Ich verwende ein System an verschiedenen Passwörtern und Passwort-Modifikationen anhand der Domain, so dass sich für jeden Webdienst automatisch ein Passwort ergibt. So muss ich keine Passwörter aufschreiben und habe doch für jeden Dienst ein anderes, kompliziertes Passwort. Was mich deshalb gewaltig nervt: Gewisse Dienste verlangen, dass das Passwort gewisse Regeln einhält. Mindestens 2 Grossbuchstaben, kein Minuszeichen, mindestens ein Sonderzeichen, aber nur +-*/! erlaubt, usw. Mein Passwörter sind extrem stark, können aber nie alle Regeln einhalten, da die Regeln sich unter verschiedenen Diensten sogar widersprechen. Was überlegen die sich eigentlich? Man zwingt den Benutzer sozusagen, sich genau für diesen Dienst ein separates Passwort auszudenken. Kein Mensch kann sich sowas merken, also bleibt nichts anderes, als es aufzuschreiben. Und das ist ja wohl völlig bescheuert... Warum machen die sowas? Das musst jetzt einfach mal raus, vielleicht kriege ich ja etwas Mitleid oder eine gute Erklärung.
ACK Erklärung: jeder kann halt spinnen wie er will.
Die Forderung nach Sonderzeichen ist realitätsferner Aktionismus. Beim Einsatz verschiedener Systeme gibt das Probleme wenn sie unterschiedlich codiert werden. Davon abgesehen ergeben sich durch den zusätzlichen Einsatz von Sonderzeichen relativ wenige zusätzliche Kombinationen im Vergleich zu einen längeren Passwort. Etwas wie $Passw0rd entspricht den meisten Regelwerken, dürfte aber in den Wörterbüchern enthalten sein. Weshalb nicht aufschreiben? Wer sich Zugang zu dieser Liste verschaffen kann kommt auch an den Rechner, wo sich dann ganz andere Möglichkeiten (Keylogger, präparierte USB-Geräte, oder sie sind schlicht und ergreifend im Browser gespeichert) ergeben. Oder wenn dann wieder wie vor kurzem im Fall der IKlaut die Sperre gegen das muntere durchprobieren umgangen werden kann wird es durch einen Anfängerfehler noch leichter. Genau so wie bei diesen Sicherheitsfragen nach Haustieren u.Ä. Wer sein Opfer kennt kommt dann ev. auch um die Passwortabfrage herum.
P. M. schrieb: > Mein Passwörter sind extrem stark, können aber nie alle Regeln > einhalten, da die Regeln sich unter verschiedenen Diensten sogar > widersprechen. Woher weiß du, dass sie sehr stark sind? P. M. schrieb: > Was überlegen die sich eigentlich? Man zwingt den Benutzer sozusagen, > sich genau für diesen Dienst ein separates Passwort auszudenken. 1. Man erzwingt zumindest ein gewisses Sicherheitslevel. "123456" als Passwort ist nun einmal deutlich populärer als "!z3A5G", wie z.B. die Hacks von Adobe und Co. gezeigt haben. Übrigens kann man sich trotzdem beide Passwörter über die Zahlenfolge merken. Und hinter der Komplexität steckt einfach Mathematik: - 6-stelliges Passwort, nur Großbuchstaben: 26^6 = 308915776 mögliche Passwortkombinationen - 6-stelliges Passwort, Klein- und Großbuchstaben: 52^6 = 19770609664 mögliche Passwortkombinationen - 6-stelliges Passwort, Klein-, Großbuchstaben und Ziffern: 62^6 = 56800235584 mögliche Passwortkombinationen - 6-stelliges Passwort, alle Druckbaren ASCII-Zeichen: 95^6 = 735091890625 mögliche Passwortkombinationen Mehr Zeichen erlauben also mehr verschiedene Passwörter und erschweren es daher ein Passwort (zufällig) richtig zu raten. Und die Nutzung von Zahlen/Sonderzeichen sorgt dafür, dass Wörterbuchangriffe im Sande verlaufen ("Gurke" steht im Wörterbuch, "Gur&e" aber nicht). 2. Man sollte ohnehin für jeden Dienst ein eigenes Passwort wählen. Ansonsten genügt nämlich ein kompromittierter Dienst um auf eine Großzahl der von dir genutzten Dienste zuzugreifen. Und wie die Vergangenheit gezeigt hat kommt es leider nicht nur oft vor, dass ein Dienst kompromittiert wird, sondern dass dort dann gleich auch lange Listen mit Username-Passwort-Mail-Kombinationen abgeschnorchelt wird. P. M. schrieb: > Kein > Mensch kann sich sowas merken, also bleibt nichts anderes, als es > aufzuschreiben. Von Passwort-Safes wie KeePass hast du noch nie was gehört?
Ein starkes Passwort mit Sonderzeichenzwang an einer auf falsche Sprache eingestellten Konsoltastatur einzugeben macht so richtig Spass.
@ Daniel H.: 7 Stellen , nur Buchstaben ergeben bereits 1,028*10^12 Kombinationen, also mehr als eine Stelle weniger mit Sonderzeichen. Oder wir lassen die Großbuchstaben auch weg, schlagen unser Lieblingsbuch bei einer gut zu merkenden Seitenzahl auf und nehmen die ersten Buchstaben der ersten 9 Zeilen. Das macht 5,4*10^12 Kombinationen. Zwar auch nicht leicht zu merken, dafür aber leicht rekonstruierbar, ohne Fallstricke und garantiert in keinem Wörterbuch. Dazu noch für jeden Anwendungsfall ein spezifischer Zusatz und der Eindringling wird sich schnell ein leichteres Opfer oder einen einfacheren Weg suchen. Die Passwort-Manager benötigen dann auch wieder ein Passwort, das besonders gut sein muss. Außerdem ist das dann quasi der Generalschlüssel, auf den sich jeder Eindringling sofort stürzt. Hinzu kommt noch das Problem bewusst oder unbewusst offen gelassener Hintertüren. Irgendwie ist das alles nicht das gelbe vom Ei, egal wie man seine Passwörter verwahrt. Vielleicht gibt es irgendwann eine sichere, allgemein anerkannte und praktikable Alternative?
Georg W. schrieb: > 7 Stellen , nur Buchstaben ergeben bereits 1,028*10^12 Kombinationen, > also mehr als eine Stelle weniger mit Sonderzeichen. Das sind knapp 40 Bit, sofern keine Gegenmaßnahmen implementiert sind probiert dir das jeder halbwegs aktuelle Rechner in wenigen Minuten bis Stunden durch ;) Georg W. schrieb: > Die Passwort-Manager benötigen dann auch wieder ein Passwort, das > besonders gut sein muss. Außerdem ist das dann quasi der > Generalschlüssel, auf den sich jeder Eindringling sofort stürzt. Hinzu > kommt noch das Problem bewusst oder unbewusst offen gelassener > Hintertüren. Das ist aber alles deutlich schwieriger zu bewerkstelligen als z.B. einen Online-Login anzugreifen. Allerdings ist das Problem ja nicht nur die geringe Passwortlänge. Wenn die Firmen gescheite Logins implementieren würden (Sperrung nach N Versuchen bzw. vor jedem Loginversuch eine Wartedauer von M Sekunden , wobei sich M mit jedem Fehlschlag erhöht) könnte man es Angreifern tatsächlich schon deutlich schwerer machen ohne exorbitant komplexe Passwörter zu verlangen. Georg W. schrieb: > Irgendwie ist das alles nicht das gelbe vom Ei, egal wie > man seine Passwörter verwahrt. Vielleicht gibt es irgendwann eine > sichere, allgemein anerkannte und praktikable Alternative? Gibt es ja schon in Form von Smartcards, ist allerdings technisch und organisatorisch anspruchsvoll und teuer, macht also fast keiner. Ich für meinen Teil nutze KeePass mit einem langen, aber leicht zu merkenden Passwort und generiere Passwörter für Webseiten darüber immer zufällig. Wer daran möchte müsste schon in meinen Rechner eindringen, und da ist die Hürde schon so hoch, das ich das Risiko für vernachlässigbar halte.
:
Bearbeitet durch User
Daniel H. schrieb: > Das ist aber alles deutlich schwieriger zu bewerkstelligen als z.B. > einen Online-Login anzugreifen. Sorry, aber jeder vernünftige Email- oder Webspace-Anbieter haut Dir nach dreimal falsches Passwort eine Passwortsperre rein. Ok, Apple nicht, aber ich schreibe ja auch: vernünftige. Passwörter durchprobieren ist allenfalls für eine gefundene verschlüsselte Festplatte ein Thema. Daniel H. schrieb: > Und die Nutzung von > Zahlen/Sonderzeichen sorgt dafür, dass Wörterbuchangriffe im Sande > verlaufen Siehe oben, wo bitte sind denn Wörterbuchangriffe sinnvoll, wenn nach 3 Versuchen der Riegel fällt? Daniel H. schrieb: > - 6-stelliges Passwort, nur Großbuchstaben: 26^6 = 308915776 mögliche > Passwortkombinationen ... > - 6-stelliges Passwort, alle Druckbaren ASCII-Zeichen: 95^6 = > 735091890625 mögliche Passwortkombinationen Da unterliegst Du einem Denkfehler: Wenn Du alle druckbaren ASCII-Zeichen zulässt, aber gleichzeitig verlangst, dass mindestens 1x Groß, 1x Ziffer, 1x Sonderzeichen drin sind, schränkst Du die Anzahl der Kombinationen wieder unnötig ein. Aber den Fehler haben schon die Entwickler der Enigma gemacht...
> Da unterliegst Du einem Denkfehler: Wenn Du alle druckbaren > ASCII-Zeichen zulässt, aber gleichzeitig verlangst, dass mindestens 1x > Groß, 1x Ziffer, 1x Sonderzeichen drin sind, schränkst Du die Anzahl der > Kombinationen wieder unnötig ein. > > Aber den Fehler haben schon die Entwickler der Enigma gemacht... Genau das denk ich mir auch immer. Dadurch werden die PW immer komplizierter für uns Menschen, aber die wirkliche Bitzahl sinkt! Bei Enigma war es ja die Umkehrrolle die das Dekodieren erst möglich machte... Ohne die hätten die fisch'chips'fresser es nie geschafft...
Martin G. schrieb: > > Bei Enigma war es ja die Umkehrrolle die das Dekodieren erst möglich > machte... Ohne die hätten die fisch'chips'fresser es nie geschafft... Nun, die haben auch einige U- und andere Boote aufgebracht (U110, U505 z.B.).
Musste schon gefühlte 5x bei Mastercard anrufen, weil ich meinen Mastercard Secure Code nicht mehr wusste. Die erlauben auch keine sinnvollen Passwörter und nach 3x versuchen wird die Karte gesperrt... Am liebsten sind mir immer noch Dienste welche einem beim Passwort Rücksetzen das alte Passwort per Mail zu senden, z.B. Restauranttester.at... Oder Emails wie: "Vielen Dank für Ihren Einkauf, Zahlung mittels Kreditkarte xxxx.xxxx durchgeführt." Hauptsache bei der Bestellung verschlüsseln :) Aber so ist das halt :)
Daniel H. schrieb: >> 7 Stellen , nur Buchstaben ergeben bereits 1,028*10^12 Kombinationen, >> also mehr als eine Stelle weniger mit Sonderzeichen. > > Das sind knapp 40 Bit, sofern keine Gegenmaßnahmen implementiert sind > probiert dir das jeder halbwegs aktuelle Rechner in wenigen Minuten bis > Stunden durch ;) 40 Bit Entropie bekommst du mit deinen 6 ACII-Zeichen auch nicht hin. Aber darf man das für reale Passwörter einfach so die Entropie nach E=log(N^L) berechnen, dies setzt doch eine zufällige Wahl jedes einzelnen Zeichens voraus? Den steht jede Forderung nach einer bestimmten Zusammensetzung entgegen. Reale Passwörter dürften in den wenigsten Fällen dieser Forderung nach zufälliger Wahl genügen, also bleibt u.U. von der rechnerisch möglichen Entropie nicht mehr viel übrig.
Georg W. schrieb: > 40 Bit Entropie bekommst du mit deinen 6 ACII-Zeichen auch nicht hin. Das Erraten eines Passwortes bei Online-Logins ist doch sowieso völlig unmöglich, sofern es nur halbwegs zufällig ist. Mehr als ein paar hundert Anfragen pro Stunde akzeptiert ein gescheiter Login-Server nicht. Anders sieht es natürlich aus, wenn ein Passwort als Basis für eine Verschlüsselung dient. Aber darum geht es hier nicht.
Ich verwendet für Passwörter 2 Dinge: entweder Chip/Bauteilbezeichnungen (1N4004, TPS61256) oder mathematische Formeln z.B.: Ableitung(x^2) = 2*x Leicht zu merken aber dürfte in fast allen Fällen reichen.
Timm Thaler schrieb: > Passwörter durchprobieren ist allenfalls für eine gefundene > verschlüsselte Festplatte ein Thema. Oder für gefundene verschlüsselte Passwörter, als Folge von Web-Einbrüchen. > Da unterliegst Du einem Denkfehler: Wenn Du alle druckbaren > ASCII-Zeichen zulässt, aber gleichzeitig verlangst, dass mindestens 1x > Groß, 1x Ziffer, 1x Sonderzeichen drin sind, schränkst Du die Anzahl der > Kombinationen wieder unnötig ein. Da unterliegst du einem Denkfehler, denn ohne diesen Zwang haben die weitaus meisten Passwörter der Bequemlichkeit wegen weder Sonderzeichen noch Grossschreibung. Was die Anzahl der Kombinationen weit mehr einschränkt.
A. K. schrieb: > Was die Anzahl der Kombinationen weit mehr > einschränkt. Nein. Nur weil sie nicht benutzt werden sind sie ja immer noch erlaubt, erhöhen also die Anzahl möglicher Kombinationen.
le x. schrieb: > Nur weil sie nicht benutzt werden sind sie ja immer noch erlaubt, > erhöhen also die Anzahl möglicher Kombinationen. Zeichen, die nur selten verwendet verwendet werden, erhöhen die Anzahl Kombinationen nicht. Denn müssen für eine gute Ausbeute nicht erst ausprobiert werden. Solche Angreifer sind ja nicht doof.
:
Bearbeitet durch User
A. B. schrieb: > Ich verwendet für Passwörter 2 Dinge: entweder Chip/Bauteilbezeichnungen > (1N4004, TPS61256) oder mathematische Formeln z.B.: Ableitung(x^2) = 2*x Ersteres ist aber natürlich eine Steilvorlage für Wörterbuchattacken....
:
Bearbeitet durch User
Klaus Wachtler schrieb: > Ersteres ist aber natürlich eine Steilvorlage für Wörterbuchattacken.... Ob ein Hacker wohl alle vollständigen Bezeichnungen von Microchips Controllern im Wörterbuch hat? Wenn nicht: Zwei davon kombiniert kriegt kein Scanner klein, wenn mindestens ein nicht zu alter 16- oder 32-Bit Typ dabei ist. ;-)
:
Bearbeitet durch User
A. K. schrieb: > Denn müssen für eine gute Ausbeute nicht erst > ausprobiert werden. Solche Angreifer sind ja nicht doof. Nur nutzt diese "Ausbeute" wenig, wenn sie einen bestimment Account knacken wollen.
Hallo A. B. A. B. schrieb: > Ich verwendet für Passwörter 2 Dinge: entweder Chip/Bauteilbezeichnungen > (1N4004, TPS61256) oder mathematische Formeln z.B.: Ableitung(x^2) = 2*x > > Leicht zu merken aber dürfte in fast allen Fällen reichen. ;O) Das habe ich auch mal gemacht, bis ich festgestellt habe, dass das jeder zweite macht, der regelmäßig mit diesbezüglichen Teilen zu tun hat. ;O) Ok, es gib ungewöhnlichere Teile..... Darum verwende ich das nur noch für "schwache" Passwörter, und habe mir ansonsten etwas anderes Ausgedacht. Mit freundlichem Gruß: Bernd Wiebus alias dl1eic http://www.dl0dg.de
Hallo P. M. P. M. schrieb: > Das musst jetzt einfach mal raus, vielleicht kriege ich ja etwas Mitleid > oder eine gute Erklärung. Eine Passwortkarte verwenden. Vieleicht lässt sich mit sowas ein einfaches System basteln: http://www.mathe.tu-freiberg.de/~hebisch/cafe/kryptographie/geheimklappe.html http://www.heise.de/ct/ausgabe/2014-18-Kennwoerter-mit-Zettel-und-Stift-verwalten-2283904.html (leider nicht komplett) http://artikel.softonic.de/sichere-passworter-erstellen (in der Mitte des Artikels) http://www.chip.de/downloads/Passwortkarte_31494482.html einfach mal Anregungen holen und nach "Passwortkarte" googeln. Mit freundlichem Gruß: Bernd Wiebus alias dl1eic http://www.dl0dg.de
Insbesondere bei kostenlosen Angeboten ist das wohl das Recht des Betreibers... der eben auch genervt ist wenn es ständig zu Beschwerden oder Störungen kommt weil Passwörter erraten und Konten missbraucht werden. Ein Email-Anbieter würde sich, wenn er es den Nutzern freistellt extrem unsichere Passwörter zu verwenden, durch vermehrten Missbrauch zum Spamversand selber Probleme verursachen da er kaum mehr von diversen RBLs runterkäme. Und auf diesen landet man verdammt schnell. Und bei Webshops entstehen u.u. dem Shopbetreiber Kosten wenn durch ein geknacktes Konto unerlaubt auf fremde Rechnung bestellt wird und Kreditkartengeschäfte oder Bankeinzüge rückabgewickelt werden müssen...
P. M. schrieb: > Ich verwende ein System an verschiedenen Passwörtern und > Passwort-Modifikationen anhand der Domain, so dass sich für jeden > Webdienst automatisch ein Passwort ergibt. So muss ich keine Passwörter > aufschreiben und habe doch für jeden Dienst ein anderes, kompliziertes > Passwort. > > Was mich deshalb gewaltig nervt: Gewisse Dienste verlangen, dass das > Passwort gewisse Regeln einhält. Das sind zwei Probleme: 1. die Regeln der "gewissen Dienste" -- man beachte den Plural 2. die Passwort-Software. Problem 1 ist unlösbar - die Anzahl der "gewissen Dienste" ist unbestimmt, sie können auch nachwachsen und man hat keine Macht, sie dazu zu zwingen, von ihrem jeweils genialen System abzulassen. Problem 2 ist deutlich überschaubarer: es handelt sich um genau eine Software, die zu doof ist, die Regeln des jeweiligen "gewissen Dienstes" zu beachten. Du musst also dem Autor des Programmes sanft und diplomatisch, aber unüberhörbar in den Hintern zu treten.
A. K. schrieb: > Klaus Wachtler schrieb: >> Ersteres ist aber natürlich eine Steilvorlage für Wörterbuchattacken.... > > Ob ein Hacker wohl alle vollständigen Bezeichnungen von Microchips > Controllern im Wörterbuch hat? Wenn nicht: Zwei davon kombiniert kriegt > kein Scanner klein, wenn mindestens ein nicht zu alter 16- oder 32-Bit > Typ dabei ist. ;-) Die Wörterbücher werden ja kaum von Hand geschrieben, nach dem Motto "welche Wörter fallen mir denn heute ein", sondern dafür wird (vermute ich) einfach soviel Text wie möglich geparst (z.B. nach trivialen Wörtern wie "und" und "oder" maschinell gegoogelt und die Links durchgeforstet). Gerade ICs sind bestimmt irgendwo im Internet erwähnt. Deshalb gehe ich jede Wette ein, daß solche Begiffe in jedem besseren PW-Wörterbuch zu finden sind.
Wörterbücher gibt es fertig zu herunterladen, z.B. hier: http://www.outpost9.com/files/WordLists.html Ein paar habe ich gerade mal überflogen, irgendwelche Bauteilbezeichnungen sind mir nicht untergekommen. Also wäre z.B. LMWfKuOiDMIRML6302 durchaus brauchbar (braucht ihr jetzt nicht ausprobieren). Wenn ich nicht so viel um die Ohren hätte und das Wetter schlechter wäre hätte ich mal so einen Passwortknacker herunter geladen und etwas damit herum gespielt.
Georg W. schrieb: > Wörterbücher gibt es fertig zu herunterladen Den Begriff Wörterbücher darf man nicht wörtlich nehmen. Eine Bauteilliste ist auch ein Wörterbuch und die Wahrscheinlichkeit, dass eine Typenbezeichnung daraus von einem (bekanntermaßen) Elektronik-Affinen als PW benutzt wird, ist höher, als die Wahrscheinlichkeit für ein zusammengewürfelte Zeichenkombination gleicher Länge - darauf kommt es an.
ich sag nur CorrectHorseBatteryStaple *g*
:
Bearbeitet durch User
Durch Sonderzeichen erzwingt man eine gewisse Sinnlosigkeit. Wenn ein Passwort Sinn macht, ist es leichter knackbar. Allerdings reicht es normalerweise aus, ein zehnstelliges Passwort aus zufälligen Zahlen und Buchstaben mit Groß- und Kleinbuchstaben zu verwenden, das je nach Sicherheitslevel unterschiedlich ist und dementsprechend auch in unterschiedlichen Zyklen geändert wird. Das Passwort abhängig von einer Domain zu machen, ist ein Sicherheitsrisiko, weil es dann zumindest einen sinnvollen Anteil hat. Gegen Aufschreiben spricht tatsächlich nichts, allerdings sollte der Zettel in einen Safe oder zumindest an einen verschlossenen Ort, da man fahrlässig gehandelt hat, wenn jemand mit einem offen herumliegenden Passwort Unfug treibt.
:
Bearbeitet durch User
Dies Wörterbücher sind ja keine elektronische Ausgabe von Duden und Co., sondern Listen bereits geknackter Passwörter oder sogar auf den jeweiligen Fall zugeschnitten. Wenn der Benutzername Uhu lautet wäre es z.B. naheliegend auch mal die Taxonomie durch zugehen. Aber meist ist es egal ob das Konto Uhu oder sonst wem gehört, es geht meist um Quantität und da ist es dann egal wenn am Schluss ein Bodensatz ungeknackter Passwörter bleibt. Da ist es dann nur entscheidend, zu dieser Gruppe zu gehören. Nur eine Bauteilbezeichnung ist dafür zu kurz, deshalb habe ich noch die Anfangsbuchstaben jeder Zeile eines Artikels (den man dann natürlich aufbewahren sollte) voran gestellt. Das sollte dann einen Angreifer ausreichend lange beschäftigen (wie es in Zukunft aussieht steht auf einem anderen Blatt). Also analog zu "gesalzenen" Passwörtern. John the Ripper kann übrigens auch selbst Passwörter nach vorzugebenden Regeln generieren und durchprobieren. Wenn du jetzt versuchst händisch eine zufällige Buchstabenfolge zu erzeugen wird diese höchst wahrscheinlich nicht wirklich zufällig sein, hier greifen dann diese Regeln an.
Mal eine Frage zum händischen Erstellen von "zufälligen" Kombinationen: ergibt sich bei einer "händischen" Eingabe schon ein Wahrscheinlichkeitsmuster für die Zufälligkeit? Also beim 2-händigen bedienen einer deutschen Tastaturbelegung könnte die Wahrscheinlichkeit der Verwendung eines z und einer 6 ja theoretisch höher oder niedriger liegen, je nach weiteren psychologischen und physiologischen Faktoren. Leute die sich mit Passwort-Brechen beschäftigen, beziehen sowas sicher auch mit in ihre Betrachtungen ein. Der faule Passwort-Ausdenker, sofern er schon nicht password oder so verwendet, wird sich sicher denken, "Hach, meine Fingerlein liegen schon auf asd und jkl, das ergibt doch ein sicheres Passwort das ich nicht so schnell vergesse". Der typische deutsche Beamte mit "Adler such"-System hat da natürlich einen ganz anderen Seed-Wert/Salt.
Aus eigener Erfahrung: von Menschen generierter "Zufall" fällt durch die einfachsten statistischen Tests, wieweit sich das angreifen lässt weis ich aber nicht.
Christian V. schrieb: > wieweit sich das angreifen lässt weis ich aber nicht. Indem man sich die Geometrie der Tastatur und der menschlichen Hände genauer ansieht und die Wahrscheinlichkeiten grob abschätzt, mit der eine Taste abhängig von ihrer Position gedrückt wird. Das Ganze mit Versuchsreihen untermauert dürfte schon einen braucharfen Ansatz ergeben.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.