it-swarm.com.de

Gibt es eine gute Möglichkeit, Anmeldeinformationen außerhalb eines Passwort-Managers zu speichern?

Viele Benutzer in meinem Unternehmen verwenden ihre Agenden, um ihr Passwort und ihre Benutzernamen oder Excel-Tabellen mit einem geschützten Passwort aufzuschreiben. Ich zögere, Software für die Passwortverwaltung zu installieren, nachdem ich Empfehlungen/Feedback dazu gelesen habe. Gibt es eine andere sichere und benutzerfreundliche Lösung zum Speichern von Passwörtern?

47
Hajar Qh

Installieren Sie einen Passwort-Manager. Ein guter Passwort-Manager ist viel, viel besser als alles, was Sie selbst tun können.

Sie sind Software, die von Sicherheitsexperten erstellt wurde, strengen Entwicklungsregeln folgt, von vielen Personen getestet und von vielen Personen angegriffen wird. Sie haben bessere Chancen, Ihre Passwörter zu schützen als alles, was der Durchschnitt selbst der überdurchschnittliche Benutzer erfunden hat.

110
ThoriumBR

Sie beziehen sich wahrscheinlich auf die neuesten Artikel über Fehler in Passwort-Managern.

Genau dort in den Titeln haben Passwort-Manager Fehler und Sie sollten immer noch einen verwenden, weil sie sicherer sind als das, was viele Leute tun, wie Passwörter in Excel zu behalten, sie per E-Mail zu verschicken, sie in den Chat einzufügen, wo sie von allen protokolliert werden ...

Alle Software hat Mängel. Passwortmanager und Sicherheitssoftware im Allgemeinen unterliegen einem höheren Standard als herkömmliche Software. Die Fehler, über die diese Artikel in Passwort-Managern sprechen, sind keine Anfängerfehler, sondern Risiko-Kompromisse.

1Password hat einen Bericht über den neuesten Fehler sowie eine tiefe Diskussion in ihren Foren . Es ist kein Fehler, da es eine Folge eines Kompromisses ist, um andere schlimmere Speicherfehler zu vermeiden. Das Wichtige ist, dass Ihr Computer muss bereits kompromittiert sein und Sie kürzlich Ihr Master-Passwort eingegeben haben. Wie jpgoldberg von 1Password drückte es aus ...

... müssen wir berücksichtigen, dass der Angreifer dies tun muss, um einen Angriff zu ermöglichen

  1. Sie können den 1Password-Prozessspeicher lesen, wenn 1Password gesperrt ist
  2. Nicht in der Lage sein, den 1Password-Prozessspeicher zu lesen, wenn 1Password entsperrt ist.

Nummer 1 erfordert, dass der Angreifer das Gerät bereits ernsthaft kompromittiert hat. Nummer 2 bedeutet, dass der Angreifer (der Ihr Gerät ernsthaft kompromittiert hat) diese Kontrolle nur zu merkwürdig begrenzten Zeiten hat.

Wenn Ihr Computer bereits so gefährdet ist, kann ein Angreifer den Prozessspeicher von 1Password lesen und benötigt diesen Exploit nicht. Sie können einfach warten, bis 1Password entsperrt ist.

Und wenn Ihr Computer kompromittiert ist, bietet Ihnen das Speichern Ihrer Kennwörter in einer Excel-Tabelle keinen Schutz.


Passwortmanager können andere Maßnahmen ergreifen, um Ihre Sicherheit zu erhöhen.

  • Teilen und verwalten Sie Ihre Passwörter für alle Ihre Geräte, einschließlich mobiler Geräte.
  • Teilen und verwalten Sie Passwörter und Anmeldeinformationen mit Kollegen.
  • Speichern Sie mehr als nur Passwörter sicher.
    • GPG- und SSH-Schlüssel und Passphrasen
    • Einmalpasswort Generatoren
    • Wiederherstellungsschlüssel
    • Sicherheitsfragen
    • API-Schlüssel
    • Anmerkungen
    • Kreditkarten (wohl besser als sie auf Websites zu speichern)
    • Bankkonten
    • Mitgliedschaften
    • Softwarelizenzen
  • Informieren Sie über unsichere Passwörter
    • Wiederverwendete Passwörter
    • Passwortverletzungen
  • Generieren Sie sichere Passwörter
  • Passwörter automatisch ausfüllen (vermeidet Schulter surfen )
  • Neue Konten automatisch aufzeichnen
  • Schutz vor Ransomware (wenn Ihr Tresor an anderer Stelle gespeichert wird)

Diese vermeiden schlechte Praktiken wie die Wiederverwendung von Passwörtern, die Verwendung schwacher Passwörter, die Weitergabe per E-Mail oder Chat oder ein freigegebenes Dokument, das Aufschreiben (ob auf Papier oder in einer Datei) und die weitere Verwendung von Passwörtern, gegen die verstoßen wurde.

62
Schwern

Der sicherste Ort zum Speichern eines Passworts ist nirgendwo. Es sollte ein sicheres Token sein, das nur im Speicher des Inhabers vorhanden ist. Leider verwenden viele ein Passwort, das zu einfach und unsicher ist, um das Erinnern zu erleichtern. Im Gegensatz dazu sind sicherere Passwörter (für die meisten Menschen) schwieriger zu merken.

Wenn Sie sich nicht auf Ihr Gedächtnis verlassen können, sollten Sie auf jeden Fall einen Passwort-Manager verwenden. Passwortmanager verhindern, dass sogar physischer Zugriff Ihre Passwörter gefährdet. Ein kleines physisches Passwortbuch ist nur so gut wie das Schloss an Ihrer Tür, das weitaus weniger sicher ist als ein Hauptpasswort für einen Passwortmanager, der nur in Ihrem Speicher gespeichert ist.

8
owacoder

Sicher! Hier ist ein Schema, das bei perfekter Ausführung nicht sehr oft beeinträchtigt wird [1]:

  1. Führen Sie eine Liste der Websites, für die Sie Kennwörter haben. Stellen Sie es an einem sicheren Ort auf. [2]

  2. Führen Sie eine Liste mit Passwörtern. Bewahren Sie es gefaltet in Ihrer Brieftasche auf. Seien Sie wachsam, wenn Sie es zeigen, wenn Sie Ihre Brieftasche öffnen oder wenn Sie ein Passwort daraus verwenden. Zerstören Sie gespeicherte Passwörter.

  3. Wenn Ihre Brieftasche verloren geht oder gestohlen wird, genießen Sie die großen Kopfschmerzen beim Ändern aller Ihrer Passwörter.

So ziemlich das, was ein grundlegender Passwort-Manager tut - Einprägsamkeit, Zuordnung zu Websites und Vertraulichkeit. Es ist einfach viel mehr Beinarbeit als die Verwendung eines Passwort-Managers. Wenn Sie dabei Fehler machen, ist dies weitaus weniger sicher als die Verwendung eines Passwort-Managers. In Anbetracht der menschlichen Fehlbarkeit ist ein Passwort-Manager vielleicht besser?

[1]: Das Hauptproblem gegen dieses Schema ist, dass Sie irgendwann aus der Übung herausfallen und es ein großes Durcheinander sein wird, wenn Sie tatsächlich Passwörter ändern müssen.

[2]: "Sicher genug" hängt stark von Ihren Anforderungen ab. Sind Sie eine langweilige Person, die ihre Bankdaten speichert? Ein Safe in Ihrem Keller ist wahrscheinlich in Ordnung. Versteckst du dich vor der NSA? Dieses Schema ist wahrscheinlich nicht ausreichend, ehrlich.

Die Verschlüsselung in Microsoft Office-Dokumenten ist in jeder Hinsicht ziemlich gut und sicher, solange Sie das Dokument nicht öffnen und kein Sicherheitszertifikat von einem IT-Administrator erhalten.

Es bietet einige Schwachstellen

https://docs.Microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

Wenn der ursprüngliche Ersteller eines Dateikennworts das Kennwort entweder vergessen oder die Organisation verlassen hat, wurde die Datei zuvor nicht wiederherstellbar gemacht. Mithilfe von Office 2016 und eines Treuhandschlüssels, der aus dem Zertifikatspeicher für private Schlüssel Ihres Unternehmens oder Ihrer Organisation generiert wird, kann ein IT-Administrator die Datei für einen Benutzer "entsperren" und die Datei dann entweder ohne Kennwortschutz belassen oder ein neues Kennwort zuweisen die Datei. Sie, der IT-Administrator, sind der Verwalter des Treuhandschlüssels, der aus dem Zertifikatspeicher für private Schlüssel Ihres Unternehmens oder Ihrer Organisation generiert wird. Sie können die Informationen zum öffentlichen Schlüssel einmalig über eine Registrierungsschlüsseleinstellung, die Sie manuell erstellen können, oder über ein Gruppenrichtlinienskript auf Clientcomputer übertragen. Wenn ein Benutzer später eine kennwortgeschützte Word-, Excel- oder PowerPoint-Datei erstellt, wird dieser öffentliche Schlüssel in den Dateikopf aufgenommen. Später kann ein IT-Experte das Office DocRecrypt-Tool verwenden, um das an die Datei angehängte Kennwort zu entfernen und die Datei dann optional mit einem neuen Kennwort zu schützen. Dazu muss der IT-Profi über Folgendes verfügen:

Der IT-Manager oder eine Person mit Zugriff auf die Stammzertifikate kann alle Dokumente entschlüsseln. Wenn ein böswilliger Angreifer Zugriff darauf erhalten könnte, könnte er alle kennwortgeschützten Dokumente entschlüsseln.

Es gibt das sekundäre Problem der temporären Dateien Microsoft Office. Sobald die Datei in Microsoft Office geöffnet und das richtige Kennwort eingegeben wird, erstellt Microsoft Office eine temporäre Datei, in der der Inhalt angezeigt wird. Jeder, der zu dieser Datei navigiert, kann sie einfach auswählen und den Inhalt im Vorschaufenster von Windows Explorer anzeigen, solange jemand sie geöffnet hat.

In den meisten Windows-Netzwerken ist es möglich, einfach zum PC eines Kollegen zu navigieren und in die Dokumente auf seinem PC oder in eine Freigabe zu schauen, auf der sich diese Dokumente befinden.

Auf den ersten Blick mag es sicher erscheinen, aber unten muss jemand nur eine Workstation mit einem Programm infizieren, das darauf wartet, dass verschlüsselte Dokumente, auf die er Zugriff hat, geöffnet werden, und dann einfach den Inhalt der temporären Datei lesen Datei. Und die meisten Leute lassen das Passwortdokument nach dem Öffnen einfach im Hintergrund offen.

Die meisten Passwortmanager verfügen über Schutzfunktionen, die nur bei Bedarf entschlüsseln und das Passwort dann für einen kurzen Moment in der Zwischenablage speichern, bevor es überschrieben wird, um die mögliche Gefährdung des Passworts zu minimieren.

Im Vergleich dazu bieten Passwortmanager mehr Sicherheit.

3
Tschallacka

Ich empfehle weiterhin von Herzen, einen Passwort-Manager zu verwenden. Wenn das unmöglich ist und alle folgenden Aussagen zutreffen:

  • Die Benutzer können ihre eigenen Passwörter auswählen.
  • Niemand muss Passwörter teilen.
    • (Geschützte Excel-Dateien lassen dies unwahrscheinlich erscheinen.)

... dann könnten Sie eine Passwortkarte vorschlagen, um sie in ihrer Brieftasche zu behalten.

Sheneir am Schreiben Sie Ihr Passwort auf :

Jesper Johansson von Microsoft forderte die Leute auf, ihre Passwörter aufzuschreiben.

Das ist ein guter Rat, und ich sage es seit Jahren.

Benutzer können sich einfach nicht mehr an Passwörter erinnern, die gut genug sind, um sich zuverlässig gegen Wörterbuchangriffe zu verteidigen, und sind viel sicherer, wenn sie ein Passwort wählen, das zu kompliziert ist, um es sich zu merken, und es dann aufschreiben. Wir sind alle gut darin, kleine Zettel zu sichern. Ich empfehle den Leuten, ihre Passwörter auf ein kleines Stück Papier zu schreiben und es zusammen mit ihren anderen wertvollen kleinen Zetteln aufzubewahren: in ihrer Brieftasche.

2

Ihre einzige Lösung besteht darin, Passwörter auszuwählen, die schwer zu knacken, aber leicht zu merken sind. Dann müssen Sie sie nirgendwo aufschreiben!

Aber im Ernst, vielleicht können Sie Ihren IT-Support bitten, einen Passwort-Manager-Server für Ihr gesamtes Unternehmen zu installieren, dann müssen Sie keinen auf Ihrem Computer installieren.

1
Paris

Eine mit einem Kennwort verschlüsselte Tabelle (z. B. in Excel 2016) verwendet standardmäßig " ECMA-376 Document Encryption ", wobei die AES-256-Bit-Verschlüsselung verwendet wird. Vorausgesetzt, das Passwort ist kein Wörterbuchwort, wäre es aus Sicht des Datenrisikos nicht besser oder schlechter als jeder andere Passwortmanager.

Die Tabelle wäre FIPS-140-2-konform und Sie würden die meisten Verschlüsselungsgesetze einhalten, wenn Schlüssel oder Laufwerk mit der in NIST 800-88 angegebenen Methode zum sicheren Löschen gelöscht werden müssten.

Für einen Benutzer, der einige Kennwörter verwaltet, sehe ich kein kurzfristiges Problem bei der Verwendung von Excel und einem Kennwort oder ein rechtliches Problem.

Long Term , eine Passwort-Tresorlösung, die das Ein- und Auschecken ermöglicht, wie CyberArk oder Thycotic wäre viel besser mit Protokollierung und anderen Funktionen. Etwas anderes, das man sich kostenlos und einfach ansehen kann, ist Buttercup .

1
opsecwin

Viele empfehlen Passwort-Manager. Ich bin nicht anderer Meinung, das ist in der Tat ein guter Rat, aber es gibt eine andere Möglichkeit.

Es ist ziemlich machbar, dass sie Informationen darüber aufzeichnen, wo das Passwort zu finden ist, ohne die Integrität des Passworts wesentlich zu beeinträchtigen - für die meisten Angriffsmethoden. Lassen Sie jedes ein persönliches Buch mitbringen (denken Sie an Alice im Wunderland oder so), das in einem einzigen Bücherregal zusammengehalten wird, und machen Sie aus jedem Passwort eine Kombination aus 3-4 Wörtern aus dem Buch. Sie können dann die Seitenzahl, Zeilennummer und Wortnummer dieser Wörter an einer beliebigen Stelle notieren. Ja, die Suche nach Passwörtern ist langsamer, erhöht jedoch die Sicherheit Ihrer Passwörter gegen Brute-Force-Versuche. Außerdem wird sichergestellt, dass ein physischer Zugriff auf das Büro erforderlich ist. Außerdem wird ein Who-is-Book-Is-What verwendet, um den Code zusätzlich zu knacken zum elektronischen Zugriff auf ihr "gespeichertes" Passwort. Dies ist eine enorme Verbesserung gegenüber dem Speichern der Kennwörter im Klartext in einer Datei auf der Workstation, für deren Funktion nur ein einziger erfolgreicher Phishing-Versuch erforderlich ist.

Als Bonus sind die Passwörter sicherer und leichter zu merken. Obligatorisch xkcd

Wenn sie sich jedoch nicht die Mühe machen können, Kennwörter nicht in eine Excel-Datei zu schreiben, kann es schwierig sein, ein umständliches Verfahren wie dieses einzurichten. YMMV.

0
Stian Yttervik

Ich stimme den anderen Antworten zu, dass ein Passwort-Manager sicherer ist als benutzerdefinierte Methoden. Beachten Sie auch, dass geschützte Excel-Tabellen leicht kompromittiert werden können als ein Kennwortmanager.

Wenn Sie sich jedoch gegen die Verwendung eines Passwort-Managers entschieden haben, können Sie den folgenden Ansatz verwenden

  1. Haben Sie zwei passwortgeschützte Excel-Dateien.
  2. Verwenden Sie für jedes Excel unterschiedliche Kennwörter.
  3. Speichern Sie die Liste der Benutzernamen, Dienste usw. in einem Blatt und weisen Sie jedem Datensatz eine eindeutige Nummer/einen eindeutigen Test (z. B. A001 für Adobe, S001 für Stapelüberlauf usw.) zu.
  4. Speichern Sie die eindeutige Nummer und das entsprechende Passwort in einem anderen Excel.
0
Kolappan N