mikrocontroller.net

Forum: PC-Programmierung Wie beurteilt man die Qualität eines Paßwortes?


Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bei manchen Paßwortänderungsdialogen wird die Qualität des angezeigten 
Paßwortes angezeigt. Wie wird der Qualitätsindex berechnet?

Meine Idee wäre, daß man die Differenz zwischen dem größten und dem 
kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.

: Gesperrt durch User
Autor: Detlev T. (detlevt)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Standardisiert ist diese "Qualität" nicht. Nach meinem Eindruck ist das 
meist recht primitiv. Für die Länge gibt es Punkte, ebenso für das 
Verwenden von Groß- und Kleinschreibung sowie Ziffern und 
"Sonderzeichen".

Autor: Vlad Tepesch (vlad_tepesch)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem
> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.

das bringt es denke ich nicht.
wenn jemand ein kleines z und ein großes A drin hat, hat er ja schon 
gewonnen.

Ich würde auf Diversität in den Zeichenklassen achten (Ziffern, 
Großbuchstaben, Kleinbuchsaben, Sonderzeichen) und Länge.

Je nachdem wie sicher das sein soll kann man noch ein Wörterbuch 
hinterlegen und schauen, dass das Wort da nicht drin steht.

Auf jeden Fall auf Ähnlichkeit mit anderen Accountdetails testen 
(Username, Addresse, email) oder mit dem Umfeld der Anmeldung (zB 
webseitenname)

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ja, das war nur die halbe Miete. Man muß zumindest diesen Logarithmus - 
der die Entropie eines Zeichens im eingegbenen PW darstellt - natürlich 
noch mit der Länge des PW multiplizieren.

Damit erhält man in etwa die Anzahl Bits Entropie, die im PW steckt.

Die Methode hat den Vorteil, daß man sich über Zeichenklassen keine 
Gedanken machen muß und der Algorithmus ist kurz und übersichtlich.

Autor: M. B. (manubaum) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem
> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.

Was meinst du damit?

Schau dir doch auf einer entsprechenden Site die Javascript Funktion an, 
welche diesen "Index" berechnet!

Üblicherweise ist die Passwort Qualität eine Funktion von:
- der Länge
- ein oder mehrere Zahl enthält
- ein oder mehrere Sonderzeichen darin vorkommen
- Gross/Kleinschreibung

Das ist jedoch tatsächlich kein gutes Indiz für die tatsächliche Güte 
eines Passwortes. Beispielsweise das Passwort "H@u5", hergeleitet von 
"Haus" ist zwar nach oben genannter Funktion sehr gut, jedoch wissen 
Passwort cracking tools auch, dass Leute normale Wörter verwenden, und 
manche Buchstaben durch Sonderzeichen/Zahlen ersetzten... Deshalb ist 
das passwort relativ schlecht!

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Man sollte noch irgendwas in den Güteindex mit reinpacken, das die 
Streuung der Zeichen bewertet.

Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl 
es das nicht unbedingt ist.

Wörterbuchtests sind in einer Webseite unpraktikabel. Man könnte das auf 
dem Server machen, müßte dann aber das Wörterbuch dort gespeichert 
haben.

M. B. schrieb:
> Schau dir doch auf einer entsprechenden Site die Javascript Funktion an,

Kennst du eine?

Das Problem mit "H@u5" könnte man lösen, indem man graphisch ähnliche 
Zeichen in einen Topf tut und dann mit dem ähnlichen Buchstaben rechnet.

Wobei man das z.B. für kyrillische Zeichen, die lateinischen ähneln, 
eher nicht machen sollte.

Autor: Detlev T. (detlevt)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich will hier einmal zwei Thesen in den Raum werfen:

1.) Wenn ein Passwort sicher ist, ist es egal "wie" sicher es ist.

2.) Man kann dem Passwort selbst seine Sicherheit nicht immer ansehen.

Oft wird gefordert, dass Passworte Sonderzeichen enthalten. Ich halte 
das für doppelt unsinnig. Erstens erhöhen Sonderzeichen lediglich den 
Zeichenvorrat und damit die Sicherheit eines gleich langen Passwortes. 
Ein längeres Passwort ohne Sonderzeichen kann also genau so sicher sein. 
(Genau genommen besteht ja jedes Passwort eh' nur aus 0 und 1 ;) )Es ist 
sogar eher so, das ein langes Passwort, das man sich merken kann, besser 
ist als ein Password mit Sonderzeichen, das man kurz hält, weil man es 
sonst vergisst. Die Länge des Passwortes hat einen viel größeren 
Einfluss auf die Zahl der Möglichkeiten als der Zeichenvorrat.

Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im 
Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte, 
aber nicht muss.

Wenn ich ein sicheres Passwort brauche, denke ich mir einen Nonsens-Satz 
aus, in dem Zahlen vorkommen und den ich mir gut merken kann, z.B. ein 
Rezept : "Für einen großen Kuchen brauche ich 6 Eier, 1 kg Mehl und 2 
Stunden Zeit" Dann nehme ich den jeweils den Anfangsbuchstaben in Groß- 
und Kleinschreibung und aus dem obigen Satz wird: "FegKbi6E1kMu2SZ" So 
ein Passwort kann man nicht erraten - auch ohne Sonderzeichen, die 
vielleicht gar nicht auf jeder Tastatur verfügbar sind.

Autor: SchinkenWurst (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Detlev T. schrieb:
> Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im
> Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte,
> aber nicht muss.

Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples 
Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel

Autor: Verwirrter Anfänger (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich denke die meisten Seiten machen das mit einem einfachen Punktesystem 
wie oben beschrieben. Das läßt sich ja leicht nachgucken, ich denke das 
wird meistens eher Javascript sein als irgendwas Serverseitiges mit 
ajax.

Etwas theorethisch fundierter wäre es die tatsächliche Entropie zu 
berechnen, bzw. wie bit das Passwort optimal gepackt hätte.
siehe:
http://de.wikipedia.org/wiki/Entropiesch%C3%A4tzung
http://de.wikipedia.org/wiki/Entropiekodierung
http://de.wikipedia.org/wiki/Shannon-Fano-Kodierung

Um die ähnlichen Zeichen auszusortieren könnte man vorher ein einfaches 
String replacement machen. Das wäre wieder etwas praktischer orientiert.
Dann wäre das passwort "aaa@a@aa@" allerdings genauso sicher wie 
"aaaaaaaaa"

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl
> es das nicht unbedingt ist.

warum sollte es nicht sicher sein, es ist recht lang und hat 2 
sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe 
drin ist.

Auch ein Pin von 0000 ist genau so sicher wie eine 8973.

Autor: K. J. (theborg0815) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
SchinkenWurst schrieb:
> Detlev T. schrieb:
>> Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im
>> Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte,
>> aber nicht muss.
>
> Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples
> Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel

Naja das PW darf halt nicht erraten werden können für dieses Java gedöns 
gibs dann noch PW Dateien die abgeglichen werden wo die häufigsten PWs 
drinnen sind.

Das ganze zielt ja nur auf Brutforce ab wen z.b. nen Server dagegen 
keinen Schutz hat ist es eh sinnlos da wird sich ne Cloud gekapert oder 
sogar gemietet und dann ist es auch egal ob da nen Sonderzeichen oder 
ähnliches drinnen ist.

Grundsätzlich kann ein "gutes" PW eigentlich nur Scriptkidis abhalten 
dafür muss es nur lang genug sein und kein Standartpasswort und das 
macht man halt mit den Sonderzeichen und Nummern.

@Peter naja 0000 oder 1234 bei einer pin ist schon recht scheiße weil 
sie einfach abgeschabt werden kann.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Peter schrieb:
> Uhu Uhuhu schrieb:
>> Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl
>> es das nicht unbedingt ist.
>
> warum sollte es nicht sicher sein, es ist recht lang und hat 2
> sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe
> drin ist.
>
> Auch ein Pin von 0000 ist genau so sicher wie eine 8973.

Rein in Himmel der Theorie hast du recht. In der Praxis spielt aber der 
Faktor Mensch eine nicht zu unterschätzende Rolle.

Wenn jemand zu Fuß Brute Force probiert, dann wird er als erstes 
"Trivial"-PWs durchprobieren. Und wenn er den Pappenheimer kennt, den er 
knacken will, dann gibts da noch eine Reihe zwar individuell 
verschiedene, aber trotzdem häufige Kandidaten, die man auch checken 
kann.

Die Fantasielosigkeit beim Paßworterfinden scheint jedenfalls keine 
Grenze zu kennen.

@Verwirrter Anfänger:

Wenn man die Wahrscheinlichkeit der Zeichen in der Sprache mit 
berücksichtigt, dann wird der Algorithmus deutlich aufwendiger, ohne daß 
dem rechter Nutzen gegenüber steht. Wenn ein Paßwort aus einer 
Fremdsprache stammt, dann kann es nach den Maßstäben der deutschen 
Sprache sehr gut sein, während jeder Muttersprachler es sofort als 
Feld-, Wald- und Wiesenpaßwort von Volldeppen erkennt.

Autor: Dicke Finger (dickefinger)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Lass doch den Algorithmus identische aufeinanderfolgende Zeichen 
wegkürzen. Aus aaaaa@aaaaa wird dann einfach a.

Autor: Vlad Tepesch (vlad_tepesch)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die Entropie eines Passwortes ist meiner Meinung nach völlig egal.
Vogel hat eine die gleiche Entropie wie leVog, ist mit Sicherheit aber 
sehr viel eher geknackt.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vlad Tepesch schrieb:
> Die Entropie eines Passwortes ist meiner Meinung nach völlig egal.

Völlig egal bestimmt nicht. Ich werden den Algorithmus, den ich 
skizziert hatte, einfach mal aus.

Dicke Finger schrieb:
> Aus aaaaa@aaaaa wird dann einfach a.

Ich probier mal noch was, in das die Differenz zwischen benachbarten 
Zeichen noch mit eingeht.

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal 
...

Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem 
System (Passwort) nicht wissen!

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> ... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal
> ...
>
> Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem
> System (Passwort) nicht wissen!

Wenn du aber nichts weißt ist
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

genau so sicher wie

aöpü049383äö,lkijdsifisjdfsfskjnw

...

und warum sollte aaabbbcccdddeeeggg unsicherere sein als jedes anders 
lange Passwort?

Viel wichtiger ist es, das ein Passwort nicht durch eine 
Wörterbuchattake geknackt werden kann, und das System nur eine begrenze 
Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse 
Zeit gesperrt wird.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Läubi .. schrieb:
> Viel wichtiger ist es, das ein Passwort nicht durch eine
> Wörterbuchattake geknackt werden kann, und das System nur eine begrenze
> Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse
> Zeit gesperrt wird.

Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man 
kann dann nur noch versuchen festzustellen, daß der Server auf 
ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
...
Wenn du aber nichts weißt ist
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

genau so sicher wie

aöpü049383äö,lkijdsifisjdfsfskjnw
...

Das ist richtig. Gut gemacht!

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> ...
> Wenn du aber nichts weißt ist
> aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
>
> genau so sicher wie
>
> aöpü049383äö,lkijdsifisjdfsfskjnw
> ...
>
> Das ist richtig. Gut gemacht!

Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die 
beiden doch nicht gleich wahrscheinlich.

Paßworte werden überwiegend von Menschen, nicht von Zufallsgeneratoren 
gemacht. Und deswegen ist eine Qualitätsbewertung auch sinnvoll und 
notwendig.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man
> kann dann nur noch versuchen festzustellen, daß der Server auf
> ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.
Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch 
"geraten" wurde. Egal von wem die Anfrage kommt. Dies muss aber auf 
Serverseite geschehen.

Uhu Uhuhu schrieb:
> Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die
> beiden doch nicht gleich wahrscheinlich.
Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel 
höher als durch doppelte Zeichen.
Außerdem setzt sich das ganze auch immer aus Username und Passwort 
zusammen also schon mal zwei Unsicherheitsfaktoren.

Dir nützt auch ein 20 Zeichen langes PW nix wenn es sich auch Wörter 
zusammensetzt die in irgendeinem Wörterbuch finden und der Server 
falsche Anfragen nicht bestraft!

Autor: Martin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
... Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind 
die
beiden doch nicht gleich wahrscheinlich ...

Nach der Aussage von  Läubi (" ... Wenn du aber nichts weißt ist ...") 
sind beide Passworte gleich stark. Und das stimmt einfach. Für Läubi, 
der nichts weiß, sind beide Passworte gleich stark.

Du hingegen weißt, dass die 1. Variante bevorzugt wird. Also ist die 
Entropie der 1. Variante für dich niedriger als die der 2. Variante.

Du kannst davon ausgehen, dass die Entropie ein bestimmtes Passwortes 
mit der "Leichtigkeit" es zu "erraten" zusammenhängt.

Sagen wir einmal: pro Rateversuch ein Bit.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Läubi .. schrieb:
> Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel
> höher als durch doppelte Zeichen.

OK, dann ein wenig Information zu Problem, um das es mir geht:

Ich habe eine Horde von Computer-DAUs, die selbsterhobene Daten in ein 
Webformular eingeben sollen. Die dahinterliegende Datenbank soll vor 
unbefugten Zugriffen geschützt werden. (Es ist auch ein Auswertemodul 
vorhanden.)

Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte. Wenn man 
diese Klientel nur einigermaßen kennt, dann wird man kaum eine 
Wörtebuchattacke mit einem Wörterbuch der deutschen Sprache starten, 
sondern mit einem der dämlichsten Paßworte, die die Menscheit bisher 
hervorgebracht hat. Und daß in diesem Wörterbuch Einträge wie 123456 
ziemlich am Anfang stehen, davon kannst du ausgehen und mit 20 Zeichen 
braucht man nicht zu rechnen, denn da würde lange vorher die Faulheit 
siegen.

Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu 
können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres." 
Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.

Läubi .. schrieb:
> Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch
> "geraten" wurde.

Genau das meinte ich mit:
> Man
> kann dann nur noch versuchen festzustellen, daß der Server auf
> ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.

im selben Beitrag. Aber viel anderes, als Schotten dich machen, kann man 
wohl nicht tun.

Autor: Läubi .. (laeubi) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Aber viel anderes, als Schotten dich machen, kann man
> wohl nicht tun.

So ist es. Allerdings muß man bei so einem Szenario auch bedenken: Wie 
hoch ist der Anreiz sich da überhaupt einzuhacken?

Uhu Uhuhu schrieb:
> Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu
> können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."
> Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.
Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul 
nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität 
eines Passwortes bewertet.
http://www.php.net/manual/en/book.crack.php

Uhu Uhuhu schrieb:
> Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte.
Bei so etwas hilft es eigentlich nur ein z.B. 10 Zeichen langes PW zu 
generieren und nur das geht eben. Wenn die sich das mit nem Postit an 
den Monitor kleben muss der Angreifer für einen Erfolg Zugriff auf den 
PC Monitor haben ;)

Alternativ kann man auch noch zusätzlich das Geburtsdatum des 
Kanarienvogels abfragen, ein Captcha dazu gegen Robots.

Oder ganz andere Idee:
Einmalpasswort. Man loggt sich nur mit Usernamen ein, woraufhin der 
Server ein neues PW generiert, dieses per Mail (oder einen 
Sessionstring) als Link versendet wo derjenige nurnoch draufklicken 
muss.
Ob das aber in die geplanten Komfortfunktionen deines Programms passt 
weiß ich nicht. (Die Ziel Mail muss natürlich fix hinterlegt sein)

Autor: Joe (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
MVemjSu9P

ist ein sehr sicheres und trotzdem leicht zu merken.

Wer kennt die Merkregel?

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Joe schrieb:
> MVemjSu9P
>
> ist ein sehr sicheres

Jetzt nicht mehr ;-)

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Läubi .. schrieb:
> Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul
> nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität
> eines Passwortes bewertet.

Das war ein guter Tipp: Ich benutze zwar kein PHP, aber der Link brachte 
mich auf die Idee, mal in meinen Linux-Repositorien nachzusehen. Dort 
gibt es einiges, das Paßworte knacken, oder testen kann. Darauf kann man 
natürlich auf einem Linux-Server zurückgreifen.

Autor: Micha S. (ernie)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Joe schrieb:

Moin Moin,

> MVemjSu9P
>
> ist ein sehr sicheres und trotzdem leicht zu merken.
>
> Wer kennt die Merkregel?

ich :)

Aber viel sicherer ist heute das Passwort:

MVemjSu8P

:) :)

Grüße,

Micha

Autor: Verwirrter Anfänger (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wäre das nicht eher:

MVemjSu8-
wobei die die 8 immer noch falsch anfängt

Autor: Micha S. (ernie)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Verwirrter Anfänger schrieb:
> Wäre das nicht eher:
>
> MVemjSu8-
> wobei die die 8 immer noch falsch anfängt

als Merksatz funktioniert das natürlich nicht mehr. Deswegen ist es ja
auch sicherer :)

Grüße,

Micha

Autor: Juri Parallelowitsch (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die sichersten PW sind real zufällige.

Zufallsgeneratoren die zufällige PW generieren können mit dem Rechner 
gibt es nicht. Irgendwas eintippen ist auch nicht zufällig, da man bei 
genügend großer Datenmenge das Tippverhalten gut analysieren kann und 
damit den Suchraum stark verkleinern kann.

Es ist nicht ganz einfach wirklich zufällige PW zu generieren.

Was z.B. geht ist das PW auszuwürfeln und die Würfel anschließend zu 
verbrennen.

Die Entropie eines PW so wie Uhu vorgeschlagen hat zu berechnen ist 
nicht möglich da sie alle gleich sind.

Autor: MaWin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem
> kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.

Das macht sicher genau so viel Sinn wie die Algorithmien der Anbieter.

Allerdings wird damit mitnichten bestimmt, ob ein Passwort sicher ist.

Sind die Anforderungen an Passwörter zu hoch, kann der Benutzer es sich 
nicht mehr merken, und schreibt es auf einen Zettel.

Damit fällt das Passwort in fremde Hände und ist das unsicherste der 
Welt.

Noch unsicherer sind Passwörter von Anbietern, bei denen man per eMail 
ein neues bekommt, wie PayPal. Wenn da ein Mail-Account gehackt wurde 
(was nicht so schwer ist und millionenfach vorkommt) kann man in all 
diese "gesicherten" Dienste eindringen und unter falschem Namen Unfug 
anrichten, gar das Konto den Benutzers abräumen.

Autor: Valentin Buck (nitnelav) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Könnte man nicht einfach selber einen Brute-Force-Angriff auf das 
Passwort starten? Vielleicht kombiniert mit einer vorherigen 
Wörterbuchattacke?
Dann wüsste man doch, welches Passwort zuletzt geknackt wird!
Mit freundlichen Grüßen,
Valentin Buck

Autor: Nico22 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Als es bei mir einmal darauf ankam, wirklich sichere Passwörter für zu 
erstellen, habe ich je Passwort sechs Byte aus /dev/random ausgelesen 
und per base64_encode(); in ein menschen-eingebbares und vor allem 
systemportables Passwort gewandelt. Auch wenn 48 Bit nicht so viel 
sind in heutiger Zeit, ist dieses 8 Zeichen relativ zufällig.

Nico

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Juri Parallelowitsch schrieb:
> Die sichersten PW sind real zufällige.

Das ist klar. Nur mein Klientel sind teilweise Omas und Opas. Denen kann 
man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter 
denen sie sich irgendwas vorstellen können.

Die Argumentation mit dem Zettel greift hier kaum. An den PC im 
Wohnzimmer von Oma kommt kein Bösewicht. Der hat vorher den Spitz am 
Bein ;-)

Autor: Juri Parallelowitsch (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Nur mein Klientel sind teilweise Omas und Opas. Denen kann
> man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter
> denen sie sich irgendwas vorstellen können.

Ja, ist klar, das Problem haben wir eigentlich alle - wie war noch mal 
das PW?

Es gibt zwei Möglichkeiten je nach Art PW was du benötigst.

Bei 4er-Pins haben sich Codekarten bewährt.

Man merkt sich ein einfaches Wort und liest die Buchstaben in der linken 
Spalte ab und dann die Zahlen in der jeweiligen Spalte.
Verliert man die Codekarte ist sie für Jemanden der das PW nicht kennt 
nutzlos, da die Anzahl der Möglichkeiten z.B. bei einer 12 x 5 Matrix 
(für 5 PW) die Anzahl der Möglichkeiten erreicht die der 4er-Raum hat.

Brauchst du ein sicheres 10 stelliges PW welches zufällig ist und 
welches man sich merken kann, gibt es z.B. folgende Möglichkeit:

Also ich nehme jetzt mal ein Beispiel von mir welches ich aber nicht 
verwende - sowas ähnliches musst du dann mit den Leuten suchen.

Haustiere, Kollegennamen, Städtenamen usw.

Beispiel:

Ich nehmen die Liste der Autos die ich mal gefahren bin nach Marke:

Opel
Opel
Renault
Skoda
Audi
Audi
BMW
Mercedes
Mercedes
Mercedes

Macht ein PW = OORSAABMMM

Die waren nicht alle auf mich zugelassen, damit ist das nicht knackbar, 
da nur ich mich an diese Liste erinnern kann.

Prinzip müsste klar sein.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Juri, das ist mir alles bekannt. Nur helfen tuts leider nix, wenn die 
Leutchen sich nicht an das halten, was man ihnen sagt.

Glaub mir, das Einzige, was wirklich hilft, ist ein einfacher 
Algorithmus, der bei der Paßworteingabe prüft, ob es was taugt, wenn man 
den Leuten die Paßwortwahl lassen will - oder Vergabe der Paßworte durch 
den Admin.

Du glaubst nicht, was da für kindische Widerstände zu überwinden sind 
und wie wenig lernfähig manche sind. Dem kommst du mit Informatik aus 
dem Lehrbuch nicht bei.

Autor: Juri Parallelowitsch (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ein gewisses Mass an Aufwand ist erforderlich.

Da fallen mit für solche Leute die sich da ganz sperren nur zwei 
Möglichkeiten ein:

Eine Hardwarelösung wie einen Fingerabdruckscanner für das PW oder ein 
einfaches PW und alle PW auf einen verschlüsselten Stick im Klartext, 
was sie dann quasi als Schlüssel begreifen können.

Autor: MaWin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Glaub mir, das Einzige, was wirklich hilft,

Wir glauben dir.

Du bist Hacker ?
verdienst dein Geld mit geknackten Accounts ?
Klar, daß du dir so was wünscht.

Das, was du vorschlägst, führt doch unweiglich zu Zetteln auf denen die 
Passwörter notiert sind. (und nein, Passwortsafes sind für Oma Nolte zu 
unübersichtlich).

Damit ist jeder simple Einbrecher gleich in Besitz aller benötigten 
Angaben.

Merke:

Es ist einfach blöd, solche Anforderungen zu stellen, weil Leute sich 
nicht 257 verschiedene Passwörter merken können !

(Lass mal gucken: Ich hab 116 in meiner Liste stehen, da ist auch gleich 
eine Anklageliste der dämlichsten WebSeiten etc. Ersteller die es gibt, 
Leute die wie du entweder krypische Passwörter fest vorgeben, oder 
idiotische Regeln erfinden, damit das normale Passwort nicht passt, das 
Ausweichpasswort "für die blöden die eine Ziffer wollen" nicht passt, 
und das Nothilfspasswort "für die Volltrottel die mehr als 8 zeichen 
sehen wollen was anderne wieder zu viel ist". nicht geht.  116 Idioten.)

Autor: Juri Parallelowitsch (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
MaWin schrieb:
> 116 Idioten

Den bessten Spass hast du gar nicht erwähnt, die die fordern es jeden 
Monat zu ändern.

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Jungs, lassen wir das. Es ist nicht hilfreich und neu ist es auch nicht.

Autor: oszi40 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Juri Parallelowitsch schrieb:
> Ein gewisses Mass an Aufwand ist erforderlich.

Ein langes PW sollte wirklich auf der GANZEN Länge geprüft werden.

"qqqqqqqqqqqq4722@" ist auch nicht sicher WENN die Deppen nur die ersten 
paar Zeichen prüfen (leider schon erlebt).

Autor: captain obvious (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
mal eine kleine Anekdote zum Thema Passwort:
Mit hat ein T-Online Servicemitarbeiter mal dazu geraten, im Passwort 
ein ä,ö oder ü zu verwenden!

--> Begründung:
Ä,Ö und Ü gibt es nur im deutschsprachigen Raum, ein Angreifer aus z.B. 
England könnte das Passwort also nicht knacken weil er die Buchstaben 
nicht im Tastaturlayout hat =)))

Ich war sprachlos!

Autor: Zwölf Mal Acht (hacky)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
>Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu
können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."
Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.


Ja. Ja. Kennen wir. Dann schreiben wir "Ukjhadk2w980_" auf eine 
Klebeetikette, an den Rechner, oder an den Monitor, oder in die 
Schublade...

:-)

Das wichtigste ist dass es nicht vom Keyboard abhaengig ist. Dh keine y, 
z, ä, ö, ü, ..

Autor: Nico22 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Oh ja, mein Passwort beinhaltet ein Z. Wie oft ich mich da schon 
"vertippt" habe, weil ich im Ausland war und das Passwort eingetippt 
habe wie immer. Nach zahlreichen Versuchen (die haben doch nicht meinen 
Account gesperrt?) fiels mir dann auf. Macht der Gewohnheit. Aber ein 
Lerneffekt tritt auch nicht ein. Nach ein paar Monaten auf einem 
deutschen Computer sitzt man wieder doof vor einer finnischen (oder 
meinetwegen englischen) Tastatur ;-)

Autor: Uhu Uhuhu (uhu)
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Hier ist das Ergebnis meiner Versuche: Datei herunterladen und im 
Browser öffnen.

Man muß nur eine Grenze festlegen, unterhalb derer ein Paßwort 
inakzeptabel ist. Evtl. kann man das Resultat als Farbbalken darstellen.

An den Bewertungsparametern kann man noch ein wenig schrauben.

Autor: Nur zu Besuch ;) (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
MVemjSu9P war einmal sicher, ist jetzt aber über das Internet weit 
"verbreitet" worden. Sicherer wäre es noch, sich einen neuen Satz bzw. 
Spruch zu überlegen, den man sich auch gut merken kann. Und den kann man 
dann zum Beispiel umändern. (Nacht --> N8)
Natürlich kann man auch etwas privates nehmen, Beispiel: Name von dem 
Hund ein "I_love" davor. Angenommen der Hund heißt "Bello" wäre es dann 
"I_love_Bello"

lg,
"Nur zu Besuch ;)"

Autor: Ben ___ (burning_silicon)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Threadleichenausbuddler!

Dieser Beitrag ist gesperrt und kann nicht beantwortet werden.