LastPass und das Passwort-Problem ist erledigt

Veröffentlicht am 26/06/2017 von Smamap

EINS gleich vorweg …. LastPass ist EINER von mehreren namhaften Passwortmanagern, die es da gibt. Die anderen kann ich nicht beurteilen. Ich kann nur erzählen, wie es mir mit LastPass ergeht. Ich tu das, nicht um irgendwas zu bewerben, sondern um anderen ev. einen Weg zu zeigen, wie man das „Passwort-Problem“ lösen kann.

Früher hatte ich das Problem, dass ich meine Passwörter alle im Kopf behalten sollte, denn sie aufzuschreiben hätte den Sinn eines Passworts ad-absurdum geführt. Das ging eine zeitlang gut, solange es nur 2 oder 3 Passwörter waren, und führte dann aber zwangsläufig dazu, dass ich ein und dasselbe Passwort für mehrere Zwecke verwendete, denn die Zahl der Stellen, an denen ich mich einloggen musste/sollte wurde immer größer. EIN Passwort für mehrere Zwecke zu verwenden ist zwar etwas weniger „ad-absurdum“, aber es reicht immer noch dicke, denn findet jemand das Passwort heraus, dann hat er gleich Zugang zu mehreren Stellen.

Und dann las ich von Passwortmanagern. Zunächst war ich mißtrauisch. Denn in einem Programm meine Passwörter hinterlegen, quasi alle auf einen Haufen, das erschien mir, gelinde gesagt, wenig sicher.

Heute muss ich sagen …. sicherer geht’s nicht.

LastPass hat alle Passwörter in einer Datenbank, und diese wiederum ist über ein laaaaanges Masterpasswort verschlüsselt. Herausfinden IS NICHT !!!!!

Und wenn man dann im Browser auf eine Seite geht, und sich dort einloggen soll, so erkennt LastPass das anhand der Adresse und schlägt einem die Login-Daten vor. Auf Knopfdruck werden die dann automatisch auf der Seite eingetragen, so dass man dann nur noch auf den Anmelde-Button drücken muss – FERTIG.

Ich hatte LastPass damals ein paar Wochen lang, ohne Änderung meiner Passwörter, parallel betrieben, um zu sehen, wie das alles funktionieren würde. Und wie ich sah, dass es völlig problemlos war, begann ich, meine Passwörter damit zu erneuern.

Ursprünglich waren meine gemerkten Passwörter 6-stellig und hatten einen persönlichen Bezug. Schlicht deswegen, um sie mir merken zu können.

Heute sind meine Passwörter 16-stellig, und eine beliebige Kombination aus (Klein-/Groß)Buchstaben, Zahlen und Sonderzeichen. Vorgeschlagen werden mir diese durch LastPass auf Knopfdruck.

Ein Passwort kann also zB SO aussehen ….

autom. Generierung eines Passworts

Auf diese Weise sind, bei mir, über 50 Passwörter in LastPass hinterlegt.

Ich nutze LastPass per App auf meinem Tablet. Zugang zur App erlange ich per Fingerabdruck. Dass also jemand dort reinkommt, um sich meine Passwörter anzusehen, falls ich mal mein Tablet grad nicht im Blick habe, ist nahezu ausgeschlossen. Umsomehr, als LastPass so eingestellt ist, dass ich mich spätestens nach 1 Minute erneut per Fingerabdruck legitimieren muss.

Zusätzlich exportiere ich die Datenbank regelmäßig als Textdatei auf einen externen Datenträger, den ich sicher verwahre. Auf diese Weise könnte ich Login-Daten jederzeit nachsehen, falls einmal Internet oder Tablet ihren Dienst versagen.

Das Unsicherste, was ich heute habe, ist, ironischerweise, das Passwort (sprich PIN) für den Online-Zugang zu meinem Bankkonto. Schlicht deswegen, weil die PIN immer 5-stellig von den Banken vergeben wird. Einmal im Monat lasse ich den Sicherheitstest von LastPass über meine Login-Daten laufen, der mir regelmäßig auswirft, dass alle meine Passwörter nahezeit 100% an Sicherheit ausweisen, nur nicht der Zugang zum Bankkonto. Gut – der ist zusätzlich über die TAN-Liste abgesichert, die ich auf gute alte Art als gedruckte Liste mir habe geben lassen. Alles, was ein „böser Junge“ mit meiner Zugangs-PIN, so er sie denn hätte, anfangen könnte, wäre, sich meinen Kontostand anzeigen zu lassen.

Ein paar Einschränkungen hat LastPass auch:
Zum einen kann man damit keine Passwörter für externe Software speichern. Nun – speichern schon (kann man ja eingeben), aber nicht automatisch einfügen. Das geht nur für Apps und für Browserseiten. Jedoch anderes kenne ich heutzutage nicht mehr. Und wer sowas doch noch hat, der muss eben manuell eintragen oder sehen, ob es einen Passwort-Manager gibt, der sowas anbietet.
Zudem hat LastPass die Eigenart, dass es am Besten mit dem Browser „Chrome“ zusammenarbeitet. Wenn ich das richtig verstehe, mussten die LastPass-Leute sich auf Grund spezifischer Eigenschaften der verschiedenen Browser, für einen der gängigsten entscheiden, und dessen Möglichkeiten umsetzen.

In der Praxis läuft alles reibungslos. Ich gehe also mit meinem Tablet zB auf die Seite meines Stromanbieters, gehe dort auf den Login, um meine Daten einzusehen, LastPass erkennt das, blendet ein kleines Fenster ein, mit den möglichen Login-Daten, und ich wähle diese per Finger-Tab aus. Und schon kann ich mich anmelden.

Aufwand habe ich also keinen, Höchstens einmal im Jahr, wenn ich das möchte, um alle Passwörter zu ändern, was man ja von Zeit zu Zeit machen sollte. Der Aufwand ist dort der gleiche, den ich auch ohne Passwort-Manager hätte, nämlich auf der jeweiligen Seite die Passwort-Änderung bekannt zu geben. Der Passwort-Manager unterstützt mich da allerdings weitestgehend, indem das jeweilige, autom. generierte Passwort dort eingefügt wird. Diese Prozedur habe ich selbst noch nicht erledigt. Soweit ich verstanden habe, ist das etwas, was man am Besten am PC macht, über die Homepage von LastPass, da die App nicht alle nötigen Funktionen beinhaltet.

Nachdem ich mir für Notfälle immer noch meinen PC vorhalte, sollte aber auch das kein Problem sein (ansonsten mache ich absolut alles seit 1 Jahr mit meinem Tablet; und dabei meine ich wirklich ALLES).

Es grüßt,
das Smamap (www.wkfm.eu – WasKeineFreudeMacht)

Passwortmanager, die 2.

Veröffentlicht am 17/02/2016 von Smamap

Kürzlich hatte ich mich ja HIER zum Thema schon mal geäußert.

Jetzt bin ich dran gegangen und habe sämtliche Logins mit neuen Passwörtern versehen. Diese wurden dabei vom Passwortmanager erstellt. Die Funktion des Browsers, sich meine Zugangsdaten zu merken, hatte ich schon vor einigen Tagen ausgeschalten (diese Funktion stellte ja das Auffangnetz dar, falls der Passwortmananger nicht das bringen würde, was er versprochen hatte).

So hat also jede Seite, in die ich mich einloggen muss, jetzt ein eigenes Passwort. Und zwar ein Passwort nach dem Muster „abc2DEfg23xya“.

Es ging denkbar einfach: Ich ging, z.B. bei meinem Stromlieferanten auf dessen Seite, loggte mich dort ein und ging an die Stelle, wo man das Passwort ändern kann. In aller Regel wird dort das bisherige Passwort verlangt, welches der Passwortmanager ja weiß, und einfügt, und in den beiden Zeilen, wo ich ein neues Passwort eintragen bzw. dann nochmal wiederholen muss, da klicke ich auf ein Symbol, das der Passwortmanager da schlauerweise einfügt, und daraufhin schlägt dieser ein neues Passwort vor (z.B. sowas wie oben).
Per Mausklick speichert der Passwortmanager das in seiner Datenbank automatisch ab, so dass ich mich künftig automatisch mit dem neuen Passwort einlogge.

Abschließend muss ich nur noch auf der (Strom)Anbieterseite bestätigen, dass auch dort mein neues Passwort so abgespeichert wird.
Fertig.

Auf diese Weise habe ich 16 neue Passwörter vergeben.

Es ist zwar ein seltsames Gefühl, wenn man keinerlei Passwörter mehr im Kopf hat, sondern diese nur noch in der Datenbank des Passwortmanagers vorhanden sind, aber dazu ist das Ganze ja da.
Vermutlich muss ich mich an dieses Gefühl nur noch gewöhnen, und es erscheint jetzt schon als wesentlich weniger gravierend, als das Gefühl dasselbe Passwort an mehreren Stellen zu verwenden.

Selbstverständlich habe ich hinterher die Datenbank auch auf dem Stick gesichert.

Ich muss dann nur noch konsequent die Passwörter regelmäßig ändern. Mir schwebt da ein jährlicher Turnus vor.

Es grüßt,
das Smamap

Nachtrag: Was ich jetzt auch nicht mehr mache, so wie früher, ist, mich auf diversen Seiten nicht mehr auszuloggen. Das tat ich meist aus Bequemlichkeit, aber genau genommen eig eher deswegen, um mir nicht jedesmal das Gerhirn zu zermartern, welches nun denn das Passwort für diese Seite sei. Das hatte auch den unangenehmen Nebeneffekt, dass ich, falls ich mich doch mal versehentlich ausloggte, in aller Regel das Passwort nicht auswendig wusste.
Jedenfalls mache ich es mir künftig zur Gewohnheit, mich immer überall auszuloggen, auch aus Sicherheitsgründen, damit nicht jemand anders „einfach so“ auf die Seite kommt. Ist ja auch kein Problem, weil mein Passwortmananger kennt ja die Zugangsdaten.

Passwortmanager

Veröffentlicht am 13/02/2016 von Smamap

Ich hab jetzt begonnen, mich mit dem Thema „Passwortmanager“ auseinander zu setzen.

Hintergrund:
Jeder kennt das, dass man für alles Mögliche im Netz und auf dem eigenen PC einen Login benötigt. Sprich, ich muss meinen Benutzernamen eingeben und das Passwort, um für etwas Zugang zu erhalten.

Das Problem:
Eigentlich sollten sich solche Logins für verschiedene Zugänge voneinander unterscheiden.

Manche haben jeweils unterschiedliche Zugänge, die sie sich aufschreiben und im Ordner oder sonstwo abheften (z.B. einen für das Bankkonto, einen für den Zugang zu den eMails, noch einen für den Blog, einen für den Anbieter der eBooks, einen für die Internet-Apotheke usw usf.).
Da kommen schnell mal 10 verschiedene Logins zusammen.
Viele nutzen dabei dann die Möglichkeit des Browser, solche Logins zu speichern, und bei Aufruf der Seite automatisch einzutragen, um nicht jedesmal den Zettel aus dem Ordner holen zu müssen. So weit, so gut.

Andere verwenden für alle Zugänge den gleichen Login. Oder ev. 2-3 Logins, die mehrfach Verwendung finden.

Bei beiden, sehr weit verbreiteten, Verfahrensweisen, bleibt die Sicherheit hintendran.

Im ersten Fall sind die einschlägigen Berichte über Passwörter, die auf PCs ausspioniert worden sind, hinreichend bekannt.
Im zweiten Fall ebenso, da ein einmaliger Fehler, der das Ausspionieren ermöglicht, zugleich den Login für mehrere Anwendungen offenbart.

Also bleibt doch nur die Zettel-Variante?

Nein, es gibt Passwort-Mananger.

Das ist ein Programm auf dem PC, in das man Benutzername und Passwort pro Login einträgt, und das Ganze dann mit einem Masterpasswort absichert. Die Datenbank, die die ganzen Daten beinhaltet, ist mit besagtem Masterpasswort verschlüsselt. Der Aufwand, so etwas zu knacken, wäre absolut enorm. Weiterer Vorteil: Man benötigt nur noch EIN Passwort, z.B. um Zugang zum Passwort-Manager zu bekommen.

Die praktische Handhabung ist insofern sehr einfach, als der Passwort-Manager den Login für eine Webseite automatisch speichert (nach Rückfrage), und wenn man die Seite dann wieder aufruft, die Login-Daten entsprechend einträgt. Im Grunde genommen also nichts anderes, als das, was man schon gewohnt ist (bisher hat das eben meist der Browser gemacht, was aber bei weitem nicht so sicher war).

Die Frage ist nur …. welchen Passwort-Manager nutzen?

Ich habe mich mit 2-en befasst (alle anderen sind ähnlich), die von den Meisten genutzt werden, und die man als führend bezeichnen kann.

Als da wären: KeePass und LastPass. Beides kostenlos.

Ich habe mich letztlich für LastPass entschieden, weil sehr einfach in der Handhabung. Ich habe mich sofort damit zurecht gefunden. Bei KeePass gibt es an manchen Stellen Verfahrensweisen, bei denen der Laie doch eher Probleme haben wird (z.B. Synchronisation der Datenbank auf verschiedenen Endgeräten via Dropbox).

LastPass ist allerdings ein Webbasierter Weg. Der Manager beschränkt sich auf Zugänge per Internet. Aber offen gesagt, ich habe, außer bei Skype, keinen Zugang mehr, der nicht über das Web läuft.
Die Installation beschränkte sich auf ein Add-On in meinem Firefox-Browser. Und das funktioniert auch unter Linux (Ubuntu) problemlos. Eine mehr oder weniger heftige Software-Installation war also überflüssig.
Masterpasswort festgelegt ….. fertig.

Ich nutze das Ganze jetzt seit ca. 1 Woche, ohne dass ich irgendwelche Probleme hatte.

Es gibt ein paar Funktionen, die nur in der kostenpflichtigen Premium-Version verfügbar sind. Die waren für mich bisher unnötig, und werden es wohl auch bleiben.
Mein Masterpasswort ist 10-stellig, was mir völlig ausreicht. Wenn ich wollte, könnte ich das noch ausreizen, indem ich zusätzlich die 2-Wege-Authentifizierung verwende. Ich bin der Meinung, man kann es auch übertreiben und unnötig verkomplizieren. Wem ein 10-stelliges MP nicht reicht, der kann ja auch ein 20-stelliges einsetzen.

Am Anfang habe ich noch die Browser-Funktionalität parallel mitlaufen lassen, für den Fall, dass was schief geht. Zudem habe ich die meisten Logins auch noch im Kopf.
Das hat auch damit zu tun, dass ich, ASCHE AUF MEIN HAUPT, so manche Logins für mehrere Zwecke einsetze.

Letzteres wird dazu führen, dass ich demnächst über LastPass sämtliche Passwörter ändern werde, und zwar SO, dass für jeden Bereich ein separates Passwort zum Einsatz kommt. Jetzt, da ich mir die alle nicht mehr merken müsste, kann ich das ja tun. Und so werde ich mir also ein sicheres Passwort von LastPass jeweils vorschlagen lassen, und dieses dann über die Kopieren-Funktion auf der jeweiligen Webseite eintragen.
Das mulmige Gefühl, das ich schon lange Zeit hatte, wenn ein und dasselbe Passwort häufiger zum Einsatz kam, wird dann, nach und nach, verschwinden.

Eins noch zum Schluss: Was NIE ausbleiben wird, ist eine Datensicherung. Man denke an den Satz …. eine Datensicherung braucht man immer dann, wenn man keine hat. Das Erste, was ich also gemacht habe, nachdem ich LastPass zum Einsatz brachte, war eine komplette Systemsicherung.
Offen gesagt, wer seine Daten nicht fortlaufend sichert, dem ist eh nicht zu helfen. Und das gilt AUCH für Privatanwender.
Aber keine Bange …. es ist auch möglich, die Login-Datenbank einzeln zu sichern. Dazu ist in LastPass eine Export-Funktion enthalten. Das sollte man sicherlich nutzen, um etwa die Datenbank auf einen Stick zu sichern, der dann an sicherer Stelle aufbewahrt wird. Das sollte einen allerdings nicht davon abhalten, den kompletten PC z.B. wöchentlich auf eine externe Festplatte KOMPLETT zu sichern.
Dazu gehörte jetzt natürlich auch das Thema der „Mehr-Generationen-Sicherung“. Denn was nützt mir eine Sicherung, bei der ich dann, wenn ich sie benötige, feststelle, dass diese oder der Datenträger defekt ist. Aber das ist ein anderes Thema.

Es grüßt,
das Smamap

Kategorie ‚Android‘ wählen !!!