Mitmachen erwünscht: Wer blockiert heute noch die Nutzung von Passwortmanagern?

WIRED appelliert in einem Artikel an die Betreiber von Webseiten, die es verbieten, Passwörter in Eingabefelder zu kopieren und damit effektiv verhindern, dass Menschen starke Passwörter und Passwortmanager nutzen, denn wer tippt schon über 20 Zeichen mit Sonderzeichen mehrmals täglich per Hand ein? Die Argumente der Seitenbetreiber sind dürftig: Es werden „manche Formen von Malware verhindert“, oder „Brute-Force-Angriffe“ und „Passwort-Phishing“. Ein Urteil, ob es einen Brute-Force-Angriff nicht einfacher macht, wenn der Nutzer stattdessen Trivialpasswörter nutzt, am besten noch auf mehreren Seiten gleichzeitig und ob es hilft, dass auf einer gefakten Webseite das Passwort per Hand eingegeben statt kopiert wird, überlassen wir euch.

Aber der Artikel vermeldet auch Positives: T-Mobile habe noch letzte Woche den Kunden-Login mit Copy-Paste verhindert. Nach der Aufforderung eines Kunden, das zu ändern, ist das Problem nun gelöst. Es werden noch weitere Seiten wie Barclaycard und Western Union erwähnt. Daher hatten wir eine Idee: Welche Seiten blockieren eures Wissens nach die Passwortmanagernutzung? Schreibt sie in die Kommentare und versucht, euch aktiv an die Seiten zu wenden. Und wenn sie euch Scheinbegründungen liefern, teilt sie uns mit!

62 Ergänzungen

  1. Der beschriebene Umstand ist mir auch schon mehrfach negativ aufgefallen.
    Zum Glück unterstützt das von mir verwendete Keepass Autotyping. Dabei wird nichts kopiert und eingefügt, das Programm „tippt“ die Anmeldedaten Zeichen für Zeichen ein.
    Probleme gibt es trotzdem leider. Vor allem bei Apps auf dem Smartphone, welche eigene Widgets verwenden oder das Paste unterdrücken funktioniert es nicht.

    1. Auch in vielen Apps kann man inzwischen autotyping nutzen. So gibt es für keepass inzwischen einige (Android)Clients, die eine eigene Tastatur einführen, auf diese kann man bei Passworteingaben wechseln.
      Verhindert zudem noch das auslesen des Passworts aus der Zwischenablage.

  2. Wie steht ihr zu Firmen die Browser so konfigurieren dass man keine Passwörter automatisch eintragen lassen kann in internen Webseiten?
    Hier wird man mit fiesen Sicherheitskriterien und einem ständigen Wechsel gequält kann aber sein Hirn nicht entlasten indem man sich nur ein Masterpasswort für den Browser merkt.

  3. Be Touch und Travel (https://www.touchandtravel.de/) kann man zwar Passwörter in die Felder hinein kopieren aber das funktioniert nicht auf allen Masken. Beim telefonischen Kundendienst wurde ich extra aufgefordert die Passwörter IMMER hineinzu tippen.

  4. denn wer tippt schon über 20 Zeichen mit Sonderzeichen mehrmals täglich per Hand ein? Ich mache das. Wer unbedingt um Probleme betteln will, schreibt alle Passwörter auf ein Stück Papier hinterlegt es zentral im Netz, und schreibt „Passwortmanager“ drauf.
    Dann weiß jeder Einbrecher, wo man sich als ersten bedient. Die Verwendung von Passwortmanagern ist ein Sicherheitsrisiko. Egal, ob man es ans weiße Brett hängt, auf seinem Rechner verwaltet, oder in die Cloud streut.

    1. Sehe ich nicht so. Meine Eltern haben für jeden Dienst immer das gleiche PW benutzt bis ich ihnen empfohlen habe eine PW-Manager zu nutzen. Sie brauchen sich nur ein PW merken setzen aber nun für jeden Dienst ein eigenes PW ein. Ich sehe hier eher einen deutlichen Gewinn an Sicherheit.

      1. Nur so lange wie der PC nicht mit einem Trojaner verseucht ist.
        Dann kommt es aufs selbe raus, da alles lokal hinterlegt ist.

      2. Bequemlichkeit ist immer der erste Angriffspunkt. Wer seine Wertsachen auf dem Autositz hinterlässt, dem erlischt im analogen Leben bei einem Einbruch der Versicherungsschutz. Mitarbeiter können mit dieser Nachlässigkeit ganze Firmen in Schwierigkeiten bringen und auch noch für entstandene Schäden haftbar machen.

        Meine 30+ Passwörter für Router, Mails, Telefon, Online-Handel, Foren, Krankenkasse und was es sonst noch so alles gibt, krame ich dezentral aus Unterlagen hervor und tippe sie per Hand ein. Ich verwende lediglich ein gewisses System, um ein einzelnes Passwort notfalls ableiten zu können. Passwörter sind bei mir kleine Geschichten. Erst wenn diese Methode versagt, dann brauche ich die Unterlage.

      3. @bekr:
        Ich bin inzwischen bei 201 Passwörtern, dabei sind die beruflich bedingten noch gar nicht enthalten. Und nun?

        Passwörter, die ein Einbrecher sich holt? Lachhaft. Passwörter gelangen auf zwei Wegen in die Hände von Kriminellen – sie hacken den Server oder den PC. Der PC ist dann ja nicht nur für die Eingabe eines einzelnen Passworts korrumpiert, sondern bis das Problem entdeckt ist. Und bis dahin hast du auch deine 30 Passwörter schon eingetippt.

      4. @Lars
        Für das Verwalten von vielen Passwörtern kenne ich auch keine einfache Lösung: ich habe mich auch schon mal 8x hintereinander gewundert, wieso ich meine E-Mails nicht mit dem Passwort meines Rechners abholen kann. Manchmal ist es grausam.

        Ein einzelnes Ereignis führt selten zur Katastrophe, meistens passiert etwas, wenn man eine Fehlerkette aufbaut und niemand diese Fehlerkette unterbricht. Mit dem zentralen Führen einer Liste von Passwörten auf einem Rechner baut man diese Fehlerkette auf. Und damit zieht man die ganzen schrägen Vögel an.

        http://www.wired.com/2015/06/hack-brief-password-manager-lastpass-got-breached-hard/

    2. Die richtige Nutzung von Passwort-Managern ist sicherer als lange Passwörter offline zu speichern, diese aber trotzdem nach einem gewissen System zu erstellen.

      „Ich verwende lediglich ein gewisses System, um ein einzelnes Passwort notfalls ableiten zu können.“ Und genau das kann gefunden und somit für alle anderen Passwörter genutzt werden.

      Mit „richtiger Nutzung“ meine ich z.B. LastPass + OTP (z.B. Yubikey). Ich brauche also mein normales Passwort für den Manager und das OTP, welches durch den YubiKey generiert wird um auf all meine Passwörter zuzugreifen. Und sobald ich entweder den YubiKey abstecke oder alle Browser-Fenster schließe ist auch der Manager wieder gesperrt und alle Daten verschlüsselt.

    3. Natürlich ist die Verwendung von Paßwort-Managern ein Sicherheitsrisiko. Ebenso übrigens die Verwendung von Schlüsselbunden (denn sie stellen einen Zusammenhang zwischen den Schlüsseln her und erleichtern dadurch die Zuordnung, welcher Schlüssel zu welchem Schloß gehört). Der Punkt ist, daß alle Alternativen zu Paßwort-Managern noch ein wesentlich größeres Risiko darstellen. Denn zumindest ich kann mir nicht Dutzende oder Hunderte von 13- bis 20stelligen Paßwörtern merken. Ohne Paßwort-Manager müßte ich kürzere Paßwörter verwenden und/oder dieselben Paßwörter für mehrere Dienste verwenden, um die Anzahl zu reduzieren. Beides ist eine sehr schlechte Idee, eine viel schlechtere jedenfalls als ein Paßwort-Manager.

  5. Die Sparkasse Hannover hat bis vor einiger Zeit Passwortmanager durch irgendwelchen JavaScript-Foo verhindert, jetzt geht es wieder.

    Allerdings limitiert die Sparkasse Hannover die „PIN“ immer noch auf fünf (!) Zeichen und schränkt auch die Kombinationen ein, so dass es schwierig wird, eine passende PIN zu generieren. Davon abgesehen macht es einem das UI nicht gerade einfach, diesen Teil in der Website überhaupt zu erreichen.

    Immerhin kann man seinen „Anmeldenamen“ beliebig wählen und daraus quasi ein langes Kennwort machen. Trägt allerdings nicht gerade zur Vereinfachung der Nutzung bei.

    1. Ist bei der Postbank genauso. PINs nur fünfstellig und alphanumerisch. Wenn man sie drauf anspricht, bekommt man nur Textbaustein-Antworten wie „Alles sicher! Wir setzen sichere internationale Sicherheitsstandards nach sicheren Gesichtspunkten ein. Sicher! Gehen sie weiter, hier gibt es nichts zu sehen.“ oder wahlweise auch „Aber sie können für Überweisungen doch den Hardware-PIN-Generator verwenden, der macht alles noch(!) viel sicherer“. Leider versteht dort niemand, dass ich dazu schon längst eingeloggt sein muss. Vielleicht kann so niemand unbefugt Geld von meinem Konto abheben, den gesamten Kontoverlauf und Bestand aber schon.

      Ebenso reagiert die Postbank auf gemeldete potentielle Sicherheitsschwächen: „Wenden Sie sich doch an unser Facebook-Team“, „Wir sind nur für Kartenmissbrauch zuständig“, „Haben sie an der Hotline schon mal gefragt?“

      1. Ich kann auch bestätigen das die „Deutsche Bank“ auch nur ein 5 stelliges Passwort verwendet. Finde ich genauso schlimm wie die Blockierung eines Passwortmanagers.

      2. Postbank ist eh voll krass – du kannst nämlich ein längeres Passwort vergeben und das wird kommentarlos abgeschnitten. Du merkst erstmal gar nicht, dass du nur ein 5-Zeichen-Passwort hast.
        Als der Postbank-Mitarbeiter mir das am Telefon erklärte, gab es folgenden Dialog:
        „Hallo, haben Sie das verstanden?“
        „Ja, meine lange Stille eben gerade spiegelte mein Entsetzen wider.“

        Dafür lässt sich die EC-Karte für den Auslandseinsatz über das Online-Banking komplett sperren, so dass zumindest das Skimming wegfällt.

      3. @jens, @Lars: Wenn ich das richtig mitbekommen habe, hat die Postbank keine hauseigene IT fürs Banking. Kann sein, dass sie die Infrastruktur der Deutschen Bank mitbenutzen.

      4. „Ebenso reagiert die Postbank auf gemeldete potentielle Sicherheitsschwächen…“

        Anonyme (fake) signierte Mail, CC an die Bankenaufsicht und die Redaktion der Bild. Dann geben sogar die Gas! ;)

    2. Wird der Account denn nach X. falschen Eingaben gesperrt? Bei so kurzen PINs ist das ja meist so, (vgl z.B. SIM Karten PIN).

      Wenn ja könnt ich es noch verstehen, sowas erschwert eine Brute-Force Attacke ebenfalls.

    3. Banken sperren den Online-Zugang nach drei falschen Zugriffen hintereinander. Deshalb werden keine langen PINs benötigt, da das Ausprobieren (Brute-Force) nicht möglich ist. Dafür muss man halt persönlich antanzen, um den Zugriff wieder frei zu bekommen.

  6. Passwort-kopieren zu blocken ist eine Sache, aber wichtiger ist z.B. das unnötige Limitieren von Passwortlängen. Es ist nämlich sicherer sich einen langen Satz auszudenken, statt maximal 8 Zeichen. Windows Live hat max 16 Zeichen, Skype hat max. 20 Zeichen usw. Facebook, Twitter und Google erlauben bis mindestens 100 Zeichen als Passwort.

  7. NP.org verhindert im Kommentarbereich noch immer, den Textcursor beliebig zu platzieren. So wird das Korrekturlesen vom getippten Text zur Qual.

    Dagegen klingt es sinnvoll, wenn eine Website mit allen möglichen Mitteln zu verhindern versucht, dass Passwörter computergesteuert aus allerlei Quellen heraus ausprobiert werden können.

    Den Vorteilen von Passwortmanagern stehen sowieso mindestens genau so viele Sicherheitsbedenken gegenüber.

    1. @Frl. Unverständnis: Was meinst du damit genau? Ich kann Problemlos meinen Text bearbeiten und dabei auch den Cursor an beliebiger stelle platzieren. (Ist ein Normales HTML textarea TAG, was soll daran nicht gehen?)

  8. Good.com blockiert in seiner Android-App die Nutzung von Passwortmanagern und hat darüber hinaus eine Passwort-Policy, die unabhängig von der Passwortlänge vorschreibt, dass jedes Zeichen nur maximal einmal vorkommen darf. Damit fallen viele automatisch generierte Passworte automatisch aus, weil zumindest bei langen Passworten häufig irgendein Buchstabe mehrfach auftaucht.

    Ach ja: pinentry von openSSH verhindert ebenfalls copy und paste aus der Zwischenablage. Der verantwortliche Entwickler weiß seit Jahren davon und weigert sich, daran etwas zu ändern.

  9. Tja ich habe zwar keine Webseite aber ein Programm welches den Passwortmanager z.B. KeePassX nicht funktionieren lässt. Es handelt sich bei Thunderbird dem Programm Enigmail mit Gnupg2. Da gibt es ein Programm Pinentry welches das Einfügen mittels KeepassX nicht zulässt. Wie soll ich bei einer Verschlüsselung der zu sendenden E-Mail ein starkes Passwort nutzen wenn ich das mit dem guten KeePassX nicht machen kann, wo nach einer kurzen (einstellbaren) Zeit der Zwischenspeicher zuverlässig gelöscht wird.

    Kennt da jemand eine Art Zwischenlösung? Ich finde das da die Entwickler überreagiert haben. So kompliziert, das man ein langes u. zuverlässiges Passwort beim Versenden von verschlüsselter E-Mails praktisch nicht nutzen kann und von Hand eingeben muss, schreckt doch den einfachen User völlig ab. So wird das nichts mit dem Durchbruch der verschlüsselten E-Mails. Oder soll es vielleicht niemand machen sollen?

    1. Pinentry ist in der Tat etwas nervig. Es ist nicht mehr möglich, ein anderes Eingabefeld zu fokussieren. Prinzipiell ist das eigentlich ganz sinnvoll, es soll verhindert werden, dass man versehentlich das Passwort in einem anderen Fenster eingibt. Copy&Past wird leider damit auch unterbunden. Es gibt allerdings eine Zwischenlösung:

      Man kann immer noch mit der Maus in anderen Fenstern navigieren. Ich öffne dann über das Panel KeePassX und führe per Kontextmenü Autotype für den entsprechenden Eintrag aus. Das funktioniert gut, eventuell muss man für den Eintrag die Autotypesequenz noch modifizieren (Schließlich will man keinen Benutzernamen eingeben, sondern nur das Passwort).

      Nerviger finde ich die Overlays von GNOME, z. B. für WLAN-Passwörter. Ein Wechsel zu einem anderen Fenster ist nicht mehr möglich. Meistens muss man dann abbrechen und das Passwort normal (ohne löschen nach ein paar Sekunden) in die Zwischenablage kopieren. Wenn dann das Fenster nach einer halben Minute wieder auftaucht kann man es nochmal probieren.

      1. Hi Tippgeber,
        ich habe Deine Zwischenlösung für Pinentry nicht verstanden. Kannst Deinen Tipp
        „Man kann immer noch mit der Maus in anderen Fenstern navigieren. Ich öffne dann über das Panel KeePassX und führe per Kontextmenü Autotype für den entsprechenden Eintrag aus. Das funktioniert gut, eventuell muss man für den Eintrag die Autotypesequenz noch modifizieren (Schließlich will man keinen Benutzernamen eingeben, sondern nur das Passwort).“

        bitte etwas näher erläutern? Bin kein PC-Fachmann sondern lerne jeden Tag hier dazu.
        Ich denke das dies auch noch mehr User interessiert.

      2. Nochmal etwas besser erklärt (hoffentlich):

        Ausgangssituation: Man möchte eine verschlüsselte Nachricht mit Enigmail in Thunderbird öffnen oder verschicken, dafür muss man mittels Pinentry das eigene Passwort eingeben. Pinentry verhindert, dass man weitestgehend mit anderen Fenster interagieren kann, sämtliche Tastatureingaben landen im Passwortfeld.

        Ziel: Das Passwort entsprechende aus KeePassX in Pinentry eingeben. Das Problem ist, dass man weder Sachen aus der Zwischenablage in Pinentry einfügen kann, noch, dass es problemlos möglich ist, andere Fenster zu öffnen.

        Damit dieser Trick funktioniert, muss KeePassX bereits geöffnet und die entsprechende Datenbank entschlüsselt sein. Ich kann bei mir KeePassX über das Panel öffnen, dort ist also ein kleines Icon zu sehen und wenn ich darauf klicke, öffnet sich KeePassX. Alternativ kann ich es auch über meine Dock öffnen, dort wird es ebenfalls als Icon angezeigt.

        Das nutze ich nun aus, sobald Pinentry sich öffnet und nach einem Passwort verlangt. Ich klicke auf eines der KeePassX-Icons und ein KeePassX-Fenster öffnet sich, der Fokus liegt allerdings immernoch bei Pinentry (Fenster lassen sich ebenfalls nicht verschieben). In KeePassX navigiere ich (mit der Maus) zum Passwort, dass ich in Pinentry eingeben möchte. Über die Zwischenablage funktioniert das Einfügen nicht, stattdessen klicke ich mit der rechten Maustaste auf den Eintrag und wähle „Auto-Type ausführen“ (oder so ähnlich) aus. Damit wird das Passwort automatisch in Pinentry eingefügt, genauso, wie ich es wollte.

        Das Problem ist nun noch, dass KeePassX aber eigentlich versucht, zunächst einen Benutzernamen einzugeben, was in diesem Fall natürlich unsinnig ist, da man nur das Passwort benötigt. Ich habe daher eine benutzerdefinierte Auto-Type-Sequenz definiert:

        {PASSWORD}

        Damit wird nur das Passwort eingefügt.

      3. Hi Tippgeber,
        du schreibst „Ich kann bei mir KeePassX über das Panel öffnen, dort ist also ein kleines Icon zu sehen und wenn ich darauf klicke, öffnet sich KeePassX. Alternativ kann ich es auch über meine Dock öffnen, dort wird es ebenfalls als Icon angezeigt.“
        Was ist bei Dir das Panel? Ich kann nur KeePassX über das Desktopsymbol (habe Ubuntu 14.04 LTS) öffnen.
        Und was meinst Du mit „über meine Dok öffnen, dort wird es ebenfalls als Icon angezeigt“ ?

        Also wenn ich mein KeePassX samt der Datenbank wo meine Passphrase steht geöffnet bzw. entschlüsselt ist. Wo soll da ein Panel sein?

      4. Mensch Tippgeber,
        ich habe es hinbekommen. Mir ist dabei fast beim Nachdenken der Kopf geplatzt aber es funktioniert jetzt wirklich via Auto-Type-Sequenz. Ist unglaublich das mir das mit Deiner Hilfe voll gelungen ist. Dadurch kann ich weiterhin sehr lange Passwörter ( über 40 Zeichen kreieren und auch ohne Probleme benutzen.

        Aber eins will ich gern noch von Dir dazu wissen wollen.
        Wie bist Du den darauf gekommen? Steht das irgendwo oder bist Du so ne Art Informatiker?
        Also ich wäre darauf nie gekommen. Obwohl dazu etwas im Ubuntu-Wiki bei KeePassX steht.

  10. Wenn ich mich richtig erinnere, mochte mein Internetbanking bei der örtlichen Volksbank auch keine Kennwort-Manager, das klappte nur bei deaktiviertem JavaScript. Müsste ja dann ein grundsätzliches Problem bei GAD sein. Wobei deren Internetbanking sowieso speziell war mit der Restriktion des Kennwortes für den Login auf maximal sechs Zeichen (?) ohne Sonderzeichen und sowas.

    1. Doch, GAD erlaubt Password-Manager. Die maximale Passwortlänge mit 20 Zeichen schon annehmbar, dafür dürfen nur bestimmte Sonderzeichen verwendet werden.

  11. Das Online-Banking meiner Bank (HypoVereinsbank) begrenzt das Passwort auf 10 Zeichen und Sonderzeichen wie *, %, @ oder ! sind nicht erlaubt, also nur a-zA-Z0-9.

    Ich habe auf etlichen Foren sicherere Passwörter als bei meinem Online-Banking, welches zudem als Benutzernamen eine zufällige, vierstellige Zahl gefolgt vom sechsstelligen Geburtsdatum verwendet.

    Sicher geht anders!

    1. Die DKB erlaubt ganze 5 Zeichen, mit dem Argument dass nach 3 Fehlversuchern für der Zugang gesperrt wird und erst nach Zusendung einer neuen Pin wieder genutzt werden kann.

    2. Die Roboterdame vom Deutsche Bank Telefonbanking will genau zwei Ziffern meiner vierstelligen Telefon-PIN wissen, danach kann ich hemmungslos Aufträge erteilen und mein Konto leerräumen. Wohlgemerkt, ohne mit einem echtem Menschen zu sprechen.
      Das ist nicht Sicherheit, das ist ein Witz. Gebt mir ne Kundenliste und einen Stapel Wave-Dateien und ich setze mich übermorgen in die Karibik ab.

  12. Das Blocken von Passwortmanagern ist durchaus legitim und nichts schlimmes.
    Und auch das Banken die Länge limitieren ist absolut kein Problem. Dafür darf man nach der dritten falschen Eingabe auf einen Brief warten ohne den man sich nicht mehr einloggen kann. Zudem ist zu hoffen, dass Banken erheblich mehr für die Sicherheit ihrerer Systeme zu tun als ein Foren Betreiber.
    Problematischer ist z.B. Apple. Die wurden einfach gehackt weil beliebig viele Versuche möglich waren (und vielleicht an der ein oder anderen Stelle auch noch sind). Bei großen Systemen sind dann durchaus mehrerer hundert Tausend oder gar Millionen Versuche pro Sekunde möglich. DAS ist ein Sicherheitsproblem. Also guckt lieber nicht wie lange Passwörter erlaubt werden und welche Zeichen, sondern welche Möglichkeiten des Angriffs es gibt.

    1. Sry, aber dein Kommentar zeugt für mich von Unverständnis.

      Afaik waren bei dem „Angriff“ auf Apple <10000 Versuche/Minute möglich. Wessen PW sich von so etwas aushebeln ist, ist selber schuld. (Mal abgesehen davon, dass die "gehackten" Promis allesamt unmögliche PWs hatten, für die keine 1000 Versuche nötig waren.)

      Der Anspruchs des Users an sein eigenes PW muss sein, dass entwendete Daten, welche nur mit diesem verschlüsselt wurden, einer Offline-(brute-force) Attacke so lange standhalten, dass diese unwirtschaftlich ist.

      Dadurch muss man den User, welcher wohl <>Die wurden einfach gehackt weil beliebig viele Versuche möglich waren (und vielleicht an der ein oder anderen Stelle auch noch sind). Bei großen Systemen sind dann durchaus mehrerer hundert Tausend oder gar Millionen Versuche pro Sekunde möglich. DAS ist ein Sicherheitsproblem.<<
      Sie wurden nicht gehackt, Leute haben versucht in Accs reinzukommen, in dem sie Listen mit den am häufigst verwendeten Passwörtern verwendet haben. Und über WAN sind immer weniger Versuche möglich als offline.

      1. EDIT: Kaputt formatiert.
        Sry, aber dein Kommentar zeugt für mich von Unverständnis.

        Afaik waren bei dem „Angriff“ auf Apple <10000 Versuche/Minute möglich. Wessen PW sich von so etwas aushebeln ist, ist selber schuld. (Mal abgesehen davon, dass die "gehackten" Promis allesamt unmögliche PWs hatten, für die keine 1000 Versuche nötig waren.)

        Der Anspruchs des Users an sein eigenes PW muss sein, dass entwendete Daten, welche nur mit diesem verschlüsselt wurden, einer Offline-(brute-force) Attacke so lange standhalten, dass diese unwirtschaftlich ist.

        Dadurch muss man den User, welcher wohl <<100 Eingaben pro Minute macht, sich nie Sorgen darum machen, dass er vom System wegen einer unnötigen Beschränkung an Versuchen ausgesperrt wird.

        ""Die wurden einfach gehackt weil beliebig viele Versuche möglich waren (und vielleicht an der ein oder anderen Stelle auch noch sind). Bei großen Systemen sind dann durchaus mehrerer hundert Tausend oder gar Millionen Versuche pro Sekunde möglich. DAS ist ein Sicherheitsproblem.""
        Sie wurden nicht gehackt, Leute haben versucht in Accs reinzukommen, in dem sie Listen mit den am häufigst verwendeten Passwörtern verwendet haben. Und über WAN sind immer weniger Versuche möglich als offline.

  13. habe gerade keine Zeit, das gegenzuchecken, aber ich konnte vor einigen Wochen beim ebay-Passwortwechsel kein Keepass Autotype und kein händisches copy/paste aus Keepass verwenden…

  14. Da hier immer wieder das Argument auftaucht, vierstellige PINs seien sicher, weil nach drei Versuchen der Zugriff gesperrt wird:
    Das mag so sein, wenn gezielt ein einzelnes Konto angegriffen wird, z.B. bei Kartendiebstahl.

    Ein Datendieb dagegen kann ohne weiteres 1000 Plastikkarten für 1000 verschiedene Konten herstellen (ein Rohling kostet ein paar Cent) und diese dann in aller Ruhe durchprobieren. Zwar hat er nur bei jedem tausendsten Versuch Erfolg.
    Oder, um es anders auszudrücken: Wer Zehn Karten pro Tag ausprobiert, knackt (fast) jeden Monat ein Konto.
    Fazit: Sperren nach n Versuchen sind gegen Cybercrime Snake Oil. Und zwar nichtmal besonders gutes.

    1. ?
      Wenn ich 1000 verschiedene Konten angreife, kann ich doch nicht einfach die Erfolgswahrscheinlichkeit summieren?! Bei jedem Konto fand ich doch wieder von vorne an, da versuchte PINs von Konto1 bei Konto2 gültig sein könnten.

      Bitte genauer erklären, was du meinst…

      1. Mist, hab mich um Faktor 10 verrechnet. Ich erklärs trotzdem, der Effekt bleibt der gleiche:

        Jedesmal wenn ich eine Pin (Zahl zwischen 0000 und 9999) eintippen, ist die Wahrscheinlichkeit richtig zu liegen 1/10000. Bei einem neuen Konto fängt man eben nicht „von vorne“ an: Man rät, und nach genügend versuchen hat man nen Treffer. Im Grunde genommen könnte der Angreifer auch immer dieselbe Zahl eintippen, statistisch macht das keinen Unterschied.

        Stell Dir vor, ein Freund bittet dich, solange mit einem Würfel zu würfeln, bis Du die zahl wirfst, die er auf einen Zettel geschrieben hat. Ob er alle drei Würfe eine neue Zahl auf den Zettel schreibt oder nicht, ändert Deine Chancen zu gewinnen nicht.

        Soweit ich mich an die Schulmathematik erinnern kann ist die Wahrscheinlichkeit, nach n Tests der Einzelwahrscheinlichkeit p einen Treffer gelandet zu haben

        1 – (1-p)^n

        also in unserem Falle 1- (1 – .0001)^n

        Nach tausend Versuchen (bzw. 333 Karten) ist die Erfolgschance in etwa 10%, bei 5000 Versuchen 40%, bei 10000 Versuchen in etwa 66%.
        Das ist zwar nicht ganz so leicht wie im ürsprünglichen Posting berechnet – eine international organisierte Bande könnte so einen Angriff allerdings trotzdem erfolgreich und gewinnbringend durchziehen. Und tun das vermutlich auch in diesem Moment.

    2. Ah, du meinst bei 10^4 = 10.000 Möglichkeiten besorge ich mir „einfach“ 10.000 verschiedene Konten, lege mich auf eine PIN fest und versuche die immer gleiche PIN bei allen Konten. Irgendeins wird dann schon mit der PIN funktionieren.

      Ja, kann man machen…aber ob das wirklich so einfach ist? Zum einen sind PINs glaube ich nicht gleichverteilt, also 10.000 Konten bedeutet nicht 10.000 unterschiedliche PINs. Zum anderen…komm mal an 10.000 unterschiedliche, aber gültige Konten.

  15. Zu Hause einen Passwortmanager zu verwenden ist einleuchtend. Aber wie bewerkstelligt man das unterwegs? Immer nen USB-Stick mit dabei?

  16. Die Bank of Scotland https://banking.bankofscotland.de/netbanking/RetailLoginHome.html erlaubt nicht mal das Kopieren des „Benutzernamens“, des Passworts natürlich auch nicht.
    Und mit dem typisch zu kurzen Passwort ist die Sparkasse München eine weitere im Rahmen der ganzen Banken. Aus den Richtlinien dazu:
    „Bitte wählen Sie eine fünfstellige PIN, die nur Ihnen bekannt ist, und notieren oder speichern Sie diese nicht.
    Erlaubte Zeichen zur Vergabe der PIN sind:
    Kleinbuchstaben von a – z
    Großbuchstaben von A – Z
    Ziffern von 0 – 9
    Sonderzeichen ä,ö,ü bzw. Ä,Ö,Ü und ß“

    In letzter Zeit finde ich aber etwas anderes nerviger (nicht schlimmer): diverse unterschiedliche Implementierungen für die Authentifizierung in für den gleichen Account in unterschiedlicher Software. So hat z.B. Google Probleme mit der ~ Tilde im Passwort, wenn man es auf einem Chromebook verwenden möchte. Sonst geht es (nach meinem Gefühl) überall.

    1. Wie zu erwarten hat die Sparkasse München ganz allgemein geschrieben, dass ja alles gut sei – bei 5 Zeichen: „Somit ist für jede Stelle Ihrer PIN eine Auswahl aus 70 Zeichen möglich. Dies ergibt 70 hoch 5 Möglichkeiten, also über 1,68 Milliarden! Die Wahrscheinlichkeit, dass Ihre PIN durch reines Ausprobieren in nur 3 Versuchen erraten werden kann, ist somit sehr gering. Deshalb ist die OnlineBanking PIN auch mit „nur“ 5 Stellen eine sichere PIN.“
      Ich habe mal nachgefragt, warum sie es nicht einfach dem Kunden überlassen, wie lange sein Passwort sein soll – für max. 5 Zeichen dürfte es ja keinen Grund geben.

      1. So ist es auch bei der BW Bank. Nur 5 Zeichen, Sonderzeichen sind verboten.
        Argumentation der Bank: Das entspricht den Anforderungen (der Bafin) und ist sicher weil die Konten nach mehreren Fehlversuchen gesperrt werden. Das ist allerdings kein effektiver Schutz, wenn ein Angreifer statt einem Brute Force mit Passwörtern einfach verschiedene Konten durchprobiert und dabei das am häufigsten verwendete Passwort verwendet.
        Bei der Postbank werden anscheinend noch nicht einmal Groß- und Kleinbuchstaben unterschieden (https://antworten.postbank.de/frage/bis-zu-wieviel-zeichen-kann-eine-neue-pin-haben-da-nur-bis-zu-5-punkte-6706.html)

    2. Wieder eine ähnliche Antwort von der Bank of Scotland:
      „Aus Sicherheitsgründen ist unsererseits keine Kopier- und Einfügemöglichkeit
      gewünscht, da die Daten temporär auf dem Computer gespeichert werden.

      Zudem möchten wir die Sicherheit Ihres Onlinezugangs durch eine händische
      Eingaben unabhängig von Passwort-Managern sicherstellen.

      Dennoch geben wir gerne Ihre Anregungen zur Prüfung an die zuständige
      Fachabteilung weiter.“

      Interessant finde ich die Argumentation „da die Daten temporär auf dem Computer gespeichert werden“. Also beim Copy&Paste-Vorgang ist natürlich etwas „temporär gespeichert“. Wenn ich einen Passwort-Manager benutze, muss ich das Passwort sogar „temporär anzeigen“…

  17. Ich finde die Idee von Passwortmanagern gut, es hat aber auch konkrete, negative Auswirkungen auf das Webseitendesign. Es ist harte Arbeit, eine Seite so zu gestalten, dass man sowohl ein Registrierungsformular als auch eine Loginmöglichkeit auf der gleichen Seite haben kann, ohne dass der Browser oder Passwortmanager durcheinander kommt und die falschen Felder befüllt. Da wird dann das „Registrieren“ – Feld mit den Logindaten vorausgefüllt, und die Nutzer klicken dann auf „Registrieren“, und wundern sich, dass sie sich nicht einloggen können.
    Das ist natürlich alles lösbar, es ist aber trotzdem ärgerlich, dass einem als Webseitenbetreiber nicht die Wahl gelassen wird. Ich würde in dem Fall nämlich die Vorausfüllung des Registrieren-Feldes verbieten und die des Login-Feldes erlauben.

    1. harte arbeit? einfach register_name register_pass bzw. login_name login_pass als feldnamen? Nur mal als unschönes beispiel, würde das beschrieben Problem schon verhindern

  18. Natürlich sollten Passwörter auch offline deponiert sein. Die Angehörigen werden es danken falls mir mal was passieren sollte.

    1. Kommt drauf an, was Du so auf der Festplatte „hinterlässt“. Ein Schwarzgeldkonto könnte sie zu Tränen rühren, aber diverse Bildchen zur Überwindung emotionaler Durststrecken vielleicht in einer anderer Weise. Manche Tagebücher oder Terminkalender mit Adressbüachli möchte man sich lieber nicht in den Händen des Ehegatten vorstellen.
      Das digitale Vermächtnis will umsichtig gestaltet werden, das ist nichts für spontane Abgänge. Wenn man wert legt, auf ein gepflegtes und mit ausreichender Feuchte versehenes Grab, dann sollten da ein paar nette Texte über die Kernfamilie zu finden sein, natürlich mit neuerem Datum versehen. Hier kann etwas heucheln nicht mehr schaden, oder?

  19. Die österreichische easybank hat ein Problem damit, wenn die Login-Daten in der Keychain von Safari gespeichert und beim Seitenaufruf automatisch eingetragen werden. Von 1Password aus würde es klappen, mir wäre aber Safari lieber.

    Mail an easybank blieb bisher unbeantwortet.

  20. patreon blockiert auch passwort manager. begründung:

    > For security reasons our new login modal does not allow for auto-login or saved passwords. Apologies for any inconvenience!

    Facebook nutzer werden aber automatisch eingeloggt wenn sie es aktiviert haben… Logik?

    Ich hab mal den wired link in eine antwort angehängt :)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.