Jeder kennt das Problem mit den Passwörtern. Es sollen starke Passwörter sein, sie sollen für jede Site unterschiedlich sein und außerdem soll man sich das alles auch noch merken und auf keinen Fall auf einen Zettel unter der Tastatur "speichern". Das Add-on PwdHash vereinfacht den Umgang mit Passwörtern. Wenn man vor der Eingabe des Passwortes die Taste F2 drückt oder mit einem doppelten @@ beginnt, wird es in einen einen Hash aus dem Master Passwort und der Domain umgerechnet. Das Ergebnis der Berechnung ist eine 10-stellige zufällige Kombination von Buchstaben und Zahlen und wird als Passwort gesendet. Damit ist es möglich, ein einfach zu merkendes Master Passwort für alle Sites zu nutzen, bei denen PwdHash funktioniert. Wichtig ist, dass die Domains der Webseiten für die Änderung und Eingabe der Passwörter identisch sind.

PwdHash schützt auch vor Phishing Angriffen. Da eine Phishing-Webseite von einer anderen Domain geliefert wird als das Original, wird ein falscher Hash generiert, der wertlos ist.

Sollte man an einem Rechner das Add-on nicht installiert haben, ist das Login-Passwort natürlich nicht zu erraten. Unter www.pwdhash.com steht der Algorithmus auch als Javascript Applet zur Verfügung. Man kann sein Master Passwort und die Domain eingeben und erhält das generierte Login Passwort. Das kann man mit Copy & Paste in das Passwort Eingabefeld übernehmen.

Passwortspeicher

Passwortspeicher sind kleine Tools, die Username/Passwort Kombinationen und weitere Informationen zu verschiedenen Accounts in einer verschlüsselten Datenbank verwalten. Es gibt mehrere Gründe, die für die Verwendung eines Passwortspeichers sprechen: Mir gefällt Keypass (Windows) bzw. KeepassX (Linux) sehr gut. Die Bedienung ist über­sichtlich. Man kann Einträge gruppieren, komplizierte Passworte können über die Zwischen­ablage in die Eingabefelder kopiert werden und müssen nicht (fehlerhaft) abgetippt werden.
Um krypto­analytische Angriffe zu erschweren, kann man die Datenbank mehrere 10.000x mit AES256 verschlüsseln.
KeepassX
Einige Passwortspeicher werben mit der Möglichkeit, die Datenbank zwischen verschiedenen Rechnern und Smartphones zu synchronisieren. Dabei wird die Datenbank "in der Cloud" gespeichert. Das ist für mich ein Graus, vor allem, weil der geheimdienstliche Zugriff auf Daten "in der Cloud" immer mehr vereinfacht wird.
Lizenz: Public Domain