Die Mehrzahl der Nutzer benutzt halt das selbe Passwort für jeden Dienst. Das ist fatal, da meistens der Benutzername (E-Mail) der selbe ist.
Ich nutze für jeden Dienst ein anderes Passwort, nur für Foren und andere unwichtige Sachen benutze ich das selbe Passwort.

+1

Es gibt auch so sinnvolle Apps wie 1Password, die einem das sichere Leben erleichtern. Die Kosten der App sind nicht niedrig, aber der Verlust von sensiblen, persönlichen Daten ist damit nicht zu vergleichen.

Und für sichere Passwörter gibt es ja Hunderte sinnvolle Anleitungen wie dies hier:

Ich bekomme seit Tagen gefälschte Mails von Apple mit dem Hinweis, das Passwort zurückzusetzen per link vielleicht haben da einfach einige draufgeklickt???

Ich habe durch 1Password nur noch Passwörter die ich mir nichtmal selbst mehr merken kann. Außer meiner Apple ID, hier weiß ich es auswendig. Sobald ich Touch ID habe wird sich auch das ändern.

Rainer Puschner

Bekomme ich auch. Und ja, ich denke, es gibt Nutzer, die darauf klicken.

Das zeigt mal wieder sehr deutlich, das diese Passwortsystem total krank ist.
Und es ist eher ein psychiologisches als ein technisches Problem:
Jeder Provider scheint zu glauben, dass er der einzige Dienst für einen Nutzer is und verdonnert ihn zu einem weiteren Benutzer/Kennwort Tupel.
Weil das natürlich nicht so ist schleppen Benutzer mittlerweile hunderte von Benutzernamen und Kennworten mit sich herum, neue und alte gültige und ungültige.
Und weil der Scheiß noch nicht reicht quengeln einige mit "Besonders sicheren Passworten" dei Satzzeichen, Groß- UND Kleinbuchstaben enthalten und mindestens, ja mindestens so lang wie Krieg und Frieden sind. Mit irrwitzigen Ablaufzeiträumen und zusätzlichen Hardware-Tokens.
Dann speichern sie diese umverschlüsselt weder gehashed noch gesalzt, am betsten noch mit Konto und Kreditkarteninformationen zusammen auf einem Rechner bei einem externen Dienstleister.
Nicht zu vergessen dass als BEnutzernamen die ach so eindeutinge Email-Adressen gerne verlangt werden, die man dann im "Verlustfall" zugespamt bekommt. Fatale wenn es wirklich die einzige ist.

Und dann sind es immer wieder die bösen Benutzer, die sich nicht genügend sichere Kennwörter ausdenken?!

Leibe Dieste-Fuzzies: Wenn diese Passwortkacke wirklich eueres Weisheit letzer Schluß ist. DAnn solltet ihr eich schon mal auf das Kollabieren des Systems vorbeiten.
Sicherheit entsteht nicht duch immer wieder neue noch nervigere, jedesmal anders und krude Passwortanforderungen. Sicherheit sind genau die menge der Geheimen Bits die zwischen euch und euren Kunden und nsaiemand anderem! bekannt sind!
Und Single-Sign-On ist dabei schon gar keine Lösung, da hat nämlich ein Dritter auch noch die Daten oder der Benutzer muss gleich meheren Instanzen vertrauen.

Also liebe Poliiker und Mathematiker es wird Zeit ein! einheitliches und sichere Verfahen bereitzustellen.
In den meisten Fällen sollte es einem Dienstleister reichen wenn er zur Identität eines Nutzers ein Ja doer nein von einer öffentlichen, vertrauenswürdigen Stelle erhält.
Wieeviel "Geheimnis/Sicherheit" er dann - hoffentlich automatisch - mit dem Benutzer teilt sei dahingestellt.
Wichtig ist eine Vereinheitlichung und auf das nötigste beschränkte ID-, bzw Zugangskontrolle.

Leider sehe da ich bei der "Neuland"-Fraktion das schwarz, obwohl die es am nötigsten brauchen würde.

Ich finde die Ausgabe für 1Password zwar auch schon recht ordentlich, aber auch nicht unbedingt zu hoch.

Aber ich kenne allein 5 Bekannte, denen ich u.a. das Programm "empfohlen" habe (da sie z.B. ihre eigenen Passwörter meist vergessen hatten), denen aber eine Ausgabe von ca. 50,- $ viel zu viel war und sie so lieber weiter möglichst viele Logins mit dem gleichen (möglichst einfachen) Passwort nutzen.

Da kann man auch nicht mehr weiterhelfen, wenn der "Geiz und Bequemlichkeit" vor Sicherheit siegt ...

Das zum einen, zum anderen auch tragisch/fatal, wenn dann an diese Mailadresse Links zum Zurücksetzen irgendwelcher Paßwörter gesendet werden. Und so richtig nach hinten losgehen kann sowas dann, wenn man zur Vermeidung zusätzlicher User-/Paßwort-Kombinationen anfängt, Dienste zu verknüpfen, siehe die Leidensgeschichte von Mat Honan:

Als an unserer Uni ein neues Identitätsmanagement eingeführt wurde, musste man nach der ersten geplanten Passwortänderung das Passwort nochmal ändern, da sich das Gleichstellungsbüro wegen der Sicherheitsfragen beschwert hatte.

Es war nur nach dem "besten Freund" der Kindheit gefragt.

Ich hab noch nie meine PW gewechselt nur weil irgendwelche Experten das raten.

Sehr schön. Evtl. haben die aber auch nur zu viel Kafka gelesen?

Konnte man konsequenterweise denn auch anschließend zwischen einem Paßwort und einer Paßwörtin wählen?

Aber im Ernst: Stichwort Identity Management, Single Sign-On und Psychologie bzw. "Faktor Mensch". Wir haben neulich bei der Inbetriebnahme eines Servers für eine Werbekampagne unfreiwillig eine Kleinstudie durchführen müssen. Server extern, nicht in AD des Kunden eingebunden und mit eigener User-Verwaltung. User mussten sich neu an diesem externen System registrieren und wurden drauf hingewiesen, keinesfalls ihre internen Logon Credentials zu benutzen.

Nach paar Wochen war eine statistisch relevante Anzahl User auf dem System. Über 40% hatten als Usernamen etwas, das mir spanisch vorkam (Buchstaben+Ziffern in immer identischem Schema). Hab dann mit dem Security-Verantwortlichen des eigentlichen Kunden gequatscht: der meinte, das Schema rieche nach deren Personal-ID. Da wir die Paßwörter dazu nicht hatten (salted Hash und so) also Stichprobe seitens deren IT. Bei wiederum 80% Volltreffer, die hatten quasi ihren "digitalen Generalschlüssel", mit dem sie konzernintern soweit kommen, wie es Rechte/Rollen erlauben, ohne Sinn und Verstand in ein externes System gesteckt.

Erfahrungen wie diese lassen einen Sachen wie Apples Touch-ID dann doch erstmal neugierig beschnuppern...

Bedingt alltagstauglich ist z.B. auch ein simples Textedit, Pages, Numbers, Word, Excel oder was auch immer Dokument in einem verschlüsselten Diskimage. Zusätzlich kann man das Volumen noch mit Filevault schützen.

Dann funktioniert zwar keine Synchronisation, aber für jemand, der z.B. nur am Mac arbeitet, sollte es reichen.

Ich bekam neulich auch eine Fishingmail die es auf meine AppleID abgesehen hat. Möchte nicht wissen wie viele Leute auf sowas reinfallen...

Das funktioniert aber auch nur solange, wie man nicht für alle digitalen Dienste den eigenen Fingerabdruck benötigt. Wenn es nur noch damit geht, dann wird der Diebstahl von Fingerabdrücken in Zukunft wohl immer beliebter.

Bei hochsensiblen Daten ist also eine mehrfache Sicherung immer notwendig. Eine Kombination aus Fingerabdruck/Augensensor, Passwort und/oder Geste erscheint mir sinnvoll.
Wenn das nicht reicht, kann man, wie bei Banken oder iCloud, ja noch einen Code an ein anderes Gerät senden lassen.

PS:
Mir fällt auch hier mal wieder auf, dass Benutzer eines iPhone 5s nicht logisch handeln, wenn sie Touch-ID zur Sicherheit benutzen, aber ihre SIM-PIN deaktivieren...

Solche Nachrichten bestätigen doch immer mehr meinen Plan auf die gute alte "handgeschriebene" Liste zurückzugreifen.

Natürlich mit entsprechenden Sicherheitsvorkehrungen.

Ich finde 1Password sowie die Textdatei auf dem Rechner oder gar in der Cloud genauso toll, wie für jeden Account das gleiche PW zu benutzen.

Wie auch immer, mir ging's ja erstmal nur um Alternativen/Ergänzungen zur klassischen Username/Kennwort-Kombi (weil im konkreten Beispiel von vorher ca. 1/3 der Leute trotz jährlicher Unterweisung in IT-Security, trotz unterschriebenem "Ich werde fristlos gekündigt wenn ich..." und trotz fettem Warnhinweis exakt identische und in dem Fall hochsensible Logon Credentials für zwei separate Systeme vor allem unter komplett anderer Kontrolle verwendet haben).

Und solange Apple nichts daran ändert, dass eine Apple-ID (also Username) einer Mail-Adresse entspricht und diese auch noch hinterlegt ist als die Adresse, an die Links verschickt werden, um dem Account ein neues Paßwort zu verpassen, kann man Apple + Security -- Fingerabdruck hin oder her -- eh komplett knicken.

Genau diese Scheize passiert grad (evtl. in Zusammenhang mit der Meldung hier). Kann mich nicht mehr im Developer-Account anmelden, weil es heißt, mein Paßwort müsse zurückgesetzt werden. Ich kann nur drauf klicken, um einen Reset-Link zugeschickt zu bekommen. Dann kommt eine Mail mit einem Link an genau diese Adresse und demjenigen, der diese Mail zuerst erhält (also ich oder der Angreifer, der Zugriff auf mein Mailkonto oder irgendeinen verdammten Server dazwischen hat -- Apple schlampt ja von allen Großen auf dem Gebiet verschlüsselter Mailtransport am meisten), gehört im Anschluß der Account:


Alleine das ist doch völlig gaga?