Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Was ich schon immer gewusst habe.. :-)

gelöscht_84526 / 77 Antworten / Flachansicht Nickles

...bestätigt sich hiermit: Passwörter mit Sonderzeichen, unsinnigem Buchstaben- und Zeichensalat sowie das ständige Wechseln von Passwörtern ist Blödsinn.

Ausgerechnet der Experte, der vor 15 Jahren die Empfehlungen für Passwörter zu Papier brachte, hat sich nun im Sender CBS für seinen "Passwort-Wahnsinn" entschuldigt. Dort sagte der 72-jährige Bill Burr:

"Ich bedauere sehr, was ich den Computernutzern eingebrockt habe. Ich hätte das seinerzeit besser machen können - und einige Erkenntnisse, die wir jetzt haben, schon damals herausfinden können."

Hier geht es zum Bericht bei tagesschau.de, aus dem auch die beiden letzten Absätze meines Postings stammen: http://www.tagesschau.de/ausland/passwoerter-105.html

bei Antwort benachrichtigen
Passwörter wechsle ich auch nicht. Ich habe mir aber angewöhnt nicht für alle Dienste das gleiche PW zu verwenden. ... swiftgoon
Dummerweise besteht dann aber eine gute Chance, dass man über Deinen Mail-Account auch die Zugänge der anderen Dienste ... Borlander
https://nakedsecurity.sophos.com/2014/10/01/how-to-pick-a-proper-password/ wenns sicher sein soll und Alle Vögel sind ... Alpha13
Na ja, wenn s aber doch ein Experte so sagt.... Allerdings: Was ich von Experten so halte, das kannst du meiner Signatur ... gelöscht_84526
Alles was in Büchern oder sonst im Internet steht ist für die Computer von Hackern sowas von kein Prob. Ist AFAIK schon ... Alpha13
Und deshalb war der Hinweis, möglichst kryptische Passwörter zu verwenden, zur damaligen Zeit völlig OK. Ich verstehe ... mawe2
Das Wechseln von Passwörtern sorgt zumindest für eine zeitliche Begrenzung des Schadens durch Passwörter die in Fremde ... Borlander
Did you know that for less than 20,000 you could build your very own password cracker that, under ideal conditions, could ... hatterchen1
Die professionellen Hacker haben schon solche Kisten und die verkaufen die Passwörter... Alpha13
Die knacken und verkaufen ganze Datenbanken... nicht kleckern, klotzen Deswegen sollte man seine Identitäten im Auge ... hatterchen1
Die knacken schon auch einzelne Accounts. Die Datenbank zu klauen gestaltet sich nämlich selbst für die sehr oft als ... Alpha13
Dann habe ich die Hoffnung, dass die sich zuerst so lukrativ erscheinende Accounts mit Krönchen vornehmen... hatterchen1
Sehr oft reicht aber nicht, weil da immer noch die Datenbanken fehlen die für immer schwierig bis unmöglich fehlen. ... Borlander
Das mit dem unsinnigen Zeichensalat durch Sonderzeichen ist treffend und verursacht nur Verdruß. Denn die sind eher nur ... Xdata
Schon mal etwas von copy and paste gehört? Diese Aussage halte ich für Unsinn, aber meine Sicherheit steht auch hier ... hatterchen1
Ach, dann hast du deine Passwörter auf dem Rechner in irgendeiner Textdatei? Oder wie, oder was? Gut, es gibt natürlich ... gelöscht_84526
Und weshalb oder warum? Spaß geh bei Seite, ich habe die in der Hosentasche, ich kann mir die aber beim Schwimmen, auch ... hatterchen1
Man muss ja nicht knobeln, das macht der Computer. Und der kann das blitzschnell. Außerdem ist es dem Computer ... gelöscht_84526
Mir auch hatterchen1
Aktuell gilt: Sonderzeichen sind keine besondere Hürde mehr für Algorithmen oder Methoden die Passwörter knacken. Länge ... Xdata
Und welche sind das, die auf jedem Keyboard an der gleichen Stelle stehen? Ich hatte noch nie die Gelegenheit, alle ... mawe2
Solange es der User selbst bestimmen kann geht es ja noch. Aber beim eService der Bundesagentur für Arbeit hat mir ein ... Xdata
Ganz genau, das ist jetzt wirklich nicht soooo kompliziert. Von erfahrenen Usern kann man erwarten, dass sie das packen. ... mawe2
Übrigens: Bei vielen Logins kann man sich inzwischen das geschriebene Passwort auch lesbar anzeigen lassen z.B. beim ... mawe2
IT intelligente Technik? hatterchen1
Du liegst da richtig, es waren Anfänger die auch Probleme mit der Feststelltaste hatten .. die dann nur noch große ... Xdata
Wenn ich so etwas lese, kommen mir die Tränen vor Lachen . Ja selbstverständlich sind das Fehler, die Politiker Masche, ... hatterchen1
Du hast recht, hätte vorher lesen sollen warum die BA dies so sicher macht. Es ist nicht nur irgendein Service, wehe wenn ... Xdata
Meine Überlegugung dazu: Wenn dur nur Zeichen aus dem 7 Bit breiten ASCII code nutzt, braucht der Angreifer sich auf 2 7 ... VC1541
Borlander VC1541 „Meine Überlegugung dazu: Wenn dur nur Zeichen aus dem 7 Bit breiten ASCII code nutzt, braucht der Angreifer sich auf 2 7 ...“
Optionen

Nicht-Druckbare Zeichen wird man für gewöhnlich nicht in Passwörtern verwenden. Wobei das (abgesehen von der Eingabe) eine gute Idee sein könnte wenn ich gerade so darüber nachdenke ;-)

Der reale Wertebereich ist also i.d.R. wesentlich kleiner als ASCII. Typische Zeichenklassen:

  • a-z (Kleinbuchstaben); 26 Zeichen
  • A-Z (Großbuchstaben); 26 Zeichen
  • 0-9 (Ziffern); 10 Zeichen
  • .,-_/() u.s.w.; >30 Zeichen
  • äöüÄÖÜßẞ (Umlaute und SZ groß und klein): 8 Zeichen

Ich habe hier nun bestimmt noch was vergessen. Wenn wir alle Zeichenklassen vorsehen sind wir bei rund 100 Zeichen. Das ist vier mal so viel wie nur kleinbuchstaben. Das sorgt bei einer Passwortlänge von 10 Zeichen bereits dafür, dass mehr als 1Mio mal so viele Kombinationen probiert werden müssen.

Trotzdem kann man auch mit Passwörtern auf einer einfachen Basis eine höhere Sicherheit erlangen wenn sie deutlich länger werden als kurze mit vielen verschiedenen Zeichen.

Wenn wir Z als die Anzahl der insgesamt verfügbaren Zeichen und L als die Länge definieren, dann gibt es Z^L mögliche Kombinationen.

Beispiel:

100^8 = 10000000000000000
26^12 = 95428956661682176
26^16 = 43608742899428874059776
26^20 = 19928148895209409152340197376

Ein 12 Zeichen Passwort nur mit Buchstaben ist also bereits sicherer als ein 8 Zeichen Passwort mit allen üblichen über die Tastatur erreichbaren Zeichen.

Fazit: Länger ist besser.

bei Antwort benachrichtigen
100 8 10000000000000000 26 8 208827064576 26 12 95428956661682176 26 16 43608742899428874059776 26 20 ... hatterchen1
Wo denn genau? a 12 Zeichen Passwort nur mit Buchstaben 26 verschiedene also 26 12 Kombinationen b 8 Zeichen Passwort mit ... Borlander
Na bei dem Vergleich. Was soll denn das, 8 Zeichen mit 12 Zeichen vergleichen zu wollen? Wenn schon, dann müsste man bei ... hatterchen1
Weil es einen ganz entscheidenden Unterschied macht aus welchem Zeichenvorrat man sich bei der Generierung von ... Borlander
Über die Zeit für das Knacken von Passwörtern nach Zeichenvorrat und PW-Länge ist bei ... gelöscht_323936
Ja was schreibe ich denn hier die ganze Zeit? Du bist doch derjenige, der mit 12aus26 Zeichen A-Z das bessere Passwort ... hatterchen1
Das ist dann aber eher kein Passwort mehr, dass sich ein Mensch merken kann. Heinz111 hatte unten ansonsten auch noch mal ... Borlander
Das sind schon 52 Zeichen und damit schon mal wieder ein paar Jährchen mehr Rechenzeit beim ungünstigsten Knackversuch. ... gelöscht_323936
Deshalb sollten wiederholte Zugriffsversuche mit einem falschen Passwort auch zum Ausbremsen und bald zu einer Sperrung ... Borlander
Ja, das wäre zu wünschen. Die heutige Praxis, bei der immer mehr Zugriff auf online-Dienste von überall her vorgenommen ... gelöscht_323936
Das kann ich so nicht akzeptieren, denn beim direkten Vergleich, und nur der ist für mich maßgebend, schneiden nur ... hatterchen1
So langsam bekomme ich das Gefühl, da will einer nicht nachdenken sondern Recht haben. Borlander hat doch sehr einfach ... Heinz111
Ich denke seit ca. 30 Jahren intensiv über die Sicherheit am PC und Peripherie nach. Wenn mir dann einer erzählt ein 12 ... hatterchen1
Dazu gibt es ja die Mathematik. Und da es bewiesen ist bei welcher Länge welches Passwort sicherer ist -- gibt es null ... Xdata
Noch mal zum dritten mal exklusiv für Dich: https://xkcd.com/936/ und eine ausführlichere Erklärung dazu Borlander
Wo von soll mich denn dieser Comic überzeugen? Es zündet auch nicht beim dritten mal. Die ausführliche Erklärung dazu ... hatterchen1
Einen Link den man hier bei diesem Thema keinesfalls vergessen darf: xkcd: Password Strength Borlander
hier ein unbedarfter User mit einer Frage, erstmal ein interessanter Artikel der die Ohnmacht eines Passwortes gut ... nettermensch
Würde funktionieren, wenn die jeweils genutzte Implementierung Unicode unterstützt. Bei Nicht-ASCII-Zeichen muss man ... Borlander
Das mit der Sicherheit durch noch leicht handhabbare Länge hat aber etwas bestechendes .. .. wird doch immer von nur ... Xdata
Das kannst Du so pauschal nicht sagen. z.B. bei FritzBoxen hast Du keine entsprechende Limitation. Borlander
Mal ein kleines Beispiel: Mein WLAN-PW enthielt u.A. das deutsche -Zeichen. Fand ich klever. Aber leider haben alle ... Heinz111
Nun frage ich mich, wie oft und an welcher Stelle musst Du so oft dein Passwort eingeben? Aber selbstverständlich war es ... hatterchen1
Ganz entschieden! Ein gutes Beispiel wie unpraktisch es ist seltene Sonderzeichen die die Sicherheit mathematisch bewiesen ... Xdata
Das ist so nicht richtig! Mathematisch bewiesen ist hingegen, dass ein größerer Zeichenvorrat die Sicherheit massiv ... hatterchen1
Sorry hab die Antwort erst jetzt gesehen Danke, für die Berichtigung: Die unterliegende Mathematik ist wohl doch ... Xdata
Mein WLAN Passwort ist ein langer Satz in derbem Dialekt ohne Sinn. Kein Wort davon steht im Wörterbuch. VC1541
Klares Nein von meiner Seite. Wenn man sich auf die 95 druckbaren Zeichen des ASCII Codes beschränkt und sich davon z.B. ... hatterchen1
Mit einem Standard-PC mit leistungsfähiger Grafikkarte z. B. Radeon HD 6770 aus dem Jahr 2011 . Es ist anzunehmen, dass 7 ... mawe2
Natürlich, da gebe ich Dir vollkommen Recht, aber irgendeine Basis braucht man ja um einen Vergleich zu starten. Jedoch ... hatterchen1
Das ist klar. Für Vergleichszwecke kann man die Tabelle auch weiterhin nutzen. Nur die dort angegebenen absoluten Zeiten ... mawe2
Und die sind verbesserungswürdig, fast überall. 1. Fehler - OK. 2. Fehler - 10 min. Wartezeit. 3. Fehler - Wartezeit 1 ... hatterchen1
Nach dem dritten Fehler gleich einen Tag ausgesperrt zu bleiben, fände ich etwas zu restriktiv. Ich könnte mir eine ... mawe2
Nein, für mich als Sicherheit zu lasch. Beim Bankautomat wird auch die Karte eingezogen. Ein Masterpasswort/Masterpin ... hatterchen1
Da muss man sich aber auch nur eine vierstellige Zahl merken. Die Wahrscheinlichkeit einer Fehleingabe ist dort deutlich ... mawe2
Also bei meinen Mobilfunkverträgen gib es die obligatorische 4 stellige PIN und nach dreimaliger Falscheingabe muss ich ... hatterchen1
Dein Beharren auf Sicherheit statt Bequemlichkeit ist am Ende doch immer richtig und zahlt sich auch aus! Weiter oben hab ... Xdata
Hallo Xdata, in unserem Fall, also der Sicherheit von Passwörtern, ist die Mathematik, wie auch beim Lotto, relativ ... hatterchen1
Die Formel ist hier total unpassend. Bei Passwörtern ist die Reihenfolge der Zeichen relevant, und die Zeichen können ... Borlander
Sicherheitsfragen sind eine absolute Sicherheitslücke, weil die Antworten um Größenordnungen einfacher zu Erraten sind ... Borlander
Das ist noch harmlos im Vergleich zu einer dauerhaften Sperrung bis zur manuellen Freischaltung - Bei Online-Banking ist ... Borlander
Ich weiß. Grundsätzlich sind dauerhafte Sperrungen aber inakzeptabel, weil jeder x-beliebige Honk Dich damit ausperren kann. mawe2
Das Risiko eines Aussperrens kann man allerdings auch wesentlich mindern indem Du eine nicht leicht zu erratende ... Borlander
Naja: Bankkontodaten sind quasi allen bekannt, mit denen man Geldgeschäfte macht. Im gewerblichen Bereich kannst Du Deine ... mawe2
Ich habe noch bei keiner Bank erlebt, dass ich zum Login meine Kontodatan verwendet haben. Es gab und gibt da immer eine ... Borlander
Es gibt verschiedene Banken, die das so machen. Wenn Deine Banken mit separaten Kennungen arbeiten, kannst Du das ... mawe2
Ich bin einfach mal davon ausgegangen, dass die die Online-Banking-Webseite implementieren mal 5 Minuten nachdenken. Dann ... Borlander