Wenn sie alle nur im Kopf sind, dann können es entweder nicht sehr viele oder nicht sehr sichere Passwörter sein möchte ich behaupten. Da wird sicherlich irgendeine Regel dahinter stecken, die man ableiten könnte, wenn man genug Zeit und Mühe rein steckt.Peter hat geschrieben: ↑21. Feb 2023, 11:24 Vor vier Jahren habe ich mir eine neue email-Adresse zugelegt (die vorherige stammte aus den 90ern und war komplett verseucht), die ich für alles benutze und über die ich bis heute fast keinen Spam, Phishing etc erhalte (vielleicht eine Mail pro Monat). Passwörter habe ich für jede Webseite ein anderes (ich schätze mal ziemlich sichere, da immer mit Zahlen, Groß-Klein-Buchstaben, Sonderzeichen), alle nur im Kopf. Seit ich das so mache, gab es auch hier keinerlei Probleme mehr, während früher die eine oder andere Seite doch mal unbefugt betreten wurde.
Aus meiner Sicht geht es heutzutage eigentlich nicht mehr ohne Passwortmanager.
Ich bin mit der Kombi Keypass/Google Drive ganz zufrieden und synchronisiere damit Passwörter zwischen Desktop/Laptop/Handy. Für die 2FA kommt Authy zum Einsatz, hier primär wegen dem Cloud-Backup, falls mal das Handy verloren/kaputt geht.
Edit: Um nochmal was zur 2FA/Token Geschichte zu sagen, in den meisten Fällen setzt man hier heutzutage auf Time-Based-One-Time-Pad (TOTP).
Dabei wird initial ein Geheimnis ausgetauscht (QR Code scannen oder Zeichenkette eintippen) und mit diesem Wert 'seed' (kennt man vielleicht auch aus der Kartengenerierung von Spielen) können beide Seiten zu einem späteren Zeitpunkt unter Zuhilfenahme der aktuellen Zeit einen neuen Wert, das Token, ableiten, das wird übermittelt und wenn die Gegenseit die ihrerseits aus Geheimnis und Zeit ein Token erstellt hat, auf den gleichen Wert kommt, dann ist die Wahrscheinlichkeit sehr hoch, dann wird davon ausgegangen, dass der Absender das Geheimnis kennt.
Wie unterscheidet sich das jetzt zu einem Passwort?
Ganz einfach dadurch, dass wenn das Token verloren geht (z.B. weil mein PC verseucht war oder auf einem Fremden PC ein Keylogger die Eingabe ausgelesen hat), dann habe ich nur das zum Zeitpunkt X gültige Token, aber nicht das eigentliche Geheimnis verloren. Wenn jetzt der Angreifer also einige Minuten später versucht das alte Token mit dem ebenfalls geklauten Passwort einzulösen, dann ist das Token schon nicht mehr gültig, weil die Gegenstelle ein Token mit aktueller Zeit erwartet (hier hat man aus dem Debakel mit dem Todesstern - It is an older code, sir, but it checks out - gelernt).