Wie kann man seine Zugangsdaten sichern ?

    Ausgehend von einer kleinen Diskussion in der Shoutbox möchte ich hier einmal das Thema Passwort + Sicherheit ansprechen.


    Fast jede Internetseite, bei der man sich anmelden kann, arbeitet aktuell mit Name/Nick + Passwort
    Zunächst soll es einmal darum gehen, wie man diese Passwortkombination sicher aufbewahrt.


    1) Die bequemste Art: Im Browser speichern
    Wenn man die Seite aufruft, wird automatisch die Passwortkombination angeboten oder eingegeben


    Vorteil:
    Man muss sich nichts merken und kann sehr sichere Passwortkombinationen benutzen


    Nachteil 1:
    Jeder Computerbenu8tzer benutzt automatisch die Einloggdaten für die entsprechende Seite = Kinde bekommen plötzlich Zugriff zu Seiten, bei denen sich ihre Eltern angemeldet haben.
    Um diesen Nachteil auszugleichen, muss für jeden Computerbenutzer ein eigener Zugang/Profil angelegt werden. Dieses sollte auf jeden Fall mti einem Passwort abgesichert sein.


    Nachteil 2:
    Jede Schadsoftware kann die gespeicherten Daten benutzen, um Zugang zu Seiten zu bekommen. Passwortkombinationen im Browser sind also immer ein Sicherheitsrisiko für den Benutzer.


    2) Die etwas bessere Variartion: Ein spezielles Passwort-Programm
    Ähnlich wie der Browser, setzt das Passwortprogramm zuvor gespiecherte Passwörter automatisch in die Loginfelder ein. Damit es diese Funktion erfüllt , muss aber zuvor ein spezielles Masterpasswort eingegeben werden.


    Vorteil:
    Durch Trennung Browser VS Passwortprogramm ergibt sich eine bessere Sicherheit gegen Schadsoftware. Durch das zusätzlich benötigte Hauptpasswort können Eltern und Kinder sich einen Computer teilen, ohne dass spezielle Profile erstellt werden müssen.
    Ohne das Hauptpasswort kann das Passwortprogramm nicht benutzt werden.
    Für Schadsoftware wird es schwieriger die Algorythmen des Programms zu kancken, da es (im Gegensatz zum Browser) zu viele Variationen gibt.


    Nachteil 1:
    Ohne das spezielle Programm kann man kein gesichertes Passwort benutzen


    Nachteil 2:
    Wenn das Passwortprogramm die Kombinationen im Klartext speichert (oft der Fall) ist es genauso unsicher als wenn die Passwortkombination im Browser gespeichert würde.


    Die Hardwarelösung: Fingerabdrucksensor
    Zugang zum Rechner oder zum Internet gibt es nur wenn der Fingerabdruck genau passt.


    Vorteil:
    Nur der Berechtigte kann die Funktion nutzen


    Nachteil 1:
    Alles ist allein von der Hardware abhängig. Gibt es bei ihr Probleme, bleibt der Rechner tot


    Nachteil 2:
    Wenn man sich den "Eingabefinger" verletzt, wird der zugang verweigert. Ob Hautkrankheit, Abschürfungen oder andere Verletzungen: Der Zugang wird i.d.R. nicht gestattet.


    Nachteil 3:
    Es ist ganz allgemein bekannt, wie man den Sensor austricksen kann.



    Hardwaremöglichkeit: Zugang nur mit Sicherheitsmodul
    Hierbei handelt es sich um eine Modul/Chip, das harwareseitig die Berechtigung bestätigt.


    Vorteil:
    Man kann den Chip weitergeben damit andere personen den Account oder rechner benutzen können.


    Nachteil:
    Man kann jedes Sicherheitzsmodul/Zugangskarte auch duplizieren. Auch wenn der Aufwand durchaus sehr hoch ist, ist es jedoch möglich.


    Hardwäremöglichkeit: RFID-Chip
    Bei Fahrzeugen wird er schon länger eingesetzt. Der Chip muss sich nur in der Nähe befinden um den Zugang zu gewähren.


    Vorteil:
    Man braucht den Chip nicht gesondert an die Leseeinheit zu bringen.. eine Annäherung genügt


    Nachteil:
    Der Chip muss nicht entwendet werden um ihn kopieren zu können. Auf Anfrage sendet er seine Kennung auch an andere Geräte aus. Die Kennung kann problemlos kopiert werden.


    Die Hardwarelösung: Biometrischer Scanner mit Kamera
    Eine Kamera nimmt ein Bild auf und vergleicht es mit dem Bild des Berechtigten


    Vorteil:
    Keine Eingabe von Passwörtern oder spezielle Eingabegeräte


    Nachteil:
    Heutige Biometrische Systeme sind mit noch zu vielen Fehlern behaftet. Entweder wird nur das Gesicht als Ganzes zugelassen = dann kann jeder mit einer ähnlichen Physiognomie Zugriff erhalten .. oder es ist zu "scharf" eingestellt.. dann kann das gesicht auch schon bei leichten Veränderungen nicht mehr korrekt erkannt werden.



    Die Hardwarelösung: Irisscanner
    Ähnlich wie der biometrische Scanner benutzt er auch eine Kamera zu Identifizierung. Im gegensatz dazu gibt es hier aber nicht viele Variationen. Die iris ist genauso unverwechselbar wie ein Fingrabdruck. Wenn sie abgetastet wurde gibt es ghier also nur ein Eindeutiges JA oder NEIN. Entweder ist es der Besitzer oder eben nicht.


    Nachteil auch hier:
    Bei Hardwareproblemen wird der Zugang verwehrt.


    Bei allen Hardwarelösungen gibt es den großen Nachteil, dass nie überprüft wird, ob es sich um noch lebendes Gewebe handelt.... oder ob es sich um eine Falsifikat handelt
    Um sie entsprechend zu sichern, muss mindestens noch ein Thermosensor integriert werden.

    Hätte da noch ne Software Lösung anzubieten ... Und die ist pupseinfach.


    Es gibt ein Verschlüsselungsprogramm - genannt "TrueCrypt", welches der GPL-Lizenz unterliegt und demnach kostenfrei zu haben ist. (Sicherheitsbedenken ggü OpenSource meinerseits wurden bereits an anderer Stelle im Netz geäussert - aber es geht mir um den Ansatz - nicht um die genannte Software ^^ )


    Mit bspw TrueCrypt ist es nicht nur möglich, ganze Datenträger zu verschlüsseln, sondern auch verschlüsselte Container anzulegen.


    Eine Textdatei ( oder der Übersicht halber von mir aus auch eine Excel-Tabelle ), in der alle genutzten Passwörter drinstehen, abgespeichert in so einem TrueCrypt-Volume - und man muss sich nur noch sein TC-Passwort merken, um Zugang zu all seinen Passwörtern zu haben. Das ist der Vorteil.


    Nachteil :


    TrueCrypt - Passwort vergessen => Daten unwiderruflich futsch



    Nur um das auch mal eingebracht zu haben.

    "Ich weiß nicht, wer mich in die Welt gesetzt hat, und auch nicht, was mein Körper, meine Seele, meine Sinne und jener Teil meines Ichs sind, der denkt. Ich sehe überall nur Unendlichkeiten, die mich wie ein Atom und wie einen Schatten einschließen." (Blaise Pascal)

    Ein "Danke" für die Erwähnung allgemeiner Festplattenverschlüsselungsprogramme.
    Solcherart verschlüsslete Festplatten nutzen auch im ausgebauten Zustand keinem mehr, der das Passwort nicht hat.


    Das gilt dann übrigens auch für Backups der Daten:
    Die Verschlüsselung der Software basiert auf der jeweiligen Installation. Nur die Originalinstallation öffnet die Plattenbereiche wieder.


    Problematisch wird es also, wen ein System neu aufgespielt wird. Da die Installation auch neu installiert wird, öffnet sie keine der verschlüsselten Dateien mehr.


    Eine vergessene Möglichkeit erwähne ich hier jetzt:
    Einfach alle Passwörter in ein eigenes kleines "Codebuch" eintragen.
    Die Sicherheit hängt allein von der Aufbewahrung des Buches ab. Es gibt keine Möglichkeit durch Hacken des Rechners die Passwörter zu entdecken.

    Zitat

    Das gilt dann übrigens auch für Backups der Daten:
    Die Verschlüsselung der Software basiert auf der jeweiligen Installation. Nur die Originalinstallation öffnet die Plattenbereiche wieder.


    Verkehrt.


    Die Verschlüsselung basiert auf dem Passwort. Nur das richtige passwort öffnet die Plattenbereiche wieder.



    Ich habe einen verschlüsselten USB-Stick. Sowohl auf meinem Notebook ( Windows XP Professional ) als auch auf meinem Tower ( Windows XP Home ) lässt sich dieser öffnen - unter der Voraussetzung dass ich das Programm überhaupt auf den Rechnern habe UND natürlich das Passwort. ( Verschlüsselt worden ist er übrigens in meinem Fall mit einer Linux Installation ;) )



    Von daher - der Einwand Fehlalarm ;)


    Für Backups ebenso geeignet wie für alles Andere.



    Die verschlüsselten Container darfste Dir quasimodo vorstellen wie ein " Passwortgeschütztes ISO " ... jeder Rechner der im Beispiel TrueCrypt auch über die Software TrueCrypt verfügt, ist - unter Inanspruchnahme des korrekten Passwortes - auch in der Lage, dieses auch wieder zu öffnen.


    Jeder mit TrueCrypt ausgestattete Rechner ist in der Lage, TrueCrypt vollverschlüsselte Platten zu öffnen. :)

    "Ich weiß nicht, wer mich in die Welt gesetzt hat, und auch nicht, was mein Körper, meine Seele, meine Sinne und jener Teil meines Ichs sind, der denkt. Ich sehe überall nur Unendlichkeiten, die mich wie ein Atom und wie einen Schatten einschließen." (Blaise Pascal)

    Um mich hier auch einmal einzubringen:
    Wer sich auf die Technik verlässt, ist verlassen.


    Sind Passwörter zu schwer zu merken, muss man sie aufschreiben. Sind sie wo anders niedergeschrieben, als auf der Festplatte im Kopf, sind sie eigentlich unbrauchbar.


    Ist es doch nötig, die Passwörter aufschreiben zu müssen, dann kann man sich doch selbst etwas überlegen, es sicherer zu machen.


    Wenn man ein Passwort aufschreibt, dann kann man gleich drumherum noch weitere "Pseudopasswörter" schreiben, um es nicht eindeutig zu machen. Dann bräuchte man sich z.B. nur noch die Nummer merken.
    Hat man dort 20 Passwörter stehen, ist die Wahrscheinlichkeit 1 zu 19, dass der Täter das richtige erwischt.
    Einige Systeme haben Sicherheitsmechanismen, die nach einer bestimmten Anzahl falsch eingegebener Passwörter die Zugang grundsätzlich für einen Zeitraum blockiert. Oder sie geben einen Hinweis auf die Anzahl fehlerhafter Loginversuche. Wäre dann ein Indiz auf Einbruhsversuche.


    Man kommt, ohne sich selber etwas merken zu müssen, nicht sicher aus.


    Um eine Methode für die Könner zu erwähnen, kann man sich auch einen eigenen kleinen Algorhithmus basteln.
    Man hat z.B. eine kleine Tabelle mit Buchstaben. Dort zählt man dann immer eine bestimmte Anzahl an Zellen nach unten und zur Seite, um an die Buchstaben zu geraten.


    Oder um die Idee von den Pseudopasswörtern aufzugreifen, kann man auch von der Passwortliste von jedem Wort den ersten Buchstaben nehmen, oder den zweiten oder oder oder...


    Achja, für meine genannten Methoden ist zur Aufbewahrung kein Computer notwendig. :)

    "Toleranz sollte eigentlich nur eine vorübergehende Gesinnung sein:
    sie muß zur Anerkennung führen.
    Dulden heißt beleidigen."
    Johann Wolfgang von Goethe


    Jeder ist gleichermaßen individuell.


    Man kann nicht sterben, ohne gelebt zu haben.

    Dein System mit den 20 Passwörtern stellt keine große Hürde dar, wenn das "Zielsystem" nicht automatisch nach einer gewissen Anzahl an Versuchen blockt.


    Jeder Admin hat es in der Hand, wie viele erfolglose Versuche er zulässt und wie lange danach eine Sperre aufgebaut wird.


    Wer also regelmäßig an einer Seite teilnimmt, sollte sie auch regemäßig besuchen.
    Stellt er fest, dass sein Zugriff abgeblockt wird: Sofort beim Seitenadmin Meldung machen, damit dieser weitere Zugriffe verhindern kann. Eventuell kann der Admin auch automatische Passwortvergaben auf Dauer für diesen Account verhindern.



    Ein Bekannter hat z.B. die Aufgabe, Telefonrechnungen für seine Schwiegereltern abzurufen udn auszudrucken.
    Immer wieder ommt es vor, das sein Passwort angeblich nicht stimmt.
    Grund: Ein anderer versucht, die gleichen Rechnugnen abzurufen (nicht illegal) Da der Andere das aktuelle Passwort nicht kennt, ist der Account in regelmäßigen Abständen komplett gesperrt.


    Nun fordert der Bekannte UND der Andere natürlich ein neues Passwort an.. sind beide gerade gleichzeitig online, gibt das einen Wust an neuen Passwörtern... und im Endeffekt kommt keiner rein. :D