Bei manchen Paßwortänderungsdialogen wird die Qualität des angezeigten Paßwortes angezeigt. Wie wird der Qualitätsindex berechnet? Meine Idee wäre, daß man die Differenz zwischen dem größten und dem kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet.
:
Gesperrt durch User
Standardisiert ist diese "Qualität" nicht. Nach meinem Eindruck ist das meist recht primitiv. Für die Länge gibt es Punkte, ebenso für das Verwenden von Groß- und Kleinschreibung sowie Ziffern und "Sonderzeichen".
Uhu Uhuhu schrieb: > Meine Idee wäre, daß man die Differenz zwischen dem größten und dem > kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet. das bringt es denke ich nicht. wenn jemand ein kleines z und ein großes A drin hat, hat er ja schon gewonnen. Ich würde auf Diversität in den Zeichenklassen achten (Ziffern, Großbuchstaben, Kleinbuchsaben, Sonderzeichen) und Länge. Je nachdem wie sicher das sein soll kann man noch ein Wörterbuch hinterlegen und schauen, dass das Wort da nicht drin steht. Auf jeden Fall auf Ähnlichkeit mit anderen Accountdetails testen (Username, Addresse, email) oder mit dem Umfeld der Anmeldung (zB webseitenname)
Ja, das war nur die halbe Miete. Man muß zumindest diesen Logarithmus - der die Entropie eines Zeichens im eingegbenen PW darstellt - natürlich noch mit der Länge des PW multiplizieren. Damit erhält man in etwa die Anzahl Bits Entropie, die im PW steckt. Die Methode hat den Vorteil, daß man sich über Zeichenklassen keine Gedanken machen muß und der Algorithmus ist kurz und übersichtlich.
Uhu Uhuhu schrieb: > Meine Idee wäre, daß man die Differenz zwischen dem größten und dem > kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet. Was meinst du damit? Schau dir doch auf einer entsprechenden Site die Javascript Funktion an, welche diesen "Index" berechnet! Üblicherweise ist die Passwort Qualität eine Funktion von: - der Länge - ein oder mehrere Zahl enthält - ein oder mehrere Sonderzeichen darin vorkommen - Gross/Kleinschreibung Das ist jedoch tatsächlich kein gutes Indiz für die tatsächliche Güte eines Passwortes. Beispielsweise das Passwort "H@u5", hergeleitet von "Haus" ist zwar nach oben genannter Funktion sehr gut, jedoch wissen Passwort cracking tools auch, dass Leute normale Wörter verwenden, und manche Buchstaben durch Sonderzeichen/Zahlen ersetzten... Deshalb ist das passwort relativ schlecht!
Man sollte noch irgendwas in den Güteindex mit reinpacken, das die Streuung der Zeichen bewertet. Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl es das nicht unbedingt ist. Wörterbuchtests sind in einer Webseite unpraktikabel. Man könnte das auf dem Server machen, müßte dann aber das Wörterbuch dort gespeichert haben. M. B. schrieb: > Schau dir doch auf einer entsprechenden Site die Javascript Funktion an, Kennst du eine? Das Problem mit "H@u5" könnte man lösen, indem man graphisch ähnliche Zeichen in einen Topf tut und dann mit dem ähnlichen Buchstaben rechnet. Wobei man das z.B. für kyrillische Zeichen, die lateinischen ähneln, eher nicht machen sollte.
Ich will hier einmal zwei Thesen in den Raum werfen: 1.) Wenn ein Passwort sicher ist, ist es egal "wie" sicher es ist. 2.) Man kann dem Passwort selbst seine Sicherheit nicht immer ansehen. Oft wird gefordert, dass Passworte Sonderzeichen enthalten. Ich halte das für doppelt unsinnig. Erstens erhöhen Sonderzeichen lediglich den Zeichenvorrat und damit die Sicherheit eines gleich langen Passwortes. Ein längeres Passwort ohne Sonderzeichen kann also genau so sicher sein. (Genau genommen besteht ja jedes Passwort eh' nur aus 0 und 1 ;) )Es ist sogar eher so, das ein langes Passwort, das man sich merken kann, besser ist als ein Password mit Sonderzeichen, das man kurz hält, weil man es sonst vergisst. Die Länge des Passwortes hat einen viel größeren Einfluss auf die Zahl der Möglichkeiten als der Zeichenvorrat. Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte, aber nicht muss. Wenn ich ein sicheres Passwort brauche, denke ich mir einen Nonsens-Satz aus, in dem Zahlen vorkommen und den ich mir gut merken kann, z.B. ein Rezept : "Für einen großen Kuchen brauche ich 6 Eier, 1 kg Mehl und 2 Stunden Zeit" Dann nehme ich den jeweils den Anfangsbuchstaben in Groß- und Kleinschreibung und aus dem obigen Satz wird: "FegKbi6E1kMu2SZ" So ein Passwort kann man nicht erraten - auch ohne Sonderzeichen, die vielleicht gar nicht auf jeder Tastatur verfügbar sind.
Detlev T. schrieb: > Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im > Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte, > aber nicht muss. Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel
Ich denke die meisten Seiten machen das mit einem einfachen Punktesystem wie oben beschrieben. Das läßt sich ja leicht nachgucken, ich denke das wird meistens eher Javascript sein als irgendwas Serverseitiges mit ajax. Etwas theorethisch fundierter wäre es die tatsächliche Entropie zu berechnen, bzw. wie bit das Passwort optimal gepackt hätte. siehe: http://de.wikipedia.org/wiki/Entropiesch%C3%A4tzung http://de.wikipedia.org/wiki/Entropiekodierung http://de.wikipedia.org/wiki/Shannon-Fano-Kodierung Um die ähnlichen Zeichen auszusortieren könnte man vorher ein einfaches String replacement machen. Das wäre wieder etwas praktischer orientiert. Dann wäre das passwort "aaa@a@aa@" allerdings genauso sicher wie "aaaaaaaaa"
Uhu Uhuhu schrieb: > Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl > es das nicht unbedingt ist. warum sollte es nicht sicher sein, es ist recht lang und hat 2 sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe drin ist. Auch ein Pin von 0000 ist genau so sicher wie eine 8973.
SchinkenWurst schrieb: > Detlev T. schrieb: >> Zweitens reduziert man damit wieder die Zahl der Möglichkeiten im >> Vergleich zum Fall, wo ein Passwort Sonderzeichen enthalten könnte, >> aber nicht muss. > > Mit dem Sonderzeichen verhindert man aber zu 99%, daß es ein simples > Wort aus dem Wörtebuch ist: Beispiel >B,ei,spiel Naja das PW darf halt nicht erraten werden können für dieses Java gedöns gibs dann noch PW Dateien die abgeglichen werden wo die häufigsten PWs drinnen sind. Das ganze zielt ja nur auf Brutforce ab wen z.b. nen Server dagegen keinen Schutz hat ist es eh sinnlos da wird sich ne Cloud gekapert oder sogar gemietet und dann ist es auch egal ob da nen Sonderzeichen oder ähnliches drinnen ist. Grundsätzlich kann ein "gutes" PW eigentlich nur Scriptkidis abhalten dafür muss es nur lang genug sein und kein Standartpasswort und das macht man halt mit den Sonderzeichen und Nummern. @Peter naja 0000 oder 1234 bei einer pin ist schon recht scheiße weil sie einfach abgeschabt werden kann.
Peter schrieb: > Uhu Uhuhu schrieb: >> Nach meinem Algorithmus wäre ein PW !aaaaaaaaaaaaaaaß sehr gut, obwohl >> es das nicht unbedingt ist. > > warum sollte es nicht sicher sein, es ist recht lang und hat 2 > sonderzeichen. So lange du niemand sagst das 16mal der gleiche buchstabe > drin ist. > > Auch ein Pin von 0000 ist genau so sicher wie eine 8973. Rein in Himmel der Theorie hast du recht. In der Praxis spielt aber der Faktor Mensch eine nicht zu unterschätzende Rolle. Wenn jemand zu Fuß Brute Force probiert, dann wird er als erstes "Trivial"-PWs durchprobieren. Und wenn er den Pappenheimer kennt, den er knacken will, dann gibts da noch eine Reihe zwar individuell verschiedene, aber trotzdem häufige Kandidaten, die man auch checken kann. Die Fantasielosigkeit beim Paßworterfinden scheint jedenfalls keine Grenze zu kennen. @Verwirrter Anfänger: Wenn man die Wahrscheinlichkeit der Zeichen in der Sprache mit berücksichtigt, dann wird der Algorithmus deutlich aufwendiger, ohne daß dem rechter Nutzen gegenüber steht. Wenn ein Paßwort aus einer Fremdsprache stammt, dann kann es nach den Maßstäben der deutschen Sprache sehr gut sein, während jeder Muttersprachler es sofort als Feld-, Wald- und Wiesenpaßwort von Volldeppen erkennt.
Lass doch den Algorithmus identische aufeinanderfolgende Zeichen wegkürzen. Aus aaaaa@aaaaa wird dann einfach a.
Die Entropie eines Passwortes ist meiner Meinung nach völlig egal. Vogel hat eine die gleiche Entropie wie leVog, ist mit Sicherheit aber sehr viel eher geknackt.
Vlad Tepesch schrieb: > Die Entropie eines Passwortes ist meiner Meinung nach völlig egal. Völlig egal bestimmt nicht. Ich werden den Algorithmus, den ich skizziert hatte, einfach mal aus. Dicke Finger schrieb: > Aus aaaaa@aaaaa wird dann einfach a. Ich probier mal noch was, in das die Differenz zwischen benachbarten Zeichen noch mit eingeht.
... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal ... Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem System (Passwort) nicht wissen!
Martin schrieb: > ... Die Entropie eines Passwortes ist meiner Meinung nach völlig egal > ... > > Nur die Entropie ist wichtig. Warum? Entropie ist das, was wir von einem > System (Passwort) nicht wissen! Wenn du aber nichts weißt ist aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa genau so sicher wie aöpü049383äö,lkijdsifisjdfsfskjnw ... und warum sollte aaabbbcccdddeeeggg unsicherere sein als jedes anders lange Passwort? Viel wichtiger ist es, das ein Passwort nicht durch eine Wörterbuchattake geknackt werden kann, und das System nur eine begrenze Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse Zeit gesperrt wird.
Läubi .. schrieb: > Viel wichtiger ist es, das ein Passwort nicht durch eine > Wörterbuchattake geknackt werden kann, und das System nur eine begrenze > Anzahl falscher Anfragen akzeptiert bevor der Account für eine gewisse > Zeit gesperrt wird. Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man kann dann nur noch versuchen festzustellen, daß der Server auf ungewöhnliche Weise angesprochen wird und die Schotten dicht machen.
... Wenn du aber nichts weißt ist aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa genau so sicher wie aöpü049383äö,lkijdsifisjdfsfskjnw ... Das ist richtig. Gut gemacht!
Martin schrieb: > ... > Wenn du aber nichts weißt ist > aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa > > genau so sicher wie > > aöpü049383äö,lkijdsifisjdfsfskjnw > ... > > Das ist richtig. Gut gemacht! Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die beiden doch nicht gleich wahrscheinlich. Paßworte werden überwiegend von Menschen, nicht von Zufallsgeneratoren gemacht. Und deswegen ist eine Qualitätsbewertung auch sinnvoll und notwendig.
Uhu Uhuhu schrieb: > Na ja, das hilft bei einer Attacke aus der Cloud auch nicht viel. Man > kann dann nur noch versuchen festzustellen, daß der Server auf > ungewöhnliche Weise angesprochen wird und die Schotten dicht machen. Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch "geraten" wurde. Egal von wem die Anfrage kommt. Dies muss aber auf Serverseite geschehen. Uhu Uhuhu schrieb: > Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind die > beiden doch nicht gleich wahrscheinlich. Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel höher als durch doppelte Zeichen. Außerdem setzt sich das ganze auch immer aus Username und Passwort zusammen also schon mal zwei Unsicherheitsfaktoren. Dir nützt auch ein 20 Zeichen langes PW nix wenn es sich auch Wörter zusammensetzt die in irgendeinem Wörterbuch finden und der Server falsche Anfragen nicht bestraft!
... Aber da man weiß, daß Menschen eher zur 1. Variante tendieren, sind
die
beiden doch nicht gleich wahrscheinlich ...
Nach der Aussage von Läubi (" ... Wenn du aber nichts weißt ist ...")
sind beide Passworte gleich stark. Und das stimmt einfach. Für Läubi,
der nichts weiß, sind beide Passworte gleich stark.
Du hingegen weißt, dass die 1. Variante bevorzugt wird. Also ist die
Entropie der 1. Variante für dich niedriger als die der 2. Variante.
Du kannst davon ausgehen, dass die Entropie ein bestimmtes Passwortes
mit der "Leichtigkeit" es zu "erraten" zusammenhängt.
Sagen wir einmal: pro Rateversuch ein Bit.
Läubi .. schrieb: > Naja, wie gesagt die Gefahr durch eine Wörterbuchattake ist sehr viel > höher als durch doppelte Zeichen. OK, dann ein wenig Information zu Problem, um das es mir geht: Ich habe eine Horde von Computer-DAUs, die selbsterhobene Daten in ein Webformular eingeben sollen. Die dahinterliegende Datenbank soll vor unbefugten Zugriffen geschützt werden. (Es ist auch ein Auswertemodul vorhanden.) Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte. Wenn man diese Klientel nur einigermaßen kennt, dann wird man kaum eine Wörtebuchattacke mit einem Wörterbuch der deutschen Sprache starten, sondern mit einem der dämlichsten Paßworte, die die Menscheit bisher hervorgebracht hat. Und daß in diesem Wörterbuch Einträge wie 123456 ziemlich am Anfang stehen, davon kannst du ausgehen und mit 20 Zeichen braucht man nicht zu rechnen, denn da würde lange vorher die Faulheit siegen. Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres." Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen. Läubi .. schrieb: > Doch, das hilft sehr wohl! Du musst nur intern merken wie oft falsch > "geraten" wurde. Genau das meinte ich mit: > Man > kann dann nur noch versuchen festzustellen, daß der Server auf > ungewöhnliche Weise angesprochen wird und die Schotten dicht machen. im selben Beitrag. Aber viel anderes, als Schotten dich machen, kann man wohl nicht tun.
Uhu Uhuhu schrieb: > Aber viel anderes, als Schotten dich machen, kann man > wohl nicht tun. So ist es. Allerdings muß man bei so einem Szenario auch bedenken: Wie hoch ist der Anreiz sich da überhaupt einzuhacken? Uhu Uhuhu schrieb: > Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu > können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres." > Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen. Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität eines Passwortes bewertet. http://www.php.net/manual/en/book.crack.php Uhu Uhuhu schrieb: > Diese Leute schreiben z.T. wirklich die dämlichsten Paßworte. Bei so etwas hilft es eigentlich nur ein z.B. 10 Zeichen langes PW zu generieren und nur das geht eben. Wenn die sich das mit nem Postit an den Monitor kleben muss der Angreifer für einen Erfolg Zugriff auf den PC Monitor haben ;) Alternativ kann man auch noch zusätzlich das Geburtsdatum des Kanarienvogels abfragen, ein Captcha dazu gegen Robots. Oder ganz andere Idee: Einmalpasswort. Man loggt sich nur mit Usernamen ein, woraufhin der Server ein neues PW generiert, dieses per Mail (oder einen Sessionstring) als Link versendet wo derjenige nurnoch draufklicken muss. Ob das aber in die geplanten Komfortfunktionen deines Programms passt weiß ich nicht. (Die Ziel Mail muss natürlich fix hinterlegt sein)
MVemjSu9P ist ein sehr sicheres und trotzdem leicht zu merken. Wer kennt die Merkregel?
Läubi .. schrieb: > Wenn du Glück hast und der Server PHP nutzt kannst du das "Crack" Mopdul > nutzen (auch wenn der Name anderes Vermuten läßt) welches die Qualität > eines Passwortes bewertet. Das war ein guter Tipp: Ich benutze zwar kein PHP, aber der Link brachte mich auf die Idee, mal in meinen Linux-Repositorien nachzusehen. Dort gibt es einiges, das Paßworte knacken, oder testen kann. Darauf kann man natürlich auf einem Linux-Server zurückgreifen.
Joe schrieb: Moin Moin, > MVemjSu9P > > ist ein sehr sicheres und trotzdem leicht zu merken. > > Wer kennt die Merkregel? ich :) Aber viel sicherer ist heute das Passwort: MVemjSu8P :) :) Grüße, Micha
Wäre das nicht eher: MVemjSu8- wobei die die 8 immer noch falsch anfängt
Verwirrter Anfänger schrieb: > Wäre das nicht eher: > > MVemjSu8- > wobei die die 8 immer noch falsch anfängt als Merksatz funktioniert das natürlich nicht mehr. Deswegen ist es ja auch sicherer :) Grüße, Micha
Die sichersten PW sind real zufällige. Zufallsgeneratoren die zufällige PW generieren können mit dem Rechner gibt es nicht. Irgendwas eintippen ist auch nicht zufällig, da man bei genügend großer Datenmenge das Tippverhalten gut analysieren kann und damit den Suchraum stark verkleinern kann. Es ist nicht ganz einfach wirklich zufällige PW zu generieren. Was z.B. geht ist das PW auszuwürfeln und die Würfel anschließend zu verbrennen. Die Entropie eines PW so wie Uhu vorgeschlagen hat zu berechnen ist nicht möglich da sie alle gleich sind.
> Meine Idee wäre, daß man die Differenz zwischen dem größten und dem > kleinsten Zeichen bestimmt und davon den Zweierlogarithmus berechnet. Das macht sicher genau so viel Sinn wie die Algorithmien der Anbieter. Allerdings wird damit mitnichten bestimmt, ob ein Passwort sicher ist. Sind die Anforderungen an Passwörter zu hoch, kann der Benutzer es sich nicht mehr merken, und schreibt es auf einen Zettel. Damit fällt das Passwort in fremde Hände und ist das unsicherste der Welt. Noch unsicherer sind Passwörter von Anbietern, bei denen man per eMail ein neues bekommt, wie PayPal. Wenn da ein Mail-Account gehackt wurde (was nicht so schwer ist und millionenfach vorkommt) kann man in all diese "gesicherten" Dienste eindringen und unter falschem Namen Unfug anrichten, gar das Konto den Benutzers abräumen.
Könnte man nicht einfach selber einen Brute-Force-Angriff auf das Passwort starten? Vielleicht kombiniert mit einer vorherigen Wörterbuchattacke? Dann wüsste man doch, welches Passwort zuletzt geknackt wird! Mit freundlichen Grüßen, Valentin Buck
Als es bei mir einmal darauf ankam, wirklich sichere Passwörter für zu erstellen, habe ich je Passwort sechs Byte aus /dev/random ausgelesen und per base64_encode(); in ein menschen-eingebbares und vor allem systemportables Passwort gewandelt. Auch wenn 48 Bit nicht so viel sind in heutiger Zeit, ist dieses 8 Zeichen relativ zufällig. Nico
Juri Parallelowitsch schrieb: > Die sichersten PW sind real zufällige. Das ist klar. Nur mein Klientel sind teilweise Omas und Opas. Denen kann man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter denen sie sich irgendwas vorstellen können. Die Argumentation mit dem Zettel greift hier kaum. An den PC im Wohnzimmer von Oma kommt kein Bösewicht. Der hat vorher den Spitz am Bein ;-)
Uhu Uhuhu schrieb: > Nur mein Klientel sind teilweise Omas und Opas. Denen kann > man nicht mit Zufallsgeneratoren kommen. Die brauchen Paßwörter, unter > denen sie sich irgendwas vorstellen können. Ja, ist klar, das Problem haben wir eigentlich alle - wie war noch mal das PW? Es gibt zwei Möglichkeiten je nach Art PW was du benötigst. Bei 4er-Pins haben sich Codekarten bewährt. Man merkt sich ein einfaches Wort und liest die Buchstaben in der linken Spalte ab und dann die Zahlen in der jeweiligen Spalte. Verliert man die Codekarte ist sie für Jemanden der das PW nicht kennt nutzlos, da die Anzahl der Möglichkeiten z.B. bei einer 12 x 5 Matrix (für 5 PW) die Anzahl der Möglichkeiten erreicht die der 4er-Raum hat. Brauchst du ein sicheres 10 stelliges PW welches zufällig ist und welches man sich merken kann, gibt es z.B. folgende Möglichkeit: Also ich nehme jetzt mal ein Beispiel von mir welches ich aber nicht verwende - sowas ähnliches musst du dann mit den Leuten suchen. Haustiere, Kollegennamen, Städtenamen usw. Beispiel: Ich nehmen die Liste der Autos die ich mal gefahren bin nach Marke: Opel Opel Renault Skoda Audi Audi BMW Mercedes Mercedes Mercedes Macht ein PW = OORSAABMMM Die waren nicht alle auf mich zugelassen, damit ist das nicht knackbar, da nur ich mich an diese Liste erinnern kann. Prinzip müsste klar sein.
Juri, das ist mir alles bekannt. Nur helfen tuts leider nix, wenn die Leutchen sich nicht an das halten, was man ihnen sagt. Glaub mir, das Einzige, was wirklich hilft, ist ein einfacher Algorithmus, der bei der Paßworteingabe prüft, ob es was taugt, wenn man den Leuten die Paßwortwahl lassen will - oder Vergabe der Paßworte durch den Admin. Du glaubst nicht, was da für kindische Widerstände zu überwinden sind und wie wenig lernfähig manche sind. Dem kommst du mit Informatik aus dem Lehrbuch nicht bei.
Ein gewisses Mass an Aufwand ist erforderlich. Da fallen mit für solche Leute die sich da ganz sperren nur zwei Möglichkeiten ein: Eine Hardwarelösung wie einen Fingerabdruckscanner für das PW oder ein einfaches PW und alle PW auf einen verschlüsselten Stick im Klartext, was sie dann quasi als Schlüssel begreifen können.
> Glaub mir, das Einzige, was wirklich hilft,
Wir glauben dir.
Du bist Hacker ?
verdienst dein Geld mit geknackten Accounts ?
Klar, daß du dir so was wünscht.
Das, was du vorschlägst, führt doch unweiglich zu Zetteln auf denen die
Passwörter notiert sind. (und nein, Passwortsafes sind für Oma Nolte zu
unübersichtlich).
Damit ist jeder simple Einbrecher gleich in Besitz aller benötigten
Angaben.
Merke:
Es ist einfach blöd, solche Anforderungen zu stellen, weil Leute sich
nicht 257 verschiedene Passwörter merken können !
(Lass mal gucken: Ich hab 116 in meiner Liste stehen, da ist auch gleich
eine Anklageliste der dämlichsten WebSeiten etc. Ersteller die es gibt,
Leute die wie du entweder krypische Passwörter fest vorgeben, oder
idiotische Regeln erfinden, damit das normale Passwort nicht passt, das
Ausweichpasswort "für die blöden die eine Ziffer wollen" nicht passt,
und das Nothilfspasswort "für die Volltrottel die mehr als 8 zeichen
sehen wollen was anderne wieder zu viel ist". nicht geht. 116 Idioten.)
MaWin schrieb: > 116 Idioten Den bessten Spass hast du gar nicht erwähnt, die die fordern es jeden Monat zu ändern.
Jungs, lassen wir das. Es ist nicht hilfreich und neu ist es auch nicht.
Juri Parallelowitsch schrieb: > Ein gewisses Mass an Aufwand ist erforderlich. Ein langes PW sollte wirklich auf der GANZEN Länge geprüft werden. "qqqqqqqqqqqq4722@" ist auch nicht sicher WENN die Deppen nur die ersten paar Zeichen prüfen (leider schon erlebt).
mal eine kleine Anekdote zum Thema Passwort: Mit hat ein T-Online Servicemitarbeiter mal dazu geraten, im Passwort ein ä,ö oder ü zu verwenden! --> Begründung: Ä,Ö und Ü gibt es nur im deutschsprachigen Raum, ein Angreifer aus z.B. England könnte das Passwort also nicht knacken weil er die Buchstaben nicht im Tastaturlayout hat =))) Ich war sprachlos!
>Ich suche eine einfache Möglichkeit, den Leuten im Zweifelsfall sagen zu
können: "Nein, dieses Paßwort taugt nichts. Bitte was komplizierteres."
Und das ohne selbst mit einem Wörterbuch rumwurschteln zu müssen.
Ja. Ja. Kennen wir. Dann schreiben wir "Ukjhadk2w980_" auf eine
Klebeetikette, an den Rechner, oder an den Monitor, oder in die
Schublade...
:-)
Das wichtigste ist dass es nicht vom Keyboard abhaengig ist. Dh keine y,
z, ä, ö, ü, ..
Oh ja, mein Passwort beinhaltet ein Z. Wie oft ich mich da schon "vertippt" habe, weil ich im Ausland war und das Passwort eingetippt habe wie immer. Nach zahlreichen Versuchen (die haben doch nicht meinen Account gesperrt?) fiels mir dann auf. Macht der Gewohnheit. Aber ein Lerneffekt tritt auch nicht ein. Nach ein paar Monaten auf einem deutschen Computer sitzt man wieder doof vor einer finnischen (oder meinetwegen englischen) Tastatur ;-)
Hier ist das Ergebnis meiner Versuche: Datei herunterladen und im Browser öffnen. Man muß nur eine Grenze festlegen, unterhalb derer ein Paßwort inakzeptabel ist. Evtl. kann man das Resultat als Farbbalken darstellen. An den Bewertungsparametern kann man noch ein wenig schrauben.
MVemjSu9P war einmal sicher, ist jetzt aber über das Internet weit "verbreitet" worden. Sicherer wäre es noch, sich einen neuen Satz bzw. Spruch zu überlegen, den man sich auch gut merken kann. Und den kann man dann zum Beispiel umändern. (Nacht --> N8) Natürlich kann man auch etwas privates nehmen, Beispiel: Name von dem Hund ein "I_love" davor. Angenommen der Hund heißt "Bello" wäre es dann "I_love_Bello" lg, "Nur zu Besuch ;)"
Thread beobachten
Seitenaufteilung abschalten