Ist ein Passwort-Manager sicherer als die herkömmlichen Passwort-Eingaben?
Variante 1: Ich habe 50 Passwörter schriftlich notiert und irgendwo versteckt (z.B. unter dem Kopfkissen😄). Nun möchte ich mich bei muster.de einloggen.
Variante 2: Ich logge mich bei muster.de miteinen Passwort Manager ein.
Welche Variante ist sicherer und warum? Oder gibt es den Passwort-Manager nur aus bequemlichen Gründen (wegen der lästigen ohne Zettelwirtschaft)?
4 Antworten
Hey,
das schriftliche notieren von Passwörtern hat meiner Meinung nach mehrere Nachteile:
- So ein Zettel geht leichter verloren als ein PC
- Es ist unglaublich umständlich sichere Passwörter (m. M. n. mind. 24 Stellen) aufzuschreiben und abzutippen
- Menschen sind oft zu unkreativ/faul sich sichere Passwörter "auszudenken"
- Zeichen lassen sich manchmal nur schwer auseinanderhalten (vor allem die Groß- und Kleinschreibung): O0lI
- Du hast deine Passwörter nicht immer bei dir, was manchmal auch sehr nervig sein kann
Daher würde ich definitiv zu einem Passwort-Manager raten, meine Empfehlung hier wäre Bitwarden.
Falls du deine Passwörter dennoch physisch haben möchtest, solltest du dir mal das Konzept von Passwort-Karten anschauen.
Mfg Jannick (L1nd)
Zettel können gestohlen werden, verloren gehen oder zerstört werden. Darüber hinaus sind die meisten Personen auch zu faul, sich ein wirklich sicheres Passwort händisch zu notieren. Von daher ist ein Passwortmanager (der selbst auch nochmal durch ein Masterpasswort abgesichert ist) die bessere Wahl.
Wer seine Passwörter dennoch analog vorrätig halten möchte, der sollte eine Passwortkarte benutzen. Hierbei merkt man sich ein Wort, welches man mit der Seite / dem Dienst, für die / den das Passwort benötigt wird, assoziiert und ließt dieses dann einfach Zeilenweise ab. So können sich mit einer einzelnen Passwortkarte beliebig viele sichere Passwörter generiert werden, zu denen man sich jeweils nur ein Wort merken muss.
Eine ausführliche Anleitung sowie einen Generator für eine individuelle Passwortkarte findest du bspw. hier:
https://www.tu-braunschweig.de/it-sicherheit/pwsec/pwcard
LG
Das Passwortschutzsystem von Word ist nicht sicher, von daher macht es keinen Unterschied, ob du es überhaupt nutzt. Wenn du Passwörter im Klartext auf einem externen Medium speicherst, sollte dieses selbst sicher aufbewahrt sein (d. h. bspw. in einem Tresor verschlossen werden).
Ein Passwortmanager ist immer die bessere Wahl, wenn man sich größtenteils an einem Ort aufhält. Benötigt man seine Zugangsdaten auch Unterwegs, so ist eine Passwortkarte ebenfalls eine gute Option.
Ich gebe dir recht, dass ein Passwort Manager definitiv besser ist aber warum bist du der Meinung, dass Passwort geschützte Office Dateien nicht sicher sind (abgesehen von der maximalen Passwortlänge von 15)?
Es kommt natürlich immer auf die jeweilige Office Version an. Bei Word 2016/2021/365 ist der Passwortschutz schon relativ gut wenn man Dateien lediglich lokal abspeichern möchte, kann aber trotzdem umgangen werden, da der Passworthash im Dokument selbst gespeichert und mit einem entsprechenden Tool (bspw. Office2John) ausgelesen werden kann. Bei älteren Office Versionen gibt es auch Tools, die das Passwortschutzsystem direkt umgehen können, ohne dass man erst selbst einen Angriff durchführen müsste.
Hast du dafür eine aktuelle Quelle? Die üblichen Artikel zum Thema "Passwortschutz bei Office-Dokumenten knacken" beziehen sich ganz überwiegend nur auf den Bearbeitungsschutz, den man in der Tat relativ einfach umgehen kann - aber um den geht es hier ja nicht.
Meines Wissens setzen alle aktuellen MS-Office-Versionen auf 128-Bit-AES (teilweise wird auch AES-256 (seit 2013?) genannt). Ich sehe nicht, wie du das in einem angemessenen Zeitraum knacken willst? (Es sei denn natürlich, das Passwort ist scheiße.) Oder was übersehe ich?
Es sei denn natürlich, das Passwort ist scheiße [...] Oder was übersehe ich?
Ne, genau das ist der Punkt. Bei Word-Dokumenten ist das Passwortschutzsystem (auch wenn bereits beim Öffnen ein Passwort abgefragt wird) immer im Dokument selbst hinterlegt, weshalb ein Angreifer beliebig viele Passwörter durchprobieren kann und genau das ist eben das Problem.
Ich kann hier jetzt spontan keine genaue Statistik nennen, rein anhand von Erfahrungswerten würde ich aber schätzen, dass rund 2/3 aller Passwörter, bei denen keine Vorgaben hinsichtlich ihres Aufbaus gemacht werden (wie es bei Word der Fall ist) sich durch eine allgemeine Wortliste knacken lassen. Wenn man eine Person oder Organisation als tatsächliches Ziel hat, kann man natürlich auch noch eine individuelle Wortliste erstellen.
Klar. Aber wenn das Passwort so scheiße ist, dass es sich aus dem Hash mit vertretbarem Aufwand zurückrechnen lässt, kann ich es vermutlich auch durch banales Ausprobieren (Brute-Force) knacken. Wenn Offline-Attacken möglich sind steht dem ja i.d.R. wenig im Weg. Nicht umsonst empfiehlt selbst das BSI (welches bei "normalen" Passwörtern noch bei 8 Zeichen stehen geblieben ist) in solchen Fällen mindestens 20 Zeichen.
Ich habe auch all meine Passwörter schriftlich notiert und das ist definitiv sicherer.
Was ist wenn die Server von so einem Passwort Manager offline sind und du dich nicht mehr einloggen kannst um deine Passwörter zu sehen?
Wenn du deine Passwörter schriftlich notierst hast du immer Zugriff darauf. Egal wann.
Das Versteck würde ich allerdings nochmal überdenken 😅
Genau deine Einstellung habe ich auch. Z.B. Word mit Kennwort auf ext. Festplatte ist sicher?!
Kommt auf den Manager drauf an. Bitwarden ist ganz gut. Bei so ziemlich allen kann man auch ein Backup machen. Informiere dich aber gut darüber. Aufschreiben auf nen Zettel bin ich nie n Fan davon. Der kann dir bei nem Einbruch geklaut werden. Lieber ne verschlüsselte Festplatte (am besten zwei, falls eine kaputt geht). Und die aber richtig verschlüsseln. Nicht so n Quatsch wie Bitlocker. Und wenn du schon auf nen Zettel setzt, dann schreib am besten nur das Passwort alleine auf und nicht auch noch dazu, wofür es ist.
Gruss
Kujo
Wie meinst Du mit "Lieber ne verschlüsselte Festplatte"? Welche und wie verschlüsseln?
Vielen Dank. Ich selber habe die PW (auf Word mit Kennwort) auf einer ext. Festplatte. Eigentlich sicher (es sei denn, das Haus fackelt ab), oder?