Ich würde gerne ein paar Ratschläge und Empfehlungen zu dem Umgang mit Passwörtern und Keys haben.

Das ein Passwort eine Kombination aus Buchstaben, Zahlen und Sonderzeichen sein sollte und eine gewisse länge aufzuweise hat ist klar, doch wie geht man am Besten damit um?
Meines Erachtens nach ist es ratsam, Passwörter zu notieren. Tendiert ihr hierbei eher zum Ordner im Schrank? Was lässt sich positives/negatives zu speziellen Passwortprogrammen sagen?

Mit Passwörtern mag dies natürlich fast trivial sein, aber wie handhabe ich dies mit meinen Keys? Ich beziehe mich jetzt insbesondere auf meinen SSH-Schlüssel und den GnuPG-Key.
Was bietet sich an, diese dauerhaft zu erhalten? Ich habe irgendwie das Gefühl, das meine Disketten schneller den Geist auf geben würden, als ich die Daten auf dem Rechner selbst (+ Backup) verlieren würde.
Bei GnuPG ist mir nichtmal ganz klar, was ich aus ~/.gnupg überhaupt sichern müsste.

Zu guter letzt noch ein paar einzelne Fragen, die ich mir selbst nicht ausreichend zu beantworten wusste.

Einen GnuPG für jede Mailadresse und für jeden Jabber-Konntakt, oder tuts ein allgemeiner?
Birgt sich ein "großes" Risiko, wenn man Key unwissentlich in fremde Hände fällt? (Passphrase nicht bekannt)


schonmal Danke, für eure Antworten. Bei dieser Thematik wollt ich doch lieber einmal zu viel nachgefragt haben.

steve


Ich möchte noch anmerken, dass meine Fragen und Ausführungen sich auf mich als Privatperson beziehen.

Also seit ich letztens meinen USB Stick mit zwei GPG-Keys verloren habe kann ich dir empfehlen, die keys auf einem _sicheren_ Medium zu sichern :D

Meines Erachtens nach ist es ratsam, Passwörter zu notieren. Nein, genau das sollte man mit Passwörtern meines Erachtens grundsätzlich eher nicht tun.

Begründung:
Ein aufgeschriebenes Passwort wird in der Regel früher oder später
- verloren gehen,
- in die falschen Hände geraten oder
- beides

Klar kann man die Gefahr, daß das passiert verringern (nicht beseitigen), in dem man die notierten Passwörter sicher aufbewahrt.

Je sicherer jedoch Aufbewahrungsort und -art sind, desto aufwendiger ist es, diese Passwörter zu verwenden.
Denn man muss die Passwörter ja immer vom sicheren Aufbewahrungsart hervorholen, wenn man sie verwenden möchte, und anschließend direkt wieder sicher verstauen.

Und das muß man tatsächlich immer tun, denn man hat die Passwörter ja nicht im Kopf. Hätte man sie dort, bräuchte man sie nicht zu notieren.

Für den alltäglichen Gebrauch von Passwörtern führt kein vernünftiger Weg darum herum, sich die Dinger merken zu müssen.

Dabei sind Passwortgeneratoren eher hinderlich.
Die produzieren zwar sehr starke Passwörter, aber wer kann sich die Dinger schon merken.
Aber man kann mit Eselsbrücken und mit System Passwörter erzeugen, die sich leicht merken lassen und beinahe genauso stark sind.

Wenn man sie denn dann, für den äußersten Fall der Fälle, notieren möchte, sollte gelten:
Ordner im Schrank?
Ja.
Aber in einem verschlossenen Schrank in einem verschlossenen Raum. Mindestens. ;)


Einen GnuPG für jede Mailadresse und für jeden Jabber-Konntakt, oder tuts ein allgemeiner?Du kannst einem Schlüssel mehrere Identitäten zuweisen, also ihn für mehrere Mail-Adressen und auch für Jabber benutzen.
Es ist also beides möglich und mir würde gerade nichts einfallen, was dafür spräche, eines davon zu bevorzugen.
Also: ganz wie es Dir beliebt.

Dabei gilt natürlich sowohl für Jabber als auch für Mail:
Alle Deine Kontakte können Dir mit dem gleichen öffentlichen Schlüssel schreiben (eben Deinem) aber umgekehrt mußt Du jedem Kontakt einen eigenen Schlüssel zuweisen (eben den, der zu dem jeweiligen Kontakt gehört).


Birgt sich ein "großes" Risiko, wenn man Key unwissentlich in fremde Hände fällt? (Passphrase nicht bekannt)In einem solchen Fall ist das einzige, was Deinen Schlüssel noch schützt, eben die Passphrase.
Je stärker die ist, desto sicherer der Schlüssel.
Als sicher gilt hier, wenn das Knacken der Passphrase aufwendiger als das Umgehen der Verschlüsselung ist.

:)

Nein, genau das sollte man mit Passwörtern meines Erachtens grundsätzlich eher nicht tun.

Ein aufgeschriebenes Passwort wird in der Regel früher oder später
- verloren gehen,
- in die falschen Hände geraten oder

Da muss ich dir wohl recht geben, obwohl ich das 'grundsätzlich' nicht unterschreiben würde.



Und das muß man tatsächlich immer tun, denn man hat die Passwörter ja nicht im Kopf. Hätte man sie dort, bräuchte man sie nicht zu notieren.

Jein. Hier genau sollte meine Frage eigentlich ansetzen. Natürlich sollte man seine Passwörter im Kopf haben, was ist aber wenn einem doch einmal ein Passwort entfallen sein sollte?
Mir ist das so mit meinm Sparkassen Online-Banking Passwort passiert. Nutzt man manche Dienste selten, vergisst man irgendwann die Passwörter, ich zumindest.



Aber man kann mit Eselsbrücken und mit System Passwörter erzeugen, die sich leicht merken lassen und beinahe genauso stark sind.

So handhabe ich es auch. Ich bau mir Sätze, die die Tätigkeit umschreiben, die ich mit dem Passwort ausführen würde. Dann wird so lanke gekürzt, bis nur noch Zahlen, Buchstaben (groß/klein) und Sonderzeichen übrig bleiben.
Ich muss aber ehrlich sagen, dass mir die Sonderzeichen immer öfter zu schaffen machen. Nicht von allen Systemen/Programmen aus, funktionieren meine Passwörter.



Du kannst einem Schlüssel mehrere Identitäten zuweisen, also ihn für mehrere Mail-Adressen und auch für Jabber benutzen.

Ja danke. Habe jetzt einfach meinem bisherigen Schlüssel eine neue Identität hinzugefügt.



Als sicher gilt hier, wenn das Knacken der Passphrase aufwendiger als das Umgehen der Verschlüsselung ist.

So lange es noch kein Tool gibt, dass dies innerhalb eines halben Tages löst, reicht mir das.

Wie sicher ist es denn, wenn ich meine PWs entweder
a) auf einem USB-Stick der durch einen Fingerabruckscanner gesichert ist speicher
oder
b) in einem per Fingerabdruck gesicherten Safe lege?

Einen Usb-Stick kann man immer verlieren und wer weiß, was der oder die jenige dann doch damit anstellen kann.

Eine Datei mit allen wichtigen Passwörtern, Keys etc. in eine verschlüsselte Datei/Kontainer mit sicherem Passwort redundant auf mehrere Speichermedien verteilen, z.B. Disketten, USB-Sticks etc.
Könnte noch weitergeführt werden mit einer Schlüsselauthentifizierung die zusätzlich zum Passwort benötigt wird.

Wenn loop-aes,truecrypt und/oder gpg benutzt werden ist es sogar Betriebssystemübergreifend, zumindest Linux <-> Windows.

Wie sicher ist es denn, wenn ich meine PWs entweder
a) auf einem USB-Stick der durch einen Fingerabruckscanner gesichert ist speicher
oder
b) in einem per Fingerabdruck gesicherten Safe lege?Gar nicht.

Fingerabdrücke lassen sich mit einfachen Mitteln sehr leicht fälschen.
Anleitung und Demo-Video müsste irgendwo beim CCC zu finden sein.

Die existierenden Scanner lassen sich zu einfach austricksen.

Gar nicht.

Fingerabdrücke lassen sich mit einfachen Mitteln sehr leicht fälschen.
Anleitung und Demo-Video müsste irgendwo beim CCC zu finden sein.

Die existierenden Scanner lassen sich zu einfach austricksen.

ftp://ftp.ccc.de/video/Fingerabdruck_Hack/fingerabdruck.mpg ;)



Klugsch***er :ugly: