Die Sache mit den Online-Passwörtern
Passwort, Kampfsport. Nicht nur die Veröffentlichung rund einer Million Benutzer-Accounts und Passwörter aus der Kommentar-Datenbank der amerikanischen Technik-Webseiten „Gizmodo“ und „Lifehacker“, auch der gerade bekanntgewordene Hack der iPhone-Anwendung Trapster (hier scheinen gut 10 Millionen hinterlegte Kennwörter bekannt geworden zu sein), unterstreichen aktuell noch mal eine der wichtigsten Regeln im Umgang mit den eigenen Internet-Passwörtern: Unabhängig von der Sicherheit eurer Login-Kombinationen, solltet ihr das gleiche Passwort nie für mehrere Online-Dienste auf einmal benutzen.
Hat auch nur eine Seite mit größeren Sicherheitsprobleme zu kämpfen, kommt ihr nicht an der händischen Änderung zahlreicher Alt-Accounts vorbei.
Wie aber merkt man sich 25, 50 oder gar noch mehr unterschiedliche Passwörter? Sicher, eigene Passwort-Datenbanken wie die Kombination aus 1Password und seinem iPhone-Kompagnon „1Password Pro“ (AppStore-Link) helfen euch die Anmelde-Daten zu katalogisieren, kümmern sich um automatische Logins und nehmen euch das Grübeln weitestgehend ab, habt ihr den eigenen Rechner oder das iPhone aber gerade nicht zur Hand, wird es auch hier kompliziert.
Kommen wir also zum Online Passwort-Generator der Webseite angel.net. Der einfache Passwort-Helfer kombiniert euer Master-Passwort (hier solltet ihr euch ein wirklich gutes zulegen) mit dem Domain-Namen der Seite für die ihr das Login benötigt, lässt die SHA-1 Prüfsumme des so erstellten Begriffes ausrechnen und präsentiert euch anschließend ein aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichnen zusammengesetztes Kennwort, das ihr von nun an für die gewählte Seite benutzen und selbstverständlich auch in Passwort-Merkhilfen wie 1Password ablegen könnt. Zwei Beispiele:
- Das Master Passwort „test123“ und der Domain-Name web.de ergeben das Passwort: nsxy0aCS1a
- Das Master Passwort „test123“ und der Domain-Name apple.com ergeben das Passwort: X7O2JRmc1a
Wer sich hier mal einen Nachmittag lang Zeit nimmt, kann so für jeden nur erdenklichen Login ein individuelles Passwort bauen das sich – solltet ihr mal in einem Internet-Caffe gestrandet sein – einfach wieder generieren lassen. Das einzige Kennwort das ihr zukünftig nicht mehr vergessen oder verwenden solltet ist von nun an das Master Passwort. Den Generator gibt es auch als iPhone-Freundliche Webseite und als Bookmarklet das ihr euch in der Lesezeichen-Leiste eures Browsers ablegen könnt.
Die gleichen Grunddaten ergeben unterschiedliche Passwörter?
“ * Das Master Passwort “test123″ und der Domain-Name web.de ergeben Passwort: nsxy0aCS1a
* Das Master Passwort “test123″ und der Domain-Name web.de ergeben Passwort: X7O2JRmc1a
„
Mein Fehler (Danke für die Korrektur), hier wurden nat. zwei unterschiedliche Domains genutzt
Lese mal richtig! Beim zweiten mal geht’s um appl.com!
Der Kommentar wurde geschrieben, bevor der Artikel korrigiert wurde.
Also ich kann meinen 1Password keychain, der in der Dropbox liegt, über das Webinterface auf jedem PC öffnen und auf meine Passwörter zugreifen.
@Markus: Danke für den Tipp! Ganz ehrlich nutze 1Password schon seid Ewigkeiten, aber das Feature mit dem Webinterface war mir neu! ;)
Gruß Chris…
aber wer legt denn freiwillig alle seine Passwörter aus 1Password in die dropbox rein?
Auch wenn’s noch so einfach ist – was passiert den mit den Daten bei dropbox?
der keychain ist doch unverschlüsselt.
@mardin: Also erstens kommt keiner an meine DropBox dran und zweitens sind die Daten natürlich verschlüsselt!
@mardin: wäre der keychain nicht verschlüsselt wäre 1Password auch ohne dropbox nutzlos. Einmal den Rechner verloren wären alle Daten offen und wenn’s kryptische Passwörter sind kann man die nchtmals mehr mittels Login ändern. Aloa ich finde die Kombination 1Password pro, DropBox, 1Password (Mac&Windows) unschlagbar
Dropbox selbst ist allerdings kein sicherer Service. Sämtliche sensiblen Daten die man auf Dropbox speichert sollte man eigenständig verschlüsseln, denn die Verschlüsselung die Dropbox nutzt ist ein schlechter Scherz.
Nutze seit paar Monaten den Generator 10sec.ure! (www.10secure.de) Da gibts auch ein schönes Widget für’s Dashboard. Bin zufrieden.
Nice. Das Widget gefällt mir!
Thx, das kannte ich noch nicht. Dort gibt es auch eine Web-App für’s iPhone :-O Nicht schlecht das Ganze…
Ja – Nee, schon klar, aber Menschen sind bequem
und nutzen gerne ein Passwort für alles.
Ich geb zu, ich mach das auch so (Außnahme Internetbanking, da hab ich ein anderes)!
Also wer trapster benutzt hat somit die a-Karte oder wie darf ich das verstehen?
1Password ist leider nicht sicher denn da habe ich meine iTunes Kennung gespeichert und nur da und schwups hatte ich App und inApp Käufe auf meinem Account verzeichnet die nie getätigt wurden.. Sehr ärgerlich aber Apple hatte ein einsehen und es erstattet was bei Kreditkarten oder Onlinebanking sicher nicht so glatt läuft
lol, so ein blödsinn. was kann 1pw dafür … ?
Wenn mein Passwort kein Standard ist und nur diese App das Passwort hinterlegt hat sieht es für mich nach Weitergabe von Daten oder Eigennutzung aus wobei der Verkauf von Daten sicher lokrativer ist
Also ich würde an der Stelle eines Hackers versuchen an die im Klartext gespeicherten Daten von Apple ranzukommen. Anstatt dein 1Password zu knacken lohnt es sich wohl mehr auf zig Konten bei Apple zu zu greifen. Ich unterstelle mal nicht das du als Passwort „passwort“ oder 12345 genommen hast was natürlich ein Risiko darstellt. Dann nützt auch 1Password nichts, aber 1Password ist generell sehr sicher!
Woher weist du das denn so genau? Ich habe eine Erfahrung damit nachweislich vor zu weisen du auch? Apple hat es ja geprüft und mir recht gegeben
Und was machen diejenigen, die bei einer Seite zwei Accounts nutzen (Gmail z.B.)? Aber nette Idee. Werde mir wohl 1pw gönnen…
Lesart sein. Beispielsweise gmail.com1 und 2 vergeben. Welche man zuerst angemeldet hat dürfte man auch wissen. Oder p und g für privat und geschäftlich etc.
Guter Punkt.
Das mit der Internetseite (generieren) ist ja ne feine Sache. Aber was, wenn die Seite offline geht?? Dann ist es unmöglich auf meine Accounts zu gelangen!!
Da wird doch nur eine Hash-Summe (Sha-1) berechnet! Das bekommst Du zur Not auch auf der Konsole hin. Oder Du weichst auf einen anderen Webdienst aus, der dir den Sha-1 berechnet!
Dann kann ich es ja gleich in Excel selber berechnen
Auch ich hab 1PW gekauft., iphpne, ipad, und mac
das was super wäre dass man im Mobile Safari es auch wie im normalen Safari nutzen könnte
Das geht doch per bookmarklet mit der pro Version…
@Komacrew: Hab die Pro Version. Wie soll das gehen?
das es geht stand zumindest sogar mal in der AppStore Beschreibung und ist einer der Mehrwerte der ProVersion. Hier im Support von Agile wird’s erklärt: http://help.agile.ws/1Password.....rklet.html
Ob die normale Version das auch mittlerweile kann weiß ich allerdings nicht.
Alles klar, geht nur mit der Mac Version! :( Mit der Windowsversion gibt es diese Funktion nicht. Schade!
Gruß Chris…
Oh, da war mir neu. Habe zwar auch eine Windows Lizenz aber keinen Windows PC mehr und am MacBook starte ich Windows 7 vielleicht 1 mal im Halbjahr… Aber es besteht ja Hoffnung. Die Windows Version gibt es ja noch nicht so lange und das Feature wird bestimmt noch nachgerüstet (irgendwann wahrscheinlich kostenpflichtig im Major Release)
Das wird so nicht mehr gemacht seit ein paar Versionen.
Man legt sich unter iOS 4.x ein Lesezeichen auf die oberste Ebene bei den iPhone/iPod Touch-Lesezeichen mit folgender Zieladresse:
javascript:window.location=’onepassword://’+window.location
Wenn man nun auf einer Webseite ist, wo Benutzername und Passwort benötigt wird, ruft man dieses JavaScript auf und landet nach Eingabe seines Masterpassworts direkt bei den Daten der zugehörigen Homepage in 1Password. „Hört sich jetzt komplizierter an als es ist.“
Funktioniert so auch auf dem iPad. :)
Viel Spass!
http://www.Twitter.com
@offroadbiker: Hab ein Lesezeichen (Copy&Paste) so angelegt. Funzt aber leider nicht. Stimmt die Syntax wirklich?
Hier wird erklärt wie man ein Bookmarklet direkt am iPhone anlegen kann:
http://forum.agile.ws/index.ph.....t__p__7434
Und was macht man, wenn die Website mal down ist oder dauerhaft down geht? Alle Passwörter weg? Super! Wenn dann braucht es dazu auch ne offline Anwendung, mit der man im Fall der Fälle alles auch selbstständig generieren kann…
Speicher die Webseite ab! Das ist nur ein kleiner Javacode, du kannst die Seite auch Offline nutzen.
Das ist eine gebräuchliche Berechnung die man sowohl offline alsnauch auf anderen Seiten durchführen kann. Manche können das sogar im Kopf.
Das ist vergleichbar mit der einfachsten Verschlüsselung a=1, b=2 … nur etwas komplexer. Also über die Webseite brauchst du dir keine Gedanken zu machen.
Wie steht es um die Sicherheit von Apps die Passwörter und Kartendaten speichern? zB „Safe“?
sind diese überhaupt kontrollierbar?
Mit einem jailbreak schon. Hier in den News war vor garnicht langer Zeit eine neue Safe App die mit extremen Problemen zu kämpfen hatte. Sehr nett vom Design aber Sicherheit =0
Es gibt 2 Kriterien: zum einen sollte die Verschlüsselungsmethode angegeben werden und sicher sein. Die meisten iPhone Apps verwenden mittlerweile AES 256 was sehr sicher ist, wenn e entsprechend gutes Passwort gesetzt wurde.
Und das andere Kriterium wäre das die App keine Daten ins Netz sendet. Das kannst du aber zurzeit nur per jailbreak feststellen oder aber im WLAN mit einem zusätzlichen Tool am Mac/PC der den netzwerkverkehr ausliest
Da man aber nicht überall einen Hash Generator zur Verfügung hat und es sich ja darauf bezog ohne iPhone oder Sonstiges ein Passwort sich merken zu können empfehle ich eine Satzstruktur. Das habe ich bis 1Password immer verwendet zum Beispiel für meine verschlüsselten Festplatten etc.
Einfach ein Satz basteln wie: Dieses Passwort ist mein persönliches Web.de Passwort.
Daraus bastel ich mir ein Passwort: DPimpWeb.deP
Noch sicherer wird es mit Zahlen anstelle der Domain und Sonderzeichen: DPimp23_5_2.4_5P
oder noch kryptischer eingefasst mit seinem Geburtstag, Hochzeitsjahr etc. 19 DPimp23_5_2.4_5P85
Der Satz bleibt immer gleich, Buchstaben zählen kann jeder und man braucht weder 1Paswword, eine Webseite mit hashberechnungen noch unsichere Passwörter verwenden. Da die meisten aber eh im Browser ihre Passwörter speichern bringen auch die sichersten Passwörter nichts. Je nachdem wie paranoid man ist wäre man ebenfalls nicht sicher vor keyloggern und sollte die on-Screen Tastatur verwenden oder aber direkt ein Keyfile auf einem Stick ;)
Unter DataInherit (www.datainherit.com) die PW konsequent speichern und vererben. Dann kann ich die vorgeschlagene Methode verwenden. Und ich habe PW, die ich im Notfall auch ohne DataInherit wieder finde.
Und falls bei mir ein Notfall eintritt, können die Personen meines Vertrauens Zugriff auf die PW und können damit was anfangen (z.B. Konten von mir löschen lassen). Je nach Notfall kann es sein, dass sie nicht mehr benötigt werden.
Ich erhalte von DataInherit keine Provision sondern bin überzeugter Nutzer. Und DataInherit gibt es auch für iPhone!
Ich persönlich empfinde dieses Auslagern von Passwörter auf fremde Server über die ich selbst 0 Kontrolle habe nach wie vor für bedenklich.
Wenn man den Java-Code der Webseite offline nutzen oder jeden beliebigen Hash-Generator verwenden kann, dann bestehen hier die selben Bedenken. Es muss nur jemand dort die Master-Passwörter knacken und schon kann er so locker die anderen Passwörter generieren!
Ich habe mich vor kurzem mit dem Thema beschäftigt und wer möchte kann dies hier nachlesen: http://iszene.com/thread-10342.....0.html
Ich habe mich aus 2 Gründen gegen 1Password entschieden: Es gibt keinen Linux-Client und der Sync über Dropbox ohne lokale Verschlüsselung.
Ich nutze jetzt LastPass unter Linux, Windows und auf dem iPhone sowie mit versch. Browsern (Firefox, Chrome und IE). Ich bin sehr damit zufrieden. Die iPhone-App enthält eine integrierten Browser, aber man kann auch im Safari ein Bookmarklet installieren.
Meine volle Empfehlung für 1password. Zwar echt teuer, aber doppelte Schutztiefe in der App. Top!
Ich finde das Programm „Wallet“ von http://www.acrylicapps.com/wal.....let/ besser. Grund dafür ist, das es übersichtlicher ist.
Wallet ist ebenfalls empfehlenswert aber als Alternative zu 1Password nur für Mac-Besitzer zu gebrauchen. Retina angepasst, Sync per jeglichem WebDAV mit vereinfachtem MobileMe und DropBox Sync, Dateianlagen lassen sich über die Mac Anwendung in die Passwortbereiche integrieren, übergreifende Suche und ist recht schnell beim Sync. Außerdem gibt es die nette Browsererweiterung zum einloggen genauso wie bei 1Password. Also eine gelungene, billigere Alternative für nur Mac-User.
Nachteil war zumindest beim Zeitpunkt meines Kaufs:
– nur im US Store zu haben
– Mac Programm war noch nicht fertig
(- Benutzeroberfläche komplett auf englisch)
– wenig Verfeinerungsmöglichkeiten von Passwortarten
– Sync nur per WLAN möglich
und immernoch fehlt ein Windows Programm
Nutze schon seit langem SplashID (vorher auch auf anderen Smartphones). Das scheint hier ja nicht so verbreitet. Gibt es damit ggf. ein Sicherheitsproblem auf dem iPhone?
Von den Sicherheitsaspekten ist in erster Linie der Algorithmus wichtig. Der ist bei SplashID mit AES 256-bit Blowfish anders aufgebaut wie bei 1Password und für die Paranoiker sogar „sicherer“, wenn man nicht ein Passwort wählt was ein 3-jähriger sich ausgedacht hat. Dafür gibt es aber ja auch einen Passwortgenerator integriert. Das entschlüsseln ohne Key dauert wie bei 1 Passwort länger wie die Lebensspanne eines Menschen + X. Was mich an SplashID stört ist die unkomfortable Handhabung sowohl am iPhone als auch am Mac. Preislich ist SplashID sogar noch teurer und bietet (soweit ich das gelesen habe) keinen Zugriff von unterwegs wie 1Password mit dem DropBox Sync und in den Rezensionen wird sehr oft bemängelt, dass der Sync nicht klappt… Außerdem unterstütze ich keine Apps die mit in-app-purchases nochmal Kohle abzocken wollen. Ich habe einige Safes getestet, von FW 1.1.4 per Installer, unter FW2.0 eWallet als eines der ersten Apps im Appstore und außerdem noch mSecure, LastPass, wallet, Safe, Roboform und Passwords & Pins (das Programm hatte eine üble Sicherheitslücke, beim Start im Appstore!!) und ich bin bei 1Password gelandet und geblieben…
Danke für die Info. Hatte mit SplashID weder beim Palm noch WinMobile oder iPhone Probleme mit dem sync. Einzig mit deutsche Umlauten tut sich das Programm schwer. Bin wohl aus der Historie mitdem Programm mitgewchsen. Werde mir aber 1Passwort mal ansehen. Hoffentlich gibt es da eine gute Importfunktion. Das ist immer das Haupthindernis für einen Wechsel -> Der Horror der Neueingabe aller Daten.
Hat jemand Erfahrungen mit LastPass gemacht?
Ich benutze RoboForm un mit der Onlinesynchronisation aut deren Server komme ich über all an die PW ran. Dies gibt es natürlich auch fürs iPhone und es funktioniert super.
mir ein Notfall eintritt, können die Personen meines Vertrauens Zugriff auf die PW und können damit was anfangen (z.B. Konten von mir löschen lassen). Je nach Notfall kann es sein, dass sie nicht mehr benötigt werden.www.bestdigitalmarket.com
Ich erhalte von DataInherit keine Provision sondern bin überzeugter Nutzer. Und DataInherit gibt es auch für iPhone!
— KWH
Datainherit ist mein Favorit
Warum die Accounts von Lifehacker und Gizmodo (eientlich dem ganzen Gawker Netzwerk) veröffentlicht wurden ist ja das Beste an der Geschichte :D
Don’t fuck with Anonymous!
Das ist zu umständlich da ich immer das Tool brauche und somit kann ich nicht auf
die schnelle bei Amazon oder ebay mich einloggen. Besser ist es sich selber eine Kombination
aus Masterpaswort und Webseite anzueignen. z.B.:
Masterpaswort ist: 1#2#3#4
Amazon ist somit folgendes: am1#2#3#4on
ebay ist somit folgendes: eb1#2#3#4ay
gmx.de ist somit folgendes: gm1#2#3#4de
u.s.w.
Wem das mit dem ersten zwei und letzten zwei Buchstaben der Webseite zu unsicher ist,
kann ja die Buchstaben immer verdrehen:
Amazon: ma1#2#3#4no
oder den nachbarbuchstaben auf der Tastatur nehmen.
Das ist super einfach und ich brauche kein Tool oder Notizhäftchen immer zur Hand zu haben
Gute Idee, werde ich mir überlegen…
Keine gute Idee. Wenn jemand eins von den Passwörtern hackt dann lassen sich alle anderen Logins mit Logik erahnen. Sichere Passwörter sind unlogisch oder logisch kompliziert.
Und wenn ich den usernamen vergessen habe?
Hmm mal ne Idee für ne neue app