Hallo,
in folgendem Artikel (https://tails.net/security/argon2id/) wird empfohlen, wie lange Passwoerter fuer Encrypted Volumes sein sollten. Ich nehme an, dazu gehoeren auch LUKS-verschluesselte Partitionen und externe USB-Sticks.
Geht folgendes Beispiel auch noch unter „random“ durch?
Lionel Messi ist der beste Fussballspieler
Wieviele Zeichen sollte jedes Wort im Minimum denn haben?
Besten Dankim Voraus!
geht überhaupt nicht, hat viel zu wenig Entropie. Schön erklärt in https://media.ccc.de/v/2019-220-ber-bruteforce-protection-und-warum-das-gar-nicht-so-leicht-ist
erbrecht memorial schlaf sowjets wehmut ersatz
Das wäre eine random Passphrase, entweder nach alter Väter Sitte mit der Diceware-Wortliste auswürfeln oder von KeepassXC aus der Wortliste generieren lassen.
@porcupine0815
Dein Beispiel enthält Wörter, die sicherlich in Wörterbuchverzeichnissen zu finden sind. Sollte nicht genau das bei Passphrasen ausdrücklich vermieden werden?
Wenn das tatsächlich ein Problem ist, muss ich das Konzept Diceware/Passphrase falsch verstanden habe. Ich dachte immer, dass die Länge (die sechs Wörter im Beispiel von @porcupine0815 sind IMO ausreichend) und die Zufälligkeit der Auswahl (genau darum wäre „Messi Fußball“ eine schlechte Wahl) das mögliche Risiko der Wörterbuch-Attacke mehr als wett macht.
Nur mit solchen ‚echten‘ Wörtern sind Passphrasen auch gut zu merken. Dann gibt’s ja noch die Akronym-Methode mit den Anfangsbuchstaben der Wörter eines Satzes, doch da landet man von der Länge her eher bei einem Passwort statt bei einer Phrase.
Ich als Zehn-Finger-Tipper fand das mit den Akronymen immer unglaublich umständlich. Weil ich meine Finger oft nicht schnell genug von der Shift-Taste lösen kann (gut, dass viele Textverarbeitungen auf diesen Lapsus trainiert sind 
), träume ich von sicheren Passwörtern ohne Großbuchstaben, doch muss die Passphrase dann schon richtig lang sein, und viele Dienste verlangen einfach Capitalization im Zeichenmix.
Nein, du verwechselst Password mit Passphrase. Du sollst dir ja die Passphrase merken können.
Infos hier → https://www.kuketz-blog.de/sicheres-passwort-waehlen-der-zufall-entscheidet/
Ab 5.
Ich könnte mir auch eine Passphrase mit (bewusst) falsch geschriebenen Wörtern merken, welche so in Wörterbuchverzeichnissen garantiert nicht zu finden sind.
Die von Dir erwähnten Wörterbuchlisten enthalten einfache Passwörter die häufig verwendet werden.
Beispiel:
https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10-million-password-list-top-100.txt
Bei einer zufälligen Passphrase ist es völlig unerheblich ob die einzelnen Wörter auf irgendwelchen Listen stehen oder nicht.
Für Dienste sind Passphrasen i. d. R. ungeeignet, allein schon aus dem Grund, daß die maximal erlaubte Passwortlänge für eine, auch nur halbwegs sichere, Passphrase nicht ausreicht. Da nutze ich von KeepassXC generierte Passwörter mit maximal erlaubter Länge und Zeichensatz.
Passphrasen nutze ich für Masterpasswörter z.B. LUKS2 und KeepassXC.
Leute, die beste Erklärung die ich kenne ist immer noch in https://media.ccc.de/v/2019-220-ber-bruteforce-protection-und-warum-das-gar-nicht-so-leicht-ist . Und kurz zusammengefasst: alles was wir uns gut merken können - also auch Passphrasen mit irgendwelchen Ersetzungen - kann ein Automat auch schnell finden.
Ist denn ein generiertes Passwort aus Buchstaben, Zahlen und Sonderzeichen aus dem Passwort Manager nicht besser als jede Passphrase?
OK das Masterpasswort muss man sich gut merken können.
Hier könnte man ja einfach Messi_Fussballer_des_Jahres23! nehmen.
Nur ein Beispiel.
Oder ist die Passphrase für Leute gedacht die kein PW Manager nutzen wollen?
Stelle es mir dann aber auch schwer vor dann jeden Account mit einem eigenen Passwort zu merken.
bei hinreichender Länge/Komplexität: eindeutiges Ja.
Du meinst das für den Passwortmanager? Wenn Dein System verschlüsselt ist, ist das in meinen Augen entbehrlich. Bei Windows außerdem auch, sofern Dein lokales Passwort gut genug ist und der Passwortmanager das Data Protection API verwendet (das ist dafür gedacht, Credentials mit Deinem Passwort gesichert zu verwahren, wird auch von manchen Browsern dafür verwendet).
Man muss sich das Passwort für seinen lokalen Rechner und ggfs. für den Passwortmanager merken, alle anderen sollten generiert sein und im Passwortmanager gespeichert werden. Die maximale Länge und Sonderzeichen werden oftmals von Webseiten eingeschränkt, ansonsten gilt länger und unterschiedlicher ist besser. Heute benutzt eigentlich jeder mehr Dienste als er sich komplexe Passwörter merken kann.
Das einzige Passwort das man sich wirklich merken muss ist das des lokalen Rechners. Hat man einen privaten und einen Firmenrechner, dann halt zwei, usw… Und klar: wenn man das dem Rechner anvertraut muss der auch anständig gesichert sein - Datensicherung und Verschlüsselung.
Mache ich als XC-Nutzer ganz genau so. Nur bei der „maximal erlaubten“ Länge bin ich etwas laxer: Irgendwas zwischen 20 und 30 Zeichen zufällig generiert muss reichen. Habe schon öfters erlebt, dass ein manuelles Eintippen unausweichlich war, und dann hat man mit einem 64-Zeichen-Key so seine liebe Not…
Das ist interessant - also brauchst Du bei einem mit Bitlocker geschützten Windows nur ein hinreichend sicheres Lockscreen-Passwort, und der Zugang für z.B. Keepass XC könnte dann aus einer bloß vierstelligen PIN bestehen oder etwas ähnlich Unsicherem? Klingt irgendwie unheimlich, wäre auf einer meiner Maschinen aber ein großer Gewinn an Usability…
Und wie kriege ich raus, ob ein PW-Manager seine sensiblen Daten über die erwähnte API ablegt und nicht an einer leichter abgreifbaren Stelle?
Bitlocker gibt es in verschiedenen Konfigurationen: mit TPM, PIN, Stick, Network Unlock, oder Kombinationen draus, und die erreichen unterschiedliche Restrisiken (wie alles andere auch). Ich verwende TPM+PIN und Network Unlock (hauptsächlich für Server relevant).
Bei Keepass hier https://keepass.info/help/base/keys.html#winuser. Allgemein Doku oder Source Code. Bei Keepass XC hab ich auf die Schnelle nichts gefunden.
Wenn es keine anderen Benutzer gibt, reicht m.E. und je nach Risikoakzeptanz auch Bitlocker alleine. Gibt es solche bleibt auch noch EFS als Alternative, allerdings brauchst Du gute Backups (siehe auch die Warnung bei Keypass).
Da die Anzahl verfügbarer Zeichen, im Vergleich zur Passwortlänge, weniger Einfluß auf die Passwortstärke hat, könntest Du auch den Zeichensatz reduzieren um die „Abtippbarkeit“ zu verbessern. Ab 30 Zeichen reichen auch Kleinbuchstaben allein für ein sehr sicheres Passwort aus.
Backup und TPM sind gute Stichworte: Schon weil ich meine kdbx-Datei sowohl für Backup- als auch für Sync-Zwecke auch außerhalb des mit Bitlocker verschlüsselten Rechners speichere (wo der systemeigene Schutz unterschiedlich stark ist), brauche ich ein starkes Masterpasswort und in meinem Fall zusätzlich ein Keyfile.
Interessant finde ich, dass Bitwarden den Weg Richtung Biometrie geht, indem es eine Schnitstelle zu Windows Hello bereithält (also letztlich auf TPM als Sicherheitsanker zurückgreift). Man kann da geteilter Meinung sein, aber mehr Biometrie auf Desktopsystemen wäre IMHO ein Gamechanger in Richtung Usability und auch mehr Akzeptanz für Passwortmanager im Alltag.
warum tust Du Dir das an? Bei mir sind von der Netzwerkinfrastruktur abgsehen alle (physischen) Computer einheitlich verschlüsselt und gesichert (einschließlich Backup), und die Passwörter sind dank Samba-Domäne auch einheitlich.
Die Angriffe auf Biometrie und das fehlende Zeugnisverweigerungsrecht Deines Fingers schrecken Dich nicht ab?
Hat mit einem hybriden Sync-Setup zu tun: Einige Clients greifen auf einen Cryptomator-Vault in OneDrive for Business zu (wo ich dann umständlicherweise - passend zum Thema dieses Threads - zwei lange Passwörter eintippen muss). Andere Clients greifen direkt auf eine bei deutschem Anbieter angemietete Nextcloud zu. Alles dieselbe kdbx-Datei, die mit einem starken Passwort und einem lokalen Keyfile abgesichert ist. Historisch gewachsen und zugegebenermaßen nicht konform mit dem ‚keep it simple and stupid‘-Prinzip, was ja inhärent auch etwas zu mehr Sicherheit beiträgt. Dafür redundant ausgelegt und in sich eine Art Backup-Produktivsystem. Das eigentliche Backup läuft wöchentlich verschlüsselt und versioniert mit Duplicati auf externem Datenträger.
Das öffnet hier noch mal ein ganz neues Fass 
Aber wenn’s wirklich um ein effektives Zeugnisverweigerungsrecht geht, fällt neben dem Fingerprinter vor allem auch das technisch recht ausgefeilte Face ID flach. Stattdessen wohl langes alphanumerisches Passwort auf Mobilgeräten und Lockscreen nach 30 Sekunden Nichtnutzung, was eine produktive Anwendung im Alltag unmöglich macht.
Aber ich schweife ab (zur Biometrie auf Mobilgeräten): Was Du oben beschrieben hast, genau das finde ich eine gute Lösung auf dem Desktop, und Bitwarden könnte mir das bieten - statt Masterpasswort eingeben Windows Hello benutzen, gerne auch ohne Biometrie, sondern mit TPM+PIN.
Vielen Dank euch allen fuer die interessaten Beitraege!
Gibt es ein empfehlenswerter „Random Passphrase Generator“ unter Linux (Passwort Tresor brauche ich nicht)?
Vielen Dank!
Mir ist bspw. „KeePassXC“ bekannt, der das kann:
https://keepassxc.org/docs/KeePassXC_UserGuide#_generating_passphrases