Forum: Offtopic Passwortverwaltung: Welche Geräte sind geignet?

John Drake schrieb:
> Ich nutze dazu ein Stück Karton, auf welchem diverse Codes verschlüsset
> aufgeschrieben sind.

Soll im Ernstfall auch leichter vernichtbar sein, sagt man. Oder hat 
schon mal jemand sein Handy gegessen?

A. K. schrieb:
> Oder hat schon mal jemand sein Handy gegessen?

Vor der Erfindung der Smartphones gab es ja mal den Trend, daß die 
Dinger immer kleiner werden mussten, da konnte man sie beim Einatmen 
durchaus verschlucken ...

Ich seh die Sache irgendwie immer zwiegespalten.

Zettel mit Passwort am Heimrechner halte ich für relativ legitim.
Ist ja elektronisch nicht auszulesen.

Wenn der Rechner nur zu Hause steht ist auch die Gefahr eines 
Fremdzugriffs auf den Zettel eher gering.

Wenn jemand bei einem einbricht und dann eh an der Elekrtronik sitzt 
macht das nun auch nicht groß etwas ob das PW nun aufm Zettel steht oder 
der Einbrecher das dann knackt nachdem er mit dem Rechner unterm Arm 
verschwunden ist.

Das ist vermutlich genau das, was du suchst:

http://hackaday.io/project/86-Mooltipass

Aber noch nicht ganz fertig..

Multipass ?
http://hackaday.com/2014/06/05/developed-on-hackaday-we-have-final-prototypes/

Sowaa merkt man sich im Kopf da kommt keiner ran.

4 bis 8 Stellige Pins kann man sich hoffentlich merken, wenn nicht 
wenigstens die Handbewegung auf einem Keypad.

Mit System kann man sich große und sichere Passwörter gut merken.

Minimal Beispiel:

Man mag die Sonne und die letzen drei stellen der telefonnummer von der 
Mutti seien 123.

Da es so schön ist Rahmt man sich sein Passwort noch in Ausrufezeichen 
ein und benutzt Sonderzeichen die Buchstaben ähnlich sehen

!ichm@g$onne123!


Und sowas kann man locker auf 30 stellige Passwörter ausweiten wenn man 
will.



Geht es darum vorgegebene Passwörter zu merken hilft man sich mit ner 
Geschichte.

GWI4E: Gestern war ich 4 mal essen

Um so dämlicher der Satz oder die Geschichte umso besser kann man sich 
das merken.

Alte Lochkarten, Ferritkernspeicher, EPROMs, 8Zoll-Disketten oder 
Datasetten eignen sich hervorragend zur Datenablage. Die meisten 
Scriptkiddies können damit nichts anfangen.

Mike Mike schrieb:
> Da es so schön ist Rahmt man sich sein Passwort noch in Ausrufezeichen
> ein und benutzt Sonderzeichen die Buchstaben ähnlich sehen
>
> !ichm@g$onne123!
>
> Geht es darum vorgegebene Passwörter zu merken hilft man sich mit ner
> Geschichte.
>
> GWI4E: Gestern war ich 4 mal essen
>
> Um so dämlicher der Satz oder die Geschichte umso besser kann man sich
> das merken.

Das ist alles schön und gut, aber funktioniert nicht wenn man so 
bescheuerte Systeme hat wo man das Passwort alle paar Wochen ändern 
muß....

Außer man verfügt über einen "Gedächtnispalast" wie der aktuelle 
Sherlock.

Timm Thaler schrieb:
> Einfach zu merkende Passwörter nutzen: http://xkcd.com/936/

Wobei man beachten sollte, dass es einem Bot nicht schwer fällt ein 
Wörterbuch (und etwaige Kombinationen) abzuarbeiten. Man sollte sich 
also nicht verleiten lassen, "powerhorse" mit "P0w.rhörs' " 
gleichzusetzen. beim ersten Beispiel sind nur Kleinbuchstaben vorhanden, 
für jedes Symbol bestehen also nur 26 Möglichkeiten.  Zudem lässt sich 
das mit entsprechend optimierten Algorithmen recht schnell raus-finden, 
indem z.B. beliebte "Vorwörter" mit einem Wörterbuch kombiniert werden.

Hängt natürlich auch immer davon ab, wofür man das Passwort verwenden 
will. Der Onlinezugang zu einem Browsergame, bei dem nach dreimaliger 
Falscheingabe der Zugang gesperrt wird? Da hätte ich kein Problem mit 
"powerhorse". Die Festplattenverschlüsselung würde ich mir allerdings 
sparen, wenn ich mir nicht mehr als "powerhorse" merken will.

Intel meint zu den Passwörtern:

P0w.rhörs'                            4 Monate
powerhorse                          0s
correcthorsebatterystaple     144 Mio. Jahre

https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html

Sni Ti schrieb:
> P0w.rhörs'                            4 Monate
> powerhorse                          0s
> correcthorsebatterystaple     144 Mio. Jahre

Eine Erkenntnis, die Compuserve schon von 2 Jahrzehnten hatte. Deren 
Passwörter nach dem Muster <Wort1><Sonderzeichen><Wort2> aufgebaut 
waren. Die wäre Intel zufolge heute noch einigermassen brauchbar.

Allerdings dürfte Intel hier mehr oder weniger nach dem simplen Prinzip 
"Zeichensatz" hoch "Länge" gehen, ohne Wortmuster auf der Rechnung zu 
haben. Wenn Schemata aus solchen Wortmustern um sich greifen und die 
Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren" 
umsteigen, dürfte die Bilanz wieder anders aussehen.

Denn dann landet man bei "correcthorsebatterystaple" bei 
"Grundwortschatz hoch 4" statt "26 hoch 25".

"mybonnieisovertheocean" braucht 12 Jahre.
Das kürzere "peterissteinewurst" braucht schon 214325 Jahre, da scheint 
die Sprache wohl eine Rolle zu spielen.

Und "We will not retain information entered into this password grader." 
braucht dann schon 1.2502964779092521e+50 Jahre.

Mit dem leicht zu merkenden "Lorem ipsum dolor sit amet, consetetur 
sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et 
dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et 
justo duo dolores et ea rebum." kommt man dann auf geringfügig sicherere 
2.3340002467998337e+276 Jahre.


Und "Allerdings dürfte Intel hier mehr oder weniger nach dem simplen 
Prinzip "Zeichensatz" hoch "Länge" gehen, ohne Wortmuster auf der 
Rechnung zu haben. Wenn Schemata aus solchen Wortmustern um sich greifen 
und die Knackprogramme von "buchstabenweise probieren" auf "wortweise 
probieren" umsteigen, dürfte die Bilanz wieder anders aussehen."

gilt als "infinity years".

Ob dieser Intel-Passwort-Tester wirklich ernstzunehmen ist?

A. K. schrieb:
> Wenn Schemata aus solchen Wortmustern um sich greifen und die
> Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren"
> umsteigen, dürfte die Bilanz wieder anders aussehen.

Klartextpaßwörter, auch in solchen Kombinationen, sind viel zu leicht 
knackbar und daher ein NoGo. Zumindest die Verfremdung mittels Zahlen 
und Sonderzeichen ist Pflicht.

Laut dem Intel-Test wird eher die Sonne zur Supernova, als daß jemand 
meine Paßwörter knackt. Leider steht dort nicht, auf welche Hardware 
sich der Test bezieht. Was auf dem heimischen PC Millionen Jahre dauert, 
kann auf fußballfeldgroßen GPU-Arrays, wie sie vermutlich die NSA 
besitzt, durchaus in Sekunden erledigt sein.

Der Intel-Test rechnet zumindest ein paar Sachen mit ein, was die 
Wortverwendung betrifft. Ersetzt man z.B. "powerhorse" durch 
irgendwelche Buchstaben gleicher Länge, steigt die benötigte Zeit 
erheblich.

Ansonsten schreiben sie ja selbst, dass der Test keinesfalls eine 
Garantie ist. Man muss natürlich immer beachten, wie genau der Angriff 
erfolgt. Z.B. durch ein Tool, dass die 100 häufigsten Wörter mit Zahlen 
kombiniert oder einen gezielten Angriff, bei dem nicht nur die Sprache 
des Opfers sondern auch alle Geburtsdaten der Familienmitglieder usw 
bekannt sind.

Wenn nun irgend ein Scriptkiddie seinen Paswortcracker so konfiguriert, 
dass er folgendes Schema abklopft: 
"häufiges_Wort1+häufiges_Wort2..+Ziffer_n" mag er vielleicht nur einen 
kleinen Prozentsatz der englischsprachigen Nutzer erwischen, bei 
sensiblen/ wertvollen Daten reicht das.
Z.B. wenn mal wieder ein Datensatz samt (verschlüsselter/ gehashter) 
Passwörter "verloren" geht.

Bei den Adobepasswörtern hat man ja sehr deutlich gesehen, dass ein 
Angreifer gar keine so hohe Kreativität benötigt ;-)

Noch mal zu dem xkcd Beispiel:
Bei einem 20+ stelligem Passwort ist man sicher noch gut dabei, wenn man 
schätzt, dass die 4 Wörter innerhalb der 3000 meist verwendeten liegen: 
4^3000. Wenn man dann aber die Länge kennt, oder nur 8-12 Zeichen zur 
Verfügung hat (was den meisten Webseiten entsprechen dürfte) wird das 
eben deutlich unsicherer. Daher würde ich persönlich bei den meisten 
Passwörtern nicht auf Sonderzeichen verzichten wollen ;-)

Rufus Τ. Firefly schrieb:
> Mit dem leicht zu merkenden

Ach was, das ist bestimmt schon als Template im Passwortgenerator 
hinterlegt ;-) Da haben dann die Skriptkiddies, die sonst nie was 
konfiguriert bekommen auch mal Erfolg.

A. K. schrieb:
> Wenn Schemata aus solchen Wortmustern um sich greifen und die
> Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren"
> umsteigen, dürfte die Bilanz wieder anders aussehen.

Das ist längst der Fall, daher sind simple Aneinanderreihung von 
Wörterbuchwörtern als unsicher anzusehen.

Beispiele für geknackte Passwörter:
thatsthewayilikeitbabyidontwannaliveforever
qwertzuiopüasdfghjklöäyxcvbnm,.-

Mehr gibts hier zu lesen:
http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html

Timm Thaler schrieb:
> Machen wir es mal an einem kurzen Zeichensatz fest.

Von der Theorie würde ich dir zustimmen, in der Praxis würde ich das 
jedoch als nicht relevant bzw. nicht allzu gewichten da es auch noch 
darauf ankommt, welche Methode der Angreifer zum entschlüsseln nimmt..

Zumal müsste der Angreifer ebenfalls wissen, welche Passwortrichtlinien 
du gesetzt hast, sonst kann er schlecht seine Algos zum entschlüsseln 
anpassen. So würde ihm nicht anderes übrig bleiben, als die Gesamte 
Palette durchzueiern. Erst recht, wenn er nur einen Hash ohne 
Herkunftsangaben hat.

Timm Thaler schrieb:
> Das Problem ist doch, dass die Verwendung von Sonderzeichen zu schwer zu
> merkenden Passwörtern führt, so dass Passwörter mit weniger Stellen
> verwendet werden.

Nein, das eigentliche Problem besteht darin, daß 90% der User zu faul 
und zu phantasielos sind, sich ein gutes Paßwort auszudenken. Es kann 
doch nun wahrlich nicht so schwer sein, sich einen einfachen Satz zu 
merken, z.B.

"meinschönerSchrebergarten"

...und wenigstens zwei der vorkommenden Buchstaben durch eine Zahl oder 
ein Sonderzeichen zu ersetzen. Natürlich nicht gerade die üblichen 
Ersetzungen, sondern zufällig gewählte. Beispiel:

"m8insch%n8rSchr8b8rgart8n"

Das ist dann auch sicher:
"It would take about 8148724506676778000 years to crack"

"Das kann ich mir nicht merken, huäh heul". Nein User Faulpelz, du bist 
einfach nur zu stinkig, dir drei Dinge zu merken, den Satz und die 
Ersetzungen "e" durch "8" und "ö" durch "%".

Hallo,

das Problem ist ja weniger, sich ein Passwort auf diese Weise zu merken, 
sondern dass man ja eigentlich für jeden Zugang ein eigenes Passwort 
verwenden soll.
Und wenn man mal überlegt bei wievielen Shops, Mailern, Foren man 
angemeldet ist, und wie selten man manche davon benutzt, dann ist die 
ursprüngliche Frage des TO, nämlich wie merke ich mir, welches Passwort 
ich für welchen Zugang verwendet habe, durchaus berechtigt.
Man müsste sich eine Verknüpfung zwischen der Seite und dem Passwort 
ausdenken, die man dann im Kopf herleiten kann, sowas wie 
"NameDerSeiteRückwärts" o.ä., also ein festes Schema, nach dem man das 
Passwort bildet. Dann ist es mit dem merken wieder leicht, und man kann 
für jeden Zugang ein separates Passwort wählen.

Grüße,
Andario

bissl Offtopic zu meinen Ansichten hinsichtlich Passwörtern
Wichtig ist auf jeden Fall meiner Meinung nach, das es keine 
offensichtlichen Längenbegrenzungen gibt a la "Ihr Passwort muss mehr 
als 7 und weniger als 9 Zeichen haben" und das nicht Hollywood-mässig 
bei der Eingabe zurückgegeben wird wieviel davon nicht stimmt.

Wir sind ja hier nicht bei traditionellen Safe-Schlössern, bei denen man 
hört ob es einrastet.

Ansonsten halt hab ich immer noch so den wirren Gedanken das man ja wie 
zu Schulzeiten einen Text einfach auswendig lernt. Aber hier gilt ja 
wieder, wenn jemand das Muster kennt "Passwort ist ein Schulgedicht mit 
korrekter Interpunktion und Co." dann reduziert das die Möglichkeiten 
schon wieder auf ein schaffbares Volumen.

Wenn aber nur bekannt ist "Hier muss ein Passwort unbestimmter Länge 
rein" und es kommt nur ok oder not ok zurück, dann kann es schon dauern 
bis sich der Passwort-Guesser zu Goethes/Fausts Osterspaziergang 
durchgehangelt hat.

Timm Thaler schrieb:
> Das Problem ist doch, dass die Verwendung von Sonderzeichen zu schwer zu
> merkenden Passwörtern führt, so dass Passwörter mit weniger Stellen
> verwendet werden.

Ich sehe das Problem aber oft umgekehrt. Bei vielen  Seiten muss das 
Passwort zwischen z.B. 8 und 12 Zeichen lang sein. Nun muss ein 
Angreifer nur 8, 9, 10, 11 und 12er Passwörter durchgehen, wenn er die 
Wörter dazu aus dem Wörterbuch nehmen kann, fällt es ihm nicht schwer.
Da erhöht man die Sicherheit durch Sonderzeichen schon enorm.

Timm Thaler schrieb:
> Warum? Die Substitution ist vollkommen unnötig und erhöht die Sicherheit
> nur scheinbar.

Warum nur scheinbar? ob ich bei einem 8-Stelligen Passwort 8^26 oder 
8^99 habe macht schon einen Unterschied.
Dass nun "mine" -> "m1ne" nicht viel bringt sollte klar sein, aber gegen 
"m9n%" wäre abgesehen von der Länge weniger auszusetzen. Gegen ein 
Passwort, dass tatsächlich zufällig generiert wurde noch viel weniger.

Timm Thaler schrieb:
> Allerdings ist das Ausgangspasswort auch schrott, weil Du es auf
> bestimmten Tastaturen nicht eingeben kannst.

Wie oft kommt das vor? Ich persönlich war noch nie in der Bedrängnis, 
mich von einer nicht-deutschen Tastatur bei eBay, etc einzuloggen. Falls 
ich es doch müsste, könnte man sich die entsprechenden Symbole auch 
zusammen kopieren oder die Tastatursprache umstellen.

Da aber die Tastaturen der meisten Leute in der jeweiligen Landessprache 
sind, musst du mir mal erklären, warum es von Vorteil sein soll, wenn 
man das Passwort auf möglichst vielen fremden Tastaturen eingeben kann. 
In der Regel gehört zu einer fremden Tastatur nämlich auch ein fremder 
PC.

Ist hier schon mal jemanden hier die Idee gekommen das ihr mehr Zeit mit 
der such nach sicheren Passwörtern verbringt als die hochtechnisierten 
Passworthacker benötigen diese zu knacken. Passwörter sind und bleiben 
eine krücke um menschen davon abzuhalten etwas zu erfahren.

 Im Kampf Maschine gegen Maschine sind sie so gut wie nutzlos.

 Da entscheiden Performanz, Strategie und Taktik.


Um eine durch Menschen erdachten Text mit endlichem Zeichensatz zu 
enschlüsseln kann der Schlüssel größer sein als der eingentliche Text.

Trotzdem wird er schneller zu entschlüsseln sein als ihr für das merken 
eurer Superpasswörter benötigt. Ganz einfach weil die Information im 
verschlüsselten Text enthalten ist.

Von daher ist es leichter eine vermutete Information mittls Korrelation 
aus einem verschlüsselten Text zu fischen und von dieser Korrelation auf 
das Passwort zu schließen als ein beliebiges Passwort zu erraten.

Namaste

Winfried J. schrieb:
> Ist hier schon mal jemanden hier die Idee gekommen das ihr mehr Zeit mit
> der such nach sicheren Passwörtern verbringt als die hochtechnisierten
> Passworthacker benötigen diese zu knacken.

Ja, daran wird man insbesondere in Umgebungen erinnert, die Richtlinien 
für sichere Passwörter erzwingen und 2-3 Mal ein neues sehen wollen.

> Trotzdem wird er schneller zu entschlüsseln sein als ihr für das merken
> eurer Superpasswörter benötigt. Ganz einfach weil die Information im
> verschlüsselten Text enthalten ist.

Passwörter dienen nicht zwangsläufig der Verschlüsselung.

Um Passwörter zu erraten ist die Verifikation eines korrekten Passwortes 
entscheidend. Bei Online-Systemen ist das oft nur begrenztem Umfang 
möglich. So wird deine Bank bei x-ten Versuch, irgendwelchen Unsinn 
einzugeben, den Zugang schlicht sperren. Ende der Vorstellung.

Interessanter ist daher oft der Zugriff auf die entsprechenden 
Datenbanken in den Servern. Selbst wenn da das Passwort als Hash 
gespeichert wird lässt sich damit deutlich mehr Unfug stiften als bei 
der überdies langsamen Online-Prüfung.

Multipass? ^^

http://s48.photobucket.com/user/Hehlua/media/Multipass.jpg.html

@ AK

genau das ist der Kern meiner Aussage

Kann ich eine Korrelation zwischen einem Veschlüsselten Datum und einem 
beliebigen Ereignis vermuten so muss ich diese Korrelation nur 
verifizieren und neben her erfahre ich zumindest ein gültiges 
MetaPasswort mit welchem ich die restliche Datenbaank sofern sie das 
gleiche Metapasswort verwendet in klartext vor mir habe.

Deshalb ist es besonders unsinnig Verschlüsselungen auf offensichtlich 
Korrelationen zu verwenden und für diese gar ein 
Universalpaswort/~algorythmus zu verwenden damit werden sowohl 
Algorythmus als auch Passwort kompromitiert.

Verschlüsselung und passwort bieten nur eine zeitliche und technologisch 
begrenzte Sicherheit. Maschhinen können schneler und leichter 
kombinieren und verifizieren als Menschen. Menschen haben dafür eine 
Intuition welche maschinen grundsätzlich abgehet, welche sie aber 
inzwischen leicht mittels Kombinatorik nachbilden und somit 
substituieren können.

Somit ist der Glaube an sicherer Kommunikation ein Mythos der zu Grabe 
getragen gehört, worauf ein Herr Snoden viel Mühe und Risiko verwand 
hat.
Und nun kommen die "Passwortmerker" wieder mit der alten Mähr daher, nur 
um die Legende von Sicherheit durch Verschlüsselung wieder zu beleben 
und so den Abgreifern das Leben zu erleichtern, indem sie die Massen in 
Sicherheitglauben verblöden.

Winfried J. schrieb:
> @ AK
>
> genau das ist der Kern meiner Aussage

Bahnhof. Was ist ein Metapassword?

Passwörter werden zudem meist nicht verschlüsselt gespeichert, sondern 
gehashed. Einen sicheren Algorithmus vorausgesetzt ist es nicht möglich, 
aus dem Hash das Password zurück zu gewinnen.

> Und nun kommen die "Passwortmerker" wieder mit der alten Mähr daher, nur
> um die Legende von Sicherheit durch Verschlüsselung wieder zu beleben
> und so den Abgreifern das Leben zu erleichtern, indem sie die Massen in
> Sicherheitglauben verblöden.

Und andererseits kommen jene, die aus Angst, unangenehm auffallen zu 
können, lieber vorsorglich allen interessierten Kreisen alle Information 
frei Haus liefern.

Winfried J. schrieb:
> Verschlüsselung und passwort bieten nur eine zeitliche und technologisch
> begrenzte Sicherheit.

Logisch. Was denn sonst? Für jeden Panzer gibts einen passenden 
Panzerknacker. Trotzdem gibts Panzer.

Andreas Hartig schrieb:
> Und wenn man mal überlegt bei wievielen Shops, Mailern, Foren man
> angemeldet ist, und wie selten man manche davon benutzt, dann ist die
> ursprüngliche Frage des TO, nämlich wie merke ich mir, welches Passwort
> ich für welchen Zugang verwendet habe, durchaus berechtigt.

Selten benutzte Paßwörter muß man sich doch gar nicht merken. Die packt 
man in eine verschlüsselte Datei und denkt sich dafür ein möglichst 
sicheres Kennwort aus. Dann ist es auch kein Problem, für kritische 
Onlinedienste völlig sinnlose und lange Zeichenfolgen zu verwenden und 
diese per CopynPaste einzutragen. Das wiederum ist den meisten aber 
schon wieder zu viel, Bequemlichkeit siegt stets über Sicherheit. 
Jedenfalls bis zum Schadeneintritt.

Timm Thaler schrieb:
> Warum? Die Substitution ist vollkommen unnötig und erhöht die Sicherheit
> nur scheinbar.

Nicht scheinbar, sondern signifikant, weil sie das Vorberechnen von 
Hashtabellen extrem erschwert. Deine Argumente diesbezüglich ziehen nur 
bei sehr kurzen Paßwörtern.

> Allerdings ist das Ausgangspasswort auch schrott, weil Du es auf
> bestimmten Tastaturen nicht eingeben kannst.

Das war a) nur ein Beispiel und b) ist dies bisher das am weitesten 
hergeholte Argument.

Timm Thaler schrieb:
> Denkfehler: Der Angreifer muss trotzdem 8^99 testen, da er ja nicht
> weiss, welche Zeichen Du verwendet hast.

Nicht wenn die Wahrscheinlichkeit berücksichtigt wird. Die häufigsten 
Zeichen zuerst.

Icke ®. schrieb:
> Selten benutzte Paßwörter muß man sich doch gar nicht merken. Die packt
> man in eine verschlüsselte Datei und denkt sich dafür ein möglichst
> sicheres Kennwort aus.
Das ist zwar nicht restlos sicher, aber meiner Meinung nach die einzig 
praktikable Methode.
Es häufen sich schnell hundert Passwörter für verschiedenste 
Onlinedienste an. Zusätzlich das Admin/root-Passwort fürs Betriebssystem 
und den Internetrouter. Dazu kommen PINs von EC- und Kreditkarten, der 
Entsperrcode fürs Handy und für die SIM, zusätzlich noch Kombinationen 
für das Fahrradschloss und den Safe. Selbst das Autoradio will einen 
Code haben. Das alles kann man sich unmöglich merken, wenn die 
Passwörter verschieden sein sollen.

> ... weil sie das Vorberechnen von Hashtabellen extrem erschwert.
Hashtabellen sollten bei einem halbwegs aktuellen System aufgrund von 
"Salz" sowieso nicht mehr funktionieren.


Timm Thaler schrieb:
> Dann mach mal Urlaub in Frankreich oder Dänemark und versuch dort im
> Internet-Cafe Deine Emails zu lesen.
Auf unsicheren PCs sollte man sowieso keine wichtigen Passwörter 
eingeben. Die Gefahr, dass diese lokal mitgeschnitten werden ist relativ 
groß.

A. K. schrieb:
> Nicht wenn die Wahrscheinlichkeit berücksichtigt wird. Die häufigsten
> Zeichen zuerst.

Genau so ist es. Wenn ich alle 99 Symbole verwende, habe ich eine gute 
Chance, dass mein Passwort nicht geknackt wird. Dem Angreifer reichen da 
sicher die Leute, die nur 26 verwenden. Warum expotentiell höheren 
Aufwand betreiben um an ein paar Accounts mehr zu kommen?

Timm Thaler schrieb:
> Dann mach mal Urlaub in Frankreich oder Dänemark und versuch dort im
> Internet-Cafe Deine Emails zu lesen. Da suchst Du erstmal die
> Zeichentabelle...

Wie ich oben schon schrieb:

Sni Ti schrieb:
> In der Regel gehört zu einer fremden Tastatur nämlich auch ein fremder
> PC.

Wenn ich tatsächlich in einem Internetcafé meine Mails checken würde, 
hättest du auch recht mit deinem Argument 26 vs 99 Zeichen. Dem 
Keylogger ist es in der Tat egal ob ich nun Sonderzeichen verwende oder 
nicht.

In der heutigen Zeit sehe ich persönlich keinen Grund (außer in 
absoluten Notfällen) sich in einem Internetcafé einzuloggen. Heute haben 
bestimmt 98% entweder Notebook, Tablet oder/und Smartphone dabei. Wenn 
man sich da ein WLAN sucht, kann man das Passwort zumindest über SSL 
schützen, statt es als Klartext am fremden PC einzugeben. Und die Leute, 
die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu 
dem Personenkreis, der es 2 Wochen ohne Mails aushält ;-)

> Und die Leute,
> die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu
> dem Personenkreis, der es 2 Wochen ohne Mails aushält

nö!

Winfried J. schrieb:
>> Und die Leute,
>> die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu
>> dem Personenkreis, der es 2 Wochen ohne Mails aushält
>
> nö!

OK, ich formuliere es um; zumindest die Schnittmenge sollte hier relativ 
groß sein.
Hätte ich selbst kein Smartphone, hätte ich auch kein Problem damit für 
zwei Wochen eine automatische Antwort "bin im Urlaub" einzurichten. Da 
könnte ich mich deutlich besser entspannen (in doppelter Hinsicht) als 
wenn ich Internetcafés nutzen würde.

Bei mir ist es genau umgekehrt. Wenn ich dienstlich unterwegs bin ist 
schon ein Handy zu sensibel für meinen rauhen Arbeitsalltag.
 Ein Smartphon wäre  bei mir unter einer Woche im Wert unterhalb der in 
ihm selbst verbauten Rohstoffe angelangt.
 In meiner Freizeit wäre es nett aber sinnlos. Da ist schon das Laptop 
der Overkill. Neuerdings "tyranisiert " mich meine OW permanent mit 
Fragen aus "Quisduell" seid ihre Töchter ihr ein I_Pad_Mini zum 
Geburtstag aufs Auge drückten um ihre Mutter an die Leine zu legen. 
Zugegeben ich spiele auch damit, aber bei der Arbeit? Ich würde 
wahnsinnig müsste ich so ein Teil tagsüber hüten. Bin ich daheim tuts 
der Desktop sehr komod, im Hotel der Laptop, aber Mails und Internet? 
Ohne das würd ich was anderes tun, tu ich aber nicht. ;)

Namaste

Ich möchte hier einwerfen, dass es zumindest bei vertrauenswürdigen 
Online-Plattformen nicht ohne Weiteres von außen möglich ist, alle n^m 
Passwortkombinationen mit brute-force oder rainbowtables auszuprobieren.

Klar, darf ein Passwort nicht leicht zu erraten sein oder in der Top 100 
der meist genutzten Passwörter stehen, aber Webseiten, die nur eine 
gewisse Anzahl an Fehl-Logins zulassen, bevor gesperrt und/oder der 
Betroffene benachrichtigt wird, wirken der teilweise hier zu 
mathematisch diskutierten Passwortkombinations-Diskussion entgegen.

Banking-Portale und andere Webseiten die hoch kritische Daten verwalten, 
verwenden mittlerweile vermehrt eine 2-Wege-Authentifizierung, in dem 
zwei (hoffentlich) unabhängige Geräte in den Login-Prozess eingebunden 
werden (z.B. mTAN).
Todsicher? Nichts ist unmöglich, aber schwieriger knackbar zu machen!

Meine obigen Punkte beziehen sich auf Systeme, auf die ein Angreifer nur 
von Außen Zugriff hat. Geht es darum, eine geklaute Datenbank oder 
andere Daten mit direktem (lokalen) Zugriff zu knacken, gelten die 
Gesetze der Kombinatorik, des Social Engineerings, der Rechenpower usw..

Das sicherste Masterpasswort für Keepass & Co ist hinfällig, wenn 
zwischen Tastatur (oder Maus) unbemerkt ein USB-Keylogger steckt, der 
die Eingaben per Bluetooth/WLAN/usw. an den Angreifer weiterleitet.
Guckt mal bei Amazon unter "KeyGrabber USB" und ab und zu mal hinten an 
Euren Rechnern nach.

Unter uns: Ich kann dieses Passwort hier "aHz32T" überall auf einem 
Zettel liegen lassen, solange niemand meinen Benutzernamen oder die 
Plattform dafür kennt, denn die Kombinationen und der Aufwand die 
letzten beiden Informationen zu beschaffen übersteigt meist die 
Passwortsicherheit an sich, vorausgesetzt ein Fremder findet den Zettel 
und kann keine Rückschlüsse auf mich schließen (social hacking).
Sicherheitsabfragen für Kennwortzurücksetzungen können riesige 
Sicherheitslöcher bilden. Das Passwort ist megasicher und die 
Sicherheitsabfrage z.B. durch den Expartner zu beantworten. Mhh, fail!

Alles zusammengenommen: lange, komplexe Passwörter sind natürlich super 
und erstrebenswert - ganz klar! Aber wer sich für vertrauenswürdige 
Online-Portale nicht in eine persönliche OutOfMemoryException befördern 
möchte, sollte nicht nur der Komplixität seiner Passwörter Wichtigkeit 
beimessen, sondern auch noch die anderen Sicherheitsaspekte 
berücksichtigen, wie eine 2-Wege-Authentifizierung nutzen, sichere 
Antworten für Sicherheitsabfragen haben und auf Mitteilungen auf 
Fehl-Logins achten usw..