Pwned Passwords V2

Du kennst bestimmt schon die Seite ? Wenn nicht, ist das nicht so schlimm, aber jetzt solltest Du sie mal benutzen. Denn auf der Seite kann man nachsehen, ob seine Accounts oder E-Mail Adressen betroffen ist und auf einer Webseite benutzt wurde, deren Kennwörter gestohlen und/oder geknackt wurden.

Troy Hunt hat nun Version 2 seiner Webseiten online gestellt mit noch mehr Passwörtern und noch mehr Daten. Woher die Daten stammen und wie er diese gesammelt und aufbereitet hat, beschreibt er sehr ausführlich in seinem Blog-Post.

Viel Erfolg beim Passwörter ändern!

PowerShell und Diceware Password List

Wie heute schon erwähnt, sind die Passwortrichtlinien veraltet und nicht mehr sinnvoll. Eine gute Alternative ist es, mit Hilfe von Würfeln und der Diceware-Wordliste eine Passphrase zu generieren. Und weil ich grad an einem Windows-Rechner sitze, habe ich schnell ein kleines Powershell-Skript geschrieben.

$pwd = "" # init pwd string
foreach($n in 1..5) {
    $number = ""
    # 5 mal würfeln für für die liste
    Get-Random -Count 5 -InputObject (1..6) | foreach { $number = "$number$_"}
    $word = Get-Content ".\diceware.wordlist.asc" -ReadCount 1000 | foreach { $_ -match $number }
    $pwd = $pwd + " " + $word.Substring(6)
}
# passwort ausgabe
echo $pwd


Zusätzlich wird noch die diceware.wordlist.asc benötigt. Diese bekommt man auf der offiziellen Diceware-Webseite. In das Verzeichnis vom Skript kopieren und Skript ausführen. Fertig!

Wenn eine Passphrase mit mehr oder weniger als 5 Wörtern gewünscht ist, die Zahlen in der Zeile 2 anpassen.

Sichere Passwörter: Viele der herkömmlichen Sicherheitsregeln bringen nichts

Passwörter brauchen Sonderzeichen, Groß- und Kleinschreibung, Zahlen und müssen oft geändert werden – viele dieser Regeln erhöhen die Sicherheit nicht, sondern bewirken oft das Gegenteil. Der Urheber dieser Regeln bereut sie mittlerweile.

Viele der altbekannten Regeln für sichere Passwörter, die in den verganenen Jahren durch Admins und Sicherheits-Richtlinien propagiert wurden, erzeugen keine oder nur wenig zusätzliche Sicherheit. Das National Institute of Standards and Technology (NIST) in den USA hat deswegen gerade neue Regeln für Passwörter finalisiert. Viele der bekannten Empfehlungen für erhöhte Varianz in Passwörtern (Sonderzeichen, Groß- und Kleinschreibung, Zahlen) stammen aus älteren Versionen der NIST-Empfehlungen. Einer der Autoren, Bill Burr, hat gegenüber dem Wall Street Journal nun zu Protokoll gegeben, dass er diese Vorgaben heute bereut. (Quelle: heise.de)

Auch wenn es jetzt überheblich klingt, aber mir – und bestimmt auch schon vielen anderen – war das schon länger klar. Ich vertraue auf 1Passwort und die Diceware-Methode. Damit bin ich seit 10 Jahren gut gefahren und nie Opfer geworden. Selbst dann nicht, wenn Passwortdatenbanken in dritte Hände gefallen sind und/oder veröffentlich wurden. Wenn die Daten im Klartext im Netz stehen, hat man meisten eh verloren. (Textkorrektur nach Hinweis).

 

Ab und zu mal Passwörter ändern

Wir haben uns längst daran gewöhnt, dass immer wieder Onlinedienste gehackt und/oder Zugangsdaten im großen Stil geklaut werden. Aktuell informiert der Speicherdienst Dropbox seine Kunden, die schon länger dabei sind, dass im Jahr 2012 die Passwörter von rund 68 Millionen Usern geklaut wurden. Der Datendiebstahl von damals war schon lange bekannt und auch öffentlich gemacht, nur der Umfang war bislang nicht bekannt. Weil nun aber Listen von damals aufgetaucht sind, weiß man jetzt, wie viele User betroffen waren: 68 Millionen. Ob man selbst betroffen ist, kann man bei dem wirklich empfehlenswerten Onlinedienst Have I been pwned nachschauen. (via wdr.de)

Jörg Schieb zeigt im Artikel auch den Dienst Have I been pwned, mit dem du überprüfen kannst, ob du deine E-Mail Adresse schon mal bei einem der kompromitierten Dienste verwendet hast. Falls das der Fall sein sollte, dann unbedint so schnell wie möglich handeln. Im Februar hatte ich dich ja schon mal am Change-Your-Password-Day aufgefordert das zu erledigen.

Ansonsten nimmst du dir am Wochenende einfach mal ein wenig Zeit, zum Beispiel nach dem Frühstück am Sonntag, und erstellst eine Liste all deiner Onlinekonten. Die gehst du dann Eintrag für Eintrag durch und änderst die Kennwörter. Eventuell auch die zugehörige E-Mail Adresse. Natürlich ist das viel Arbeit. Aber besser einen Tag im Jahr die Kennwörter aktuell halten, als mehrer Jahre Stress wenn Daten gestohlen werden – geschweige denn Geld, falls das Bankkonto betroffen ist.

Gute Helfer sind auch die Passwort-Manager wie LastPass und 1Password. Und auch die Zwei-Faktor-Authentifizierung darf ruhig verwendet werden. Wie du die 2FA zum Beispiel bei Facebook, Dropbox oder Twitter einrichten kannst, hat der Andreas Weck bei von t3n.de schon mal aufgeschrieben. Ich selbst verwende Authy auf dem iPhone. Die App gibt es auch für Android, macOS, Windows und Linux.

Ein paar Hinweise noch zu guten und schlechten Passwörtern: Die Passwortregeln die auch vom BSI für Bürger vorgeschlagen werden – Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben – sind gut, aber auf Grund der Komplexität schwer zu merken. Aber auch hier für gibt es eine Lösung. Von einem langen Satz nur die Anfangsbuchstaben nehmen und einige davon durch Zahlen oder Sonderzeichen ersezten. Beispiele dafür, gibt es auch vom BSI für Bürger.

Eine andere Methode die auch von  1Password unterstützt wird, sind Passwörter die aus mehrern Wörtern durch Zeichen getrennt werden, so genannte Diceware-Passwörter. Als guten Ansatz warum das eine gute Idee ist, kann man im Comic von XKCD nachlesen. In dem Blog-Beitrag von Agilebits beschreiben die 1Password Macher, wie du dir ein sicheres Masterpasswort anlegst. Alles was Du dazu brauchst ist eine Liste mit Wörtern und einen Würfel. Die Liste gibt es auch in Deutsch und vielen anderen Sprachen.

Und nun viel Erfolg beim Passwörter generieren und tauschen.

 

 

 

 

Wider der Passwortänderung 

Heise.de:

Die IT-Abteilungen vieler Firmen und Behörden zwingen Nutzer zu regelmäßigen Wechseln ihrer Passwörter; die britische CESG rät davon ab.

Die Nutzer werden immer dazu gezwungen, doch die Administratoren ändern die Kennwörter noch seltener. Von den vielen Server, virtuellen Maschinen, Konsolen und Webinterfaces der Router, Server und Co will ich erst gar dran denken. Meistens werden die Passwörter hier einmal festgelegt und dann nie wieder geändert. In großen Serverfarmen auch sehr schwierig.