Jetzt mal ernsthaft...

Ich habe mir grade den dump von den GEMA-logins angesehen(http://pastebin.com/UdAJasbd)

auch wenns irgendwie offtopic ist, aber sind nutzer wirklich so dämlich? nicht ein einziges passwort ist dabei, das auch nur annähernd als sicher zu bezeichnen wäre? ich dachte immer meine PWs seien unsicher, aber die beinhalten wenigstens eine minimallänge, keine namensbestandteile, gross, klein, numerische und sonderzeichen.

Jetzt mal hand aufs herz, benutzt wirklich noch jemand so schlechte passwörter?

*ungläubig den kopf schüttel*

ja, die gibts. sogar massenhaft. bis ich hier bei uns automatisch generierte passwörter eingeführt habe, hatten benutzer namens katherina als passwort kat.

naja sonderzeichen kann man in der regel weglassen. ein zeichen mehr macht weitaus viel mehr aus, als die Sonderzeichen in die Passwörter mitreinzunehmen.

Zumal man bei unbedarften usern auch gerne mal probleme bekommt wenn die im ausland sind und sich vonnem fremden rechner aus wo einloggen wollen und das sonderzeichen nicht zu finden ist (anderes tastaturlayout, mit äöüß gibts da gern ma probleme (: )

alphanumerische passwörter, mit groß-kleinschreibung und vielleicht mal nen "_" oder "-" reichen eigentlich völlig. 8-10 zeichen solltens aber schon sein. wer nicht total auf den kopf gefallen ist, schafft es sich ein gut zu merkendes, sicheres passwort mit diesen bedinungen zu erstellen (Vorname rückwärts mit zahlen des Geburtsdatums zwischen den Buchstaben als beispiel...) . und natürlich ein brauchbares verfahren um sie zu verschlüsseln.

auch total beliebt bei den sql-servern: SA//mySQL ....
Oder admin//db ...

und wenn man als nicht-entscheidungsbefugter sagt man wolle es ändern bekommt man gerne mal vom (ehemaligen) chef eins aufs dach, das wäre ja sicher genug und er müsse sich so schon zu viel merken... wenn dann aber was ist, is man natürlich derjenige der nicht für genug sicherheit gesorgt hat!

ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom Hund, der Tochter usw.
Auch rückte jeder sofort das Passwort raus, oder klebte es an den Schirm, wenn er wusste das ich komme, aber selbst nicht am Platz war.

http://xkcd.com/936/

Genügend, wie man bei der GEMA sieht. Es gab hier bei Golem erst vor einigen Tagen einen Artikel über WLAN-Router von den Telekomikern und von Vodafone. Und wie man in die WLANs eindringen kann, wenn, wie es eben oft passiert, die Standardpaßwörter nicht geändert werden.

Meine Paßwörter für sensible Dinge sind nicht nur sehr lang, sie enthalten auch viele Sonderzeichen, Zahlen und Wörter aus dem Dialekt.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz kompatiblen Gerät sitzt.
Du musst nicht mal ins Ausland, das kann dir auch so passieren.
Und schon kommst nicht mehr rein.
Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.

Wolf als Gast schrieb:
--------------------------------------------------------------------------------
> ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
> Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet
> haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom
> Hund, der Tochter usw.

Was aber an sich erst einmal kein "schwaches" Passwort darstellt. Gerede Wort-Passwörter sind relative brutforcesicher bedingt durch ihre Länge.

Folgendes Bild fällt mir selber dann immer wieder ein:
http://img823.imageshack.us/img823/2092/passwordstrengthe.png


Wenn wir von Regenbogen-Tabellen ausgehen ist es eigentlich egal was für ein Passwort verwendet wurde. Bei Regenbogen-Tabellen hilft einem nur Salz und die Hoffnung dass niemand Zugriff auf das Salz hat. Falls doch kann man nur hoffen dass es erst sehr sehr spät in der Regenbogen-Tabelle eine Kollision auftaucht.

In sofern halte ich immer noch "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres Passwort als "a898nklJHn8HGl7"

Wolf als Gast schrieb:
--------------------------------------------------------------------------------
> Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz
> kompatiblen Gerät sitzt.
> Du musst nicht mal ins Ausland, das kann dir auch so passieren.
> Und schon kommst nicht mehr rein.
> Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.


Wenn Sensieble Systeme aus den Ausland oder ähnlichen erreicht werden können ist das auch fahrlässig

---------------------------------------------------------------------
In 10 Jahren werden Computer 10 x so groß, doppelt so schnell und so teuer sein das nur die 4 reichsten Könige von Europa sich einen leisten können.

Mit Sonderzeichen meinte ich keine sprachspezifischen Sonderzeichen (Umlaute), sondern Anführungszeichen, Klammern und solches „Zeug“, was im allgemeinen Sprachgebrauch bei Laien als Sonderzeichen verstanden wird (speziell Laien muß man das so verständlich machen).

Beispiel: )mU1iCh§4"biet)(sCH#n95

Das frei erfundene Paßwort enthält den bayerischen Begriff für Milchschale/Milchbehältnis mit diversen „Sonderzeichen“ und kann so auf jeder Tastatur mit lateinischen Buchstaben eingegeben werden.

Sitzt man vor einer Tastatur mit arabischen oder asiatischen Schriftzeichen, wird's sowieso unmöglich... Davon abgesehen habe ich mein eigenes Gerät (Telefon/Tablett) dabei, mit welchem ich Zugänge zu meinen „Einrichtungen“ herstellen kann. Also gingen auch deutsche Umlaute, was ich aber trotzdem nicht mache.

_________________________________________________________________
Lesen gefährdet die Dummheit シ

Kennwortrichtlinien sind leider manchmal einfach nicht praktikabel.

Wir haben hier dutzende Anwendungen mit eigener Benutzerverwaltung. Unsere Mitarbeiter laufen den ganzen Tag umher und müssen sich an verschiedenen Systemen anmelden um kurz was einzugeben. Da ist's nicht verwunderlich wenn einfache Kennwörter verwendet werden.
Das schreit nach Biometrie, aber ist bislang an den Kosten gescheitert.

Wolf als Gast schrieb:
--------------------------------------------------------------------------------
> Bist du dann einmal über ein Remoteprogramm oder einem nicht Zeichensatz
> kompatiblen Gerät sitzt.
> Du musst nicht mal ins Ausland, das kann dir auch so passieren.
> Und schon kommst nicht mehr rein.
> Jemand zu Sonderzeichen in Passwörtern zu raten ist fahrlässig.


ich bin linuxer, ssh ist mein zweiter vorname. Dennoch gibt es für remotelogins sichere verfahren, wie zb Signaturbasierte Authentifizierung. und ja, meine passwörter lasen sich allesamt an jedem system verwenden, das über eine eingabe mit lateinischen schriftzeichen verfügt.

Wolf als Gast schrieb:
--------------------------------------------------------------------------------
> ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
> Die Passwörter der Leute, selbst die, welche mit Brisanten Daten gearbeitet
> haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name vom
> Hund, der Tochter usw.
> Auch rückte jeder sofort das Passwort raus, oder klebte es an den Schirm,
> wenn er wusste das ich komme, aber selbst nicht am Platz war.


benutzen sie immernoch Marine01 und Marine12 als defaultpws beim Bund?

Dadie schrieb:
--------------------------------------------------------------------------------
> Wolf als Gast schrieb:
> ---------------------------------------------------------------------------
> -----
> > ich hab in der Grundi vom Bund als Systemadmin gearbeitet.
> > Die Passwörter der Leute, selbst die, welche mit Brisanten Daten
> gearbeitet
> > haben, waren simpel. Oft einfach der Loginname nochmals. Vorname, Name
> vom
> > Hund, der Tochter usw.
>
> Was aber an sich erst einmal kein "schwaches" Passwort darstellt. Gerede
> Wort-Passwörter sind relative brutforcesicher bedingt durch ihre Länge.
>
> Folgendes Bild fällt mir selber dann immer wieder ein:
> img823.imageshack.us
>
> Wenn wir von Regenbogen-Tabellen ausgehen ist es eigentlich egal was für
> ein Passwort verwendet wurde. Bei Regenbogen-Tabellen hilft einem nur Salz
> und die Hoffnung dass niemand Zugriff auf das Salz hat. Falls doch kann man
> nur hoffen dass es erst sehr sehr spät in der Regenbogen-Tabelle eine
> Kollision auftaucht.
>
> In sofern halte ich immer noch
> "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres
> Passwort als "a898nklJHn8HGl7"


das salt darf bekannt sein und ist in der regel bkannt. Selbst wenn der salt bekannt ist, ist eine RT ineffizient, da man sie für den salt komplett neu erstellen müsste, wobei sich dann schon ein direkter Brute-Force angriff wieder eher lohnt

MarcusX schrieb:
--------------------------------------------------------------------------------
> Das schreit nach Biometrie, aber ist bislang an den Kosten gescheitert.

Smartcard? Token? Kostet auch nimmer die Welt.

Gruß
Tantalus

___________________________

Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

Dadie schrieb:
> In sofern halte ich immer noch
> "BuchKatzeWurstbrotmitMettdazuHaustürRechnungHeins" für ein sichereres
> Passwort als "a898nklJHn8HGl7"

Und damit bist Du ganz weit vorn dabei .-))
http://www.faq-o-matic.net/2011/08/11/sichere-kennwrter/
Die Artikel dahinter sind auch nett.

Ich habe mir damals den Spaß erlaubt..in einem Unternehmen mit ca. 400 Mitarbeitern die Windows- und Netzwerkzugangsdaten zu entschlüsseln (lassen) und dabei kam nach rund 1 Stunde heraus, dass 2/3 der User "sommer", "mutter" & co als PW verwenden.

Auch ein Grund warum Beamte auf Windows schwören und sich gerne jeden Scheiß Zertifizieren lassen und an die Wand kleben. Irgendwie muss man die eigene Dummheit ja vertuschen :)

===
In Anbetracht dieses kranken Spinners aus Norwegen habe ich meinem Hasen die Schrotflinte wieder weggenommen.

> Bei Regenbogen-Tabellen hilft einem nur Salz

Wie funktioniert das mit dem "Salz"?

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.