Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Was ich schon immer gewusst habe.. :-)

gelöscht_84526 / 77 Antworten / Baumansicht Nickles

...bestätigt sich hiermit: Passwörter mit Sonderzeichen, unsinnigem Buchstaben- und Zeichensalat sowie das ständige Wechseln von Passwörtern ist Blödsinn.

Ausgerechnet der Experte, der vor 15 Jahren die Empfehlungen für Passwörter zu Papier brachte, hat sich nun im Sender CBS für seinen "Passwort-Wahnsinn" entschuldigt. Dort sagte der 72-jährige Bill Burr:

"Ich bedauere sehr, was ich den Computernutzern eingebrockt habe. Ich hätte das seinerzeit besser machen können - und einige Erkenntnisse, die wir jetzt haben, schon damals herausfinden können."

Hier geht es zum Bericht bei tagesschau.de, aus dem auch die beiden letzten Absätze meines Postings stammen: http://www.tagesschau.de/ausland/passwoerter-105.html

bei Antwort benachrichtigen
swiftgoon gelöscht_84526 „Was ich schon immer gewusst habe.. :-)“
Optionen

Passwörter wechsle ich auch nicht.
Ich habe mir aber angewöhnt nicht für alle Dienste das gleiche PW zu verwenden.
Sollte mein e-mail PW mal geknackt werden ist somit nicht automatisch mein
amazon, ebay, itunes, Steam usw. Account betroffen.

swiftgoon

bei Antwort benachrichtigen
Borlander swiftgoon „Passwörter wechsle ich auch nicht. Ich habe mir aber angewöhnt nicht für alle Dienste das gleiche PW zu verwenden. ...“
Optionen
Sollte mein e-mail PW mal geknackt werden ist somit nicht automatisch mein amazon, ebay, itunes, Steam usw. Account betroffen.

Dummerweise besteht dann aber eine gute Chance, dass man über Deinen Mail-Account auch die Zugänge der anderen Dienste zurücksetzen kann.

bei Antwort benachrichtigen
Alpha13 gelöscht_84526 „Was ich schon immer gewusst habe.. :-)“
Optionen

https://nakedsecurity.sophos.com/2014/10/01/how-to-pick-a-proper-password/

wenns "sicher" sein soll und ""Alle Vögel sind schon da" - nicht so leicht zu knacken" ist ein dummer Scherz.

bei Antwort benachrichtigen
gelöscht_84526 Alpha13 „https://nakedsecurity.sophos.com/2014/10/01/how-to-pick-a-proper-password/ wenns sicher sein soll und Alle Vögel sind ...“
Optionen
und ""Alle Vögel sind schon da" - nicht so leicht zu knacken" ist ein dummer Scherz.

Na ja, wenn's aber doch ein Experte so sagt.... Unentschlossen

Allerdings: Was ich von Experten so halte, das kannst du meiner "Signatur" entnehmen. :-))

bei Antwort benachrichtigen
Alpha13 gelöscht_84526 „Na ja, wenn s aber doch ein Experte so sagt.... Allerdings: Was ich von Experten so halte, das kannst du meiner Signatur ...“
Optionen

Alles was in Büchern oder sonst im Internet steht ist für die Computer von Hackern sowas von kein Prob.

Ist AFAIK schon sicherer als ein x beliebiges 8 Zeichen Passwort, sehr viel aber auch nicht.

Und wer sein Passwort für viele Accounts nimmt, der hat "kein" Prob mit der Sicherheit, der hat überhaupt keine...

Und wenn die Hacker die Datenbank beim Anbieter des Accounts geknackt haben, dann hilft natürlich auch absolut kein Passwort.

bei Antwort benachrichtigen
mawe2 Alpha13 „Alles was in Büchern oder sonst im Internet steht ist für die Computer von Hackern sowas von kein Prob. Ist AFAIK schon ...“
Optionen
Alles was in Büchern oder sonst im Internet steht ist für die Computer von Hackern sowas von kein Prob.

Und deshalb war der Hinweis, möglichst kryptische Passwörter zu verwenden, zur damaligen Zeit völlig OK. (Ich verstehe nicht, wieso der Typ sich dafür entschuldigt.)

Vieles hat sich im Laufe der Zeit verändert. Deswegen war es zu seiner Zeit aber weder falsch noch schlecht. Nur die Zeiten ändern sich eben...

Das ständige Wechseln des Passwortes (wie es heute auch noch sehr oft erzwungen wird) war damals aber schon Quatsch und das hätte der Experte auch damals schon wissen können.

Dafür, dass es heute für Hacker ganz andere Möglichkeiten gibt als vor 15 Jahren muss er sich jedenfalls nicht entschuldigen.

bei Antwort benachrichtigen
Borlander mawe2 „Und deshalb war der Hinweis, möglichst kryptische Passwörter zu verwenden, zur damaligen Zeit völlig OK. Ich verstehe ...“
Optionen
Das ständige Wechseln des Passwortes (wie es heute auch noch sehr oft erzwungen wird) war damals aber schon Quatsch und das hätte der Experte auch damals schon wissen können.

Das Wechseln von Passwörtern sorgt zumindest für eine zeitliche Begrenzung des Schadens durch Passwörter die in Fremde Hände gelangt sind.

Zwei-Faktor-Authentifizierung bietet aber natürlich ein wesentlich höheres Schutzniveau.

bei Antwort benachrichtigen
hatterchen1 Alpha13 „https://nakedsecurity.sophos.com/2014/10/01/how-to-pick-a-proper-password/ wenns sicher sein soll und Alle Vögel sind ...“
Optionen

"Did you know that for less than $20,000 you could build your very own password cracker that, under ideal conditions, could try out more than 100,000,000,000 passwords EVERY SECOND"

So ein Teil hat also fast jeder Zuhause, oder?
Wozu dann überhaupt noch Passwörter? Ist doch eh alles Schnulli.

Na ja, meine wichtigen Passwörter haben 63 Zeichen, die kann ich auch wunderbar behalten, nur mit der Reihenfolge haperst ein bisschen...

Außerdem was nutzen die besten Passwörter, wenn sie überall geklaut werden können?

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Alpha13 hatterchen1 „Did you know that for less than 20,000 you could build your very own password cracker that, under ideal conditions, could ...“
Optionen

Die professionellen Hacker haben schon solche Kisten und die verkaufen die Passwörter...

bei Antwort benachrichtigen
hatterchen1 Alpha13 „Die professionellen Hacker haben schon solche Kisten und die verkaufen die Passwörter...“
Optionen

Die knacken und verkaufen ganze Datenbanken... (nicht kleckern, klotzen)

Deswegen sollte man seine Identitäten im Auge behalten, mehr geht eh nicht

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Alpha13 hatterchen1 „Die knacken und verkaufen ganze Datenbanken... nicht kleckern, klotzen Deswegen sollte man seine Identitäten im Auge ...“
Optionen

Die knacken schon auch "einzelne" Accounts.

Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als schwierig bis unmöglich...

bei Antwort benachrichtigen
hatterchen1 Alpha13 „Die knacken schon auch einzelne Accounts. Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als ...“
Optionen
Die knacken schon auch "einzelne" Accounts.

Dann habe ich die Hoffnung, dass die sich zuerst so lukrativ erscheinende Accounts mit "Krönchen" vornehmen...Lachend

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander Alpha13 „Die knacken schon auch einzelne Accounts. Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als ...“
Optionen
Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als schwierig bis unmöglich...

Sehr oft reicht aber nicht, weil da immer noch die Datenbanken fehlen die für ("immer schwierig bis unmöglich") fehlen. Gerade in der jüngeren Vergangenheit hatten wir doch erst wieder Fälle in denen schlecht konfigurierte Datenbanken ohne jegliche Absicherung im Internet erreichbar waren. In Kombination mit ungesalzenen, oder noch schlimmer sogar ungehashten Passwörtern ist das nicht schwierig bis unmöglich, sondern fast iditotensicher Passwörter abzugreifen :-(

bei Antwort benachrichtigen
Xdata gelöscht_84526 „Was ich schon immer gewusst habe.. :-)“
Optionen

Das mit dem  unsinnigen Zeichensalat durch Sonderzeichen ist treffend
und verursacht nur Verdruß.*

Denn die sind eher nur für den Nutzer komlpiziert als für einen potenziellen Hackversuch!

*
-- Die nicht selten anzutreffende Zwangsvorgabe unabwählbar(!) Groß- und Kleinschreibung
-- zu verlangen ..
führt zu extrem schwer zu überblickenden Fehlern und Problemen bei der Eingabe.

Ein gutes Beispiel ist der eService der BA, wo auch noch Zahlen vorgeschrieben sind
-- was aber  nicht so abartig fehleranfällig  ist wie der Zwang 
Groß und Kleinbuchstaben verwenden zu müssen.

Das kann und wird dazu führen so die User nicht mehr in den Account kommen,
da selbst beim Aufschreiben regelmäßig Irrtümer vorkommen.

Ein PHP Programmierer hat mal angedeutet, so auch "Länge"
eine Angrgiffsfläche bieten kann ..

bei Antwort benachrichtigen
hatterchen1 Xdata „Das mit dem unsinnigen Zeichensalat durch Sonderzeichen ist treffend und verursacht nur Verdruß. Denn die sind eher nur ...“
Optionen
Fehlern und Problemen bei der Eingabe.

Schon mal etwas von "copy and paste" gehört?

unsinnigen Zeichensalat durch Sonderzeichen ist treffend

Diese Aussage halte ich für Unsinn, aber meine Sicherheit steht auch hier nicht zur Debatte.Zwinkernd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
gelöscht_84526 hatterchen1 „Schon mal etwas von copy and paste gehört? Diese Aussage halte ich für Unsinn, aber meine Sicherheit steht auch hier ...“
Optionen
Schon mal etwas von "copy and paste" gehört?

Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was?

Gut, es gibt natürlich irgendwelche "Passworttresore", welche durch ein Masterpasswort gesichert sind - aber ob die so richtig sicher sind, das bezweifle ich stark.

bei Antwort benachrichtigen
hatterchen1 gelöscht_84526 „Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was? Gut, es gibt natürlich ...“
Optionen
Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was?

Und weshalb oder warum?

Spaß geh bei Seite, ich habe die in der Hosentasche, ich kann mir die aber beim Schwimmen, auch um den Hals hängen. Bei copy and paste darf auch jeder meine Tastaturanschläge auslesen.
Natürlich kann sich niemand 63 Zeichen -in der richtigen Reihenfolge- merken und in meiner Zeichenfolge sind ja auch noch die weltweit beliebten Umlaute, wie ä, ö, ü und ß enthalten.

Jetzt frage einmal einen Mathematiker, wie lange man daran Knobeln muss.
Nach diesem Schema kann man natürlich, bei Bedarf, auch eine kürzere Zeichenfolge wählen.
Wer etwas anderes glaubt oder behauptet, in Bezug sichere auf Passwörter, darf natürlich auch Liedtexte wie "Alle Vögeln alle" verwenden.Lächelnd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
gelöscht_84526 hatterchen1 „Und weshalb oder warum? Spaß geh bei Seite, ich habe die in der Hosentasche, ich kann mir die aber beim Schwimmen, auch ...“
Optionen
Jetzt frage einmal einen Mathematiker, wie lange man daran Knobeln muss.

"Man" muss ja nicht knobeln, das macht der Computer. Und der kann das blitzschnell. Außerdem ist es dem Computer scheißegal, ob da Umlaute, Sonderzeichen oder sonstwas für Kombinationen im Passwort enthalten sind, für den sind nämlich alle Zeichen ganz normal.

Probleme, solche Kombinationen zu "erraten" oder sie sich zu merken, hat lediglich ein Mensch. Und wer glaubt, dass da irgendwo ein Mensch sitzt und irgendwelche Passwörter erraten muss, der hat zuviele amerikanische Serien im TV gesehen - da wird das nämlich immer gezeigt, da sitzt irgendeiner vor einer Tastatur und klimpert darauf herum, um nach spätestens 10 Sekunden zu erklären, dass er "drin" ist...... :-))

bei Antwort benachrichtigen
hatterchen1 gelöscht_84526 „Man muss ja nicht knobeln, das macht der Computer. Und der kann das blitzschnell. Außerdem ist es dem Computer ...“
Optionen
Außerdem ist es dem Computer scheißegal,

Mir auchLachend

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata hatterchen1 „Schon mal etwas von copy and paste gehört? Diese Aussage halte ich für Unsinn, aber meine Sicherheit steht auch hier ...“
Optionen

Aktuell gilt:

Sonderzeichen sind keine besondere Hürde mehr für Algorithmen oder Methoden
die Passwörter knacken. Länge bisher schon.

Soll bedeuten .. sind nur für den User kryptisch und undurchsichtig.
Für die Methoden die sowas knacken
-- nicht wesentlich komplizierter als ganz normale Buchstaben oder Zahlenfolgen.

Mein Aussage in der ersten Antwort ist viellecht irreführend:

Gegen Sonderzeichen ist im Allgemeinen nichts einzuwenden.
Bei kurzen Passwörtern wird die Sicherheit dann doch noch erhöht.

Aber .. keine Sonderzeichen wie # oder vergleichbare die zB. auf einem US-Keyboard
nicht mehr stimmen.
Soll bedeuten, nur die die auf jedem landesspezifischen  Keyboard
an der glechen Position stehen.

Merkregel:

Verwende niemals, verwende NIEMALS(!)*
Groß und Kleinbuchstaben gemischt bei einem Passwort
-- falls es nicht zwingend vorgeschrieben ist!

Abgeleitet von YodaZwinkernd,

unterschätze niemals, unterschätze niemals die Macht des Imperators.

* Es kann nicht nur zu Fehlern, Verwechslungen, bis hin zu Ausperrungen führen:

Es führt mit apodiktischer Gewissheit dazu! 
Selbst die größte Spürnase und Aufmerksamkeit hift nicht .......

bei Antwort benachrichtigen
mawe2 Xdata „Aktuell gilt: Sonderzeichen sind keine besondere Hürde mehr für Algorithmen oder Methoden die Passwörter knacken. Länge ...“
Optionen
Soll bedeuten, nur die die auf jedem landesspezifischen  Keyboard an der glechen Position stehen.

Und welche sind das, die auf jedem Keyboard an der gleichen Stelle stehen?

(Ich hatte noch nie die Gelegenheit, alle denkbaren Keyboards diesbezüglich zu vergleichen.)

Außerdem denke ich, dass es völlig wurscht ist, ob (z.B.) ein Zeichen links oben oder rechts unten auf der Tastatur liegt - Hauptsache, es ist das selbe Zeichen!

Ansonsten dürfte man Y und Z (bzw. y und z) auch nicht benutzen...

Verwende niemals, verwende NIEMALS(!)* Groß und Kleinbuchstaben gemischt bei einem Passwort -- falls es nicht zwingend vorgeschrieben ist!

Also ich verwende solche Mischungen bei verschiedenen Accounts schon jahrelang und habe mich damit noch nie ausgesperrt. Ich würde dieses Problem jetzt mal nicht übertreiben!

bei Antwort benachrichtigen
Xdata mawe2 „Und welche sind das, die auf jedem Keyboard an der gleichen Stelle stehen? Ich hatte noch nie die Gelegenheit, alle ...“
Optionen

Solange es der User selbst bestimmen kann geht es ja noch.

Aber beim eService der Bundesagentur für Arbeit hat mir ein freier Dozent* berichtet:
-- Selbst erfahrene User haben es nich mal geschafft die übertriebenen Vorgaben einzuhalten.

Und ist dann die Vorgabe erfüllt, offenbart sich so die User da
massive Probleme
hatten nichts zu verdrehen

Der Dozent betreut da in einem Kurs die Kommunnikation mit der Arge und
Usern die lernen  Word und PCs dafür zu nutzen.

Alles ist da beim eService wohl zwingend vorgeschrieben:

8 Zeichen mindestens,  1Sonderzeichen,  1eZahl,  1Großbuchstabe, 1Kleinbuchstabe.

Hört sich nicht besonders kompliziert an.
Praktisch gibt es aber immer Probleme schon bei der Einrichtung
und erst recht bei
noch so kleinen Fehlern. Dann kommt Passwort ungültig.

oft wurde  nur wegen  der Kleinbuchstaben oder Großbuchstaben ein Fehler gemacht.
Einmal falsch notiert und das war es -- alles neu machen.

bei Antwort benachrichtigen
mawe2 Xdata „Solange es der User selbst bestimmen kann geht es ja noch. Aber beim eService der Bundesagentur für Arbeit hat mir ein ...“
Optionen
Selbst erfahrene User haben es nich mal geschafft die übertriebenen Vorgaben einzuhalten.
8 Zeichen mindestens,  1Sonderzeichen,  1eZahl,  1Großbuchstabe, 1Kleinbuchstabe.
Hört sich nicht besonders kompliziert an.

Ganz genau, das ist jetzt wirklich nicht soooo kompliziert. Von erfahrenen Usern kann man erwarten, dass sie das packen.

Bei unerfahrenen Usern ist das tatsächlich etwas anderes. Viele können nicht mal richtig (mit einem Stift auf Papier) schreiben und dann ist die Sache (auch mit der Tastatur) fast aussichtslos.

oft wurde  nur wegen  der Kleinbuchstaben oder Großbuchstaben ein Fehler gemacht.

Ja, das muss man erstmal lernen, wie ein Großbuchstabe und wie ein Kleinbuchstabe erzeugt wird.

Schwierig - insbesondere beim Aufschreiben auf Papier - sind dann die Buchstaben, die in Groß- und Kleinschreibung fast identisch aussehen (z.B. großes ieh und kleines ell).

Aber gerade die Sonderzeichen sind doch dann die "Rettung": Bei denen gibt es keine Differenzierung zwischen groß und klein.

bei Antwort benachrichtigen
mawe2 Nachtrag zu: „Ganz genau, das ist jetzt wirklich nicht soooo kompliziert. Von erfahrenen Usern kann man erwarten, dass sie das packen. ...“
Optionen

Übrigens: Bei vielen Logins kann man sich inzwischen das geschriebene Passwort auch lesbar anzeigen lassen (z.B. beim Win-10-Login).

Wer dann noch Probleme mit der Eingabe des (richtigen) Passworts hat, sollte IT generell meiden...

bei Antwort benachrichtigen
hatterchen1 mawe2 „Übrigens: Bei vielen Logins kann man sich inzwischen das geschriebene Passwort auch lesbar anzeigen lassen z.B. beim ...“
Optionen
sollte IT generell meiden...

IT = intelligente Technik?Lächelnd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata mawe2 „Ganz genau, das ist jetzt wirklich nicht soooo kompliziert. Von erfahrenen Usern kann man erwarten, dass sie das packen. ...“
Optionen

Du liegst da richtig, es waren Anfänger die auch Probleme mit der Feststelltaste hatten

.. die dann nur noch große Buchstaben produziert.

Auf der anderen Seite ist es gut wenn die BA die Sicherheit wegen des Mißbrauchs so hoch ansetzt.

Hab jetzt mal reingeschaut und es ist glaube ich sogar möglich damit
wichtige Anträge Online zu machen.
In dem Kontext geht Sicherheit vor Einfachheit!

Ein Hack wäre für die Betroffenen die schon wenig Geld haben fatal.
So gesehen ist die BA sogar vorbildlich.

bei Antwort benachrichtigen
hatterchen1 Xdata „Solange es der User selbst bestimmen kann geht es ja noch. Aber beim eService der Bundesagentur für Arbeit hat mir ein ...“
Optionen
-- Selbst erfahrene User haben es nich mal geschafft die übertriebenen Vorgaben einzuhalten.

Wenn ich so etwas lese, kommen mir die Tränen (vor Lachen).

nur wegen  der Kleinbuchstaben oder Großbuchstaben ein Fehler

Ja selbstverständlich sind das Fehler, die Politiker Masche, mit schreiben wie man spricht, entstammt doch einer Klapsmühle.
Fast jeder schreibt Fehler, wer aber (als gebürtiger Deutscher mit Schulbesuch) die Groß- und Kleinschreibung durcheinander würfelt, darf auch leiden.

Einmal falsch notiert und das war es -- alles neu machen.

Nicht einmal neu machen, 10 mal neu machen, immer noch falsch, 100 mal neu machen.

Außerdem kommen Umlaute in ein Passwort, die stehen auch immer an gleicher Stelle auf jeder Tastatur.Zwinkernd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata hatterchen1 „Wenn ich so etwas lese, kommen mir die Tränen vor Lachen . Ja selbstverständlich sind das Fehler, die Politiker Masche, ...“
Optionen

Du hast recht, hätte vorherZwinkernd lesen sollen warum die BA dies so sicher macht.

Es ist nicht nur irgendein Service, wehe wenn da die Falschen
an das Passwort kommen ..

Klapsmühle, ja vielleicht ja.
Es gibt aber midernde Umstände.

Deutsch ist nicht so einfach:

Mit das oder dass hab ich zB. ProblemeVerlegen

.. wie man die Wörter wie und als grammatikalisch korrekt verwendet
wird glaube ich auch im Fernsehen nicht selten verkannt.

bei Antwort benachrichtigen
VC1541 gelöscht_84526 „Was ich schon immer gewusst habe.. :-)“
Optionen

Meine Überlegugung dazu:

Wenn dur nur Zeichen aus dem 7 Bit breiten ASCII code nutzt, braucht der Angreifer sich auf 2^7 Zeichen beschränken.

Benutzt du nun ein Zeichen, das nur im 8 Bit ASCII code drin ist, sind es schon 2^8 Zeichen, die er durchrechnen muss.

Bei einem UTF8 Zeichen wären es dan schon 2^schlagmichtot Kombinationen, die er durchrechnen müsste.

Fazit: Die Rechenoperation pro Passwort "n" dauert länger und mit jedem zusätzlichen Zeichen verdoppelt sich der Rechenaufwand gegenüber "n-1".

Ich sehe also nicht, warum lange Passwörter, die den Zeichenvorrat voll ausschöpfen schlecht sein sollten.

Ich denke die meisten Angreifer werden sich auf den 8 Bit ASCII Zeichenvorrat beschränken, da dort alle Zeichen einer US-amerikanischen Tastatur drin sind.

bei Antwort benachrichtigen
Borlander VC1541 „Meine Überlegugung dazu: Wenn dur nur Zeichen aus dem 7 Bit breiten ASCII code nutzt, braucht der Angreifer sich auf 2 7 ...“
Optionen

Nicht-Druckbare Zeichen wird man für gewöhnlich nicht in Passwörtern verwenden. Wobei das (abgesehen von der Eingabe) eine gute Idee sein könnte wenn ich gerade so darüber nachdenke ;-)

Der reale Wertebereich ist also i.d.R. wesentlich kleiner als ASCII. Typische Zeichenklassen:

  • a-z (Kleinbuchstaben); 26 Zeichen
  • A-Z (Großbuchstaben); 26 Zeichen
  • 0-9 (Ziffern); 10 Zeichen
  • .,-_/() u.s.w.; >30 Zeichen
  • äöüÄÖÜßẞ (Umlaute und SZ groß und klein): 8 Zeichen

Ich habe hier nun bestimmt noch was vergessen. Wenn wir alle Zeichenklassen vorsehen sind wir bei rund 100 Zeichen. Das ist vier mal so viel wie nur kleinbuchstaben. Das sorgt bei einer Passwortlänge von 10 Zeichen bereits dafür, dass mehr als 1Mio mal so viele Kombinationen probiert werden müssen.

Trotzdem kann man auch mit Passwörtern auf einer einfachen Basis eine höhere Sicherheit erlangen wenn sie deutlich länger werden als kurze mit vielen verschiedenen Zeichen.

Wenn wir Z als die Anzahl der insgesamt verfügbaren Zeichen und L als die Länge definieren, dann gibt es Z^L mögliche Kombinationen.

Beispiel:

100^8 = 10000000000000000
26^12 = 95428956661682176
26^16 = 43608742899428874059776
26^20 = 19928148895209409152340197376

Ein 12 Zeichen Passwort nur mit Buchstaben ist also bereits sicherer als ein 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen.

Fazit: Länger ist besser.

bei Antwort benachrichtigen
hatterchen1 Borlander „Nicht-Druckbare Zeichen wird man für gewöhnlich nicht in Passwörtern verwenden. Wobei das abgesehen von der Eingabe eine ...“
Optionen

100^8 = 10000000000000000

26^8   =           208827064576
26^12 = 95428956661682176
26^16 = 43608742899428874059776
26^20 = 19928148895209409152340197376

Ein 12 Zeichen Passwort nur mit Buchstaben ist also bereits sicherer als ein 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen.

Dabei vermisse ich etwas die Logik...

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander hatterchen1 „100 8 10000000000000000 26 8 208827064576 26 12 95428956661682176 26 16 43608742899428874059776 26 20 ...“
Optionen
Dabei vermisse ich etwas die Logik...

Wo denn genau?

a) 12 Zeichen Passwort nur mit Buchstaben (26 verschiedene); also 26^12 Kombinationen

b) 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen (100 verschiedene); also 100^8

a ~= 9,5 * b und es gilt offensichtlich 9,5>1

bei Antwort benachrichtigen
hatterchen1 Borlander „Wo denn genau? a 12 Zeichen Passwort nur mit Buchstaben 26 verschiedene also 26 12 Kombinationen b 8 Zeichen Passwort mit ...“
Optionen
Wo denn genau?

Na bei dem Vergleich. Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen?

Wenn schon, dann müsste man bei gleicher Zeichenlänge vergleichen und dann ist es absolut unerheblich welche Zeichen man verwendet. Es sei denn es sind Zeichen dabei, die nicht auf jeder Tastatur und in jeder Sprache vorhanden sind.

12 mal "A", mal 26 Buchstaben bleibt 12 mal "A". Kann meine Enkeltochter, 6 Jahre, knacken.
12 mal, 12 aus 100 Zeichen dagegen dürften schwer werden.

Aber egal, ich verwende 63 Zeichen.Lächelnd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander hatterchen1 „Na bei dem Vergleich. Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen? Wenn schon, dann müsste man bei ...“
Optionen
Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen?

Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von Passwörtern bedient.

12 […] mal 26 Buchstaben […] Kann meine Enkeltochter, 6 Jahre, knacken.

Deine Enkeltochter heißt wahrscheinlich auch Chuck Norris?

Ansonsten habe ich gewisse Zweifel ob Du es noch miterleben würdest, dass sie 26*26*26*26*26*26*26*26*26*26*26*26=26^12 Möglichkeiten von Hand durchprobiert…

bei Antwort benachrichtigen
gelöscht_323936 Borlander „Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von ...“
Optionen

Über die Zeit  für das Knacken von Passwörtern nach Zeichenvorrat und PW-Länge ist bei https://de.wikipedia.org/wiki/Passwort eine kleine Tabelle zum ersten Überblick
"Maximale Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde"

Aber das ist ja die maximale Zeit für eine Maschine - und ...

bei Antwort benachrichtigen
hatterchen1 Borlander „Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von ...“
Optionen
Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von Passwörtern bedient.

Ja was schreibe ich denn hier die ganze Zeit?
Du bist doch derjenige, der mit 12aus26 Zeichen (A-Z) das bessere Passwort erstellen will, ich schreibe dass ich alle verfügbaren Zeichen, also über 100, in einem 63stelligen Passwort verwende.

Und wenn man vergleicht, vergleicht man Äpfel nicht mit Birnen, will sagen, 12 Zeichen von Dir gegen 12 Zeichen von mir (und nicht gegen 8).

Und was meine Enkeltochter anbetrifft, stand die nur stellvertretend für die von Dir vorgeschlagene bescheidene Sicherheit, eines 12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben. Geknackt in 3 Jahren.

Wenn ich aus >100 Zeichen ein 12stelliges Passwort erstelle, benötigt man zum knacken 19 Millionen Jahre.

Wie bei Wikip nachzulesen ist.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander hatterchen1 „Ja was schreibe ich denn hier die ganze Zeit? Du bist doch derjenige, der mit 12aus26 Zeichen A-Z das bessere Passwort ...“
Optionen
also über 100, in einem 63stelligen Passwort

Das ist dann aber eher kein Passwort mehr, dass sich ein Mensch merken kann. Heinz111 hatte unten ansonsten auch noch mal auf praktische Einschränkungen…

Und wenn man vergleicht, vergleicht man Äpfel nicht mit Birnen, will sagen, 12 Zeichen von Dir gegen 12 Zeichen von mir (und nicht gegen 8).

Du hast es offensichtlich immer noch nicht verstanden: Es ging um ein einfach nachvollziehbares Rechenbeispiel, warum die Länge des Passwortes wichtiger ist als die Anzahl der verfügbaren Zeichen…

für die von Dir vorgeschlagene bescheidene Sicherheit, eines 12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben.

Ich weiß nicht wie Du aus meinem Beitrag einen allgemeingültigen Vorschlag zur Nutzung eines solchen Passwortes herauslesen konntest. Das einzige was sich aus dem Rechenbeiel ergibt, ist dass man lieber ein 12 Zeichen langes Passwort nur mit Buchstaben verwendet (natürlich nicht aus dem Wörterbuch), statt sich auf 8 Zeichen mit Sonderzeichen zu beschränken.

Letztendlich muss man bei Passwörtern auch immer eine Abwägung treffen: Wenn sie zu komplex sind, dann werden sie irgendwo aufgeschrieben und damit sinkt die Sicherheit wieder.

Exklusiv für Dich noch mal mein Link von unten: xkcd: Password Strength

bei Antwort benachrichtigen
gelöscht_323936 Borlander „Das ist dann aber eher kein Passwort mehr, dass sich ein Mensch merken kann. Heinz111 hatte unten ansonsten auch noch mal ...“
Optionen
12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben.

Das sind schon 52 Zeichen und damit schon mal wieder ein paar Jährchen mehr Rechenzeit beim ungünstigsten Knackversuch.
Aber das Knacken kann ja viel schneller gehen, und das kann jeden  und jedes Passwort treffen

Spaß macht das alles wirklich nicht mehr.

bei Antwort benachrichtigen
Borlander gelöscht_323936 „Das sind schon 52 Zeichen und damit schon mal wieder ein paar Jährchen mehr Rechenzeit beim ungünstigsten Knackversuch. ...“
Optionen
Aber das Knacken kann ja viel schneller gehen, und das kann jeden  und jedes Passwort treffen

Deshalb sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung des Zugangs führen.

Ganz extrem zeigt sich die Wichtigkeit beim PIN der Bankkarten: Da ist nach 3 Fehlversuchen von gerade mal 10000 Möglichkeiten schon Schluss.

Relevant ist die Brute-Force-Geschwindigkeit eigentlich nur bei rein lokalem Zugriff auf die Daten. Und da verwendet man zur Reduktion der Brute-Force-Geschwindigkeit eine hohe Anzahl von Hash-Runden um die Nutzung des Passworts zu verzögern…

bei Antwort benachrichtigen
gelöscht_323936 Borlander „Deshalb sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung ...“
Optionen
sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung des Zugangs führen.

Ja, das wäre zu wünschen.
Die heutige Praxis, bei der immer mehr Zugriff auf online-Dienste von überall her vorgenommen werden, scheint mir nicht mehr wirklich sicher zu sein.

In der Eile beim schön sicheren Passwort vertippt und noch mal usw. - und schon sitzt man irgendwo in einer fremden Stadt und kann sich nicht mal mehr eine Fahrkarte nach Hause kaufen.

Viele Dienste laufen noch mit eMail-Adresse und Passwort.
Und in den vergangenen Jahren wurden genügend Accounts mitsamt den Passwörtern erbeutet. 

Wenn die Rechner in nicht weiter Zukunft richtig schnell werden, ist die Sache mit Passwörtern zum Eintippen vielleicht gar nicht mehr möglich.
Das ist nicht mal eine Idee von mir.

Nun, da werde ich mir jetzt nun eine Anzahl schöner langer Sätze inklusive Satzzeichen und Zahlen ausdenken müssen, um weiter online zu sein und auch die Kaffeemaschine usw. bedienen zu können (haha)
Zum Glück habe ich keinen Fernseher und keine Spionagekamera.

Das waren schöne Zeiten, als so Mitte der 80er Passwörter für die Computer-Accounts in der Firma nötig wurden - zu Beginn waren die 5 oder 6 Zeichen lang.

bei Antwort benachrichtigen
hatterchen1 Borlander „Das ist dann aber eher kein Passwort mehr, dass sich ein Mensch merken kann. Heinz111 hatte unten ansonsten auch noch mal ...“
Optionen
dass man lieber ein 12 Zeichen langes Passwort nur mit Buchstaben verwendet (natürlich nicht aus dem Wörterbuch), statt sich auf 8 Zeichen mit Sonderzeichen zu beschränken.

Das kann ich so nicht akzeptieren, denn beim direkten Vergleich, und nur der ist für mich maßgebend, schneiden "nur Buchstaben" schlecht ab.
Und Deine nur Buchstaben sind dann auch schon 52 Zeichen.

https://de.wikipedia.org/wiki/Passwort

Und Passwörter, die sich ein normaler Mensch merken kann, taugen nicht als Sicherheit.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Heinz111 hatterchen1 „Das kann ich so nicht akzeptieren, denn beim direkten Vergleich, und nur der ist für mich maßgebend, schneiden nur ...“
Optionen

So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben. Borlander hat doch sehr einfach nachvollziehbar dargelegt, dass für ein gutes PW Länge wichtiger ist als der Vorrat der verwendeten Zeichen. Trotzdem darf Jeder seine PWs nach eigenem Gusto basteln. Und jetzt könnte mal Schluss sein. Ich finde das Thema ist ausreichend durchgekaut.

Nichts für Ungut Heinz

bei Antwort benachrichtigen
hatterchen1 Heinz111 „So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben. Borlander hat doch sehr einfach ...“
Optionen
So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben.

Ich denke seit ca. 30 Jahren intensiv über die Sicherheit am PC (und Peripherie) nach.

Wenn mir dann einer erzählt ein 12 stelliges Passwort aus 26  Buchstaben (groß oder klein) sei sicherer als ein 8 Stelliges Passwort aus allen Zeichen, dann mag das ja stimmen, ist aber völliger Quatsch da hier Äppel mit Birnen verglichen werden.

Für ein 8 stelliges Passwort aus allen verfügbaren Zeichen braucht es 84 Tage zum knacken, für ein 8 stelliges Passwort aus 26 Buchstaben aber nur 4 Minuten!

Für ein 12 stelliges Passwort liegen die Zeiten bei: 3 Jahren und 19 Millionen Jahren.

Hier zum Nachlesen, unten in der Tabelle:

https://de.wikipedia.org/wiki/Passwort

Aber wenn Du deine Sicherheit vernachlässigst, kaust Du demnächst an den Fingernägel.

EOD

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata Heinz111 „So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben. Borlander hat doch sehr einfach ...“
Optionen

Dazu gibt es ja die Mathematik.

Und da es  bewiesen ist bei welcher Länge welches Passwort sicherer ist
-- gibt es null Diskussionsspielraum(!)

Beweise sind allgemeingültig und die Resultate gelten sogar unabhängig davon
ob ein Mensch es in sein Bewusstsein aufnimmt
oder überhaupt ein Individuum oder materielles Objekt registriert oder speichert.

Rein arithmetisch oder sogar für einiges direkt logisch.

Logik ist ausnahmslos(!) neutral,
innerhalb einer echten Logik selbst wird nichts behauptet!
Sonst ist es keine, schleppt nicht logische Voraussetzungen *
mit ein.

Dies ist bei Mathematischen Theorien nicht zu vermeiden.
Da tuen nicht logische Voraussetzungen Not.
Zum Beispiel die Existenz einer unendlichen Klasse, spezieller Menge.

In diesem endlichen Fall existiert sicher sogar ein "konstruktiver" Beweis
Konstruktiv bedeutet in diesem Fall so es auch dann gilt wenn nur
"potenzielle Unendlichkeit" anerkannt wird, keine reinen Existenzbeweise
-- pure Methode.

bei Antwort benachrichtigen
Borlander hatterchen1 „Das kann ich so nicht akzeptieren, denn beim direkten Vergleich, und nur der ist für mich maßgebend, schneiden nur ...“
Optionen
Und Passwörter, die sich ein normaler Mensch merken kann, taugen nicht als Sicherheit.

Noch mal zum dritten mal exklusiv für Dich: https://xkcd.com/936/ und eine ausführlichere Erklärung dazu

bei Antwort benachrichtigen
hatterchen1 Borlander „Noch mal zum dritten mal exklusiv für Dich: https://xkcd.com/936/ und eine ausführlichere Erklärung dazu“
Optionen

Wo von soll mich denn dieser Comic überzeugen? Es zündet auch nicht beim dritten mal. Die ausführliche Erklärung dazu suche ich immer noch...

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander gelöscht_84526 „Was ich schon immer gewusst habe.. :-)“
Optionen

Einen Link den man hier bei diesem Thema keinesfalls vergessen darf:

xkcd: Password Strength

bei Antwort benachrichtigen
nettermensch Borlander „Einen Link den man hier bei diesem Thema keinesfalls vergessen darf: xkcd: Password Strength“
Optionen

hier ein unbedarfter User mit einer Frage,

erstmal ein interessanter Artikel der die Ohnmacht eines Passwortes gut wiederspiegelt 

und die Gefahr im Netz gut darstellt.

Ist es denn nicht technisch möglich in seinem Passwort z.B. Japanische oder Arabische usw Zeichen mit ein zu bauern ??  und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??

wie gesagt nicht böse sein wegen dieser Frage, wenn sie gänzlich falsch ist, weiß es wirklich nicht besser

Grüße.....................nettermensch

Wenn man was will findet man einen Weg , wenn man was NICHTwill, findet man eine Ausrede
bei Antwort benachrichtigen
Borlander nettermensch „hier ein unbedarfter User mit einer Frage, erstmal ein interessanter Artikel der die Ohnmacht eines Passwortes gut ...“
Optionen
Ist es denn nicht technisch möglich in seinem Passwort z.B. Japanische oder Arabische usw Zeichen mit ein zu bauern ??  und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??

Würde funktionieren, wenn die jeweils genutzte Implementierung Unicode unterstützt.

Bei Nicht-ASCII-Zeichen muss man allerdings leider immer mit Problemen durch unterschiedliche Zeichensatzcodierungen rechnen (weil nicht sauber implementiert). Das wäre bei Passwörtern aber eher blöd wenn man durch sowas augesperrt wird.

Gruß
Borlander

bei Antwort benachrichtigen
Xdata Borlander „Würde funktionieren, wenn die jeweils genutzte Implementierung Unicode unterstützt. Bei Nicht-ASCII-Zeichen muss man ...“
Optionen

Das mit der Sicherheit durch noch leicht handhabbare Länge hat aber etwas bestechendes* ..

.. wird doch immer von "nur Zahlen" abgeraten.

*Durch zerlegen in eine viel kleinere, die große Zahl  aber eindeutig rekonstruierbare,
kann das Passwort nicht mehr so leicht vergessen werden.

Ein Bekannter hat wohl  so seine Versicherungsnummer geschrumpft ..Lächelnd

Gut, die Zahlen und die Operation  für die eindeutige Rückgewinnung darf natürlich
nicht vergessen werden.

Leider haben die Geräte-Passwörter für Router nur 8 Stellige natürliche Zahlen.
Zu kurz um sicher zu sein?  Vorteil ist, es nicht vergessen zu können, da es hinten draufsteht..

bei Antwort benachrichtigen
Borlander Xdata „Das mit der Sicherheit durch noch leicht handhabbare Länge hat aber etwas bestechendes .. .. wird doch immer von nur ...“
Optionen
Leider haben die Geräte-Passwörter für Router nur 8 Stellige natürliche Zahlen.

Das kannst Du so pauschal nicht sagen. z.B. bei FritzBoxen hast Du keine entsprechende Limitation.

bei Antwort benachrichtigen
Heinz111 Borlander „Das kannst Du so pauschal nicht sagen. z.B. bei FritzBoxen hast Du keine entsprechende Limitation.“
Optionen

Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche §-Zeichen. Fand ich klever. Aber leider haben alle Smartphones diese Zeichen anders als der PC kodiert. Folglich waren meine Kiddies genervt, weil sie das PW immer Hexadezimal eingeben mussten. Durch die Kiddies war ich dann genervt und hab das §-Zeichen rausgeschmissen. Und nebenbei - durch den $ war wein WLAN-PW nicht wirklich besser/sicherer - siehe obige Diskussion.

LG Heinz

bei Antwort benachrichtigen
hatterchen1 Heinz111 „Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche -Zeichen. Fand ich klever. Aber leider haben alle ...“
Optionen
Aber leider haben alle Smartphones diese Zeichen anders als der PC kodiert. Folglich waren meine Kiddies genervt, weil sie das PW immer Hexadezimal eingeben mussten.

Nun frage ich mich, wie oft und an welcher Stelle musst Du so oft dein Passwort eingeben?

Und nebenbei - durch den $ war wein WLAN-PW nicht wirklich besser/sicherer

Aber selbstverständlich war es sicherer, vom Handy ging es doch schon mal nicht, wie Du selber schreibst.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata Heinz111 „Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche -Zeichen. Fand ich klever. Aber leider haben alle ...“
Optionen

Ganz entschieden!

Ein gutes Beispiel wie unpraktisch es ist seltene Sonderzeichen die die Sicherheit
mathematisch bewiesen
nicht erhöhen
im Vergleich zu der möglichkeit sich selber auszusperren .. oder es
(obwohl richtig)
nicht erkannt wird:
Für einen Laien allein schon wenn durch einen Fehler das Default US-Keyboard
aktiv ist.

Hatte schon viele die allein daher ihr Passwort dadurch geLOCKt hatten ..
da nicht gleich erkannt wurde so die Tastatur statt Deutsch auf das Default US  war!

Das Sonderzeichen # ist dann ein Slash oder so.

Bei kurzen Passwörtern war das noch relevant
und selbst da würde ich Zahlen und gut konditionierte Sonderzeichen
der extrem Fehleranfälligen Mischung von Groß und Kleinschreibung vorziehen!

Und eine Passworteingabe die eine so große Zahl von
Testläufen falscher Eingaben überhaupt  zuläßt,
den User zu zwingen einen
kryptischen Müllhaufen
von Passwort zuzumuten, hat ganz andere fundamentalere Sicherheitslücken .......
 

Das Beispiel von Borlander mit der läppischen PIN Kombinationsanzahl
und dennoch bewährt
zeigt sonnenklar
so es eine Frage der speziellen Situation ist
wo komplizierte und wo eher lange Passwörter einen Sinn haben.

bei Antwort benachrichtigen
hatterchen1 Xdata „Ganz entschieden! Ein gutes Beispiel wie unpraktisch es ist seltene Sonderzeichen die die Sicherheit mathematisch bewiesen ...“
Optionen
...seltene Sonderzeichen die die Sicherheit mathematisch bewiesen nicht erhöhen

Das ist so nicht richtig!
Mathematisch bewiesen ist hingegen, dass ein größerer Zeichenvorrat die Sicherheit massiv erhöht. System Lotto, für Nichtchecker.

Hatte schon viele die allein daher ihr Passwort dadurch geLOCKt hatten .. da nicht gleich erkannt wurde so die Tastatur statt Deutsch auf das Default US  war!

Das ist für einen Computer, der ein Passwort knacken soll, vollkommen unerheblich, auf welcher Position ein Buchstabe steht, der geht nach dem ASCII Code.

zeigt sonnenklar so es eine Frage der speziellen Situation ist wo komplizierte und wo eher lange Passwörter einen Sinn haben.

Nein, es geht nicht um kompliziert oder lang. Es geht um den verfügbaren Zeichensatz!

Die Formel um das auszurechnen ist die gleiche wie beim Lotto, also ganz einfach.Zwinkernd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata hatterchen1 „Das ist so nicht richtig! Mathematisch bewiesen ist hingegen, dass ein größerer Zeichenvorrat die Sicherheit massiv ...“
Optionen

Sorry hab die Antwort erst jetzt gesehen

Danke, für die Berichtigung:
Die unterliegende Mathematik ist wohl doch kniffliger als ich vermutet habeVerlegen.

Zumal ja, da Logik neutral ist, auch die "treffende Mathematik" für den Speziallfall
passen muss, also nicht irgendein  zu allgemeiner Kontext.

Neulich war ein Film im Fernsehen wie leicht eine solche Aufgabe unterschätzt wird ..

.. es ging um Polnische Mathematiker die die Grundlage und Vorlage für den
späteren Mathematiker  Alan Turing gelegt haben.

Es ging um das Entschlüsseln der Enigma.

Meist wird dies nur den Englischen Mathematikern zugeordnet.
Die wichtige Vorarbeit haben aber wohl die Polnischen Mathematiker geleistet!

bei Antwort benachrichtigen
VC1541 Heinz111 „Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche -Zeichen. Fand ich klever. Aber leider haben alle ...“
Optionen

Mein WLAN Passwort ist ein langer Satz in derbem Dialekt ohne Sinn. Kein Wort davon steht im Wörterbuch.

bei Antwort benachrichtigen
hatterchen1 nettermensch „hier ein unbedarfter User mit einer Frage, erstmal ein interessanter Artikel der die Ohnmacht eines Passwortes gut ...“
Optionen
Japanische oder Arabische usw Zeichen mit ein zu bauern ??  und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??

Klares Nein von meiner Seite.
Wenn man sich auf die 95 druckbaren Zeichen des ASCII Codes beschränkt und sich davon z.B. 10 Zeichen für ein Passwort auswählt, liegt die vermutlich Dauer für ein Knacken bei 2.108 Jahren.
Wählt man dagegen 10 Zeichen nur aus den 52 Buchstaben (groß und klein) dauert das Knacken nur 5 Jahre, bei nur groß oder klein sogar nur bei 2 Tagen.

Die Tabelle und Berechnung dazu findest Du hier:

https://de.wikipedia.org/wiki/Passwort

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
mawe2 hatterchen1 „Klares Nein von meiner Seite. Wenn man sich auf die 95 druckbaren Zeichen des ASCII Codes beschränkt und sich davon z.B. ...“
Optionen
liegt die vermutlich Dauer für ein Knacken bei 2.108 Jahren

Mit einem "Standard-PC mit leistungsfähiger Grafikkarte (z. B. Radeon HD 6770) aus dem Jahr 2011".

Es ist anzunehmen, dass 7 Jahre später wesentlich leistungsfähigere Hardware zur Verfügung steht und die geschätzte Zeit sich damit deutlich reduziert. Und dieser Prozess setzt sich in den nächsten Jahren fort.

Ich würde also die dort genannten Zeiten höchstens zu Vergleichszwecken nutzen. Eine zutreffende Aussage über die tatsächliche Zeit, die ein beliebiger Angreifer bräuchte, ist daraus nicht abzuleiten.

bei Antwort benachrichtigen
hatterchen1 mawe2 „Mit einem Standard-PC mit leistungsfähiger Grafikkarte z. B. Radeon HD 6770 aus dem Jahr 2011 . Es ist anzunehmen, dass 7 ...“
Optionen
Es ist anzunehmen, dass 7 Jahre später wesentlich leistungsfähigere Hardware zur Verfügung steht

Natürlich, da gebe ich Dir vollkommen Recht, aber irgendeine Basis braucht man ja um einen Vergleich zu starten.

Jedoch unabhängig vom verwendeten Rechner, bleibt die Mathematik gleich, wenn ich adäquate Parameter vergleiche. Und da ist die Wahrscheinlichkeit z. B. bei 10 aus 95 ungleich geringer, als bei 10 aus 26 -siehe auch Lotto.

Und wer sich mehrere >10 stellige Passwörter merken will, auch wenn sie noch so einfach sind, kommt schnell an seine persönlichen Grenzen.
Von daher ist diese Diskussion für mich überflüssig, denn meine Passwörter an den wichtigen Stellen, muss ich nur selten eingeben und das geschieht mit copy and paste, oder WPS.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
mawe2 hatterchen1 „Natürlich, da gebe ich Dir vollkommen Recht, aber irgendeine Basis braucht man ja um einen Vergleich zu starten. Jedoch ...“
Optionen
Jedoch unabhängig vom verwendeten Rechner, bleibt die Mathematik gleich, wenn ich adäquate Parameter vergleiche.

Das ist klar. Für Vergleichszwecke kann man die Tabelle auch weiterhin nutzen. Nur die dort angegebenen (absoluten) Zeiten sollten mal an den aktuellen Stand der Rechentechnik angepasst werden.

Egal, aus wie vielen Zeichen das Passwort gebildet wurde: Entscheidend für die Sicherheit eines Accounts ist die Login-Routine, die möglichst wenige Versuche pro Zeiteinheit zulassen und die Zeiteinheit stetig vergrößern sollte.

bei Antwort benachrichtigen
hatterchen1 mawe2 „Das ist klar. Für Vergleichszwecke kann man die Tabelle auch weiterhin nutzen. Nur die dort angegebenen absoluten Zeiten ...“
Optionen
Entscheidend für die Sicherheit eines Accounts ist die Login-Routine

Und die sind verbesserungswürdig, fast überall.
1. Fehler - OK.
2. Fehler - 10 min. Wartezeit.
3. Fehler - Wartezeit 1 Tag, oder nur mit Masterpasswort. Mein Vorschlag.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
mawe2 hatterchen1 „Und die sind verbesserungswürdig, fast überall. 1. Fehler - OK. 2. Fehler - 10 min. Wartezeit. 3. Fehler - Wartezeit 1 ...“
Optionen

Nach dem dritten Fehler gleich einen Tag ausgesperrt zu bleiben, fände ich etwas zu restriktiv.

Ich könnte mir eine Verdopplung der Wartezeiten nach jedem Fehlversuch vorstellen. Das sollte immer noch ein hinreichend gute Schutz sein.

1. Fehler - OK.
2. Fehler - 10 min. Wartezeit.
3. Fehler - 20 min. Wartezeit.
4. Fehler - 40 min. Wartezeit.
usw.

Und wo hat man denn ein Masterpasswort zur Verfügung?

bei Antwort benachrichtigen
hatterchen1 mawe2 „Nach dem dritten Fehler gleich einen Tag ausgesperrt zu bleiben, fände ich etwas zu restriktiv. Ich könnte mir eine ...“
Optionen
3. Fehler - 20 min. Wartezeit.
4. Fehler - 40 min. Wartezeit.
usw.

Nein, für mich als Sicherheit zu lasch.

Beim Bankautomat wird auch die Karte eingezogen.
Ein Masterpasswort/Masterpin erhält man z.B. zur SIM-Karte, war bei mir immer so.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
mawe2 hatterchen1 „Nein, für mich als Sicherheit zu lasch. Beim Bankautomat wird auch die Karte eingezogen. Ein Masterpasswort/Masterpin ...“
Optionen
Beim Bankautomat wird auch die Karte eingezogen.

Da muss man sich aber auch nur eine vierstellige Zahl merken. Die Wahrscheinlichkeit einer Fehleingabe ist dort deutlich geringer als bei einem (z.B.) 12-stelligen Passwort mit Groß-/Kleinschreibung etc. bei einem Web-Login.

Ein Masterpasswort/Masterpin erhält man z.B. zur SIM-Karte, war bei mir immer so.

Ja, dort schon. Aber im Web?

Bei manchen Diensten hat man noch die "Sicherheitsfrage" wenn man sein Passwort vergessen hat (web.de, GMX etc.). Aber ansonsten sind mir keine Online-Verfahren mit Masterpasswort bekannt. (Sinnvoll wäre es allemal!)

bei Antwort benachrichtigen
hatterchen1 mawe2 „Da muss man sich aber auch nur eine vierstellige Zahl merken. Die Wahrscheinlichkeit einer Fehleingabe ist dort deutlich ...“
Optionen

Also bei meinen Mobilfunkverträgen gib es die obligatorische 4 stellige PIN und nach dreimaliger Falscheingabe muss ich mit einer 8 stelligen PUK oder SuperPin die Karte freischalten. Vermassele ich das auch, ist die Karte Müll und ich muss eine neue beantragen.

Da es so etwas im Onlineverfahren bislang nicht gibt, benutze ich für mich die höchstmögliche Sicherheit bei der Passwortauswahl und die bestehen aus allen ASCII Zeichen, in unterschiedlicher Länge -min. 9 Stellen.

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Xdata hatterchen1 „Also bei meinen Mobilfunkverträgen gib es die obligatorische 4 stellige PIN und nach dreimaliger Falscheingabe muss ich ...“
Optionen

Dein Beharren auf Sicherheit statt Bequemlichkeit ist am Ende doch immer richtig
und zahlt sich auch aus!

Weiter oben hab ich noch geantwortet  wie leicht die unterliegende Mathematik
unterschätzt werden kann und wirdVerlegen.

Selbst Genies wie AlanTuring hatten gute polnische Experten als "Vorbereiter".

gut da ging es nicht um das Knacken von Passwörtern
und das Beurteilen deren Sichererheit,
aber Entschlüssen ist eine vergleichbar schwierige "Materie" ..

bei Antwort benachrichtigen
hatterchen1 Xdata „Dein Beharren auf Sicherheit statt Bequemlichkeit ist am Ende doch immer richtig und zahlt sich auch aus! Weiter oben hab ...“
Optionen

Hallo Xdata,

in unserem Fall, also der Sicherheit von Passwörtern, ist die Mathematik, wie auch beim Lotto, relativ einfach.
Bei z. B. 26 verwendeten Zeichen, z. B. nur Großbuchstaben und einem 8 stelligen Passwort, ergibt sich die Formel wie folgt:

26x25x24x23x22x21x20x19
______________________  =  1.562,275 Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8

Bei Verwendung von z. B. 95 ASCII Zeichen sieht das Resultat folgender Maßen aus:

95x94x93x92x91x90x89x88
______________________  =  121.550.931.645  Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8

Man achte auf die feinen Unterschiede im Ergebnis.Cool
Die Formel ist beliebig wandelbar.

Meine Berechnung erfolgte mit einem Android Smartphone, die Richtigkeit kann also nicht garantiert werden...Zwinkernd

Gestottertes Wissen ist besser als eloquente Dummheit. Marcus Tullius Cicero (106 - 43 v.Chr.Rom) Staatsmann und Philosoph
bei Antwort benachrichtigen
Borlander hatterchen1 „Hallo Xdata, in unserem Fall, also der Sicherheit von Passwörtern, ist die Mathematik, wie auch beim Lotto, relativ ...“
Optionen
Bei z. B. 26 verwendeten Zeichen, z. B. nur Großbuchstaben und einem 8 stelligen Passwort, ergibt sich die Formel wie folgt: 26x25x24x23x22x21x20x19
______________________  =  1.562,275 Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8

Die Formel ist hier total unpassend.

Bei Passwörtern ist die Reihenfolge der Zeichen relevant, und die Zeichen können mehrfach verwendet werden.

Für das Beschriebene Szenario ergeben sich 26^8 Möglichkeiten.

bei Antwort benachrichtigen
Borlander mawe2 „Da muss man sich aber auch nur eine vierstellige Zahl merken. Die Wahrscheinlichkeit einer Fehleingabe ist dort deutlich ...“
Optionen
Bei manchen Diensten hat man noch die "Sicherheitsfrage" wenn man sein Passwort vergessen hat

Sicherheitsfragen sind eine absolute Sicherheitslücke, weil die Antworten um Größenordnungen einfacher zu Erraten sind als das Passwort dass die umgehen können.

bei Antwort benachrichtigen
Borlander mawe2 „Nach dem dritten Fehler gleich einen Tag ausgesperrt zu bleiben, fände ich etwas zu restriktiv. Ich könnte mir eine ...“
Optionen
Nach dem dritten Fehler gleich einen Tag ausgesperrt zu bleiben, fände ich etwas zu restriktiv.

Das ist noch harmlos im Vergleich zu einer dauerhaften Sperrung bis zur manuellen Freischaltung ;-)

Bei Online-Banking ist es Standard, dass der Zugang nach 3 Fehlversuchen gesperrt wird.

bei Antwort benachrichtigen
mawe2 Borlander „Das ist noch harmlos im Vergleich zu einer dauerhaften Sperrung bis zur manuellen Freischaltung - Bei Online-Banking ist ...“
Optionen
Bei Online-Banking ist es Standard, dass der Zugang nach 3 Fehlversuchen gesperrt wird.

Ich weiß.

Grundsätzlich sind dauerhafte Sperrungen aber inakzeptabel, weil jeder x-beliebige Honk Dich damit ausperren kann.

bei Antwort benachrichtigen
Borlander mawe2 „Ich weiß. Grundsätzlich sind dauerhafte Sperrungen aber inakzeptabel, weil jeder x-beliebige Honk Dich damit ausperren kann.“
Optionen

Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende Zugangskennung einsetzt. (Mehr oder weniger öffentlich bekannte) eMail-Adressee als Benutzername ist tatsächlich etwas ungünstig.

bei Antwort benachrichtigen
mawe2 Borlander „Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende ...“
Optionen
Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende Zugangskennung einsetzt.

Naja: Bankkontodaten sind quasi allen bekannt, mit denen man Geldgeschäfte macht.

Im gewerblichen Bereich kannst Du Deine Kontodaten grundsätzlich nicht geheim halten. Und jeder, der diese Daten kennt, kann sie nutzen, um den Zugang zum Online-Konto zu sperren.

Dort, wo man sich die Zugangskennung aussuchen kann, wird man natürlich eine verwenden, die anderen möglichst unbekannt ist.

bei Antwort benachrichtigen
Borlander mawe2 „Naja: Bankkontodaten sind quasi allen bekannt, mit denen man Geldgeschäfte macht. Im gewerblichen Bereich kannst Du Deine ...“
Optionen
Bankkontodaten sind quasi allen bekannt, mit denen man Geldgeschäfte macht.

Ich habe noch bei keiner Bank erlebt, dass ich zum Login meine Kontodatan verwendet haben. Es gab und gibt da immer eine gesonderte Zugangsnummer.

bei Antwort benachrichtigen
mawe2 Borlander „Ich habe noch bei keiner Bank erlebt, dass ich zum Login meine Kontodatan verwendet haben. Es gab und gibt da immer eine ...“
Optionen
Ich habe noch bei keiner Bank erlebt, dass ich zum Login meine Kontodatan verwendet haben.

Es gibt verschiedene Banken, die das so machen. Wenn Deine Banken mit separaten Kennungen arbeiten, kannst Du das natürlich nicht wissen...

bei Antwort benachrichtigen
Borlander mawe2 „Es gibt verschiedene Banken, die das so machen. Wenn Deine Banken mit separaten Kennungen arbeiten, kannst Du das ...“
Optionen

Ich bin einfach mal davon ausgegangen, dass die die Online-Banking-Webseite implementieren mal 5 Minuten nachdenken. Dann wird das von Dir genannte Risiko einer Sperrung durch Dritte nämlich schnell offensichtlich. Immerhin können sie auf dieser Basis nicht serös Gebühren für eine Entsperrung verlangen.

bei Antwort benachrichtigen