Dieses ist der fuenfte Teil einer Serie von Blogeintraegen, die sich als Reaktion auf die NSA Affaere um den Kontext Sicherheit fuer die eigenen Daten und Verschluesselung drehen.
Links zu den ersten vier Artikeln befinden sich am Ende des Blogposts. Im diesem fuenften Teil schreibe ich etwas zu meinen Ueberlegungen zu sicheren Zugangsdaten und Passwoertern.
Ich gebe zu: Ich war faul! Ja, ich hatte Standardpasswoerter unterschiedlicher Staerke und unterschiedlichen Typs, die ich an verschiedenen Stellen wiederholt habe. Ich weiss, es ist boese, ich habe es aber trotzdem getan.
Wenn man ueber Einbrueche bei Diensten im Internet und die damit verbundene Aufforderung doch bitte sein Passwort zu aendern liesst, dann wird meistens gesagt, das wenn man die Kombination aus Benutzername und Passwort noch woanders genutzt hat, das man ueberall dort zur Sicherheit das Passwort aendern muss. Daraus ist relativ einfach zu schliessen, dass man die Kombination aus Benutzernamen und Passwort nie zweimal verwenden sollte. Der Haken an der Sache ist aber, das man sich die ganzen Passwoerter ja auch merken koennen muss. Aus diesem Grund kann man entweder ein Passwortschema benutzen, oder man generiert wirklich konsequent Zufallspasswoerter. Diese Passwoerter kann mann dann zum Beispiel im Webbrowser speichern oder man notiert sie sich in einer Datei in einem verschluesselten Container.
Ich habe mich fuer eine Kombination aus verschiedenen Modellen entschieden, die fuer mich am praktischsten ist. Als erstes verwende ich bei Diensten als Benutzername nach Moeglichkeit eine Emailadresse. Da ich alle meine Emails ueber einen eigenen Mailserver versende lege ich mir fuer jeden neuen Account einen neuen Alias an. Das ist zwar zu Anfang nervig, hat aber den witzigen Nebeneffekt, das man sofort mitbekommt wo die eigene Emailadresse unautorisiert weitergegeben wurde ;-). Der Zugangsname ist also in der Regel unterschiedlich.
Bei den Passwoertern habe ich lange ueberlegt wie ich es mache, und habe mich am Ende fuer einen webbasierten Passwortgenerator entschieden, den ich bei mir auf meinem eigenen Server installieren kann. Dort wird aus der Kombination von Benutzername, Domain und eigenem Passwortstring ein bcrypt Hash gebildet, den ich dann als Passwort nutze. Weitere Informationen zu dem Tool gibt es hier:
Leider sind die bcrypt Hashes in der freien Wildbahn manchmal schon zu sicher, da sie Zeichen enthalten, die bestimmte Dienste nicht erlauben. Dies liegt (meistens) an der verwendeten Programmiersprache. In WordPress ist zum Beispiel kein Backslash erlaubt. Diese unerlaubten Zeichen filtere ich von Hand aus dem generierten Hash heraus. Da ich die Passwoerter ja aber sicher abgespeichert habe muss ich sie nicht oft generieren. Wenn ja, muss ich fuer zusaetzliche Sicherheit damit leben, dass ich mir manche Passwoerter erst zusammenbasteln muss.
Am Ende habe ich aber wieder zwei Arten von Passwoertern. Einmal die bcrypt Hashes, die ich nach Moeglichkeit ueberall verwende. Aber mal ehrlich, wer moechte sich Passwoerter wie:
-
B1-r6UF9s:Mb<% (test, test, test im Generator)
schon gerne merken um es bei Firefox als Masterpasswort oder beim verschluesselten Container als decrypt Phrase einzugeben? Ich nicht! Aus diesem Grund existiert auch weiterhin ein einfach zu merkendes, aber dennoch nach den Regeln der Kunst sicheres Passwort in meinem Kopf, das je nach genutztem Dienst noch etwas hinten dran bekommt.
Durch die Kombination aus moeglichst jeweils unterschiedlichem Loginnamen, bcrypt Hashes als Passwoertern und nur ganz minimal gebrauchtem sicheren Passwort in meinem Kopf habe ich einiges an Sicherheit gewonnen. Nach und nach wechsle ich nun ueberall meine Passwoerter auf dieses neues System.
Vorherige Blogposts:
- Der erste Teil war fuer mich das Aufraeumen, einen Ueberblick zu bekommen sowie Strukturen zu schaffen, auf denen ich aufbauen kann.
- Der zweite Teil bestand darin einen Ort zu schaffen, in dem ich Keys und Passwoerter sicher aufbewahren und gleichzeitig alles in ein vernuenftiges Backup schieben kann.
- Der dritte Teil bezog sich auf das erzeugen von Zertifikaten und Einrichten von verschluesselten Verbindungen zu Apache vHosts.
- Der vierte Teil drehte sich um das Thema Komfort im Webbrowser und verwies in dem Kontext auf einen Artikel zum selbst gehosteten Firefox Sync Server.
Bzgl. E-Mail Adressen:
Warum nutzt Du keine + Adressen?
blah+blub@domain.de
Legt einen einen Unterordner „blub“ für den Empfänger blah an:
Ausschnitt aus der master.cf
dovecot unix – n n – – pipe flags=DRhu user=mailowner:mailowner argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop} -s -m ${extension}
(Nutze dovecot als Transport)
So habe ich für die meisten Dienste eine eigene E-Mailadresse, muss aber nur eine abrufen.
Bzgl. Kommentare hier im Blog:
Du nutzt ja auch eines dieser Plugins. Die sind nicht besonders datenschutzfreundlich, nehme ich an. Und zum anderen: Ich finde es ganz schrecklich, dass das E-Mail Feld vor dem Namen kommt. Bin da schon mehrfach drauf reingefallen, was zur Folge hatte, dass meine E-Mail als Name angezeigt wurde.
Ansonsten finde ich Deine Serie hier sehr schön.
Danke für den Hinweis Prego,
wirklich eine super Idee. Folge Deinen Artikeln gespannt, bitte mehr davon :)
@Michael: Danke fuer den Hinweis mit der Emailadresse bei den Kommentaren. Das ist definitiv doof! Ich hatte vor einiger Zeit mal das Jetpack Zeugs ausprobiert, da war das hier mit aktiviert. Ich habe nun den Grossteil davon deaktiviert, einiges brauche ich aber.
Zu den Mailadressen: Ich habe irgendwann mal schlechte Erfahrung mit dem + gemacht. Das ist aber schon etliche Jahre her. Da wurden Mails beim registrieren nicht akzeptiert weil die was von ungueltigem Zeichen meinten und als ich dann mal Kontakt mit denen hatte und die an die Adresse schrieben und ich antwortete gabs was zurueck von wegen meine Adresse von der ich antworten wuerde waere nicht die an die ich geschrieben haette. Da es in meinem aktuellen Setup sehr einfach ist einen neuen Alias hinzuzufuegen macht mir das nix aus. Das mit dem Pluszeichen in der Mailadresse funktioniert aber definitiv auch. Ist vielleicht der Kompromiss fuer Nutzer, die ein bisschen mehr Sicherheit wuenschen, aber keine Aliase anlegen moechten bzw. koennen.
Danke auch an Dich und @rtr fuer das Feedback zu der Serie. Ich nutze es (wie man vielleicht merkt) gleichzeitig um dort ueberall aufzuraeumen und Dinge glatt zu ziehen. Der naechste Artikel behandelt das Thema SSH-Authentifizierung und das Dilemma mit langen individuellen Passwoertern ;-)
„Die Passwörter im Browser speichern“….
Da benutzte ich lieber ein Passwort um sie alle zu Knechten, denn alle gängigen Browser speichern die Passwörter im Klartext ab und für jeden ohne Probleme lesbar, wenn man physikalischen Zugriff auf den Rechner hat. Ganz schlimm ist es bei Chrome, dieser synchronisiert natürlich diese Passwörter auf alle Rechner, bei denen man die Synchronisation einstellt (Arbeitsrechner, Notebook von Freundin, Famlienrechner). Wenn, dann Empfehle ich wirklich externe Passwort-Tools mit Master-PW wie KeePass etc.
Jeder der in Sachen Sicherheit von PWs mit dem Finger auf Andere zeigt, kann auch auf sich zeigen. Das ist einfach eine Sache der Bequemlichkeit.
Aus dieser Misere kommen wir nur, indem wir und von manuellen Zeichenketten als Passwörter entfernen. Das ganze in Richtung Fingerabdruck, Puls/Herzschlag/EKG oder sogar auf Gen-Ebene. Aber bis dahin, dauert es noch. Daher immer schön: Vorname/Kosename + Geburtsalter verwenden :P (Achtung: Ironie!).