Passwort Datei anlegen und verschlüsseln

C

Coolzero82

Enthusiast
Thread Starter
Mitglied seit
05.11.2010
Beiträge
633
Hallo, bei der Flut an unterschiedlichen Passwörtern die man heute hat, möchte ich mir ein Passwortdatei anlegen, wo ich im Notfall nachsehen kann wie mein PW für dienst xy ist.

Diese Datei soll so gut wie möglich verschlüsselt sein, und wenn möglich auch versteckt.

Was könnt ihr mir empfehlen? Wie sollte ich vorgehen?

Danke
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
Hallo, also ich würde die Datei an sich gerne komplett verschlüsseln und dann find ich deine Idee mit dem verschlüsselten USB stick auch noch sehr interessabt
 
So etwas erleichtert einem zwar u.U. die Sache mit den Passwörtern, aber es reduziert auch die Sicherheit deutlich.
Bei einer Passwortdatei muß ich nur gernau 1 Passwort hacken (nämlich das, um die Passwortdatei zu öffnen), um an alle anderen passwortgeschützten Bereiche dran zu kommen.
Habe ich keine Passwortdatei, muß ein Hacker jedes einzelne Passwort hacken.
 
Deshalb möchte ich diese eine Datei ja auch besonders gut verschlüsselt haben
 
Anders muss ich mir nur die Phraspase für den verschlüsselten Container knacken und habe auch alle Passwörter. Und wenn man so gut ist, sich diverse Passwörter zu merken, kann ich auch gleich auf so etwas verzichten.
 
teqqy schrieb:
Anders muss ich mir nur die Phraspase für den verschlüsselten Container knacken und habe auch alle Passwörter. Und wenn man so gut ist, sich diverse Passwörter zu merken, kann ich auch gleich auf so etwas verzichten.
Zum Vergrößern anklicken....

Das hab ich jetzt nicht verstanden ....
 
gelöscht
 
Zuletzt bearbeitet von einem Moderator:
RPU schrieb:
Um jetzt an diese Passwörter ran zu kommen braucht "der böse" Mensch:
Physikalischen Zugriff auf diesen Stick
Zum Vergrößern anklicken....
Nö. Er muss nur einmal physikalischen Zugriff auf den PC haben, an welchem der Stick angewendet wird. Keylogger installiert, fertig ist die Laube...
Würde ich mich an diesem kompromittierten PC nur bei eBay anmelden, hätte der Angreifer exakt mein eBay-Passwort. Muss ich erst in meinem Schlüsselarsch nachschauen, so hat er mit sofortiger Wirkung alle Passwörter, die ich darin abgelegt habe.

Ich halte überhaupt nichts von solcherlei Software. Woher weiss ich, dass sie "sicher" ist? Wieso kann ich den Programmierern vertrauen? Wer garantiert mir, dass es keine Hintertür gibt? Neenee, Passwörter gehören nicht aufgeschrieben. Nirgendwo.
 
Zuletzt bearbeitet:
@Ralf, danke für die sehr ausführliche Erklärung, könnte mir vorstellen das ich so vorgehe.
@Dirk. Bin grundsätzlich bei oft das das aufschreiben immer ein gewissen Risiko beinhaltet, das allerdings auch das gleiche ist wie du ja auch schreibst wenn man sich einen keylogger einfängt und bei Ebay z.b einloggen. Denke das wir mal in einem eigen thread eine interessante Diskussion wie man seinen pc best möglich absichern kann /sollte
 
dirk11 schrieb:
Nö. Er muss nur einmal physikalischen Zugriff auf den PC haben, an welchem der Stick angewendet wird. Keylogger installiert, fertig ist die Laube...
Würde ich mich an diesem kompromittierten PC nur bei eBay anmelden, hätte der Angreifer exakt mein eBay-Passwort. Muss ich erst in meinem Schlüsselarsch nachschauen, so hat er mit sofortiger Wirkung alle Passwörter, die ich darin abgelegt habe.
Zum Vergrößern anklicken....

Das hast du dir jetzt aber arg schön geredet... Wenn der PC kompromittiert ist, hast du so oder so "geschissen"...
Der Keylogger wäre ja dann nicht nur die 5 Minuten aktiv, die du bei eBay surfst sondern im Zweifelsfall über Wochen und Monate... Damit kommt der Angreifer an alle deine wichtigen Kennwörter. Und im Fall der Fälle reicht ihm sogar genau eines - das deines eMail-Anbieters, denn damit hat er fast für alle Dienste die Möglichkeit, sich deren Usernamen und Kennwörter zugänglich zu machen.

Ich halte überhaupt nichts von solcherlei Software. Woher weiss ich, dass sie "sicher" ist? Wieso kann ich den Programmierern vertrauen? Wer garantiert mir, dass es keine Hintertür gibt? Neenee, Passwörter gehören nicht aufgeschrieben. Nirgendwo.
Zum Vergrößern anklicken....
So Recht du damit in Prinzip auch hast, Dirk...
Die allerwenigsten sind dazu in der Lage sich dutzende, aus 16+ Zeichen bestehende, Buchstaben, Zahlen und Sonderzeichen beinhaltende Kennwörter zu merken.
Wie löst man das Problem dann?
Einfach zu merkende, minimalistische Passwörter? Unsicher...
Mehrere Dienste mit dem gleichen Passwort? Unsicher...
Ein "System" nachdem sich die Passwörter zusammensetzen? Potentiell unsicher...
Passwort-Container? Potentiell unsicher...

Irgend einen Tod musst du sterben...
 
Zuletzt bearbeitet:
FLiNTx schrieb:
Das hast du dir jetzt aber arg schön geredet... Wenn der PC kompromittiert ist, hast du so oder so "geschissen"...
Der Keylogger wäre ja dann nicht nur die 5 Minuten aktiv, die du bei eBay surfst sondern im Zweifelsfall über Wochen und Monate...
Zum Vergrößern anklicken....
Da hast du natürlich Recht, ich hatte aber vorausgesetzt, dass man selbst an diesen PC nur kurz geht, Internetcafe, Hotel, irgendsowas halt...

Ein "System" nachdem sich die Passwörter zusammensetzen? Potentiell unsicher...
Zum Vergrößern anklicken....
Das schlägt u.a. die c't vor, und ich halte es für sicherer als einen Passwort-"Safe".
 
dirk11 schrieb:
Ich halte überhaupt nichts von solcherlei Software. Woher weiss ich, dass sie "sicher" ist? Wieso kann ich den Programmierern vertrauen? Wer garantiert mir, dass es keine Hintertür gibt? Neenee, Passwörter gehören nicht aufgeschrieben. Nirgendwo.
Zum Vergrößern anklicken....

Bei KeePass ist der Quellcode offen, d.h. jeder kann reingucken und nach Hintertürchen suchen. Ich persönlich mach das nicht weil mir meine Zeit dafür zu Schade ist und ich sowieso Tage brauche, bis ich erst mal kapiere was in fremdem Code abgeht, aber ich geh mal davon aus dass genügend andere Leute draufgeguckt haben und bei einer möglichen Backdoor die Hölle los gewesen wäre.

Und wenn du total paranoid bist, bzw. auf Nummer sicher gehen willst, kompilierst du dir deine KeePass.exe auch noch selber.
 
Zuletzt bearbeitet:
Die Frage ist, was ist wahrscheinlicher und gefährlicher:
- jemand hat physikalisch Zugriff auf deinen pc
- Anbieter eines Dienstes verliert dein Passwort

Mit einem Passwort-Manager hat man die Möglichkeit für jeden einzelnen Dienst ein langes und starkes Passwort zu nutzen.
 
clancy688 schrieb:
Bei KeePass ist der Quellcode offen, d.h. jeder kann reingucken und nach Hintertürchen suchen. Ich persönlich mach das nicht weil mir meine Zeit dafür zu Schade ist und ich sowieso Tage brauche, bis ich erst mal kapiere was in fremdem Code abgeht, aber ich geh mal davon aus dass genügend andere Leute draufgeguckt haben und bei einer möglichen Backdoor die Hölle los gewesen wäre.
Zum Vergrößern anklicken....
Ja, aber das ist dennoch ein wichtiger Punkt. Es kommen immer wieder Sprüche wie "der Quellcode ist offen, sieh doch nach!". Nur - wer kann das wirklich? Bei Keepass mag das für jemanden, der Übung hat, noch gehen, aber bei sowas wie Truecrypt hört es dann spätestens auf, da braucht man eine ganze Mannschaft, die Monate braucht, um den Code zu prüfen. Und für schätzungsweise 90% der Benutzer solcherlei Software klingt diese Aufforderung regelmäßig nur wie ein Affront, denn sie können das schlicht nicht.

Und wenn du total paranoid bist, bzw. auf Nummer sicher gehen willst, kompilierst du dir deine KeePass.exe auch noch selber.
Zum Vergrößern anklicken....
Ja, und wer kann das von den Windows-Nutzern, die bei jedem Problem ihr "System neu aufsetzen"? Vermutlich 98% nicht...

- - - Updated - - -

IMars schrieb:
Mit einem Passwort-Manager hat man die Möglichkeit für jeden einzelnen Dienst ein langes und starkes Passwort zu nutzen.
Zum Vergrößern anklicken....
Was für sich gesprochen totaler Bullshit ist. Natürlich sind lange Passwörter besser als kurze Passwörter, aber die "Knack-Wahrscheinlichkeit" wird dadurch nicht unendlich besser. Alles über 10 Zeichen im erweiterten Raum (Aa0-9,.Ö:...) ist beim heutigen Stand der Technik und des Wissen ausreichend. Es kommt ja nicht auf die Länge des PW an, sondern darauf, wie es beim Gegenüber (auf den du exakt keinen Einfluss hast) gespeichert wird. Das sicherste Passwort ist nutzlos, wenn es beim Dienst, wo du es anwendest, im Klartext gespeichert wird und dann noch gestohlen wird. Da kann es 256-stellig sein, ist egal...
 
dirk11 schrieb:
Das sicherste Passwort ist nutzlos, wenn es beim Dienst, wo du es anwendest, im Klartext gespeichert wird und dann noch gestohlen wird. Da kann es 256-stellig sein, ist egal...
Zum Vergrößern anklicken....

Mir wurde mal ein Passwort "geklaut". Ein Forum wurde gehackt und die Angreifer bekamen Zugriff auf die Datenbank mit den MD5-Hashes. Aus irgendwelchen Gründen stand der Hash meines Passworts schon in einer Passwort-Sammlung im Internet und somit kamen die Angreifer über den Hash an mein Passwort im Klartext und somit an meinen Account in einem anderen Forum... wo ich blöderweise Super-Moderator war.

Glücklicherweise hat's mir der Admin dieses Forums nicht übel genommen und es gab erst einen Tag vorher ein Backup, insofern war nicht viel passiert. Aber ich war natürlich die nächsten paar Wochen die Lachnummer. ;)

Das war dann dann der sicherheitstechnische Schuss vor den Bug der mir die Augen geöffnet hat. Seitdem sind bei mir Standard-Passwörter für mehrere (sicherheitskritische) Dienste im Internet ein No-Go...
 
Solangsam bin ich verwirrt;-)

Aber ok, würde sagen wir bei allem gibt es nicht die eine unknackbare ideal Lösung.
Von daher werd ich mich wohl auf eine Kombi aus Datei Verschlüsselung und verschlüsseltem USB Stick setzen, welchen ich nur an einem alten NetBook mit Linux nutze welcher nicht im Netzwerk hängt, somit sollte es unwahrscheinlich sein das ein keylogger installier wird.

Aber das Thema des Angesichtern pc's würde mich dann doch noch interessieren
 
Coolzero82 schrieb:
Solangsam bin ich verwirrt;-)
Zum Vergrößern anklicken....
Musst du nicht.
Meine Meinung:
Benutze ein gutes Stamm-Passwort und erweitere es pro Anmeldung durch eine von dir gewählte, sinnvolle Erweiterung, also sozusagen einen eigenen Algorithmus wie z.B. " addiere 12, nehme das Geburtsdatum meines Hundes, die letzten zwei Buchstaben seines Vornamen und erzeuge daraus vier zusätzliche Zeichen". Speichere keines dieser PW irgendwo zwischen.

Die andere Meinung:
Nutze Keepass.
 
Das tu ich schon so ungefähr, aber ich erwische mich immer wieder dabei das ich dann bei einem Dienst denn ich nicht so häufig nutze schwer ins grübeln komme, da es mittlerweile viele sind, z.b ca 10 verschiede Foren Passwörter
 
Hier kamen schon ein paar gute Grundgedanken zusammen.

Es ist im Prinzip egal wie kompliziert das Passwort ist, wo und wie ich es aufschreibe/Speichere usw. wenn auch nur ein Pfeiler des ganzen Hauses morsch ist.
Wenn also der Email Anbieter sein System nicht sichert, man einen Schädling auf dem System hat oder was auch immer, hilft das beste Mittel nichts.

Daher sollte man erstens nicht überall das gleiche Passwort verwenden. Denn wenn zum Beispiel ebay sich das Passwort mopsen lässt und der Dieb testet mit dem Passwort/Benutzer noch woanders, kommt er eventuell auch bei anderen Diensten rein.

Wenn man aber sein eigenes System nicht richtig sichert, ist dort der Schwachpunkt.

Daher wäre aus meiner Sicht das wichtigste eben überall andere Passwörter zu verwenden, das eigene System korrekt zu sichern und nicht auf jeden Link klicken den man sieht (brain.exe) und ich persönlich empfehle das aufschreiben auf ein Blatt Papier.
So mache ich das und fahre seit Jahren damit recht gut. Zwar ist aus dem einen Blatt Papier mittlerweile schon ein schöner Haufen geworden, aber so vergesse ich auch keines. Denn was machst du wenn du es super gesichert auf deinem Rechner hast und nun geht die Festplatte hops?
 
Wer speichert seine Passwort datei bitte nicht redundant?

Achja, ich mach es so. Ich benutze Keypass. Und auf allen Seiten wo man ne Anmeldung braucht ein durch Keypass generiertes Passwort nehmen und gleich nen Autotype für die Homepage erstellen.
 
Zuletzt bearbeitet:
Ok
 
Anmelden, um zu antworten.

Ähnliche Themen

E
ESXi (free) zusätzlicher Benutzer mit SSH Zugriff
Antworten
1
Aufrufe
235
Liesel Weppen
L
R
Erreichbarkeit "Self Hosted Services" mit Proton-VPN
Antworten
2
Aufrufe
407
RedMoon
RedMoon
E
Multiroom System gesucht
Antworten
0
Aufrufe
119
emilia1980
E
F
Passwort ändern über Fingerprint?!
Antworten
0
Aufrufe
298
fooBar
F
chiemsee
Keepass: der freie Password-Manager - welche Plugins setzt ihr denn ein!?
Antworten
7
Aufrufe
995
toscdesign
toscdesign
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh