X

Ein sicheres Passwort wählen

Ein sicheres Passwort wählen
Quelle: TheSafeShop.de
Für Internet-Nutzer ist kaum etwas ist wichtiger als ein sicheres Passwort, am besten man ändert dieses auch regelmäßig. Doch was macht ein sicheres Passwort aus? In dieser Infografik erhält man wichtige Tipps zu diesem wichtigen Aspekt der Web-Sicherheit.

Lesen Sie auch unsere Artikel Passwörter knacken und sichtbar machen! und Windows Passwort vergessen? Vier garantierte Lösungen!.

Kommentare

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o1] Der_Nachbarino am 07.03. 11:57
+6 -1
Eure Grafik stimmt allerdings nur wenn keine NULL im Passwort vorkommt. Andernfalls sind die max. Möglichkeiten beim Beispiel "Kurzes, einfaches Passwort" 30 und nicht 27.
[re:2] Zyndstoff am 04.05. 17:44
+3 -
@Der_Nachbarino: Auch das stimmt nicht. Bei "kurzes, einfaches Passwort" wurde davon ausgegangen, dass nur die Zahlen 1, 2 und 3 verwendet werden dürfen. Das ist also völliger Quatsch. Geht man davon aus, dass alle Zahlen zur Verfügung stehen, inklusive 0, dann gibt es natürlich 10³ = 1000 Kombinationen.
[re:1] Blondi am 04.05. 19:22
+1 -
@Zyndstoff: Danke, ich hab mich gerade auch gewundert, was das für ein Blödsinn ist. Bei einem Zahlenpasswort muss man, im IT Umfeld, immer von 10³ ausgehen. 3³ gibt es nicht mal bei einem günstigen Fahrradschloss.
[re:1] My1 am 23.03. 11:38
+ -1
@Blondi: entropieberechnungen basieren immer auf dem case dass der angreifer alles weiß außer das passwort selbst, also in dem fall eben dass 3 zeichen genutzt wurden und als möglichkeiten nur 1 2 und 3 in frage kommen.
[o2] Riro 31 am 07.03. 22:49
+4 -
Ein paar solcher Sätze habe ich seit Jahren im Kopf. Sie haben sich deshalb eingeprägt,weil sie mit Lebenssituationen zutun haben. Deshalb kann ich auf verschiedenen Webseiten verschiedene Sätze als Passworte anwenden.
ZB: Mein Wohnort ist 345 Kilometer von Berlin entfernt. - mwi345kmvbe. Einfacher geht es nicht. Übrigens das ist nicht eines meiner Passwörter. :-)
[re:1] Thermostat am 30.12. 15:58
+6 -1
@Riro 31: Hab ich grad ausprobiert, stimmt :P
[re:2] Nunk-Junge am 30.12. 16:16
+2 -
@Riro 31: Besser wäre es, wenn man mindestens 3 Zeichenklassen verwendet. Also gigantisch viel besser wäre: mWi~345kmvBe. Noch ein sehr hilfreicher Tipp: NIEMALS die minimale Anzahl an Zeichen nehmen. Also wenn eine Website fordert mindestens 8 Zeichen, dann haben weit über 90 % der User genau 8 Zeichen lange Passwörter. Reduziert den Testaufwand für die Systeme der Hacker gewaltig. Also besser 1-2 Zeichen mehr nehmen.
[o3] iPeople am 30.12. 15:59
Ich nehme immmer WF-Schlagzeilen. Die Headlines sind oft nicht nachvollziehbar ... quasi unknackbare Passwörter :D
[re:1] LoD14 am 30.12. 16:06
+4 -
@iPeople: Mit Glück auch mit Tippfehler, somit über ein Wörterbuch auch schwer zu knacken.
[o4] Thermostat am 30.12. 16:08
+7 -
Das beste Passwort bringt nichts, solange es im Klartext gespeichert wird.
[re:1] Nunk-Junge am 30.12. 16:17
+ -
@Thermostat: Ja, erschreckenderweise gibt es immer noch solche Systeme. Ich habe inzwischen überall unterschiedliche Usernamen und Passwörter und eine Keypass-Datei...
[re:1] Thermostat am 30.12. 16:21
+ -
@Nunk-Junge: Das mit Keypass habe ich mir versucht anzugewöhnen, das war nichts für mich. Zumindest nicht im vollne Umfang. Ich unterscheide zwischen wertvolle und weniger wertvolle Dinge.
Wichtig ist alles, was mit Geld zu tun hat. Shops, Bezahlsysteme usw. haben alle ein anderes Passwort, welches ich in keypass generiert und gespeichert habe.
Winfuture hat aber ein triviales Passwort "hund"... denn ich hab da keine Lust bei jedem Forum nachschlagen zu müssen.
Mal sehen wie viele das jetzt ausprobieren :P
[re:1] Nunk-Junge am 30.12. 16:43
+ -
@Thermostat: Ja, man kann etwas abwägen. Virtuelle Maschinen zum Testen auf dem Arbeitsplatz haben sehr einfache Passwörter mit 5-6 Zeichen, weil sie völlig unkritisch sind. Wichtige, zentrale Server in der Firma haben als anderes Extrem dagegen sehr kryptische Passwörter mit ca. 20 Zeichen (und natürlich zusätzliche Mechanismen zur Absicherung). Aber man sollte auf keinen Fall das gleiche Passwort mehrfach verwenden. Wird ein System kompromittiert, dann ist die Wahrscheinlichkeit hoch, dass die Zugangsdaten auch auf anderen Systemen getestet werden. Und man muss ja nicht einmal selber schuld sein. Fängt sich ein User einen Keylogger ein, dann sind alle anderen Benutzer auch betroffen die sich danach an dem System angemeldet haben, inklusive des Admin-Accounts.
[o6] RalphS am 30.12. 17:36
+1 -1
Jetzt müssen wir nur noch hoffen, daß sich die Paßwortknacker an dieselben "Zeichenklassen" halten, die wir hier vorgesetzt kriegen. *daumenhoch*

Weil, kein Paßwortknacker käme jemals auf die Idee das anders zu machen. Warum denn auch. Rainbow Tables funktionieren ja gottseidank nicht und keine einzige Website verschlüsselt mit MD5 oder SHA1 oder...

--- ANYWAY 1aA!1aA!1aA!1aA!1aA! ist ein todsicheres Paßwort.
[re:1] Draco2007 am 30.12. 18:05
+ -2
@RalphS: Bitte was brabbelst du da?

Hast du das überhaupt gelesen geschweige denn verstanden?
[re:1] RalphS am 30.12. 19:34
+5 -
@Draco2007: Ganz einfach: Man sollte sich nicht von solchen "So sieht ein sicheres Paßwort aus"-Ratschlägen kirre machen lassen, die sind nämlich einfach nur irreführend. Denn die Schwachstelle ist heutzutage eher der Datenbank-Klau auf Anbieterseite und da gibt es keine Paßwörter, sondern Hashes.

Stattdessen sollte man langsam mal anfangen, Paßwörter - insbesondere "klassische" Paßwörter, die "immer" gelten, bis man sie ändert -- durch was anderes zu ersetzen, sei es durch Zertifikate oder ein Challenge-Response-System oder sonstwas.

Denn "das Paßwort" in sich ist bereits unsicher. Egal wie lang oder "komplex" das auch sein mag.

-- Gegenfrage. Hast *DU* verstanden, wo das Problem liegt? Es ist ohne Weiteres möglich, über Wörterbücher hinaus einfach anhand der erwarteten Zeichenverteilung Paßwörter anzugehen. Wenn bekannt ist, welche Zeichen mit welcher Häufigkeit in Paßwörtern stecken, dann kann und wird man "Zeichenklassen" wie "a-z" oder "A-Z" in die Tonne stecken und stattdessen Mengen wie {e,E,1,!,_,?,"} definieren (unter der Annahme, daß dies die mit Abstand häufigsten Zeichen sind, die in Paßwörtern verwendet werden; ansonsten halt entsprechend andere Mengen).

Dann interessiert nicht, ob da A und 0 drin ist, sondern dann interessiert, wie *unwahrscheinlich* es ist, ein bestimmtes Zeichen im Paßwort zu haben (je unwahrscheinlicher, desto besser).

Deswegen ja auch die Wörterbuchattacke. Nützt einem gar nichts, wenn man ein 30 Zeichen langes Paßwort aus dem Duden abschreibt.
[re:1] Draco2007 am 30.12. 20:41
+ -
@RalphS: Du weißt, dass es eine GANZ simple Maßnahme gegen die Datenbank-Hacks gibt?

Salt...dann bringt dir dein Rainbow-Table einen Scheißdreck.

Und deine ganze Annahme basiert auf der Annahme, dass die Leute alle das gleiche Schema nutzen um ihr Passwort zu generieren. Also immer den ersten Buchstaben eines Wortes in einem Satz. Dann würde ich dir recht geben, dann gäbe es sicher eine bestimmte Häufung von Zeichenklassen. Aber das muss NICHT so sein.

Ich glaube nicht, dass du für eine Brute Force Attacke statistisch relevante Informationen bekommst nur weil du weißt, dass ein Satz der Ursprung des Passwortes war, wenn du nicht weißt, welche Buchstaben aus diesem Satz genommen wurden und das jedesmal wechseln wird.

Viel hilfreicher für sowas sind Klartext-Leaks von Passwörtern. Ich meine in den letzten Jahren gab es einige mit einigen Millionen einträgen. Damit kann man einen Dictionary Angriff füttern, aber doch nicht mit sowas.

Und das klassische Passwort hat längst nicht ausgedient, man sollte sich eben nur gegen Brute Force und Dictionary Angriffe rüsten, was eigentlich sehr einfach ist. Eine Sperre von einigen Minuten nach 10 Fehlversuchen und schon kannste deinen Brute Force in die Tonne treten...
[re:1] RalphS am 31.12. 11:21
+ -
@Draco2007: ... Okay. Dann laß es mich anders formulieren.

Stell Dir vor, Du willst in ein System rein, welches paßwortgeschützt ist. Wie gehst Du vor?

- Zuallererstmal versuchst Du sicherlich, nicht *Blindlings* vorgehen zu müssen. Wenn Du *irgendwas* in Erfahrung bringen kannst, was Dir weiterhilft, nimmst Du natürlich "das". Immerhin reicht es ja, "irgendwo" reinzukommen und nicht "genau da an dieser Stelle".

- Das schließt Social Engineering mit ein (und Paßwort-Komplexität ist gänzlich uninteressant). Gibt's da ähnliche "Hinweise an die Bevölkerung"? Nötig wäre es, wenn auf "gib mir alle Deine TANs" bereitwillig geantwortet wird.

- Nächster Schritt. Wir dürfen als "Rein-Woller" davon ausgehen, daß der Mensch ein Bequemlichkeitstier ist. Also probieren wir pauschal Wörterbücher durch. Optimierte Variante: wir können zB facebook-Accounts zuordnen, oder andere Datenquellen, weil wir wissen daß in vielen Fällen der Name der Freundin als PW verwendet wird und wir davon ausgehen, daß besagte Freundin via FB verlinkt ist. Also brauchen wir nicht mal alle Wörterbucheinträge, sondern nur die paar FB-Links.

- Wir stellen als Nächstes fest, okay so einfach wird es wohl diesmal nicht. Jetzt wissen wir aber, was die Medien den DAU schulen. Nämlich das Modell mit den Zeichenklassen.

Frage an Dich, würdest Du wirklich an dieser Stelle *dasselbe* Modell verwenden? Oder würdest Du versuchen, insbesondere hier zu optimieren, einfach deswegen weil sich an dieser Stelle der Endbenutzer *sicher* fühlt und Du als Gegenüber keine aufmerksame, sondern sozusagen Du als Katze die faul auf dem Sofa liegende Maus vor Dir hast?

- DARUM geht es.
[re:2] DataLohr am 06.10. 12:39
+1 -
@RalphS: Im Prinzip hast du ja recht, aber es geht eigentlich darum, dass viele Leute immer noch "123456" oder ihr Geburtsdatum als Passwort haben. ich glaube da kennen wir alle persönlich genug Beispiele.

Das obige Bild ist ja nicht für IT Experten, sondern extra für Social Media optimiert, damit es möglichst viele Leute erreicht und diese wenigstens überhaupt mal zum Nachdenken angeregt werden.
[re:3] kjtten am 04.12. 10:44
+1 -
@DataLohr: This!
Ich hatte kürzlich das "Vergnügen" einige Passwörter mitzulesen, die mangelnde Länge und Komplexität ist ein Grauen, Sachen wie "Vorname1" sind die Norm, gefühlt kommt vielleicht gerade mal die Hälfte auf die Idee Sonderzeichen zuverwenden.

Für die breite Masse ist jeder Schritt ein Fortschritt, egal wie sinnlos er gegen einen versierten Angreifer sein mag.
[o7] Trashy am 30.12. 18:06
+2 -
Naja, rechnerisch ist das kurze Passwort auch nur so schnell zu erraten, wenn der Bruteforcer bei der Passwortgenerierung sich auf diese 3 Ziffern beschränkt und er die Länge kennt, was in der Realität aber selten der Fall ist. Wenn er weder die Länge noch die verwendeten Zeichen kennt, bleibt ihm erstmal nichts anderes übrig als alle Zeichen durchzuprobieren und dann ist die Rechendauer eigentlich immer gleich und erhöht sich nur mit der Länge des Passworts.

Der wesentliche Tipp ist eigentlich daher schon mal möglichst viele verschiedene Zeichen zu nutzen, Groß und Kleinbuchstaben und Ziffern zu mixen und optimalerweise eben auch noch Sonderzeichen einzubauen.

Die Länge des Passworts ist dann fast schon egal. Nicht die Länge ist der primär entscheidende Faktor, sondern die Menge an verschiedenen Zeichen, die ein Angreifer durchprobieren muss. "$a©Z0ä" ist zumindest vom Rechenaufwand her sicherer als ein 15stelliges Passwort was nur aus Kleinbuchstaben besteht, wenn der Bruteforcer nur a-z durchprobiert.

Und da empfiehlt es sich eben auch gerade bei den Sonderzeichen was von vorne, was aus der Mitte und was von hinten aus der Unicode-Tabelle rauszupicken, umso größer wird die Range an Zeichen, die fürs Bruteforcing angewendet werden muss. äöüß sind in Passwörtern auch immer gut, weil ausländische Angreifer diese rein deutschen Zeichen äußerst selten in ihren Bruteforcingprogrammen verwenden.

Wer dann die oben genannten Satzbau-Eselsbrücken benutzt, hat zumindest ein relativ einfach zu merkendes Passwort.

Die wirkliche Passwortsicherheit sollte aber auch durch den Webseitenbetreiber passieren, der weitere Loginversuche für die IP einfach mal für 5min blockiert, wenn 3x hintereinander das falsche Passwort eingegeben wurde. So ein Login-Schutz hilft mehr gegen Bruteforcing als jedes komplizierte Passwort.
[re:1] kjtten am 04.12. 17:26
+ -
@Trashy:
Bei deinem Beispiel verschätzt du dich enorm, dein 6-stelliges Passwort hat trotz Sonderzeichen nur 110 Billionen Kombinationen, 15 Kleinbuchstaben kommen auf 1,6 Trilliarden, über 10 Millionen mal mehr. Die Bruteforce-Sicherheit wächst exponentiell mit der Länge.

Erst wenn man zu Unicode-exclusiven Zeichen greift, kann der Sonderzeichensalat vorbeiziehen. Und selbst dann hat ein unbedarfter Nutzer noch die Chance, sich "einfache" Zeichen herausgepickt zu haben.

Für alle Anwendungsfälle wo sich ein Mensch das Passwort merken und Eintippen soll schlägt Länge übermäßige Komplexität. Sonderzeichen sind sinnvoll, sollten aber die usability nicht stören. 12+ Zeichen, merkbar, tippbar, mit 2-3 normalen Sonderzeichen gespickt, keine Wörterbuch-Wörter, das reicht schon völlig um nicht mehr zu den "low-hanging fruit" zu gehören.
[o8] ThreeM am 30.12. 18:16
+ -
Auch ne gute alternative bei der ich mir garkeine Passwörter mehr merken muss: PwdHash.
[o9] Nixwiss am 31.12. 08:15
+1 -
Ich frage mich immer wieder, warum man sein Passwort regelmäßig ändern sollte?
Wenn ich ein "sicheres" Passwort habe und für jede Anwendung ein anderes so ist das doch optimal.
Wenn ich jetzt jedesmal alle 90 Tage dieses ändern soll, so entsteht bei mir ein Fragezeichen nach der Sinnhaftigkeit.
Wenn bei mir ein Passwort bekannt geworden ist, so ändere ich dieses und gut ist.
Bin für eine sinnhafte Aufklärung dankbar
[re:1] DailyLama am 20.06. 22:33
+1 -
@Nixwiss: Alle 90 Tage macht definitiv keinen Sinn. Regelmäßig ändern aber schon. Denn Dein System oder ein WLAN (am Flughafen usw) kann einer Attacke ausgesetzt sein. Besonders beliebt sind derzeit https://en.wikipedia.org/wiki/Pass_the_hash. Da ist es völlig egal wie sicher Dein Kennwort ist, denn die Attacke liest den Hash-Wert (das ist wie ein Daumenabdruck eines Menschen), da dieser ausreicht um sich bei vielen Dingen (vor allem Deinem Betriebssystem) Zugriff zu verschaffen. Pass the Hash wie auch Angriffe auf Deinen Arbeitsspeicher, wo Hash bzw Kennwörter oft direkt lesbar vorkommen, sind OS unabhängig, also egal ob Windows, Mac, Linux usw. Ein gutes Beispiel dafür war der https://en.wikipedia.org/wiki/Heartbleed

Deswegen wird nun immer mehr auf TPM Chips zurückgegriffen. Da liegt das Kennwort bzw ein privater Schlüssel in Hardware und kann (derzeit) nicht ausgelesen werden. Beispiel dafür sind Bitlocker oder der Pin-Code von Windows 10. Mit diesem Pincode kannst Du Dich ausschließlich auf dem TPM Chip Deines Computers authentifizieren. Wird der Code ausgelesen, kann ein Angreifer nun nicht weiter (zb im Firmenetzwerk), da er weder Kennwort noch Hash kennt, mit dem er sich gegenüber Netzwerklaufwerken usw authentifizieren muss. Und da er den nicht an den privaten Schlüssel Deines Rechners kommt, kann er diesen auch nicht verwenden, um damit zb Zertifikate im Namen Deines Rechners auszustellen, sich also als Dein Rechner ausgeben.

Das war alles sehr vereinfacht dargestellt. Generell geht die Richtung nun so:
Einfache Kennwörter sind das Lieblingsziel. Dagegen helfen LANGE Kennwörter, nicht besonders komplexe (siehe https://xkcd.com/936/)
Gegen lange Kennwörter gibt es dann Attacken durch Auslesen des Speichers (Hash oder Klartext).
Dagegen hilft ein TPM Chip, da der derzeit nicht ausgelesen werden kann.
Also gehen Angreifer nun auf Deine Netzwerkverbindungen los, zb indem sie Zertifikate stehlen/fälschen und damit Deinen verschlüsselten Daten entschlüssen und so an Kennwörter für Dienste oder Server kommen.
TPM Chips sind aber noch zu langsam, um sie mehr als eine Eingabeaufforderung prüfen zu lassen. An besseren Chips wird aber gearbeitet. Die können dann auch SSL Verbindungen sicherere machen, da der private Schlüssel eines Zertifikates nicht gestohlen werden kann, Stehlen wird also so gut wie unmöglich. Soweit der aktuell Überblick über das, was es gibt, und das, was bald kommt.
Quantencomputer usw. sind noch weit weg. Dafür gibt's dann aber die https://en.wikipedia.org/wiki/Post-quantum_cryptography ;)
[re:1] LostSoul am 18.12. 15:21
+ -
@DailyLama: Nein, regelmäßiges ändern von Passwörtern ist nur dann sinnvoll, wenn das System dauerhaft mit Login-Versuchen penetriert werden kann. Dazu haben sich BSI bzw. CCC auch schon wiederholt geäußert. Hintergrund: Tatsächlich führen regelmäßig erzwungene Passwortwechsel bei Nutzern dazu, dass diese in der Komplexität sogar deutlich reduzieren (soweit durch Komplexitätsvorgaben möglich). Krasses Beispiel: Jemand der jeden Tag sein Passwort ändern muss, hat vielleicht am Anfang noch "§h/3ä.!AB2Q.." nach Tag 30 aber schon nur noch "Pwd123!".

Das regelmäßige Erzwingen eines Passwortwechsels ist nur dann sinnvoll, wenn das entsprechende Gerät (Account, Login, ... was auch immer) dauerhaft angegriffen werden kann. Ist dies nicht der Fall, gewinnst du keine Sicherheit - nicht statistisch und schon gar nicht faktisch, auch wenn einem "das Gefühl" was anderes sagt.
[10] lazsniper2 am 31.12. 10:18
+ -1
passwortmanager verwenden der sichere kennwörter erzeugt... immer noch am sichersten.
[re:2] LostSoul am 18.12. 15:25
+1 -
@lazsniper2: (kein Minus von mir)
Man muss hier aber aufpassen, nämlich ob die Zufallsroutine auch - wenigstens ansatzweise - sicher ist. Ganz einfaches Beispiel: Wenn ich weiß, dass das "Zufallspasswort" immer nur ein Hash-Wert des tagesaktuellen Datums zur Erstellung ist, ist diese Routine nichts wert. Damit kann man nämlich die Anzahl der möglichen Passwörter sogar auf eine ziemlich überschaubare Größe reduzieren.
Zudem wird ja auch noch regelmäßig zwischen System/Verfahren und Implementierung unterschieden. Der Gedanke eines zufallsbasierten Passwortgenerators ist gut und vielleicht sogar das (Zufalls-)Verfahren sinnvoll, aber wenn nachher die Implementierung fehlerhaft ist, hast du auch nichts gewonnen.
[11] Futurejoe am 08.05. 00:46
+1 -
Wer mal sein super sicheres 256bit Password mehrmals ins Handy eintippen musste, wechselt gerne wieder auf was handhabbares zurück :-).
[12] DailyLama am 20.06. 22:13
+1 -1
Tragisch, dass selbst WinFuture bei Kennwörtern weiter den Unsinn mit Sonderzeichen usw verzapft.
Es kommt auf die Länge des Kennworts an, nicht auf die Komplexität. Wer's nicht glaubt: https://xkcd.com/936/
[re:1] Bengurion am 21.12. 23:47
+1 -
@DailyLama: Als Ergänzung zu Deinem Kommentar:
http://www.svenbuechler.de/?p=21662

ein - "4-Wort-Generator": Beispiel
kaste tumor schule ananas ->kaStetuMorscHUleanANas (mittle(r) Buchstabe(n) groß)
trauer pomade plakat ansatz -> TrauerPomadePlakatAnsatz
mauer pore ruck seicht -> MaueRporErucKseichT
[re:1] My1 am 15.02. 10:00
+2 -
@Bengurion: muss man aber nicht mal machen es reicht schon bspw aus ner 18k wordlist (danke 1password) 5 zufällige wörter zu nehmen und man übersteigt ein Passwort das 10 komplett zufällige zeichen aus den 94 druckbaren Ascii zeichen hat, aber man kann es sich ggf besser merken, ansonsten den Passwort manager n paar mehr generieren lassen bis man eins hat dass man sich merken kann.

rein aus der sicht der entropie könnte man sagen dass es ein hyperkomplexes kurzes Passwort ist, da aus der sicht der entrope praktisch jedes wort ein "zeichen" ist und man quasi 5 "zeichen" aus einer Auswahl von knapp 18500 zeichen nimmt.
[re:2] xXfreshXx am 15.02. 16:23
+ -1
@DailyLama: Nur dumm, dass Brute Forcer cleverer sind, als einfach sinnlos auszuprobieren. Daher ist die Entropie nebensächlich, wenn die Wörter in einem Wörterbuch stehen.
[re:1] DailyLama am 23.02. 13:42
+ -
@xXfreshXx: Was hat Brute Force damit zu tun? Selbst wenn alle Worte bekannt sind, sind die Kombinationsmöglichkeiten schier unendlich. Brute Force hat da keine Chance.
[re:3] 000001a am 03.12. 02:04
+ -
@DailyLama: es wird beides bemötigt.
kompläxität pro zeichen und die maximale länge.

stell dir mal vor wie komplex ein kurzes passwort sein kann,
wenn es möglich wäre den kompletten unicode zeichensatz zu verwenden.
aktuell sind das rund 150.000 zeichen statt 62 (groß,klein,zahlen)
[re:1] kjtten am 04.12. 17:45
+ -
@000001a: Kann man, bringt aber nicht den riesigen Effekt, den du denkst. Hash-Algorithmen arbeiten mit Binärdaten, vereinfacht gesagt: Ob ein 4 Byte großes Unicode-Zeichen, oder 4 1 Byte große "normale" Zeichen, läuft ungefähr aufs selbe hinaus.
[13] belu am 21.12. 15:02
+1 -
Mal eine ganz naive Frage:

Warum wird der ganze Brute-Force-Zirkus nicht einfach dadurch abgebogen, dass maximal 1 oder 10 oder meinetwegen auch 100 PW pro Sekunde eingeben werden können? - zumindest bei Accounts, in die sich normalerweise einzelne Menschen einloggen (e-mail, Giro-Kontoführung etc.)? Könnte ja auch eine bloße Option sein.
[re:1] My1 am 15.02. 10:03
+ -
@belu: online geht das, da sämtliche daten aufm server liegen aber bspw bei verschlüsselung geht das vom konzept nicht da die Daten im prinzip schon da sind und man nur noch schauen muss dass man das richtige PW findet. wem es egal ist ob das ganze etwas dauert der kann ja "aufwendige" hashfunktionen wie bcrypt oder scrypt nutzen, sodass jeder Versuch ne gewisse rechenleistung braucht.
[re:2] kjtten am 04.12. 17:51
+ -
@belu: Wird gemacht, hilft aber nur gegen diesen einen Angriffsvektor.
Wird bspw. die Datenbank mit den gehashten Passwörtern geleakt, ist diese Sicherheitsmaßnahme komplett umgangen.
[14] My1 am 23.03. 11:44
+ -1
was aber auch gut geht ist ein kurzes EXTREM komplexes Passwort zu nutzen, stichpunkt wordlist.

bei dem ist nicht jedes zeichen ein element sondern jedes wort, somit ist das passwort eher kurz aber dafür halt pro element sehr viel mehr möglichkeiten. mit der wordlist von 1password mit 18436 einträgen hat man mit 4 *zufälligen* worten schon mal 115 billiarden, bei 5 schon 2,1 trilliarden.
[15] Stefan1979 am 06.10. 19:14
+ -1
Wie wäre es damit - zum Basteln für zu Hause:

Man drucke alle Zeichen von a-z, A-Z, 0-9 und alle Sonderzeichen. Dann schneidet man die einzelnen Zeichen aus und wirft diese in 4 Schüsseln.

Dann zieht man aus jeder Schüssel 3 Papierschnipsel und setzt sich daraus sein Passwort zusammen.

Das ist absolut sicher - und ein Bastelspass für Gross und Klein ;-)

Ups - Geschäftsidee verraten... Nicht dass es demnächst "Passwort-Generator" von Hasbro gibt ;-)
[re:1] TomW am 06.10. 22:18
+ -
@Stefan1979: abcdefghijkl
[re:1] Stefan1979 am 06.10. 22:22
+ -
@TomW: Genau sowas kann dabei nicht rauskommen...
a-z -> Schüssel 1
A-Z -> Schüssel 2
0-9 -> Schüssel 3
Sonderzeichen -> Schüssel 4
Und jetzt 3 Stück aus jeder Schüssel ziehen....
[16] ruder am 06.10. 23:55
+ -
- "[o4] Thermostat : Das beste Passwort bringt nichts, solange es im Klartext gespeichert wird."
absolut richtig und leider nach wie vor realität.

- ein password wie "tp3@A=ah3f3z" ist mit sog. rainbow tables, zwar nicht in sekunden aber, in gut 5 minuten zu knacken, das habe ich selbst getestet.

- Sonderzeichen, Groß-/kleinschreibung bringen gar nichts

- die seite https://haveibeenpwned.com/ ist hilfreich wenn man ihr vertraut

- letzten endes hilft nur "Zwei-Faktor-Authentifizierung" mit tokens oder tans.
[17] Grendel12 am 07.10. 02:00
+ -2
Ich empfehle, ein Passwort zu wählen, dass aus psychologischen Gründen kein Mensch gern eintippen will und auf das keiner kommt, etwa angelikamerkel oder etwas, dass der Nutzer besonders gern mag oder sich gut merkt: ddr07101949 oder ddr_return_for_ever -
oder für Senioren ganz schlicht 012345 oder eben "passwort".
[re:1] Lord Laiken am 08.10. 19:22
+ -
@Grendel12: lol
[re:2] crunner am 09.10. 02:10
+1 -
@Grendel12: Oder Mb2.r5oHf-0t das wurde schon zum sichersten Passwort gekürt. ;-)
[18] Grendel12 am 07.10. 02:04
+ -
Wie kommt der Autor eigentlich auf 96^14, was ist hier 96?
[19] Grendel12 am 07.10. 04:28
+ -1
Am besten wäre es, dass Google jeden Tag für den Folgetag oder beim nächsten Einwählen ins Internet das Passwort bestimmt: 100 Zeichen, die zufällig von 0...9,A...Z (36 Zeichen) bestimmt werden.

Das Passwort für den Folgetag darf nicht gespeichert oder ausgedruckt werden und lässt sich nicht vom Monitor fotografieren, sondern es wird ca. 1 Minute. Es wirt nur einmal angezeigt. Man muss sich es also gut merken.

Bsp.:

7.10.2017

JEF77 WEFOV CQHWN 54PW9 NGIDY
H7CE2 62AVF O1HVM MC179 KD7FL
RA8F8 14F0W QXLFM B8C6H U8VIN
XBIPG LRISZ S1KQG LU2C6 8JOKA

8.10.2017

4QT5M 2EUYW AVBLU 1XS7K A06V5
F9T7R 4C4MW LNMZF 5ZLD0 X5OX6
U1KMD PTPG8 MCNK9 YWCFW IVG6T
ZGG3I BY335 GH4N8 MRWLD EO4S5

usw.

Bei 36^100=426825223812027400796974891518773732342988745354489429495479078935112929549619739019072139340757097296812815466676129830954465240517595242384015591919845376 Varianten kann keiner mehr den Code knacken.
[20] MOSkorpion am 07.10. 10:48
+ -
Ich hoffe das die Passwörter von heute bald ausgedient haben, ist ja nicht normal das man für jede pupsseite ein super schweres Passwort haben muss das natürlich nirgends wo anders benutzt wird.

Es gibt quasi NIEMANDEN der das Internet nutzt und ALLE seine schweren und einzigartigen Passwörter im Kopf hat. Das hat eine Zeit lang gut funktioniert als ich noch wenige passwörter hatte bzw. vielerlei abwandlungen aber das ist nicht mehr zeitgemäß und 40 Passwörter merkt sich kein mensch besonders nicht speziell für dien jeweiligen Dienst.
[re:1] thielemann03 am 15.12. 12:07
+ -
@MOSkorpion: Du hast recht, es ist einfach nicht mehr handhabbar. Sich eine Datenbank anlegen für all, die Vielen, zu müssen kann ja auch nicht richtig sein, denn die könnte auch gehackt werden.
Ich kenne immer noch meine Personenkennzahl, aber die fällt ja auch durch, denn sie besteht nur aus Ziffern.
Was Sinnvolleres sollte gefunden werden, aber wie das sein sollte weiß ich auch nicht.
[re:1] MOSkorpion am 15.12. 18:40
+ -
@thielemann03: Krass wie bist du denn jetzt auf diesen über ein jahr alten Beitrag gestolpert :)
[re:1] thielemann03 am 15.12. 18:51
+ -
@MOSkorpion: keine Ahnung, fand es aber interessant und dachte, mal sehen.
[21] Br4No am 11.11. 18:58
+ -1
daa beste passwort? 8x leertaste knackt keiner
[22] Crazylena am 21.11. 10:10
+ -
ich habe nur ein Passwort, welches ich überall verwende. Ob das sicher genug ist weiß ich nicht, darum mal die frage in die runde:

Ist "schonzum1000maldaspasswortvergessen!" sicher?
☀ Tag- / 🌙 Nacht-Modus
Impressum
Datenschutz
Cookies
© 2024 WinFuture