Bei manchen Paßwortänderungsdialogen wird die Qualität des angezeigten
Paßwortes angezeigt. Wie wird der Qualitätsindex berechnet?
Meine Idee wäre, daß man die Differenz zwischen dem größten und dem
kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.
Standardisiert ist diese "Qualität" nicht. Nach meinem Eindruck ist das
meist recht primitiv. Für die Länge gibt es Punkte, ebenso für das
Verwenden von Groß- und Kleinschreibung sowie Ziffern und
"Sonderzeichen".
Uhu Uhuhu schrieb:> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.
das bringt es denke ich nicht.
wenn jemand ein kleines z und ein großes A drin hat, hat er ja schon
gewonnen.
Ich würde auf Diversität in den Zeichenklassen achten (Ziffern,
Großbuchstaben, Kleinbuchsaben, Sonderzeichen) und Länge.
Je nachdem wie sicher das sein soll kann man noch ein Wörterbuch
hinterlegen und schauen, dass das Wort da nicht drin steht.
Auf jeden Fall auf Ähnlichkeit mit anderen Accountdetails testen
(Username, Addresse, email) oder mit dem Umfeld der Anmeldung (zB
webseitenname)
Ja, das war nur die halbe Miete. Man muß zumindest diesen Logarithmus -
der die Entropie eines Zeichens im eingegbenen PW darstellt - natürlich
noch mit der Länge des PW multiplizieren.
Damit erhält man in etwa die Anzahl Bits Entropie, die im PW steckt.
Die Methode hat den Vorteil, daß man sich über Zeichenklassen keine
Gedanken machen muß und der Algorithmus ist kurz und übersichtlich.
Uhu Uhuhu schrieb:> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.
Was meinst du damit?
Schau dir doch auf einer entsprechenden Site die Javascript Funktion an,
welche diesen "Index" berechnet!
Üblicherweise ist die Passwort Qualität eine Funktion von:
- der Länge
- ein oder mehrere Zahl enthält
- ein oder mehrere Sonderzeichen darin vorkommen
- Gross/Kleinschreibung
Das ist jedoch tatsächlich kein gutes Indiz für die tatsächliche Güte
eines Passwortes. Beispielsweise das Passwort "H@u5", hergeleitet von
"Haus" ist zwar nach oben genannter Funktion sehr gut, jedoch wissen
Passwort cracking tools auch, dass Leute normale Wörter verwenden, und
manche Buchstaben durch Sonderzeichen/Zahlen ersetzten... Deshalb ist
das passwort relativ schlecht!
Man sollte noch irgendwas in den Güteindex mit reinpacken, das die
Streuung der Zeichen bewertet.
Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl
es das nicht unbedingt ist.
Wörterbuchtests sind in einer Webseite unpraktikabel. Man könnte das auf
dem Server machen, müßte dann aber das Wörterbuch dort gespeichert
haben.
M. B. schrieb:> Schau dir doch auf einer entsprechenden Site die Javascript Funktion an,
Kennst du eine?
Das Problem mit "H@u5" könnte man lösen, indem man graphisch ähnliche
Zeichen in einen Topf tut und dann mit dem ähnlichen Buchstaben rechnet.
Wobei man das z.B. für kyrillische Zeichen, die lateinischen ähneln,
eher nicht machen sollte.
Ich will hier einmal zwei Thesen in den Raum werfen:
1.) Wenn ein Passwort sicher ist, ist es egal "wie" sicher es ist.
2.) Man kann dem Passwort selbst seine Sicherheit nicht immer ansehen.
Oft wird gefordert, dass Passworte Sonderzeichen enthalten. Ich halte
das für doppelt unsinnig. Erstens erhöhen Sonderzeichen lediglich den
Zeichenvorrat und damit die Sicherheit eines gleich langen Passwortes.
Ein längeres Passwort ohne Sonderzeichen kann also genau so sicher sein.
(Genau genommen besteht ja jedes Passwort eh' nur aus 0 und 1 ;) )Es ist
sogar eher so, das ein langes Passwort, das man sich merken kann, besser
ist als ein Password mit Sonderzeichen, das man kurz hält, weil man es
sonst vergisst. Die Länge des Passwortes hat einen viel größeren
Einfluss auf die Zahl der Möglichkeiten als der Zeichenvorrat.
Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im
Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte,
aber nicht muss.
Wenn ich ein sicheres Passwort brauche, denke ich mir einen Nonsens-Satz
aus, in dem Zahlen vorkommen und den ich mir gut merken kann, z.B. ein
Rezept : "Für einen großen Kuchen brauche ich 6 Eier, 1 kg Mehl und 2
Stunden Zeit" Dann nehme ich den jeweils den Anfangsbuchstaben in Groß-
und Kleinschreibung und aus dem obigen Satz wird: "FegKbi6E1kMu2SZ" So
ein Passwort kann man nicht erraten - auch ohne Sonderzeichen, die
vielleicht gar nicht auf jeder Tastatur verfügbar sind.
Detlev T. schrieb:> Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im> Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte,> aber nicht muss.
Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples
Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel
Ich denke die meisten Seiten machen das mit einem einfachen Punktesystem
wie oben beschrieben. Das läßt sich ja leicht nachgucken, ich denke das
wird meistens eher Javascript sein als irgendwas Serverseitiges mit
ajax.
Etwas theorethisch fundierter wäre es die tatsächliche Entropie zu
berechnen, bzw. wie bit das Passwort optimal gepackt hätte.
siehe:
http://de.wikipedia.org/wiki/Entropiesch%C3%A4tzunghttp://de.wikipedia.org/wiki/Entropiekodierunghttp://de.wikipedia.org/wiki/Shannon-Fano-Kodierung
Um die ähnlichen Zeichen auszusortieren könnte man vorher ein einfaches
String replacement machen. Das wäre wieder etwas praktischer orientiert.
Dann wäre das passwort "aaa@a@aa@" allerdings genauso sicher wie
"aaaaaaaaa"
Uhu Uhuhu schrieb:> Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl> es das nicht unbedingt ist.
warum sollte es nicht sicher sein, es ist recht lang und hat 2
sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe
drin ist.
Auch ein Pin von 0000 ist genau so sicher wie eine 8973.
SchinkenWurst schrieb:> Detlev T. schrieb:>> Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im>> Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte,>> aber nicht muss.>> Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples> Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel
Naja das PW darf halt nicht erraten werden können für dieses Java gedöns
gibs dann noch PW Dateien die abgeglichen werden wo die häufigsten PWs
drinnen sind.
Das ganze zielt ja nur auf Brutforce ab wen z.b. nen Server dagegen
keinen Schutz hat ist es eh sinnlos da wird sich ne Cloud gekapert oder
sogar gemietet und dann ist es auch egal ob da nen Sonderzeichen oder
ähnliches drinnen ist.
Grundsätzlich kann ein "gutes" PW eigentlich nur Scriptkidis abhalten
dafür muss es nur lang genug sein und kein Standartpasswort und das
macht man halt mit den Sonderzeichen und Nummern.
@Peter naja 0000 oder 1234 bei einer pin ist schon recht scheiße weil
sie einfach abgeschabt werden kann.
Peter schrieb:> Uhu Uhuhu schrieb:>> Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl>> es das nicht unbedingt ist.>> warum sollte es nicht sicher sein, es ist recht lang und hat 2> sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe> drin ist.>> Auch ein Pin von 0000 ist genau so sicher wie eine 8973.
Rein in Himmel der Theorie hast du recht. In der Praxis spielt aber der
Faktor Mensch eine nicht zu unterschätzende Rolle.
Wenn jemand zu Fuß Brute Force probiert, dann wird er als erstes
"Trivial"-PWs durchprobieren. Und wenn er den Pappenheimer kennt, den er
knacken will, dann gibts da noch eine Reihe zwar individuell
verschiedene, aber trotzdem häufige Kandidaten, die man auch checken
kann.
Die Fantasielosigkeit beim Paßworterfinden scheint jedenfalls keine
Grenze zu kennen.
@Verwirrter Anfänger:
Wenn man die Wahrscheinlichkeit der Zeichen in der Sprache mit
berücksichtigt, dann wird der Algorithmus deutlich aufwendiger, ohne daß
dem rechter Nutzen gegenüber steht. Wenn ein Paßwort aus einer
Fremdsprache stammt, dann kann es nach den Maßstäben der deutschen
Sprache sehr gut sein, während jeder Muttersprachler es sofort als
Feld-, Wald- und Wiesenpaßwort von Volldeppen erkennt.
Die Entropie eines Passwortes ist meiner Meinung nach völlig egal.
Vogel hat eine die gleiche Entropie wie leVog, ist mit Sicherheit aber
sehr viel eher geknackt.
Vlad Tepesch schrieb:> Die Entropie eines Passwortes ist meiner Meinung nach völlig egal.
Völlig egal bestimmt nicht. Ich werden den Algorithmus, den ich
skizziert hatte, einfach mal aus.
Dicke Finger schrieb:> Aus aaaaa@aaaaa wird dann einfach a.
Ich probier mal noch was, in das die Differenz zwischen benachbarten
Zeichen noch mit eingeht.
... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal
...
Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem
System (Passwort) nicht wissen!
Martin schrieb:> ... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal> ...>> Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem> System (Passwort) nicht wissen!
Wenn du aber nichts weißt ist
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
genau so sicher wie
aöpü049383äö,lkijdsifisjdfsfskjnw
...
und warum sollte aaabbbcccdddeeeggg unsicherere sein als jedes anders
lange Passwort?
Viel wichtiger ist es, das ein Passwort nicht durch eine
Wörterbuchattake geknackt werden kann, und das System nur eine begrenze
Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse
Zeit gesperrt wird.
Läubi .. schrieb:> Viel wichtiger ist es, das ein Passwort nicht durch eine> Wörterbuchattake geknackt werden kann, und das System nur eine begrenze> Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse> Zeit gesperrt wird.
Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man
kann dann nur noch versuchen festzustellen, daß der Server auf
ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.
...
Wenn du aber nichts weißt ist
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
genau so sicher wie
aöpü049383äö,lkijdsifisjdfsfskjnw
...
Das ist richtig. Gut gemacht!
Martin schrieb:> ...> Wenn du aber nichts weißt ist> aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa>> genau so sicher wie>> aöpü049383äö,lkijdsifisjdfsfskjnw> ...>> Das ist richtig. Gut gemacht!
Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die
beiden doch nicht gleich wahrscheinlich.
Paßworte werden überwiegend von Menschen, nicht von Zufallsgeneratoren
gemacht. Und deswegen ist eine Qualitätsbewertung auch sinnvoll und
notwendig.
Uhu Uhuhu schrieb:> Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man> kann dann nur noch versuchen festzustellen, daß der Server auf> ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.
Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch
"geraten" wurde. Egal von wem die Anfrage kommt. Dies muss aber auf
Serverseite geschehen.
Uhu Uhuhu schrieb:> Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die> beiden doch nicht gleich wahrscheinlich.
Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel
höher als durch doppelte Zeichen.
Außerdem setzt sich das ganze auch immer aus Username und Passwort
zusammen also schon mal zwei Unsicherheitsfaktoren.
Dir nützt auch ein 20 Zeichen langes PW nix wenn es sich auch Wörter
zusammensetzt die in irgendeinem Wörterbuch finden und der Server
falsche Anfragen nicht bestraft!
... Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind
die
beiden doch nicht gleich wahrscheinlich ...
Nach der Aussage von Läubi (" ... Wenn du aber nichts weißt ist ...")
sind beide Passworte gleich stark. Und das stimmt einfach. Für Läubi,
der nichts weiß, sind beide Passworte gleich stark.
Du hingegen weißt, dass die 1. Variante bevorzugt wird. Also ist die
Entropie der 1. Variante für dich niedriger als die der 2. Variante.
Du kannst davon ausgehen, dass die Entropie ein bestimmtes Passwortes
mit der "Leichtigkeit" es zu "erraten" zusammenhängt.
Sagen wir einmal: pro Rateversuch ein Bit.
Läubi .. schrieb:> Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel> höher als durch doppelte Zeichen.
OK, dann ein wenig Information zu Problem, um das es mir geht:
Ich habe eine Horde von Computer-DAUs, die selbsterhobene Daten in ein
Webformular eingeben sollen. Die dahinterliegende Datenbank soll vor
unbefugten Zugriffen geschützt werden. (Es ist auch ein Auswertemodul
vorhanden.)
Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte. Wenn man
diese Klientel nur einigermaßen kennt, dann wird man kaum eine
Wörtebuchattacke mit einem Wörterbuch der deutschen Sprache starten,
sondern mit einem der dämlichsten Paßworte, die die Menscheit bisher
hervorgebracht hat. Und daß in diesem Wörterbuch Einträge wie 123456
ziemlich am Anfang stehen, davon kannst du ausgehen und mit 20 Zeichen
braucht man nicht zu rechnen, denn da würde lange vorher die Faulheit
siegen.
Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu
können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."
Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.
Läubi .. schrieb:> Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch> "geraten" wurde.
Genau das meinte ich mit:
> Man> kann dann nur noch versuchen festzustellen, daß der Server auf> ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.
im selben Beitrag. Aber viel anderes, als Schotten dich machen, kann man
wohl nicht tun.
Uhu Uhuhu schrieb:> Aber viel anderes, als Schotten dich machen, kann man> wohl nicht tun.
So ist es. Allerdings muß man bei so einem Szenario auch bedenken: Wie
hoch ist der Anreiz sich da überhaupt einzuhacken?
Uhu Uhuhu schrieb:> Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu> können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."> Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.
Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul
nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität
eines Passwortes bewertet.
http://www.php.net/manual/en/book.crack.phpUhu Uhuhu schrieb:> Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte.
Bei so etwas hilft es eigentlich nur ein z.B. 10 Zeichen langes PW zu
generieren und nur das geht eben. Wenn die sich das mit nem Postit an
den Monitor kleben muss der Angreifer für einen Erfolg Zugriff auf den
PC Monitor haben ;)
Alternativ kann man auch noch zusätzlich das Geburtsdatum des
Kanarienvogels abfragen, ein Captcha dazu gegen Robots.
Oder ganz andere Idee:
Einmalpasswort. Man loggt sich nur mit Usernamen ein, woraufhin der
Server ein neues PW generiert, dieses per Mail (oder einen
Sessionstring) als Link versendet wo derjenige nurnoch draufklicken
muss.
Ob das aber in die geplanten Komfortfunktionen deines Programms passt
weiß ich nicht. (Die Ziel Mail muss natürlich fix hinterlegt sein)
Läubi .. schrieb:> Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul> nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität> eines Passwortes bewertet.
Das war ein guter Tipp: Ich benutze zwar kein PHP, aber der Link brachte
mich auf die Idee, mal in meinen Linux-Repositorien nachzusehen. Dort
gibt es einiges, das Paßworte knacken, oder testen kann. Darauf kann man
natürlich auf einem Linux-Server zurückgreifen.
Joe schrieb:
Moin Moin,
> MVemjSu9P>> ist ein sehr sicheres und trotzdem leicht zu merken.>> Wer kennt die Merkregel?
ich :)
Aber viel sicherer ist heute das Passwort:
MVemjSu8P
:) :)
Grüße,
Micha
Verwirrter Anfänger schrieb:> Wäre das nicht eher:>> MVemjSu8-> wobei die die 8 immer noch falsch anfängt
als Merksatz funktioniert das natürlich nicht mehr. Deswegen ist es ja
auch sicherer :)
Grüße,
Micha
Die sichersten PW sind real zufällige.
Zufallsgeneratoren die zufällige PW generieren können mit dem Rechner
gibt es nicht. Irgendwas eintippen ist auch nicht zufällig, da man bei
genügend großer Datenmenge das Tippverhalten gut analysieren kann und
damit den Suchraum stark verkleinern kann.
Es ist nicht ganz einfach wirklich zufällige PW zu generieren.
Was z.B. geht ist das PW auszuwürfeln und die Würfel anschließend zu
verbrennen.
Die Entropie eines PW so wie Uhu vorgeschlagen hat zu berechnen ist
nicht möglich da sie alle gleich sind.
> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.
Das macht sicher genau so viel Sinn wie die Algorithmien der Anbieter.
Allerdings wird damit mitnichten bestimmt, ob ein Passwort sicher ist.
Sind die Anforderungen an Passwörter zu hoch, kann der Benutzer es sich
nicht mehr merken, und schreibt es auf einen Zettel.
Damit fällt das Passwort in fremde Hände und ist das unsicherste der
Welt.
Noch unsicherer sind Passwörter von Anbietern, bei denen man per eMail
ein neues bekommt, wie PayPal. Wenn da ein Mail-Account gehackt wurde
(was nicht so schwer ist und millionenfach vorkommt) kann man in all
diese "gesicherten" Dienste eindringen und unter falschem Namen Unfug
anrichten, gar das Konto den Benutzers abräumen.
Könnte man nicht einfach selber einen Brute-Force-Angriff auf das
Passwort starten? Vielleicht kombiniert mit einer vorherigen
Wörterbuchattacke?
Dann wüsste man doch, welches Passwort zuletzt geknackt wird!
Mit freundlichen Grüßen,
Valentin Buck
Als es bei mir einmal darauf ankam, wirklich sichere Passwörter für zu
erstellen, habe ich je Passwort sechs Byte aus /dev/random ausgelesen
und per base64_encode(); in ein menschen-eingebbares und vor allem
systemportables Passwort gewandelt. Auch wenn 48 Bit nicht so viel
sind in heutiger Zeit, ist dieses 8 Zeichen relativ zufällig.
Nico
Juri Parallelowitsch schrieb:> Die sichersten PW sind real zufällige.
Das ist klar. Nur mein Klientel sind teilweise Omas und Opas. Denen kann
man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter
denen sie sich irgendwas vorstellen können.
Die Argumentation mit dem Zettel greift hier kaum. An den PC im
Wohnzimmer von Oma kommt kein Bösewicht. Der hat vorher den Spitz am
Bein ;-)
Uhu Uhuhu schrieb:> Nur mein Klientel sind teilweise Omas und Opas. Denen kann> man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter> denen sie sich irgendwas vorstellen können.
Ja, ist klar, das Problem haben wir eigentlich alle - wie war noch mal
das PW?
Es gibt zwei Möglichkeiten je nach Art PW was du benötigst.
Bei 4er-Pins haben sich Codekarten bewährt.
Man merkt sich ein einfaches Wort und liest die Buchstaben in der linken
Spalte ab und dann die Zahlen in der jeweiligen Spalte.
Verliert man die Codekarte ist sie für Jemanden der das PW nicht kennt
nutzlos, da die Anzahl der Möglichkeiten z.B. bei einer 12 x 5 Matrix
(für 5 PW) die Anzahl der Möglichkeiten erreicht die der 4er-Raum hat.
Brauchst du ein sicheres 10 stelliges PW welches zufällig ist und
welches man sich merken kann, gibt es z.B. folgende Möglichkeit:
Also ich nehme jetzt mal ein Beispiel von mir welches ich aber nicht
verwende - sowas ähnliches musst du dann mit den Leuten suchen.
Haustiere, Kollegennamen, Städtenamen usw.
Beispiel:
Ich nehmen die Liste der Autos die ich mal gefahren bin nach Marke:
Opel
Opel
Renault
Skoda
Audi
Audi
BMW
Mercedes
Mercedes
Mercedes
Macht ein PW = OORSAABMMM
Die waren nicht alle auf mich zugelassen, damit ist das nicht knackbar,
da nur ich mich an diese Liste erinnern kann.
Prinzip müsste klar sein.
Juri, das ist mir alles bekannt. Nur helfen tuts leider nix, wenn die
Leutchen sich nicht an das halten, was man ihnen sagt.
Glaub mir, das Einzige, was wirklich hilft, ist ein einfacher
Algorithmus, der bei der Paßworteingabe prüft, ob es was taugt, wenn man
den Leuten die Paßwortwahl lassen will - oder Vergabe der Paßworte durch
den Admin.
Du glaubst nicht, was da für kindische Widerstände zu überwinden sind
und wie wenig lernfähig manche sind. Dem kommst du mit Informatik aus
dem Lehrbuch nicht bei.
Ein gewisses Mass an Aufwand ist erforderlich.
Da fallen mit für solche Leute die sich da ganz sperren nur zwei
Möglichkeiten ein:
Eine Hardwarelösung wie einen Fingerabdruckscanner für das PW oder ein
einfaches PW und alle PW auf einen verschlüsselten Stick im Klartext,
was sie dann quasi als Schlüssel begreifen können.
> Glaub mir, das Einzige, was wirklich hilft,
Wir glauben dir.
Du bist Hacker ?
verdienst dein Geld mit geknackten Accounts ?
Klar, daß du dir so was wünscht.
Das, was du vorschlägst, führt doch unweiglich zu Zetteln auf denen die
Passwörter notiert sind. (und nein, Passwortsafes sind für Oma Nolte zu
unübersichtlich).
Damit ist jeder simple Einbrecher gleich in Besitz aller benötigten
Angaben.
Merke:
Es ist einfach blöd, solche Anforderungen zu stellen, weil Leute sich
nicht 257 verschiedene Passwörter merken können !
(Lass mal gucken: Ich hab 116 in meiner Liste stehen, da ist auch gleich
eine Anklageliste der dämlichsten WebSeiten etc. Ersteller die es gibt,
Leute die wie du entweder krypische Passwörter fest vorgeben, oder
idiotische Regeln erfinden, damit das normale Passwort nicht passt, das
Ausweichpasswort "für die blöden die eine Ziffer wollen" nicht passt,
und das Nothilfspasswort "für die Volltrottel die mehr als 8 zeichen
sehen wollen was anderne wieder zu viel ist". nicht geht. 116 Idioten.)
Juri Parallelowitsch schrieb:> Ein gewisses Mass an Aufwand ist erforderlich.
Ein langes PW sollte wirklich auf der GANZEN Länge geprüft werden.
"qqqqqqqqqqqq4722@" ist auch nicht sicher WENN die Deppen nur die ersten
paar Zeichen prüfen (leider schon erlebt).
mal eine kleine Anekdote zum Thema Passwort:
Mit hat ein T-Online Servicemitarbeiter mal dazu geraten, im Passwort
ein ä,ö oder ü zu verwenden!
--> Begründung:
Ä,Ö und Ü gibt es nur im deutschsprachigen Raum, ein Angreifer aus z.B.
England könnte das Passwort also nicht knacken weil er die Buchstaben
nicht im Tastaturlayout hat =)))
Ich war sprachlos!
>Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu
können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."
Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.
Ja. Ja. Kennen wir. Dann schreiben wir "Ukjhadk2w980_" auf eine
Klebeetikette, an den Rechner, oder an den Monitor, oder in die
Schublade...
:-)
Das wichtigste ist dass es nicht vom Keyboard abhaengig ist. Dh keine y,
z, ä, ö, ü, ..
Oh ja, mein Passwort beinhaltet ein Z. Wie oft ich mich da schon
"vertippt" habe, weil ich im Ausland war und das Passwort eingetippt
habe wie immer. Nach zahlreichen Versuchen (die haben doch nicht meinen
Account gesperrt?) fiels mir dann auf. Macht der Gewohnheit. Aber ein
Lerneffekt tritt auch nicht ein. Nach ein paar Monaten auf einem
deutschen Computer sitzt man wieder doof vor einer finnischen (oder
meinetwegen englischen) Tastatur ;-)
Hier ist das Ergebnis meiner Versuche: Datei herunterladen und im
Browser öffnen.
Man muß nur eine Grenze festlegen, unterhalb derer ein Paßwort
inakzeptabel ist. Evtl. kann man das Resultat als Farbbalken darstellen.
An den Bewertungsparametern kann man noch ein wenig schrauben.
MVemjSu9P war einmal sicher, ist jetzt aber über das Internet weit
"verbreitet" worden. Sicherer wäre es noch, sich einen neuen Satz bzw.
Spruch zu überlegen, den man sich auch gut merken kann. Und den kann man
dann zum Beispiel umändern. (Nacht --> N8)
Natürlich kann man auch etwas privates nehmen, Beispiel: Name von dem
Hund ein "I_love" davor. Angenommen der Hund heißt "Bello" wäre es dann
"I_love_Bello"
lg,
"Nur zu Besuch ;)"
Thread beobachten
Seitenaufteilung abschalten