Passwörter sicher verwalten mit youbico - Nutzt das jemand?

[heiko-rech]

Hallo,
man hat ja inzwischen unzählige Passwörter und man soll natürlich nicht für jeden Dienst das Gleiche nehmen. Das wird auf Dauer alles etwas lästig. Außerdem möchte man ja wo immer es geht eine zwei-Faktor-Authentifizierung haben. Nun bin ich auf das hier gestoßen:
https://www.yubico.com/
Mein Hoster (Hetzner) bietet das zum Beispiel als Option an.
Nutzt jemand von euch das oder kann etwas anderes empfehlen?
Lösungen, die nur auf dem Telefon funktionieren, möchte ich aber nicht, dennoch sollte es alltagstauglich sein.

Gruß
Heiko

 

[agnoeo]

Hallo Heiko,
ein Passwortmanager (keepass, 1Password, …) wäre wohl der erste Schritt; dann hat man für jede Anmeldung schon mal ein separates Passwort. Yubikey habe ich selbst noch nicht verwendet, aber einige Kollegen und das soll gut funktionieren. Sicherheit kostet aber immer etwas Bequemlichkeit.

Gruß, David

 

[Maho68]

Hi,
ich vertraue Niemanden meine Passwörter an , vor allem da, wo es um Geld geht . Alles im Kopf abgespeichert .
Zur Sicherheit alle Infos nochmal im "Tresor",falls ich mal periodisch Alzheimer bekomme .

 

[heiko-rech]

Hallo,

ich vertraue Niemanden meine Passwörter an , vor allem da, wo es um Geld geht . Alles im Kopf abgespeichert .

das stimmt so aber nicht. sobald du sie eintippst, können sie abgegriffen werden.
Daher sollte man ja auch die zwei-Faktor-Authentifizierung nutzen, dafür ist ja dann zum Beispiel der Stick oder das Handy noch mit im Spiel.
Gruß
Heiko

 

[KaiX0]

Naja, die Kombi gutes PW im Kopf + etwas haben/sein (Handy/Biometrisch).
Gute PW sind lang, nicht zu erraten durch social engineering und haben einen erweiterten Zeichensatz,wobei der überschätzt wird.
Ich nutze sogenannte Passphrases, die halte ich im Kopf: ImWoodworkerForumhabeicheinlangesPasswort wird so zu: 1WwFh13lPw

 

[agnoeo]

 

[Maho68]

Hi,Heiko
bei ebay Original und paypal nutze ich selbstverständlich zwei-Faktor-Authentifizierung , bei Bankgeschäften lösche ich zügig den verlauf und meine PW sind in der Regel zwölf bis 20 stellig aus zahlen, Sonderzeichen , Gros und Kleinschreibung und stehen kaum im Lexikon
Ja, auch bin schon Opfer von Internetkriminalität geworden in einem Fall bei Paypal im jahr 2020 und nutze seitdem bezahlten Virusschutz und habe Rechtschutzvers.(150 € Sb laufen , man soll ja lernen aus Schaden .
Aber zu glauben, das sogenannte Passwortschutz-Dienste absolut sicher sind , dann kannste auch Huwei Handy nutzen

 

[KaiX0]

Deswegen schrieb ich, die Länge sei wichtiger als Sonderzeichen. Wie ich meine Passphrasen nun länger als im Beispiel mache, verrate ich hier nicht...

 

[KalterBach]

Hi,
ich vertraue Niemanden meine Passwörter an , vor allem da, wo es um Geld geht . Alles im Kopf abgespeichert .
Zur Sicherheit alle Infos nochmal im "Tresor",falls ich mal periodisch Alzheimer bekomme .

Es kommt erstens darauf an, wie viele Passwörter Du hast und Dir merken kannst, zweitens wie die sich unterscheiden und drittens wie oft Du die brauchst.

Passwörter wie MahoFährtRad123, MahoFährtRad124 usw., die zum Großteil aus einem identischen Teil bestehen sind nicht wirklich schwer zu knacken.

Ich nutze sogenannte Passphrases, die halte ich im Kopf: ImWoodworkerForumhabeicheinlangesPasswort wird so zu: 1WwFh13lPw

Ein Ansatz, den viele empfehlen. Da die eigene Gehirnleistung begrenzt ist, kann man diese Sätze bspw. auch in ein analoges Notizbuch schreiben. Dies führt man natürlich nicht ständig mit, aber ein Blick hinein kann Türen öffnen.

Daher sollte man ja auch die zwei-Faktor-Authentifizierung nutzen, dafür ist ja dann zum Beispiel der Stick oder das Handy noch mit im Spiel.

Korrekt.

Nutzt jemand von euch das oder kann etwas anderes empfehlen?

Privat nicht, geschäftlich bisher nicht. Ich liebäugle mit NitroKey.

dann kannste auch Huwei Handy nutzen

Warum denn nicht. Es muss ja nicht das original-Betriebssystem drauf sein. Aber zugegeben, es ist eine für den Laien undurchschaubare Diskussion.

 

[Maho68]

Sehr geehrter Herr @ KalterBach
Sie können sicher davon ausgehen ,dass ich so simpel nicht gestrickt bin bezüglich Passwörter .
Ich nutze die onlinezugänge täglich bzw. wöchentlich .
Gruss Maho

 

[WinfriedM]

Nun bin ich auf das hier gestoßen:
https://www.yubico.com/
Mein Hoster (Hetzner) bietet das zum Beispiel als Option an.

Ich lese immer wieder mal Artikel dazu und freue mich über neue Ideen zu Passwortmanagement. Aber seit 20 Jahren sind das leider alles nur Konzepte/Produkte, die in der Praxis wenig Relevanz haben, weil sie einfach keine breite Unterstützung erfahren. Soweit mir bekannt, wird yubico von vielen Anbietern noch nicht unterstützt. Wenn man sich die zahlreichen Lösungen anschaut, ist yubico aber schon recht weit vorne mit dabei.

Hier eine Liste, was alles unterstützt wird:
https://www.yubico.com/works-with-yubikey/catalog/?sort=popular

Das zentrale Werkzeug wird weiterhin ein guter Password-Safe sein. Und zusätzlich eine Handvoll Tools/Apps für 2-Faktor-Authentifizierung für die kritischen Zugänge.

 

[OakNut]

2FA ist immer gut, wenn sie konsequent genutzt wird bzw. genutzt werden kann.
Man muss sich nur vorher überlegen, wie man seine Sicherheit definiert bzw. was man gerne erreichen möchte.
Insbesondere muss man sich etwas überlegen, wenn das 2FA Gerät ausfällt - also wenn der Yubico defekt würde.
Evtl. kann man sich auch Tofu oder FreeOTP als Tools auf dem "Handy" ansehen. Dort wo SMS als 2FA angeboten wird, würde ich auch das nehmen.
Aber hier fängt es auch wieder an, dass man leider nicht ein Tool oder Gerät für alles verwenden kann.
Grundsätzlich würde ich schon mal für kritische Dienste eigene Mailadressen und eigene, gute Kennwörter verwenden, welche man ggf. in einem digitalen Safe hinterlegt- KeePassXC, Bitwarden etc. sind ja schon genannt worden.
Die Dateien lassen sich ggf. auch auf einem Cloudspeicher oder auf seinem Server beim Hoster ablegen (-> Stichwort: Cryptomator), damit man von unterwegs darauf zugreifen kann.

Nur an eines muss man sich leider gewöhnen: Komfort und Sicherheit gehen selten Hand in Hand. Für Sicherheit muss man immer etwas mehr tun.

 

[Maqu]

Ich habe einen yubikey zuhause und nutze ihn um mein HomeServer zu starten (die Komplette Festplatte ist mit Luks2 verschlüsselt und im Initramfs kommt eine Abfrage auf den yubikey, um die Festplatte zu entschlüsseln und dann den linux Kernel nachzuladen). Für mehr nutze Ich ihn nicht.
Es gibt eine interessante, quelloffene Alternative: den nitrokey
Aktuell ist der nitrokey 3 noch nicht Feature complete, weshalb er vermutlich kaum brauchbar ist.

Zum speichern der Passwörter würde ich KeepassXC empfehlen. Eine Cloudlösung wie 1Password oder Bitwarden ist nur solange gut, bis jemand einbricht - LastPass und Okta, zwei Enterprise Anbieter für derartige Technologie, können davon ein Liedchen singen.
Ein synchronisieren der Passwörter über mehrere Endgeräte hinweg ist per Cryptomator (bereits genannt) oder per z.B. Syncthing ganz einfach möglich.

 

[heiko-rech]

Hallo,

Hier eine Liste, was alles unterstützt wird:
https://www.yubico.com/works-with-yubikey/catalog/?sort=popular

interessanterweise ist da einiges dabei, das ich auch nutze.
Gruß
Heiko

 

[fahe]

Privat nicht, geschäftlich bisher nicht. Ich liebäugle mit NitroKey.

...wer 2023 im Jahre des Herrn TrueCrypt auch nur noch aufführt ohne wenigstens eine Fußnote zu hinterlassen, sollte vielleicht nicht ganz ernst genommen werden. Just my five cents.

Ich erinnere mich noch ganz gut an das nebulös-mystische Ende von TrueCrypt...

 

[KalterBach]

...wer 2023 im Jahre des Herrn TrueCrypt auch nur noch aufführt ohne wenigstens eine Fußnote zu hinterlassen, sollte vielleicht nicht ganz ernst genommen werden.

Meiner Meinung nach muss ein Nutzer der solche Technologien einsetzen möchte, sich a) mit den technischen Voraussetzungen und Möglichkeiten auseinandersetzen und b) sich zumindest über die Sicherheitsrisiken informieren.

Ob im Jahr 2023 Nitrokey noch über 2014 offengelegte Sicherheitslücken auf der Startseite prominent werben, bzw. in jedem Artikel eine Fußnote setzen muss, halte ich für mehr als fragwürdig.

Wer über die „normale“ und gängige Zwei-Faktor-Authorisierung mit dem Handy hinaus einen Hardware-Schlüssel ala Yubico, Nitrokey etc. einsetzen möchte, hat sich bereits in die Materie eingelesen und vor allem ein am Anfang wenig beachtetes Szenario im Blick, was beim Verlust des Hardware-Keys passieren muss.

Ich erinnere mich noch ganz gut an das nebulös-mystische Ende von TrueCrypt...

Ja, es gibt vermutlich noch mehr solcher Enden in anderen Tools. Aber wie im Falle von Heiko, er möchte das selbst machen und hat es sich vermutlich gut überlegt.

Hier in diesem Faden sind mehr als ein paar Begriffe genannt worden, bei dem jeder Laie erst mal die Suchmaschine des Vertrauens anschmeisst, um überhaupt folgen zu können. Von der technischen Umsetzung reden wir noch lange nicht.

 

[fahe]

Ob im Jahr 2023 Nitrokey noch über 2014 offengelegte Sicherheitslücken auf der Startseite prominent werben, bzw. in jedem Artikel eine Fußnote setzen muss, halte ich für mehr als fragwürdig.

...ist ja ein freies Land, das kannst Du gern halten, wie Du magst. Eine Firma in diesem sensiblen Bereich stelle ich mir halt etwas anders aufgestellt vor.

Und ich bezog mich ausschließlich auf Nitrokey, weil Du angedeutet hast, das in Betracht zu ziehen. Wie gesagt, kannst Du ja gerne. Ich würde das nicht in Betracht ziehen. Letztes externes Audit laut Website von 2015... mit mehreren Vektoren, die als high risk eingeschätzt wurden. Wir lassen selbst unsere Infrastruktur und Applikationen regelmäßig von verschiedenen Pentestern stressen.

Und nein, so eine Geschichte wie das spannende Ende von Truecrypt habe weder vorher noch nachher je erlebt.

 

[WinfriedM]

Und nein, so eine Geschichte wie das spannende Ende von Truecrypt habe weder vorher noch nachher je erlebt.

War eine merkwürdige Geschichte, aber soweit ich weiß, gibt es bis heute keinen Hinweis, dass Truecrypt-Container unsicher wären. Es gab lediglich ein paar Schwachpunkte, wenn man die Systempartition damit verschlüsselt.

 

[killkenny]

Ich kenne yubico nicht und kann dazu leider nichts beitragen. Allerdings nutze auch ich seit vielen Jahren einen Passwortmanager und bin wie einige hier auch sehr zufrieden mit Keepass.
Es ist kostenlos, bekommt regelmäßig Updates und funktioniert wunderbar auf diversen Plattformen.

 

[Maqu]

...ist ja ein freies Land, das kannst Du gern halten, wie Du magst. Eine Firma in diesem sensiblen Bereich stelle ich mir halt etwas anders aufgestellt vor.

Und ich bezog mich ausschließlich auf Nitrokey, weil Du angedeutet hast, das in Betracht zu ziehen. Wie gesagt, kannst Du ja gerne. Ich würde das nicht in Betracht ziehen. Letztes externes Audit laut Website von 2015... mit mehreren Vektoren, die als high risk eingeschätzt wurden. Wir lassen selbst unsere Infrastruktur und Applikationen regelmäßig von verschiedenen Pentestern stressen.

Und nein, so eine Geschichte wie das spannende Ende von Truecrypt habe weder vorher noch nachher je erlebt.

Bei einem Warenrückruf wegen Blausäure in Mandeln, ändern Edeka und Alnatura auch nicht das Packungsdesign um auf mögliche, fehlerhafte Chargen in der Vergangenheit aufmerksam zu machen. Auch die großen Tech-Konzerne sind hier völlig intransparent, genau wie auch Versicherungen und Banken. Nutzt du auch nichts, was openssl oder log4j benutzt, weil es hier mal Probleme gab auf die nachträglich kein Anbieter mehr hinweist?

Man kann durchaus bemängeln, dass das letzte Audit weit zurückliegt. Man kann aber auch hervorheben, dass es eines gab und auf die Ergebnisse reagiert wurde.

 

[fahe]

Bei einem Warenrückruf wegen Blausäure in Mandeln, ändern Edeka und Alnatura auch nicht das Packungsdesign um auf mögliche, fehlerhafte Chargen in der Vergangenheit aufmerksam zu machen.

...immer wieder schön, dass sich irgendwer findet, der das offtopic-Nebenthema unbedingt weiterspinnen mag, ohne zum eigentlichen Thema... Ach, egal. Genauso wie die Tatsache, dass nicht alles, was hinkt, ein passender Vergleich ist.

 

[Arkhan1806]

Also ich nutze KeePassXC. Ist OpenSource, was ich ganz gut finde. FÜr die ganzen Browser gibt's Erweiterungen, Android geht auch (IOS glaub ich auch). Die Passwörter werden jedoch "nur" lokal abgespeichert, ich muss also regelmäßig meine Geräte manuell synchronisieren. Wer jetzt - wie Heiko - einen Server hat, kann die Passwortdatei natürlich auch dort ablegen und dann automatisch die Geräte synchronisieren lassen.
Das ganze hat dann den Vorteil, dass ich sehr genau weiss, was mit meinen Passwörtern passiert. Selbst, wenn ich die in ne Cloud lege, sind die trotzdem noch verschlüsselt.

 

[WinfriedM]

Die Schwachstellen sollte man natürlich auch kennen. Wenn man erstmal Schadsoftware auf dem Rechner hat, die eine Keylogger mitbringt, nutzt der beste Passwortsafe nichts. Wir hatten einmal diesen Fall und mussten hunderte von Passwörtern ändern.

 

[KalterBach]

Wenn man erstmal Schadsoftware auf dem Rechner hat, die eine Keylogger mitbringt, nutzt der beste Passwortsafe nichts.

Du kannst die Schlüsseldatei zusätzlich mit einer Schlüsseldatei absichern.

Wer einen Keylogger im System hat hat noch ganz andere Probleme. Seid froh, wenn da nicht schlimmeres passiert.

Wenn der Keylogger als Hardware angedockt wird, wird es noch schlimmer.

Ich bin mir nicht sicher, aber mit den entsprechenden Browser-Plugins könnte der Keylogger-Angriffsvektor ggf. umgangen werden.

Aber vielleicht hilft ja ein Hardware-Key.

 

[OakNut]

Es sollte nicht der Rechner sein, der am besten geschützt ist, sondern der Weg dahin, also die Infrastruktur.
Wenn Firewall, IDS und/oder IPS nicht ausreichend konfiguriert bzw. gar nicht vorhanden sind, dann liegt das Problem schon weit vor den Rechner.
Wenn sorglos einfach unbekannte Hardware angeklemmt wird (der berühmte gefundene USB Stick auf dem Parkplatz) oder unbekannte Anhänge in E-Mails einfach geöffnet werden, dann sitzt das Problem vor dem Rechner.
Wenn diese Dinge vor dem Rechner, sowohl Infrastruktur als auch Personal, sensibel eingestellt sind und weiß was man macht, dann sollte Schadsoftware den Rechner gar nicht erst befallen.
Dies kann man sich h privat beherzigen. Dann dürfte auch der heimische Rechner kein leichtes Opfer werden.