1. Foren
  2. Kommentare
  3. Applikationen-Forum
  4. Alle Kommentare zum Artikel
  5. › IT-Security: Wie Hacking…

Lorenzo hat ein gutes Passwort!

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Lorenzo hat ein gutes Passwort!

    Autor: Cologne_Muc 19.04.16 - 08:29

    "L0r3nz0123!"

    11 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen. Es bedient sich jedem Zeichenpool und besteht aus über 10 Buchstaben, was derzeit lt. c't ein sicheres Passwort darstellt. Wenn das nicht zufällig in einer Wordlist steht, weil viele Lorenzos auf der Welt so ihr Passwort erstellen, dann rechnet da Brute Force schon recht lange dran...

  2. Re: Lorenzo hat ein gutes Passwort!

    Autor: Graveangel 19.04.16 - 08:48

    Cologne_Muc schrieb:
    --------------------------------------------------------------------------------
    > "L0r3nz0123!"
    >
    > 11 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen. Es
    > bedient sich jedem Zeichenpool und besteht aus über 10 Buchstaben, was
    > derzeit lt. c't ein sicheres Passwort darstellt. Wenn das nicht zufällig in
    > einer Wordlist steht, weil viele Lorenzos auf der Welt so ihr Passwort
    > erstellen, dann rechnet da Brute Force schon recht lange dran...


    Gängige Substitution von Buchstaben (O zu 0, es zu 3).
    Ausgang ist sein Name und 123 am Ende gefolgt von einem "!".
    Das Ausrufezeichen ist ein gängiger Anhang, wenn man gezwungen ist ein Sonderzeichen zu nutzen.

    Man hätte es raten können.

  3. Re: Lorenzo hat ein gutes Passwort!

    Autor: der_wahre_hannes 19.04.16 - 08:57

    Da sind einige geniale Passwörter drin.

    P4ssword, A!e$$andra, Blackou7... oh weiha.

  4. Re: Lorenzo hat ein gutes Passwort!

    Autor: S-Talker 19.04.16 - 09:13

    Cologne_Muc schrieb:
    --------------------------------------------------------------------------------
    > "L0r3nz0123!"
    >
    > 11 Zeichen, Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen. Es
    > bedient sich jedem Zeichenpool und besteht aus über 10 Buchstaben, was
    > derzeit lt. c't ein sicheres Passwort darstellt.

    Nein, es ist das perfekte Beispiel dafür, dass solche dämlichen Passwort-Regeln völliger Unfug sind.

    > Wenn das nicht zufällig in
    > einer Wordlist steht, weil viele Lorenzos auf der Welt so ihr Passwort
    > erstellen, dann rechnet da Brute Force schon recht lange dran...

    Normales Bruteforce ist aber kein relevantes Szenario. I.d.R. werden die Passwörter eh direkt in Erfahrung gebracht - wie hier geschehen. Oder es werden Dictionary-Angriffe gefahren, die natürlich diverse Angewohnheiten wie e->3, a->4, a->@, anhängen oder voranstellen von Zahlen (sinnvolle Jahreszahlen werden zuerst probiert) und die beliebtesten Sonderzeichen berücksichtigen.

    Selbst wenn er nicht seinen eigenen Vornahmen benutzt hätte wären wohl keine Millionen Versuche nötig gewesen, um das PW zu erraten. Aber mit seinem Namen in l33t-speak und 123! hinten dran. Das wäre wohl definitiv unter den ersten 100 Versuchen erraten.

  5. Re: Lorenzo hat ein gutes Passwort!

    Autor: Moe479 19.04.16 - 09:19

    das problem ist, das viele davon auf gängigen passwortlisten stehen dürften...

    aber ich kenne das verwendete anmeldesystem nicht, wenn z.b. nach 3 dem dritten fehlversuch der account gesperrt wird haben selbst oft verwendete passwörter eine gute chanche nicht unter den ersten dreien auf einer verwendeten liste zu sein, es sei denn natürlich die liste ist sehr kurz ;-)

  6. Re: Lorenzo hat ein gutes Passwort!

    Autor: S-Talker 19.04.16 - 09:31

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > das problem ist, das viele davon auf gängigen passwortlisten stehen
    > dürften...
    >
    > aber ich kenne das verwendete anmeldesystem nicht, wenn z.b. nach 3 dem
    > dritten fehlversuch der account gesperrt wird haben selbst oft verwendete
    > passwörter eine gute chanche nicht unter den ersten dreien auf einer
    > verwendeten liste zu sein, es sei denn natürlich die liste ist sehr kurz
    > ;-)

    Die Passwörter stehen aber immer irgendwo gehasht. Wenn man weiß wo und eh schon im System ist, kann man so oft probieren, wie man möchte.

  7. Re: Lorenzo hat ein gutes Passwort!

    Autor: tKahner 19.04.16 - 09:35

    Cologne_Muc hat Recht!
    L0r3nz0123! IST ein sehr gutes Passwort, denn es erfüllt aller Kriterien!

    Es hat ein maximal umfangreiches Alphabet und ist ausreichend lang. Dieses ganze "Ein gutes Passwort ist nur dann ein gutes Passwort, wenn man es sich selbst nicht merken kann" ist doch nur Ausdruck reflexhaften geäußerten Halbwissens.

    Vor lauter Aufregung ist den Experten nämlich entgangen, dass die Passwörter nicht ge-Brute-Forced/ge-Rain-Bow-Tabled wurden, sondern via Key-Logger mitgelesen. Wo bitteschön soll bei einem via Key-Logger mitgeschnittenem Passwort die Sicherheit sein - Salt/Pepper Blah - Substitution - Rah - Passwortlisten - Schmah! Herrscht unter den Experten etwa die Ansicht, dass ein gutes Passwort erst dann gut ist, wenn es einen Key-Logger überfordert? Respekt!!

    Jeder, der hier hämisch Nachhilfe fordert, hat doch selbst kein besseres Passwort! Seine/ihre Admins / Systementwickler & -implementierer haben einfach einen besseren Job gemacht oder er/sie war einfach nicht interessant genug für den Aufwand. Letzteres wird wohl in der Praxis der wahre Grund sein, warum sich hier die meisten derart aus dem Fenster lehnen!

    Also mal besser die Füße stillhalten und aus der Causa etwas lernen!

  8. Re: Lorenzo hat ein gutes Passwort!

    Autor: wikwam 19.04.16 - 13:39

    tKahner schrieb:
    --------------------------------------------------------------------------------
    > Vor lauter Aufregung ist den Experten nämlich entgangen, dass die
    > Passwörter nicht ge-Brute-Forced/ge-Rain-Bow-Tabled wurden, sondern via
    > Key-Logger mitgelesen. Wo bitteschön soll bei einem via Key-Logger
    > mitgeschnittenem Passwort die Sicherheit sein - Salt/Pepper Blah -
    > Substitution - Rah - Passwortlisten - Schmah! Herrscht unter den Experten
    > etwa die Ansicht, dass ein gutes Passwort erst dann gut ist, wenn es einen
    > Key-Logger überfordert? Respekt!!
    >
    > Jeder, der hier hämisch Nachhilfe fordert, hat doch selbst kein besseres
    > Passwort!

    Meine Worte .. Danke ..

    Die Börse macht die Meldungen oder hinterher sind alle schlauer oder will jemand raten, welches Passwort ich habe: WIKWAM (3 Versuche).

  9. Re: Lorenzo hat ein gutes Passwort!

    Autor: Salzbretzel 19.04.16 - 16:40

    Passwörter sollten schon vergleichsweise lang sein. Aber wichtiger sollte sein das sich Passwörter auch merken lassen.

    Ich kenne es in einer Firma. Da sieht das Passwort so aus:
    [selben 4 zeichen][Jahr][Monat][Ausrufezeichen]
    Kuku1604!

    Deswegen schlage ich gerne mal Passwörter vor.
    KommteinPferdineineBarunddasum12!
    (Beispiel)
    Ja, das ist auch nicht das perfekte Passwort. Aber es ist im Hirn speicherbar.
    Besser wäre natürlich wenn jeder Passwörter aus den Zufallsgenerator nutzen würde und sich das auch merken würde. Aber das tun die Menschen nicht.

  10. Passwörter merken

    Autor: Fox85 19.04.16 - 17:26

    Also mal abgesehen das die Passwortlänge etc.. egal ist, wenn Keylogger zum Einsatz kommen verstehe ich nicht warum zumindest im Privatbereich noch so wenig Leute Lösungen wie etwa Securesafe verwenden.

    Ich muss mir dabei genau ein gutes Passwort merken und der Rest liegt in Rechenzentren in ehem. Schweizer Militärbunkern und entsprechen Bankenstandard. Ich kann von jedem Device offline/online mit 2stufigem Login (Fingerprint und/oder Passwort z.B am iPhone) darauf zugreifen und die Daten sind AES-256 verschlüsselt. Beim Transfer im Onlinemodus wird eine Kombi aus SSL+AES-256 verwendet und kein PW direkt übertragen. Zugangsdaten für Online Banking etc.. habe ich da zwar auch nicht drin aber Mailkonten etc.. machen durchaus Sinn und für die Verwendung kopier ich das aus der App oder dem Browser direkt in die Passwortfelder fertig..

  11. Re: Lorenzo hat ein gutes Passwort!

    Autor: Wallbreaker 19.04.16 - 21:34

    Völlig richtig. Ist ein aktiver Keylogger im Spiel, dann ist ausnahmslos jedes Passwort unsicher. Und sei es noch so komplex und von mir aus 40 Stellen lang, es ist vom Tisch.
    Allerdings gäbe es evtl. Passwörter die auch sicher vor Keyloggern wären. Sofern man Konsolenbefehle als Passwörter nutzt.

    Sagen wir mal: "rm -rf /home/user/../../DATEI" oder "for (i=0; i<=10; i++); do ....; done"

    Wäre garantiert einfach zu merken und sehr komplex. Aber das Beste daran ist, es sind logische Systemeingaben, die außerordentlich unwahrscheinlich als Passwort wahrgenommen werden. Wenn die Zeile dann noch einem logischen Zweck folgt und nicht nur Nonsens darstelt, dann könnte das ziemlich hilfreich sein. Zumal es auch oft eingegeben nicht auffällt. ;)
    Nur grundsätzlich sollte es natürlich vermieden werden, dass ein Keylogger je so weit kommen kann. ;D



    2 mal bearbeitet, zuletzt am 19.04.16 21:38 durch Wallbreaker.

  12. Re: Lorenzo hat ein gutes Passwort!

    Autor: Crass Spektakel 20.04.16 - 11:00

    Salzbretzel schrieb:
    --------------------------------------------------------------------------------
    > Passwörter sollten schon vergleichsweise lang sein. Aber wichtiger sollte
    > sein das sich Passwörter auch merken lassen.
    >
    > Ich kenne es in einer Firma. Da sieht das Passwort so aus:
    >
    > Kuku1604!

    Solche Semialgorithmischen Passwörter kenne ich auch bei einigen Kunden. So ganz vermeiden lässt sich das nicht (hoher menschlicher Widerstand) aber immerhin kann man z.B. Regeln einführen wie "MA=Januar" "NB=Februar" und "alle Monatstage + 45". Im Beispiel kommt man dann auf KuKu61PD! - dabei kann man pro "Bereich" einen eigenen Modifikator vorgeben, im obigem Beispiel wäre das "MA für Monat, 45 für Tag".

    Besser ist natürlich Passwortsafe.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Programmierer:in / Entwickler:in (Citizen Developer) (m/w/d)
    STRABAG AG, Hannover
  2. Junior ERP Manager / Inhouse Consultant (m/w/d) Focus NetSuite
    myneva Group GmbH, Hamburg, Remote, Homeoffice
  3. IT-Mitarbeiter (m/w/d) 1st and 2nd Level Support
    RAMPF Holding GmbH & Co. KG, Grafenberg (bei Metzingen)
  4. Product Owner / Anforderungsmanager - Digitale Bildungsprojekte (w/m/d)
    Dataport, verschiedene Standorte

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. ab 69,99€ (inkl. digitaler Bonusinhalte + Lanyard im God of War-Design)
  2. 89,98€ (UVP 159€)
  3. (stündlich aktualisiert)
  4. 8,49€ (UVP 89€)


Haben wir etwas übersehen?

E-Mail an news@golem.de