Security Passwort Builder

Security Tipps zum SPB

Security Tipps zum Security Passwort Builder

  1. Sicherung des Secret Key bzw. des Generalkey, das Master-Top-Secret und des Bildungsgesetzes an einem sicheren Ort. Die Papierform bietet sich an oder eine SD-Card.
  2. LogIn-Daten des e-Mail-Kontos, das für die SKD (sicherheitskritischer Dienst) eingesetzt ist, gehören ebenfalls dazu.
  3. Von den Standardeinstellungen abweichende Angaben könnten ggf.ebenfalls für Webdienste als notwendig angesehen werden.

Im Notfall bleiben so die wichtigsten Dienste nutzbar.

Security Tipps allgemein

Security Tipps allgemeiner Art

  1. Verwendung aktuellster Software (mind. Betriebsystem und Security Suiten).
  2. Verwendung eines gesonderten Browserprofils im Privatmodus. Unter diesem laufen nur die unverzichtbaren Add-Ons. Minimalismus und Vertrauen sind entscheidend. Ein auffälliges Browser-Themes signalisiert optisch die besondere Stellung.
  3. Dieses Profil dient ausschließlich zur Nutzung sicherheitskritischer Dienste. SKD verlangen sehr häufig die Angabe der wahren Identität. Beispielsweise Finanzdienste, Shops, Aktionen, etc.
  4. Verwendung einer gesonderten e-Mail-Adresse ausschließlich für die Kommunikation mit den SKD. Auch das evtl. hier bereitgestellte Web-Interface wird nur mit diesem SKD-Profil aufgerufen. Weitgehende Geheimhaltung dieser e-Mail-Adresse ist ratsam.
  5. Sicherheitskritische Daten nur lokal ablegen (Verzicht auf Cloudbasierte Systeme.
    6. Sichere Passwörter:
  6. Möglichst lang.
  7. Möglichst großer Zeichenvorrat (Buchstaben, Zahlen und Sonderzeichen).
  8. Möglichst zufällig wirkende Zeichenfolge (enthält keine (erkennbare) Systematik).
  9. Einmalige Verwendung der Nutzerkennung und des Passwortes pro Konto (Unikatsprinzip).
  10. Standardvorgaben sofort ändern.
  11. Keine bekannten Konstuktionsmethoden anwenden.
  12. Nur dem Besitzer bekannt.
  13. Notfallplan, der auch bei Totalverlust hilft.
  14. Sichere Passwörter sollten bei Misbrauchsverdacht geändert werden.

Hinweis: Die Browser erlauben den Browsererweiterungen umfangreiche Möglichkeiten, die auch den Nutzer schaden können. Wer ein Sicherheitsprofil eingerichtet hat, sollte möglichst wenige Add-ons einbinden.

Keine Anmeldung bei eignen Konten an öffentlich zugänglichen Rechnern (Hotel) und Netzwerken (WLAN).

Wie sicher ist mein Passwort? Chechen Sie Ihre Passwörter. Passwortcheck 1 Passwortcheck 2

Warum ist das Verfahren des Security Passwort Builders sicher? Warum ist das sicher?

Generalkey und Sicherheit

Bekanntermaßen darf ein Passwort nicht berechenbar sein, keine Worte aus Wörterbüchern enthalten, sondern soll zufällig wirken usw.

Die Erklärung erfolgt an folgendem Beispiel:
Generalkey: Haus, (beliebige Eingabe)
gewählte Berechnungsmethode: Kalkulator 150,
optional gewähltes Tick: 10.

Der Generalkey ist ein einfach zu merkendes Passwort auf dem die Berechnung basiert.

Auf den Generalkey lassen sich 10 Millionen Berechnungsvarianten im Security Passwort Builder anwenden (10 000 Kalkulatoren multipliziert mit 1 000 Ticks). Diese müßte ein Angreifer für alle Wörterbucheintragungen probieren. Ferner beeinflussen die Länge und die zulässigen Zeichen die Berechnung. Leerzeichen sind auch erlaubt!

Selbst ein Speichern (verschlüsselt) aller Angaben mit Ausnahme des Generalkey, entschärft die Situation für Angreifer nicht.

Aus dem berechneten Top Secret läßt sich nicht rückwärts auf den Generalkey schliessen.

Das kryptografische Verfahren heißt "geteiltes Geheimnis" und wurde schon von den Piraten (zweigeteilte Schatzkarte) genutzt.

Was sollte für den Generalkey beachtet werden?

Tipps zum Generalkey

Der Generalkey wird im Feld "Secret Key" eingegeben und stellt im Allgemeinen den für alle Nutzerkonten gleichen Teil dar. Damit bestimmt er das Sicherheitsniveau wesentlich. Folgende Hinweise helfen einen guten Generalkey zu entwickeln:

  • Mindestens 2 Wörter mit insgesamt mindesetens 10 Zeichen.
  • Keine Wörter, die sich aus dem persönlichen Umfeld erraten lassen (Name der Freundin).
  • Verwendung von Leer- und Sonderzeichen.
  • Verfremdete Wörter (Mollywood statt Hollywood oder Hänschen rein statt Hänschen klein).
  • Sprachen mischen (z. B. Latain und Deutsch).
  • Keine Tastaturfolgen wie qwert.

Beispiele:

" 1. Haus & Garden"
"MOLLYWOOD @ Planet"

Datenschutz und Privatsphäre

Unser Konzept

  • Nur erforderliche Daten werden erhoben. Persönliche Daten werden nicht erhoben. Zur statistischen Auswertung können Daten erhoben werden, die anonymisiert werden oder sind und keiner natürlichen Person zugeordnen lassen.
  • Der Security Passwort Builder hat keine eigene Möglichkeit Ihre Daten über das Internet zu senden.
  • Kundendaten jeglicher Art werden nicht an Dritte gegeben, es sei denn, es ist erforderlich (beispielsweise Finanzamt, Zahlungsverkehr).
  • Hintertüren sind ausgeschlossen.