Passwörter
Du bist hier : | {{#youAreHere:Passwörter}} |
Der bekannte Passwort-Ansatz
Passwörter sind allgegenwärtig. Jeder sollte mittlerweile die gewissen Grundregeln zum Umgang mit Passwörter kennen :
- schwer zu erraten
- keine Worte aus dem Wörterbuch (auch zusammengesetzt)
- Zahlen, Symbolen, Groß- und Kleinschreibung
- nicht ungeschützt liegen lassen (z.B. Post-It unter der Tastatur)
Es gibt 2 Möglichkeiten im Umgang mit Passwörter :
- eine kleine Menge, schwer zu erratenden, aber leicht zu merkende Passwörter, die man für alles verwendet.
- ein Passwort was nur einmalig benutzt wird
Lösung 1 ist öfters in Zeitschriften beschrieben. Dabei wird geraten, einen bekannten Satz in ein Passwort umzusetzen, in dem man z.B. die Erstbuchstaben der Wörter nimmt. Diese Lösung kann man natürlich nur bei einer begrenzten Anzahl an Passwörter anwenden, man stösst sehr schnell an die Grenzen des Gedächtnisses.
Die 2. Lösung ist natürlich die sicherste, da ein geknacktes Passwort nur einen Zugang öffnet. Allerdings muss man sich eine recht beachtliche Menge an Passwörter merken, die alle die Grundregeln folgen sollen.
Password Safes
Abhilfe kommt von sog. Password Safes, Programme, die Passwortlisten verwalten, und sie mit einem Master-Passwort schützen. Vorteil : man muss sich nur noch ein Passwort merken, man kann den Safe auf einem USB Stick überall mitnehmen. Nachteil : ist diese Passwort geknackt heisst es für den Hacker : "Jackpot" ! Es gibt zwar recht viele solcher Programme (insbesondere für Windows), jedoch recht wenig, die man unter Windows und Linux verwenden kann, und deren Verschlüsselung nachvollziehbar sicher ist :
- [Passwordsafe|http://passwordsafe.sourceforge.net/ Passwordsafe]
- KeePass bzw. KeePassX
Passwort Generatoren
Die Idee : man nehme ein Master-Passwort, sowie einen eindeutigen Text, der die Seite Beschreibt (Titel, URL, ...). Daraus generiert man dann ein eindeutiges, und einzigartiges Passwort, welches man zum Anmelden benutzt.
Da das Passwort generiert wird, kann es beliebig kompliziert sein, man muss es sich ja nicht merken.
Alternativen zu Passwörter
Browser Zertifikate
Hier liefert der Browser selber das Passwort in der Form eines Zertifikats. Solch ein Zertifikat kann man sich zB als CAcert Benutzer erstellen lassen.
Vorteile:
- man muss sich kein Passwort mehr merken
- die Zertifikate haben viele Bits, sind daher schwer zu knacken
Nachteile:
- wer Zugriff auf den Browser hat, kommt überall rein
- die Software muss den Login per Zertifikat unterstützen
OpenID
Hier hat man zwar noch ein Passwort, allerdings benutzt man es nicht um sich direkt einzuloggen. Stattdessen gibt man die URL seines OpenID Providers an. Beim Einloggen wird man dort weitergeleitet und gibt dort sein Passwort ein. Ist es korrekt, kommt man zur ursprünglichen Seite zurück und ist eingeloggt. Weitere Details gibt's auf der OpenID Seite im Wiki
Vorteile :
- man kann dasselbe Passwort mehrfach benutzen
- die einzelnen Webseiten bekommen nichts vom Passwort mit
- Fishing wird erschwert - es gibt ja nur das eine Anmeldeformular, das sollte man kennen
Nachteile :
- wer das Passwort kennt kommt überall rein
- man benötigt einen OpenID Server
- dieser ist der wunde Punkt. Ist der kompromittiert hat man ein großes Problem
- die Software muss den Login per OpenID Protokoll unterstützen