Passwort

[fränk]

Ich bin am überlegen, ob und wie ich meinen Umgang mit Passworten ändere.

Aktuell nutze ich ein kurzes Wort für beinahe alles, wenn ein paar Buchstaben nötig sind, hänge ich die immer gleichen an.


Nun habe ich eben meinem Amazon-Zugang ein anderes Passwort gegönnt. Ich habe das neue Passwort von 1Password generieren lassen.
Das Wort ist 14 Buchstaben lang, es wird groß und klein geschrieben, es gibt Zahlen, Buchstaben und Sonderzeichen.
Also recht sicher, weil es schwer zu knacken ist.

Problem dabei ist nur, man kann sich das Ding nicht merken.

1Password kann es sich merken, hat sich aber zuerst hartnäckig geweigert, die alten Amazon Passworte zu vergessen (ich habe keine Ahnung, warum 1Password zweimal den Zugang für Amazon gespeichert hatte). Nach einigen Löschversuchen erschien dann tatsächlich nur noch das aktuelle Passwort in den Einstellungen von 1Password, im Pulldownmenü im Browser erscheint aber weiterhin zusätzlich das alte zur Auswahl.
Ich bereue jetzt schon, dass ich das Passwort geändert habe, weil natürlich das alte, inzwischen ungültige Passwort oben steht, das korrekte erst darunter. Ich befürchte, dass bleibt so bis an mein Ende.

Ich könnte jetzt alle meine Zugänge durch sicherere Passworte ersetzen, habe dann aber wahrscheinlich immer eine Auswahl aus vergangenen und gültigen Passworten in 1Password zur Auswahl..... das macht eigentlich keinen Spaß.



Was ich bei der Nutzung von 1Password nicht erkennen kann, ist das Mehr an Sicherheit.
Es liegt doch nun alles in 1Password. Jeder der meinen Rechner oder iPhone in den Händen hält, hat nun eine wunderbare und vollständige Sammlung von Passworten parat. Ist ein Verlust der Hardware nun nicht vielleicht das viel größere Risiko, als die Möglichkeit meine Passworte online zu knacken?

Weiter stört mich heftig. dass ich meine eigenen Passworte nun nicht mehr kenne.
Meine Rechner und 1Password kennen die Zugänge, ich aber nicht.
Ist das wirklich sinnvoll?
Wie handhabt Ihr das?

[MacFlieger]

1Password kann es sich merken, hat sich aber zuerst hartnäckig geweigert, die alten Amazon Passworte zu vergessen (ich habe keine Ahnung, warum 1Password zweimal den Zugang für Amazon gespeichert hatte).

Das müsste man sich genauer anschauen. Evtl. liegt es daran, dass Du die Kennwörter auf verschiedenen Amazon-Seiten=URLs gespeichert hast. Den Tipp, wie ich es mache, um derartiges zu vermeiden, hatte ich schon einmal geschrieben.
Normalerweise ist 1Password so eingestellt, dass beim erneuten Speichern, das alte Kennwort ersetzt wird.

Nach einigen Löschversuchen erschien dann tatsächlich nur noch das aktuelle Passwort in den Einstellungen von 1Password, im Pulldownmenü im Browser erscheint aber weiterhin zusätzlich das alte zur Auswahl.

Das verstehe ich absolut nicht. Warum mehrere Löschversuche? Ich markiere einen Eintrag und lösche ihn. Dann ist er weg. Warum sollte ich es mehrmals versuchen. Das impliziert, dass die ersten versuche fehlschlugen.
Was versuchst Du wo zu löschen?
Das Pulldown-Menü des Browsers kann etwas zeitversetzt auf Änderungen in der 1Password-Datenbank reagieren. Nach einigen Minuten oder spätestens nach einem Browserneustart darf da nichts anderes drin stehen, wie in 1Password gespeichert ist.

Ich könnte jetzt alle meine Zugänge durch sicherere Passworte ersetzen, habe dann aber wahrscheinlich immer eine Auswahl aus vergangenen und gültigen Passworten in 1Password zur Auswahl..... das macht eigentlich keinen Spaß.

Ja, das würde es nicht. Keine Frage. Allerdings habe ich diesen Fall noch nie gehabt. Ist schon komisch.

Was ich bei der Nutzung von 1Password nicht erkennen kann, ist das Mehr an Sicherheit.

Das Mehr an Sicherheit liegt darin, dass Du erst ein leicht knackbares Kennwort verwendet hast und nun ein schwer knackbares. Das hat nichts mit 1Password direkt zu tun. Bisher konnte jeder weltweit leicht Deien Accounts ohne Kenntnisse über Dich Deinen Wohnort und Computer etc. knacken. Das ist mit einem guten Kennwort praktisch ausgeschlossen.
Das neue gute Kennwort musst Du nun speichern. Entweder auf einem Zettel in einem Tresor oder in 1Password etc. Das ganze ist schon sicherer als vorher, denn nun muss jemand vor Ort Deinen Tresor knacken bzw. 1Password öffnen, um an Deine Kennwörter zu gelangen. Das ganze steht und fällt dann mit einem guten Masterkennwort für den Tresor/1Password.

Es liegt doch nun alles in 1Password. Jeder der meinen Rechner oder iPhone in den Händen hält, hat nun eine wunderbare und vollständige Sammlung von Passworten parat.

Nein, hat er nicht. Dazu benötigt er mind. noch das Masterkennwort. Und das muss gut sein!

Der Unterschied ist also:
Früher leicht von jedem weltweit zu knackende Accounts.
Jetzt gut gesicherte Accounts mit unterschiedlichen guten Kennwörtern.
Als Merkhilfe für die ganzen Kennwörter wird 1Password mit einem guten Hauptschlüssel verwendet.

Weiter stört mich heftig. dass ich meine eigenen Passworte nun nicht mehr kenne.
Meine Rechner und 1Password kennen die Zugänge, ich aber nicht.
Ist das wirklich sinnvoll?
Wie handhabt Ihr das?

Genau so mache ich es. Und die Datenbanken liegen auf mehreren Rechnern, iOS-Geräten, Dropbox, extern gelagerten Platten. So kann nichts verloren gehen solange ich mein Masterkennwort kenne.
Ich als Mensch muss so etwas oder einen Zettel in einem Tresor nutzen, da ich mir gute Kennwörter in so großer Zahl nicht merken kann.
Die Alternative (schlechte und somit nutzlose Kennwörter zu verwenden) ist keine Alternative.

[fränk]

Das verstehe ich absolut nicht. Warum mehrere Löschversuche? Ich markiere einen Eintrag und lösche ihn. Dann ist er weg. Warum sollte ich es mehrmals versuchen. Das impliziert, dass die ersten versuche fehlschlugen.
Was versuchst Du wo zu löschen?
Das Pulldown-Menü des Browsers kann etwas zeitversetzt auf Änderungen in der 1Password-Datenbank reagieren. Nach einigen Minuten oder spätestens nach einem Browserneustart darf da nichts anderes drin stehen, wie in 1Password gespeichert ist.

Im geöffneten Fenster von 1Password habe ich versucht die beiden alten Amazon-Zugänge zu löschen. Eintrag markiert, gelöscht, das Fenster änderte sich, es erschien die Liste aller Zugänge, dann wieder „amazon“ ins Suchfeld eingegeben und es standen wieder die drei Zugänge (zwei alte und der neue) dort. Nach drei Versuchen war es dann geschafft, es erschien nur noch das aktuelle Passwort.

Die im Pulldown-Menü im Browser stehenden alten Zugänge habe ich weg. In diesem Pulldown-Menü lassen sich die Zugänge editieren/löschen.

[fränk]

Es liegt doch nun alles in 1Password. Jeder der meinen Rechner oder iPhone in den Händen hält, hat nun eine wunderbare und vollständige Sammlung von Passworten parat.

Nein, hat er nicht. Dazu benötigt er mind. noch das Masterkennwort. Und das muss gut sein!

 
Ist 1Password bei dir so eingestellt, dass Du bei jeden Zugang das Master-Passwort von 1Password eingeben musst?

Falls nicht (wie bei mir), hat jeder, der mein MacBook oder iPhone in seinen Besitz gebracht hat sämtliche Zugänge.
Ach ja, meine Geräte sind nicht mit einem Passwort geschützt.
Dieses Passwort müsste ja mindestens so sicher sein, wie das Master-Passwort von 1Password, wenn es Sinn machen sollte. So ein sicheres Passwort kann sich mein Hirn aber nicht merken.

Was stimmt hier in der Logik nicht?

[warlord]

Ich sehe das sehr ähnlich wie fränk. Unterschiedlichen Online-Dienste bergen unterschiedliche Gefahren. Und es macht in meinen Augen absolut keinen Sinn, diese alle über einen Kamm zu scheren.

Von einer Anmeldung in einem Forum gehen andere und vor allem geringere Gefahren aus, als von der Anmeldung beim Online-Banking. Unterschiedliche Gefährlichkeit ergibt unterschiedliche Sicherheitsanforderungen. Und unterschiedliche Sicherheitsanforderungen ergeben auch unterschiedliche Grade von Unannehmlichkeiten, die ich bereit bin, auf mich zu nehmen. Schlussendlich muss da jeder selbst für jeden Online-Dienst die Balance zwischen Sicherheit und Annehmlichkeit finden und entscheiden, wie gefährlich der jeweilige Dienst für ihn persönlich ist und welche Unannehmlichkeiten er zur Absicherung auf sich nehmen möchte.

Wenn ich nun all die unterschiedlichen Dienste mit unterschiedlichen Anforderungen an einen Master-Zugang kopple, muss dieser eigentlich so sicher und damit auch umständlich sein, wie es der gefährlichste der abgedeckten Dienste erfordert. Damit mache ich also den Zugang zu ungefährlicheren Diensten umständlicher, was also einen Komfort-Verlust und keinen Komfort-Gewinn ergibt. Oder aber ich mache wirklich auf das, was Tools wie 1Password versprechen, nämlich auf Komfort-Gewinn. Dann habe ich aber einen Sicherheits-Verlust bei den gefahrenträchtigeren Diensten.

[fränk]

Tja, so ist das wohl.

Ich will ja wirklich gerne sicher gehen, aber es muss sich rechnen.

Anders formuliert:
Wenn in meinem Leben mein Konto einmal leer geräumt wird und ich dadurch heftige Unannehmlichkeiten habe, vielleicht sogar in Peking festsitze und nicht so einfach nach hause komme, ist das vielleicht nicht sinnvoller, als über Jahrzehnte an Eingabeformularen herum zu werkeln?


Sämtliche Passworte erfüllen die Vorgaben der Betreiber, Banken, Onlinekaufhäuser etc, sonst könnte ich sie nicht nutzen.
An diese Passworte kommt nur jemand mit wirklich krimineller Energie ran, was soll mir im Schadenfall den passieren, außer Unannehmlichkeiten?

Ist wirklich nur ein ernst gemeinte Frage.

[MacFlieger]

Im geöffneten Fenster von 1Password habe ich versucht die beiden alten Amazon-Zugänge zu löschen. Eintrag markiert, gelöscht, das Fenster änderte sich, es erschien die Liste aller Zugänge, dann wieder „amazon“ ins Suchfeld eingegeben und es standen wieder die drei Zugänge (zwei alte und der neue) dort. Nach drei Versuchen war es dann geschafft, es erschien nur noch das aktuelle Passwort.

Welche Version von 1Password hast Du. Ich habe das gerade mal ausprobiert (3.8.20) und kann es nicht nachvollziehen. Ich habe einen nicht mehr notwendigen Eintrag markiert, auf die Löschtaste gedrückt, es kommt die Frage, ob das in den Papierkorb verschoben werden soll (Papierkorb!), bei einer normalen Suche wird es aber nicht mehr angezeigt.
Hast Du evtl. eine neuere Version und die Suche zeigt auch Treffer im Papierkorb an? Das würde Dein "Problem" erklären.

Ist 1Password bei dir so eingestellt, dass Du bei jeden Zugang das Master-Passwort von 1Password eingeben musst?

Jein. Ich habe es so eingestellt, dass 1Password nach x Minuten sich wieder sperrt. D.h. ich muss jeden Morgen oder nach Neustart und nach x Minuten 1Password entsperren. Ist ein Kompromiss. Sicherste Einstellung wäre natürlich, wenn man für jeden Zugriff entsperren müsste.

Falls nicht (wie bei mir), hat jeder, der mein MacBook oder iPhone in seinen Besitz gebracht hat sämtliche Zugänge.
Ach ja, meine Geräte sind nicht mit einem Passwort geschützt.

Äh ja, ein ständig offenes 1Passwort auf einem völlig ungesicherten Gerät ist natürlich nicht der Hit. Eben vergleichbar zu dem Zettel in einem ständig offenen Tresor.

Sicherer als schlechte Kennwörter ist das meiner Meinung nach immer noch, da man dazu auf jeden Fall physischen Zugriff benötigt. Aber empfehlenswert natürlich auch nicht.

Was stimmt hier in der Logik nicht?

Es stimmt in der Logik nicht, dass Du eine unsichere Methode (jeder weltweit kann Deine Accounts leicht knacken) gegen eine etwas sicherere aber auch schlechte Methode (offener Zettel am Monitor klebend=offenes 1Password auf offenem Rechner=nur für Leute zugänglich, die physikalisch bei Dir vor Ort sind) tauschst.

Du musst 1Passord mit einem guten Kennwort sichern und je nachdem wie offen Du 1Password einstellst (Sperren bei jedem Zugriff oder nach x Minuten) zusätzlich noch mit einem guten Kennwort für den Rechner.
2 gute Kennwörter kann sich jeder merken.

@warlord:
Ich bin da auch bei Dir. Nur ist die Alternative, die fränk im Auge schwebt (alle Zugänge schlecht und mit dem gleichen/ähnlichen Kennwort abzusichern), die noch schlechtere Methode.
Bei Foren umgehe ich den Konfortverlust, der durch die Eingabe eines guten Kennwortes bei 1Password bei jedem Zugriff nötig ist, durch die Option "Angemeldet bleiben" also dem Setzen eines Cookies. Beim Online-Banking (wo das technisch auch verhindert wird) würde ich das nicht machen.
Also mache ich schon das, was Du schreibst. Der Zugriff auf 1Password sichere ich so ab, wie ich für meine maximale Sicherheit haben möchte.

[fränk]

Welche Version von 1Password hast Du. Ich habe das gerade mal ausprobiert (3.8.20)

Die habe ich auch.

[fränk]

Es stimmt in der Logik nicht, dass Du eine unsichere Methode (jeder weltweit kann Deine Accounts leicht knacken) gegen eine etwas sicherere aber auch schlechte Methode (offener Zettel am Monitor klebend=offenes 1Password auf offenem Rechner=nur für Leute zugänglich, die physikalisch bei Dir vor Ort sind) tauschst.

Ja, stimmt.
Ein bisschen.

[fränk]

Also, 1Password ständig geöffnet zu lassen macht keinen Sinn, da sehe ich ein.
Ich habe es auf dem Bürorechner jetzt so eingestellt, dass es nach dem Schlaf mit der Passworteingabe geöffnet werden muss.
Bei einem stationären Rechner, den ich während der Arbeitszeit im Auge habe und der sonst schläft, ist das kein großes Problem, jeden Morgen einmal das Passwort ist OK.

Bei einem mobilen Rechner oder dem iPhone ist das für mich nicht akzeptabel.

[fränk]

Und ohne mein Zutun, stand eben schon wieder ein zusätzlicher Amazon-Zugang in 1Password.
Vor 'ner Stunde war das einer weniger.

[warlord]

Anders formuliert:
Wenn in meinem Leben mein Konto einmal leer geräumt wird und ich dadurch heftige Unannehmlichkeiten habe, vielleicht sogar in Peking festsitze und nicht so einfach nach hause komme, ist das vielleicht nicht sinnvoller, als über Jahrzehnte an Eingabeformuaren herum zu werkeln?

Genau. Genau darin besteht in meinen Augen das richtige "Absichern" seines (nicht nur digitalen) Lebens: sich solche Fragen zu stellen und sie für sich selbst zu beantworten. Das eine oder andere Risiko wird man dann bewusst eingehen, weil das Absichern des Risikos "teurer" wäre, als das Eintreffen der drohenden Gefahr.

Und wenn man sich die Gefahr schonmal ausgemalt hat, kann man sich vielleicht auch schonmal den einen oder anderen Rettungsanker bereit legen, der einem beim Eintreffen der Gefahr behilflich sein könnte, der aber weniger kostet, als das vollständige Absichern gegen die Gefahr. (Aber selbst wenn man keine solche Rettungsanker vorbereiten kann, wird man die Gefahr IMO dann besser meistern, wenn man sich schonmal mit der Möglichkeit des Eintreffens und möglichen Auswegen befasst hat.)(*)

Und natürlich haben dann dort, wo man abzusichernde Risiken sieht, zuverlässige Tools ihren Platz. Und zu diesen zuverlässigen Tools scheint ja auch 1Password zu gehören. (Oder wenn man fränks Beiträge liest, auch eher nicht?) Aber ich sehe halt einfach auch die Gefahr, dass gerade solche Tools dazu verleiten, die erwähnte Auseinandersetzung mit drohenden Risiken zu überspringen und den Fehler vieler Sicherheits-Laien zu machen: zu glauben, man brauche einfach nur das richtige Tool einzusetzen und sei dann sicher.

(* Was einem aber natürlich auch nie vollständig gelingen wird. Es besteht immer auch die Möglichkeit, dass man auf einen der berühmten schwarzen Schwäne trifft, den man sich nun wirklich überhaupt nie ausgemalt hätte. Aber auch den wird man, so schlimm er einen auch trifft, besser meistern, wenn man im Bewusstsein, aber nicht in der ständigen Angst, lebt, dass es sie gibt.)

[MacFlieger]

Auf dem iPhone/iPad habe ich es auch so eingestellt, dass es sich sofort nach Verlassen der App wieder sperrt. Da ich diese Geräte auch nur schlecht abgesichert habe, ist das an der Stelle notwendig. Außerdem ist es unter iOS sowieso durch die fehlende Integration im Browser unkomfortabel.

Aber da wähle ich lieber unkomfortabel und sicher in 1Password statt komfortabel und unsicher im Kopf.

Und ohne mein Zutun, stand eben schon wieder ein zusätzlicher Amazon-Zugang in 1Password.
Vor 'ner Stunde war das einer weniger.

Hmmm, auf dem Bildchen sind zwei verschiedene Bilder vor den Einträgen. Ist das zweite evtl. das alte? Sieht dann danach aus, als ob da über die Synchronisierung die alten Einträge wiederhergestellt würden.

[radneuerfinder]

Gibts nicht in 1password einen Bereich, der mit einem weiteren Passwort abgesichert ist?

Finde das Thema interessant, da ich auch gerade auf 1Password umsteigen möchte.

Folgender Plan:

1. nicht so wichtige Kennwörter, z.B. Foren, werden im Browser, als Cookie gespeichert. Das funktioniert sogar auf dem iPhone
2. alle anderen Passwörter, z. B. eBay, werden über 1Password abgefragt (Auszeit: 2 Minuten)
3. OnlineBanking kommt in den extra Tresor (vault?) innerhalb von 1Password
4. Die 2 Masterpasswörter für 1password & 1password vault kommen in ein Notizbuch in eine abgeschlossene Schreibtischschublade.

Verbesserungsvorschläge?

[fränk]

Hmmm, auf dem Bildchen sind zwei verschiedene Bilder vor den Einträgen. Ist das zweite evtl. das alte? Sieht dann danach aus, als ob da über die Synchronisierung die alten Einträge wiederhergestellt würden.

So erkläre ich mir das auch.
Jetzt ist auf einem anderen Rechner nur ein Eintrag zu sehen.

Dafür ist ein anderer Zugang nicht so gesynct worden, dass das Einloggen funktioniert.
Heute Morgen hat die Änderung eines Passwort geklappt, die alten Zugänge wurden in 1Password gelöscht und gelöscht und gelöscht, bis sie weg waren und der einzige verbliebene Zugang hat funktioniert.
Nun auf einem anderen Rechner tut er es nicht mehr. Scheinbar hat der Sync via Dropbox funktioniert, der gesyncte Zugang sieht auch eigentlich gut aus (das neue Passwort ist das, was 1Password vorhin generiert hat), aber bei der Anmeldung gibt es nur Fehlermeldungen.

Ich hatte aber schon vorher beobachtet, dass 1Password nicht den gesamten Jubel verdient, der ihm entgegen gebracht wird.
Ein nettes Feature halt, dem aber nicht all zu viel Verantwortung übertragen sollte.