Forum: Netzwelt
Sicherheitsrisiken: Bei Web.de und GMX reicht "passwort" als Passwort
SPIEGEL ONLINE

"123456", "passwort", "ficken": Bei Daten-Leaks stammen Informationen oft aus schlecht gesicherten E-Mail-Konten. Alles nur die Schuld der Nutzer? Nicht nur. Einige Anbieter machen dumme Fehler viel zu leicht.

Seite 2 von 14
iphone_dummy 09.01.2019, 16:18
10. Wer im Glashaus sitzt ...

Seit mindestens fünf Jahren ist es bei einem sehr popularen Online-Magazin möglich sich mit Fantasienamen und Fantasie-Emailanschrift zu registrieren.
Es reicht tatsächlich sogar eine "a.b.@c.de"-Anschrift!
Merke: Manche deutsche Sprichwörter haben einen tieferen Sinn!

Beitrag melden Antworten / Zitieren
Proletheus 09.01.2019, 16:19
11. Sichere Passwörter sind nicht sicher.

Klar, ein vermeintlich sicheres, komplexes Passwort kann mit Brute Force nicht geknackt werden. Die wenigsten Nutzer werden solche Passwörter aber in Zwei-Faktor-gesicherten Wallets aufbewahren. Je komplexer das Passwort, desto wahrscheinlicher, dass es auf einem im Schreibtisch liegenden Zettel steht. Oder gar unverschlüsselt auf der Festplatte aufbewahrt wird. Oder ausgedruckt in der Laptoptasche mitgeführt wird. Ich bin deshalb der Meinung, dass allzu strenge Anforderung an Nutzerpasswörter deren Sicherheit am Ende noch verringern.

Beitrag melden Antworten / Zitieren
andropoli 09.01.2019, 16:20
12. Passwortsicherheit

Ich erheitere mich immer über diesen Ratschlag:"Achten Sie außerdem darauf, ein Passwort zu verwenden, das Sie nirgendwo anders einsetzen."
Ein ganz normaler Durchschnittsbürger benötigt schon eine solche Fülle an PIN und Passwörtern, dass dies gar nicht zu bewwerkstelligen ist, zumindest nicht ohne diese zu notieren, was ja ebenfalls ein no-go ist.
Ich brauche allein bei der Arbeit eine PIN (Zugangskarte) und für PC und diverse Applikationen nochmal mehr als zehn Passwörter. Privat PIN für EC-Karte, Kreditkarte, Kundenkarte der Post...Passwörter für Onlinnebanking, Microsoft-Konto, Google-Konto, Handy, E-mail Accounts (mehrere). Da sind noch gar nicht die ganzen Kundenkonten um die man heutzutage nicht mehr herumkommt bei. ( Amazon, PayPal, diverse Onlineshops...) überall braucht man mittlerweile ein Passwortgeschütztes Konto. Also wie bitte soll man das managen ohne sich zu wiederholen?

Beitrag melden Antworten / Zitieren
iphone_dummy 09.01.2019, 16:21
13.

Zitat von GoaSkin
... Das ist ein viel größeres Problem, insbesondere da Google Android-User so lange herum nervt, Passwörter in der Cloud zu speichern, bis die Leute es machen - wenn auch nur, um die Meldung "Passwörter sind schwer zu merken - bla bla bla" endlich loszuwerden.
Versuchen Sie einmal einen Rechner mit macOS dauerhaft ohne iCloud zu nutzen! Viel Spaß & gute Nerven wünsche ich!

Beitrag melden Antworten / Zitieren
Atheist_Crusader 09.01.2019, 16:21
14.

Werfen wir dann morgen den Autoherstellern vor, dass sie Geschwindigkeitsübertretungen zu leicht machen? Oder Messerherstellern, dass sie damit Morde zu einfach machen? Oder warum kritisieren wir die Hersteller von Frittierfett nicht dafür, dass sie ungesunden Ernährungsweisen Tür und Tor öffnen?
Irgendwo muss auch mal die Verantwortung des Individuums beginnen. Man kann gerne irgendeinen Automatismus einrichten der einem sagt ob das Passwort jetzt schwach oder stark ist, aber wenn Jemand das Risiko eingehen will, dann muss man das akzeptieren.

Zudem: Waren das denn überhaupt Brute Force Attacken? Also Angriff, bei denen man hunderte von Rateversuchen eingibt? Viele Login-Dienste lassen das gar nicht zu oder warnen den User dann bei ungewöhnlich vielen Versuchen.
Und selbst bei simpel gestrickten Personen die man noch dazu gut kennt, kann so ein Brute Force Angriff eine Weile dauern. Für irgendwelche Politiker die man privat gar nicht kennt, dürfte das ungleich schwerer sein, selbst wenn es der Name des Lieblingsbuches oder das Datum des Hochzeitstages ist.
Meiner Erfahrung nach ist das Problem eher selten dass die Passwörter nicht kompliziert genug wäre - sondern dass sie auf einem Post-it unter der Schreibunterlage oder - besser noch - direkt am Monitor stehen.

Beitrag melden Antworten / Zitieren
noch_ein_forenposter 09.01.2019, 16:23
15. Wie denn sonst?

Zitat von GoaSkin
Die Accounts zahlreicher Politiker und Prominenter wurden bestimmt nicht deshalb gehackt, weil jeder von ihnen ein banales Passwort hatte. Es hat bestimmt nicht jeder von ihnen ein Passwort wie "passwort" oder "123456" gehabt. Man sollte lieber den wirklichen Tatsachen auf den Grund gehen, statt über die Banalität von Passwörtern zu sprechen. Abgesehen davon: Viele Leute nutzen digitale Brieftaschen bzw. Schlüsselbunde, um schwierig zu merkende Passwörter mit einfacheren Passwörtern abrufbar zu machen. Das ist ein viel größeres Problem, insbesondere da Google Android-User so lange herum nervt, Passwörter in der Cloud zu speichern, bis die Leute es machen - wenn auch nur, um die Meldung "Passwörter sind schwer zu merken - bla bla bla" endlich loszuwerden.
Ich sehe im Grunde drei realistische Szenarien:

1. Triviale Passwörter, die vielleicht auch gleich für mehrere Accounts verwendet wurden
2. Keylogger zugemailt, die der Empfänger geöffnet und den damit installiert hat
3. Social Engineering. Geburtstag, Name des Hamsters o.ä. als Passwort

In all diesen Fällen hat erst einmal der Benutzer Mist gebaut.

Wie soll es denn sonst passiert sein? Brute Force funktioniert übers Netz praktisch gar nicht, nur bei Trivialpasswörtern. Ich habe mal vor Jahren bei uns im Netz (legal) nach 4 oder 5 verschiedenen Trivialpasswörtern scannen lassen. Das hat Tage gedauert bei ca. 6000 PCs.

BTW: Da war bei den Treffern auch der Vorstandsbereich dabei...

Beitrag melden Antworten / Zitieren
alfredbonn 09.01.2019, 16:23
16. Schluss mit der Bevormundung !

Wenn ich "passwort" haben möchte, dann sollte ich das gefälligst auch tun können. Wie oft musste ich mein Passwort zurücksetzen lassen weil der Dienst irgnewelche seltsamen regeln mit Zeichenkombinationen verlangte die sich kein Mensch merken kann. Es gibt unwichtige Dienste wo wir völlig wurscht ist, wenn der gehackt wird. Da will ich dann bitte auch ein simples Passwort nehmen dürfen!
Und das Passwort knacken ist genauso kriminell bei einem simplen oder einem kompliziertem. Einbruch ist eine Straftat - ob ich es dem Dieb leicht oder schwer gemacht habe darf keine Rolle spielen.

Beitrag melden Antworten / Zitieren
Newspeak 09.01.2019, 16:25
17. ...

Zitat von flytogether
und die Schuld bei anderen suchen, in diesem Falle bei den Providern. Wer zu dämlich ist ein sicheres Passwort zu generieren dem gehört es nicht anders als dass sein Account gehackt wird. Dieses Verhalten, wonach das Gehirn vor der Tastatur abgegeben wird führt dazu dass ich heute bei jeder Bestellbestätigung ellenlange Belehrungen anhängen muss (die eh keiner liest) nur damit der Vollpfosten später doch noch irgendwie Gelegenheit bekommt, seine Transaktion zu widerrufen.
Die Postbank hat bis vor einiger Zeit gar keine Moeglichkeit zur sicheren Erstellung eines Passworts gegeben, weil allein schon die Laenge des anlegbaren Passworts stark eingeschraenkt war. Sichere Passwoerter sind aber am besten, wenn sie lang sind, am Besten ein Wort- bzw. Zeichensalat aus Sonderzeichen, Klein- und Grossbuchstaben und Zahlen. Nicht nur 6 Zeichen, sondern besser 10 oder noch mehr.

Beitrag melden Antworten / Zitieren
july1969 09.01.2019, 16:26
18.

Ich wundere mich immer wieder, dass die Banken kaum komplexe Passwörter zur Sicherung der Kontozugänge zulassen.

Beitrag melden Antworten / Zitieren
newline 09.01.2019, 16:28
19. Eine Passphrase

ausdenken. Beispiel: "Wo ein Wille ist, da ist auch ein Weg. " Wird zu: W€Wi,dia1W.
oder mit dem Dice-Verfahren (Wikipedia) eine Phrase erwürfeln.
Damit dann einen Passwort-Manager absichern, der die Passwörter (zwölf Zeichen lang, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) erzeugt.

Beitrag melden Antworten / Zitieren
Seite 2 von 14