Passwörter - Livia's Notes

# Passwörter #zu/it-security #zu/privacy Grundsätzlich gilt: keine Namen, keine Haustiere, keine Daten (Geburtstag/-jahr), keine sonstigen persönlichen Daten. Sowas ist eine Todsünde. Ein zweiter wichtiger Schritt ist das Verwenden von Passphrasen statt wild ausgedachten Passwörtern. Die Begründung wurde im [XKCD#936](https://xkcd.com/936/) einfach dargestellt und für die interessierten gibts auch eine [technische Erläuterung warum diese Methode](https://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase/6096#6096) wirklich sicherer ist: ![|342x278](https://imgs.xkcd.com/comics/password_strength_2x.png) Wichtig: sie müssen wirklich zufällig generiert sein! Sonderzeichen/zahlen sowie Großkleinschreibung sind optional. Das Generieren geht einfach [online](https://bitwarden.com/password-generator/) oder direkt im Passwortmanager und sieht etwa so aus: ![[bitwarden generator.png|500]] ## Passwortmanager Ein Passwortmanager ist nicht nur sicherer, sondern auch was für Faule. Ein letztes Mal eine sichere Passphrase merken, dann alles andere darin ablegen und nie wieder das Passwort-vergessen-Spiel spielen. Firmen spielen auch gerne das "ändere dein Passwort aller XYZ Tage" Spiel, was durch einen Passwortmanager sehr entspannt wird. - [Proton Pass Hilfeseite](https://proton.me/support/pass-setup) - [Download](https://proton.me/pass/download) - [Bitwarden Video Tutorial](https://www.youtube.com/watch?v=J_z4VqERVkQ) (4 min) #tool/bitwarden - [Download](https://bitwarden.com/download/) - Hilfe: [Import you Data (en)](https://bitwarden.com/help/import-data/) > [!warning] Passwörter nicht im Browser speichern! > In der Vergangenheit gab es bereits Sicherheitlücken in diesen verfahren, lange konnte google sogar Passwörter mitlesen -> Verwende ein der oben verlinkten apps Leider gibt es auch einige Passwortmanager, von denen Explizit abzuraten ist: - Google Password Manager - US-Anbieter, Cloud-Act. - google, lol[^3] - nicht open source - NordPass - Nord\* allgemein sketchy - kein einsehbarer Audit, keine Security-Seite[^2] - nicht open source [^2]: das whitepaper verweist auf den blog. den soll man dann nach den passenden audits durchsuchen. dort gibt es einen von 2020, ja, aber das resultat ist hinter einer authwall. lächerlich. Zum Vergleich: die [security seite von obsidian](https://obsidian.md/security). Schnell auffindbar, übersichtlich, download von Zusammenfassung und vollständigem Bericht. [^3]: niemand sollte zugangsdaten einem konzern anvertrauen, der „dont be evil“ als internes motto gestrichen hat. ## Zwei-Faktor-Authentifikation **Zwei-Faktor-Authentifikation** (2FA) erhöht die Sicherheit von Accounts stark und sollte daher wo möglich eingesetzt werden. 2FA wird häufig mit **Google Authenticator** verbunden, aber ist ein offener Standard, den viele Apps können. Dafür muss eine lange Kombination in die 2FA App gespeichert werden, entweder mit copy/paste oder über einen QR code. - Crossplattform: [Bitwarden Authenticator](https://bitwarden.com/products/authenticator/) - kann fast alles importieren und gibt json export aus - sichert mit device backups - Android: [Aegis](https://getaegis.app/) - auf android mit abstand die beste wahl - kann automatische backups - iOS & macOS sync: [Sentiel](https://getsentinel.io/authenticator) - nett für sync zwischen platformen (vorsicht, kein echter zweiter faktor)[^1] In Bitwarden Premium ist auch 2FA integriert. Heißt: wie bei Passwörtern funktioniert Autofill. Das gibt Komfort, nimmt aber Sicherheit, da nicht mehr ein zweites Gerät benötigt wird. Es ist eine Abwägung. Ein Sonderfall von 2FA sind Telegram und Signal: beide ermöglichen einen zweiten Faktor in Form eines Passwortes (neben der üblichen SMS). Das hilft sehr, ungewollte Übernahme eines Accounts zu verhindern und ist gerade bei Telegram sehr zu empfehlen. [^1]: ein Passwort beweist *wissen*, ein zweiter faktor *haben*. Ziel ist es diese beiden Faktoren aus unterschiedlichen Geräten zu holen. Darum ist auch ein in Passwortmanager intergriertes 2FA system nur mäßig sinnvoll… ## Passkeys Passkeys sind aktuell eine Ergänzung zu Passwörtern und 2FA. Dabei wird ein Schlüssel lokal auf dem Gerät gespeichert. > [!warning] Sync nur mit Ende-zu-Ende verschlüsselung (e2ee)! > Wenn Passkeys nicht mit e2ee gespeichert/synchronisiert werden, ist viel Sicherheit dahin! Darum: auf keinen Fall ins Google Account oder so laden. Es ist sinnvoll Passkeys mit Bitwarden oder Proton Pass zu verwalten: - [Bitwarden Infoseite](https://bitwarden.com/passwordless-passkeys/) - [Proton Pass Infoseite](https://proton.me/support/pass-use-passkeys)