1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Lange Passwörter

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Lange Passwörter

    Autor: David64Bit 08.04.19 - 12:50

    Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!

    Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000 versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400 Tredezilliarden Jahre sein.

    Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit benötigen, besonders mit Trennern...

    Ich benutze inzwischen nur noch solche Fantasie Kombinationen mit absichtlichen Schreibfehlern. Mein Masterpasswort für den Passwortmanager hat auch weit über 40 Zeichen.

  2. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 14:31

    >mit absichtlichen Schreibfehlern.
    Hauptsache du kannst dir diese dann auch merken. Sowas würde mir bei entsprechend vielen Varianten dann langsam Probleme bereiten.

    Ich nutze simple Passwörter, wo es um nichts geht. Und gute dort, wo es um etwas geht.
    Also in irgendwelchen Foren wie hier etwa ist es völlig wumpe, ob der Account mal 10h geklaut wird oder nicht - auch wenn es noch nie zu soetwas kam.
    Wenn hingegen bei Amazon 500 Sachen bestellt werden...

  3. Re: Lange Passwörter

    Autor: David64Bit 08.04.19 - 16:24

    Ich benutze trotzdem einen Passwortmanager - geht hautpsächlich auch darum, dass wenn man das Passwort doch mal eintippen muss (z.B. irgend ein Konsolenfenster, was kein Copy-Paste unterstützt), das relativ einfach möglich ist.

    Aber ja - das mache ich genau so. Wichtig ist halt für die verschiedenen Accounts auch verschiedene Passwörter zu nutzen, dann ist das tatsächlich Egal, weil damit nicht wirklich was angefangen werden kann.



    1 mal bearbeitet, zuletzt am 08.04.19 16:25 durch David64Bit.

  4. Re: Lange Passwörter

    Autor: violator 08.04.19 - 16:33

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze simple Passwörter, wo es um nichts geht.

    Aber das ist ja der Gag an langen Passwörtern aus mehreren Wörtern, dass sie auch sicher sind, wenn sie simpel sind.

  5. Re: Lange Passwörter

    Autor: SchrubbelDrubbel 08.04.19 - 20:52

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >

    Warum so schwer? Einfach salzen...

  6. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 23:09

    Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200 Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie sie hier schön thematisiert wurden?
    Ne...
    Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht sein.

  7. Re: Lange Passwörter

    Autor: Andrej553 09.04.19 - 11:07

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200
    > Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie
    > sie hier schön thematisiert wurden?
    > Ne...
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Da hatte ich diesbezüglich sogar schon angerufen. Antwort: Ich könne ja meinen Benutzernamen ändern, (was ich sowieso gemacht habe. Ich meine die Kontonummer allein als Username?!? Und dann 5 Zeichen PW?) das wäre dann sicher.

  8. Passwort nur mäßig gut.

    Autor: FaLLoC 09.04.19 - 12:46

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >
    > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > Tredezilliarden Jahre sein.

    Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das Passwort ziemlich sicher sein.

    > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > benötigen, besonders mit Trennern...

    Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere Wörterbuchangriffe berücksichtigen übliche Schreibfehler und Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b), Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig gerechnet.

    Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht gut.

    --
    FaLLoC

  9. Re: Passwort nur mäßig gut.

    Autor: David64Bit 09.04.19 - 18:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die Algorithmen nicht drauf programmiert werden, diesen nicht passenden Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter. Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst bzw. ausgetauscht wurde.

  10. Re: Passwort nur mäßig gut.

    Autor: gaym0r 10.04.19 - 08:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > David64Bit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    > >
    > > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > > Tredezilliarden Jahre sein.
    >
    > Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das
    > Passwort ziemlich sicher sein.
    >
    > > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > > benötigen, besonders mit Trennern...
    >
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Das funktioniert wenn dein Tool ungefähr weiß wie das Passwort aufgebaut ist. Weiß es aber nicht. Es sucht quasi die Nadel im Heuhaufen.

  11. Re: Lange Passwörter

    Autor: gaym0r 10.04.19 - 08:17

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Sind immer noch Millionen Kombination und nach 3 versuchen ist Schluss.

  12. Re: Lange Passwörter

    Autor: nehana 10.04.19 - 13:05

    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen

    Und du glaubst wirklich, du bekommst eine Art Feedback wie "Das erste Wort ist richtig", oder "die ersten 30 Stellen stimmen"? Oder auch nur die richtige Länge des Passwortes? Die Wörterbuchsuche funktioniert nur, wenn das gesamte Konstrukt vorhanden ist. Deswegen reicht es auch völlig z.B. Leberwurstbanane zu schreiben. Auch die absichtlichen Rechtschreibfehler sind völlig zweckfrei und unnötig.

  13. Re: Passwort nur mäßig gut.

    Autor: deadjoe 25.04.19 - 18:45

    dafür gibts doch den levensteihn dings algorythmus....oder eben soundex

    Sollte man koppeln, dann kann man dem Teil beibringen die 10 wahrscheinlichsten angenäherten werte zu testen, is auch egal wo dein schreibfehler dann ist :-)

  14. Re: Passwort nur mäßig gut.

    Autor: FaLLoC 08.07.19 - 12:15

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > FaLLoC schrieb:
    > ---------------------------------------------------------------------------
    > > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > > reduziert sich Dein Passwort auf die Kombination von zwei
    > > Wörterbuchwörtern
    > > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > > gerechnet.
    > >
    > > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > > gut.
    >
    > Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im
    > Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die
    > Algorithmen nicht drauf programmiert werden, diesen nicht passenden
    > Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter.
    > Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst
    > bzw. ausgetauscht wurde.

    Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte Wörterbuchangriffe tun genau das: übliche nichtpassende Buchstaben zu ersetzen. Die Vier Tage Berechnungszeit berücksichtigen bereits deine eingebauten Schreibfehler.

    --
    FaLLoC

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, München, Nürnberg
  2. August Storck KG, Halle (Westf.)
  3. CipSoft GmbH, Regensburg
  4. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
KI-Startup
Regierung bestätigt Treffen mit Augustus Intelligence

Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
Ein Bericht von Friedhelm Greis

  1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
  2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
  3. KI Software erfindet Wörter und passende Definitionen dazu

HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
HTTPS/TLS
Zwischenzertifikate von Tausenden Webseiten fehlerhaft

Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
Von Hanno Böck

  1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
  2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
  3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    1. Ausstieg: Hausakkus für Siemens kein Zukunftsgeschäft
      Ausstieg
      Hausakkus für Siemens kein Zukunftsgeschäft

      Siemens stellt den hauseigenen Strom-Heimspeicher Junelight offiziell ein. Die Solarspeicherakkus scheinen nicht genügend Geld zu bringen.

    2. Trollfabrik: Trump bestätigt Cyberangriff gegen Russland 2018
      Trollfabrik
      Trump bestätigt Cyberangriff gegen Russland 2018

      Der US-Präsent hat erstmals gesagt, dass es 2018 einen Cyberangriff gegen die russische Internet Forschungsagentur gegeben habe, der Einmischung in die US-Politik vorgeworfen wird.

    3. Leak: Macbook Pro mit Apple Silicon könnte Ende 2020 erscheinen
      Leak
      Macbook Pro mit Apple Silicon könnte Ende 2020 erscheinen

      Noch schnell ein Macbook mit Intel-Prozessor kaufen - oder auf Apple Silicon warten? Ein Leak hilft etwas bei den Überlegungen.


    1. 14:11

    2. 13:37

    3. 12:52

    4. 12:18

    5. 11:27

    6. 10:06

    7. 17:20

    8. 15:21