Forum: Netzwelt
IT-Sicherheit: Mein verrücktes Passwort errät keiner - oder?
Monika Skolimowska/ DPA

Ein gutes Passwort zu finden, ist schwer - und wird immer schwerer. Ein Hacker erklärt, warum von Menschen erdachte Kennwörter oft unsicher sind und regelmäßige Wechsel sogar schädlich sein können.

Seite 1 von 13
Besserwissser 25.08.2019, 21:34
1. Und in der Praxis ?

werden Zugänge nach 3...5 Fehlversuchen gesperrt. Wie sollen da alleine die Zahlen 1...311 erprobt werden. Klar in Zeiten in denen die- glaub es war die .login- unter linux noch für jedermann zugänglich war hat man beliebig oft probieren könne aber heutzutage ?

Beitrag melden Antworten / Zitieren
Crom 25.08.2019, 21:36
2.

Das Problem von generierten Passwörtern und Passwort-Managern ist, dass das Masterpassword und das Windowspasswort meist dann doch wieder ausgedacht sind, weil man beides braucht, bis man dann zum eigenen Passwortspeicher kommt. Bei Passwort-Managern sollte man daher besser ein Key-File nutzen und auch für Windows gibt es die Möglichkeit statt eines Passwortes ein Muster einzugeben.

Beitrag melden Antworten / Zitieren
zeichenkette 25.08.2019, 21:49
3. Das ist extrem verkürzt ausgedrückt

Bei Passwörtern zählt die Wahrscheinlichkeit, es einfach finden zu können und diese Wahrscheinlichkeit sinkt mit der Länge des Passworts. Lange Passwörter sind schwer zu merken, aber man kann sich das einfacher machen, indem man keine sinnlose Ansammlung von Zeichen nimmt, sondern einen leichter zu merkenden, aber immer noch langen Satz: "Diesistmeinpasswortfuerspiegelonlineundesistmireg alwasjemanddavonhaelt" ist ein verdammt sicheres Passwort (jedenfalls bis jetzt) und "meingrossvaterhatimmergesagtdassichnichtsoumstaen dlichseinsoll" noch besser. Man kann natürlich auch einen Passwortmanager nehmen (wie den Schlüsselbund bei macOS) und einfach ein langes, umständlich und unmöglich zu merkendes Passwort nehmen, das Merken aber dem OS überlassen, dass es verschlüsselt speichert. Für wirklich zentrale Passwörter würde ich erste Methode empfehlen, für alle anderen die zweite. Solange der Satz wirklich einmalig ist, ist das für alle IT-basierten Zwecke nur seine sehr lange Ansammlung von Zeichen und die sind schon ziemlich sicher, aber merkbar. Selbst "Geburtsdatum-Spitzname-erstesHaustier-4711-123-abc-leckmichamarsch" läßt jeden Brute-Force-Ansatz am langen Arm verhungern.

Beitrag melden Antworten / Zitieren
Wohngebietsuwe 25.08.2019, 22:01
4.

Dann sollte der Herr Steube das mal auch dem BSI einimpfen, die dafür sorgen, dass in Bundesministerien für Standardsysteme die Passwörter alle 6 Monate und für Zahlungssysteme alle 3 Monate gewechselt werden müssen. Manche Systeme sind dabei so alt, dass das Passwort nur X Zeichen lang sein kann und die eine Ziffer zwingend an Stelle Y stehen muss...

Beitrag melden Antworten / Zitieren
didohaun 25.08.2019, 22:24
5. ref. Besserwisser

wie dort bereits angesprochen: was ist mit implementierten sperren nach x fehlversuchen? Das müsste doch die »brute force« methode unmöglich machen.

Beitrag melden Antworten / Zitieren
newline 25.08.2019, 22:26
6. Dice-Verfahren

Aus einer Liste von Wörtern werden zufällig sechs Wörter ermittelt, dabei muss für jedes Wort fünfmal gewürfelt werden. Nichts ist zufälliger als der Zufall. Dann sich als Merkhilfe eine Geschichte ausdenken. Falls Zahlen oder Sonderzeichen gefordert werden, die Passphrase damit anreichern.
Einen, möglichst sinnlosen, Satz wählen: "Wo ein Wille ist, da ist ja oft auch ein Weg." wird zu "WeWi,dijoaeW."
Einfügen von Zahlen: W1Wi,dijoaeW.

Beitrag melden Antworten / Zitieren
hrboedefeld 25.08.2019, 22:26
7. kein Problem

die Passwörter, welche unsere IT vergibt sind derart komplex, das dürfte sehr lange dauern, diese zu knacken. Nur doof, dass jeder dann diese direkt auf den Laptop klebt, weil sich natürlich auch keiner so etwas merken kann!

Beitrag melden Antworten / Zitieren
JaIchBinEs 25.08.2019, 22:26
8. Hundert Millionen Jahre für 64 Bit

Zitat von zeichenkette
Bei Passwörtern zählt die Wahrscheinlichkeit, es einfach finden zu können und diese Wahrscheinlichkeit sinkt mit der Länge des Passworts. Lange Passwörter sind schwer zu merken, aber man kann sich das einfacher machen, indem man keine sinnlose Ansammlung von Zeichen nimmt, sondern einen leichter zu merkenden, aber immer noch langen Satz: "Diesistmeinpasswortfuerspiegelonlineundesistm ireg alwasjemanddavonhaelt" ist ein verdammt sicheres Passwort Force-Ansatz am langen Arm verhungern.
Ich weiss nicht, mit welchen Systemen Sie arbeiten, aber derart lange Passwörter konnte ich noch nirgendwo eingeben.
Dennoch haben Sie recht, die Sicherheit nimmt exponentiell mit der Länge zu.
Beispielsweise benötigen Sie für eine 64-Bit- Zahl bei 10 ms Reaktionszeit einige Hundert Millionen Jahre, um alle Kombinationen durchzuprobieren.

Beitrag melden Antworten / Zitieren
zeichenkette 25.08.2019, 22:43
9.

Zitat von Wohngebietsuwe
Dann sollte der Herr Steube das mal auch dem BSI einimpfen, die dafür sorgen, dass in Bundesministerien für Standardsysteme die Passwörter alle 6 Monate und für Zahlungssysteme alle 3 Monate gewechselt werden müssen. Manche Systeme sind dabei so alt, dass das Passwort nur X Zeichen lang sein kann und die eine Ziffer zwingend an Stelle Y stehen muss...
Ja, genau: Die Längenbegrenzung von Passwörtern aufzuheben bzw. auf einen sinnvollen Wert zu erweitern (256 Zeichen sind OK) und gleichzeitig auf einen Standard-Zeichensatz (wie UTF-8) mit vielen erlaubten Sonderzeichen zu wechseln, würde schon einen RIESIGEN Unterschied machen und ist heute wirklich trivial. Bei kurzen Passwörtern kann man noch so erfinderisch sein, da frisst sich jeder Rechner schnell blind durch. Bei langen Passwörtern wird das ganz schnell zu einer Fleißarbeit, die kaum noch zu leisten ist. Der Entropievorsprung eines Satzes anstatt eines Wortes ist fast uneinholbar und es gibt so viel mehr einmalige und doch merkbare Sätze als einmalige und halbwegs merkbare kurz Worte. Wenn Passwörter überhaupt taugen sollen, müssen sie lang sein und zuverlässig alle Zeichen erlauben, die man auf der Tastatur erzeugen kann. Dann braucht man nämlich selbst auf einem massiv schnellen Rechner tausende von Jahren, um sie zu finden. Mal ein Beispiel: 6 Zeichen Länge, A-Z in Groß- und Kleinschreibung und 0-9 dauern auf bei einem Rechner mit 15 Millionen Versuchen pro Sekunde eine Stunde. Bei 10 Zeichen Länge und einschließlich Sonderzeichen sind wir schon bei knapp einhunderttausend Jahren beim selben Tempo. Ein langer Satz mit erlaubten Sonderzeichen ist durchschnittlich selbst mit Supercomputern nicht vor dem Wärmetod des Universums zu knacken.

Beitrag melden Antworten / Zitieren
Seite 1 von 13