Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.
Willkommen im STRATO Blog. Hier gibt es News und Tipps rund ums Hosting.
Veröffentlicht am: 14. April 2014
Sichere Passwörter müssen nicht aufwändig sein. Wir stellen Passwort-Generatoren und –Manager vor, die Ihnen das Leben leichter machen.
Damit die digitale Identität nicht gestohlen wird, sollten für alle Dienste eigene E-Mail-Adressen und Passwörter genutzt werden. Sichere Passwörter lassen sich mit Eselsbrücken oder Generatoren erstellen. Dank sogenannter Passwort-Manager sind selbst kryptische Logins kein Problem.
Es gibt viele Online-Tools zum Erstellen komplexer Passwörter. Eines davon ist der Passwort Generator: Wir geben einfach die Länge des Passworts vor und setzen bei Sonderzeichen, Groß- und Kleinbuchstaben sowie Zahlen ein Häkchen. Das Ergebnis ist in der Regel schwerer zu erraten als ein selbst ausgedachtes Passwort.
Noch kryptischer generiert PUTTYgen: Hier wird ein Schlüssel erzeugt, indem Sie mit dem Cursor über das Fenster fahren. Ergebnis ist Datensalat per Zufallsprinzip, der sich auch als komplexes Passwort für Online-Dienste verwenden lässt.
Weil sich so erstellte Passwörter jedoch keiner merken kann, gibt es Online-Tools wie Lastpass. Das speichert die Login-Daten auf eigenen Servern. Als Nutzer müssen Sie sich nur das Masterpasswort merken.
Während der Installation legen wir zunächst ein Nutzerkonto an und wählen ein Masterpasswort. Dann rufen wir den Browser auf, klicken auf das LastPass-Symbol oben rechts und geben unser Masterpasswort ein. Wenn wir uns nun auf einer Website einloggen, werden wir gefragt: „Soll sich LastPass dieses Passwort merken?“
Ganz ohne Registrierung kommt das Freeware-Programm Keepass aus. Hier werden die Anmeldedaten nicht online, sondern lokal verschlüsselt gespeichert. Diese Datenbank legen wir gleich nach der Installation an, wählen dafür einen sicheren Speicherort und ein Masterpasswort. Nun können wir neue Einträge für einzelne Konten erstellen. Die Anmeldedaten übernehmen wir später per Drag & Drop in den Browser.
Sicher sind vor allem komplexe Passwörter ohne erkennbare Logik, die sich nicht erraten (oder merken) lassen. Das macht Passwort-Manager unentbehrlich. Lastpass ist in der Bedienung bequemer als Keepass, speichert die Daten jedoch auf US-amerikanischen Servern. Sicherer als der Browser sind beide. Hier sollten Sie Passwörter – wenn überhaupt – nur in Verbindung mit einem guten Masterpasswort speichern.
Autor: Christian Lingnau
Ich heiße Christian Lingnau und bin freier Redakteur für Hosting-Themen, insbesondere WordPress.
Autor: Christian Lingnau
Ich heiße Christian Lingnau und bin freier Redakteur für Hosting-Themen, insbesondere WordPress.
Veröffentlicht am: 14. April 2014
Lisa Kopelmann
Ist Ansprechpartnerin für den Blog und berichtet über aktuelle STRATO Themen
Oliver Meiners
Schreibt über alles, was für Dich als STRATO Kunde wichtig ist
Michael Poguntke
Schreibt über den Online-Speicher HiDrive, den Homepage-Baukasten, Webshops und Server
Thomas Ritter
Berichtet über Neuigkeiten aus dem Unternehmen
Bianca Restorff-Adrion
Schreibt über Karriere & die Menschen bei STRATO
Christian Lingnau
Bloggt über WordPress & andere CMS
Franz Neumeier
Gibt Tipps zum erfolgreichen Bloggen
Sven Hähle
Kennt sich bei Domains hervorragend aus
Patrick Schroeder
Erzählt die Stories unserer Kunden
Ann-Christin Schmitt
Schreibt über HiDrive, den Homepage-Baukasten und guten Websitecontent
Christian Rentrop
bloggt über Software-Themen
Thomas King sagte am 14. April 2014 um 21:14:
Ich nutze http://www.mobileknox.com für Android und den Desktop. Damit kann man Passwörter einfach verwalten und generieren (schütteln) :-).
Roland S. sagte am 15. April 2014 um 15:53:
Für Mac-Nutzer ist m.E. „1Password“ DIE Lösung. Leicht zu bedienen, für iOS-Devices gibt es eine eigene App und der Datenbestand kann über die Dropbox oder auch per WLAN synchronisiert werden.
Veit sagte am 17. April 2014 um 11:40:
@Roland S.: dem stimme ich völlig zu; ich verwende 1Password seit Wechsel von Windows zu Mac vor 10 Jahren (Übertrag von Roboform zu 1PW).
1PW kann auf dem Mac, auf iOS Geräten (iPhone, iPad etc) und auf Windows Geräten verwendet werden, und über entweder iCloud oder Dropbox zwischen ALLEN diesen Geräten synchronisiert werden.
Martin sagte am 17. April 2014 um 13:53:
Richtig seh‘ ich auch so.
Gibt es auch für Windows und als Reader für Android.
Auf Android installiere ich es aber nicht.
Christian sagte am 15. April 2014 um 19:03:
@Thomas & Roland: Danke für die Tipps!
Andrea Kleinert sagte am 17. April 2014 um 11:18:
Erst einmal Danke für Euren Hinweis in der Mail und die detaillierte Beschreibung zur Änderung des Passwortes. Werde es umgehend umsetzen. Benutze derzeit eine Mischung von Buchstaben (groß + klein) und Zahlen, für außenstehende ohne jeglichen Sinn. I
Peter B. sagte am 17. April 2014 um 11:22:
Keepass hat einen internen Passwort-Generator
Bücker, Ricarda sagte am 17. April 2014 um 12:15:
Guten Tag,
wir haben heute die Aufforderung bekommen, aufgrund einer Sicherheitslücke im Internet unsere Passwörter zu ändern.
Ist da korrekt?
Sorry, aber bei den vielen gefakten mails, die unterwegs sind, frage ich lieber nach. Die Seite hat sich auch anders aufgebaut als diese hier.
Vielen Dank im Voraus!
F.I.T.
Ricarda Bücker
Christian sagte am 17. April 2014 um 12:29:
Liebe Frau Bücker, ja wir haben heute Kunden per E-Mail gebeten, ihre Passwörter zu ändern.
gernotkock sagte am 17. April 2014 um 13:18:
Habe alle meine Passworte im Kopf und auf keinem Rechner gespeichert. Sollte ich trotzdem eine Änderung vornehmen??
Vielen Dank für eine kurze Antwort
Gruß
G.Kock
Christian sagte am 17. April 2014 um 13:36:
Ja, weil durch die (inzwischen geschlossene) Sicherheitslücke Dritte an Ihre E-Mail-Passwörter gelangt sein können.
Pierre sagte am 18. April 2014 um 12:08:
Ist leider auch schon bei unsere Strato Adresse passiert – Heartbleed sei dank. Dann hilft auch ein gutes Passwort nichts.
Sabine sagte am 17. April 2014 um 12:20:
Vielen Dank für die interessanten Hinweise. Ich frage mich aber, ob ein Hacker, der ein einzelnes Passwort knackt dann nicht auch meinen „Account“ bei den Passwort-Generatoren knacken kann. Und da die Ablage der Daten auf einem Server irgendwo erfolgt, wird noicht gerade dieser zu einem bevorzugten Zielobjekt? Mich würde sehr Ihre EInschätzung dazu interessieren.
Liebe Grüße
Sabine
Christian sagte am 17. April 2014 um 13:22:
Hallo Sabine, einen Account müssen Sie nur bei Lastpass erstellen, daher der Hinweis am Ende des Beitrags. Die anderen Tools kommen ohne eigenen Account aus.
Andreas sagte am 17. April 2014 um 12:48:
Es geht auch ganz einfach – ganz ohne Apps und Tools, nur mit „Hirn 2.0“.
Man denkt sich jeweils einen einfach zu merkenden Satz, am Besten für den Dienst passend. Zum Beispiel (rein fiktiv, mein Strato-Passwort sieht anders aus) 😉
„Ich nutze 1 Strato Server seit 2003, um meine 4 Domains darauf zu hosten.“
Aus den Anfangsbuchstaben, Zahlen und Satzzeichen lässt sich nun ein Passwort generieren, dass man sich leicht merken kann, aber dennoch schwer zu entschlüsseln ist:
In1SSs2003,um4Ddzh
Martin sagte am 17. April 2014 um 14:33:
Andreas, mit 5 oder auch 10 verschiedenen log in Seiten geht das.
was machst du, wenn es deutlich über 200! pw sind, die du verwalten musst? 😉
in gut der Hälfte der fälle wird vom Anbieter vorgegeben, wie die pw aufzubauen sind. z.b. mind. 8, max. 10 Zeichen, groß u. Kleinschreibung, zahlen und Sonderzeichen?
zudem wird ein kryptischer Benutzername vom Anbieter vorgegeben.
auf das Hirn 5.0 bin ich gespannt. 🙂
Andreas sagte am 17. April 2014 um 20:07:
Also – ich „verwalte“ gut über 400 Passwörter mit der Methode. Ich nutze auf einem offline betriebenen Gerät einen „Passwortcontainer“ zur Speicherung der Passwörter, daher habe ich einen ganz guten Überblick über die Anzahl Dennoch würde ich niemals einem Programm alle Zugangsdaten anvertrauen und diese dann per Tool auch noch in diverse Seiten eintragen lassen. Wie oben von einem anderen User erwähnt, könnte ein erfolgreicher Angriff auf so ein Programm – oder schlimmer noch auf so einen Service online – fatale Folgen haben, wenn dann auf einen Schlag sämtliche Zugangsdaten entwendet werden könnten.
Die Menge der Passwörter zu merken ist eigentlich kein Problem. So lange man sich einen Bezug zum Inhalt schafft, ist das wirklich einfach. Sogar ohne Upgrade auf „Hirn 5.0“. 😀
Groß- und Kleinschreibung, Sonderzeichen und Zahlen sind ebenfalls absolut kein Problem, wie mein simples Beispiel im ersten Beitrag aufzeigt.
Ein Minimum von 8 Zeichen sollten problemlos zu schaffen sein – bei einem Maximum von X-Zeichen muss man eben einen entsprechenden Satz konstruieren, oder aber das Passwort auf die entsprechende Länge „kürzen“. Auch das sollte sich merken lassen.
Man sollte sich wundern, wie selbstverständlich man diese unlesbaren Passwörter nach einer Weile verinnerlicht hat ohne sie wirklich groß auswendig zu lernen.
Und wer damit immer noch Probleme hat, kann sich das sogar noch vereinfachen.
Man nimmt eine Standard-Passage, die man sich leicht merken kann:
„Ich mochte das Buch 08/15, obwohl ich es in der Schule lesen musste“
-> ImdB08/15,oieidSm
Damit haben wir bereits ein starkes Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Das nimmt man überall (kann natürlich gerne kürzer sein).
Nun hängt man – je nach Programm oder Webseite, -Dienst den ersten und letzten Buchstaben daran, den letzten dabei als Großbuchstaben.
Aus „Strato“ wird dann beispielswiese „sO“, das gesamte Passwort heißt dann:
-> ImdB08/15,oieidSmsO
Das ist jetzt ein komplexes Beispiel, man kann sich hier natürlich ein kürzeres „Basis-Passwort“ ausdenken und dafür immer die ersten zwei und die letzten Beiden des Programmes anhängen etc.
„Merken“ muss man sich nur den Passwort-Stamm, die fehlenden 2-4 Buchstaben des jeweiligen Dienstes kann man wirklich ohne Probleme dann anhängen.
Dennoch bleiben die Passwörter stark genug, auch wenn sie sich von einander nur wenig unterscheiden, wenn man sie in Liste sieht.
Dass mit den kryptischen Benutzernamen ist mir bisher nicht untergekommen. Doch selbst wenn das vorkommen sollte, können gängige Browser heutzutage den Nutzernamen alleine speichern lassen – ohne das Passwort mit zu hinterlegen. Und für Programme, die einen Passwortschutz benötigen, würde ich auf gar keinen Fall ein externes Tool oder Programm nutzen, dass den Login für mich übernimmt.
Christian sagte am 22. April 2014 um 10:05:
Hallo Andreas, danke für deinen ausführlichen Kommentar! Deine Strategie ist interessant, ähnlich habe ich es auch lange gemacht. Allerdings bleibt ein Risiko, da die Konstruktion des Passworts einer Logik folgt. Und die können Dritte – wenn auch nur mit Aufwand – irgendwann durchschauen.
Jörg sagte am 17. April 2014 um 13:35:
sichere Passwörter sind doch in 2014 ein wenig wie „warmer Schnee“. Ich denke es geht nur um die eigene Sicherheit, also das gefühl alles richtig gemacht zu haben. Den Rest hat man nicht in der Hand. Leider
Dieter Gräfingholt sagte am 17. April 2014 um 13:43:
Jetzt bin ich doch sehr verwundert.
Wir kommunizieren mit dem Communicator über eine verschlüsselte Leitung und unsere Daten sollten doch verschlüsselt auf den Servern liegen.
Sonst könnte ja auch Strato unsere mails und die Passwörter ungehindert lesen.
Ich bitte um eine Erklärung seitens Strato.
Christian sagte am 22. April 2014 um 17:49:
Hallo Herr Gräfingholt, die Passwörter konnten im Moment des Logins per verschlüsselter SSL-Verbindung ausgelesen werden. Das war die Auswirkung des Heartbleed-Bugs. Betroffen waren dabei die Inhalte des Arbeitsspeichers zum Zeitpunkt des Angriffs.
Martin sagte am 17. April 2014 um 13:49:
In einer email von Strato steht das das Passwort min. 12 Zeichen haben soll:
So finden Sie ein sicheres Passwort
Mit dieser Anleitung des Bundesamts für die Sicherheit in der Informationstechnik (BSI) erstellen Sie ein sicheres Passwort: http://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/Passwoerter/passwoerter_node.html.
Leider sind beim STRATO Communicator nur max.12 Zeichen möglich.
Das sollte geändert werden
Martin sagte am 17. April 2014 um 14:25:
Servus Christian, und meine vor-poster,
mir wurde schon vor einigen Jahren meine Excel Tabelle! 😉 mit den gespeicherten PW zu unsicher… hab mich auf eine lange suche nach PW Managern gemacht, getestet, verworfen, wieder getestet.
ich bin dann bei keepass geblieben. der wichtigste Grund, ein open souce Programm! es kann also kein Hersteller mal was ändern, wo ich mitziehen muss, weil ich sonst nicht mehr an meine pw komme. muss keine (hersteller) aktualsierungen mitmachen.
der zweite wichtigste Grund, ich hab meine pw auf meinem pc, und nicht auf dem Server.
mit keepass kann ich pw wie der Passwort Generator erstellen, beliebige Länge, Verschlüsselungsgrad, Sonderzeichen usw.
ich kann mir meine pw struktur so bauen, wie ich will.
eine gute plug in funktion ist auch, dass ich die favicons der webseiten zu den links speicher kann. wie das alles geht, gibt´s genug YT videos.
in der aktuellen version gibt es eine gute auto type funktion. log in seite aufrufen, cursor in die eingabefelder setzen, und im keepass rechte maustaste > „auto type“ auswählen. 🙂
TPP: wer sein master pw verliert, hat die A…. karte gezogen. deshalb die pw liste ausdrucken, und in den (bank) safe legen.
Frage: es gibt ein tolles plug in für den FF und keepass. KeeFox.
allerdings gibt es kritische stimmen, da ja eine schnittstelle (API) besteht. wie (un) sicher ist dieses plug in?
http://keefox.org/
https://addons.mozilla.org/de/firefox/addon/keefox/
mit last pass bin ich gar nicht zurecht gekommen.
Peter sagte am 17. April 2014 um 21:52:
Warum bekomme ich von Strato eine Mail auf meinen ymail-Account, der begrenzt funktioniert, und der Strato Account wird gar nicht informiert?
Christian sagte am 22. April 2014 um 11:23:
Hallo Peter, die Nachricht ging an die E-Mail-Adresse, die Sie im Kundenlogin hinterlegt haben. Wie Sie Ihre Stammdaten ändern, erfahren Sie hier: http://www.strato-faq.de/article/458/Was%20ist%20eine%20Stammdaten%C3%A4nderung%20und%20wie%20f%C3%BChre%20ich%20sie%20durch.html
Grundsätzlich ist es aber empfehlenswert, dort eine alternative, vom Paket unabhängige E-Mail-Adresse einzutragen.
Frank sagte am 19. April 2014 um 12:13:
Ich bitte Strato, längere Passwörter festlegen zu können. So werden z. B. beim Strato-FTP-Zugang nur 8 Zeichen zugelassen. Das ist wahrlich etwas wenig.
Thomas sagte am 23. April 2014 um 21:35:
Ich habe mehrere Postfächer, die ausschließlich dem Catchall und der anschließenden Weiterleitung von Mails an ein anderes Postfach dienen. Nach meiner Erinnerung habe ich hierfür nie ein Passwort vorgegeben. Gehe ich recht in der Annahme, dass ein Zugriff auf diese Postfächer über Mailprogramme daher gar nicht möglich ist und ich auch zukünftig kein Passwort vergeben muss?
Christian sagte am 24. April 2014 um 15:08:
Hallo Thomas, für jedes Postfach muss ein Passwort angegeben werden, unabhängig davon ob es eine Catchall-Adresse ist oder nicht. Sonst ließe sich das gar nicht anlegen. Sie können das Passwort jederzeit über den Kundenlogin oder über den Communicator ändern.
Joachim Schumak sagte am 23. April 2014 um 23:06:
Ich betreue insgesamt fünf Domains (in drei Paketen) bei Strato, habe die Mail mit der Passwortänderung aber nur einmal auf eine der hinterlegten Mailadressen erhalten – warum?
Christian sagte am 24. April 2014 um 15:11:
Die Nachricht ging an die E-Mail-Adresse, die Sie im Kundenlogin hinterlegt haben. Wie Sie Ihre Stammdaten ändern, erfahren Sie hier: http://www.strato-faq.de/article/458/Was%20ist%20eine%20Stammdaten%C3%A4nderung%20und%20wie%20f%C3%BChre%20ich%20sie%20durch.html
Joachim Schumak sagte am 24. April 2014 um 22:26:
Danke – aber leider ist das nicht die Antwort auf meine Frage. Ich hätte ja die Mail – egal auf welche Adresse – dreimal bekommen müssen.
Christian sagte am 30. April 2014 um 17:07:
Wir haben die E-Mail nur an die Adresse geschickt, die Sie im Kundenlogin unter Ihren Stammdaten eingegeben haben.
Thomas Kern sagte am 2. Mai 2014 um 22:04:
Hallo Christian,
ist denn von dem Heartbleed bug nur das Passwort für die E-Mail Adressen betroffen oder wurde auch das Passwort für das Einloggen mit Kundennummer gekapert? Sollte ich auch dieses ändern? Davon stand in der Mail ja nichts…
Christian sagte am 5. Mai 2014 um 10:09:
Hallo Thomas, der Kundenlogin war nicht von Heartbleed betroffen.
Dieter Leberecht sagte am 26. Mai 2018 um 0:41:
Der Artikel ist schon etwas älter und könnte vielleicht ein Update oder eine Neuauflage mit neuen Tipps vertragen. Das Thema ist heute aktueller denn je!
Ich nutze https://www.starkes-passwort.de/passwort-generator/ zum generieren von Passwörtern. Ich finde das ist auch alles ganz gut erklärt dort und scheint noch weiterentwickelt zu werden.
Michael Poguntke sagte am 28. Mai 2018 um 12:12:
Hallo Dieter,
danke für Deine Rückmeldung zum Thema und Deinen wertvollen Input! 🙂 Zusätzliche Quellen mit weiteren Infos können natürlich nicht schaden.
Viele Grüße
Michael
Alex sagte am 1. Juni 2018 um 12:07:
Ich benutze den online Passwort Generator auf http://www.passwort-generator.online. Der ist werbefrei und man kann sehr viele Einstellungen für das Generieren der Passwörter vornehmen. Manche Programme mögen leider nicht alle Sonderzeichen 😉
Michael Poguntke sagte am 1. Juni 2018 um 12:58:
Hallo Alex,
danke für Deinen Input. Ich persönlich setze auf Keepass fürs Passwort-Management. Kann ich sehr empfehlen! 🙂
Schönes Wochenende!
Michael
mehr war nicht sagte am 2. Februar 2019 um 1:20:
Ich nutze den PasswortGenerator RPG
und habe lediglich nach den von Strato zulässigen Sonderzeichen
gesucht
Oliver Meiners sagte am 4. Februar 2019 um 13:49:
Hallo mehr war nicht,
vielen Dank für Deinen Input. Auch der RPG sieht nach einem hilfreichen Tool aus.
Viele Grüße
Oliver