-
XKCD: Password Strength
Autor: hwaescher 03.01.12 - 12:13
Mein erster Gedanke beim Lesen des Artikels:
http://xkcd.com/936/ -
Re: XKCD: Password Strength
Autor: c3rl 03.01.12 - 13:03
Jup. In der Tat eine sehr gute Idee. Ich verwende schon länger 32-40 Stellige Passwörter bei wichtigen Diensten, die halt einfach lustige Sätze sind, mit Sonderzeichen und Zahlen drin ;)
Beispiel: "Bagger(spielen&UnrealTournament)WTF<<"
Sowas ist mit aktueller Technik unknackbar und zumindest ich kann mir sowas sehr leicht und gut merken.
2 mal bearbeitet, zuletzt am 03.01.12 13:06 durch c3rl. -
Re: XKCD: Password Strength
Autor: .02 Cents 03.01.12 - 13:22
Ich finde das mit der Passwortsicherheit ja nicht vollkommen unwichtig, aber gerade bei Web Diensten muss das Passwort auch "praktikabel" sein. Passwortmanager helfen da auch nicht viel, da ich solche Dienste auf unterschiedlichen Geräten / Plattformen nutzen will.
Ich handhabe daher meine Passwörter nach Klassifizierung: Einfache Foren (irgendwas Themen spezifisches o.ä.) Login = Passwort. Foren wie dieses: sicheres 8 stelliges Standard Passwort. DIenste mit meinem Klarnamen (Mail, Xing o.ä.) oder Bezahlfunktion (Amazon): Individualisierung des Standard Passwortes (um den Dienstnamen ergänzt, Zähler bzw Datum der letzten Änderung).
So habe ich ein einigermassen übersichtliches Schema, nach dem von mir wahrgenommenen Risiko abgestuft, und kann mir trotzdem unterschiedliche Passwörter merken bzw wiederherstellen. -
Re: XKCD: Password Strength
Autor: Dendamin 03.01.12 - 13:29
c3rl schrieb:
--------------------------------------------------------------------------------
> Jup. In der Tat eine sehr gute Idee. Ich verwende schon länger 32-40
> Stellige Passwörter bei wichtigen Diensten, die halt einfach lustige Sätze
> sind, mit Sonderzeichen und Zahlen drin ;)
>
> Beispiel: "Bagger(spielen&UnrealTournament)WTF<<"
>
> Sowas ist mit aktueller Technik unknackbar und zumindest ich kann mir sowas
> sehr leicht und gut merken.
Die Sonderzeichen machen das ganze auch hier nur wieder unnötig kompliziert. Warum nicht einfach "Ickeschpielgernbaggerundunrealtournament" ? Ich machs mir da besonders einfach, indem ich auf schweizerdeutsch irgend einen Satz kreiere, die Wörter stehen bestimmt in keinem Wörterbuch. ;-) Bei euch gibts ja auch mehr als genug kryptische Dialekte für solche Zwecke.
Grüsse! -
Re: XKCD: Password Strength
Autor: Gâteaux 03.01.12 - 13:34
Jeder Wörterbuchangriff wird auch sinnlos wenn man Groß- und Kleinschreibung and bestimmten stellen verändert.
Ich probier mal was irres:
"WeißwurstäquatOrkOmpassnadel" -
Re: XKCD: Password Strength
Autor: Mansii 03.01.12 - 13:34
Vor allem werden Sonderzeichen ja nicht überall akzeptiert.
-
Re: XKCD: Password Strength
Autor: Dendamin 03.01.12 - 13:38
Gâteaux schrieb:
--------------------------------------------------------------------------------
> Jeder Wörterbuchangriff wird auch sinnlos wenn man Groß- und
> Kleinschreibung and bestimmten stellen verändert.
>
> Ich probier mal was irres:
> "WeißwurstäquatOrkOmpassnadel"
Wie gesagt, sich das zu merken ist ungefähr 10 mal schwieriger, und trotzdem kein stück sicherer. Ist das wort/der satz genug lang, ist das Passwort sicher.
Edit: Wer sagt dir überhaupt mit Sicherheit, dass der Webserver dein Passwort nicht einfach in Kleinschreibung hinterlegt? Das liegt alleine in der Hand des Betreibers.
1 mal bearbeitet, zuletzt am 03.01.12 13:41 durch Dendamin. -
Re: XKCD: Password Strength
Autor: Der ohne Name 03.01.12 - 13:44
Gâteaux schrieb:
--------------------------------------------------------------------------------
> Jeder Wörterbuchangriff wird auch sinnlos wenn man Groß- und
> Kleinschreibung and bestimmten stellen verändert.
>
> Ich probier mal was irres:
> "WeißwurstäquatOrkOmpassnadel"
Oder man stellt die Tastatur auf chinesisch und tippt dann ein deutsches 'Autobahn' o.ä. -
Re: XKCD: Password Strength
Autor: Gâteaux 03.01.12 - 13:52
Dendamin schrieb:
--------------------------------------------------------------------------------
> Edit: Wer sagt dir überhaupt mit Sicherheit, dass der Webserver dein
> Passwort nicht einfach in Kleinschreibung hinterlegt? Das liegt alleine in
> der Hand des Betreibers.
Oh wie geschickt man mich verunsichern will. Ich gebe das PW als Test einfach mit anderer Groß- /Kleinschr. ein und schon weiss ich ob ich mich noch einloggen kann.
Macht der Webserver KEINEN unterschied wird gleich mal gewechselt weil dort offensichtlich Dilettanten am Werk sind. -
Re: XKCD: Password Strength
Autor: LH 03.01.12 - 13:52
Dendamin schrieb:
--------------------------------------------------------------------------------
> Ist das wort/der satz genug lang, ist das Passwort sicher.
Das kann ein Trugschluss sein. Das ist nur der Fall, wenn man ihn nicht vorhersagen kann. Sätze aus 4 einfachen Wörtern, wie im Comic, wären z.B. jetzt sehr unsicher. -
Re: XKCD: Password Strength
Autor: keksperte 03.01.12 - 14:00
Mansii schrieb:
--------------------------------------------------------------------------------
> Vor allem werden Sonderzeichen ja nicht überall akzeptiert.
So sieht's nämlich aus! Habe mich damals von der DHL-PackStation (zusammen mit meinpaket.de) wieder abgemeldet, als ich auf ein sichereres Passwort umstellen wollte, dies mir aber immer als unsicher angezeigt wurde. Der Support teilte mir daraufhin mit, daß ich nicht mehr als 13 Zeichen und nur eine Handvoll vordefinierter Sonderzeichen verwenden darf. Sorry, dafür habe ich keinerlei Verständnis. Hole ich die Pakete eben wieder auf dem Amt ab... -
Re: XKCD: Password Strength
Autor: Gâteaux 03.01.12 - 14:01
LH schrieb:
--------------------------------------------------------------------------------
> Dendamin schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ist das wort/der satz genug lang, ist das Passwort sicher.
>
> Das kann ein Trugschluss sein. Das ist nur der Fall, wenn man ihn nicht
> vorhersagen kann. Sätze aus 4 einfachen Wörtern, wie im Comic, wären z.B.
> jetzt sehr unsicher.
Es ist auch ein Trugschluss zu Glauben ein rein zufälliges PW wäre sicherer, denn ein PC kann nach der Hälfte aller möglichen Kombinationen die richtige Eine bereits erraten haben.
Wörterbuchangriffe scheitern bereits an willkürlicher Groß-/Kleinschr.
Das Wort HaUstür steht nicht in dieser Form im Wörterbuch. Ein allumfassendes Wörterbuch das jede Variation berücksichtigt existiert aufgrund des Umfangs nicht.
Meine Behauptung das 4 Wörter mit willkürlich gesetzter Groß-/Kleinschr. sicher sind ist bis jetzt nicht widerlegt ;)
EDIT: sofern die Wörter lang genug sind natürlich nur
1 mal bearbeitet, zuletzt am 03.01.12 14:04 durch Gâteaux. -
Re: XKCD: Password Strength
Autor: samy 03.01.12 - 14:08
c3rl schrieb:
--------------------------------------------------------------------------------
> Jup. In der Tat eine sehr gute Idee. Ich verwende schon länger 32-40
> Stellige Passwörter bei wichtigen Diensten, die halt einfach lustige Sätze
> sind, mit Sonderzeichen und Zahlen drin ;)
>
> Beispiel: "Bagger(spielen&UnrealTournament)WTF<<"
>
> Sowas ist mit aktueller Technik unknackbar und zumindest ich kann mir sowas
> sehr leicht und gut merken.
Ich verwende für wichtige Dienste KeespasX, Passwörter wären z.B.
2GY~53UMhk)Cmq8['Fdp*>-3CnR^mw(N{;_aNom]
Das soll mal jemand in 10 Senkunden erraten ^^
Gerade gefunden:
https://passwortcheck.datenschutz.ch/
(rechts der Passwort-Check)
-------------------------------------------------
Für offene Standards
-------------------------------------------------
1 mal bearbeitet, zuletzt am 03.01.12 14:12 durch samy. -
Re: XKCD: Password Strength
Autor: Gâteaux 03.01.12 - 14:12
samy schrieb:
--------------------------------------------------------------------------------
> Ich verwende für wichtige Dienste KeespasX, Passwörter wären z.B.
> 2GY~53UMhk)Cmq8['Fdp*>-3CnR^mw(N{;_aNom]
>
> Das soll mal jemand in 10 Senkunden erraten ^^
What the? Und das kannst du dir merken? Hast du zufällig du ein Supergedächtnis und kannst Pi bis zur 1000sten Nachkommastelle?
Meinen Respekt! Wahrscheinlicher ist das du solche PWs nur an deinen eigenen Rechnern verwendest wo sie in irgendeiner Form physikalisch gespeichert sind.
Ergo musst du auf diese Dienste überall sonst wo verzichten, wenn du nicht einen Laptop/USB-Stick mit nimmst.
3 mal bearbeitet, zuletzt am 03.01.12 14:15 durch Gâteaux. -
Re: XKCD: Password Strength
Autor: Autor-Free 03.01.12 - 14:16
Gâteaux schrieb:
--------------------------------------------------------------------------------
> samy schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich verwende für wichtige Dienste KeespasX, Passwörter wären z.B.
> > 2GY~53UMhk)Cmq8['Fdp*>-3CnR^mw(N{;_aNom]
> >
> > Das soll mal jemand in 10 Senkunden erraten ^^
>
> What the? Und das kannst du dir merken? Hast du zufällig du ein
> Supergedächtnis und kannst Pi bis zur 1000sten Nachkommastelle?
>
> Meinen Respekt! Wahrscheinlicher ist das du solche PWs nur an deinen
> eigenen Rechnern verwendest wo sie in irgendeiner Form physikalisch
> gespeichert sind.
Er verwendet, genauso wie ich, einen Passwort-Manager namens KeePassx. Der Merkt sich das Kennwort für ihn/mich. Du merkst dir 1-10 Passwörter(Truecrypt-Container im Truecrypt-Container im Truecrypt-Container liegt mein verschlüsseltes Passwortfile.) Sprich 4-Kennwörter nach dem einloggen im Rechner eingeben, dann für jedes mal einloggen irgendwo nur noch eines und zwar das zu meinem Passwortmanager).
teKKno -
Re: XKCD: Password Strength
Autor: samy 03.01.12 - 14:17
Gâteaux schrieb:
--------------------------------------------------------------------------------
> Meinen Respekt! Wahrscheinlicher ist das du solche PWs nur an deinen
> eigenen Rechnern verwendest wo sie in irgendeiner Form physikalisch
> gespeichert sind.
Jupp. Wie schon gesagt. KeepassX, die Passwörter liegen verschlüsselt auf der Platte, mit einem Passwort gesichert, okay nicht ganz so kompliziert aber auch nicht leicht...
Die Database wird auf mein Smartphone gesynct, so dass ich es auch dort verwenden kann. Programme gibts für Mac/Windows/Linux könnte man also auch auf den Stick machen, wenn man ubedingt von fremden Rechner zugreifen muss... In der Regel kann ich das Unterwegs auch vom Smartphone...
-------------------------------------------------
Für offene Standards
------------------------------------------------- -
Re: XKCD: Password Strength
Autor: ssssssssssssssssssss 03.01.12 - 14:22
Ich benutze Herr der Ringe als Passwort.
Aber nur die ersten beiden Teile, danach gings bergab... -
Re: XKCD: Password Strength
Autor: LH 03.01.12 - 14:29
Gâteaux schrieb:
--------------------------------------------------------------------------------
> Es ist auch ein Trugschluss zu Glauben ein rein zufälliges PW wäre
> sicherer, denn ein PC kann nach der Hälfte aller möglichen Kombinationen
> die richtige Eine bereits erraten haben.
Dir ist hoffentlich klar das "die hälfte" bei einer größeren Anzahl von Kombinationen auch später kommt.
Zufallstreffer sind immer möglich, selbst ein 1000 stelliges Passwort mit allen erlaubten Zeichen kann beim ersten Versuch erraten werden. Wichtig für die Frage der Sicherheit ist das aber nicht.
> Meine Behauptung das 4 Wörter mit willkürlich gesetzter Groß-/Kleinschr.
> sicher sind ist bis jetzt nicht widerlegt ;)
Worauf ich hinaus will ist nicht die Frage ob ein spezieller Ansatz sicher ist, sondern das es unsicher ist wenn alle das gleiche tun.
Siehe den Comic: Das erste Passwort wäre an sich absolut sicher, es wird aber dadurch Unsicher das man das Prinzip hinter dem Passwort kennt. Und viele gehen halt nach dem gleichen Prinzip vor.
Da ist die Länge des Passwortes auch egal. Die Sicherheit sinkt, durch die Kenntnis des Prinzips hinter dem Passwort. Da kann es auch 100 stellen lang sein, wenn der Angreifer ahnen kann das es aus 50x "ab" besteht, dann ist das nicht sicher. -
Re: XKCD: Password Strength
Autor: Gâteaux 03.01.12 - 14:29
Autor-Free schrieb:
--------------------------------------------------------------------------------
> Er verwendet, genauso wie ich, einen Passwort-Manager namens KeePassx. Der
> Merkt sich das Kennwort für ihn/mich. Du merkst dir 1-10
> Passwörter(Truecrypt-Container im Truecrypt-Container im
> Truecrypt-Container liegt mein verschlüsseltes Passwortfile.) Sprich
> 4-Kennwörter nach dem einloggen im Rechner eingeben, dann für jedes mal
> einloggen irgendwo nur noch eines und zwar das zu meinem Passwortmanager).
Klingt gut, aber liegen dann die PWs nicht zumindest zeitweise entschlüsselt im RAM? Ich meine selbst wenn nicht, wo ist der Sicherheitsgewinn? Könnte nicht irgendein BlackHat ein Rootkit oder Trojaner dafür schreiben?
Genau wie ein Programm das speziell nur Firefox PWs ausliest könnte man auch eines für KeePassx coden oder irre ich mich? -
Re: XKCD: Password Strength
Autor: chrulri 03.01.12 - 14:33
Dann kann ich auch gleich einen Keyboardlogger einschleusen und dein Getippse aufzeichen, macht das Merken von Passwörtern auch nicht sicherer.
Wenn dir ein Rootkit installiert wurde, hast du eh verloren, egal wie sicher oder gesichert deine Passwörter sind.



