Wie speichere und verwalte ich 180 Passwörter sicher?

146

Ich habe ungefähr 180 Passwörter für verschiedene Websites und Webdienste. Sie werden alle in einem einzigen passwortgeschützten Excel-Dokument gespeichert. Je länger die Liste wird, desto mehr mache ich mir Sorgen um ihre Sicherheit.

Wie sicher oder nicht sicher ist ein passwortgeschütztes Excel-Dokument? Was ist die beste Methode, um so viele Passwörter sicher und einfach zu verwalten?

Ich finde die Excel-Methode einfach genug, aber ich bin besorgt über den Sicherheitsaspekt.

Samir
quelle
Kommerzielles Produkt wie CyberArk erfüllt Ihre Anforderungen.
Ivan Chau

Antworten:

207

Mein Lieblingswerkzeug zum Speichern von Passwörtern ist KeePass :

Bildbeschreibung hier eingeben

Was ist KeePass?

Heute müssen Sie sich viele Passwörter merken. Sie benötigen ein Kennwort für die Windows-Netzwerkanmeldung, Ihr E-Mail-Konto, das FTP-Kennwort Ihrer Website, Onlinekennwörter (wie das Konto eines Website-Mitglieds) usw. usw. Die Liste ist endlos. Außerdem sollten Sie für jedes Konto unterschiedliche Kennwörter verwenden. Denn wenn Sie überall nur ein Passwort verwenden und jemand dieses Passwort bekommt, haben Sie ein Problem ... Ein ernstes Problem. Der Dieb hätte Zugriff auf Ihr E-Mail-Konto, Ihre Website usw. Unvorstellbar.

KeePass ist ein kostenloser Open-Source-Passwort-Manager, mit dem Sie Ihre Passwörter sicher verwalten können. Sie können alle Ihre Passwörter in einer Datenbank ablegen, die mit einem Hauptschlüssel oder einer Schlüsseldatei gesperrt ist. Sie müssen sich also nur ein einziges Hauptkennwort merken oder die Schlüsseldatei auswählen, um die gesamte Datenbank zu entsperren. Die Datenbanken werden mit den besten und sichersten derzeit bekannten Verschlüsselungsalgorithmen (AES und Twofish) verschlüsselt. Weitere Informationen finden Sie auf der Seite mit den Funktionen .


Gibt es ein Limit für die Anzahl der Passwörter, die Sie darin speichern können?

Nur in der Theorie. Sie können so viele Einträge in die Datenbank einfügen, wie Sie möchten, aber irgendwann ist Ihr USB-Stick oder Ihre Festplatte voll.

Gibt es eine Möglichkeit, geänderte Passwörter automatisch zu synchronisieren?

Nein, nicht so, wie du es erwartest.
Sie möchten, dass dies ein regulärer, manueller Vorgang ist. Dies kann und soll nicht automatisiert werden.

Ich möchte Ablaufdaten für alle meine Passworteinträge einrichten: Bildbeschreibung hier eingeben
Dann erinnere ich mich, meine Passwörter regelmäßig zu ändern. Ich speichere die URL der Website mit der Passworteingabe, so ist es ein schneller Prozess.

Kann ich mich mit dieser Software automatisch auf einer Website wie Facebook anmelden?

Nein, auch nicht automatisch (zumindest meines Wissens). Hier kommt Auto-Type ins Spiel. Für Facebook ist dies beispielsweise mein Setup für die automatische Eingabe:

Bildbeschreibung hier eingeben

Wie Sie sehen, habe ich drei Konfigurationen für verschiedene Browsertitel erstellt. Dadurch kann ich einfach zu gehen facebook.com, Ctrl+ Alt+ drücken A, und der Benutzername und das Passwort werden automatisch eingegeben und ich werde angemeldet.

Wenn Sie mehrere Benutzer- / Kennwortkombinationen für denselben Fenstertitel haben, werden Sie in einem Popup-Fenster gefragt, welche Kennworteingabe verwendet werden soll.

Was ist mit Handy?

Es gibt Apps, die das KeePass-Containerformat auf Mobilgeräten unterstützen. Aber ich halte mich von denen fern. Ich mag den Gedanken an meine KeePass-Datenbank auf meinem Handy einfach nicht.

Ich ziehe es vor, nur einzelne Passwörter mit dem QR Code Generator- Plugin zu übertragen. Hiermit können Sie aus einem Passwort einen QR-Code generieren , den Sie dann mit Ihrem Telefon scannen können. Es ist hilfreich, eine App zu haben , die den gescannten Inhalt in die Zwischenablage kopieren kann.

Bildbeschreibung hier eingeben

Der Hochstapler
quelle
3
Wenn Sie es in Dropbox ablegen, können Sie es überall öffnen (es handelt sich um eine tragbare Version), auch auf Ihrem Telefon. Außerdem kann es in Lastpass importiert werden. Gute Wahl
Ivo Flipse
2
@Oliver Dies scheint genau das Werkzeug zu sein, das ich brauche. Ich werde es auf jeden Fall versuchen. Das Verfallsdatum ist süß! Und der Autotyp ist einfach genug. Ich verstehe, dass Sie auf einigen Websites möglicherweise aufgefordert werden, eine Kennwortänderung zu bestätigen, indem Sie auf einen Link klicken, den Sie per E-Mail senden. Aus diesem Grund kann eine automatische Synchronisierungsfunktion, wie ich sie mir vorgestellt habe, das Kennwort nicht synchronisieren und automatisch aktualisieren. Es ist ein Plus, dass dies auf anderen Betriebssystemen als nur Windows funktioniert. Danke Oli! ;)
Samir
9
Wenn Sie zusätzliche Sicherheit für die Verwendung in Dropbox wünschen, verwenden Sie eine Schlüsseldatei in Verbindung mit einem Kennwort und kopieren Sie sie manuell auf einen Computer oder ein Gerät, auf das Sie Zugriff auf Ihre Kennwörter haben möchten (speichern Sie den Schlüssel nicht in Dropbox). AFAIK: Dies funktioniert nur mit Android-Geräten und verwurzelten iOS-Geräten, da Sie Zugriff auf das Dateisystem benötigen. Ohne die Schlüsseldatei ist die Kennwortdatei jedoch so gut wie nicht knackbar.
Chad Levy
2
Beachten Sie, dass KeePass 2 nur unter Windows ausgeführt wird (zumindest die kostenlosen Mono-Interpreter unter Linux haben es sehr schlecht ausgeführt). Es gibt einen älteren Klon von KeePass 1 namens KeePassX, den ich auf Mac und Linux verwende und der sehr gut funktioniert.
Reid
2
@Reid: Aus meiner Erfahrung funktioniert KeePass2 gut mit Mono. Es ist einfach hässlich und das ist eine Sache zwischen Mono und .NET.
Grawity
68

Es scheint einige einfach zu verwendende Excel-Passwort-Cracker zu geben.

Ich würde ein Passwortverwaltungssystem wie 1password oder LastPass verwenden, das auf mehreren Betriebssystemen einschließlich Mobiltelefonen funktioniert.

Diese haben Plugins für die meisten Browser, die Passwörter und andere Informationen in das Webformular eingeben können. 1password kann auch ein Lesezeichen im Browser einrichten, das sich automatisch anmeldet.

1password kann auch Notizen, Konten (z. B. E-Mail, FTP) und Vorlagen zum Speichern von Kreditkarten-, Bankkonten- und anderen Informationen speichern. Obwohl es kommerziell ist, können Sie eine kostenlose Demo erhalten, die die Eingabe von bis zu 20 Artikeln ermöglicht.

Ein Unterschied zwischen den beiden besteht darin, dass 1password die Daten nur lokal speichert (obwohl Sie die verschlüsselten Daten mit dropbox oder ähnlichem synchronisieren können) Daten und keine Notwendigkeit für Dropbox etc.

user151019
quelle
4
Excel-Passwörter sind sehr einfach zu knacken. Google Excel Password Cracker und Sie werden viele Optionen sehen. +1 für Lastpass. Früher habe ich Roboform verwendet, aber Lastpass hat mir besser gefallen, weil es plattformübergreifend ist. Ich benutze ihren Passwortgenerator, um Passwörter zu randomisieren.
Kendor
23
+1 für LastPass - Es ist bedauerlich, dass die Antwort mit all den netten Formatierungen und Bildern für KeePass lautet, da LastPass weit überlegen ist: Es macht alles, was KeePass macht, aber es gibt auch Plugins für alle wichtigen Browser, Betriebssysteme und mobilen Plattformen. Es speichert Daten auch online, sodass Sie sich nie Sorgen machen müssen, sie zu verlieren (und lokal zwischenzuspeichern, sodass Sie sich nie Sorgen machen müssen, dass ihre Server ausfallen) , und dennoch alles mit TNO verschlüsselt (vertrauen Sie niemandem), sodass LastPass dies niemals wirklich sehen kann Ihre Passwörter. Es gibt sehr wenige Programme, die ich als absolut perfekt bezeichne , aber LastPass ist eines davon.
BlueRaja - Danny Pflughoeft
3
LastPass unterstützt jetzt auch die 2-Faktor-Authentifizierung über Android / iPhone. Dies bedeutet, dass zuerst jemand Ihr Telefon stehlen muss, um die Authenticator-App zu starten (die alle 30 Sekunden einen zufälligen Code generiert), um auf Ihre Passwörter zuzugreifen.
glenneroo
3
@Sammy: Ja, die meisten Funktionen sind für immer kostenlos. Die einzigen Funktionen, für die Sie bezahlen müssen, sind die mobilen Apps und die Multi-Faktor-Authentifizierung, für die ein "Premium-Konto" (12 USD / Jahr) erforderlich ist. Der Autor versucht nicht, reich vom Programm zu werden - ich benutze die Premium-Funktionen nicht, bezahle aber trotzdem für ein Premium-Konto, um meine Dankbarkeit zu zeigen. Normalerweise spende ich nur für Open-Source-Projekte, damit das etwas sagt :)
BlueRaja - Danny Pflughoeft 06.06.12
2
LastPass ist praktisch, wird jedoch größtenteils von LogMeIn als Closed-Source-Version erworben. Die Server von LastPass wurden mehrmals (zumindest teilweise) verletzt, und ihr Client hat das Lesen von Klartextkennwörtern für beliebige Domänen aus dem Tresor eines LastPass-Benutzers zugelassen, als dieser Benutzer eine schädliche Website besuchte, und aktuell (März 2017) die LastPass-Binärdatei. erlaubt böswilligen Websites, Code ihrer Wahl auszuführen. Auch wenn die Binärdatei nicht vorhanden ist ... erlaubt böswilligen Websites, Kennwörter aus dem geschützten LastPass-Tresor zu stehlen. "Siehe en.wikipedia.org/wiki/LastPass#Security_issues für Referenzen
Xen2050
49

Ich benutze Lastpass jetzt schon eine Weile und kann es nur wärmstens empfehlen. Es hat einige wunderbare Browser-Plugins und eine Reihe von Funktionen, die es einfacher machen, sicherere Passwörter zu haben.

Das Browser-Plugin gibt automatisch die Anmeldeinformationen ein (wenn Sie im Plugin angemeldet sind). Es verfügt auch über eine Exportfunktion, mit der Sie Ihre Datenbank abrufen und beispielsweise in KeePass importieren können . Für zusätzliche Sicherheit wird auch die zweistufige Authentifizierung verwendet.

Desktop-Client:

Desktop-Client

Browser Plugin:

Browser-Plugin

PlTaylor
quelle
1
@PITaylor Vielen Dank! Ich werde LastPass auf jeden Fall testen. Aber im Moment werde ich KeePass etwas mehr Zeit geben, um es auszuwerten.
Samir
4
Der Hauptgrund, warum ich LastPass mag, ist, dass es einfach ist, einen Satz von Passwörtern auf mehreren Computern gemeinsam zu nutzen, und dass Sie jederzeit über die Weboberfläche auf Ihre Ausweise auf einem beliebigen Computer zugreifen können.
PlTaylor
2
Ich benutze Lastpass, aber es gibt 2 Nachteile. 1) Der Server kann ausfallen (entweder technische Probleme, oder das Unternehmen geht aus dem Geschäft aus, usw.) 2) Einige Unternehmen lassen dies nicht zu, da Sie PassWork-Informationen aus dem Unternehmen senden.
Keltari,
1
LastPass ist praktisch, wird jedoch größtenteils von LogMeIn als Closed-Source-Version erworben. Die Server von LastPass wurden mehrmals (zumindest teilweise) verletzt, und ihr Client hat das Lesen von Klartextkennwörtern für beliebige Domänen aus dem Tresor eines LastPass-Benutzers zugelassen, als dieser Benutzer eine schädliche Website besuchte, und aktuell (März 2017) die LastPass-Binärdatei. erlaubt böswilligen Websites, Code ihrer Wahl auszuführen. Auch wenn die Binärdatei nicht vorhanden ist ... erlaubt böswilligen Websites, Kennwörter aus dem geschützten LastPass-Tresor zu stehlen. "Siehe en.wikipedia.org/wiki/LastPass#Security_issues für Referenzen
Xen2050
Ich werde diesen Link hier lassen, weil Mr. Hunt es viel besser sagt, als ich kann. troyhunt.com/
PlTaylor
10

Das Passwort-Hasher- Plugin (für Firefox) verwende ich persönlich.

Wie Password Hasher hilft:

  • Generiert automatisch sichere Passwörter.
  • Ein Hauptschlüssel erzeugt an vielen Standorten unterschiedliche Passwörter.
  • Aktualisieren Sie Kennwörter schnell, indem Sie das Site-Tag "anstoßen".
  • Aktualisieren Sie einen Hauptschlüssel, ohne alle Sites gleichzeitig zu aktualisieren.
  • Unterstützt Passwörter unterschiedlicher Länge.
  • Unterstützt spezielle Anforderungen wie Ziffern und Interpunktion.
  • Unterstützt das Einschränken eines Hashworts, um keine Sonderzeichen zu verwenden. (Neu!)
  • Speichert alle Daten in der sicheren Passwortdatenbank des Browsers.
  • Generiert eine portable HTML-Seite mit Ihren Site-Tags und Optionseinstellungen, mit der Sie Ihre Hash-Wörter in jedem Browser auf jedem Computer ohne installierte Erweiterung generieren können. (Neu!)
  • Kann Markierungsschaltflächen hinzufügen, um Kennwörter auf jeder Website zu demaskieren. (Neu!)
  • Extrem einfach zu bedienen!

Bildbeschreibung hier eingeben

Stepan Vihor
quelle
6
Sie müssen irgendwo aufbewahrt werden, sonst würden sie vergessen
user151019
Es gibt auch Ports für Chrome.
Rishimaharaj
6
By @kutschkem: Nein, die Passwörter müssen nicht irgendwo gespeichert werden. Was das Plugin wahrscheinlich macht (zumindest würde ich das so machen), ist das Hashing der Verkettung des Site-Tags und des Master-Passworts, was für jede Site ein anderes (und angeblich sicheres) Passwort zur Folge hat (ohne etwas zu speichern) , sehen?). Natürlich muss Ihr Master-Passwort immer noch sicher sein. Der Vorteil ist, dass nicht nur jedes Passwort unterschiedlich ist, sondern auch sehr unterschiedlich (zumindest, wenn die Hash-Funktion gut ist).
Der Hochstapler
Es gibt auch einen Port für IE , geschrieben von einem sehr gutaussehenden Menschen
BlueRaja - Danny Pflughoeft
@Matthew: Das gilt für jede Lösung zum Speichern von Passwörtern ...
BlueRaja - Danny Pflughoeft
9

Ich persönlich benutze PasswordMaker , um Passwörter aus einem Master-Passwort und der URL der Site zu generieren. Das Projekt ist ziemlich ausgereift, quelloffen und stabil. Es ist für Firefox (als Erweiterung), Linux CLI, Android usw. verfügbar.

Wie es funktioniert:

Warnung - Fachsprache in diesem Abschnitt! Sie geben PasswordMaker zwei Informationen: ein "Hauptkennwort" - das einzelne Kennwort, das Sie möchten - und die URL der Website, für die ein Kennwort erforderlich ist. Durch die Magie der Einweg-Hash-Algorithmen berechnet PasswordMaker einen Message Digest, der auch als digitaler Fingerabdruck bezeichnet wird und als Passwort für die Website verwendet werden kann. Obwohl Einweg-Hash-Algorithmen eine Reihe von interessanten Merkmalen aufweisen, wird von PasswordMaker als Vorteil gewertet, dass der resultierende Fingerabdruck (Passwort) "nichts über die Eingabe preisgibt, mit der er generiert wurde". Mit anderen Worten, wenn jemand eines oder mehrere Ihrer generierten Passwörter hat, ist es für ihn rechnerisch unmöglich, Ihr Master-Passwort abzuleiten oder Ihre anderen Passwörter zu berechnen.

user1202136
quelle
4

Es ist riskant, einer Drittanbieteranwendung zu vertrauen , um Ihre wichtigen Kennwörter zu speichern, insbesondere solchen Anwendungen, die möglicherweise eine Online-Verbindung herstellen können, oder solchen, die Sie zum Zugriff auf die Prozesse anderer Programme autorisieren . und was noch wichtiger ist, nicht-Open-Source zu vertrauen .

Meiner Meinung nach ist es sicherer, Ihre wichtigen Passwörter in einer Textdatei (.TXT) zu speichern und die Datei anschließend mit dem AES-Algorithmus von dsCrypt.exe zu verschlüsseln . Sie müssen Ihr Hauptpasswort in dsCrypt eingeben nur ein einziges Mal , und Sie werden in der Lage sein zu Verschlüsseln / Entschlüsseln Sie Kennwort Textdatei ohne viele Male fragen Sie das Hauptpasswort , so lange jedes Mal neu eingeben , wie dsCrypt läuft. Sie können dsCrypt automatisch mit Ihrem Windows-Start ausführen und Ihr Hauptkennwort einmal eingeben. und was Sie dann brauchen, ist, Ihre Passwortdatei (.txt) auf dsCrypt zu ziehen und abzulegen, um sie zu entschlüsseln / verschlüsseln, wenn Sie Ihre Passwörter benötigen .

DavidDe
quelle
Das Ersetzen von dsCrypt durch PGP / GPG, TrueCrypt-Derivate, LUKS usw. wäre genauso gut, immer noch +1
Xen2050
Ihre Antwort enthält jedoch einen Fehler: dsCrypt.exe ist eine Software von Drittanbietern :-)! Ich vertraue lieber einem Open - Source - Programm, das ich über ein Exe
Spiritoo am
0

Ich empfehle KeePassXC , ein Community-Zweig von KeePassX , einem systemeigenen plattformübergreifenden Port von KeePass Password Safe , mit dem Ziel, ihn durch neue Funktionen und Bugfixes zu erweitern und zu verbessern, um eine funktionsreiche, plattformübergreifende und moderne Open-Source-Lösung bereitzustellen. Quellpasswort-Manager.

Dieser Client wird auch von Surveillance Self-Defense empfohlen .

Hauptfunktionen von KeePassXC :

  • Sichere Speicherung von Passwörtern und anderen privaten Daten mit AES-, Twofish- oder ChaCha20-Verschlüsselung
  • Plattformübergreifend, läuft unter Linux, Windows und MacOS ohne Änderungen
  • Dateiformatkompatibilität mit KeePass2, KeePassX, MacPass, KeeWeb und vielen anderen (KDBX 3.1 und 4.0)
  • SSH-Agent-Integration
  • Auto-Type auf allen unterstützten Plattformen zum automatischen Ausfüllen von Anmeldeformularen
  • Unterstützung für Schlüsseldateien und YubiKey Challenge-Response für zusätzliche Sicherheit
  • TOTP-Erzeugung (einschließlich Steam Guard)
  • CSV-Import von anderen Passwort-Managern (zB LastPass)
  • Befehlszeilenschnittstelle
  • Eigenständiger Generator für Kennwörter und Passphrasen
  • Passwortstärke-Anzeige
  • Benutzerdefinierte Symbole für Datenbankeinträge und Download von Website-Favoriten
  • Funktionalität zum Zusammenführen von Datenbanken
  • Automatisches Neuladen, wenn die Datenbank extern geändert wurde
  • Browser-Integration mit KeePassXC-Browser für Google Chrome, Chromium, Vivaldi und Mozilla Firefox.
  • (Legacy) KeePassHTTP-Unterstützung zur Verwendung mit KeePassHTTP-Connector für Mozilla Firefox und Google Chrome sowie passafari für Safari.
simhumileco
quelle
-4

Ich benutze Notepad und TXT-Dateien. Wenn Sie meinen Rat wünschen, rate ich Ihnen, keine Software von Drittanbietern zu verwenden. Woher wissen Sie, dass sie Ihre Passwörter nicht stehlen?
Die Verwendung von Textdateien wäre also am besten.
Auch wenn Sie ein Programmierer sind, empfehle ich Ihnen, ein einfaches Programm zu erstellen, das die Verschlüsselung zum Sichern von Daten verwendet. Das ist die beste Lösung.

UltraDEVV
quelle
2
Ich gehe das Risiko ein, dass die Datenbank des verschlüsselten Passwortmanagers anfälliger ist als die reine Textdatei, da letztere von der nächsten Malware erfasst wird, die meinen Computer schnell nach dem Wort Passwort durchsucht .
Twisty Imitator
1
Verschlüsseln Sie mindestens Ihre reine Textdatei mit gpg / pgp oder so etwas , und merken Sie sich dann das eine Passwort
Xen2050