Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheit: Tag der unsinnigen…

Meine Passwort-Strategie

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Meine Passwort-Strategie

    Autor: KPG 01.02.19 - 12:26

    Ich verwende z.B. "golem.deGeheim2019" oder "google.deGeheim2019"
    Daraus generiere ich einen MD5 und DER ist dann mein Kennwort.
    So muss ich mir nur das Kennwort "Geheim" merken. Die Domain ist ja klar und das Jahr auch.
    Trotzdem habe ich ein superkryptisches Kennwort.

  2. Re: Meine Passwort-Strategie

    Autor: azeu 01.02.19 - 12:32

    Hmmm, wieso bin ich nicht drauf gekommen :)

    DU bist ...

  3. Re: Meine Passwort-Strategie

    Autor: My1 01.02.19 - 13:00

    die idee ist nett aber jedes mal nen md5 generator dabei haben zu müssen nervt, und wie gehst du mit anforderungen an groß/klein und ggf sonderzeichen um? base64 ausgabe?

    Asperger inside(tm)

  4. Re: Meine Passwort-Strategie

    Autor: ConstantinPrime 01.02.19 - 13:02

    Interessantes Thema!
    Ich werde oft von meinen Kollegen nach Passwortstrategien gefragt, weil das mit den unterschiedlichen Passwörtern für alle Dienste ja so schwierig ist.

    Ich persönlich benutze seit über 15 Jahren ein System das zum Einen die meißten "Sicherheitsfeatures" beinhaltet, ich mir aber nie ein Kennwort merken muss.
    Ich bin schon oft auf uralte Anmeldungen gestoßen aber wusste immer das Kennwort^^

    Mein System:
    - Zwei Buchstaben (einer klein einer groß) beziehen sich auf Silben und beschreiben den Dienst z.B. Gg für Google oder gL für Golem usw
    - Dann kommt ein Zahlenblock (mehr wie 6 Stellen) den man nie vergessen kann z.B. ein Datum, eine besondere Uhrzeit, die Zahlen des letzten 6er im Lotto irgend sowas eben. Hauptsache man vergisst es nicht
    - Danach kommt wieder ein 2er Block mit zwei Sonderzeichen (auch immer die gleichen)

    ola' man hat ein immer anderes Kennwort mit mehr als 10 Zeichen, Groß, klein, Alphanumerisch + Sonderzeichen.
    Man muss nur wissen auf welchen Dienst man zugreifen möchte und dem beschreibt man dan halt in silben/abkürzungen, wie man mag.

    Kein merken, Passwortsafe oder Passwort Notitz nötig.

    Wie macht ihr das so?

  5. Re: Meine Passwort-Strategie

    Autor: My1 01.02.19 - 13:05

    nettes system aber ein paar passwortleaks später ist das dann durch.

    Asperger inside(tm)

  6. LessPass :) - Re: Meine Passwort-Strategie

    Autor: Tuxgamer12 01.02.19 - 13:06

    KPG schrieb:
    --------------------------------------------------------------------------------
    > Ich verwende z.B. "golem.deGeheim2019" oder "google.deGeheim2019"
    > Daraus generiere ich einen MD5 und DER ist dann mein Kennwort.
    > So muss ich mir nur das Kennwort "Geheim" merken. Die Domain ist ja klar
    > und das Jahr auch.
    > Trotzdem habe ich ein superkryptisches Kennwort.

    Kann ich nur noch hinzufügen: Das Konzept gibts auch als konfortable Browser-Erweiterung. Nennt sich dann lesspass.

    Mit LessPass hat man dann auch bisschen mehr als ein "einfaches" MD5. Also genau genommen PBKDF2 mit 100,000 Iterationen + sha-256. Und bietet Optionen an für völlig affige Passwortvorgaben, die man gegegentlich sieht.

  7. Re: Meine Passwort-Strategie

    Autor: Tuxgamer12 01.02.19 - 13:07

    My1 schrieb:
    --------------------------------------------------------------------------------
    > die idee ist nett aber jedes mal nen md5 generator dabei haben zu müssen
    > nervt, und wie gehst du mit anforderungen an groß/klein und ggf
    > sonderzeichen um? base64 ausgabe?

    Siehe unten => Einfach LessPass Browser Extension installieren ;).

  8. Re: Meine Passwort-Strategie

    Autor: Bouncy 01.02.19 - 13:51

    KPG schrieb:
    --------------------------------------------------------------------------------
    > Ich verwende z.B. "golem.deGeheim2019" oder "google.deGeheim2019"
    > Daraus generiere ich einen MD5 und DER ist dann mein Kennwort.
    > So muss ich mir nur das Kennwort "Geheim" merken. Die Domain ist ja klar
    > und das Jahr auch.
    > Trotzdem habe ich ein superkryptisches Kennwort.
    Aha, und was genau ist jetzt nochmal der Vorteil gegenüber einem völlig zufällig generierten Passwort eines beliebigen Passwortmanagers? Ob es jetzt auf deinem selbsterdachten Schema oder auf einem Zufallsgenerator basiert ist doch völlig irrelevant (wobei ich mal annehme, dass die gängigen Zufallsgeneratoren wenn auch nicht 100%ig zufällig, so dennoch deutlich zufälliger sind als deine Logik). Ist beides nicht handlebar ohne Zusatztools, also was soll dieser seltsame Aufwand bringen?

  9. Re: Meine Passwort-Strategie

    Autor: Kirschkuchen 01.02.19 - 13:52

    Auch ganz witzig finde ich die Anfangsbuchstaben eines Satzes in das Kennwort einzubauen,

    Das Kennwort hier errät doch keine alte Sau -> dkhedkas -> leicht zu merken: "de ka ha edkas"

    Das ganze garniert mit den oben genannten Tipps für jeden Dienst eine Buchstabenkombination zu nehmen, ein Datum rein und dazwischen Sonderzeichen. Nur so als Idee, tatsächlich ist mein System etwas anders ;)

    Nachteil: kennste eines, kennste alle: Sobald mal ein Halunke dazwischen ist der Kennwörter entgegen aller Ethik im Klartext abspeichert kennt er automatisch dadurch die Kennwörter aller anderen Dienste bei denen das selbe System Anwendung findet.

    Man muss das aber auch danach beurteilen wie kritisch das System ist das benutzt wird. Bei Foren bei denen man sich für nen simplen Download registrieren muss verwende ich meine Spam-Mailadresse und "Geheim!!!111elf" als Kennwort. Mir Latte wenn da was passiert, ich komme sowieso nie wieder.

    Bei Server-Zugängen lasse ich lieber einen Passwort-Manager mit nicht zu merkenden Kennwörtern die Arbeit machen. Da ist auch die Wahrscheinlichkeit gering dass ich in Verlegenheit komme das Kennwort auf einem Smartphone eintippen zu müssen.

  10. Re: Meine Passwort-Strategie

    Autor: ConstantinPrime 01.02.19 - 14:17

    Kirschkuchen schrieb:
    --------------------------------------------------------------------------------

    > Nachteil: kennste eines, kennste alle: Sobald mal ein Halunke dazwischen
    > ist der Kennwörter entgegen aller Ethik im Klartext abspeichert kennt er
    > automatisch dadurch die Kennwörter aller anderen Dienste bei denen das
    > selbe System Anwendung findet.

    Das stimmt natürlich, setzt aber auch voraus, dass er weis welche Dienste ich noch nutze und das es ein Mensch ist um diesen Zusammenhang auch zu verstehen und anzuwenden. Ändert aber natürlich nix an deiner Kernaussage. Wenn ich mal eines von meinen Kennwörtern ändern muss (so wie kürzlich dur die neuen Leaks), hab ich mir auch schon was einfallen lassen. Sollte als der erste Versuch nicht klappen (weil das PW mal geändert wurde), hab ich noch eine zweite Möglichkeit :) die funzt dann :)

    Edit: generell ist das System wohl eher gegen reale Personen in meinem Umfeld anfällig, die es mitbekommen könnten.



    1 mal bearbeitet, zuletzt am 01.02.19 14:18 durch ConstantinPrime.

  11. Re: Meine Passwort-Strategie

    Autor: Janquar 01.02.19 - 14:33

    Am besten finde ich es lange Eselsbrücken zu verwenden. Mit diekuhliefumdenteich hat man alle Sicherheitsbedenken erschlagen. Wäre da nur nicht der Zwang nach Sonderzeichen und Zahlen... der Maschine ist es doch egal und solang es optional möglich ist, bleibt die Zeichenpalette genauso groß.

  12. Re: Meine Passwort-Strategie

    Autor: most 01.02.19 - 14:34

    Was machst Du, wenn Du unterjährig zum Wechsel des Passwortes aufgefordert wirst oder Du es selbst ändern willst aus welchen Gründen auch immer?

    Hin und wieder kommt es auch zu Änderungen der Domain.

  13. Re: Meine Passwort-Strategie

    Autor: most 01.02.19 - 14:35

    Wie viele Eselsbrücken kannst Du Dir merken? Was ist mit den Login IDs? Nicht immer kann oder will man eine E-Mail Adresse nutzen



    1 mal bearbeitet, zuletzt am 01.02.19 14:35 durch most.

  14. Re: Meine Passwort-Strategie

    Autor: Destroyer2442 01.02.19 - 14:44

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Aha, und was genau ist jetzt nochmal der Vorteil gegenüber einem völlig
    > zufällig generierten Passwort eines beliebigen Passwortmanagers?

    Der Vorteil soll sein, dass man sich das Passwort einfach so merken kann(bzw. mit einem einfachen md5-hash generator überall reproduzieren kann) und deshalb keinen Passwortmanager braucht und keinen Passwortsafe dabei haben muss.



    2 mal bearbeitet, zuletzt am 01.02.19 14:46 durch Destroyer2442.

  15. Re: Meine Passwort-Strategie

    Autor: Bouncy 01.02.19 - 15:01

    Destroyer2442 schrieb:
    --------------------------------------------------------------------------------
    > Der Vorteil soll sein, dass man sich das Passwort einfach so merken
    > kann(bzw. mit einem einfachen md5-hash generator überall reproduzieren
    > kann) und deshalb keinen Passwortmanager braucht und keinen Passwortsafe
    > dabei haben muss.
    Einfach so merken? Den Hash??? Und ob du einen MD5-Generator installierst\ansurfst oder Lastpass und Co. installierst bzw. ansurfst, wo ist der Unterschied? Ich seh's nicht...

  16. Re: Meine Passwort-Strategie

    Autor: Destroyer2442 01.02.19 - 15:24

    Der Unterschied in diesem speziellen Fall(Lastpass) wäre dass du keinen Cloud-Anbieter brauchst und du MD5-Hashes von überall generieren kannst (frei verfügbarer Standard) und nicht von einer bestimmten Software abhängig bist.

    Im Allgemeinen ist der Unterschied, dass du dein Passwort nicht zusätzlich irgendwo verschlüsselt speichern musst und/oder dich nicht auf irgendeinen speziellen Anbieter verlassen musst.

    Ich persönlich weiß eigentlich nicht was ich davon halten soll, weil wenn man annimmt, dass der Angreifer die Methode kennt wird das Passwort sehr angreifbar (Im gegensatz zu einem wirklich zufallsgeneriertem Passwort).

  17. Re: Meine Passwort-Strategie

    Autor: Bouncy 01.02.19 - 16:48

    Destroyer2442 schrieb:
    --------------------------------------------------------------------------------
    > Im Allgemeinen ist der Unterschied, dass du dein Passwort nicht zusätzlich
    > irgendwo verschlüsselt speichern musst und/oder dich nicht auf irgendeinen
    > speziellen Anbieter verlassen musst.
    Na gut, also wenn man diesen ganzen Passworttresoren generell sein Misstrauen ausspricht (was ich übrigens auch tue, die werden immer als die ultimative Bastion der Sicherheit dargestellt, ohne dass jemand das hinterfragt...), dann macht es natürlich Sinn. Aber auch nur dann. Und das zu einem ziemlich hohen Preis, was Komfortverlust angeht.
    > Ich persönlich weiß eigentlich nicht was ich davon halten soll, weil wenn
    > man annimmt, dass der Angreifer die Methode kennt wird das Passwort sehr
    > angreifbar (Im gegensatz zu einem wirklich zufallsgeneriertem Passwort).
    Ja sag ich ja, das ist von echtem Zufall ja weit entfernt. Klar, gegen Gelegenheitsdiebe trotzdem völlig ausreichend, aber imho eine eher unnötige Schwächung der Passwörter...

  18. Re: Meine Passwort-Strategie

    Autor: Tuxgamer12 01.02.19 - 17:52

    Kirschkuchen schrieb:
    --------------------------------------------------------------------------------
    > Das ganze garniert mit den oben genannten Tipps für jeden Dienst eine
    > Buchstabenkombination zu nehmen, ein Datum rein und dazwischen
    > Sonderzeichen. Nur so als Idee, tatsächlich ist mein System etwas anders
    > ;)
    >
    > Nachteil: kennste eines, kennste alle: Sobald mal ein Halunke dazwischen
    > ist der Kennwörter entgegen aller Ethik im Klartext abspeichert kennt er
    > automatisch dadurch die Kennwörter aller anderen Dienste bei denen das
    > selbe System Anwendung findet.

    Eben nicht.

    Genau deshalb hasht du doch - selbst wenn der Halunkte dann ein Klartext-Passwort hat, sieht der nur Quark - also den Hash deines Master-Paswortes irgendwie verpappt mit z.B. der Domain, dem Nutzernamen oder Datum.

    > Bei Server-Zugängen lasse ich lieber einen Passwort-Manager mit nicht zu
    > merkenden Kennwörtern die Arbeit machen.

    Bei Server-Zugängen habe ich lieber einen Cryptostick in Hardware an meinem PC/Laptop hängen, der die Arbeit macht ;).

  19. Re: Meine Passwort-Strategie

    Autor: Tuxgamer12 01.02.19 - 18:00

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Und das
    > zu einem ziemlich hohen Preis, was Komfortverlust angeht.

    Nicht wenn du passende Hilfsmittel einsetzt (siehe oben). Ob du dir LastPass installierst oder ob du die LessPass installierst und dort dein Masterpasswort eintippst ist ja wohl nicht der krasse Unterschied.

    > > Ich persönlich weiß eigentlich nicht was ich davon halten soll, weil
    > wenn
    > > man annimmt, dass der Angreifer die Methode kennt wird das Passwort sehr
    > > angreifbar (Im gegensatz zu einem wirklich zufallsgeneriertem Passwort).
    > Ja sag ich ja, das ist von echtem Zufall ja weit entfernt. Klar, gegen
    > Gelegenheitsdiebe trotzdem völlig ausreichend, aber imho eine eher unnötige
    > Schwächung der Passwörter...

    Wenn du ein zufälliges Passwort mit Salt (richtig) hasht - wieso sollte dann das Ergebniss nicht mehr zufällig - gar "von echtem Zufall weit entfernt" - sein?

  20. Re: Meine Passwort-Strategie

    Autor: KPG 01.02.19 - 20:24

    Danke für Eure regen Beiträge.
    Die Antworten wurden von Euch ja schon gegeben:
    - MD5 kann ich überall reproduzieren
    - das aktuelle Kennwort der Seite kann ich mir jederzeit wieder herstellen. Im Urlaub den Schleppi vergessen? Kein Problem: Die Tastenkombination auf einer Website zur md5-Generierung eingegeben und schon habe ich mein Passwort wieder.
    - Die Sicherheitskräfte eines unfreundlichen Landes fragen dich nach dem Kennwort. Antwort: ak347g54... äh, den Rest habe ich vergessen. Sie foltern dich, bis du es rausrückst. Dann ist's allerindgs vorbei mit der Lebendigguckerei.

    golem.deGeheim2019 wird zu 1daf7afcdc1d448a92a8020c967cab03
    Ein gutes Kennwort, außer die Site verlangt auch Großbuchstaben, da ist dann halt der erste Buchstabe dran: 1Daf7afcdc1d448a92a8020c967cab03
    Sonderzeichen? #1Daf7afcdc1d448a92a8020c967cab03
    Das sind drei Versuche maximal. Wer das Kennwort knackt, den nenne ich MacGyver.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. THD - Technische Hochschule Deggendorf, Deggendorf
  2. Medion AG, Essen
  3. Amprion GmbH, Pulheim-Brauweiler
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Smartphones, TVs, Digitalkameras & Tablets reduziert)
  2. 139,99€ (Bestpreis - nach Abzug 20€-Coupon)
  3. 749,00€
  4. 199,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. H2.City Gold: Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
    H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor

    Damit die Luft in Städten besser wird, sollen Busse sauberer werden. Ein neuer Bus aus Portugal mit Brennstoffzellenantrieb emititiert als Abgas nur Wasserdampf.

  2. Ceconomy: Offene Führungskrise bei Media Markt und Saturn
    Ceconomy
    Offene Führungskrise bei Media Markt und Saturn

    Die Diskussion um die mögliche Absetzung von Ceconomy-Chef Jörn Werner sollte eigentlich noch nicht öffentlich werden. Jetzt wissen es alle, und es gibt keinen Nachfolger.

  3. Polizei: Hunde, die nach Datenspeichern schnüffeln
    Polizei
    Hunde, die nach Datenspeichern schnüffeln

    Spürhunde können neben Sprengstoff und Drogen auch Datenspeicher oder Smartphones erschnüffeln. Die Polizei in Nordrhein-Westfalen hat kürzlich ihre frisch ausgebildeten Speicherschnüffler vorgestellt.


  1. 18:18

  2. 18:00

  3. 17:26

  4. 17:07

  5. 16:42

  6. 16:17

  7. 15:56

  8. 15:29