1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Yubikey: Nie mehr schlechte Passwörter

eines hat der Author aber hier schlichtweg nicht erwähnt...

  1. Thema

Neues Thema Ansicht wechseln


  1. eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: glacius 11.05.15 - 23:44

    das die meisten Websieten das Loginpasswort künstlich beschränken. Da kann man dann ncith einmal mehr passwörter länger als 8 Zeichen eingeben oder Sonderzeichen sind nicht erlaubt oder man muss Zahlen eingeben aber darf nur 5 characters eingeben???? und das ist ein weit verbreitetes Problem.
    Da hilft dann nur noch die Passwörter regelmäßig zu ändern und sind wir doch mal ehrlich wer kann und will das schon.
    Dort sollte man ansetzen und nicht bei irgendwelchen Gadgets die passwörter ausspucken und per NFC von aussen erreichbar sind.
    Dann doch lieber die Daten auf nen Stick und den in ne Schunlade irgendwo hinpacken wo nicht gleich jeder drankommt.

  2. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Huetti 12.05.15 - 08:39

    Und wo ist das denn bitte so?

    Ich setze seit ein paar Jahren einen Password-Manager ein und lasse mir für jede einzelne Website ein automatisches Passwort mit 16 Zeichen, bestehend aus Buchstaben, Sonderzeichen und Zahlen in wahlloser Groß-Kleinschreibung erstellen und habe bei ca. 80 Logins nicht einen einzigen Dienst dabei gehabt, der damit ein Problem hätte!

  3. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Nocta 12.05.15 - 08:56

    Es stimmt schon, ich hatte die Erfahrung auch mal gemacht. Aber ich weiß nicht mehr wo. Ich vermute mal, ich habe diesen Dienst erfolgreich aus meinem Gedächtnis getilgt. Sowas kann man dann halt auch nicht verstehen.

    Aber glücklicherweise ist sowas auch die absolute Ausnahme. Wobei man im Internet imho eh nicht viel sicherere Passwörter als zB 8 Zeichen braucht. Was soll schon passieren?

    Szenario 1: Server wird gehackt, Passwörter liegen im Klartext vor oder sind einfach nur schlecht gehasht (md5, kein salt, ...). Dann ist eh egal, wie mein Passwort aussieht. Es ist jetzt beim Angreifer. Optimalerweise nur das eine Passwort, weil ich für jeden Dienst ein anderes nutze *hust*

    Szenario 2: Jemand will mein Passwort bruteforcen. Account wird nach dem 3. mal temporär gesperrt und ich bekomme eine Benachrichtung. Alternativ wird der Account direkt beim ersten Zugriff von einer "fremden IP" gesperrt und der Angreifer kann gar nicht mal einen einzigen Versuch abgeben.
    Vielleicht ist der Dienst etwas toleranter und es lassen sich 100 Passwörter pro Sekunde durchgehen. Abgesehen davon, dass die meisten Server solche Zugriffe irgendwie verbieten sollten, hätte man mit 100 Eingaben pro Sekunde für ein halbwegs vernünftiges 8-stelliges Passwort trotzdem einige Zeit zu kämpfen.

    Für Festplattenverschlüsselug oder so sollte man dann natürlich wieder ein ordentliches Passwort > 8 Zeichen nutzen. Aber bei Online-Diensten sehe ich die Problematik gar nicht mal so sehr, weil selten einfach das Passwort geknackt wird. Man darf natürlich nicht "Password" oder so als Passwort nehmen, das kriegt dann evtl. jemand beim ersten Versuch hin, der einen Angriff über alle Nutzer mit den Top 3 Passwörtern versucht, um ein paar "Dumme DAUs" ihres Accounts zu erleichtern.

  4. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: S-Talker 12.05.15 - 09:45

    Huetti schrieb:
    --------------------------------------------------------------------------------
    > Und wo ist das denn bitte so?
    >
    > Ich setze seit ein paar Jahren einen Password-Manager ein und lasse mir für
    > jede einzelne Website ein automatisches Passwort mit 16 Zeichen, bestehend
    > aus Buchstaben, Sonderzeichen und Zahlen in wahlloser Groß-Kleinschreibung
    > erstellen und habe bei ca. 80 Logins nicht einen einzigen Dienst dabei
    > gehabt, der damit ein Problem hätte!

    Besonders schlimme Fälle, die mir im Gedächtnis geblieben sind:

    Paket.de (hier werden zwar längere Passwörter akzepziert, aber einloggen kann man sich damit dann nicht mehr, beim Einloggen darf man dann nur die ersten 10 oder 12 Zeichen nutzen)

    Verified by VISA (zumindest als ich es das letzte Mal probiert habe, waren quasi fals alle Sonderzeichen nicht erlaubt und die Länge war auf 10 Zeichen begrenzt)

    ...bei beiden habe ich ausgiebig wegen dieser Problematik mit dem Support telefoniert / telefonieren müssen. Im Falle von VISA habe ich meiner Bank auch gleich klar gemacht, dass ich keinen Shop nutzen werde, der dieses System einsetzt. Schlimm genug, dass man damit die Haftung auf den Kunden abwälzen versucht. Aber es dem Kunden auch gleich noch unmöglich machen, ein sicheres Passwort zu nutzen, das ist schon dreist.

    Namentlich fallen mir spontan keine anderen ein, aber in der Regel akzeptieren die Hälfte der Webseiten die Passwörter meines Generators nicht, weil die %*&?=()/ oder auch Leerzeichen enthalten. Es sicheres Zeichen dafür, dass dort Anfänger am Werk waren und/oder Systeme/Komponenten zum Einsatz kommen, die von Anfängern entwickelt wurden. Wenn es nicht unbedingt sein muss, meide ich solche Dienste dann gleich ganz.

  5. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: SchmuseTigger 12.05.15 - 09:53

    glacius schrieb:
    --------------------------------------------------------------------------------

    > Dort sollte man ansetzen und nicht bei irgendwelchen Gadgets die passwörter
    > ausspucken und per NFC von aussen erreichbar sind.
    > Dann doch lieber die Daten auf nen Stick und den in ne Schunlade irgendwo
    > hinpacken wo nicht gleich jeder drankommt.

    Das mit Stick und ohne NFC ist genau so lange interessant wie man kein Smartphone hat. Weil wenn man das ernsthaft nutzt muss man halt irgendwie da das gleiche machen können..

  6. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Huetti 12.05.15 - 17:24

    Okay... ich gebe klein bei. Du hast recht!
    Bei "Verified by Visa" hatte ich das tatsächlich auch. Ja, stimmt.. Hatte ich verdrängt.

    Abgesehen davon scheint dann zumindest der Generator von 1Password relativ gut zu sein, da ich damit bisher sonst nie Probleme hatte.

  7. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Komischer_Phreak 13.05.15 - 15:19

    S-Talker schrieb:
    --------------------------------------------------------------------------------
    > Huetti schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und wo ist das denn bitte so?
    > >
    > > Ich setze seit ein paar Jahren einen Password-Manager ein und lasse mir
    > für
    > > jede einzelne Website ein automatisches Passwort mit 16 Zeichen,
    > bestehend
    > > aus Buchstaben, Sonderzeichen und Zahlen in wahlloser
    > Groß-Kleinschreibung
    > > erstellen und habe bei ca. 80 Logins nicht einen einzigen Dienst dabei
    > > gehabt, der damit ein Problem hätte!
    >
    > Besonders schlimme Fälle, die mir im Gedächtnis geblieben sind:
    >
    > Paket.de (hier werden zwar längere Passwörter akzepziert, aber einloggen
    > kann man sich damit dann nicht mehr, beim Einloggen darf man dann nur die
    > ersten 10 oder 12 Zeichen nutzen)
    >
    > Verified by VISA (zumindest als ich es das letzte Mal probiert habe, waren
    > quasi fals alle Sonderzeichen nicht erlaubt und die Länge war auf 10
    > Zeichen begrenzt)
    >
    > ...bei beiden habe ich ausgiebig wegen dieser Problematik mit dem Support
    > telefoniert / telefonieren müssen. Im Falle von VISA habe ich meiner Bank
    > auch gleich klar gemacht, dass ich keinen Shop nutzen werde, der dieses
    > System einsetzt. Schlimm genug, dass man damit die Haftung auf den Kunden
    > abwälzen versucht. Aber es dem Kunden auch gleich noch unmöglich machen,
    > ein sicheres Passwort zu nutzen, das ist schon dreist.
    >
    > Namentlich fallen mir spontan keine anderen ein, aber in der Regel
    > akzeptieren die Hälfte der Webseiten die Passwörter meines Generators
    > nicht, weil die %*&?=()/ oder auch Leerzeichen enthalten. Es sicheres
    > Zeichen dafür, dass dort Anfänger am Werk waren und/oder
    > Systeme/Komponenten zum Einsatz kommen, die von Anfängern entwickelt
    > wurden. Wenn es nicht unbedingt sein muss, meide ich solche Dienste dann
    > gleich ganz.

    Bei den guten Generatoren wie KeePass kannst Du sagen, welche Zeichen nicht genutzt werden und wie lang das Kennwort max sein darf.

  8. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Nasenbaer 13.05.15 - 22:44

    Huetti schrieb:
    --------------------------------------------------------------------------------
    > Und wo ist das denn bitte so?

    Deutsche Kreditbank (Tochter der BayernLB). PIN muss genau 5 Zeichen lang sein.

    Zugang wird natürlich nach 3 Fehlversuchen in Folge gesperrt, weswegen Brute-Force hier nicht klappen kann aber eine künstliche Begrenzung auf 5 Zeichen ist trotzdem unsinnig und unnötig. So kommen die Leute nur auf die Idee einfach zu erratene PWs zu nutzen, wie Geburtsdatum bei einstelligem Tag oder sowas.

  9. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: dEEkAy 13.05.15 - 23:06

    Huetti schrieb:
    --------------------------------------------------------------------------------
    > Okay... ich gebe klein bei. Du hast recht!
    > Bei "Verified by Visa" hatte ich das tatsächlich auch. Ja, stimmt.. Hatte
    > ich verdrängt.
    >
    > Abgesehen davon scheint dann zumindest der Generator von 1Password relativ
    > gut zu sein, da ich damit bisher sonst nie Probleme hatte.


    ich verwende lastpass.

    kann mich leider nicht mehr erinnern, aber ich hatte schon so tolle webseiten. da kann man zwar passwörter mit beliebiger länge eingeben (50 z.b.), beim einloggen wundert man sich dann aber, dass nichts geht weil man dort nur 20 eingeben kann.

    auf ein paar anderen seiten hatte ich im pw immer ein & als sonderzeichen drin. das wurde zwar beim erstellen des passworts übernommen, beim einloggen hieß es dann aber "ungültiges passwort".

  10. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: plutoniumsulfat 14.05.15 - 01:03

    Das letzte Phänomen weisen auch HDD-Kennwörter diverser Notebooks von gewissen Herstellern auf ;)

  11. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: NIKB 14.05.15 - 02:22

    Nasenbaer schrieb:
    --------------------------------------------------------------------------------
    > Huetti schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und wo ist das denn bitte so?
    >
    > Deutsche Kreditbank (Tochter der BayernLB). PIN muss genau 5 Zeichen lang
    > sein.
    >
    > Zugang wird natürlich nach 3 Fehlversuchen in Folge gesperrt, weswegen
    > Brute-Force hier nicht klappen kann aber eine künstliche Begrenzung auf 5
    > Zeichen ist trotzdem unsinnig und unnötig. So kommen die Leute nur auf die
    > Idee einfach zu erratene PWs zu nutzen, wie Geburtsdatum bei einstelligem
    > Tag oder sowas.
    Es geht hier um die bekloppte PIN...mit der kann man Kontostände sehen und sonst nix...

  12. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: plutoniumsulfat 14.05.15 - 10:13

    Also ich würde nicht wollen, dass andere Leute meinen Kontostand sehen.

  13. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: ShielD 15.05.15 - 10:48

    Huetti schrieb:
    --------------------------------------------------------------------------------
    > Und wo ist das denn bitte so?
    >
    > Ich setze seit ein paar Jahren einen Password-Manager ein und lasse mir für
    > jede einzelne Website ein automatisches Passwort mit 16 Zeichen, bestehend
    > aus Buchstaben, Sonderzeichen und Zahlen in wahlloser Groß-Kleinschreibung
    > erstellen und habe bei ca. 80 Logins nicht einen einzigen Dienst dabei
    > gehabt, der damit ein Problem hätte!

    Ein Beispiel wo es mir passiert ist: outlook.com (oder früher auch hotmail.com), da ich dort in meiner Jugend ein Mailkonto angelegt habe ... außerdem gibt es das Problem bei dem einen oder anderen Gamespublisher (EA, Ubisoft ... -.-")

  14. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: Wooner44 18.05.15 - 09:28

    Dann will ich jetzt auch mal:

    base.de: Genau 8 Zeichen.
    haspa.de (Hamburger Sparkasse): Keine Sonderzeichen
    Rechenzentrum der Uni Hamburg: Zwischen 5 und 8 Zeichen.

    Base sperrt bei Brute Force, Haspa wäre mir nicht bekannt, und das UHH RRZ, nun ja...
    da kann man das Password einer beliebigen Person ändern sobald man ihren (automatisch generierten, nicht zufälligen) Nutzernamen kennt. Einzige Sicherheitsmaßnahme: Ein token, dass beim Aufruf der Änderungsseite übergeben wird.

  15. Re: eines hat der Author aber hier schlichtweg nicht erwähnt...

    Autor: das_mav 25.05.15 - 01:21

    Du redest vom KreditkarteOnline der Haspa? Da kann die HASPA nix für, das ist die Schuld von FirstDataInternational!

    Ich habe jedenfalls bei der HASPA ein Konto und CC's und zumindest beim normalen OnlineBanking gehen sehr wohl Sonderzeichen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Bundesamt für Sicherheit in der Informationstechnik, Bonn
  2. INIT Group, Karlsruhe
  3. Aptar Radolfzell GmbH, Radolfzell / Eigeltingen
  4. Wilhelm Reuss GmbH & Co. KG, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 599€ (mit Rabattcode "PRIMA10" - Bestpreis!)
  2. 599€
  3. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  4. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

iPad Air 2020 im Test: Apples gute Alternative zum iPad Pro
iPad Air 2020 im Test
Apples gute Alternative zum iPad Pro

Das neue iPad Air sieht aus wie ein iPad Pro, unterstützt dasselbe Zubehör, kommt mit einem guten Display und reichlich Rechenleistung. Damit ist es eine ideale Alternative für Apples teuerstes Tablet, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Tablet Apple stellt neues iPad und iPad Air vor

5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster