Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Jeder kennt das Problem mit den Passwörtern. Es sollen starke Passwörter sein, sie sollen für jede Site unterschiedlich sein und außerdem soll man sich das alles auch noch merken und auf keinen Fall auf einen Zettel unter der Tastatur "speichern".

Was ist ein starkes Passwort?

Diese Frage muss man unter Beachtung des aktuellen Stand der Technik beantworten. Wörter­buch­angriffe sind ein alter Hut. Das Passwort darf kein Wort aus dem Duden sein, das ist einfach zu knacken. Für zufällige Kombinationen aus Buch­staben, Zahlen und Sonder­zeichen kann man Cloud Computing für Brute Force Angriffe nutzen. Dabei werden alle möglichen Kombinationen probiert.

Ein 6-stelliges Passwort zu knacken, kostet 0,10 €. Eine 8-stellige Kombination hat man mit 300 € wahrscheinlich und mit weniger als 800 € sicher geknackt. Um eine 15-stellige Kombination aus zufälligen Groß- und Klein­buch­staben, Zahlen und Sonder­zeichen oder eine Diceware Pass­phrase aus 6 Wörtern mit 50% Wahrschein­lichkeit zu knacken, würde man viele, viele Jahre benötigen.

Für eine gute Passphrase zum Schutz wichtiger Accounts wie E-Mail, Bank Account, Cloud Speicher oder VPN-Zugängen sollte man mindestens 12 zufällige Zeichen verwenden (Groß- und Klein­buch­staben, Zahlen und Sonder­zeichen) oder eine Diceware Passphrase mit 5 Wörtern. 

Wie findet man eine starke Passphrase?

Eine gute Passphrase muss eine wirklich zufällige Kombination von Zeichen oder Wörtern sein. Es gibt mehrere, mathematisch begründete Möglichkeiten, um starke Passwörter zu generieren:

Nicht das gleiche Passwort für mehrere Logins verwenden

Verwaltung der Login Credentials / Passwörter

  1. Firefox Login Manager: Wenn man auf einer Webseite Login Credentials eingibt, fragt Firefox standardmäßig, ob er die Zugangs­daten für diese Webseite speichern soll und kann die gespeicherten Passwörter später automatisch einfügen.

    Für die Konfiguration gibt es einige Sicherheits­hinweise zu beachten, da Kriminelle und Tracking­dienste es in den Standard Einstellungen mit bösartigen Intentionen exploiten.

    In den Einstellungen kann man die Passwort­verwaltung auch abschalten, wenn man andere Tools nutzt und nicht immer mit den Fragen belästigt werden möchte.

  2. Passwortspeicher sind kleine Tools, die Username/Passwort Kombinationen und weitere Informationen zu Accounts in einer verschlüsselten Datenbank verwalten. Es gibt Gründe, die für die Verwendung eines Pass­wort­speichers sprechen:
    • Im Gegensatz zum Firefox Build-in Speicher werden alle Informationen verschlüsselt gespeichert, nicht nur die Passwörter.
    • Das Backup wird deutlich vereinfacht. Man muss nur die verschlüsselte Datei der Daten­bank auf ein externes Medium kopieren.
    • In einem Passwortspeicher kann man viele Daten, PINs usw. zusammenfassen.

      Neben Username und Passwort muss man sich weitere Informationen merken wie z. B. die Antwort auf eine Security Frage oder PINs bei Bezahldienstleistern.

      Viele Programme (z. B. Pidgin) können Passwörter nur unverschlüsselt speichern, wenn man die Option zur Speicherung der Passwörter aktiviert (nicht empfohlen!). Andere Programme bieten keine Möglichkeit zur Speicherung von Passwörtern.

    Mir gefällt KeePassXC (Windows, MacOS, Ubuntu, Fedora) sehr gut. KeePassXC ist eine Weiterentwicklung der Community von KeepassX. Neben der Übergabe der Passwörter via Zwischenablage (die u.U. unsicher ist) kann KeePassXC sichere Möglichkeiten nutzen, um die Login Credentials in Formularen einzugeben:
    • Bei der AutoType Funktion simuliert KeePassXC eine virtuelle Tastatur.
    • Mit dem Add-on KeePassXC-Browser für Firefox stellt der Browser eine direkte Verbindung zu KeePassXC her und kann auch Einträge in die Datenbank schreiben. Die Konfiguration für das Add-on ist in der Dokumentation von KeePassXC beschrieben.
    • Außerdem enthält KeePassXC einen TOTP-Generator (One-Time-Password).
      (Die Verwendung für die 2-Faktor-Auth. ist allerdings eher eine Spielerei als ein Sicherheitsgewinn. Wenn man das Passwort als ersten Faktor aus der KeePassXC Datenbank holt und den zweiten Faktor ebenfalls aus der gleichen Datenbank, dann entspricht das nicht den Intentionen von 2-Faktor-Auth.)

Warnung: Tools zur Verwaltung der Zwischenablage für Linux Desktops

Die Linux Desktops wie KDE, Gnome oder XFCE enthalten Tools zur Verwaltung der Zwischen­ablage. Diese Tools speichern die letzten (n) Einträge, die in die Zwischen­ablage kopiert wurden, und schreiben diese Einträge in der Standard­konfiguration unverschlüsselt auf die Festplatte.

Wenn man bei der Verwendung eines Passwortmanagers die Passwörter via Zwischen­ablage kopiert, dann landen diese sensiblen Informationen unter Umständen unverschlüsselt auf der Festplatte und die Verschlüsselung der Passwort­daten­bank wird sinnlos.

Um diese Lücke zu vermeiden, müssen die Tools zur Verwaltung der Zwischen­ablage vernünftig konfiguriert werden. Sie sollten entweder nur wenige Einträge speichern und auf keinen Fall Daten beim Beenden speichern oder nicht automatisch gestartet werden.
Lizenz: Public Domain