Forum: Netzwelt
Ratgeber Passwörter: Lieber wW!#cCbBhHjJfFo1dD als 123456
Corbis

Die unsichersten Passwörter sind leicht zu merken und deshalb sehr beliebt - aber auch leicht zu knacken. Dabei ist es gar nicht schwierig, sicherere Logins zu erfinden und zu behalten - IT-Experten erklären, wie sie sich ihre Passwörter merken.

Seite 3 von 14
eltax 30.05.2012, 12:28
20.

Zitat von agtrier
Es ist ein weit verbreiteter Irrglaube, möglichst lange und komplizierte Passwörter seien sicher. ... Aber ob das bei Passwörtern wie "wW!#cCbBhHjJfFo1dD" so einfach ist, darf bezweifelt werden. Nur so ein paar Gedanken zum Thema... ag.
Es gibt 2 Möglichkeiten Passwörter rauszukriegen, entweder über Bruteforce, das heisst raten, oder über Exploits. Und da gehts ned um die User sondern ums Adminpasswort, da haben die dann die Datenbank der Passwörter

Beitrag melden Antworten / Zitieren
querulant_99 30.05.2012, 12:30
21.

Zitat von angst+money
Sieht auf den ersten Blick gut aus, aber die im Artikel erwähnte Wörterbuchmethode lässt sich natürlich auch leicht auf Formeln ausweiten.
Ich würde dann doch eher die (falsche!) Formel:
Sin^2(x)+Cos^2(x)=2
verwenden. Sicher ist sicher!
Hacker haben oft gute Mathematik-Kenntnisse.

Beitrag melden Antworten / Zitieren
chiefelder 30.05.2012, 12:33
22. Praxistipp

Die Verwendung von Passwörtern ist immer problematisch, da die Sicherheit lediglich auf beliebig vermehrbarem Wissen basiert. Gegen Ausspähen, mitlesen, erraten, weitersagen, illegales Logging oder unzureichende Verschlüsselung, etc. hilft gar nichts.

Um aber gegen die gängigen Password-Cracker ausreichend geschützt zu sein, sind lediglich zwei Faktoren maßgeblich: Zeichensatzklassen und Länge. Kompliziert aufgebaute (und schwer zu merkende) Passwörter sind nicht sicherer gegenüber Crackverfahren! Mit diesem Wissen lässt sich ein Passwort konstruieren dass sich leicht merken lässt und trotzdem fast unmöglich zu knacken ist.

Einen Großbuchstaben, einen Kleinbuchstaben, eine Ziffer und ein Sonderzeichen an den Anfang. Dann eine möglichst lange beliebige Zeichenkette: Pw0?einsehrlangespassword. Die Logik ist beliebig auf persönliche Vorlieben anpassbar: Songtexte, Zitate, Gedichte, zu schützendes System (Xx1#meinfacebookaccount).

Mehrfache Verwendung von Zeichensatzklassen bringen keinen Vorteil. Stattdessen gilt: Länge ist entscheidend! ;-)

Beitrag melden Antworten / Zitieren
mkill 30.05.2012, 12:36
23.

Schwachsinn, der leider immer wieder und wieder von wohlmeinenden ITlern (und denen, die sich dafür halten) verbreitet wird.

xkcd: Password Strength erklärt es am besten:

Die Anzahl der verwendeten Zeichen ist nicht so effektiv, um die Passwortstärke zu erhöhen, wie die Länge des Passworts.

"Ich gehe jetzt aufs Klo" (23 Zeichen) ist für Knackprogramme_härter_ zu raten als "sghglh#", weil jedes weitere Zeichen die Möglichkeiten multipliziert.

In den 70ern, als jedes bit Speicherplatz teuer Geld gekostet hat, war es vielleicht noch sinnvoll, Passwörter auf 8 Zeichen zu beschränken, 2012 macht es absolut null Sinn.

Einfache, natürliche Sätze mit mindestens 20 Zeichen, idealerweise in einer anderen Sprache als Englisch, sind mit gegenwärtigen Mitteln unknackbar. Und noch wichtiger, das menschliche Gehirn kann sie sich einfach merken.

Die Mathematik dahinter ist simpel.

Zurück zu Lück.

Beitrag melden Antworten / Zitieren
mgaul 30.05.2012, 12:38
24. Tja ...

Zitat von cyberdrop
Wieso werden immer noch solch komplizierte Passwörter vorgeschlagen? Wer soll sich das merken? Hier ist eine einfache Methode:
Und wenn Sie den Artikel, über den Sie sich mokieren, tatsächlich gelesen hätten, dann hätten Sie auch gemerkt, dass genau dieser Comic im Artikel ebenfalls verlinkt ist (und die entsprechende Methode erklärt wird). :)

Beitrag melden Antworten / Zitieren
Onkel Uwe 30.05.2012, 12:39
25.

Zitat von Der Meyer Klaus
"ManNimmtEinfachEinenLangenTextUndSchonHatManEinPe rfektsPassword" Fertig. Wenn man nun davon ausgeht das er eine Wörterbuchattacke startet wären dies immernoch 13 Wörter die er korrekt aneinander reihen müsste. Also WESENTLICH komplexer als 13 Zufallsbuchstaben in Folge. Und sehr leicht zu merken. Und BruteForce scheidet sowieso aus bei der Länge. Diese ganzen Sonderzeichenpasswörter sind einfach schwachsinnig. Genauso wie die Begrenzung auf acht Zeichen oder ähnliches. 128 sollten mindestens erlaubt sein.
Ein wichtiger Punkt. Und anhand des Beispiels können wir das Problem noch verdeutlichen:

Die Anzahl der verschiednen Zeichen bilden die Basis der Variantenanzahl, die Anzahl der Zeichen in der Zeichenkette jedoch den Exponenten. Dies führt uns zu "wW!#cCbBhHjJfFo1dD" & "WeCouldBeHeroesJustforOneDay". Die Kürzung hat bei naheliegendem Sonderzeichenanteil von 24 Sonder-Zeichen für BruteForce-Angriffe 86^18 ca. 6,6*10^34 Varianten (26 Kleinbuchstaben + 26 Großbruchstaben + 10 Ziffern + 24 Sonderzeichen = 86). Der Text einfach ohne Leerzeichen aufgrund der Länge nur Groß- und Kleinschreibung 52^28 ca. 1,1*10^48 und selbst nur bei Kleinschreibung 26^28 ca. 4,2*10^39 Varianten. Also beides um Grössenordnungen schwerer als die schlecht zu merkende künstliche Verkettung von Zeichen.
Man sollte sich also einen langen, sinnvoll zu merkenden Satz an jeder notwendigen Passwortstelle ausdenken und ihn Plan nutzen. Und weil es modern ist vielleicht gleich in Denglisch ;)

Das größere Problem ist, dass es wohl immernoch Seiten gibt, welche das Passwort bei 8 Zeichen abschneiden. Diese sollte man tunlichst versuchen zu meiden...

Beitrag melden Antworten / Zitieren
NackteElfe 30.05.2012, 12:39
26.

Ich möchte gerne auf diesen Artikel hier hinweisen: http://www.baekdal.com/insights/password-security-usability
Dort wird erklärt, das "This is fun" ein hervorragendes Passwort sein kann.

Beitrag melden Antworten / Zitieren
gorkamorka 30.05.2012, 12:45
27.

Zitat von Yashai
Wenn Sie hier schauen ( ), kann ein normaler PC heutzutage ca. 2 Millionen Keys pro Sekunde generieren lassen.
Meine Top moderne Intel i7 Quad Core CPU schafft "nur" rund 75000 AES256 Passwörter pro Sekunde.

Das reicht nicht mal annähernd für den gesammten Schlüsselraum aus, denn
2^256 / 75000 1/s = 4,9*10^64 Jahre

Selbst Geheimdienst-Supercomputer aus ein paar Tausend GPUs und Parallelrechnern sollten sich da schwer tun. Angenommen ein Geheimdienst-Supercomputer schafft 500 Trillionen Passwörter je Sekunde, dann bräuchte er immernoch 7,3*10^54 Jahre oder anders ausgedrückt, rund 5,4*10^44 mal so lange wie das Universum alt ist.

Vorausgesetzt, das Passwort ist nicht der Schwachpunkt.

Passwörter werden zwar statistisch nach 50% der Zeit gefunden, aber das macht den Kohl auch nicht mehr fett.


Bei einfachen (veralteten) Hash Funktionen wie MD5 dürften es aber deutlich schneller gehen.

Beitrag melden Antworten / Zitieren
metzelkater 30.05.2012, 12:45
28. Das 2 Wege System

Das Dilemma bei Passwörtern ist, entweder sind sie sicher oder man kann sie sich nicht merken. Ich habe daher eine zwei Wege Lösung gefunden, mit der ich gut zurecht komme.

Da gibt es einmal ein Hauptpasswort, das halbwegs sicher ist. Es steht in keinem Wörterbuch, es hat Buchstaben und Zahlen und ich kann es mir merken. Das benutze ich für alle Webseites, die ich als eher unriskant einstufe, dazu gehören Social Networks und andere Webangebote, mit denen keine finanziellen Transaktionen stattfinden. Da Facebook von mir ausser dem Namen keine brauchbaren Daten hat, ist das Risiko recht gering, im schlimmsten Fall kann einer mein Cityvill weiterzocken.

Für alles, was irgendwo mit Geld zu tun hat, gibt es dann ein zweites Passwort. Das würde ich aber an diesem PC nie eingeben, dafür habe ich extra einen älteren Paltop mit Ubuntu Linux, auf dem ich alles was mit Homebanking zu tun hat mache. Dazu gehört auch die Bestellung bei Amazon. Mit dem Gerät erledige ich nur solche Transaktionen, damit surfe ich nicht anderweitif im Netz herum und das Passwort wird auch nur dort verwendet.

Beitrag melden Antworten / Zitieren
mgaul 30.05.2012, 12:45
29. Problem

Zitat von Der Meyer Klaus
"ManNimmtEinfachEinenLangenTextUndSchonHatManEinPe rfektsPassword" (...) Genauso wie die Begrenzung auf acht Zeichen oder ähnliches. 128 sollten mindestens erlaubt sein.
Ein Problem ist, dass viele Seiten die Passwortlänge begrenzen. Kürzlich bin ich wieder auf eine Seite gestoßen, die nur maximal 32 Zeichen zulässt. Grundsätzlich ist die von Ihnen vorgeschlagene Methode aber nicht schlecht.

Beitrag melden Antworten / Zitieren
Seite 3 von 14