...bestätigt sich hiermit: Passwörter mit Sonderzeichen, unsinnigem Buchstaben- und Zeichensalat sowie das ständige Wechseln von Passwörtern ist Blödsinn.
Ausgerechnet der Experte, der vor 15 Jahren die Empfehlungen für Passwörter zu Papier brachte, hat sich nun im Sender CBS für seinen "Passwort-Wahnsinn" entschuldigt. Dort sagte der 72-jährige Bill Burr:
"Ich bedauere sehr, was ich den Computernutzern eingebrockt habe. Ich hätte das seinerzeit besser machen können - und einige Erkenntnisse, die wir jetzt haben, schon damals herausfinden können."
Passwörter wechsle ich auch nicht.
Ich habe mir aber angewöhnt nicht für alle Dienste das gleiche PW zu verwenden.
Sollte mein e-mail PW mal geknackt werden ist somit nicht automatisch mein
amazon, ebay, itunes, Steam usw. Account betroffen.
Alles was in Büchern oder sonst im Internet steht ist für die Computer von Hackern sowas von kein Prob.
Und deshalb war der Hinweis, möglichst kryptische Passwörter zu verwenden, zur damaligen Zeit völlig OK. (Ich verstehe nicht, wieso der Typ sich dafür entschuldigt.)
Vieles hat sich im Laufe der Zeit verändert. Deswegen war es zu seiner Zeit aber weder falsch noch schlecht. Nur die Zeiten ändern sich eben...
Das ständige Wechseln des Passwortes (wie es heute auch noch sehr oft erzwungen wird) war damals aber schon Quatsch und das hätte der Experte auch damals schon wissen können.
Dafür, dass es heute für Hacker ganz andere Möglichkeiten gibt als vor 15 Jahren muss er sich jedenfalls nicht entschuldigen.
Das ständige Wechseln des Passwortes (wie es heute auch noch sehr oft erzwungen wird) war damals aber schon Quatsch und das hätte der Experte auch damals schon wissen können.
Das Wechseln von Passwörtern sorgt zumindest für eine zeitliche Begrenzung des Schadens durch Passwörter die in Fremde Hände gelangt sind.
Zwei-Faktor-Authentifizierung bietet aber natürlich ein wesentlich höheres Schutzniveau.
"Did you know that for less than $20,000 you could build your very own password cracker that, under ideal conditions, could try out more than 100,000,000,000 passwords EVERY SECOND"
So ein Teil hat also fast jeder Zuhause, oder?
Wozu dann überhaupt noch Passwörter? Ist doch eh alles Schnulli.
Na ja, meine wichtigen Passwörter haben 63 Zeichen, die kann ich auch wunderbar behalten, nur mit der Reihenfolge haperst ein bisschen...
Außerdem was nutzen die besten Passwörter, wenn sie überall geklaut werden können?
Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als schwierig bis unmöglich...
Sehr oft reicht aber nicht, weil da immer noch die Datenbanken fehlen die für ("immer schwierig bis unmöglich") fehlen. Gerade in der jüngeren Vergangenheit hatten wir doch erst wieder Fälle in denen schlecht konfigurierte Datenbanken ohne jegliche Absicherung im Internet erreichbar waren. In Kombination mit ungesalzenen, oder noch schlimmer sogar ungehashten Passwörtern ist das nicht schwierig bis unmöglich, sondern fast iditotensicher Passwörter abzugreifen :-(
Das mit dem unsinnigen Zeichensalat durch Sonderzeichen ist treffend
und verursacht nur Verdruß.*
Denn die sind eher nur für den Nutzer komlpiziert als für einen potenziellen Hackversuch!
*
-- Die nicht selten anzutreffende Zwangsvorgabe unabwählbar(!)Groß- und Kleinschreibung
-- zu verlangen ..
führt zu extrem schwer zu überblickenden Fehlern und Problemen bei der Eingabe.
Ein gutes Beispiel ist der eService der BA, wo auch noch Zahlen vorgeschrieben sind
-- was aber nicht so abartig fehleranfällig ist wie der Zwang
Groß und Kleinbuchstaben verwenden zu müssen.
Das kann und wird dazu führen so die User nicht mehr in den Account kommen,
da selbst beim Aufschreiben regelmäßig Irrtümer vorkommen.
Ein PHP Programmierer hat mal angedeutet, so auch "Länge"
eine Angrgiffsfläche bieten kann ..
Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was?
Gut, es gibt natürlich irgendwelche "Passworttresore", welche durch ein Masterpasswort gesichert sind - aber ob die so richtig sicher sind, das bezweifle ich stark.
Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was?
Und weshalb oder warum?
Spaß geh bei Seite, ich habe die in der Hosentasche, ich kann mir die aber beim Schwimmen, auch um den Hals hängen. Bei copy and paste darf auch jeder meine Tastaturanschläge auslesen.
Natürlich kann sich niemand 63 Zeichen -in der richtigen Reihenfolge- merken und in meiner Zeichenfolge sind ja auch noch die weltweit beliebten Umlaute, wie ä, ö, ü und ß enthalten.
Jetzt frage einmal einen Mathematiker, wie lange man daran Knobeln muss.
Nach diesem Schema kann man natürlich, bei Bedarf, auch eine kürzere Zeichenfolge wählen.
Wer etwas anderes glaubt oder behauptet, in Bezug sichere auf Passwörter, darf natürlich auch Liedtexte wie "Alle Vögeln alle" verwenden.
Jetzt frage einmal einen Mathematiker, wie lange man daran Knobeln muss.
"Man" muss ja nicht knobeln, das macht der Computer. Und der kann das blitzschnell. Außerdem ist es dem Computer scheißegal, ob da Umlaute, Sonderzeichen oder sonstwas für Kombinationen im Passwort enthalten sind, für den sind nämlich alle Zeichen ganz normal.
Probleme, solche Kombinationen zu "erraten" oder sie sich zu merken, hat lediglich ein Mensch. Und wer glaubt, dass da irgendwo ein Mensch sitzt und irgendwelche Passwörter erraten muss, der hat zuviele amerikanische Serien im TV gesehen - da wird das nämlich immer gezeigt, da sitzt irgendeiner vor einer Tastatur und klimpert darauf herum, um nach spätestens 10 Sekunden zu erklären, dass er "drin" ist...... :-))
Sonderzeichen sind keine besondere Hürde mehr für Algorithmen oder Methoden
die Passwörter knacken. Länge bisher schon.
Soll bedeuten .. sind nur für den User kryptisch und undurchsichtig.
Für die Methoden die sowas knacken
-- nicht wesentlich komplizierter als ganz normale Buchstaben oder Zahlenfolgen.
Mein Aussage in der ersten Antwort ist viellecht irreführend:
Gegen Sonderzeichen ist im Allgemeinen nichts einzuwenden.
Bei kurzen Passwörtern wird die Sicherheit dann doch noch erhöht.
Aber .. keine Sonderzeichen wie # oder vergleichbare die zB. auf einem US-Keyboard
nicht mehr stimmen.
Soll bedeuten, nur die die auf jedem landesspezifischen Keyboard
an der glechen Position stehen.
Merkregel:
Verwende niemals, verwende NIEMALS(!)*
Groß und Kleinbuchstaben gemischt bei einem Passwort
-- falls es nicht zwingend vorgeschrieben ist!
Abgeleitet von Yoda,
unterschätze niemals, unterschätze niemals die Macht des Imperators.
* Es kann nicht nur zu Fehlern, Verwechslungen, bis hin zu Ausperrungen führen:
Es führt mit apodiktischer Gewissheit dazu!
Selbst die größte Spürnase und Aufmerksamkeit hift nicht .......
Soll bedeuten, nur die die auf jedem landesspezifischen Keyboard an der glechen Position stehen.
Und welche sind das, die auf jedem Keyboard an der gleichen Stelle stehen?
(Ich hatte noch nie die Gelegenheit, alle denkbaren Keyboards diesbezüglich zu vergleichen.)
Außerdem denke ich, dass es völlig wurscht ist, ob (z.B.) ein Zeichen links oben oder rechts unten auf der Tastatur liegt - Hauptsache, es ist das selbe Zeichen!
Ansonsten dürfte man Y und Z (bzw. y und z) auch nicht benutzen...
Verwende niemals, verwende NIEMALS(!)* Groß und Kleinbuchstaben gemischt bei einem Passwort -- falls es nicht zwingend vorgeschrieben ist!
Also ich verwende solche Mischungen bei verschiedenen Accounts schon jahrelang und habe mich damit noch nie ausgesperrt. Ich würde dieses Problem jetzt mal nicht übertreiben!
Solange es der User selbst bestimmen kann geht es ja noch.
Aber beim eService der Bundesagentur für Arbeit hat mir ein freier Dozent* berichtet:
-- Selbst erfahrene User haben es nich mal geschafft die übertriebenen Vorgaben einzuhalten.
Und ist dann die Vorgabe erfüllt, offenbart sich so die User da
massive Probleme
hatten nichts zu verdrehen
Der Dozent betreut da in einem Kurs die Kommunnikation mit der Arge und
Usern die lernen Word und PCs dafür zu nutzen.
Alles ist da beim eService wohl zwingend vorgeschrieben:
Hört sich nicht besonders kompliziert an.
Praktisch gibt es aber immer Probleme schon bei der Einrichtung
und erst recht bei
noch so kleinen Fehlern. Dann kommt Passwort ungültig.
oft wurde nur wegen der Kleinbuchstaben oder Großbuchstaben ein Fehler gemacht.
Einmal falsch notiert und das war es -- alles neu machen.
Ganz genau, das ist jetzt wirklich nicht soooo kompliziert. Von erfahrenen Usern kann man erwarten, dass sie das packen.
Bei unerfahrenen Usern ist das tatsächlich etwas anderes. Viele können nicht mal richtig (mit einem Stift auf Papier) schreiben und dann ist die Sache (auch mit der Tastatur) fast aussichtslos.
oft wurde nur wegen der Kleinbuchstaben oder Großbuchstaben ein Fehler gemacht.
Ja, das muss man erstmal lernen, wie ein Großbuchstabe und wie ein Kleinbuchstabe erzeugt wird.
Schwierig - insbesondere beim Aufschreiben auf Papier - sind dann die Buchstaben, die in Groß- und Kleinschreibung fast identisch aussehen (z.B. großes ieh und kleines ell).
Aber gerade die Sonderzeichen sind doch dann die "Rettung": Bei denen gibt es keine Differenzierung zwischen groß und klein.
Du liegst da richtig, es waren Anfänger die auch Probleme mit der Feststelltaste hatten
.. die dann nur noch große Buchstaben produziert.
Auf der anderen Seite ist es gut wenn die BA die Sicherheit wegen des Mißbrauchs so hoch ansetzt.
Hab jetzt mal reingeschaut und es ist glaube ich sogar möglich damit
wichtige Anträge Online zu machen.
In dem Kontext geht Sicherheit vor Einfachheit!
Ein Hack wäre für die Betroffenen die schon wenig Geld haben fatal.
So gesehen ist die BA sogar vorbildlich.
-- Selbst erfahrene User haben es nich mal geschafft die übertriebenen Vorgaben einzuhalten.
Wenn ich so etwas lese, kommen mir die Tränen (vor Lachen).
nur wegen der Kleinbuchstaben oder Großbuchstaben ein Fehler
Ja selbstverständlich sind das Fehler, die Politiker Masche, mit schreiben wie man spricht, entstammt doch einer Klapsmühle.
Fast jeder schreibt Fehler, wer aber (als gebürtiger Deutscher mit Schulbesuch) die Groß- und Kleinschreibung durcheinander würfelt, darf auch leiden.
Einmal falsch notiert und das war es -- alles neu machen.
Nicht einmal neu machen, 10 mal neu machen, immer noch falsch, 100 mal neu machen.
Außerdem kommen Umlaute in ein Passwort, die stehen auch immer an gleicher Stelle auf jeder Tastatur.
Wenn dur nur Zeichen aus dem 7 Bit breiten ASCII code nutzt, braucht der Angreifer sich auf 2^7 Zeichen beschränken.
Benutzt du nun ein Zeichen, das nur im 8 Bit ASCII code drin ist, sind es schon 2^8 Zeichen, die er durchrechnen muss.
Bei einem UTF8 Zeichen wären es dan schon 2^schlagmichtot Kombinationen, die er durchrechnen müsste.
Fazit: Die Rechenoperation pro Passwort "n" dauert länger und mit jedem zusätzlichen Zeichen verdoppelt sich der Rechenaufwand gegenüber "n-1".
Ich sehe also nicht, warum lange Passwörter, die den Zeichenvorrat voll ausschöpfen schlecht sein sollten.
Ich denke die meisten Angreifer werden sich auf den 8 Bit ASCII Zeichenvorrat beschränken, da dort alle Zeichen einer US-amerikanischen Tastatur drin sind.
Nicht-Druckbare Zeichen wird man für gewöhnlich nicht in Passwörtern verwenden. Wobei das (abgesehen von der Eingabe) eine gute Idee sein könnte wenn ich gerade so darüber nachdenke ;-)
Der reale Wertebereich ist also i.d.R. wesentlich kleiner als ASCII. Typische Zeichenklassen:
a-z (Kleinbuchstaben); 26 Zeichen
A-Z (Großbuchstaben); 26 Zeichen
0-9 (Ziffern); 10 Zeichen
.,-_/() u.s.w.; >30 Zeichen
äöüÄÖÜßẞ (Umlaute und SZ groß und klein): 8 Zeichen
Ich habe hier nun bestimmt noch was vergessen. Wenn wir alle Zeichenklassen vorsehen sind wir bei rund 100 Zeichen. Das ist vier mal so viel wie nur kleinbuchstaben. Das sorgt bei einer Passwortlänge von 10 Zeichen bereits dafür, dass mehr als 1Mio mal so viele Kombinationen probiert werden müssen.
Trotzdem kann man auch mit Passwörtern auf einer einfachen Basis eine höhere Sicherheit erlangen wenn sie deutlich länger werden als kurze mit vielen verschiedenen Zeichen.
Wenn wir Z als die Anzahl der insgesamt verfügbaren Zeichen und L als die Länge definieren, dann gibt es Z^L mögliche Kombinationen.
Ein 12 Zeichen Passwort nur mit Buchstaben ist also bereits sicherer als ein 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen.
Ein 12 Zeichen Passwort nur mit Buchstaben ist also bereits sicherer als ein 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen.
Na bei dem Vergleich. Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen?
Wenn schon, dann müsste man bei gleicher Zeichenlänge vergleichen und dann ist es absolut unerheblich welche Zeichen man verwendet. Es sei denn es sind Zeichen dabei, die nicht auf jeder Tastatur und in jeder Sprache vorhanden sind.
12 mal "A", mal 26 Buchstaben bleibt 12 mal "A". Kann meine Enkeltochter, 6 Jahre, knacken.
12 mal, 12 aus 100 Zeichen dagegen dürften schwer werden.
Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen?
Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von Passwörtern bedient.
12 […] mal 26 Buchstaben […] Kann meine Enkeltochter, 6 Jahre, knacken.
Deine Enkeltochter heißt wahrscheinlich auch Chuck Norris?
Ansonsten habe ich gewisse Zweifel ob Du es noch miterleben würdest, dass sie 26*26*26*26*26*26*26*26*26*26*26*26=26^12 Möglichkeiten von Hand durchprobiert…
Über die Zeit für das Knacken von Passwörtern nach Zeichenvorrat und PW-Länge ist bei https://de.wikipedia.org/wiki/Passwort eine kleine Tabelle zum ersten Überblick
"Maximale Rechenzeit eines Brute-Force-Angriffs bei 1 Milliarde Schlüsseln pro Sekunde"
Aber das ist ja die maximale Zeit für eine Maschine - und ...
Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von Passwörtern bedient.
Ja was schreibe ich denn hier die ganze Zeit?
Du bist doch derjenige, der mit 12aus26 Zeichen (A-Z) das bessere Passwort erstellen will, ich schreibe dass ich alle verfügbaren Zeichen, also über 100, in einem 63stelligen Passwort verwende.
Und wenn man vergleicht, vergleicht man Äpfel nicht mit Birnen, will sagen, 12 Zeichen von Dir gegen 12 Zeichen von mir (und nicht gegen 8).
Und was meine Enkeltochter anbetrifft, stand die nur stellvertretend für die von Dir vorgeschlagene bescheidene Sicherheit, eines 12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben. Geknackt in 3 Jahren.
Wenn ich aus >100 Zeichen ein 12stelliges Passwort erstelle, benötigt man zum knacken 19 Millionen Jahre.
Das ist dann aber eher kein Passwort mehr, dass sich ein Mensch merken kann. Heinz111 hatte unten ansonsten auch noch mal auf praktische Einschränkungen…
Und wenn man vergleicht, vergleicht man Äpfel nicht mit Birnen, will sagen, 12 Zeichen von Dir gegen 12 Zeichen von mir (und nicht gegen 8).
Du hast es offensichtlich immer noch nicht verstanden: Es ging um ein einfach nachvollziehbares Rechenbeispiel, warum die Länge des Passwortes wichtiger ist als die Anzahl der verfügbaren Zeichen…
für die von Dir vorgeschlagene bescheidene Sicherheit, eines 12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben.
Ich weiß nicht wie Du aus meinem Beitrag einen allgemeingültigen Vorschlag zur Nutzung eines solchen Passwortes herauslesen konntest. Das einzige was sich aus dem Rechenbeiel ergibt, ist dass man lieber ein 12 Zeichen langes Passwort nur mit Buchstaben verwendet (natürlich nicht aus dem Wörterbuch), statt sich auf 8 Zeichen mit Sonderzeichen zu beschränken.
Letztendlich muss man bei Passwörtern auch immer eine Abwägung treffen: Wenn sie zu komplex sind, dann werden sie irgendwo aufgeschrieben und damit sinkt die Sicherheit wieder.
12stelligen Passwortes aus 26 Groß- oder Kleinbuchstaben.
Das sind schon 52 Zeichen und damit schon mal wieder ein paar Jährchen mehr Rechenzeit beim ungünstigsten Knackversuch.
Aber das Knacken kann ja viel schneller gehen, und das kann jeden und jedes Passwort treffen
Aber das Knacken kann ja viel schneller gehen, und das kann jeden und jedes Passwort treffen
Deshalb sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung des Zugangs führen.
Ganz extrem zeigt sich die Wichtigkeit beim PIN der Bankkarten: Da ist nach 3 Fehlversuchen von gerade mal 10000 Möglichkeiten schon Schluss.
Relevant ist die Brute-Force-Geschwindigkeit eigentlich nur bei rein lokalem Zugriff auf die Daten. Und da verwendet man zur Reduktion der Brute-Force-Geschwindigkeit eine hohe Anzahl von Hash-Runden um die Nutzung des Passworts zu verzögern…
sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung des Zugangs führen.
Ja, das wäre zu wünschen.
Die heutige Praxis, bei der immer mehr Zugriff auf online-Dienste von überall her vorgenommen werden, scheint mir nicht mehr wirklich sicher zu sein.
In der Eile beim schön sicheren Passwort vertippt und noch mal usw. - und schon sitzt man irgendwo in einer fremden Stadt und kann sich nicht mal mehr eine Fahrkarte nach Hause kaufen.
Viele Dienste laufen noch mit eMail-Adresse und Passwort.
Und in den vergangenen Jahren wurden genügend Accounts mitsamt den Passwörtern erbeutet.
Wenn die Rechner in nicht weiter Zukunft richtig schnell werden, ist die Sache mit Passwörtern zum Eintippen vielleicht gar nicht mehr möglich.
Das ist nicht mal eine Idee von mir.
Nun, da werde ich mir jetzt nun eine Anzahl schöner langer Sätze inklusive Satzzeichen und Zahlen ausdenken müssen, um weiter online zu sein und auch die Kaffeemaschine usw. bedienen zu können (haha)
Zum Glück habe ich keinen Fernseher und keine Spionagekamera.
Das waren schöne Zeiten, als so Mitte der 80er Passwörter für die Computer-Accounts in der Firma nötig wurden - zu Beginn waren die 5 oder 6 Zeichen lang.
dass man lieber ein 12 Zeichen langes Passwort nur mit Buchstaben verwendet (natürlich nicht aus dem Wörterbuch), statt sich auf 8 Zeichen mit Sonderzeichen zu beschränken.
Das kann ich so nicht akzeptieren, denn beim direkten Vergleich, und nur der ist für mich maßgebend, schneiden "nur Buchstaben" schlecht ab.
Und Deine nur Buchstaben sind dann auch schon 52 Zeichen.
So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben. Borlander hat doch sehr einfach nachvollziehbar dargelegt, dass für ein gutes PW Länge wichtiger ist als der Vorrat der verwendeten Zeichen. Trotzdem darf Jeder seine PWs nach eigenem Gusto basteln. Und jetzt könnte mal Schluss sein. Ich finde das Thema ist ausreichend durchgekaut.
So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben.
Ich denke seit ca. 30 Jahren intensiv über die Sicherheit am PC (und Peripherie) nach.
Wenn mir dann einer erzählt ein 12 stelliges Passwort aus 26 Buchstaben (groß oder klein) sei sicherer als ein 8 Stelliges Passwort aus allen Zeichen, dann mag das ja stimmen, ist aber völliger Quatsch da hier Äppel mit Birnen verglichen werden.
Für ein 8 stelliges Passwort aus allen verfügbaren Zeichen braucht es 84 Tage zum knacken, für ein 8 stelliges Passwort aus 26 Buchstaben aber nur 4 Minuten!
Für ein 12 stelliges Passwort liegen die Zeiten bei: 3 Jahren und 19 Millionen Jahren.
Und da es bewiesen ist bei welcher Länge welches Passwort sicherer ist
-- gibt es null Diskussionsspielraum(!)
Beweise sind allgemeingültig und die Resultate gelten sogar unabhängig davon
ob ein Mensch es in sein Bewusstsein aufnimmt
oder überhaupt ein Individuum oder materielles Objekt registriert oder speichert.
Rein arithmetisch oder sogar für einiges direkt logisch.
Logik ist ausnahmslos(!) neutral,
innerhalb einer echten Logik selbst wird nichts behauptet!
Sonst ist es keine, schleppt nicht logische Voraussetzungen*
mit ein.
Dies ist bei Mathematischen Theorien nicht zu vermeiden.
Da tuen nicht logische Voraussetzungen Not.
Zum Beispiel die Existenz einer unendlichen Klasse, spezieller Menge.
In diesem endlichen Fall existiert sicher sogar ein "konstruktiver" Beweis
Konstruktiv bedeutet in diesem Fall so es auch dann gilt wenn nur
"potenzielle Unendlichkeit" anerkannt wird, keine reinen Existenzbeweise
-- pure Methode.
erstmal ein interessanter Artikel der die Ohnmacht eines Passwortes gut wiederspiegelt
und die Gefahr im Netz gut darstellt.
Ist es denn nicht technisch möglich in seinem Passwort z.B. Japanische oder Arabische usw Zeichen mit ein zu bauern ?? und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??
wie gesagt nicht böse sein wegen dieser Frage, wenn sie gänzlich falsch ist, weiß es wirklich nicht besser
Ist es denn nicht technisch möglich in seinem Passwort z.B. Japanische oder Arabische usw Zeichen mit ein zu bauern ?? und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??
Würde funktionieren, wenn die jeweils genutzte Implementierung Unicode unterstützt.
Bei Nicht-ASCII-Zeichen muss man allerdings leider immer mit Problemen durch unterschiedliche Zeichensatzcodierungen rechnen (weil nicht sauber implementiert). Das wäre bei Passwörtern aber eher blöd wenn man durch sowas augesperrt wird.
Das mit der Sicherheit durch noch leicht handhabbare Länge hat aber etwas bestechendes* ..
.. wird doch immer von "nur Zahlen" abgeraten.
*Durch zerlegen in eine viel kleinere, die große Zahl aber eindeutig rekonstruierbare,
kann das Passwort nicht mehr so leicht vergessen werden.
Ein Bekannter hat wohl so seine Versicherungsnummer geschrumpft ..
Gut, die Zahlen und die Operation für die eindeutige Rückgewinnung darf natürlich
nicht vergessen werden.
Leider haben die Geräte-Passwörter für Router nur 8 Stellige natürliche Zahlen.
Zu kurz um sicher zu sein? Vorteil ist, es nicht vergessen zu können, da es hinten draufsteht..
Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche §-Zeichen. Fand ich klever. Aber leider haben alle Smartphones diese Zeichen anders als der PC kodiert. Folglich waren meine Kiddies genervt, weil sie das PW immer Hexadezimal eingeben mussten. Durch die Kiddies war ich dann genervt und hab das §-Zeichen rausgeschmissen. Und nebenbei - durch den $ war wein WLAN-PW nicht wirklich besser/sicherer - siehe obige Diskussion.
Aber leider haben alle Smartphones diese Zeichen anders als der PC kodiert. Folglich waren meine Kiddies genervt, weil sie das PW immer Hexadezimal eingeben mussten.
Nun frage ich mich, wie oft und an welcher Stelle musst Du so oft dein Passwort eingeben?
Und nebenbei - durch den $ war wein WLAN-PW nicht wirklich besser/sicherer
Aber selbstverständlich war es sicherer, vom Handy ging es doch schon mal nicht, wie Du selber schreibst.
Ein gutes Beispiel wie unpraktisch es ist seltene Sonderzeichen die die Sicherheit
mathematisch bewiesen
nicht erhöhen
im Vergleich zu der möglichkeit sich selber auszusperren .. oder es
(obwohl richtig)
nicht erkannt wird:
Für einen Laien allein schon wenn durch einen Fehler das Default US-Keyboard
aktiv ist.
Hatte schon viele die allein daher ihr Passwort dadurch geLOCKt hatten ..
da nicht gleich erkannt wurde so die Tastatur statt Deutsch auf das Default US war!
Das Sonderzeichen # ist dann ein Slash oder so.
Bei kurzen Passwörtern war das noch relevant
und selbst da würde ich Zahlen und gut konditionierte Sonderzeichen
der extrem Fehleranfälligen Mischung von Groß und Kleinschreibung vorziehen!
Und eine Passworteingabe die eine so große Zahl von
Testläufen falscher Eingaben überhaupt zuläßt,
den User zu zwingen einen
kryptischen Müllhaufen
von Passwort zuzumuten, hat ganz andere fundamentalere Sicherheitslücken .......
Das Beispiel von Borlander mit der läppischen PIN Kombinationsanzahl
und dennoch bewährt
zeigt sonnenklar
so es eine Frage der speziellen Situation ist
wo komplizierte und wo eher lange Passwörter einen Sinn haben.
...seltene Sonderzeichen die die Sicherheit mathematisch bewiesen nicht erhöhen
Das ist so nicht richtig!
Mathematisch bewiesen ist hingegen, dass ein größerer Zeichenvorrat die Sicherheit massiv erhöht. System Lotto, für Nichtchecker.
Hatte schon viele die allein daher ihr Passwort dadurch geLOCKt hatten .. da nicht gleich erkannt wurde so die Tastatur statt Deutsch auf das Default US war!
Das ist für einen Computer, der ein Passwort knacken soll, vollkommen unerheblich, auf welcher Position ein Buchstabe steht, der geht nach dem ASCII Code.
zeigt sonnenklar so es eine Frage der speziellen Situation ist wo komplizierte und wo eher lange Passwörter einen Sinn haben.
Nein, es geht nicht um kompliziert oder lang. Es geht um den verfügbaren Zeichensatz!
Die Formel um das auszurechnen ist die gleiche wie beim Lotto, also ganz einfach.
Japanische oder Arabische usw Zeichen mit ein zu bauern ?? und würde das nicht die mathematischen Möglichkeiten es zu knacken drastisch erhöhen??
Klares Nein von meiner Seite.
Wenn man sich auf die 95 druckbaren Zeichen des ASCII Codes beschränkt und sich davon z.B. 10 Zeichen für ein Passwort auswählt, liegt die vermutlich Dauer für ein Knacken bei 2.108 Jahren.
Wählt man dagegen 10 Zeichen nur aus den 52 Buchstaben (groß und klein) dauert das Knacken nur 5 Jahre, bei nur groß oder klein sogar nur bei 2 Tagen.
liegt die vermutlich Dauer für ein Knacken bei 2.108 Jahren
Mit einem "Standard-PC mit leistungsfähiger Grafikkarte (z. B. Radeon HD 6770) aus dem Jahr 2011".
Es ist anzunehmen, dass 7 Jahre später wesentlich leistungsfähigere Hardware zur Verfügung steht und die geschätzte Zeit sich damit deutlich reduziert. Und dieser Prozess setzt sich in den nächsten Jahren fort.
Ich würde also die dort genannten Zeiten höchstens zu Vergleichszwecken nutzen. Eine zutreffende Aussage über die tatsächliche Zeit, die ein beliebiger Angreifer bräuchte, ist daraus nicht abzuleiten.
Es ist anzunehmen, dass 7 Jahre später wesentlich leistungsfähigere Hardware zur Verfügung steht
Natürlich, da gebe ich Dir vollkommen Recht, aber irgendeine Basis braucht man ja um einen Vergleich zu starten.
Jedoch unabhängig vom verwendeten Rechner, bleibt die Mathematik gleich, wenn ich adäquate Parameter vergleiche. Und da ist die Wahrscheinlichkeit z. B. bei 10 aus 95 ungleich geringer, als bei 10 aus 26 -siehe auch Lotto.
Und wer sich mehrere >10 stellige Passwörter merken will, auch wenn sie noch so einfach sind, kommt schnell an seine persönlichen Grenzen.
Von daher ist diese Diskussion für mich überflüssig, denn meine Passwörter an den wichtigen Stellen, muss ich nur selten eingeben und das geschieht mit copy and paste, oder WPS.
Jedoch unabhängig vom verwendeten Rechner, bleibt die Mathematik gleich, wenn ich adäquate Parameter vergleiche.
Das ist klar. Für Vergleichszwecke kann man die Tabelle auch weiterhin nutzen. Nur die dort angegebenen (absoluten) Zeiten sollten mal an den aktuellen Stand der Rechentechnik angepasst werden.
Egal, aus wie vielen Zeichen das Passwort gebildet wurde: Entscheidend für die Sicherheit eines Accounts ist die Login-Routine, die möglichst wenige Versuche pro Zeiteinheit zulassen und die Zeiteinheit stetig vergrößern sollte.
Entscheidend für die Sicherheit eines Accounts ist die Login-Routine
Und die sind verbesserungswürdig, fast überall.
1. Fehler - OK.
2. Fehler - 10 min. Wartezeit.
3. Fehler - Wartezeit 1 Tag, oder nur mit Masterpasswort. Mein Vorschlag.
Da muss man sich aber auch nur eine vierstellige Zahl merken. Die Wahrscheinlichkeit einer Fehleingabe ist dort deutlich geringer als bei einem (z.B.) 12-stelligen Passwort mit Groß-/Kleinschreibung etc. bei einem Web-Login.
Ein Masterpasswort/Masterpin erhält man z.B. zur SIM-Karte, war bei mir immer so.
Ja, dort schon. Aber im Web?
Bei manchen Diensten hat man noch die "Sicherheitsfrage" wenn man sein Passwort vergessen hat (web.de, GMX etc.). Aber ansonsten sind mir keine Online-Verfahren mit Masterpasswort bekannt. (Sinnvoll wäre es allemal!)
Also bei meinen Mobilfunkverträgen gib es die obligatorische 4 stellige PIN und nach dreimaliger Falscheingabe muss ich mit einer 8 stelligen PUK oder SuperPin die Karte freischalten. Vermassele ich das auch, ist die Karte Müll und ich muss eine neue beantragen.
Da es so etwas im Onlineverfahren bislang nicht gibt, benutze ich für mich die höchstmögliche Sicherheit bei der Passwortauswahl und die bestehen aus allen ASCII Zeichen, in unterschiedlicher Länge -min. 9 Stellen.
Dein Beharren auf Sicherheit statt Bequemlichkeit ist am Ende doch immer richtig
und zahlt sich auch aus!
Weiter oben hab ich noch geantwortet wie leicht die unterliegende Mathematik
unterschätzt werden kann und wird.
Selbst Genies wie AlanTuring hatten gute polnische Experten als "Vorbereiter".
gut da ging es nicht um das Knacken von Passwörtern
und das Beurteilen deren Sichererheit,
aber Entschlüssen ist eine vergleichbar schwierige "Materie" ..
in unserem Fall, also der Sicherheit von Passwörtern, ist die Mathematik, wie auch beim Lotto, relativ einfach.
Bei z. B. 26 verwendeten Zeichen, z. B. nur Großbuchstaben und einem 8 stelligen Passwort, ergibt sich die Formel wie folgt:
26x25x24x23x22x21x20x19
______________________ = 1.562,275 Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8
Bei Verwendung von z. B. 95 ASCII Zeichen sieht das Resultat folgender Maßen aus:
95x94x93x92x91x90x89x88
______________________ = 121.550.931.645 Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8
Man achte auf die feinen Unterschiede im Ergebnis.
Die Formel ist beliebig wandelbar.
Meine Berechnung erfolgte mit einem Android Smartphone, die Richtigkeit kann also nicht garantiert werden...
Bei z. B. 26 verwendeten Zeichen, z. B. nur Großbuchstaben und einem 8 stelligen Passwort, ergibt sich die Formel wie folgt: 26x25x24x23x22x21x20x19
______________________ = 1.562,275 Möglichkeiten.
1 x 2 x 3 x 4 x 5 x 6 x 7 x 8
Die Formel ist hier total unpassend.
Bei Passwörtern ist die Reihenfolge der Zeichen relevant, und die Zeichen können mehrfach verwendet werden.
Für das Beschriebene Szenario ergeben sich 26^8 Möglichkeiten.
Bei manchen Diensten hat man noch die "Sicherheitsfrage" wenn man sein Passwort vergessen hat
Sicherheitsfragen sind eine absolute Sicherheitslücke, weil die Antworten um Größenordnungen einfacher zu Erraten sind als das Passwort dass die umgehen können.
Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende Zugangskennung einsetzt. (Mehr oder weniger öffentlich bekannte) eMail-Adressee als Benutzername ist tatsächlich etwas ungünstig.
Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende Zugangskennung einsetzt.
Naja: Bankkontodaten sind quasi allen bekannt, mit denen man Geldgeschäfte macht.
Im gewerblichen Bereich kannst Du Deine Kontodaten grundsätzlich nicht geheim halten. Und jeder, der diese Daten kennt, kann sie nutzen, um den Zugang zum Online-Konto zu sperren.
Dort, wo man sich die Zugangskennung aussuchen kann, wird man natürlich eine verwenden, die anderen möglichst unbekannt ist.
Ich bin einfach mal davon ausgegangen, dass die die Online-Banking-Webseite implementieren mal 5 Minuten nachdenken. Dann wird das von Dir genannte Risiko einer Sperrung durch Dritte nämlich schnell offensichtlich. Immerhin können sie auf dieser Basis nicht serös Gebühren für eine Entsperrung verlangen.
swiftgoon
gelöscht_84526
Borlander
Alpha13
hatterchen1
VC1541
nettermensch
