Hallo,

ich denke einige von euch kennen das Problem.

In der Firma benutzt man mehrere Rechner die ein Passwort haben, zusätzlich benötigt man für Programme und Internet ständig Passwörter.

Zuhause ist die Situation ähnlich.

Meine Frage ist, wie Ihr mit dieser Flut an Passwörtern umgeht und wie soll man sie sicher archievieren und verwalten?

Bis bald Chemiker

Zur Zeit (unter Kubuntu) verwende ich die integrierte Passwort-Verwaltung (kwallet), auf die so gut wie alle anderen Programme auch zugreifen.

Gesehen habe ich aber schon einiges. Was mir dabei am Besten gefallen hat, war eine passwortgesicherte Excel-Datei, wo die Spalte, in der die Passwörter stehen schwarz auf schwarz war.

Bernhard

Moin Bernhard,

dabei muss Dir aber klar sein, dass sich der Passwortschutz von Excel, meines Wissens, recht leicht aushebeln lässt. (zumindest bis 2003, ab 2007 weiss ich es nicht).

Immer wieder gern genommen ist KeePass

Geteilte Passwörter.
Auf dem jeweiligem PC, wo ich das PW eingeben muss, liegt sozusagen die eine Hälfte des Passworts und die andere Hälfte liegt auf meinem USB-Stick im Portemonnaie.
Um an die 'Passworttabelle' ranzukommen muss ich ein globales PW eingeben. (Gedächtnis)
Das gleiche für wichtige einzelne PWs.

Ich will gerade das hier mal testen:
http://keepass.info/download.html

Mit C#-Sourcecode.

Das beste Mittel hierbei ist zu verhindern sich überhaupt nochmal einloggen zu müssen:
Im Büro gibt es bei uns eigentlich fast nur noch Windows-Authentifizierung.
Ehrlich gesagt halte ich jeden Anbieter von Software für den Geschäftsgebrauch, der keine Kerberos5-basierte Authentifizierung anbietet im Zweifel für einen unfähigen Trottel.
Manchmal ist ein Produkt tatsächlich so gut, dass man so einen drakonisches Manko wie eine weitere Kombination von Username/Passwort zähneknirschend akzeptiert. Aber wehe es gibt einen Konkurrenten, der es richtig macht, selbst wenn er nicht so viele Features mitbringt.
Wir haben auch einige Legacy Apps, die leider unumgänglich sind, auf Oracle basieren und natürlich Username/Passwort voraussetzen . Die konnte ich aber OCI-Wrapper und Hooks dazu "überreden", die Verbindung per Kerberos-Token aufbauen. Die Angestellten sparen Nerven, und sicherer ist's auch noch.

Privat bevorzuge ich Dienste, die OpenID unterstützen. Da ich bei Google 2-Phase Verification nutze, ist das dann auch noch viel sicherer als blöde Passwörter, da ich neben dem Passwort auch noch einen zeitlich begrenzt gültigen Code aus meinem Android brauche.
Ist der Cookie dann erstmal gesetzt, kann ich schön alle möglichen Dienste nutzen, ohne dass ich mir a) Bange um mein Passwort machen muss, und b) ständig mit Logins genervt werde.
Für alle Seiten, die leider immer noch der Meinung sind, sie seien ja so wichtig, dass ich mir extra für sie weiterhin Username/Passwort verwalten müsste, habe ich die Keychain in meinem Macbook.

Die IT-Welt ist leider noch komplett überlaufen mit Dogmatikern und Masochisten.
Dogmatiker, die nicht in der Lage sind sich Gedanken zu machen, ob man tatsächlich seinen Angestellten/Usern ständige Login-Dialoge aufzwingen sollte.
Und Masochisten, die, in ihrer Geilheit auf's Ausfüllen besagter Logins, sogar Cookies löschen, so dass auch wirklich immer schön das Passwort übertragen wird. Alles im Namen der Sicherheit: klaro.
Und natürlich jede mögliche Kombination beider Störungen...

Passt irgendwie Statt Facebook und Yahoo: Mozillas BrowserID als Alternative zur OpenID

Meinen Kopf nutze ich dafür.

Bei wenig wichtigen Passwörtern wie die für die DP, Facebook etc. lasse ich diese vom FF-Passwortmanager speichern (da habe ich nur ca. 3 verschiedene Passwörter). Aber wichtige Passwörter z.B. für Online-Banking oder PayPal habe ich nur im Kopf.
In der Firma brauche ich eigentlich nur mein Windows-Passwort und diverse Passwörter, um Fernwartungen bei Kunden zu machen. Die habe ich momentan alle im Kopf, aber die Fernwartungspasswörter liegen bei uns auch auf den Firmenservern, da die eigentlich für alle Mitarbeiter zugänglich sind.

Ein Passwortverwaltungs-Tool nutze ich somit (noch) nicht.

Grüße

Es kommt darauf an welche Passworter. Die für Amazon, Ebay, Paypal, Online-Banking, meine Mailaccounts und so etwas merke ich mir alle und speichere sie nirgends. Das sind so ca. 30, alle auch etwas länger.

Und dann benutze ich Roboform für Passwörter, die nicht ganz so wichtig sind. Das sind ca. 400, die ich darin gespeichert habe.
Dort ist dann auch gleich eine Toolbar zum automatischen Ausfüllen, Passwort generieren usw. dabei. Und ich kann die Passwörter auf dem USB-Stick, logischerweise in einem Datensafe noch einmal verschlüsselt, auch direkt mitnehmen.

Ich habe meine gesamten Passwörter in einer Keepass-Datenbank, die auf einem Hardware-verschlüsstelten USB-Stick liegt (Kingston DataTraveler 5000).
Auf dem Stick sind Keepass 1, Keepass 2 und KeepassX für OSX / Linux, als Datenbank-Format nehme ich das Keepass-1-Schema, da man diese mit den genannten Programmen auf allen Systemen problemlos öffnen kann.

Die Datenbank wird von mir regelmäßig auch in ein TrueCrypt-Verzeichnis vom Stick auf eine Backupplatte gespeichert.

Damit bin ich bisher sehr gut gefahren.