Man liest es in letzter Zeit häufiger: Irgendein Online-Dienst wurde gehackt und es wurden Nutzerdaten entwendet. Jüngstes Beispiel ist wohl der Hack der offiziellen Server des Messenger-Dienstes Matrix.org. Die User werden dann meistens dazu aufgefordert, umgehend ihre Passwörter zu ändern.
Wenn man aber nun für mehrere Dienste immer das gleiche Passwort verwendet, dann ist nach einem solchen Hack immer die Wahrscheinlichkeit gegeben, dass die Daten für anderen Online-Dienste, Webshops, etc. missbraucht werden. Daher sollte es sich mittlerweile herumgesprochen haben, dass man für jeden Online-Dienst ein eigenes Passwort verwenden soll.
Der folgende Artikel zeigt, wie man Passwörter einfach und effizient mit KeePass und Nextcloud verwalten kann.
Inhalt
Passwörter mit System
Aus den o.g. Gründen sollte „Passwort-Recycling“ also vermieden werden. Folglich muss man sich aber auch immer mehr Passwörter merken, je mehr Online-Dienste genutzt werden. Hierzu gibt es verschiedene Ansätze. Einer davon ist, dass man sich einen leicht zu merkenden Satz ausdenkt: „Grillen kann man nicht nur bei schönem Wetter, sondern auch wenn es regnet“. Nun nimmt man die Anfangsbuchstaben der einzelnen Wörter und erhält somit: gkmnnbswsawer. Nun kommen noch Groß-/Kleinbuchstaben, evtl. Sonderzeichen und weitere Ersetzungen zum Einsatz: gKm2nbSws4w3R – hier wurde das „nn“ einfach durch 2n“ und ein paar Buchstaben durch Zahlen (Leetspeak) ersetzt.
„gKm2nbSws4w3R“ ist nun das Basis-Passwort, dass man nun noch mit einem „Dienst-Teil“ ergänzt (z.B. die Anfangsbuchstaben des Dienstes). Für Amazon wäre das fertige Passwort also z.B. „aMgKm2nbSws4w3R“, für eBay z.B. „eBgKm2nbSws4w3R“.
Mit einem solchen System ist man nun etwas sicherer unterwegs. Dennoch besteht die Möglichkeit, dass das System dahinter erkannt werden kann, z.B. wenn von mehreren Diensten Daten entwendet wurden. In diesem Fall ist ein solches System auch nicht mehr als sicher anzusehen.
Besser wären Passwörter in der Form „k;%([uhk[3@!o6?m’2SQ}>MLN/Bf,ngPb“ – also eine zufällige Folge aus Buchstaben/Zahlen/Sonderzeichen. Jeder Dienst bekommt dann ein eigenes Passwort, d.h. dass hier kein System dahinter steckt, dem man auf die Schliche kommen kann.
Nun hat man allerdings ein Problem: Kein Mensch kann sich solche Passwörter merken…
Passwort-Verwaltung mit KeePass
Hier kommen dann sog. Passwort-Safes wie z.B. KeePass zum Einsatz. Passwörter können hier ganz einfach mit beliebigen Zusatzinformationen gespeichert werden, z.B. Benutzernamen oder Notizen, sogar Datei-Anhänge sind möglich. Verwaltet werden diese Passwort-Einträge in einer speziellen Datei (kdbx), die komplett verschlüsselt ist. Öffnen lässt sich der Passwort-Safe dann nur mit dem Master-Passwort, einer Schlüsseldatei, oder auch weiteren Verfahren (z.B. mittels eines YubiKeys). Auch eine Kombination der Verfahren zum Entschlüsseln ist möglich, so dass man z.B. sowohl das Master-Passwort eingeben, als auch eine Schlüsseldatei bereitstellen muss.
Man muss sich nun also nur noch das Master-Passwort merken. Die Passwörter für die einzelnen Dienste werden dann nur noch über den Passwort-Manager verwaltet und können beliebig lang/komplex sein. Ebenso kann man mit KeePass Passwörter erzeugen lassen, so dass man sich nicht mal mehr eigene Passwörter ausdenken muss.
Neben dem originalen KeePass gibt es eine Reihe weiterer Programme, die mit KeePass kompatibel sind. Mein Favorit darunter ist das Programm KeePassXC, welches aus einem Fork aus KeePass hervorgegangen ist.
Ebenso gibt es KeePass kompatible Clients für mobile Systeme. Unter Android verwende ich hierzu gern die App Keepass2Android.
Auf der Download-Seite von KeePass findet man hierzu eine Liste an alternativen Programmen/Apps.
Ebenfalls gibt es für KeePassXC Browser-Addons (Firefox, Chrome), die Passwörter aus einer (geöffneten) kdbx-Datenbank auslesen und bei der Anmeldung im Browser automatisch ausfüllen können.
KeePass und Nextcloud
Für den Zugriff auf die eigenen Passwörter braucht man also nur die KeePass-Datenbank (kdbx-Datei) und einen KeePass-Client. Wenn man nun allerdings von mehreren Geräten Zugriff auf die Passwörter haben möchte, muss man immer erst noch die aktuelle Version der kdbx-Datei auf das jeweilige Gerät kopieren. Das ist mühselig und auch fehleranfällig: Wo liegt nun nochmal die aktuelle Version der KeePass-Datenbank? Habe ich diese zuletzt auf dem Notebook oder auf dem PC bearbeitet?
Hier kommt dann Nextcloud ins Spiel: Für eine solche Cloud-Anwendung ist das Synchronisieren von Dateien eine der leichtesten Übungen. Am besten lädt man direkt nach der Erstellung des Passwort-Safes die kdbx-Datei in die eigene Nextcloud-Instanz in einen eigenen Ordner (z.B. „Passwörter“) hoch. Ab nun liegt immer die aktuellste Version dieser Datei in der Cloud.
Nun muss man nur noch sicher stellen, dass jedes Gerät immer mit der aktuellsten Version der Datei arbeitet. Am PC/Notebook nutzt man dazu am besten den Desktop-Sync-Client von Nextcloud: Man fügt einfach für den Order „Passwörter“ eine Synchronisation hinzu:
Nun ist auf diesem Gerät die aktuellste kdbx-Datei immer im jeweiligen Sync-Order für Nextcloud vorhanden, also z.B. /home/user/Nextcloud/Passwörter/Passwörter.kdbx.
Über KeePassXC öffnet man nun einfach diese Datei. Nach dem Bearbeiten der Einträge wird die Datei gespeichert. Sofort springt der Sync-Client von Nextcloud an und lädt die veränderte Version in die Cloud.
Wichtig: Falls man die KeePass-Datenbank mit Passwort und Schlüsseldatei gesichert hat, sollte man die Schlüsseldatei natürlich nicht neben der kdbx-Datei in der Cloud bereit stellen, sondern getrennt davon abspeichern: Am besten nur auf den jeweiligen Geräten selbst, auf einem USB-Stick, etc.
Auf einem Mobilgerät (z.B. mit Keepass2Android) läuft die Sache etwas anders ab: Hier wird die KeePass-Datenbank direkt per WebDAV geöffnet. Beim Öffnen der App gibt man daher den direkten Link zur kdbx-Datei ein, also z.B. https://meinedomain.de/nextcloud/remote.php/dav/files/user/Passwörter/Passwörter.kdbx.
Gespeichert wird wiederum per WebDAV, so dass die kdbx-Datei nach der Bearbeitung direkt in der Cloud aktualisiert wird.
KeePass-Datei direkt in Nextcloud öffnen
Es geht allerdings noch komfortabler: Mit KeeWeb existiert ein weiterer KeePass-Client, der auch im Web lauffähig ist. Und genau diesen Client (in der Web-Version) gibt es auch als eigenständige Nextcloud-App:
Im Nextcloud App Store findet man dazu in der Kategorie „Werkzeuge“ die App Keeweb.
Nach der Installation aus dem App Store ist allerdings noch ein kleiner Schritt notwendig, damit die in der Cloud gespeicherten kdbx-Dateien direkt per Klick geöffnet werden können. Dazu legen wir eine neue Datei im gleichen Order an, in dem auch schon die config.php von Nextcloud enthalten ist, also z.B.:
nano /var/www/nextcloud/config/mimetypemapping.json
Hier fügen wir folgenden Inhalt ein:
{
"kdbx": ["application/x-kdbx"]
}
Damit die Änderungen greifen, muss noch ein Datei-Scan von Nextcloud angestoßen werden:
sudo -u www-data php /var/www/nextcloud/occ files:scan --all
Nun kann die Passwort-Datei in der Nextcloud-Instanz ganz einfach per Klick geöffnet werden:
Damit kann man sich die Synchronisierung der kdbx-Datei auf die einzelnen Geräte eigentlich sparen, da man nun jederzeit direkt in der eigenen Nextcloud an die gespeicherten Passwörter kommt. Einen „echten“ Desktop-Client wie KeePassXC braucht man eigentlich nur noch, wenn man z.B. die Integration mittels Browser-Addon benötigt.
Die Alternativen
Für Nextcloud-User, die KeePass bereits nutzen, ist die Integration der bestehenden Passwort-Verwaltung in die eigenen Cloud sicherlich sinnvoll. An dieser Stelle soll allerdings auch erwähnt werden, dass es darüber hinaus noch zwei Alternativen gibt:
Im Nextcloud App Store befinden sich mit Passman und Passwords noch zwei weitere Apps, mit den Passwörter in der eigenen Nextcloud verwaltet werden können. Beide Apps speichern ihre Einträge dabei direkt in der Cloud und nicht in kdbx-Dateien, daher sind die Apps auch nicht kompatibel mit KeePass. Dennoch bieten die Apps z.T. erweiterte Features, wie z.B. das direkte Teilen von einzelnen Passwörtern mit anderen Nextcloud-Benutzern oder per Link. Mit der KeePass-Lösung kann man nur die gesamte kdbx-Datei teilen, daher gilt hier das Motto „alles oder nichts“.
Fazit
In diesem Artikel wurde gezeigt, wie man seine Passwörter ganz einfach in der eigenen Nextcloud-Instanz verwalten kann. Nutzer von KeePass oder alternativen Clients können im einfachsten Fall die Funktionen zur Datei-Synchronisierung von Nextcloud nutzen, aber auch eine direkte Integration ist per App möglich, so dass kdbx-Dateien direkt in der Cloud geöffnet und bearbeitet werden können.
Darüber hinaus gibt es mit den Apps Passman und Passwords noch Alternativen für die Passwort-Verwaltung mit Nextcloud. Welche Lösung hier die beste (oder komfortabelste) ist, muss jedoch jeder für sich selbst herausfinden. Dazu können die Apps auch erst einmal im Parallelbetrieb installiert/getestet werden.
Wenn man sich für eine Lösung entschieden hat, werden die eigenen Passwörter zukünftig in der eigenen Cloud verwaltet. Durch den Einsatz eines Online-Password-Managers muss man sich nun nie mehr komplizierte Passwörter ausdenken und schon gar nicht merken.
Ich bin zwar kein Fan von Wechsel dein Passwort-Tagen, aber vielleicht ist dieser Artikel mal ein Anreiz, den Umgang mit eigenen Passwörtern zu überdenken und ggf. anzupassen.
Was haltet ihr davon? Wie verwaltet ihr eure Passwörter? Hinterlasst mir dazu doch einfach einen Kommentar.
Weiterführende Artikel
- Nextcloud auf Ubuntu Server 18.04 LTS mit nginx, MariaDB, PHP, Let’s Encrypt, Redis und Fail2ban
- Nextcloud: Backups erstellen und wiederherstellen – manuell oder per Skript
Links
- Nextcloud Homepage
- Keeweb im Nextcloud App Store
- GitHub: Keeweb for Nextcloud
- KeeWeb Homepage
- KeePass Homepage
- KeePassXC Homepage
Ähnliche Artikel:
HTTPS für alle: SSL-Zertifikate mit Let’s Encrypt und nginx
Nextcloud: Ende-zu-Ende-Verschlüsselung (E2EE) ausprobiert
Nextcloud auf Ubuntu Server mit nginx, MariaDB, PHP, Let’s Encrypt, Redis und Fail2ban
Nextcloud auf Ubuntu Server 20.04 LTS mit nginx, MariaDB, PHP, Let’s Encrypt, Redis und Fail2ban
Ich verwalte meine Passwörter so ähnlich.
Bei mir wird von allen Clients (ich selbst nutze immer nur einen zu gleichen Zeit) die kdbx direkt per Webdav geöffnet und gespeichert. Somit bin ich nicht auf Nextcloid oder den Sync-Clienten angewiesen, da Wedav jedes OS unterstützt.
Als Apps verwende ich unter
Windows Keepass (portable)
Mac OSX Macpass
Android Keepass2Android
iOS Keypass4 (leider nicht kostenlos)
Kostenlose Cloud (10GB) mit Webdav und täglicher Sicherung (3 Monate Vorhaltezeit) gibt es bei der Telekom.
Ich synchronisiere mein KeePassXC-Safe auch über die Nextcloud, allerdings verzichte ich auf die Synchronisation mit einem Android-Smartphone weil ich es für grundsätzlich unsicher finde (proprietäres Basband, aktuelles LOS 14 zwar drauf aber die Unterstützung wurde schon abgekündigt).
Auf dem Smartphone nutze ich allerdings
https://f-droid.org/de/packages/com.android.keepass/
für ein nicht ganz wichtiges KeePass-Safe.
Ansonsten verzichte ich auch ich aus Sicherheitsgründen auf KeePass-Firefox-Addons (das würde durch Firejail (Sandbox) auch nicht so ohne weiteres funktionieren).
Hallo,
ich habe vor einiger Zeit mehrere Passwort Manager verglichen und mir ist die Integration am Handy und auch im Browser wichtig.
Wenn es nicht gut funktioniert nutze ich es nicht.
Keypass funktioniert am Handy mit FF noch nicht: https://github.com/PhilippC/kp2a_accservice_autofill/issues/23
Und bei Passmann/words: fehlt Autosync, Fingerprint, Auto Fill, Browser Integration.
Hier ein guter Vergleich beider Tools: https://git.mdns.eu/nextcloud/passwords/wikis/Administrators/Feature-Comparison
Daher fahre ich aktuell mit Bitwarden.
Gruss,
Jakob
Hallo,
ich habe diese Lösung bei mir genau so umgesetzt. Der Sync Client unter Windows macht mir aber Probleme, er synchronisiert nicht bei jedem speichern der Datenbank. Warum auch immer? Ich bin dazu übergegangen die Datei direkt über webdav abzurufen. Im Menü von Keepass 2 Datei->öffnen-> Url öffnen.. kann ich den Pfad so angeben https://meineurl.de/remote.php/webdav/pfad/datenbank.kdbx. Dann arbeite ich direkt in der Datei. Der Nachteil ohne Internet kein Zugang zur Datenbank.
Mich würde es freuen wenn du mal zum Thema Bitwarden selbsthosten mit Docker einen Artikel schreiben könntest. Vorallem die Konfiguration des Webservers um die Installation in einem eigenen Unterverzeichniss (meineurl.de/bitwarden) anzulegen macht mir aktuell zu schaffen. Das wäre eine denkbare Alternative für mich da Bitwarden direkte Browser Unterstüzung sowie gute Apps für Android sowie Linux und MacOS mitbringt.
Danke für die zahlreichen sehr guten Anleitungen auf deinem Blog (die meisten sind 1 zu 1 bei mir im Einsatz). Das Thema eigener Firefox-Accout Server reizt mich auch sehr.
Hi,
danke für den Hinweis, dass man mit KeePass2 kdbx-Dateien auch direkt über die WebDAV-URL öffnen kann. Ich nutze mittlerweile nur noch KeePassXC, hier ist diese Möglichkeit leider nicht gegeben.
Gruß,
Jan
>Dann arbeite ich direkt in der Datei. Der Nachteil ohne Internet kein Zugang >zur Datenbank.
Keepass2Android hält auch immer eine lokale Kopie vom letzten Sync auf dem Smartphone vor, so kommst Du zumindest an die Einträge ran und kannst später den Sync neu anstossen.
Der Wermutstropfen für mich ist, dass es derzeit leider keinen vernünftigen Client mehr für IOS gibt. Da war mal KyPass aber das wird wohl nicht mehr gepflegt.
Hi,
auf der KeePass-Seite findet man zumindest Verweise auf iOS-Clients (siehe hier). Ist da nichts passendes dabei?
Gruß,
Jan
Guten Morgen,
ich wollte auch KeePass 2 unter Windows 10 über WebDAV auf PC und Smartphone Syncen, jedoch bekomme ich jedesmal den Fehler „401“ Autorisierung fehlt. Muss ich den PC da irgendwie Freischalten?
Hi,
nutzt du vielleicht eine 2-Faktor-Authentifizierung in NC? Dann benötigst du für diesen Zugriff ein sog. App-Passwort.
Ansonsten sollte dieser Fehler nicht auftreten. Kannst du die KDBX nicht einfach über den NC-Client synchronisieren? Das wäre auch eine Option.
Gruß,
Jan
Hi Jan!
Also erst einmal ein herzliches Danke für Deine super Tutorials. Meine nextcloud läuft seit ein paar Tagen und ich bin sehr zufrieden.
Ich nutze seit einiger Zeit KeePass und habe jetzt KeeWeb als AddOn für die nextcloud ausprobiert, bin davon aber nicht überzeugt. Das Ablegen einer Kopie meiner kdbx auf der nextcloud ist prima, dann habe ich auch Zugriff per WebDAV mit dem iPhone, wenn es sein soll. Aber wenn ich die Datei dann mit KeeWeb aufmache, speichert das Änderungen nur noch in der App. Da weiß ich dann doch gar nicht mehr, wo meine Passwörter tatsächlich physikalisch sind. Klar, verschlüsselt etc., aber irgendwie möchte ich trotzdem bei Bedarf meine kdbx Datei im Filesystem sehen und kopieren können. Und wenn ich sie lokal auf meinem Laptop habe, kann ich auch ran, ohne Internetverbindung. Die Gelegenheiten, wo man eine solche nicht hat, werden zwar seltener, aber es gibt sie.
Das nur so mein Eindruck.
Viele Grüße,
Bernhard
Hallo Bernhard,
ja, die Keeweb-App für Nextcloud ist schon praktisch, aber ich habe auch lieber eine physische Kopie der KDBX.
Ich synchronisiere das automatisch über den Nextcloud-Client und öffne die KDBX immer lokal auf dem Rechner.
Auf dem Smartphone habe ich einen direkten Zugriff per WebDAV über Keepass2Android.
Im Moment sieht es leider auch so aus, als ob die Keeweb-App für NC nicht mehr weiterentwickelt wird. Fraglich, ob diese in zukünftigen Versionen von Nextcloud noch zur Verfügung stehen wird.
Gruß,
Jan
Hallo Jan,
vielen Dank für die Anleitung!
Ich hatte meine Passwort-Datenbank so wie von dir beschrieben angelegt. Hatte trotzdem einmal eine conflicted copy. Habe dann gesehen, dass KeePass angibt, dass man für jedes Gerät eine lokale Kopie ablegen sollte, die man mit KeePass oder den entspr. Android-Apps öffnet und für diese eine KeePass-Sync einrichtet (siehe https://keepass.info/help/kb/trigger_examples.html#dbsync).
Ich wüsste aber gar nicht, wie ich so eine Sync über KeePass2Android einrichte. Was ist jetzt richtig? Hattest du bei deiner Variante noch nie eine conflicted copy
Hallo Klemens,
nutzt du Keepass2Android? Hier gibt es in der aktuellen Version einen Fehler, der immer dafür sorgt, dass die Synchronisierung nicht mehr richtig funktioniert. Hintergrund ist ein Fehler in der verwendeten Bibliothek (okhttp). Mehr Infos dazu siehe hier.
Ansonsten sollte das funktionieren, da Keepass2Android auch immer mit einer lokalen Kopie arbeitet.
Gruß,
Jan
Eigentlich funktioniert es wunderbar bei mir mit Nextcloud 18.0.4. Das Problem ist aber, dass die Keeweb App einen Fehler in meiner Cloud verursacht. Ich kann dann in der Activity App meine eigenen Aktivitäten nicht mehr sehen und im Log steht der Fehler: Exception: substr() expects parameter 3 to be integer, boolean given.
Für einen Lösungsansatz wäre ich echt dankbar ;-)
Hi Andreas,
bist du sicher, dass dies mit der Keeweb App zu tun hat? Ich habe diese auch im Einsatz und habe keine Probleme mit den Aktivitäten.
Wenn dem so ist, dann handelt es sich wohl eher um einen Fehler in der App. Hier kann ich dir dann nur empfehlen, einen Issue im entsprechenden GitHub Repository auf zu machen.
Gruß,
Jan
Ich will hier mal kurz eine Ansicht von mir teilen die auf den Artikel und das Argument, weshalb es sinnvoll ist einen Passwort-Manager zu nutzen eingeht.
Letztlich gebe ich dem Autor recht, wenn man eine Password nutzt, dass nur durch kleinere Anpassungen verändert wird, gibt es ein Restrisiko, dass das System erkannt und entschlüsselt werden kann.
Um das aber zu durchzuführen müssen einige Gegebenheiten vorliegen. Derjenige der Dienst hackt muss auch gezielt nach gleichen Usern suchen und dann beginnen die Passwörter miteinander zu vergleichen und die System zu erkennen. Sprich, wenn alles automatisiert abläuft, geschieht dies auch alles – immer- . Sprich bei jeder Hackaktion müssen all diese Abläufe stattfinden, was immens Rechenkapazität erfordert.
Wenn wir also mal davon ausgehen das z.B. mein Passwort ca. die Rechenkapazität eines Supercomputers von ca. 15 Jahren in Anspruch nimmt und gehackt zu werden, (Ich nutze in etwas das Verfahren dass du mit dem Satz geschildert hast), dann kann sich jeder denken was Rechner darunter benötigen. Um nun auf deinen Hinweis des Vergleichs zu gehen, muss also erstmal erkannt werden, dass es sich um die gleiche Person handelt, was schon mal Rechenkapazität betrifft und dann auch noch die entsprechende Kapazität um dann zumindest das Basispasswort zu hacken. Also definitiv mehr als nur das eine Passwort zu hacken.
Sollte es einen Hacker jedoch tatsächlich gelingen, so kennt er die Dienste die er gehackt hat und kann dort tatsächlich etwas damit anfangen. Aber er weiß immer noch nicht wo ich mich noch so überall herum treibe. Dies müsste er dann erst wieder alles in Erfahrung bringen.
Speichere ich aber alles in einer Passwortdatenbank, die ja auch wieder mit einem Passwort verschlüsselt ist, so benötigt es nur dem Knacken dieses Passworts und schon hat der Hacker zu allem Zugang mit Nutzername URl, aso..
Sprich, mit weniger Zeitaufwand und geringerer Rechenkapazität größerer Nutzen!
Allerdings ist es einfacher für die User, so eine Datenbank, man muss sich nichts merken, klickt einfach auf ein Knöpfchen und schon ist alles ausgefüllt.
Und dass man diese Datenbank dann noch auf den selbsgehosteten Server, am besten noch eine RasPI oder was anders zu hause legt macht es nicht wirklich sicherer. Dann eher schon auf einen verschlüsselten Bereich eines Unternehmens, dass ganze Abteilungen zur Serversicherheit beschäftigt.
Oder seid ihr alle Security-Fachleute die Security-proxy und andere Applience vor eure Server schaltet, damit keiner durchkommt? Ich weiß nicht genau wie alt mein Wissenstand ist, aber ich glaube heut werden in Rechenzentren immer noch mit Hardwarefirewalls und der gleichen gearbeitet. Ich habe weder die finanziellen, noch die personellen Ressourcen um so etwas zu gewährleisten.
Ok, das war jetzt etwas provokativ, aber mal ganz ehrlich…, wer sind wir denn, dass wir für solch direkte Angriffe gezielt ausgesucht werden? Und selbst wenn mal ein Dienst gehackt wird und dabei mein Passwort in falsche Hände gerät, dann erfinde ich ein neues nach einem anderen Prinzip und nutze es wieder so wie zuvor. Wo liegt denn da das Problem, außer im Luxus….
Und noch eine letzte Anmerkung, was geht denn für einen Hacker schneller, sowas wie ein Keylogger und vergleichbares auf einen Privatrechner/Smartphone zu schmuggeln und somit alles Passwörter mit zu tracken, oder professionelle Dienst zu hacken.
Hi Oliver,
es ist eben immer ein Abwägen zwischen Sicherheit und Komfort.
Ich habe kein Hacker-Insiderwissen, aber denke mal, dass hier wenig mittels Brute-Force passiert. Es gibt genügend Datenlecks bei verschiedenen Diensten. Hier hat man dann schon mal Benutzernamen und/oder Mail-Adressen der User. Wenn ein Dienst schlampig war, hat dieser dann die Passwörter der User dann im Klartext gespeichert (ja, das hört man immer mal wieder). Damit hat ein Hacken dann (d)ein Passwort oder zumindest einen Hash-Wert. Damit kann man dann schon mal arbeiten, z.B. offline Vergleiche per Hash, etc.
Sobald jemand dann ein Passwort kennt (und du ein „Passwort-System“ nutzt), ist der Algorithmus, mit dem du die Passwörter vergibst, dann meist auch recht schnell zu durchschauen. Wenn nicht, dann bekommt man das auch mit Maschine-Learning hin.
Am besten ist denke ich immer noch ein zweiter Faktor (zumindest bei sehr wichtigen Dingen, wie z.B. Banking). Dieser zweiter Faktor muss dann eben aber auch durch ein separates Gerät ermittelt werden.
Bei existentiell wichtigen Passwörtern kann man dann zusätzlich eine separate Maschine (z.B. ein Live-Linux) nutzen, damit ein Passwort dann niemals diese geschützte Umgebung verlässt. Das ist dann aber mit weitaus weniger Komfort verbunden, womit sich wieder der Kreis zu meinem ersten Satz schließt.
Gruß,
Jan