Filterbubble
Jan’s Filterbubble Podcast
FB0053 Ändere-Dein-Passwort-Tag
0:00
-13:23

FB0053 Ändere-Dein-Passwort-Tag

Und warum ich den umbenennen würde
Transkript

No transcript...

Links

Transkript by Google

Heute ist der ändere dein passwort-tag schon mal von gehört, wahrscheinlich nicht haben ganz viele nicht. Ist auch ehrlich gesagt bisschen aus der Zeit gefallen, weil naja eine Änderung des Passwortes ist. Ich sag mal nicht unbedingt verkehrt, das kann man schon auch immer mal wieder machen. Man muss es aber nicht machen wenn das Passwort nie irgendwo revealed wurde um das rauszufinden gibt zu Seiten.

Wie have been Pound oder? Generell? Integrieren das ja inzwischen sogar Webbrowser wie wie Google Chrome. Also Browser die ihr die Passwörter speichern und die checken einfach ob diese Passwörter bzw. Die Kombination aus Benutzername, was ja häufig die E-Mail-Adresse ist und da benutzen wir alle wahrscheinlich meistens die gleiche oder nur eine sehr eingeschränkte Auswahl.

Ähm? Und die Kombination mit einem konkreten Passwort irgendwo aufgetaucht ist. Das Problem ist ja folgendes wenn man ein Passwort mehr als einmal benutzt. Und dann hat man noch den gleichen Benutzernamen. Das ist relativ gängig und auch normalerweise kein Problem. Aber wenn diese Kombination öfter mal die gleiche ist und es wird genau einmal aufgedeckt.

Dann sind ja alle aufgedeckt aus diesem Grund. Ist die Aufforderung ändere dein Passwort ist ein bisschen. Bisschen blöde weil das so suggeriert. Man hat so sein Passwort, dass man überall benutzt und einmal im Jahr ändert man das. Und das ist halt nicht sicher. Das ist halt keine gute Idee.

Besser ist, man hat über ein anderes Passwort. Und wie sicher das im Einzelfall ist? Ist vielleicht gar nicht so relevant. Sondern? Also wenn es überall ein anderes ist dann ist es normalerweise eh hinreichend sicher weil es dann ja auch verschlüsselt gespeichert wird und so weiter. Trotzdem können Passwörter immer mal wieder auffliegen und da ist es dann aber auch eigentlich egal wie kompliziert es ist die Zeiten das Passwörter einfach so geknackt wurden durch erraten.

Vorbei sind sie nicht, aber das ist wenn man jetzt nicht echte Wörter benutzt, was man auf gar keinen Fall tun sollte. Und auch es reicht übrigens auch nicht echte Wörter zu benutzen und dann meinetwegen, die es durch eine drei zu ersetzen oder diese Scherze. Das reicht auch nicht, auch auch diese.

Passwörter haben? Passwort knackprogramme natürlich längst integriert. Sondern am besten hat man ein zufällig generiertes Passwort. Und versucht das natürlich auch geheim zu halten. Das heisst, dass man eben auch guckt, dass man jetzt nicht auf eine Phishing Attacke reinfällt, wo ich immer dieses Passwort dann wieder abwischen kann. Das ist?

Das ist wichtig und wichtig ist auch da wo es geht zwei Faktor authentifizierung zu machen. Das bedeutet, dass man ja einen zweiten Faktor dazu nimmt. Der Das ganze zusätzlich absichert. Das bedeutet man gibt seine Zugangsdaten irgendwo ein. Und dann fragt die Seite als nächstes so herzlich willkommen. Jetzt bitte den zweiten Faktor und das können verschiedene Sachen sein.

Ganz bekannt, das kennt jeder wahrscheinlich. Ist dass es über SMS funktioniert? Das ist nicht besonders sicher. Es ist aber würde ich sagen immer noch besser als gar nichts. Dann gibt es Apps, die zwei Faktor machen. Ganz unterschiedliche, es gibt auch! Es gibt auch Codes die man sich irgendwo hin speichern kann und dann muss man davon einnehmen und irgendwann laufen die ab und man bekommt neue.

Ja also diese ganzen Verfahren sind unterschiedlich sicher aber sie haben alle eins gemeinsam. Sie sind besser als wenn man die gar nicht benutzt. Das beste zumindest so wie ich das verstanden habe. Ist sicherlich eine App, die automatisiert alle paar Sekunden einen neuen einmalcode generiert und wenn man sich erfolgreich mit seinem Benutzernamen und sein Passwort irgendwo eingeloggt hat, dann kommt als nächstes die Abfrage nach genau diesem Code und das ist eben.

Ja ein einkodierter Schlüssel der dann abgeglichen wird und dann kommt man rein oder eben auch nicht. Das ist sehr schwer zu knacken und würde ich mal so sagen. Relativ sichere Geschichte und auch deutlich besser als wenn man einmal im Jahr sein Passwort ändert, obwohl das überhaupt gar nicht irgendwo revealed wurde.

Ja. Also generell? Mehr Passwörter sind mehr gut und nicht mehr passwortänderungen sind mehr gut. Das ist so nicht mehr. Auch wenn es in der Regel nicht schadet, aber es führt eben auch dazu, dass man sich seine Passwörter dann natürlich nicht merken kann. Das wiederum ist schon gut, weil Passwörter die man sich merken kann.

Sind ja nun so sicher, dann auch nicht, weil dann baut man sich irgendwelche Eselsbrücken und Je nachdem wie toll die sind, sind die natürlich irgendwo dann auch mal erratbar. Da kommt es dann immer auf den auf den Aufwand an. Man muss das da auch nicht päpstlicher sehen als der Papst, zumindest nicht bei den meisten Diensten.

Aber in der Tendenz sollte man das immer im Hinterkopf behalten. Mein Tipp bei Passwörtern wäre das immer irgendwie automatisch zu generieren? Was zum Beispiel relativ sicher ist, wenn man tatsächlich mehrere Wörter aneinander reiht. Und wenn man dann vielleicht noch hier und da. Eine Ziffer einfügt zwischen den Wörtern oder so?

Dann glaube ich hat man einen guten merkbares Passwort, was nicht so ohne weiteres zu knacken ist. Wenn man das dann noch mit so einem zweiten Faktor absichert hat man glaube ich schon ganz viel richtig gemacht. Die noch sicherere Alternative ist, dass man tatsächlich komplett mit automatisch generierten zufalls Passwörtern arbeitet und die speichert man sich dann.

Wenn man es einfacher und bisschen weniger sicher haben will in den Browser, dann muss man aber natürlich den Browser Hersteller entsprechend Vertrauen, ob man das im Einzelfall immer so möchte, dass sei mal dahingestellt. Die bessere Variante ist tatsächlich, dass man sich da einen sogenannten passwort-manager sucht und auch hier muss man gucken, dass man nicht irgendein nimmt.

Da gab es nämlich auch schon Fälle wo der ganze Laden im Prinzip geknackt wurde und dann. Ja, es ist halt. Dann sind halt alle Passwörter aller Leute aller Kunden, die diesen Betreiber vertraut haben auf einmal öffentliches natürlich nicht geil. Das möchte ich mal auf gar keinen Fall. Ich würde dazu raten, einen Dienst zu benutzen, der auf eine Open Source Software setzt, denn Open Source bedeutet, dass der Programmcode öffentlich ist und das bedeutet, wenn da jemals eine sicherheitslücke gefunden wird.

Die dann auch jeder suchen könnte der da ein bisschen was von versteht. Dann ist die eben ja, dann hat man das ein ganz anderer Druck dahinter das ganz ganz schnell zu fixen, weil sonst das ganze Ding im Eimer ja und gleichzeitig hat man eben wirklich so eine Art Community driven Kontrolle die da gelegentlich mal drauf schaut oder sogar regelmässig.

Ja. Der Passwort Manager meiner Wahl heisst bit worden, den kann man sehe ich selber hosten. Das heisst dann hat man seine Passwörter auch nicht in irgendeiner Anbieter Cloud, sondern hat die lokal und dadurch noch mal gesichert irgendwo liegen. Da muss man natürlich gucken, dass man Updates hat und dann muss man auch dafür sorgen, dass das alles ordentlich synchronisiert wird.

Das nicht, wahrscheinlich nicht unbedingt jedermanns Sache. Aber die einfachere Variante ist tatsächlich, dass man da. Den Betreiber eben in diesem Fall bit worden, aber es gibt natürlich noch andere, ist auch gut können. Einen gewissen Betrag gibt, der auch nicht viel ist. Aber dann weiss man so der geht da.

Hoffentlich fliegt nicht mit meinem Passwörtern um. Ich finde. So Sachen wo man so eine gewisse Abo Gebühr bezahlt, nicht immer geil. Bei bestimmten Sachen insbesondere bei sicherheitsrelevanten Themen. Ist das aber immer eine Überlegung wert? Weil im Prinzip sorgt man dafür, dass der Dienst, der die eigenen Daten sichern soll, arbeitsfähig ist.

Und das kann er halt nur wenn er irgendwo ein bisschen Geld verdient. Es sind auch keine Mörder hohen Beträge. Das ist irgendwie sowas wie 12 15 Euro im Jahr vielleicht 20. Ich habe es nicht im Kopf aber es ist überschaubar. Wenn man dafür damit dafür sorgt, dass das die Software auch weiterentwickelt wird, sprich das auftauchende sicherheitslücken oder irgendwelche angriffsszenarien, die man vielleicht ursprünglich nicht so auf dem Schirm hatte.

Dass dem irgendwas entgegengesetzt wird. Ja dann ist mir das ehrlich gesagt ein paar Euro wert weil das sind auch irgendwo meine Passwörter die da verwaltet werden und ich möchte halt nicht dass die dann irgendwo Offen liegen? Also ich denke das kann man durchaus machen. Er es nicht machen möchte.

Es gibt natürlich auch ganz viele Möglichkeiten das immer irgendwie selber. Sich aufzubauen. Es gibt dann noch die Software. Die keepas heisst plus 1000 Gefühl 1000 Clients für alle möglichen Plattformen. Da baut man sich das ganze so ein bisschen selber. Also die Software ist fix und fertig und die funktioniert auch gut.

Man muss dann halt nur noch dafür sorgen, dass seine Passwörter Datei irgendwo sicher liegt und eben auch immer schön synchronisiert wird. Und dann ist man da komplett frei von Ja, dass man sich darauf ein Anbieter verlassen muss, aber auch da ist es so, dass eine Community dahinter steht und diese Software regelmässig weiterentwickelt.

Es gibt tausend Möglichkeiten das vernünftig zu machen. Der ändere dein passwort-tag sollte meiner Meinung nach umbenannt werden. In benutze verdammt noch mal endlich ein Passwort Manager Tag das würde es glaube ich ein bisschen besser treffen. Ich fürchte das auch ganz viele Leute nach wie vor gar nicht wissen was ein Passwort Manager ist, geschweige denn einen solchen benutzen.

Das gute an solchen Managern ist, dass sie tatsächlich auch Passwörter generieren. Also die bauen dir einfach ein sicheres Passwort. Und legen das dann auch direkt ab. Mit dem gewählten Benutzernamen? Und? Naja, ich glaube Das ist so in Kombination dann immer noch mal ein Tick sicherer als alles was man sonst so machen kann.

In jedem Fall, auch wenn der Tag den falschen Namen trägt, meiner Meinung nach. Ist es vielleicht der Tag? Ja lebt man sich einfach? Mal kurz hinsetzt und sich drei vier fünf Minuten überlegt. Wie man mit seinem Passwörtern umgeht, ob das sinnvoll ist, ob man wirklich bei jedem Diensten unterschiedliches Passwort genutzt hat oder auch nicht oder ob man das vielleicht mal hier unter ändern sollte.

Ob man vielleicht mal seine Zugangsdaten in einen Dienst wie have AF been point rein gibt oder einfach mal ein Passwort Manager sich runterlädt und das ausprobiert. Ja also solche Sachen oder eben ganz wichtig, dass man sich anguckt, dass man zumindest bei den Diensten, die wirklich wirklich wichtig sind. Zum Beispiel bei der bei dem emaildienst, worüber alle möglichen Accounts laufen.

Ja, dass man zumindest so was mit zwei Faktor authentifizierung vernünftig abgesichert hat. Bei der Gelegenheit übrigens auch gerne noch mal gucken ob man Notfallmassnahmen ergriffen hat, ob da zum Beispiel die gültige Handynummern hinterlegt sind oder irgendwelche anderen Kontakten über die man im Notfall da irgendwas wiederherstellen kann, weil auch das ein Klassiker ist, dass man irgendwie eine Rufnummer wechselt und dann kommt man.

Durch den Dom Zufall an nichts mehr ran. Weil man diese ganzen notfalloptionen eben nicht hat. Also auch diese notfallcodes. Zum Beispiel sollte man sich immer. Ja ziehen an einen sicheren Ort legen, vielleicht sogar ausgedruckt, also das ist. Vielleicht gar nicht die dümmste Methode? Auch mit denen kann man dann im Fall der Fälle wieder mal irgendwas herstellen, was verloren, geglaubt ist und gerade wenn dann noch mehr dran hängt eben weitere Accounts oder so.

Wäre man ein bisschen mit dem klammerbeutel gepudert, wenn man das so ein bisschen im Zufall überlässt ob der eigene Account mal irgendwann abhanden kommt? Heute ist? Für mich nicht der ändere dein passwort-tag heute ist für mich der denkt einfach ein bisschen über deine Passwörter Nachtrag oder wahlweise der benutze endlich einen Passwort Manager Tag.

Filterbubble
Jan’s Filterbubble Podcast
Gedanken und Kommentare zur Zeit, ungeschminkt und ungefiltert und in der Regel auch komplett ungeskriptet und spontan. Dieses Projekt hält fest, was ich in mein Handymikro spreche.