Schlagwort-Archive: Passwortmanager

16 Zeichen

Nach einem Update meines Homebanking-Programms konnte ich mich in selbiges nicht mehr einloggen. „Passwort falsch“ wurde mir bei jedem Versuch verkündet. Das konnte aber nicht sein, mein Passwort kommt ja – wie es sich gehört – aus einem Passwortmanager. Vertippen ist also keine Option. Auf eine Nachfrage bei der Bank meines Vertrauens erhielt ich folgende („anonymisierte“) Antwort:

In den Versionen von {PROGRAMMNAME}, welche kleiner als {PROGRAMMVERSION} sind, war das Kennwort auf 16 Zeichen begrenzt. Ab der Version {PROGRAMMVERSION} kann das Kennwort auf maximal 64 Zeichen erweitert werden.

Wurde diese Einschränkung nicht beachtet und Kennwörter mit mehr als 16 Zeichen vergeben, wurde leider nicht bemerkt, dass nur die ersten 16 Zeichen des Kennworts erfasst und für den Abgleich gespeichert wurden.
Beim ersten Einsatz der Version {PROGRAMMVERSION} sollten nur die ersten 16 Zeichen des Passworts eingegeben werden. Wird stattdessen das vollständige Passwort eingegeben, wird dieses als falsch abgelehnt, da die Vorgängerversionen < {PROGRAMMVERSION} nur die ersten 16 Zeichen als Kennwort gespeichert haben.

Bitte geben Sie zunächst nur 16 Stellen des Kennworts ein. Danach kann das Kennwort von 16 Stellen auf maximal 64 Stellen geändert werden.

Eine schnelle und kompetente Antwort des Bankmitarbeiters, keine Frage. Fragen bleiben trotzdem. Es geht hier um mein Bankprogramm, da gehe ging ich davon aus, dass man sich Gedanken um die Sicherheit macht. Ich verwende einen Passwortmanager, um lange, einmalige und somit sicher Passwörter verwenden zu können, und die Bank verwendet dann nur die ersten 16 Zeichen davon? Außerdem konnte ich bei der Software das „falsche“ Passwort beliebig oft und ohne Zeitverzögerung eingeben. Hallo Brute Force! Immerhin verlangt man jetzt (neu!) bei neuen Passwörtern ein Sonderzeichen. Wohoo!

Man kann nur hoffen, dass die Jungs den Rest des Programms besser im Griff haben. Sicher bin ich mir da nicht mehr.

Passwortmanager: KeePass oder nix

Passwörter braucht man heutzutage ja an jeder Ecke, und im Umgang mit Passwörtern kann man so einiges falsch machen: Die Hitliste der am häufigsten verwendeten Passwörtern verschlägt einem die Sprache. Und das ist nur die Spitze des Eisbergs.

Was bisher geschah

Ganz so fahrlässig hatte ich das bisher nicht gehandhabt. Ich hatte schon ein ziemlich ausgeklügeltes System, bei dem ich… Lassen wir das besser. Immerhin hatte ich nicht bei jedem Dienst das selbe Passwort. Richtig verlässlich fand ich das alles trotzdem nicht. Vor allem kann man – vergibt man Passwörter nach einem System – nicht mal so einfach hier oder da ein Passwort ändern, nur weil von diesem Dienst gerade die Passwörter entwendet wurden. Ungefährlich ist ein sorgloser Umgang mit Passwörtern auch nicht, in regelmäßigen Abständen wird z.B. mit geklauten Passwörtern viel Schaden angerichtet (nicht nur finanzieller). Wenn du denkst, das wäre alles halb so wild, dann gib doch mal testweise nur ein einziges deiner Passwörter an deine fünf besten Freunde: Dein Mailpasswort. Na also.

Mein Plan

Ich wollte das endlich besser geregelt haben. Nein, nicht besser, sondern gut. Dazu braucht man 1) für jeden Dienst ein separates Passwort, welches 2) zufällig generiert und ausreichend lange ist. Wenn man diese Anforderungen stellt, führt kein Weg an einem Passwortmanager vorbei. Ein Passwortmanager funktioniert so, dass man alle seine tollen Passwörter in eine Art digitales Safe speichert und sich nur den einen (richtig gut ausgedachten!) Schlüssel dazu merken muss, das Masterpasswort.

Weiterlesen