hallo

wie verwaltet Ihr eure Login,Passwörter,...?

sind die Programme sicher?
bzw. kennt jemand ein Web-Front?

oder speicher ihr eure Passwörter unverschlüsselt auf der Festplatte,Diskette,..?

mercy für jede Anregung

Ich benutze Revelation (http://codepoet.no/revelation/) zum verwalten meiner Passwörter und bin bisher ganz zufrieden.

wie verwaltet Ihr eure Login,Passwörter,...?Welche Passwörter meinst Du?

Die für meine Rechner speichere ich logischerweise nicht auf auf dem Rechner (also... natürlich schon, in /etc/shadow), genausowenig wie das für die Bank, ebay, webspace, webmail usw. Die für pop3 liegen dagegen sehr wohl auf einer Festplatte weil fetchmail das so will.
Ein ganzer Haufen wird vom firefox verwaltet, was ungefähr so sicher ist, wie sie im Klatext zu speichern.
Dann ist da noch kwallet, über dessen Sicherheit ich zu meiner Schande noch nichts weiss.

Das kommt ganz darauf an, um welche Passwörter es sich handelt. Logins für Foren oder Wikis speichere ich ganz normal im Firefox bzw. aktiviere Auto-Login. Mit meinen Zugangsdaten für Ebay oder Amazon mache ich das nicht, die hab ich in einer verschlüsselten Datei, in der ich nachschauen kann, wenn ich sie mal vergessen hab (das Passwort für die Datei ist natürlich für jeden Hacker außer Reichweite). Noch eine Stufe sicherer sind meine Kontodaten, die habe ich nirgends gespeichert und auch nirgends notiert. Wenn ich die vergess, dann muss ich zur Bank rennen :ugly:

Welche Passwörter meinst Du?


login für kundenserver,
evt. ebay, email, bank,...




Dann ist da noch kwallet, über dessen Sicherheit ich zu meiner Schande noch nichts weiss.

wenn wir davon ausgehen, das niemand auf meinen rechner bzw. server kommt.

denke ich, muss ich dann die passwörter wirklich verschlüsseln?
man kann doch jede verschlüsselung knacken?
( wenn sich der aufwand lohnt )

wenn wir davon ausgehen, das niemand auf meinen rechner bzw. server kommt.Ja.
Wenn... ;o)

Alle Passwörter, die ich für wichtig halte, hab ich, ausser in meinem Kopf, nur noch auf einem Zettel, von dem nicht mal ich weiss, wo er sich momentan befindet.

Also wenn es niemand schafft, deine lokalen Dateien auszulesen (evtl. auch durch einen Bug in einem Programm), dann brauchst du wohl keine Verschlüsselung. Das habe ich mir auch schon überlegt, aber nobody knows for sure...

Knacken lohnt sich wohl nicht (hängt von der Passphrase ab), deswegen wär das Verschlüsseln wohl relativ sicher.

ich hab heute komischerweise auch mal darüber gegrübelt... wie "sicher" is es eigentlich so pw's wie zb für email account usw lokal zu speichern... also kde standard ist ja kwallet... oder? wie sicher sind die passwörter wenn man sie ohne wallet speichert? also zb einfach mit kmail...

ich speicher wegen meiner unwissenheit bis jetzt nur foren logins ab... email, ebay, amazon etc sind im kopf ;)
wobei ich bei ausreichender sicherheit die bequemlichkeit eines automatischen mail client logins schon zu schätzen wüsste ^^

mfg
soa2ii

Wenn du ohne KWallet speicherst landen die kmail-passwörter (bzw. die mailserver-pw) in ~/.kde/share/config/kmailrc. Schau da einfach mal rein. Die sind da wohl irgendwie binär gespeichert. Keine Ahnung wie sicher das ist.

Gruß,
Ace

wie verwaltet Ihr eure Login,Passwörter,...?Im Kopf.
Und zwar ausschließlich :ugly:

Wenn du ohne KWallet speicherst landen die kmail-passwörter (bzw. die mailserver-pw) in ~/.kde/share/config/kmailrc. Schau da einfach mal rein. Die sind da wohl irgendwie binär gespeichert. Keine Ahnung wie sicher das ist.

Gruß,
Ace
wenn man mit kwallet speichert muss man aber bei jedem anmelden sein "master passwort" angeben... oder?

mfg
soa2ii

Im Kopf.
Und zwar ausschließlich :ugly:
Das kannst du machen wenn du 20, vieleicht 30 hast. Aber wenn du da darüber bist und die Kennwörter auch noch Pflegen(von Zeit zu Zeit ändern) willst bist du schnell am Ende. Vor allen DIngen würden die Kollegen ja auch gerne die Passwörter kennen:D
Ansonsten benutz ich unter Linux kwallet für Mail, RDP etc. und für ssh, eBay etc PwManager (http://passwordmanager.sourceforge.net/).
In Firefox speichere ich höchstens mal ein Kennwort fürs Forum - mehr ist mir zu unsicher..

Oder benutzt du für alle Anmeldungen das gleiche Kennwort? Das könnt ich mir dann auch merken:ugly:

Das kannst du machen wenn du 20, vieleicht 30 hast. Aber wenn du da darüber bist und die Kennwörter auch noch Pflegen(von Zeit zu Zeit ändern) willst bist du schnell am Ende. Vor allen DIngen würden die Kollegen ja auch gerne die Passwörter kennen:D Ich hab ja auch nicht gesagt, daß es wahnsinnig viele wären. :D
Aber im privaten Alltag ist das in den meisten Fällen von der Menge her wahrscheinlich auch ganz gut so zu bewältigen.

Aber für den privaten Alltag könnten wahrscheinlich auch Lösungen wie kwallet o.ä. möglicherweise auch ausreichend sicher sein.
Nur meine gpg-Phrasen werde ich garantiert niemals irgendwo speichern.
:)

wenn man mit kwallet speichert muss man aber bei jedem anmelden sein "master passwort" angeben... oder?
Nein, wenn Du kein master-Passwort angibst, wirste nach gar nix gefragt.

hallo

wie verwaltet Ihr eure Login,Passwörter,...?


Wenn ich dir das sagen würde, müsste ich dich erschießen. ;)

Im Kopf ;)

Ich habe mir eine Liste erstellt, für meine wichtigen Passwörter und sonstige Kleinigkeiten. Die Liste inkusive Backup meiner Gnupg Keys habe ich in einem
loop-aes Container mit Twofish 256Bit abgespeichert.
Ich muß mir also nur ein Passwort merken.
Das Passwort ist entsprechend lang und besteht aus Sonderzeichen, Buchstaben und Zahlen. Der Container wird nur bei Bedarf gemountet.

Eine ebenfalls verschlüsselte CD-RW dient als Backup des Containers.

Grüße
DaGrrr

Beruflich benutz ich (unter Windows!) pwsafe von Bruce Schneier.

Privat feile ich grad an einem konzept, für mich zuHause möchte ich in jedem Fall eine Smartcard als "Masterkey" verwenden, natürlich ein Class3-Leser mit eigenem Tastenfeld um das Abfangen des "PINs" zu verhindern.

Momentan hab ich alles im kopf, ich benutze meist Eselsbrücken:

"Ich bin Anfang 20 und fahre einen Ferrari ;-)"

--> "IbA20ufeF;-)"

Sieht recht sicher aus :)

Zum Mitnehmen werde ich wohl auch pwsafe von Schneuier verwenden und die datenbank der Passwörter zusammen mit dem Binary auf einen USB-Stick packen.

ich kenne leider kein vernünftiges Tool das unter Windows und Linux-Derivaten (und optimaerweise auch auf dem MAC) läuft, hab aber auch noch nicht viel gesucht.

Wenn also jemand was empfehlen kann...

mfg
cane

Ein ganzer Haufen wird vom firefox verwaltet, was ungefähr so sicher ist, wie sie im Klatext zu speichern.
Nicht wenn man ein Master-Passwort setzt.

Nicht wenn man ein Master-Passwort setzt.Auch dann nicht wirklich.
Der einzige Schutz für die Passwörter ist die "600" auf die signons.txt.
Wenn Du die erst mal lesen kannst, reicht ein Blatt Papier und ein Stift (weniger begabte wie ich nehmen "uudecode") um die Passworte zu "entschlüsseln" (http://www.pruefziffernberechnung.de/B/Base64.shtml)

Auch dann nicht wirklich.
Der einzige Schutz für die Passwörter ist die "600" auf die signons.txt.
Wenn Du die erst mal lesen kannst, reicht ein Blatt Papier und ein Stift (weniger begabte wie ich nehmen "uudecode") um die Passworte zu "entschlüsseln" (http://www.pruefziffernberechnung.de/B/Base64.shtml)
Hm, ich kann keine Quellen finden, die eindeutig dafür oder dagegen sprechen. Aber: Unterschiedliche Master-Passwörter ergeben bei mir fürs selbe Login unterschiedliche Werte, beide kein base64.

Unterschiedliche Master-Passwörter ergeben bei mir fürs selbe Login unterschiedliche Werte, beide kein base64.Hm.
Das irritiert mich jetzt etwas. Gelinde gesagt.

Wenn ich unterschiedliche Passworte benutze, bleiben die Strings gleich und sind eindeutig (http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx) base64 kodiert.
Nach kurzem googlen durfte ich jetzt auch feststellen, dass etliche Leute schwören, man könne ohne das Master-PW nicht auf die Passworte zurückgreifen. Kann ich aber locker.

Beunruhigend, irgendwie.

Mal ne doofe Frage. Base64 kann man ja scheinbar ganz einfach wieder entschlüsseln. Wieso dann überhaupt damit verschlüsseln, wenn's so einfach wieder zu entschlüsseln ist? Dann könnte man's meiner Meinung nach genauso gut gleich in Klartext reinschreiben. Man schließt also im Grund nur die aus, die nichts damit anfangen können. Für den der weiß dass es Base64 ist, ist es ja dann denk ich ken Problem. Oder geht das doch nicht so einfach wie ich's mir vorstell?

Hm.
Das irritiert mich jetzt etwas. Gelinde gesagt.

Wenn ich unterschiedliche Passworte benutze, bleiben die Strings gleich und sind eindeutig (http://www.opinionatedgeek.com/dotnet/tools/Base64Decode/Default.aspx) base64 kodiert.
Nach kurzem googlen durfte ich jetzt auch feststellen, dass etliche Leute schwören, man könne ohne das Master-PW nicht auf die Passworte zurückgreifen. Kann ich aber locker.

Beunruhigend, irgendwie.
Versuch mal das zu knacken:
http://demo.roundcube.net
_user
MDoEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECHM4KL v/H9EPBBDoV5rANzL+SL6gFxrADidx
*_pass
MDoEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECPS1Af onjt32BBDLkhYfKgpKS/Xiz+jk70Cr

Ok, hast mich überzeugt ;)

Versuch mal das zu knacken:
http://demo.roundcube.net
_user
MDoEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECHM4KL v/H9EPBBDoV5rANzL+SL6gFxrADidx
*_pass
MDoEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECPS1Af onjt32BBDLkhYfKgpKS/Xiz+jk70Cr


Versuch mal das zu knacken: :ugly:
username
www.xxx.de
~TXVobWFubg==
*password
~V2VkT2N0Mjk=
Aber ich hab den Fehler gefunden, glaub ich.
Wenn ich mir die Datei genauer und ganz angesehen hätte, wäre mir vermutlich aufgefallen, dass sich darin zweierlei Arten von Strings befinden: einmal die offensichtlich base64 kodierten und dann noch ein paar, die Deinen ähneln.
Die ersten stammen noch aus meinen mozilla-Zeiten und die zweiten sind definitiv erst dazu gekommen, als ich den firefox benutzt hab.
Die Datei des mozilla-PWManagers für den ff einfach nach signons.txt umzubenennen, war vielleicht nicht so die Idee.

Die Datei des mozilla-PWManagers für den ff einfach nach signons.txt umzubenennen, war vielleicht nicht so die Idee.Hehe :D

Somt wär auch die Frage des OP zu beantworten:
sind die Programme sicher?Ja, mitlerweile schon.

Kritische Passwörter (und die, die nichts mit Firefox/Thunderbird zu tun haben) landen bei mir übrigens in einer Textdatei in einem encfs-Cryptocontainer.

Ich habe auch alle im Kopf. Allerdings habe ich nur etwa 3 Passwörter. Ich sollte dringend mal ändern. Gibts irgend ne programm das mir per zufall ein sicheres Passwort erstellt?:D

MfG
Mr. Sailer

Ich werde sie dann warscheindlich auf dem USB stick speichern den ich mit Truecrypt verschlüsselt habe. Sovie ich weiss ist es nicht einfach so möglich aes zu knacken oder?

MfG
Mr. Sailer

hallo

erstmal danke an alle für die anregungen.

die optimale lösung wäre, wenn jeder in der firma an die verschlüsselten passwörter kommt. ( z.b.: ueber webinterface )

wenn jemand ein tip dazu hat...

Gibts irgend ne programm das mir per zufall ein sicheres Passwort erstellt?:pwgen

67890