it-swarm-eu.dev

Passwort-Manager gegen das Speichern von Passwörtern

Ich habe immer gedacht, dass Sie keinen Passwort-Manager verwenden sollen, sondern Ihre Passwörter im Kopf behalten sollen, aber in letzter Zeit habe ich über die Vor- und Nachteile eines Passwort-Managers nachgedacht.

Einige Bereiche können sein: Kennwortlänge, Verhinderung von Schlüsselprotokollierern, Entropie zwischen Kennwörtern, Zugänglichkeit.

(Ich bin nicht und frage, wie man ein hartes, aber einprägsames Passwort erstellt! Es könnte ein Teil der Lösung sein, aber nicht die ganze Frage.)

Schließlich gibt es eine Möglichkeit, sie zu kombinieren: Behalten Sie eine Hälfte im Manager und geben Sie die andere ein, um Key Logger zu vermeiden.

50
KilledKenny

Ich schrieb im letzten Jahr über die Vor- und Nachteile von Passwort-Managern:

Vorteile:

  • Hervorragendes Gleichgewicht zwischen Komfort und Sicherheit - Menschen wählen in der Regel einfache Passwörter und verwenden dasselbe Passwort (oder dieselbe Basis) wieder, weil es so viele davon gibt und Sie sie so oft eingeben müssen. Mit 1Password oder Lastpass können Sie ein wirklich sicheres Passwort generieren (zumindest für Ihre kritischen Konten), es aber dennoch automatisch ausfüllen oder zumindest verfügbar auf Ihrem Telefon notieren lassen. Ein echter Vorteil liegt auch in geheimen Fragen. Dies ist häufig eine Schwachstelle, an der ein wirklich starkes Passwort ein 5-Buchstaben-Wörterbuch Word als geheime Antwort auf Fragen enthält. Sie können jetzt auch starke geheime Fragenantworten generieren

  • Portabilität - Das Problem bei der Verwendung der Funktion zum Speichern des Kennworts in Ihrem Browser besteht darin, dass es nicht portierbar ist, wenn Sie es nicht mit einer Google- oder Firefox-Synchronisierung kombinieren. Selbst dann ist es derzeit nicht auf Ihrem Telefon verfügbar (zumindest nicht auf dem iPhone, nicht sicher, ob der Android Browser hat Google Sync)

  • Sichere Speicherung - Ihre vertraulichen Informationen werden im Speicher verschlüsselt und durch ein Hauptkennwort geschützt. Dies ist viel besser, als es nur irgendwo zu schreiben oder in einer Notiz oder einer unverschlüsselten Tabelle zu speichern

  • Nicht nur für Passwörter - Sie können Bankdaten, Versicherungsnummern, Kreditkarten, Passnummern usw. speichern, wodurch Sie Zeit beim Eingeben dieser Daten sparen und sicheren Zugriff auf die Daten beim Umzug erhalten. Sie können auch Dateien wie Scans Ihrer Dokumente oder Ihrer privaten Schlüssel speichern

  • Verbessern Sie Ihr Gedächtnis - auf Websites, die ich kaum benutze, und auf Regierungsseiten mit diesen komplizierten Benutzernamen kann ich mich nie an diese Details erinnern. Starten Sie das iPhone, 1Password und alles, was Sie zur Hand haben, mit einer einfachen Suche

  • Die Leute fügen dieser Liste auch Anti-Phishing/Anti-Malware hinzu, aber dieser Liste stimme ich nicht zu. Sie müssen noch Ihr Hauptkennwort eingeben, das von Malware erfasst werden kann. Wenn Sie es auf Ihrem Telefon haben, und das Kennwort erneut eingeben, kann es erfasst werden. Wenn Sie Websites mit dem Tool starten, könnte dies ein Anti-Phishing-Vorgang sein, aber das entspricht dem direkten Eingeben oder Verwenden Ihrer Lesezeichen

Nachteile:

  • Single Point of Failure, Schlüssel zum Königreich - Wenn Sie Ihren Schlüsselbund mit Ihrem Telefon synchronisieren oder auf Ihrem Desktop oder Laptop haben, können einige darauf zugreifen. Wenn Ihr Master-Passwort schwach ist, verlieren Sie alles auf einmal. Soweit mir bekannt ist, bietet 1Password keine hardwarebasierte Zwei-Faktor-Authentifizierungsoption für das Hauptkennwort an, die das Risiko hierfür erheblich verringern würde. Lastpass bietet die Verwendung eines Yubikey als Zwei-Faktor-Mechanismus an. Da Lastpass jedoch über eine Webanwendung verfügt, kann es zu Schwachstellen in Webanwendungen (z. B. XSS) kommen, die dazu führen können, dass Ihre Kontodaten und im schlimmsten Fall Kennwörter offengelegt werden.

  • Allgemeine Geschäftsbedingungen - es wird technisch immer noch "ein Passwort aufschreiben". Dies verstößt möglicherweise gegen die Allgemeinen Geschäftsbedingungen für Dinge wie Ihre Internet-Banking-Website. Dies kann den Schutz, den Sie im Falle eines Betrugs erhalten, verringern oder aufheben. Sie können dies jederzeit überprüfen und das Kennwort für diese Websites nicht speichern

  • Vertrauen in die Cloud - Sie soll im Speicher verschlüsselt sein. Wenn Sie jedoch die Daten synchronisieren, werden einige Benutzer niemals darauf vertrauen, dass 1Password oder Lastpass keine Hintertür haben, was möglicherweise einem böswilligen oder verärgerten Mitarbeiterzugriff ermöglicht. Alle Software weist Schwachstellen auf. Auch hier kann eine schwerwiegende Sicherheitsmaßnahme einem Angreifer den Zugriff auf Ihre Daten ermöglichen

Eine andere Möglichkeit besteht darin, einen Kennwort-Tresor zu verwenden, der in einem hardwareverschlüsselten Gerät wie einem Ironkey gespeichert ist. In Versionen ist ein Passwort-Manager geladen. Dies ist etwas weniger praktisch, da Sie ihn an ein USB-Laufwerk anschließen und Lesezugriff darauf haben müssen, aber er ist definitiv sicherer. Es mindert einige der oben genannten Risiken, ist hardwareverschlüsselt und nur auf Ihrem Gerät gespeichert. Auch wenn sich Ihr Ironkey an Ihrem physischen Schlüsselbund befindet, ist die Wahrscheinlichkeit, dass Sie ihn verlieren, weitaus geringer als bei Ihrem Telefon oder Laptop. Sie können es auch aus der Ferne zerstören, wenn Sie es schaffen, es zu verlieren.

Für die Online-Remote-Zerstörung benötigen Sie die Enterprise-Version des Schlüssels. Die Remote-Zerstörung ist eine Funktion in der Verwaltungskonsole. Wenn der Schlüssel eingesteckt ist, ruft er nach Hause. Wenn die Zerstörung aktiviert wurde, wird sie zu diesem Zeitpunkt unbrauchbar und alle Daten gehen effektiv verloren (glauben Sie, indem Sie die Entschlüsselungsschlüssel wegwerfen). Es gibt auch einen Offline-Modus (ähnlich einem iPhone), in dem Sie festlegen können, dass er sich nach 10 fehlgeschlagenen Hauptkennwortversuchen automatisch selbst zerstört.

Schlussfolgerung

Insgesamt glaube ich, dass die Vorteile die Nachteile überwiegen. Wenn Sie keine Option für die Zwei-Faktor-Authentifizierung haben, ist ein sicheres Kennwort Ihre einzige Verteidigung. Die Verwendung eines Passwort-Tresors macht dies viel praktischer und bequemer.

Es gibt keinen Grund, warum Sie nicht die Hälfte des Passworts in einem Passwort-Manager behalten und sich an den Rest erinnern könnten. Dies würde es für einen Key Logger schwieriger machen, Ihr Passwort zu erfassen, aber der Kompromiss für die Benutzerfreundlichkeit lohnt sich möglicherweise nicht. Eine bessere Option ist vielleicht, zwei Faktoren für Ihre wirklich vertraulichen Informationen und einen Passwort-Manager für den Rest zu verwenden

46
Rakkhi

Wenn jemand Ihre Box gerootet hat, kann er Ihre Passwörter meiner Meinung nach mit nicht allzu viel Aufwand von beiden Methoden abrufen. Sie können Ihre Kennwortdatei für den Kennwortmanager und das Kennwort für diese Datei über einen Keylogger abrufen. Wenn Sie nur gespeicherte Passwörter verwenden, werden diese im Laufe der Zeit erfasst, wenn Sie sie eingeben.

Wenn jemand physischen Zugriff auf Ihren Computer hat, um einen Keylogger zu installieren und abzurufen, kann er sich an Ihrem Computer anmelden if er hat längere Zeit physischen Zugriff. Wenn sie nicht genug Zeit dafür haben, sind Sie mit dem Passwort-Manager sicherer, da sie nicht über Ihre Passwortdatei verfügen (nur das Passwort dafür). Wenn sie Zeit haben, Root-Zugriff auf Ihre Box zu erhalten und den Remotezugriff nach Belieben zu ermöglichen, befinden Sie sich an derselben Position wie im ersten Absatz.

Wenn Sie so darüber nachdenken, gibt es sehr wenig oder gar nichts, was das Auswendiglernen über Passwort-Manager hält. Und dass Sie und Ihre Passwörter abgespritzt werden, wenn jemand, der schändlich ist, physischen Zugriff hat OR kann Ihren Computer remote rooten. Das Verhindern dieser beiden Angriffe ist der Schlüssel.

Sie benötigen zunächst eine gute physische Sicherheit, um physische Angriffe zu verhindern. Dann müssen Sie Remote-Angriffe verhindern - eine gute Netzwerkperimetersicherheit implementieren, ein Minimum an Diensten aktivieren und gute Sicherheitspraktiken für diejenigen anwenden, für die Sie keine andere Wahl haben, als sie zu aktivieren. Üben Sie außerdem sichere Surfgewohnheiten, halten Sie Ihren Computer regelmäßig auf dem neuesten Stand usw., d. H. Die vorbeugenden Maßnahmen, die verhindern, dass Sie überhaupt verwurzelt werden. Und Sie benötigen Backups, falls Sie verwurzelt sind. Wenn Sie verwurzelt sind, sollten Sie davon ausgehen, dass Sie jedes Kennwort ändern müssen, unabhängig davon, ob Sie einen Kennwortmanager verwenden oder nicht.

Das einzige, was Sie IMO auswendig lernen, ist vielleicht ein bisschen Zeit, bis jemand Ihre wichtigen Passwörter protokolliert. Sie opfern viel dafür. Das Speichern ist nicht skalierbar. Je mehr Websites Sie verwenden (und je mehr das Web unser Leben durchdringt, desto mehr Benutzernamen und Passwörter werden benötigt), desto mehr Dinge benötigen Sie Passwörter. Und sie profitieren zunehmend davon, stark zu sein. Um sie stark zu machen, erfordert der Benutzer viel Aufwand und erschwert das Auswendiglernen. Oder wenn Sie sie auf ein Blatt Papier schreiben, haben Sie das gleiche Problem wie der Passwort-Manager, außer dass es schwieriger zu sichern und zu synchronisieren ist, auffälliger, leichter zu verlegen, im Klartext usw. Und Sie müssen sie eingeben in der ganzen Zeit, anstatt zu kopieren und einzufügen.

Wenn Sie zumindest einen Passwort-Manager verwenden, können Sie für jede Site im Internet, die Sie verwenden (möglicherweise viele), sehr sichere und unterschiedliche Passwörter verwenden. Und auch die Möglichkeit, sich die verschiedenen Benutzernamen leicht zu merken, zusammen mit Notizen zu den spezifischen Sites. Wenn Sie sich ein sicheres Passwort für Ihren Passwort-Manager merken, müssen diese in der Lage sein, Ihre Tastenanschläge irgendwie dazu zu bringen, Ihre Datei zu verwenden, oder sie benötigen Ihre Datei, um Ihre Tastenanschläge zu verwenden.

7
user1971

In 10 Jahren haben sich die Dinge sehr verändert. Daher sind fast alle Antworten im vorherigen Beitrag veraltet. In den letzten Jahren verwende ich definitiv einen Schlüsselmanager, anstatt mir Schlüssel für Onlinedienste zu merken. Aber bewahren Sie lokale Geheimnisse an einem anderen Ort auf. Es gibt zwei Hauptrichtungen, in die Ihre Geheimnisse einbezogen werden können.

  1. Aus dem Internet. Das bedeutet, dass die von Ihnen genutzten Onlinedienste gehackt oder gezwungen wurden, Ihren Pass preiszugeben.
  2. Ihr lokales System wurde kompromittiert: Malware, physischer Diebstahl, Raub ...

Es ist schwer zu sagen, welche Richtung heutzutage im Allgemeinen riskanter ist. Aber ich muss sagen, dass das 2. Risiko für einen verantwortungsbewussten Benutzer weitaus geringer ist. Ein verantwortlicher Benutzer wird nicht tun:

  1. bewahren Sie Geheimnisse auf allen Geräten als Klartext auf.
  2. lassen Sie andere Ihre eigenen Konten verwenden.
  3. vergessen Sie, Ihre Geheimnisse verschlüsselt zu sichern.
  4. verwenden Sie dasselbe Passwort länger als 3 Monate
  5. deaktivieren Sie die Firewall und die Antimalwaresoftware
  6. vergessen Sie, die Sicherheitspatches für Ihr System zu aktualisieren ...

Wenn mehrere Geräte von Tätern erhalten wurden. Sie können in kurzer Zeit (mehrere Jahre) immer noch nichts entsperren, da sie nicht über Ihre Hauptschlüssel verfügen. Danach ändert ein verantwortlicher Benutzer seine Passwörter so schnell wie möglich (in wenigen Tagen). Dann ist alles wieder normal. Man würde fragen, was wäre, wenn wir gezwungen wären, den Masterpass aufzugeben? Nun, in diesem Fall haben wir es trotzdem versaut. Sie können Sie sogar dazu zwingen, Ihr Vermögen direkt zu übertragen, ohne sich die Mühe zu machen, Sie nach Passwörtern zu durchsuchen. Wenn Sie das Gefühl haben, immer in diesem Risiko zu sein, gibt es nur eine Sache, die Sie möglicherweise hilfreich finden: die Verwendung einer plausibel leugnbaren Verschlüsselung.

Andererseits ist das 1. Risiko nicht das, was wir kontrollieren. Und das passiert in den letzten Jahren sehr oft. Das kann man nicht wirklich vermeiden. Wir können nur den Schaden minimieren. Theoretisch kann sich niemand mehr als Dutzende von Passwörtern merken und diese alle paar Monate ändern. Wenn wir also keinen Passwort-Manager verwenden, ist es wahrscheinlicher, dass Sie ähnliche Passphrasen für verschiedene Dienste verwenden müssen. Dies gibt den Tätern die Möglichkeit, nach einem erfolgreichen Angriff auf einen Dienst problemlos auf Ihre anderen Konten zuzugreifen. Daher ist das Risiko hier sehr hoch. Mit dem Passwort-Manager können Sie alle paar Wochen zufällige Zeichen für das Passwort generieren. Selbst Sie könnten Ihr Passwort nicht erraten. Also haben wir den Verlust auf nur ein Konto beschränkt. @Rakkhi war besorgt darüber, dass mehrere Kopien von Schlüsselanhängern auf verschiedenen Geräten nach dem physischen Zugriff alles gefährden können. Dieses Risiko ist in den letzten Jahren sehr gering, da wir in der 2. Angriffsrichtung erwähnt haben. Darüber hinaus müssen Sie Ihre Schlüsselanhänger nicht mehr auf anderen Geräten aufbewahren. In einer Ideensituation bewahren Sie Ihre Passwort-Manager nur an einem sicheren Ort auf Ihrem Master-PC auf. Alle anderen Geräte können den von Ihrem Diensteanbieter bereitgestellten Anwendungs-/Gerätepass verwenden. Das App-Passwort ist eine zufällige Passphrase, die von Ihrem Dienstanbieter wie MS, Google, Facebook usw. generiert wird. Diese App-Passwörter werden auf Ihrem Gerät gespeichert und durch den Entsperr-/Sperrmechanismus Ihres Geräts verschlüsselt. Normalerweise hat jedes Gerät unterschiedliche Sätze zufälliger App-Passwörter. Sie können diese Passwörter auf den Webseiten Ihrer Dienstanbieter widerrufen. Selbst wenn es jemandem gelungen ist, auf Ihr einziges mobiles Gerät zuzugreifen, kann er für einige Minuten Zugriff erhalten, aber Sie können den Zugriff dieses Geräts auf Ihre Konten so schnell wie möglich deaktivieren. Wenn Sie Ihre Geräteverschlüsselung wie Fingerabdruck oder Zeichnungen ordnungsgemäß eingerichtet haben, können diese nicht einmal über einen längeren Zeitraum auf Ihre Daten zugreifen, wie im 2. Risiko erwähnt.

Die Schlussfolgerung lautet also: Sie sollten auf jeden Fall den Passwort-Manager auf einem Master-Gerät verwenden, das App-Passwort für andere Geräte einrichten und ein verantwortungsbewusster Benutzer sein.

1
Wang

Rakkhi macht eine sehr gute Darstellung der Vor- und Nachteile von Passwort-Managern. Um dies zu ergänzen und Ihre Frage zu beantworten, ob Ansätze kombiniert werden können, gibt es eine einfache Möglichkeit, dies zu tun. Sie können einen Passwort-Manager verwenden, um komplexe Passwörter aufzuschreiben, die zu schwer zu merken sind. Fügen Sie jedoch ein zusätzliches Maß an Schutz hinzu, indem Sie sich einen einfachen Algorithmus zum Transformieren Ihrer Passwörter merken.

Ein solcher Algorithmus besteht darin, einen Teil des Dienstnamens mit Ihrem Kennwort zu verketten (manche nennen es Salting, aber ich bin mir nicht sicher, ob es in diesem Fall angemessen ist).

Nehmen wir als Beispiel an, Ihr Passwort-Manager gibt Ihnen "Aw! EI10". Als Ihr Facebook-Passwort könnte Ihr aktuelles Passwort "FB-Aw! eI10" sein. . Die Kosten einer solchen Methode für die Benutzerfreundlichkeit sind einfach (denken Sie daran, Ihren Algorithmus einzugeben und dann Ihr Kennwort von Ihrem Manager einzufügen) und können jemanden entmutigen, der Ihren Kennwortmanager in die Hände bekommen hat, oder Ihnen zumindest genügend Zeit zum Zurücksetzen geben Ihre Passwörter, wenn Sie feststellen, dass Ihr Manager kompromittiert wurde.

0
Bushibytes