Strategien zum Teilen von Passwörtern für mehrere Benutzer, z. B. Ehemann und Ehefrau?

Question 1

Ich weiß nicht, ob Sie darauf verzichten können, Software zu installieren, wenn Sie auf Nummer sicher gehen wollen.

Ich persönlich verwende Dropbox + Keepass. Keepass verschlüsselt meine Benutzernamen-/Passwortkombinationen und Dropbox synchronisiert diese Änderungen auf allen meinen Computern. Ich kann sogar unterwegs auf meinem (Android-)Telefon darauf zugreifen. Ich denke wirklich, dass das der beste Kompromiss von allen ist – denn selbst wenn jemand eine Kopie dieser Datei erhalten würde, vertraue ich Keepass genug, sodass der Bösewicht nicht (zumindest nicht leicht) darauf zugreifen könnte.

Wenn Sie WIRKLICH paranoid sind, können Sie encFS verwenden, um Ihrem Cloud-Laufwerk eine Verschlüsselungsebene hinzuzufügen (Windows -http://members.ferrara.linux.it/freddy77/encfs.html). Dies könnte jedoch kompliziert werden, wenn Sie unterwegs auf Ihre Anmeldeinformationen zugreifen möchten.

Ich bin gegen „Passworthinweise“, einfach weil ich meine Passwörter nach dem Zufallsprinzip generiere (normalerweise [eine bestimmte Anzahl] Zeichen, die eine Kombination enthalten, die ich mir leicht merken kann). Für manche Dinge verwende ich seit Jahren dasselbe Passwort. Aber diese Dienste bieten normalerweise OTP-Passwortunterstützung (wie Gmail). Das ist manchmal nervig, aber Sie wären ein Narr, wenn Sie die damit verbundene Sicherheit nicht nutzen würden.

Wenn Sie wirklich gegen die Verwendung von Software sind, würde ich Ihnen empfehlen, die Site selbst zu hosten und dabei eine SSL-basierte Basisauthentifizierung zu verwenden. Vorausgesetzt, die Datei ist im Klartext – ich würde NIEMANDEM meine Anmeldeinformationen auf einem öffentlich zugänglichen System anvertrauen. (Ich würde mir selbst nicht einmal die besagte Klartextdatei anvertrauen.) Obwohl Ihre Basisauthentifizierung mit Brute Force geknackt werden könnte, bin ich sicher, dass Sie einige interessante Gegen-Hacking-Techniken anwenden könnten. Und SSL würde verhindern, dass irgendjemand in der Mitte Ihre Daten lesen kann. Ein selbst signiertes Zertifikatkönnteaus, aber Sie sollten besser sicherstellen, dass Sie der Internetverbindung vertrauen, mit der Sie verbunden sind.

Jetzt, wo ich darüber nachdenke – Sie könnten etwas noch Interessanteres tun (und ich wäre daran interessiert, einen Prototyp zusammenzustellen). Dieses System im Backend würde eine Textdatei verschlüsselt speichern. Wenn Sie es über Ihren Webbrowser aufrufen, werden Sie in einem Nachrichtenfeld nach dem „Passwort“ (oder einfacher gesagt dem Schlüssel) gefragt. Nach Eingabe dieses Schlüssels wird die Datei per AJAX angefordert und versucht, sie mit diesem Schlüssel zu entschlüsseln. Auf diese Weise – während sie „im Klartext“ gesendet wird – würde ein Typ in der Mitte nur die verschlüsselte Datei erhalten und sie würde sofort entschlüsselt. Dies sollte in jedem Browser (auch auf Mobilgeräten) funktionieren.

Answer

Ich weiß nicht, ob Sie darauf verzichten können, Software zu installieren, wenn Sie auf Nummer sicher gehen wollen.

Ich persönlich verwende Dropbox + Keepass. Keepass verschlüsselt meine Benutzernamen-/Passwortkombinationen und Dropbox synchronisiert diese Änderungen auf allen meinen Computern. Ich kann sogar unterwegs auf meinem (Android-)Telefon darauf zugreifen. Ich denke wirklich, dass das der beste Kompromiss von allen ist – denn selbst wenn jemand eine Kopie dieser Datei erhalten würde, vertraue ich Keepass genug, sodass der Bösewicht nicht (zumindest nicht leicht) darauf zugreifen könnte.

Wenn Sie WIRKLICH paranoid sind, können Sie encFS verwenden, um Ihrem Cloud-Laufwerk eine Verschlüsselungsebene hinzuzufügen (Windows -http://members.ferrara.linux.it/freddy77/encfs.html). Dies könnte jedoch kompliziert werden, wenn Sie unterwegs auf Ihre Anmeldeinformationen zugreifen möchten.

Ich bin gegen „Passworthinweise“, einfach weil ich meine Passwörter nach dem Zufallsprinzip generiere (normalerweise [eine bestimmte Anzahl] Zeichen, die eine Kombination enthalten, die ich mir leicht merken kann). Für manche Dinge verwende ich seit Jahren dasselbe Passwort. Aber diese Dienste bieten normalerweise OTP-Passwortunterstützung (wie Gmail). Das ist manchmal nervig, aber Sie wären ein Narr, wenn Sie die damit verbundene Sicherheit nicht nutzen würden.

Wenn Sie wirklich gegen die Verwendung von Software sind, würde ich Ihnen empfehlen, die Site selbst zu hosten und dabei eine SSL-basierte Basisauthentifizierung zu verwenden. Vorausgesetzt, die Datei ist im Klartext – ich würde NIEMANDEM meine Anmeldeinformationen auf einem öffentlich zugänglichen System anvertrauen. (Ich würde mir selbst nicht einmal die besagte Klartextdatei anvertrauen.) Obwohl Ihre Basisauthentifizierung mit Brute Force geknackt werden könnte, bin ich sicher, dass Sie einige interessante Gegen-Hacking-Techniken anwenden könnten. Und SSL würde verhindern, dass irgendjemand in der Mitte Ihre Daten lesen kann. Ein selbst signiertes Zertifikatkönnteaus, aber Sie sollten besser sicherstellen, dass Sie der Internetverbindung vertrauen, mit der Sie verbunden sind.

Jetzt, wo ich darüber nachdenke – Sie könnten etwas noch Interessanteres tun (und ich wäre daran interessiert, einen Prototyp zusammenzustellen). Dieses System im Backend würde eine Textdatei verschlüsselt speichern. Wenn Sie es über Ihren Webbrowser aufrufen, werden Sie in einem Nachrichtenfeld nach dem „Passwort“ (oder einfacher gesagt dem Schlüssel) gefragt. Nach Eingabe dieses Schlüssels wird die Datei per AJAX angefordert und versucht, sie mit diesem Schlüssel zu entschlüsseln. Auf diese Weise – während sie „im Klartext“ gesendet wird – würde ein Typ in der Mitte nur die verschlüsselte Datei erhalten und sie würde sofort entschlüsselt. Dies sollte in jedem Browser (auch auf Mobilgeräten) funktionieren.

Question 2

Wählen Sie einen Kontonamen, den Sie immer verwenden werden. Sie sind sich beide darüber einig.

Das Passwort ist wie folgt aufgebaut:

Wählen Sie für die ersten 8 Zeichen ein „Root“-Passwort. Drei Zeichen sind Kleinbuchstaben. Zwei Zeichen sind Großbuchstaben. Die restlichen Zeichen sind Zahlen und Symbole auf der Tastatur.

Diese 8 Zeichen werden immer im Passwort verwendet. Als nächstes entscheiden Sie, wo Sie drei weitere Zeichen einfügen. Entweder am Anfang oder am Ende der acht, die Sie sich ursprünglich ausgedacht haben. Sobald Sie wissen, ob sie ein Präfix oder ein Postfix sein sollen, müssen Sie entscheiden, was sie sind.

Dies hängt von der Website oder dem Dienst ab, mit dem Sie sich verbinden. Wenn Sie sich mit der Website von AT&T verbinden, fügen Sie Ihrem ursprünglichen 8-stelligen Passwort att oder ATT hinzu.

Auf diese Weise kennen Sie beide das Root-Passwort. Sie wissen, welche drei Zeichen hinzugefügt werden, die für das, was Sie mit einem Passwort schützen, spezifisch sind. Sie wissen, wo sie hinkommen. Und jedes Passwort, das Sie verwenden, ist anders, aber leicht zu merken.

Außerdem müssen Sie nie mehr sagen als: „Hey, ich habe heute ein LinkedIn-Konto erstellt.“ Sie müssen nie wieder ein Passwort aufschreiben, das Passwort weitergeben (weil Sie ein System haben, das das Passwort definiert) und Sie können eine Liste der Kontostandorte im Klartext aufbewahren.

Ich mache das seit 15 Jahren und hatte deswegen NIE einen Sicherheitsfehler. Wenn Sie besorgt sind, können Sie meine Anmeldeinformationen in meinem Profil überprüfen.

Sie können das System nach Bedarf ändern. Verwenden Sie immer eine 3 statt eines E (einfache Ersetzung). Schreiben Sie den ortsbezogenen Teil (das dreistellige Präfix/Postfix) immer rückwärts oder mit unterschiedlicher Groß- und Kleinschreibung.

Ich habe über 200 Konten, KEINE PASSWÖRTER AUFGESCHRIEBEN ODER IRGENDWO GESPEICHERT, und ich habe nie eines vergessen. Bildbeschreibung hier eingeben

Answer