Hallo, um meine Passwörter sicher zu verwalten möchte ich ein (kleines) Gerät mit Display einsetzen, welches bei Bedarf mittels Masterpasswort die gesicherten Passwörter freigibt. Ein Handy kommt dabei nicht Frage, da es mir einfach zu unsicher ist. Was gibt es? Was ist zu empfehlen? Viele Grüße Jochen
:
Verschoben durch User
Ich nutze dazu ein Stück Karton, auf welchem diverse Codes verschlüsset aufgeschrieben sind. Ich entschlüssle dann "on the fly". Vorteil: kleine Bauform!
John Drake schrieb: > Ich nutze dazu ein Stück Karton, auf welchem diverse Codes verschlüsset > aufgeschrieben sind. Soll im Ernstfall auch leichter vernichtbar sein, sagt man. Oder hat schon mal jemand sein Handy gegessen?
A. K. schrieb: > Oder hat schon mal jemand sein Handy gegessen? Vor der Erfindung der Smartphones gab es ja mal den Trend, daß die Dinger immer kleiner werden mussten, da konnte man sie beim Einatmen durchaus verschlucken ...
Ich seh die Sache irgendwie immer zwiegespalten. Zettel mit Passwort am Heimrechner halte ich für relativ legitim. Ist ja elektronisch nicht auszulesen. Wenn der Rechner nur zu Hause steht ist auch die Gefahr eines Fremdzugriffs auf den Zettel eher gering. Wenn jemand bei einem einbricht und dann eh an der Elekrtronik sitzt macht das nun auch nicht groß etwas ob das PW nun aufm Zettel steht oder der Einbrecher das dann knackt nachdem er mit dem Rechner unterm Arm verschwunden ist.
Das ist vermutlich genau das, was du suchst: http://hackaday.io/project/86-Mooltipass Aber noch nicht ganz fertig..
Sowaa merkt man sich im Kopf da kommt keiner ran. 4 bis 8 Stellige Pins kann man sich hoffentlich merken, wenn nicht wenigstens die Handbewegung auf einem Keypad. Mit System kann man sich große und sichere Passwörter gut merken. Minimal Beispiel: Man mag die Sonne und die letzen drei stellen der telefonnummer von der Mutti seien 123. Da es so schön ist Rahmt man sich sein Passwort noch in Ausrufezeichen ein und benutzt Sonderzeichen die Buchstaben ähnlich sehen !ichm@g$onne123! Und sowas kann man locker auf 30 stellige Passwörter ausweiten wenn man will. Geht es darum vorgegebene Passwörter zu merken hilft man sich mit ner Geschichte. GWI4E: Gestern war ich 4 mal essen Um so dämlicher der Satz oder die Geschichte umso besser kann man sich das merken.
A. K. schrieb: > Oder hat > schon mal jemand sein Handy gegessen? Zumindest haben schon Leute ihre Sim Karte gegessen. Was heute auch nichts mehr nützt... Einfach zu merkende Passwörter nutzen: http://xkcd.com/936/
Alte Lochkarten, Ferritkernspeicher, EPROMs, 8Zoll-Disketten oder Datasetten eignen sich hervorragend zur Datenablage. Die meisten Scriptkiddies können damit nichts anfangen.
:
Bearbeitet durch User
Mike Mike schrieb: > Da es so schön ist Rahmt man sich sein Passwort noch in Ausrufezeichen > ein und benutzt Sonderzeichen die Buchstaben ähnlich sehen > > !ichm@g$onne123! > > Geht es darum vorgegebene Passwörter zu merken hilft man sich mit ner > Geschichte. > > GWI4E: Gestern war ich 4 mal essen > > Um so dämlicher der Satz oder die Geschichte umso besser kann man sich > das merken. Das ist alles schön und gut, aber funktioniert nicht wenn man so bescheuerte Systeme hat wo man das Passwort alle paar Wochen ändern muß.... Außer man verfügt über einen "Gedächtnispalast" wie der aktuelle Sherlock.
Timm Thaler schrieb: > Einfach zu merkende Passwörter nutzen: http://xkcd.com/936/ Wobei man beachten sollte, dass es einem Bot nicht schwer fällt ein Wörterbuch (und etwaige Kombinationen) abzuarbeiten. Man sollte sich also nicht verleiten lassen, "powerhorse" mit "P0w.rhörs' " gleichzusetzen. beim ersten Beispiel sind nur Kleinbuchstaben vorhanden, für jedes Symbol bestehen also nur 26 Möglichkeiten. Zudem lässt sich das mit entsprechend optimierten Algorithmen recht schnell raus-finden, indem z.B. beliebte "Vorwörter" mit einem Wörterbuch kombiniert werden. Hängt natürlich auch immer davon ab, wofür man das Passwort verwenden will. Der Onlinezugang zu einem Browsergame, bei dem nach dreimaliger Falscheingabe der Zugang gesperrt wird? Da hätte ich kein Problem mit "powerhorse". Die Festplattenverschlüsselung würde ich mir allerdings sparen, wenn ich mir nicht mehr als "powerhorse" merken will. Intel meint zu den Passwörtern: P0w.rhörs' 4 Monate powerhorse 0s correcthorsebatterystaple 144 Mio. Jahre https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html
Sni Ti schrieb: > P0w.rhörs' 4 Monate > powerhorse 0s > correcthorsebatterystaple 144 Mio. Jahre Eine Erkenntnis, die Compuserve schon von 2 Jahrzehnten hatte. Deren Passwörter nach dem Muster <Wort1><Sonderzeichen><Wort2> aufgebaut waren. Die wäre Intel zufolge heute noch einigermassen brauchbar. Allerdings dürfte Intel hier mehr oder weniger nach dem simplen Prinzip "Zeichensatz" hoch "Länge" gehen, ohne Wortmuster auf der Rechnung zu haben. Wenn Schemata aus solchen Wortmustern um sich greifen und die Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren" umsteigen, dürfte die Bilanz wieder anders aussehen. Denn dann landet man bei "correcthorsebatterystaple" bei "Grundwortschatz hoch 4" statt "26 hoch 25".
:
Bearbeitet durch User
"mybonnieisovertheocean" braucht 12 Jahre. Das kürzere "peterissteinewurst" braucht schon 214325 Jahre, da scheint die Sprache wohl eine Rolle zu spielen. Und "We will not retain information entered into this password grader." braucht dann schon 1.2502964779092521e+50 Jahre. Mit dem leicht zu merkenden "Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum." kommt man dann auf geringfügig sicherere 2.3340002467998337e+276 Jahre. Und "Allerdings dürfte Intel hier mehr oder weniger nach dem simplen Prinzip "Zeichensatz" hoch "Länge" gehen, ohne Wortmuster auf der Rechnung zu haben. Wenn Schemata aus solchen Wortmustern um sich greifen und die Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren" umsteigen, dürfte die Bilanz wieder anders aussehen." gilt als "infinity years". Ob dieser Intel-Passwort-Tester wirklich ernstzunehmen ist?
:
Bearbeitet durch User
A. K. schrieb: > Wenn Schemata aus solchen Wortmustern um sich greifen und die > Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren" > umsteigen, dürfte die Bilanz wieder anders aussehen. Klartextpaßwörter, auch in solchen Kombinationen, sind viel zu leicht knackbar und daher ein NoGo. Zumindest die Verfremdung mittels Zahlen und Sonderzeichen ist Pflicht. Laut dem Intel-Test wird eher die Sonne zur Supernova, als daß jemand meine Paßwörter knackt. Leider steht dort nicht, auf welche Hardware sich der Test bezieht. Was auf dem heimischen PC Millionen Jahre dauert, kann auf fußballfeldgroßen GPU-Arrays, wie sie vermutlich die NSA besitzt, durchaus in Sekunden erledigt sein.
Der Intel-Test rechnet zumindest ein paar Sachen mit ein, was die Wortverwendung betrifft. Ersetzt man z.B. "powerhorse" durch irgendwelche Buchstaben gleicher Länge, steigt die benötigte Zeit erheblich. Ansonsten schreiben sie ja selbst, dass der Test keinesfalls eine Garantie ist. Man muss natürlich immer beachten, wie genau der Angriff erfolgt. Z.B. durch ein Tool, dass die 100 häufigsten Wörter mit Zahlen kombiniert oder einen gezielten Angriff, bei dem nicht nur die Sprache des Opfers sondern auch alle Geburtsdaten der Familienmitglieder usw bekannt sind. Wenn nun irgend ein Scriptkiddie seinen Paswortcracker so konfiguriert, dass er folgendes Schema abklopft: "häufiges_Wort1+häufiges_Wort2..+Ziffer_n" mag er vielleicht nur einen kleinen Prozentsatz der englischsprachigen Nutzer erwischen, bei sensiblen/ wertvollen Daten reicht das. Z.B. wenn mal wieder ein Datensatz samt (verschlüsselter/ gehashter) Passwörter "verloren" geht. Bei den Adobepasswörtern hat man ja sehr deutlich gesehen, dass ein Angreifer gar keine so hohe Kreativität benötigt ;-) Noch mal zu dem xkcd Beispiel: Bei einem 20+ stelligem Passwort ist man sicher noch gut dabei, wenn man schätzt, dass die 4 Wörter innerhalb der 3000 meist verwendeten liegen: 4^3000. Wenn man dann aber die Länge kennt, oder nur 8-12 Zeichen zur Verfügung hat (was den meisten Webseiten entsprechen dürfte) wird das eben deutlich unsicherer. Daher würde ich persönlich bei den meisten Passwörtern nicht auf Sonderzeichen verzichten wollen ;-) Rufus Τ. Firefly schrieb: > Mit dem leicht zu merkenden Ach was, das ist bestimmt schon als Template im Passwortgenerator hinterlegt ;-) Da haben dann die Skriptkiddies, die sonst nie was konfiguriert bekommen auch mal Erfolg.
A. K. schrieb: > Wenn Schemata aus solchen Wortmustern um sich greifen und die > Knackprogramme von "buchstabenweise probieren" auf "wortweise probieren" > umsteigen, dürfte die Bilanz wieder anders aussehen. Das ist längst der Fall, daher sind simple Aneinanderreihung von Wörterbuchwörtern als unsicher anzusehen. Beispiele für geknackte Passwörter: thatsthewayilikeitbabyidontwannaliveforever qwertzuiopüasdfghjklöäyxcvbnm,.- Mehr gibts hier zu lesen: http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
Icke ®. schrieb: > Klartextpaßwörter, auch in solchen Kombinationen, sind viel zu leicht > knackbar und daher ein NoGo. Zumindest die Verfremdung mittels Zahlen > und Sonderzeichen ist Pflicht. Du hast das Bild nicht verstanden? Das Problem ist doch, dass die Verwendung von Sonderzeichen zu schwer zu merkenden Passwörtern führt, so dass Passwörter mit weniger Stellen verwendet werden. Und da schützen auch keine Sonderzeichen oder Leetspeak, weil das schon längst in den Rainbow-Tables mit drinsteht. Außerdem: Du darfst gern Sonderzeichen verwenden, aber die Verwendung zur Pflicht zu machen senkt die Sicherheit. Der mögliche Coderaum wird dadurch unnötig eingeschränkt. Aber das haben wir schon bei der Enigma falsch gemacht...
Timm Thaler schrieb: > Außerdem: Du darfst gern Sonderzeichen verwenden, aber die Verwendung > zur Pflicht zu machen senkt die Sicherheit. Der mögliche Coderaum wird > dadurch unnötig eingeschränkt. > Aber das haben wir schon bei der Enigma falsch gemacht... Deswegen hat's wohl bis 2013 und der Zuhilfenahme von verteiltem Rechnen gebraucht, bis der Funkspruch der U106 entziffert wurde. Den Zusammenhang zwischen Sonderzeichen und Enigma sehe ich übrigens nicht. Daher: -v, bitte. N0R
Norbert M. schrieb: > Deswegen hat's wohl bis 2013 und der Zuhilfenahme von verteiltem Rechnen > gebraucht, bis der Funkspruch der U106 entziffert wurde. Das lag daran, dass der Spruch sehr kurz war. > Den Zusammenhang zwischen Sonderzeichen und Enigma sehe ich übrigens > nicht. https://de.wikipedia.org/wiki/Enigma_%28Maschine%29#Kryptographische_Schw.C3.A4chen Es ist einfach eine blöde Idee, den Coderaum unnötig zu verkleinern. Alphabet Kleinbuchstaben: 26 Zeichen Alphabet Klein- und Groß: 52 Zeichen Alphabet und Ziffern: 62 Zeichen Alphabet, Ziffern und Sonderzeichen: 95 Zeichen, ja nach zugelassenen Sonderzeichen Damit ergeben sich im letzten Zeichensatz bei einem 8 stelligem Passwort 95^8 Möglichkeiten. Wird allerdings vorgegeben, dass zwingend Klein- und Großbuchstaben, mindestens eine Ziffer und mindestens ein Sonderzeichen enthalten sein müssen, dann entfallen schonmal alle Passwörter, die diese Bedingungen nicht erfüllen. Werden ausserdem Varianten wie 00000000 oder aaaaaaaa abgelehnt, entfallen auch diese Passwörter. Damit wird der Coderaum verkleinert und der Angreifer muss diese Kombinationen schonmal nicht mehr prüfen. Genau das ist bei der Enigma durch den Einsatz der Umkehrwalze passiert, die verhinderte, dass ein Buchstabe auf sich selbst verschlüsselt wurde.
Machen wir es mal an einem kurzen Zeichensatz fest. Es gibt nur AB und 12, das Passwort soll 2 Zeichen lang sein. Dann gibt es für ein uneingeschränktes Passwort 4^2 = 16 Möglichkeiten. AA, AB, A1, A2, BA, BB, B1, B2, 1A, 1B, 11, 12, 2A, 2B, 21, 22, Jetzt wird vorgegeben, dass min. 1 Buchstabe und min. 1 Ziffer vorhanden sein müssen. Damit wird das Passwort eingeschränkt auf 8 Möglichkeiten. .., .., A1, A2, .., .., B1, B2, 1A, 1B, .., .., 2A, 2B, .., .., Das kannst Du jetzt hochskalieren auf den vollen Zeichensatz.
Timm Thaler schrieb: > Machen wir es mal an einem kurzen Zeichensatz fest. Von der Theorie würde ich dir zustimmen, in der Praxis würde ich das jedoch als nicht relevant bzw. nicht allzu gewichten da es auch noch darauf ankommt, welche Methode der Angreifer zum entschlüsseln nimmt.. Zumal müsste der Angreifer ebenfalls wissen, welche Passwortrichtlinien du gesetzt hast, sonst kann er schlecht seine Algos zum entschlüsseln anpassen. So würde ihm nicht anderes übrig bleiben, als die Gesamte Palette durchzueiern. Erst recht, wenn er nur einen Hash ohne Herkunftsangaben hat.
:
Bearbeitet durch User
Timm Thaler schrieb: > Das Problem ist doch, dass die Verwendung von Sonderzeichen zu schwer zu > merkenden Passwörtern führt, so dass Passwörter mit weniger Stellen > verwendet werden. Nein, das eigentliche Problem besteht darin, daß 90% der User zu faul und zu phantasielos sind, sich ein gutes Paßwort auszudenken. Es kann doch nun wahrlich nicht so schwer sein, sich einen einfachen Satz zu merken, z.B. "meinschönerSchrebergarten" ...und wenigstens zwei der vorkommenden Buchstaben durch eine Zahl oder ein Sonderzeichen zu ersetzen. Natürlich nicht gerade die üblichen Ersetzungen, sondern zufällig gewählte. Beispiel: "m8insch%n8rSchr8b8rgart8n" Das ist dann auch sicher: "It would take about 8148724506676778000 years to crack" "Das kann ich mir nicht merken, huäh heul". Nein User Faulpelz, du bist einfach nur zu stinkig, dir drei Dinge zu merken, den Satz und die Ersetzungen "e" durch "8" und "ö" durch "%".
Hallo, das Problem ist ja weniger, sich ein Passwort auf diese Weise zu merken, sondern dass man ja eigentlich für jeden Zugang ein eigenes Passwort verwenden soll. Und wenn man mal überlegt bei wievielen Shops, Mailern, Foren man angemeldet ist, und wie selten man manche davon benutzt, dann ist die ursprüngliche Frage des TO, nämlich wie merke ich mir, welches Passwort ich für welchen Zugang verwendet habe, durchaus berechtigt. Man müsste sich eine Verknüpfung zwischen der Seite und dem Passwort ausdenken, die man dann im Kopf herleiten kann, sowas wie "NameDerSeiteRückwärts" o.ä., also ein festes Schema, nach dem man das Passwort bildet. Dann ist es mit dem merken wieder leicht, und man kann für jeden Zugang ein separates Passwort wählen. Grüße, Andario
Warum? Die Substitution ist vollkommen unnötig und erhöht die Sicherheit nur scheinbar. Allerdings ist das Ausgangspasswort auch schrott, weil Du es auf bestimmten Tastaturen nicht eingeben kannst.
bissl Offtopic zu meinen Ansichten hinsichtlich Passwörtern Wichtig ist auf jeden Fall meiner Meinung nach, das es keine offensichtlichen Längenbegrenzungen gibt a la "Ihr Passwort muss mehr als 7 und weniger als 9 Zeichen haben" und das nicht Hollywood-mässig bei der Eingabe zurückgegeben wird wieviel davon nicht stimmt. Wir sind ja hier nicht bei traditionellen Safe-Schlössern, bei denen man hört ob es einrastet. Ansonsten halt hab ich immer noch so den wirren Gedanken das man ja wie zu Schulzeiten einen Text einfach auswendig lernt. Aber hier gilt ja wieder, wenn jemand das Muster kennt "Passwort ist ein Schulgedicht mit korrekter Interpunktion und Co." dann reduziert das die Möglichkeiten schon wieder auf ein schaffbares Volumen. Wenn aber nur bekannt ist "Hier muss ein Passwort unbestimmter Länge rein" und es kommt nur ok oder not ok zurück, dann kann es schon dauern bis sich der Passwort-Guesser zu Goethes/Fausts Osterspaziergang durchgehangelt hat.
Timm Thaler schrieb: > Das Problem ist doch, dass die Verwendung von Sonderzeichen zu schwer zu > merkenden Passwörtern führt, so dass Passwörter mit weniger Stellen > verwendet werden. Ich sehe das Problem aber oft umgekehrt. Bei vielen Seiten muss das Passwort zwischen z.B. 8 und 12 Zeichen lang sein. Nun muss ein Angreifer nur 8, 9, 10, 11 und 12er Passwörter durchgehen, wenn er die Wörter dazu aus dem Wörterbuch nehmen kann, fällt es ihm nicht schwer. Da erhöht man die Sicherheit durch Sonderzeichen schon enorm. Timm Thaler schrieb: > Warum? Die Substitution ist vollkommen unnötig und erhöht die Sicherheit > nur scheinbar. Warum nur scheinbar? ob ich bei einem 8-Stelligen Passwort 8^26 oder 8^99 habe macht schon einen Unterschied. Dass nun "mine" -> "m1ne" nicht viel bringt sollte klar sein, aber gegen "m9n%" wäre abgesehen von der Länge weniger auszusetzen. Gegen ein Passwort, dass tatsächlich zufällig generiert wurde noch viel weniger. Timm Thaler schrieb: > Allerdings ist das Ausgangspasswort auch schrott, weil Du es auf > bestimmten Tastaturen nicht eingeben kannst. Wie oft kommt das vor? Ich persönlich war noch nie in der Bedrängnis, mich von einer nicht-deutschen Tastatur bei eBay, etc einzuloggen. Falls ich es doch müsste, könnte man sich die entsprechenden Symbole auch zusammen kopieren oder die Tastatursprache umstellen. Da aber die Tastaturen der meisten Leute in der jeweiligen Landessprache sind, musst du mir mal erklären, warum es von Vorteil sein soll, wenn man das Passwort auf möglichst vielen fremden Tastaturen eingeben kann. In der Regel gehört zu einer fremden Tastatur nämlich auch ein fremder PC.
Ist hier schon mal jemanden hier die Idee gekommen das ihr mehr Zeit mit der such nach sicheren Passwörtern verbringt als die hochtechnisierten Passworthacker benötigen diese zu knacken. Passwörter sind und bleiben eine krücke um menschen davon abzuhalten etwas zu erfahren. Im Kampf Maschine gegen Maschine sind sie so gut wie nutzlos. Da entscheiden Performanz, Strategie und Taktik. Um eine durch Menschen erdachten Text mit endlichem Zeichensatz zu enschlüsseln kann der Schlüssel größer sein als der eingentliche Text. Trotzdem wird er schneller zu entschlüsseln sein als ihr für das merken eurer Superpasswörter benötigt. Ganz einfach weil die Information im verschlüsselten Text enthalten ist. Von daher ist es leichter eine vermutete Information mittls Korrelation aus einem verschlüsselten Text zu fischen und von dieser Korrelation auf das Passwort zu schließen als ein beliebiges Passwort zu erraten. Namaste
Winfried J. schrieb: > Ist hier schon mal jemanden hier die Idee gekommen das ihr mehr Zeit mit > der such nach sicheren Passwörtern verbringt als die hochtechnisierten > Passworthacker benötigen diese zu knacken. Ja, daran wird man insbesondere in Umgebungen erinnert, die Richtlinien für sichere Passwörter erzwingen und 2-3 Mal ein neues sehen wollen. > Trotzdem wird er schneller zu entschlüsseln sein als ihr für das merken > eurer Superpasswörter benötigt. Ganz einfach weil die Information im > verschlüsselten Text enthalten ist. Passwörter dienen nicht zwangsläufig der Verschlüsselung. Um Passwörter zu erraten ist die Verifikation eines korrekten Passwortes entscheidend. Bei Online-Systemen ist das oft nur begrenztem Umfang möglich. So wird deine Bank bei x-ten Versuch, irgendwelchen Unsinn einzugeben, den Zugang schlicht sperren. Ende der Vorstellung. Interessanter ist daher oft der Zugriff auf die entsprechenden Datenbanken in den Servern. Selbst wenn da das Passwort als Hash gespeichert wird lässt sich damit deutlich mehr Unfug stiften als bei der überdies langsamen Online-Prüfung.
:
Bearbeitet durch User
@ AK genau das ist der Kern meiner Aussage Kann ich eine Korrelation zwischen einem Veschlüsselten Datum und einem beliebigen Ereignis vermuten so muss ich diese Korrelation nur verifizieren und neben her erfahre ich zumindest ein gültiges MetaPasswort mit welchem ich die restliche Datenbaank sofern sie das gleiche Metapasswort verwendet in klartext vor mir habe. Deshalb ist es besonders unsinnig Verschlüsselungen auf offensichtlich Korrelationen zu verwenden und für diese gar ein Universalpaswort/~algorythmus zu verwenden damit werden sowohl Algorythmus als auch Passwort kompromitiert. Verschlüsselung und passwort bieten nur eine zeitliche und technologisch begrenzte Sicherheit. Maschhinen können schneler und leichter kombinieren und verifizieren als Menschen. Menschen haben dafür eine Intuition welche maschinen grundsätzlich abgehet, welche sie aber inzwischen leicht mittels Kombinatorik nachbilden und somit substituieren können. Somit ist der Glaube an sicherer Kommunikation ein Mythos der zu Grabe getragen gehört, worauf ein Herr Snoden viel Mühe und Risiko verwand hat. Und nun kommen die "Passwortmerker" wieder mit der alten Mähr daher, nur um die Legende von Sicherheit durch Verschlüsselung wieder zu beleben und so den Abgreifern das Leben zu erleichtern, indem sie die Massen in Sicherheitglauben verblöden.
Winfried J. schrieb: > @ AK > > genau das ist der Kern meiner Aussage Bahnhof. Was ist ein Metapassword? Passwörter werden zudem meist nicht verschlüsselt gespeichert, sondern gehashed. Einen sicheren Algorithmus vorausgesetzt ist es nicht möglich, aus dem Hash das Password zurück zu gewinnen. > Und nun kommen die "Passwortmerker" wieder mit der alten Mähr daher, nur > um die Legende von Sicherheit durch Verschlüsselung wieder zu beleben > und so den Abgreifern das Leben zu erleichtern, indem sie die Massen in > Sicherheitglauben verblöden. Und andererseits kommen jene, die aus Angst, unangenehm auffallen zu können, lieber vorsorglich allen interessierten Kreisen alle Information frei Haus liefern.
Winfried J. schrieb: > Verschlüsselung und passwort bieten nur eine zeitliche und technologisch > begrenzte Sicherheit. Logisch. Was denn sonst? Für jeden Panzer gibts einen passenden Panzerknacker. Trotzdem gibts Panzer.
Andreas Hartig schrieb: > Und wenn man mal überlegt bei wievielen Shops, Mailern, Foren man > angemeldet ist, und wie selten man manche davon benutzt, dann ist die > ursprüngliche Frage des TO, nämlich wie merke ich mir, welches Passwort > ich für welchen Zugang verwendet habe, durchaus berechtigt. Selten benutzte Paßwörter muß man sich doch gar nicht merken. Die packt man in eine verschlüsselte Datei und denkt sich dafür ein möglichst sicheres Kennwort aus. Dann ist es auch kein Problem, für kritische Onlinedienste völlig sinnlose und lange Zeichenfolgen zu verwenden und diese per CopynPaste einzutragen. Das wiederum ist den meisten aber schon wieder zu viel, Bequemlichkeit siegt stets über Sicherheit. Jedenfalls bis zum Schadeneintritt. Timm Thaler schrieb: > Warum? Die Substitution ist vollkommen unnötig und erhöht die Sicherheit > nur scheinbar. Nicht scheinbar, sondern signifikant, weil sie das Vorberechnen von Hashtabellen extrem erschwert. Deine Argumente diesbezüglich ziehen nur bei sehr kurzen Paßwörtern. > Allerdings ist das Ausgangspasswort auch schrott, weil Du es auf > bestimmten Tastaturen nicht eingeben kannst. Das war a) nur ein Beispiel und b) ist dies bisher das am weitesten hergeholte Argument.
Sni Ti schrieb: > Warum nur scheinbar? ob ich bei einem 8-Stelligen Passwort 8^26 oder > 8^99 habe macht schon einen Unterschied. Denkfehler: Der Angreifer muss trotzdem 8^99 testen, da er ja nicht weiss, welche Zeichen Du verwendet hast. Gibt der Login aber vor, dass zwingend Sonderzeichen, gemischte Groß-Kleinschreibung und Zahlen enthalten sein müssen, muss der Angreifer weniger als 8^99 testen, weil alles, was da nicht reinfällt, ignoriert werden kann. Sni Ti schrieb: > Wie oft kommt das vor? Ich persönlich war noch nie in der Bedrängnis, Dann mach mal Urlaub in Frankreich oder Dänemark und versuch dort im Internet-Cafe Deine Emails zu lesen. Da suchst Du erstmal die Zeichentabelle...
Timm Thaler schrieb: > Denkfehler: Der Angreifer muss trotzdem 8^99 testen, da er ja nicht > weiss, welche Zeichen Du verwendet hast. Nicht wenn die Wahrscheinlichkeit berücksichtigt wird. Die häufigsten Zeichen zuerst.
Icke ®. schrieb: > Selten benutzte Paßwörter muß man sich doch gar nicht merken. Die packt > man in eine verschlüsselte Datei und denkt sich dafür ein möglichst > sicheres Kennwort aus. Das ist zwar nicht restlos sicher, aber meiner Meinung nach die einzig praktikable Methode. Es häufen sich schnell hundert Passwörter für verschiedenste Onlinedienste an. Zusätzlich das Admin/root-Passwort fürs Betriebssystem und den Internetrouter. Dazu kommen PINs von EC- und Kreditkarten, der Entsperrcode fürs Handy und für die SIM, zusätzlich noch Kombinationen für das Fahrradschloss und den Safe. Selbst das Autoradio will einen Code haben. Das alles kann man sich unmöglich merken, wenn die Passwörter verschieden sein sollen. > ... weil sie das Vorberechnen von Hashtabellen extrem erschwert. Hashtabellen sollten bei einem halbwegs aktuellen System aufgrund von "Salz" sowieso nicht mehr funktionieren. Timm Thaler schrieb: > Dann mach mal Urlaub in Frankreich oder Dänemark und versuch dort im > Internet-Cafe Deine Emails zu lesen. Auf unsicheren PCs sollte man sowieso keine wichtigen Passwörter eingeben. Die Gefahr, dass diese lokal mitgeschnitten werden ist relativ groß.
A. K. schrieb: > Nicht wenn die Wahrscheinlichkeit berücksichtigt wird. Die häufigsten > Zeichen zuerst. Genau so ist es. Wenn ich alle 99 Symbole verwende, habe ich eine gute Chance, dass mein Passwort nicht geknackt wird. Dem Angreifer reichen da sicher die Leute, die nur 26 verwenden. Warum expotentiell höheren Aufwand betreiben um an ein paar Accounts mehr zu kommen? Timm Thaler schrieb: > Dann mach mal Urlaub in Frankreich oder Dänemark und versuch dort im > Internet-Cafe Deine Emails zu lesen. Da suchst Du erstmal die > Zeichentabelle... Wie ich oben schon schrieb: Sni Ti schrieb: > In der Regel gehört zu einer fremden Tastatur nämlich auch ein fremder > PC. Wenn ich tatsächlich in einem Internetcafé meine Mails checken würde, hättest du auch recht mit deinem Argument 26 vs 99 Zeichen. Dem Keylogger ist es in der Tat egal ob ich nun Sonderzeichen verwende oder nicht. In der heutigen Zeit sehe ich persönlich keinen Grund (außer in absoluten Notfällen) sich in einem Internetcafé einzuloggen. Heute haben bestimmt 98% entweder Notebook, Tablet oder/und Smartphone dabei. Wenn man sich da ein WLAN sucht, kann man das Passwort zumindest über SSL schützen, statt es als Klartext am fremden PC einzugeben. Und die Leute, die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu dem Personenkreis, der es 2 Wochen ohne Mails aushält ;-)
:
Bearbeitet durch User
> Und die Leute, > die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu > dem Personenkreis, der es 2 Wochen ohne Mails aushält nö!
:
Bearbeitet durch User
Winfried J. schrieb: >> Und die Leute, >> die einem Smartphone bisher widerstehen konnten, gehören sicher auch zu >> dem Personenkreis, der es 2 Wochen ohne Mails aushält > > nö! OK, ich formuliere es um; zumindest die Schnittmenge sollte hier relativ groß sein. Hätte ich selbst kein Smartphone, hätte ich auch kein Problem damit für zwei Wochen eine automatische Antwort "bin im Urlaub" einzurichten. Da könnte ich mich deutlich besser entspannen (in doppelter Hinsicht) als wenn ich Internetcafés nutzen würde.
Bei mir ist es genau umgekehrt. Wenn ich dienstlich unterwegs bin ist schon ein Handy zu sensibel für meinen rauhen Arbeitsalltag. Ein Smartphon wäre bei mir unter einer Woche im Wert unterhalb der in ihm selbst verbauten Rohstoffe angelangt. In meiner Freizeit wäre es nett aber sinnlos. Da ist schon das Laptop der Overkill. Neuerdings "tyranisiert " mich meine OW permanent mit Fragen aus "Quisduell" seid ihre Töchter ihr ein I_Pad_Mini zum Geburtstag aufs Auge drückten um ihre Mutter an die Leine zu legen. Zugegeben ich spiele auch damit, aber bei der Arbeit? Ich würde wahnsinnig müsste ich so ein Teil tagsüber hüten. Bin ich daheim tuts der Desktop sehr komod, im Hotel der Laptop, aber Mails und Internet? Ohne das würd ich was anderes tun, tu ich aber nicht. ;) Namaste
:
Bearbeitet durch User
Ich möchte hier einwerfen, dass es zumindest bei vertrauenswürdigen Online-Plattformen nicht ohne Weiteres von außen möglich ist, alle n^m Passwortkombinationen mit brute-force oder rainbowtables auszuprobieren. Klar, darf ein Passwort nicht leicht zu erraten sein oder in der Top 100 der meist genutzten Passwörter stehen, aber Webseiten, die nur eine gewisse Anzahl an Fehl-Logins zulassen, bevor gesperrt und/oder der Betroffene benachrichtigt wird, wirken der teilweise hier zu mathematisch diskutierten Passwortkombinations-Diskussion entgegen. Banking-Portale und andere Webseiten die hoch kritische Daten verwalten, verwenden mittlerweile vermehrt eine 2-Wege-Authentifizierung, in dem zwei (hoffentlich) unabhängige Geräte in den Login-Prozess eingebunden werden (z.B. mTAN). Todsicher? Nichts ist unmöglich, aber schwieriger knackbar zu machen! Meine obigen Punkte beziehen sich auf Systeme, auf die ein Angreifer nur von Außen Zugriff hat. Geht es darum, eine geklaute Datenbank oder andere Daten mit direktem (lokalen) Zugriff zu knacken, gelten die Gesetze der Kombinatorik, des Social Engineerings, der Rechenpower usw.. Das sicherste Masterpasswort für Keepass & Co ist hinfällig, wenn zwischen Tastatur (oder Maus) unbemerkt ein USB-Keylogger steckt, der die Eingaben per Bluetooth/WLAN/usw. an den Angreifer weiterleitet. Guckt mal bei Amazon unter "KeyGrabber USB" und ab und zu mal hinten an Euren Rechnern nach. Unter uns: Ich kann dieses Passwort hier "aHz32T" überall auf einem Zettel liegen lassen, solange niemand meinen Benutzernamen oder die Plattform dafür kennt, denn die Kombinationen und der Aufwand die letzten beiden Informationen zu beschaffen übersteigt meist die Passwortsicherheit an sich, vorausgesetzt ein Fremder findet den Zettel und kann keine Rückschlüsse auf mich schließen (social hacking). Sicherheitsabfragen für Kennwortzurücksetzungen können riesige Sicherheitslöcher bilden. Das Passwort ist megasicher und die Sicherheitsabfrage z.B. durch den Expartner zu beantworten. Mhh, fail! Alles zusammengenommen: lange, komplexe Passwörter sind natürlich super und erstrebenswert - ganz klar! Aber wer sich für vertrauenswürdige Online-Portale nicht in eine persönliche OutOfMemoryException befördern möchte, sollte nicht nur der Komplixität seiner Passwörter Wichtigkeit beimessen, sondern auch noch die anderen Sicherheitsaspekte berücksichtigen, wie eine 2-Wege-Authentifizierung nutzen, sichere Antworten für Sicherheitsabfragen haben und auf Mitteilungen auf Fehl-Logins achten usw..
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.