Hi

bringt ein regelmäßiger Passwortwechsel wirklich mehr Sicherheit?

siehe auch: http://www.heise.de/ix/meldung/E-Mail-Anwender-wechseln-ihr-Passwort-zu-selten-2496966.html

:confused:

Das frage ich mich auch. Ist halt die Frage, ob es eine nennenswerte Anzahl an Kontenknackern gibt, die still mitlesen, ohne sich bemerkbar zu machen. Wenn ja, sollte man sicher zur Vorsicht ab und zu mal das Passwort wechseln, um solche eventuellen ungebetenen Gäste abzuhängen.

Wichtiger ist es jedenfalls verschiedene zu nutzen. Wenn du dann noch drauf achtest und reagierst, falls Nutzerdaten in die falschen Hände gekommen sind, dann brauchst du auch nicht wechseln. Wobei sich so langsam aber sicher auch was in Richtung 2 Faktor tut - schade dabei ist, dass unser Hightech-Ausweis dabei kaum eine Rolle spielt; http://www.personalausweisportal.de/DE/Buergerinnen-und-Buerger/Anwendungen/Anwendungen_node.html.

Zwei-Faktor-Authentifizierung bei E-Mails stelle ich mir recht nervig vor. Klar geht es in erster Linie um die anderen Accounts, mit denen man irgendwie Geld machen kann, dennoch sollte man dann auch konsequenterweise das bei E-Mails einsetzen. Bei der Art der Authentifizierung fällt ein automatischer Abruf der Mails leider aus. Das ist allerdings nicht das, was ich möchte.

Allgemein denke ich, dass der Grundsatz gilt, möglichst lange Passwörter zu benutzen und pro Account ein anderes. Wenn das Passwort dann trotzdem in falsche Hände gelangt, wird es wohl nicht lange dauern, bis die Accounts von PayPal, Google, eBay, Amazon etc., pp. "geknackt" werden. Wenn man also sein Passwort wechselt, sollte man das Interval sehr klein wählen. Irgendwas in der Nähe eines Tages.

Stimmt natürlich, müsste/sollte dann wohl für die Laufzeit der Anwendung gelten, allerdings konnte ich mich noch nicht zu einer de-mail durchringen, kann also auch nicht sagen, ob es so ist, denke aber schon...

Wobei, wenn ich mir das hier ('http://www.thunderbird-mail.de/index.php/Thread/61762-Thunderbird-mit-DATEV-SmartCard-nPA/?postID=373093#post373093') durchlese, will ich das vielleicht doch gar nicht mehr haben ;):
...
Ja selbstverständlich geht das - wenn du dir gegen "teuer Geld" von D-Trust (= TrustCenter der Bundesdruckerei) oder einem anderen TrustCenter ein für Ver-/Entschlüsselung und el. Signatur geeignetes Zertifikat dazukaufst.
IMHO würde sich das aber jeder an Verschlüsselung und el. Signatur interessierte Mensch genauestens überlegen! Ich würde niemals freiwillig meine (vorhandene) Signaturkarte ohne Not ständig mit mir herumtragen! Bei Verlust/Diebstahl meines PA wäre dann nämlich auch noch der Zugang zu meinen empfangenen E-Mails weg, und alle von mir gesendeten E-Mails würden dann auf einmal (wegen der sofortigen Sperrung der Zertifikate!) bei den Empfängern mit einer ungültigen Signatur angezeigt. Nein, dieses Risiko sollte niemand eingehen!

Wie schon geschrieben, das auf dem nPA vorhandene eine Zertifikat + sein privater Schlüssel ist ganz bewusst und beabsichtigt mit der Einschränkung produziert worden, dass es nur zur Authentisierung verwendet werden kann. Jeder Mailclient verweigert die Benutzung dieses Schlüsselpaares für Zwecke der Verschlüsselung und Signatur. Aber auch hier gilt, dass der Kundige selbstverständlich seinen eigenen MUA so manipulieren kann, dass dieser diese Prüfung nicht durchführt. Aber willst du auch die Programme aller deiner Mailpartner manipulieren?
...

Zwei-Faktor-Authentifizierung bei E-Mails stelle ich mir recht nervig vor. Klar geht es in erster Linie um die anderen Accounts, mit denen man irgendwie Geld machen kann, dennoch sollte man dann auch konsequenterweise das bei E-Mails einsetzen. Bei der Art der Authentifizierung fällt ein automatischer Abruf der Mails leider aus. Das ist allerdings nicht das, was ich möchte.
...
Google (ja auch nicht das gelbe vom Ei aber halt bequem...) hat das meiner Meinung nach relativ gut gelöst. Für die Anmeldung vom Browser braucht man den Pin Code per SMS (außer man setzt den Haken das dieser Browser dauerhaft authorisiert wurde) und für Drittanbieter Programme wie Kontact, TB, K9, etc gibt es die Möglichkeit, app-spezifische Passwörter zu generieren (welche man auch wieder revoken kann) und somit eine ganz "normale" Nutzung trotz 2-Faktor möglich macht. Außerdem bekommt man bei Änderungen immer Bestätigungsemails und falls man diese nicht selber veranlasst hat sollte man sich Gedanken machen ;)

Wie behaltet ihr da den Überblick bei so vielen Passwörtern? Selbst ein Master-Password wäre ja sicherheitstechnisch ziemlich mies, nicht wahr?

Entweder mit einem Keymanager wie KeePass oder eben auf einen Zettel schreiben und an den Monitor kleben. Wenn man die Passwortdatenbank nur lokal vorhält, ist das eigentlich kein Problem. Vom "normalen" Backup ausschließen und ein anständiges Passwort wählen. Dann brauchst nur noch eins wechseln. Die Gefahr ist dabei aber natürlich gegeben, dass du mit Pech gleich alles los bist.

Also bleibt nur noch an den Bildschirm kleben übrig. Da ist die Chance, dass das Passwort abgegriffen wird am geringsten.

Also Passwortmanager ohne Backup halte ich ja für sehr gefährlich. Wenn die Backupfestplatte verschlüsselt ist bzw. der Manager an sich alles verschlüsselt speichert, sehe ich keinen Grund, weshalb man kein Backup machen sollte.

Ich handhabe das so:
Alle meine Passwörter bestehen aus zwei Teilen. Der erste Teil ist komplex und entspricht den üblichen Sicherheitsempfehlungen, also zum Beispiel "$f0.o-P4sSwabc" oder was weiß ich. Und der zweite Teil ist spezifisch für jede Seite, sagen wir "tux" für linuxforen. Ergibt das Gesamtpasswort "$f0.o-P4sSwabc_tux". Und "$f0.o-P4sSwabc_shop" für amazon und so weiter.
Auf diese Weise kann ich mir jedes meiner Passwörter merken und habe trotzdem für jede Seite ein eigenes Passwort. Kennt ein Mensch mehrerer dieser Passwörter kann er zwar vermutlich das System recht leicht erkennen, aber für irgendwelche Skripte, die ein geklautes Passwort einfach auf anderen Webseiten ausprobieren, bietet es ausreichend Schutz.