1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Lange Passwörter

  1. Thema

Neues Thema Ansicht wechseln


  1. Lange Passwörter

    Autor: David64Bit 08.04.19 - 12:50

    Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!

    Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000 versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400 Tredezilliarden Jahre sein.

    Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit benötigen, besonders mit Trennern...

    Ich benutze inzwischen nur noch solche Fantasie Kombinationen mit absichtlichen Schreibfehlern. Mein Masterpasswort für den Passwortmanager hat auch weit über 40 Zeichen.

  2. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 14:31

    >mit absichtlichen Schreibfehlern.
    Hauptsache du kannst dir diese dann auch merken. Sowas würde mir bei entsprechend vielen Varianten dann langsam Probleme bereiten.

    Ich nutze simple Passwörter, wo es um nichts geht. Und gute dort, wo es um etwas geht.
    Also in irgendwelchen Foren wie hier etwa ist es völlig wumpe, ob der Account mal 10h geklaut wird oder nicht - auch wenn es noch nie zu soetwas kam.
    Wenn hingegen bei Amazon 500 Sachen bestellt werden...

  3. Re: Lange Passwörter

    Autor: David64Bit 08.04.19 - 16:24

    Ich benutze trotzdem einen Passwortmanager - geht hautpsächlich auch darum, dass wenn man das Passwort doch mal eintippen muss (z.B. irgend ein Konsolenfenster, was kein Copy-Paste unterstützt), das relativ einfach möglich ist.

    Aber ja - das mache ich genau so. Wichtig ist halt für die verschiedenen Accounts auch verschiedene Passwörter zu nutzen, dann ist das tatsächlich Egal, weil damit nicht wirklich was angefangen werden kann.



    1 mal bearbeitet, zuletzt am 08.04.19 16:25 durch David64Bit.

  4. Re: Lange Passwörter

    Autor: violator 08.04.19 - 16:33

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze simple Passwörter, wo es um nichts geht.

    Aber das ist ja der Gag an langen Passwörtern aus mehreren Wörtern, dass sie auch sicher sind, wenn sie simpel sind.

  5. Re: Lange Passwörter

    Autor: SchrubbelDrubbel 08.04.19 - 20:52

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >

    Warum so schwer? Einfach salzen...

  6. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 23:09

    Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200 Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie sie hier schön thematisiert wurden?
    Ne...
    Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht sein.

  7. Re: Lange Passwörter

    Autor: Andrej553 09.04.19 - 11:07

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200
    > Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie
    > sie hier schön thematisiert wurden?
    > Ne...
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Da hatte ich diesbezüglich sogar schon angerufen. Antwort: Ich könne ja meinen Benutzernamen ändern, (was ich sowieso gemacht habe. Ich meine die Kontonummer allein als Username?!? Und dann 5 Zeichen PW?) das wäre dann sicher.

  8. Passwort nur mäßig gut.

    Autor: FaLLoC 09.04.19 - 12:46

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >
    > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > Tredezilliarden Jahre sein.

    Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das Passwort ziemlich sicher sein.

    > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > benötigen, besonders mit Trennern...

    Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere Wörterbuchangriffe berücksichtigen übliche Schreibfehler und Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b), Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig gerechnet.

    Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht gut.

    --
    FaLLoC

  9. Re: Passwort nur mäßig gut.

    Autor: David64Bit 09.04.19 - 18:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die Algorithmen nicht drauf programmiert werden, diesen nicht passenden Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter. Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst bzw. ausgetauscht wurde.

  10. Re: Passwort nur mäßig gut.

    Autor: gaym0r 10.04.19 - 08:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > David64Bit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    > >
    > > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > > Tredezilliarden Jahre sein.
    >
    > Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das
    > Passwort ziemlich sicher sein.
    >
    > > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > > benötigen, besonders mit Trennern...
    >
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Das funktioniert wenn dein Tool ungefähr weiß wie das Passwort aufgebaut ist. Weiß es aber nicht. Es sucht quasi die Nadel im Heuhaufen.

  11. Re: Lange Passwörter

    Autor: gaym0r 10.04.19 - 08:17

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Sind immer noch Millionen Kombination und nach 3 versuchen ist Schluss.

  12. Re: Lange Passwörter

    Autor: nehana 10.04.19 - 13:05

    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen

    Und du glaubst wirklich, du bekommst eine Art Feedback wie "Das erste Wort ist richtig", oder "die ersten 30 Stellen stimmen"? Oder auch nur die richtige Länge des Passwortes? Die Wörterbuchsuche funktioniert nur, wenn das gesamte Konstrukt vorhanden ist. Deswegen reicht es auch völlig z.B. Leberwurstbanane zu schreiben. Auch die absichtlichen Rechtschreibfehler sind völlig zweckfrei und unnötig.

  13. Re: Passwort nur mäßig gut.

    Autor: deadjoe 25.04.19 - 18:45

    dafür gibts doch den levensteihn dings algorythmus....oder eben soundex

    Sollte man koppeln, dann kann man dem Teil beibringen die 10 wahrscheinlichsten angenäherten werte zu testen, is auch egal wo dein schreibfehler dann ist :-)

  14. Re: Passwort nur mäßig gut.

    Autor: FaLLoC 08.07.19 - 12:15

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > FaLLoC schrieb:
    > ---------------------------------------------------------------------------
    > > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > > reduziert sich Dein Passwort auf die Kombination von zwei
    > > Wörterbuchwörtern
    > > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > > gerechnet.
    > >
    > > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > > gut.
    >
    > Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im
    > Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die
    > Algorithmen nicht drauf programmiert werden, diesen nicht passenden
    > Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter.
    > Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst
    > bzw. ausgetauscht wurde.

    Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte Wörterbuchangriffe tun genau das: übliche nichtpassende Buchstaben zu ersetzen. Die Vier Tage Berechnungszeit berücksichtigen bereits deine eingebauten Schreibfehler.

    --
    FaLLoC

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AKDB, Würzburg
  2. Fidelity Investments, Kronberg im Taunus
  3. CSL Behring GmbH, Marburg
  4. unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, Wadern

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)
  3. 299,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

In eigener Sache: Die offiziellen Golem-PCs sind da
In eigener Sache
Die offiziellen Golem-PCs sind da

Leise, schnell, aufrüstbar: Golem.de bietet erstmals eigene PCs für Kreative und Spieler an. Alle Systeme werden von der Redaktion konfiguriert und getestet, der Bau und Vertrieb erfolgen über den Partner Alternate.

  1. In eigener Sache Was 2019 bei Golem.de los war
  2. In eigener Sache Golem.de sucht Produktmanager/Affiliate (m/w/d)
  3. In eigener Sache Aktiv werden für Golem.de

  1. Covid-19: Smartphone-Markt schrumpft wegen Coronavirus
    Covid-19
    Smartphone-Markt schrumpft wegen Coronavirus

    Das Coronavirus hat besonders in China zu vorübergehenden Fabrikschließungen und einem wirtschaftlichen Stillstand geführt. Das hat sich besonders auf Smartphone-Hersteller und ihre Zulieferer ausgewirkt: Analysten rechnen mit einem merklichen Markteinbruch.

  2. Nutzerdaten: Wie eng sollen Konzerne mit Ermittlern zusammenarbeiten?
    Nutzerdaten
    Wie eng sollen Konzerne mit Ermittlern zusammenarbeiten?

    Auch wenn es weitgehend unbekannt ist: Facebook und Google dürfen schon jetzt direkt und schnell Daten an deutsche Behörden aushändigen. In Zukunft könnte das verpflichtend werden - auch in die umgekehrte Richtung. Das hilft Ermittlern, ist aber gefährlich.

  3. Musikstreaming: Spotify für iOS erhält neue Steuerung - Android folgt später
    Musikstreaming
    Spotify für iOS erhält neue Steuerung - Android folgt später

    Der Musikstreaming-Dienst Spotify hat eine neue Steuerung für seine App veröffentlicht. Die neue Oberfläche steht zunächst nur für iOS-Geräte bereit. Erst später soll es die Änderungen auch für zahlende Abonnenten mit Android-Geräten geben.


  1. 10:23

  2. 09:00

  3. 08:33

  4. 08:00

  5. 07:39

  6. 07:00

  7. 22:00

  8. 19:41