maßnahmen ergreifen, um Ihre Sicherheit zu erhöhen.

Teilen und verwalten Sie Ihre Passwörter für alle Ihre Geräte, einschließlich mobiler Geräte.
Teilen und verwalten Sie Passwörter und Anmeldeinformationen mit Kollegen.
Speichern Sie mehr als nur Passwörter sicher
- GPG- und SSH-Schlüssel und Passphrasen
- Einmalkennwort Generatoren
- Wiederherstellungsschlüssel
- Sicherheitsfragen
- API-Schlüssel
- Notizen
- Kreditkarten (wahrscheinlich besser als sie auf Websites zu speichern)
- Bankkonten
- Mitgliedschaften
- Softwarelizenzen
Informieren Sie über unsichere Kennwörter
- Wiederverwendete Kennwörter
- Kennwortverletzungen
Sichere Passwörter generieren
Passwörter automatisch ausfüllen (verhindert, dass auf der Schulter gesurft wird)
Auto- Neue Konten aufnehmen
Schutz vor Ransomware (sofern diese Sie speichert) r Tresor anderswo)

Diese vermeiden schlechte Praktiken wie das Wiederverwenden von Passwörtern, das Verwenden schwacher Passwörter, das Teilen per E-Mail oder Chat oder über ein freigegebenes Dokument und das Aufschreiben (ob auf Papier oder in einer Datei). und weiterhin verletzte Passwörter verwenden.

Das Speichern von OTP-Generatoren in Passwort-Managern verringert die Sicherheit, wenn überhaupt (alle Eier im selben Korb).Ich mache es trotzdem: /

Die Verwendung eines OTP-Generators (normalerweise TOTP) in einem Passwort-Manager, der mit einem guten Passwort (oder sogar 2FA) gesichert ist, ist immer noch besser, als diese Funktionalität nicht zu verwenden, da der TOTP-Startwert ein zweites Geheimnis wird, das Sie zusätzlich zum Benutzer kennen müssenPasswort.

"(...) das Speichern Ihrer Passwörter in einer Excel-Tabelle bietet Ihnen keinen Schutz" -> Nach dem, was ich weiß, wenn Sie ein Passwort in einem Excel-Dokument festlegen, verschlüsseln moderne Excel-Versionen das mit AES mit PBKDF2.Dies ist ziemlich gut, da AES nicht kaputt ist (soweit wir wissen) und PBKDF2 es immun gegen Brute-Force-Angriffe macht (solange Sie ein gutes Passwort haben).

@RaduMurzea Aber Sie können immer noch das Passwort aller klar und ohne großen Aufwand sehen: gerade genug physischen Zugriff oder sogar "über die Schulter".Schlimmer noch: Sie können sofort ein paar Fotos davon aufnehmen und eine Offline-Kopie erstellen.

@RaduMurzea Ja, Sie könnten es verschlüsseln (und ich wette, die meisten tun es nicht) und das würde Ihnen ein bisschen Schutz bieten ... bis Sie es entschlüsseln.Durch das Entschlüsseln des Dokuments wird das gesamte Dokument entschlüsselt, wobei Kennwörter im Speicher verbleiben und möglicherweise eine temporäre Datei leicht von generischer Malware abgerufen werden kann. Dies ist das fragliche Szenario.Weitere Informationen finden Sie unter [Tschallackas Antwort] (https://security.stackexchange.com/a/206125/22452).Wir möchten uns aus Sicherheitsgründen auf die Verschlüsselung konzentrieren, aber das Aufheben der Verschlüsselung ist der * letzte * Ausweg des Angreifers.

@IsmaelMiguel: Einfache Lösung: Erstellen Sie Ihre eigene Schriftart, bei der Zeichen nicht zu unterscheiden sind, und verwenden Sie diese in Ihrer Excel-Datei!;)

@Flater Ja, weil ein durchschnittlicher Sekretär wirklich weiß, wie man eine Schriftart erstellt ...

owacoder

2019-03-26 08:03:08 UTC

view on stackexchange narkive permalink

Der sicherste Ort zum Speichern eines Passworts ist nirgendwo. Es sollte ein sicheres Token sein, das nur im Speicher des Inhabers vorhanden ist. Leider verwenden viele ein Passwort, das zu einfach und unsicher ist, um das Erinnern zu erleichtern. Im Gegensatz dazu sind sicherere Kennwörter (für die meisten Menschen) schwieriger zu merken.

Wenn Sie sich nicht auf Ihren Speicher verlassen können, sollten Sie auf jeden Fall einen Kennwortmanager verwenden. Passwortmanager verhindern, dass sogar physischer Zugriff Ihre Passwörter gefährdet. Ein kleines physisches Passwortbuch ist nur so gut wie das Schloss an Ihrer Tür, das weitaus weniger sicher ist als ein Hauptpasswort für einen Passwortmanager, der nur in Ihrem Speicher gespeichert ist.

Bedeutet dies, dass ein Passwort für einen Dienst möglicherweise nur im Kopf vorhanden ist?Die andere Seite muss es noch aufbewahren;Es spielt keine Rolle, ob Sie ein komplexes Kennwort abrufen können, dessen Ende jedoch beeinträchtigt wird. Dies ist insbesondere dann bemerkenswert, wenn Sie dasselbe Kennwort für andere Dienste verwenden.Ironischerweise ist das Hauptkennwort für einen Manager so nah wie möglich an Ihrem Speicher.

@lucasgcb - Die ordnungsgemäße Speicherung von Passwörtern zu Vergleichszwecken sollte neben dem Salting auch kryptografisches Hashing umfassen. Daher wird das Passwort selbst niemals gespeichert.Durch korrektes Salting werden auch Hash-Vergleiche verhindert, wenn Sie dasselbe Kennwort für verschiedene Dienste verwenden.

Obwohl Dienste dies sollten, haben sie leider nicht immer den richtigen Speicherplatz (selbst Facebook hat dies kürzlich durcheinander gebracht https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/).Aus diesem Grund müssen Passwörter nicht nur sicher, sondern für jeden Zweck eindeutig sein. Ich bezweifle, dass selbst die zuverlässigsten Köpfe dies erfüllen können, ohne klare Muster hinzuzufügen. Selbst wenn Sie über einen zuverlässigen Speicher verfügen, ist ein Passwort-Manager der Sicherheit immer noch überlegen.

Ich würde dem letzten Punkt nicht zustimmen.Wir haben wesentlich mehr Erfahrung mit der physischen Sicherung von Elementen und Dokumenten als mit der Sicherung von Daten.Ob die physischen Sicherheitsanforderungen für die Umgebung geeignet sind, ist eine ganz andere Frage.

@Dan - Ich stimme der Erfahrung zu, physische Gegenstände zu sichern, aber die meisten Schlösser, ob Vorhängeschlösser oder in die Tür eingebaut, können mit nur Handwerkzeugen in maximal 5 Minuten aufgebrochen werden.Ich weiß aus Erfahrung, wie man als Feuerwehrmann gewaltsam eintritt.Sichere Passwörter sollten * viel * länger brauchen, um zu brechen.Im Vergleich dazu sind die durchschnittlichen Vorsichtsmaßnahmen für die physische Sicherheit (entweder für Wohnhäuser oder Unternehmen) nicht so gut wie ein sicheres Passwort.

@owacoder Einverstanden, aber physische Sicherheit ist wesentlich mehr als nur eine Sperre.Wie gesagt, es geht darum, es abzuwägen.Ist beispielsweise eine Person in ihrem eigenen Haus mit einer verschlossenen Schublade mehr oder weniger anfällig dafür, dass ihre Anmeldeinformationen gestohlen werden, als mit etwas Schändlichem auf einem Computer infiziert zu werden?Ich sage mit Sicherheit nicht, dass physische Sicherheit notwendigerweise eine bessere Option ist, ich sage nur, dass es per se keine schlechte Option ist.

@Dan - Einverstanden.Wir sind auf der gleichen Seite, denke ich.Es sollte sowohl physische * als auch * Computersicherheit eingesetzt werden.Ich wollte nur hervorheben, dass unsere wahrgenommene und tatsächliche physische Sicherheit oft nicht gleich sind.Wir sehen unsere physische Sicherheit mit einem Schloss an der Tür als viel größer an, aber realistisch gesehen kann dies nur eine abschreckende Wirkung haben.Stimmen Sie auf jeden Fall mit der Wahrscheinlichkeit überein, infiziert zu werden oder eingebrochen zu werden.

@lucasgcb Die andere Seite sollte auf keinen Fall Ihr Passwort speichern.Sie sollten einen Hash Ihres Passworts verwenden, der mindestens gesalzen ist.

Es ist nicht einmal wahr, dass das Innere des Besitzers der sicherste Ort ist, um ein Passwort unter allen Bedrohungsmodellen zu speichern.Das Speichern eines nicht einprägsamen oder unsichtbaren Kennworts auf physischen Medien kann es schwieriger machen, den Eigentümer dazu zu bringen, das Kennwort durch Zwangs- oder Täuschungsmaßnahmen offenzulegen. Dies kann eine größere Bedrohung darstellen als die Möglichkeit, auf die physischen Medien zuzugreifen.

Tschallacka

2019-03-26 13:53:34 UTC

view on stackexchange narkive permalink

Die Verschlüsselung in Microsoft Office-Dokumenten ist in jeder Hinsicht ziemlich gut und sicher, solange Sie das Dokument nicht öffnen und kein Sicherheitszertifikat von einem IT-Administrator gesendet wird.

Es bietet einige Schwachstellen

https://docs.microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

Wenn der ursprüngliche Ersteller eines Dateikennworts das Kennwort entweder vergessen oder die Organisation verlassen hat, wurde die Datei zuvor nicht wiederherstellbar gemacht. Mithilfe von Office 2016 und eines Treuhandschlüssels, der aus dem Zertifikatspeicher für private Schlüssel Ihres Unternehmens oder Ihrer Organisation generiert wird, kann ein IT-Administrator die Datei für einen Benutzer "entsperren" und die Datei dann entweder ohne Kennwortschutz belassen oder ein neues Kennwort zuweisen die Datei. Sie, der IT-Administrator, sind der Verwalter des Treuhandschlüssels, der aus dem Zertifikatspeicher für private Schlüssel Ihres Unternehmens oder Ihrer Organisation generiert wird. Sie können die Informationen zum öffentlichen Schlüssel einmalig über eine Registrierungsschlüsseleinstellung, die Sie manuell erstellen können, oder über ein Gruppenrichtlinienskript stillschweigend auf Clientcomputer übertragen. Wenn ein Benutzer später eine kennwortgeschützte Word-, Excel- oder PowerPoint-Datei erstellt, wird dieser öffentliche Schlüssel in den Dateikopf aufgenommen. Später kann ein IT-Profi das Office DocRecrypt-Tool verwenden, um das an die Datei angehängte Kennwort zu entfernen und die Datei optional mit einem neuen Kennwort zu schützen. Dazu muss der IT-Profi über Folgendes verfügen:

Der IT-Manager oder eine Person mit Zugriff auf die Stammzertifikate kann alle Dokumente entschlüsseln. Wenn ein böswilliger Angreifer Zugriff darauf erhalten könnte, könnte er alle kennwortgeschützten Dokumente entschlüsseln.

Es gibt das sekundäre Problem der temporären Dateien in Microsoft Office. Sobald die Datei in Microsoft Office geöffnet und das richtige Kennwort eingegeben wird, erstellt Microsoft Office eine temporäre Datei, in der der Inhalt angezeigt wird. Jeder, der zu dieser Datei navigiert, kann sie einfach auswählen und den Inhalt im Vorschaufenster von Windows Explorer anzeigen, solange jemand sie geöffnet hat.

In den meisten Windows-Netzwerken ist es möglich, einfach zum PC eines Kollegen zu navigieren und schauen Sie in die Dokumente auf seinem / ihrem PC oder auf eine Freigabe, auf der sich diese Dokumente befinden.

Auf den ersten Blick mag es sicher erscheinen, aber unten muss sich nur jemand infizieren Eine Workstation mit einem Programm, das darauf wartet, dass verschlüsselte Dokumente, auf die es Zugriff hat, geöffnet werden und dann einfach den Inhalt der temporären Datei lesen. Und die meisten Benutzer lassen dieses Kennwortdokument nach dem Öffnen einfach im Hintergrund geöffnet.

Die meisten Kennwortmanager verfügen über Schutzfunktionen, die nur bei Bedarf entschlüsseln und das Kennwort dann für einen kurzen Moment in der Zwischenablage speichern, bevor es überschrieben wird

Im Vergleich bieten Kennwortmanager mehr Sicherheit.

Mit "allen Absichten und Zwecken" meinen Sie tatsächlich "nicht in allen Absichten und Zwecken".Denn wenn selbst ein mieser Systemadministrator auf das zugreifen kann, was Sie schützen möchten, haben Sie die soziale Angriffsfläche um mindestens den Faktor 2 vergrößert. So werden Passwörter in vielen Fällen der realen Welt geknackt.Dies ohne Berücksichtigung der vielen offensichtlichen Softwareschwächen, die durch die .norm-Kennwortspeicherung verursacht werden.

Wenn es auf einem PC ohne das Gruppenzertifikat erstellt wurde und nur Sie den Verschlüsselungsschlüssel / das Kennwort kennen, kann niemand auf Ihre Dokumente zugreifen, solange die Datei geschlossen ist.Das beste Szenario ist, dass Sie dieses Dokument auf einem vom Ethernet getrennten PC mit Luftspalt in einer schalldichten Box in einem Faradayschen Käfig speichern.Es schützt Dokumente vor gelegentlichem Blick auf Inhalte.

Beachten Sie, dass das DocRecypt-Tool und die temporären Dateien nicht für MS Access gelten. Daher können damit Kennwörter ohne diesen Schwachpunkt gespeichert werden.Ein zusätzlicher Schwachpunkt für fast alle Office-Anwendungen ist jedoch die COM-Automatisierung.Jede Anwendung kann überprüfen, ob Office-Dateien geöffnet sind, und ihren Inhalt lesen, wenn sie die COM-Automatisierung verwenden. Dies ist viel einfacher als das Auslesen des Kennwortmanagerspeichers und erfordert keine besonderen Berechtigungen.

Monica Apologists Get Out

2019-03-26 18:58:36 UTC

view on stackexchange narkive permalink

Sicher! Hier ist ein Schema, das bei perfekter Ausführung nicht sehr häufig beeinträchtigt wird [1]:

Führen Sie eine Liste der Websites, für die Sie Kennwörter haben. Bewahren Sie es an einem sicheren Ort auf. [2]
Führen Sie eine Liste mit Passwörtern. Bewahren Sie es gefaltet in Ihrer Brieftasche auf. Seien Sie wachsam, wenn Sie es zeigen, wenn Sie Ihre Brieftasche öffnen oder ein Passwort daraus verwenden. Zerstören Sie gespeicherte Passwörter.
Wenn Ihre Brieftasche verloren geht oder gestohlen wird, haben Sie große Probleme, alle Ihre Passwörter zu ändern.

So ziemlich das, was ein grundlegender Passwort-Manager tut - Einprägsamkeit, Zuordnung zu Websites und Vertraulichkeit. Es ist einfach viel mehr Beinarbeit als die Verwendung eines Passwort-Managers. Wenn Sie dabei Fehler machen, ist dies weitaus weniger sicher als die Verwendung eines Passwort-Managers. In Anbetracht der menschlichen Fehlbarkeit ist ein Passwort-Manager vielleicht besser?

[1]: Das Hauptproblem gegen dieses Schema ist, dass Sie irgendwann aus der Praxis herausfallen und es ein großes Durcheinander sein wird, wenn Sie es brauchen

[2]: "Sicher genug" hängt stark von Ihren Anforderungen ab. Sind Sie eine langweilige Person, die ihre Bankdaten speichert? Ein Safe in Ihrem Keller ist wahrscheinlich in Ordnung. Versteckst du dich vor der NSA? Dieses Schema ist wahrscheinlich nicht ausreichend, ehrlich.

Michael

2019-03-26 18:45:05 UTC

view on stackexchange narkive permalink

Ich empfehle weiterhin von Herzen, einen Passwort-Manager zu verwenden. Wenn dies nicht möglich ist und alle folgenden Punkte zutreffen:

Personen können ihre eigenen Passwörter auswählen.
Niemand muss Passwörter teilen.
- ( Geschützte Excel-Dateien lassen dies unwahrscheinlich erscheinen.)

... dann können Sie eine Passwortkarte vorschlagen, die in ihrer Brieftasche aufbewahrt wird .

Die Einschränkung bei Passwortkarten besteht darin, dass Sie sie nach dem Gebrauch abwischen müssen.Die meisten Menschen fahren mit dem Finger über die Karte, während sie ihr Passwort verfolgen.Dies hinterlässt eine offensichtliche Spur für jemanden, der Ihre Karte erhält.

@Adonalsium TBF, die Password Card-Website sagt das._ "Lesen Sie nicht mit Ihrem Finger mit, sonst sagt der Fleck einem Dieb, wo sich Ihr Passwort befindet." _

@LightnessRacesinOrbit ... Dort habe ich diesen Rat wahrscheinlich ursprünglich gelesen.Teufel.

Diese Passwortkarte scheint mir eine schrecklich schlechte Idee zu sein.Es hat 8 Zeilen mit 30 Zeichen oder 240 Startpositionen.Das sind ungefähr 8 Entropiebits oder ungefähr so sicher wie ein Passwort, das einen Kleinbuchstaben und eine Ziffer enthält.

@dgnuff, Wenn jemand den Startwert kennt, der Ihre Karte generiert hat, vielleicht.Aber sonst ist es Offline-Steganographie.

@dgnuff Würde es nicht eine zusätzliche Entropie aus der Wahl der Richtung und der Anzahl der Zeichen geben?Ja, ich muss aus 240 Zeichen auswählen, um zu beginnen, aber dann wähle ich eine Richtung (8 inkl. Diagonalen) und eine Anzahl von Zeichen (8 - ???, je nachdem, ob / wie ich mich umwickle).

@Michael Dies setzt voraus, dass Ihre Karte kompromittiert ist.Unwahrscheinlich, aber immer noch ein mögliches Angriffsszenario.

@Delioth Nicht so viel.Die Anzahl der Zeichen 1 bis 32 ist nur weitere fünf Entropiebits, und 8 Richtungen sind 3, so dass nur weitere 8 Bits oder insgesamt etwa 16.Sie haben jetzt zwei Ziffern und zwei Kleinbuchstaben.

opsecwin

2019-03-27 08:27:58 UTC

view on stackexchange narkive permalink

Eine mit einem Kennwort verschlüsselte Tabelle (z. B. in Excel 2016) verwendet standardmäßig " ECMA-376 Document Encryption", wobei die AES-256-Bit-Verschlüsselung verwendet wird. Vorausgesetzt, das Passwort ist kein Wörterbuchwort, wäre es aus Sicht des Datenrisikos nicht besser oder schlechter als jeder andere Passwortmanager.

Die Tabelle wäre FIPS-140-2-konform und Sie würden die meisten Verschlüsselungsgesetze einhalten, wenn der Schlüssel oder das Laufwerk mit der in NIST 800-88 angegebenen Methode zum sicheren Löschen gelöscht werden müsste.

Für einen Benutzer, der einige Kennwörter verwaltet, sehe ich kein kurzfristiges Problem bei der Verwendung von Excel und einem Kennwort oder ein rechtliches Problem.

Langfristig Eine Passwort-Tresor-Lösung, die eine Rotation beim Ein- und Auschecken ermöglicht, wie CyberArk oder Thycotic, ist mit Protokollierung und anderen Funktionen viel besser. Etwas anderes, das Sie kostenlos und einfach ansehen können, ist Butterblume.

Anfällig für einfaches Schulter-Surfen.

@Schwern nicht, wenn es sich um sehr komplexe Passwörter handelte

@Ulkoma 1) Das Passwort ist möglicherweise nicht die Wahl des Benutzers.Freigegebene Arbeitskennwörter sind häufig schwach, da sie auf eine Weise freigegeben werden, die schwer zu aktualisieren ist, z. B. eine Tabelle.2) Benutzer und Organisationen, die Tabellenkalkulationen zum Speichern von Passwörtern verwenden, haben wahrscheinlich eine schlechte Passwortdisziplin.3) (Hier ist der Kicker) Telefone haben erstaunliche Kameras.Gute Sicherheit hat viele Ebenen. Wenn also eine verletzt wird, z. B. ein leicht zu merkendes Passwort, oder wenn Ihre Annahme wie "Mein Passwort ist zu komplex, um auf der Schulter zu surfen" falsch ist, haben Sie andere Schutzschichten, um den Angreifer zu stoppen.

Billal Begueradj

2019-03-27 15:42:30 UTC

view on stackexchange narkive permalink

Sheneir über Schreiben Sie Ihr Passwort auf:

Jesper Johansson von Microsoft forderte die Leute auf, ihre Passwörter aufzuschreiben.

Dies ist ein guter Rat, und ich sage es schon seit Jahren.

Menschen können sich einfach nicht mehr an Passwörter erinnern, die gut genug sind, um sich zuverlässig gegen Wörterbuchangriffe zu verteidigen, und sind viel sicherer, wenn sie ein Passwort wählen, das zu kompliziert ist, um es sich zu merken, und dann Schreib es auf. Wir sind alle gut darin, kleine Zettel zu sichern. Ich empfehle den Leuten, ihre Passwörter auf ein kleines Stück Papier zu schreiben und es zusammen mit ihren anderen wertvollen kleinen Zetteln aufzubewahren: in ihrer Brieftasche.

Schockierend, solche Ratschläge von Microsoft zu hören.Um fair zu sein, es ist von vor fast 15 Jahren.

Nein, das ist FUD.Lesen Sie Schwerns Antwort.

Ein Passwort-Manager schreibt Ihr Passwort * auf, verschlüsselt es * und speichert es dort, wo es nicht verloren geht.Wir sind nicht gut darin, kleine Papierstücke zu sichern, wir verlieren sie ständig.Und mit der zunehmenden Anzahl von Konten werden Sie eine sehr dicke Brieftasche haben.

Paris

2019-03-26 05:07:06 UTC

view on stackexchange narkive permalink

Ihre einzige Lösung besteht darin, Passwörter auszuwählen, die schwer zu knacken, aber leicht zu merken sind. Dann müssen Sie sie nirgendwo aufschreiben!

Aber im Ernst, vielleicht können Sie Ihren IT-Support bitten, einen Passwort-Manager-Server für Ihr gesamtes Unternehmen zu installieren, dann müssen Sie keinen auf Ihrem Computer installieren.

Ich denke, dass das Zögern bei der Verwendung eines Passwort-Managers im Allgemeinen liegt, nicht bei der lokalen Installation.

Aber normalerweise sind die Passwörter für etwas, oft für Ressourcen im Web.Wenn Sie das Kennwort also über das Internet senden, können Sie es auch auf einem Server speichern, auf den nur intern in Ihrem Unternehmensnetzwerk zugegriffen werden kann. Gesichert durch Ihr echtes Kennwort können mehrere Benutzer Kennwörter für einige Ressourcen freigeben, bla bla, :-)

Das Problem bei dieser Antwort ist, dass Sie Benutzer nicht dazu zwingen können.Das Senden von Daten, die dem Beispiel ["Richtige Heftbatterie für Pferdebatterien"] (https://xkcd.com/936/) ähneln (jedoch einfacher erklärt werden), als Teil der Richtlinie kann ihnen jedoch beim Lernen helfen.

@CaptainMan Sie könnten eine Passwortrichtlinie schreiben, die nur Wörterbuchwörter zulässt und eine große Mindestlänge hat, aber das war eher eine lahme Idee, falls ein Passwortmanager wirklich nicht gewünscht wird.Aber ich glaube wirklich, dass es einen langen Weg bedeuten wird, jedem einen anständigen Passwort-Manager anzubieten, bei dem er nichts installieren muss.Ich bin jetzt bei der ersten Firma, die eine verwendet, und es ist eine große Hilfe im Vergleich zu meiner vorherigen Arbeit.

Entschuldigung, dies entspricht in keinem modernen Leben der Realität.Ich habe 130 Passwörter * und bin ein später Anwender * und versuche aktiv, Passwörter zu vermeiden.Es endet einfach nie.Papierlose Abrechnung?Passwort.Einzelhandelsprämienprogramm?Passwort.Pizzalieferdienst?Passwort.Uber?Passwort.Wurde Ihre Steuerrückerstattung nicht gehackt?Passwort.E-Datei?Ein anderes Passwort.401K?Passwort.GP?Passwort.Spezialist?Passwort.Labor?Passwort.Ein Spiel zu spielen?Passwort.Bibliotheksausweis?Passwort.Neues Auto?Passwort.Ein Lehrbuch kaufen?Passwort.Sie können sie nicht alle im Auge behalten, ohne sie zu betrügen oder aufzuschreiben.

Stian Yttervik

2019-03-26 21:52:25 UTC

view on stackexchange narkive permalink

Viele empfehlen Passwort-Manager. Ich bin nicht anderer Meinung, das ist in der Tat ein guter Rat, aber es gibt eine andere Möglichkeit.

Es ist ziemlich machbar, sie Informationen darüber aufzeichnen zu lassen, wo das Passwort zu finden ist, ohne die Integrität des Passworts wesentlich zu schwächen - to die meisten Angriffsvektoren. Lassen Sie jedes ein persönliches Buch mitbringen (denken Sie an Alice im Wunderland oder so), das in einem einzigen Bücherregal zusammengehalten wird, und machen Sie aus jedem Passwort eine Kombination aus 3-4 Wörtern aus dem Buch. Sie können dann die Seitenzahl, Zeilennummer und Wortnummer dieser Wörter an einer beliebigen Stelle notieren. Ja, die Suche nach Passwörtern ist langsamer, erhöht jedoch die Sicherheit Ihrer Passwörter gegen Brute-Force-Versuche. Außerdem wird sichergestellt, dass ein physischer Zugriff auf das Büro erforderlich ist. Außerdem wird ein Who-is-Book-Is-What verwendet, um den Code zusätzlich zu knacken zum elektronischen Zugriff auf ihr "gespeichertes" Passwort. Dies ist eine enorme Verbesserung gegenüber dem Speichern der Kennwörter im Klartext in einer Datei auf der Workstation, für die nur ein einziger erfolgreicher Phishing-Versuch erforderlich ist.

Als Bonus sind die Kennwörter sicherer und leichter zu merken. Obligatorische xkcd

Wenn sie sich jedoch nicht die Mühe machen können, Passwörter nicht in eine Excel-Datei zu schreiben, kann es schwierig sein, ein umständliches Verfahren wie dieses einzurichten als das. YMMV.

Das ist ziemlich dumm.Schreiben Sie einfach Ihre Passwörter in ein Notizbuch und schließen Sie es in eine Schublade (oder einen feuerfesten Safe für kritische Passwörter).

Es spielt keine Rolle, wie Passwörter gespeichert werden, ein einziger erfolgreicher Phishing-Versuch gefährdet sie immer.

@orangedog, aber nicht alle.

Ich denke, Sie sind verwirrt darüber, was ein Phishing-Angriff ist.

@orangedog Kaum scheint es, als wäre ich ziemlich überzeugt.

@OrangeDog Er meint nicht "einige seiner Passwörter sind immun gegen Phishing".Er meint, dass sie als Gruppe nicht kompromittiert werden, wenn Sie einen einzigen Fehler machen.

@Michael nur, wenn der von Ihnen verwendete Manager online ist, nicht über 2fa verfügt und Sie speziell nach dem Hauptkennwort gesucht haben.

Ich spreche nicht von Passwort-Managern (obwohl sie das gerade beschriebene Problem haben).Ich spreche über Ihren Kommentar oben: _ "Schreiben Sie Ihre Passwörter in ein Notizbuch und schließen Sie es in eine Schublade" _ wo jemand / stiehlt / etc.Als Schlüssel haben sie eindeutig eine Liste Ihrer Passwörter.

Kolappan N

2019-03-27 14:22:54 UTC

view on stackexchange narkive permalink

Ich stimme den anderen Antworten zu, dass ein Passwort-Manager sicherer ist als benutzerdefinierte Methoden. Beachten Sie auch, dass geschützte Excel-Tabellen leicht kompromittiert werden können als ein Kennwortmanager.

Wenn Sie sich jedoch gegen die Verwendung eines Kennwortmanagers entschieden haben, können Sie den folgenden Ansatz verwenden:

Zwei passwortgeschützte Excel-Dateien haben.
Verwenden Sie für jedes Excel unterschiedliche Passwörter.
Speichern Sie die Liste der Benutzernamen, Dienste usw. in einem Blatt und weisen Sie eine eindeutige zu Nummer / Test (z. B. A001 für Adobe, S001 für Stapelüberlauf usw.) für jeden Datensatz.
Speichern Sie die eindeutige Nummer und das entsprechende Kennwort in einem anderen Excel.

user197001

2019-03-26 02:44:11 UTC

view on stackexchange narkive permalink

Wenn Sie kein Passwort-Manager-Programm möchten, drucken Sie es aus und speichern Sie es in einem Safe oder etwas Sicherem, anstatt nur in einem Notizbuch, wie es Ihre Mitarbeiter verwenden.

Dies ist in Ordnung als Backup für Ihre überaus wichtigen Passwörter, wie das Passwort für Ihren Passwortmanager, aber für alle alltäglichen Passwörter benötigen Sie diese an einem * bequemen * und sicheren Ort.Ein Safe wird es nicht schneiden.

Es ist nicht praktikabel, das VPN-Passwort sicher aufzubewahren.Für Ihre Bitcoin ist Cold-Wallet in Ordnung, aber nicht für alles.

Jeffrey Roosendaal

2019-03-26 21:05:42 UTC

view on stackexchange narkive permalink

Dies beantwortet nicht wirklich die Frage zu Mitarbeitern , aber für den persönlichen Gebrauch funktioniert dies hervorragend, wenn Sie wirklich keinen Passwort-Manager (wie ich) verwenden möchten.

Sie können es leicht in Ihrem Kopf speichern: Erinnern Sie sich jedoch nicht an die Passwörter, sondern an eine Formel .

Beginnen Sie beispielsweise mit einem Basiswort, sagen wir " Passwort ", und denken Sie an einige benutzerdefinierte Regeln:

Anzahl der Buchstaben im Website-Namen (Facebook: 8), und fügen Sie sie am Ende hinzu.
Aktivieren Sie den Abgleich Vokale (Facebook: A und O)
Ersetzen Sie das N-te Zeichen durch eine Zahl, die der Anzahl der Silben entspricht (Facebook: 2)

Am Ende erhalten Sie P2sswOrd8 .

Sie können jetzt unendlich viele meist eindeutige Passwörter in Ihrem Kopf "speichern" (auch mit nur 3 Regeln).

Dies ist wirklich keine Frage, wie man einprägsame Passwörter erstellt.Wir haben bereits eine kanonische Frage dazu.Kennwortmuster sind von Natur aus unsicher, und Ihr System berücksichtigt nicht, dass das Kennwort geändert werden muss.Was tun Sie, ändern Sie die Regeln für jedes Passwort, das Sie haben, wenn Sie nur eines ändern müssen?

Ihre Antwort auf die Frage besteht im Wesentlichen darin, eine Passwortformel zu verwenden, und es gibt bereits eine Antwort, die diese Option abdeckt.Ihre Beispielformel weist viele Mängel auf, und ich würde diese Formel überhaupt nicht empfehlen, wenn ich Formeln empfehlen würde.

Es ging darum, Anmeldeinformationen zu speichern, und so * speichere * ich sie.Verwenden Sie beim Hacken einfach ein Backup-Basiswort.Es ist das Passwort, das gehackt wurde, nicht die Formel.Und wo habe ich so getan, als wäre das perfekt?Die obigen Regeln sind nur ein * Beispiel * und zeigen, wie einfach es ist, eindeutige Passwörter mit einigen einfachen Regeln zu erstellen, die leicht zu merken sind.Und wer weiß, es kann OP helfen.

Warten Sie, also müssen Sie sich in Ihrer Formel immer noch ein eindeutiges Wort pro Site merken?Wie speichern Sie dieses Wort?Nein, Sie speichern nichts, Sie generieren das Passwort.Und nein, es ist nicht perfekt, es ist auch nicht gut.Es stehen weitaus sicherere Muster zur Auswahl.

[Die Entropie dieser Kennwortgenerierungsmethode] (https://security.stackexchange.com/questions/6095) ist dramatisch niedrig.Wenn jemand Ihre "Formel" kennt, muss er nur das Basiswort und den Namen der Zielwebsite kennen, um das Passwort abzuleiten.Wenn Sie sich darauf verlassen, dass Ihre Formel geheim ist, können Sie nach ihrer Entdeckung (durch Retro-Engineering von durchgesickerten Passwörtern oder durch Social-Engineering von sich selbst) alle Ihre vergangenen und zukünftigen Passwörter ableiten.Denken Sie daran, dass [Sicherheit durch Dunkelheit] (https://en.wikipedia.org/wiki/Security_through_obscurity) eine Illusion ist.

Während diese Art von Formel kryptografisch schwach ist, sollte diese Idee aufgrund realer Faktoren immer noch gut funktionieren.Wenn Ihr Passwort über Phishing, Datenverletzung usw. gestohlen wurde, ist der Angreifer immer noch durch Standard-Brute-Force-Schutzmaßnahmen auf anderen Systemen eingeschränkt, die ihm im Laufe der Zeit nicht genügend Vermutungen geben, um selbst eine grundlegende Verschlüsselung vernünftigerweise zu knacken.Selbst wenn es nur Sekunden dauert, bis ein kompromittiertes System kaputt geht, kann ein Portal, das Sie nach jeweils wenigen schlechten Versuchen für eine Weile aussperrt, Sie für mehrere Leben fernhalten.