Passwörter - Livia's Notes

# Passwörter Grundsätzlich gilt: keine Namen, keine Haustiere, keine Daten (Geburtstag/-jahr), keine sonstigen persönlichen Daten. Sowas ist eine Todsünde. Ein zweiter wichtiger Schritt ist das Verwenden von Passphrasen statt wild ausgedachten Passwörtern. Die Begründung wurde im [XKCD#936](https://xkcd.com/936/) einfach dargestellt und für die interessierten gibts auch eine [technische Erläuterung warum diese Methode](https://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase/6096#6096) wirklich sicherer ist: ![](https://imgs.xkcd.com/comics/password_strength_2x.png) Wichtig: sie müssen wirklich zufällig generiert sein! Sonderzeichen/zahlen sowie Großkleinschreibung sind optional. Das Generieren geht einfach [online](https://bitwarden.com/password-generator/) oder direkt im Passwortmanager und sieht etwa so aus: ![[bitwarden generator.png|500]] ## Passwortmanager Ein Passwortmanager ist nicht nur sicherer, sondern auch was für Faule. Ein letztes Mal eine sichere Passphrase merken, dann alles andere darin ablegen und nie wieder das Passwort-vergessen-Spiel spielen. Firmen spielen auch gerne das "ändere dein Passwort aller XYZ Tage" Spiel, was durch einen Passwortmanager sehr entspannt wird. - [Bitwarden Video Tutorial](https://www.youtube.com/watch?v=J_z4VqERVkQ) (4 min) #tool/bitwarden - [Download](https://bitwarden.com/download/) - Hilfe: [Import you Data (en)](https://bitwarden.com/help/import-data/) - [Proton Pass Hilfeseite](https://proton.me/support/pass-setup) - [Download](https://proton.me/pass/download) > [!warning] Passwörter nicht im Browser speichern! > In der Vergangenheit gab es bereits Sicherheitlücken in diesen verfahren, lange konnte google sogar Passwörter mitlesen -> Verwende ein der oben verlinkten apps ### Zwei-Faktor-Authentifikation **Zwei-Faktor-Authentifikation** (2FA) erhöht die Sicherheit von Accounts stark und sollte daher wo möglich eingesetzt werden. 2FA wird häufig mit Google Authenticator verbunden, aber ist ein offener Standard, den viele Apps können. Dafür muss eine lange Kombination in die 2FA App gespeichert werden, entweder mit copy/paste oder über einen QR code. - Crossplattform: [Bitwarden Authenticator](https://bitwarden.com/products/authenticator/) - Android: [Aegis](https://getaegis.app/) - iOS: [Sentiel](https://getsentinel.io/authenticator) In Bitwarden Premium ist auch 2FA integriert. Heißt: wie bei Passwörtern funktioniert Autofill. Das gibt Komfort, nimmt aber Sicherheit, da nicht mehr ein zweites Gerät benötigt wird. Es ist eine Abwägung. Ein Sonderfall von 2FA sind Telegram und Signal: beider ermöglichen einen zweiten Faktor in Form eines Passwortes (neben der üblichen SMS). Das hilft sehr, ungewollte Übernahme eines Accounts zu verhindern und ist gerade bei Telegram sehr zu empfehlen. ## Passkeys Passkeys sind recht neu und vereinen die Idee von Passwörtern und 2FA. Die Technologie wird stark von großen Firmen (Google, Microsoft, Apple) gepusht. > [!warning] Passkeys richtig speichern! > Wenn die Passkeys lokal gespeichert werden, sind die weg wenn es davon kein Backup gibt! Wenn Passkeys nicht ende-zu-ende verschlüsselt (z.B. in google- oder apple-IDs) gespeichert werden, ist viel Sicherheit dahin! Darum ist es sinnvoll Passkeys mit Bitwarden oder Proton Pass zu verwalten: - [Bitwarden Infoseite](https://bitwarden.com/passwordless-passkeys/) - [Proton Pass Infoseite](https://proton.me/support/pass-use-passkeys) Für 2024 empfehle ich bei Passwörtern + 2FA zu bleiben, 2025 ist die Sache sicher ausgereifter. An sich aber ein sehr sinnvoller Schritt zu einfacherer IT-Sicherheit!