Hallo dedlfix!

Erstmal, denke bitte nicht, ich hätte aus Desinteresse so lange nicht geantwortet - ich wollte mir nur die Sache erst nochmal durch den Kopf gehen lassen und hatte außerdem nicht sonderlich viel Zeit. Was ich sagen will: Ich bin immer dankbar für deine Antworten, unabhängig davon, ob sie aussagen, was ich vielleicht gerne hören würde …

Und nun? Wie kommt das jeweilige Passwort des Accounts zum Anmeldeformular des Dienstes?
Ich melde mich beim jeweiligen Dienst an und ändere das Passwort manuell.

Ich meine nicht das Ändern sondern das Einloggen.

In der Regel sind meine Passworte ohnehin im Passwortmanager von Opera gespeichert (abgesehen von sensiblen Dingen wie Bankdaten oder Amazon-Account etc. - alles, was Kosten verursachen kann). Beim ersten Anmelden  nach einer Passwortänderung bzw. wenn das Passwort nicht gespeichert wird, kommt es meiner Idee nach per Copy&Paste von meiner Passwortverwaltung in den Browser.

Ich möchte den Hash aber nicht zur Überprüfung eines Klartextpassworts verwenden, sondern der Hash selbst ist mein Passwort. Der Sinn dahinter ist, dass der einzelne Dienst niemals mein Master-Passwort bekommt.

Wenn du schon eine Passwortverwaltung verwenden willst, dann kannst du auch individuelle Passwörter generieren. Den Hash kannst du dir ja auch nicht merken, also ist es völlig egal, wie das Passwort entsteht. Das Programm muss es in jedem Fall entweder verwalten oder jedes Mal berechnen.

Meine Hashs (also meine Passwörter) sind ja individuell. Nur nicht zufallsgeneriert. Sie sind nur dann nicht individuell, wenn es zwischen dem Hash aus "foo_1" und "foo_2" eine Ähnlichkeit gibt. Gibt es aber nicht, oder? (Auch das ist eine der Fragen, die ich mir bei diesem Thema gestellt habe, auch wenn ich die Antwort zu kennen glaube.)
Den Reiz an der Idee, dass die Passwörter eben nicht zufallsgeneriert, verschlüsselt gespeichert und mit Master-Passwort entschlüsselt wieder ausgegeben werden, sondern sie immer neu zu berechnen, ist ja, dass es (hoffentlich) nicht möglich ist, ohne das Master-Passwort das gesuchte Passwort zu berechnen.

Damit hast du dann 8 Zeichen aus dem Vorrat 0-9a-f. Das ist nicht besonders sicher. Und du scheiterst damit bei Diensten, die Sonderzeichen haben wollen.

Naja, an solchen Details ließe sich arbeiten. Ich könnte ja je nach Dienst z.B. eine andere Länge festlegen. Über Sonderzeichen müsste man noch nachdenken, ja.

Schau dir KeePass an. Das Masterpasswort um die Verschlüsslung aufzuheben kannst du ja in deinem Gedächtnis ablegen. Wenn das ausreichend gut gewählt ist, sind die anderen Passwörter (und zwar für 99,99% der Anwendungsfälle) gut gesichert.

Ja, das werde ich bei Gelegenheit noch tun (bisher kenne ich nur den Wikipadia-Artikel dazu, aber habe das Programm selbst noch nicht getestet). Natürlich stellt eine solche Lösung eine Alternative dar. Mir ging es vor allem darum, diesen Ansatz - der ja ein völlig anderer ist - zur Diskussion zu stellen. Unabhängig davon, ob es einen anderen, funktionsfähigen Ansatz gibt.
Aber trotzdem danke für diesen Tipp. Sollte ich mich gegen die Selbermachen-Lösung entscheiden, dann weiß ich jetzt immerhin schon eine gute Alternative.

Du hast mehr Nachteile als Vorteile bei dieser Vorgehensweise.

Vermutlich hast du Recht. Vor allem Auto-Type ist ein so großer Vorteil, dass meine Idee (mangels solcher Features) wohl nicht vergleichbar leistungsfähig ist. Wobei ich den Ansatz immernoch spannend finde … ;-)

Ja, und nun kann ich dir die Unsinnigkeit/Unsicherheit des Vorhabens sogar zweifellos bestätigen. Ich weiß, das ist für dich nicht besonders toll, aber das ist die Idee leider nicht.

Naja, wäre ich mir hundertprozentig sicher gewesen, dass meine Idee das Non-Plus-Ultra darstellt und ich es auf jeden Fall so machen will, dann hätte ich nicht gefragt. Deshalb hält sich meine Enttäuschung in Grenzen, auch wenn ich natürlich auf ein anderes Ergebnis gehofft hatte.

Gruß,

Claudius