1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Lange Passwörter

  1. Thema

Neues Thema Ansicht wechseln


  1. Lange Passwörter

    Autor: David64Bit 08.04.19 - 12:50

    Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!

    Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000 versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400 Tredezilliarden Jahre sein.

    Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit benötigen, besonders mit Trennern...

    Ich benutze inzwischen nur noch solche Fantasie Kombinationen mit absichtlichen Schreibfehlern. Mein Masterpasswort für den Passwortmanager hat auch weit über 40 Zeichen.

  2. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 14:31

    >mit absichtlichen Schreibfehlern.
    Hauptsache du kannst dir diese dann auch merken. Sowas würde mir bei entsprechend vielen Varianten dann langsam Probleme bereiten.

    Ich nutze simple Passwörter, wo es um nichts geht. Und gute dort, wo es um etwas geht.
    Also in irgendwelchen Foren wie hier etwa ist es völlig wumpe, ob der Account mal 10h geklaut wird oder nicht - auch wenn es noch nie zu soetwas kam.
    Wenn hingegen bei Amazon 500 Sachen bestellt werden...

  3. Re: Lange Passwörter

    Autor: David64Bit 08.04.19 - 16:24

    Ich benutze trotzdem einen Passwortmanager - geht hautpsächlich auch darum, dass wenn man das Passwort doch mal eintippen muss (z.B. irgend ein Konsolenfenster, was kein Copy-Paste unterstützt), das relativ einfach möglich ist.

    Aber ja - das mache ich genau so. Wichtig ist halt für die verschiedenen Accounts auch verschiedene Passwörter zu nutzen, dann ist das tatsächlich Egal, weil damit nicht wirklich was angefangen werden kann.



    1 mal bearbeitet, zuletzt am 08.04.19 16:25 durch David64Bit.

  4. Re: Lange Passwörter

    Autor: violator 08.04.19 - 16:33

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze simple Passwörter, wo es um nichts geht.

    Aber das ist ja der Gag an langen Passwörtern aus mehreren Wörtern, dass sie auch sicher sind, wenn sie simpel sind.

  5. Re: Lange Passwörter

    Autor: SchrubbelDrubbel 08.04.19 - 20:52

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >

    Warum so schwer? Einfach salzen...

  6. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 23:09

    Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200 Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie sie hier schön thematisiert wurden?
    Ne...
    Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht sein.

  7. Re: Lange Passwörter

    Autor: Andrej553 09.04.19 - 11:07

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200
    > Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie
    > sie hier schön thematisiert wurden?
    > Ne...
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Da hatte ich diesbezüglich sogar schon angerufen. Antwort: Ich könne ja meinen Benutzernamen ändern, (was ich sowieso gemacht habe. Ich meine die Kontonummer allein als Username?!? Und dann 5 Zeichen PW?) das wäre dann sicher.

  8. Passwort nur mäßig gut.

    Autor: FaLLoC 09.04.19 - 12:46

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >
    > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > Tredezilliarden Jahre sein.

    Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das Passwort ziemlich sicher sein.

    > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > benötigen, besonders mit Trennern...

    Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere Wörterbuchangriffe berücksichtigen übliche Schreibfehler und Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b), Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig gerechnet.

    Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht gut.

    --
    FaLLoC

  9. Re: Passwort nur mäßig gut.

    Autor: David64Bit 09.04.19 - 18:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die Algorithmen nicht drauf programmiert werden, diesen nicht passenden Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter. Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst bzw. ausgetauscht wurde.

  10. Re: Passwort nur mäßig gut.

    Autor: gaym0r 10.04.19 - 08:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > David64Bit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    > >
    > > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > > Tredezilliarden Jahre sein.
    >
    > Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das
    > Passwort ziemlich sicher sein.
    >
    > > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > > benötigen, besonders mit Trennern...
    >
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Das funktioniert wenn dein Tool ungefähr weiß wie das Passwort aufgebaut ist. Weiß es aber nicht. Es sucht quasi die Nadel im Heuhaufen.

  11. Re: Lange Passwörter

    Autor: gaym0r 10.04.19 - 08:17

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Sind immer noch Millionen Kombination und nach 3 versuchen ist Schluss.

  12. Re: Lange Passwörter

    Autor: nehana 10.04.19 - 13:05

    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen

    Und du glaubst wirklich, du bekommst eine Art Feedback wie "Das erste Wort ist richtig", oder "die ersten 30 Stellen stimmen"? Oder auch nur die richtige Länge des Passwortes? Die Wörterbuchsuche funktioniert nur, wenn das gesamte Konstrukt vorhanden ist. Deswegen reicht es auch völlig z.B. Leberwurstbanane zu schreiben. Auch die absichtlichen Rechtschreibfehler sind völlig zweckfrei und unnötig.

  13. Re: Passwort nur mäßig gut.

    Autor: deadjoe 25.04.19 - 18:45

    dafür gibts doch den levensteihn dings algorythmus....oder eben soundex

    Sollte man koppeln, dann kann man dem Teil beibringen die 10 wahrscheinlichsten angenäherten werte zu testen, is auch egal wo dein schreibfehler dann ist :-)

  14. Re: Passwort nur mäßig gut.

    Autor: FaLLoC 08.07.19 - 12:15

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > FaLLoC schrieb:
    > ---------------------------------------------------------------------------
    > > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > > reduziert sich Dein Passwort auf die Kombination von zwei
    > > Wörterbuchwörtern
    > > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > > gerechnet.
    > >
    > > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > > gut.
    >
    > Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im
    > Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die
    > Algorithmen nicht drauf programmiert werden, diesen nicht passenden
    > Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter.
    > Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst
    > bzw. ausgetauscht wurde.

    Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte Wörterbuchangriffe tun genau das: übliche nichtpassende Buchstaben zu ersetzen. Die Vier Tage Berechnungszeit berücksichtigen bereits deine eingebauten Schreibfehler.

    --
    FaLLoC

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Stadtverwaltung Eisenach, Eisenach
  2. GILDEMEISTER Beteiligungen GmbH, im Allgäu
  3. FLYERALARM Digital GmbH, Würzburg
  4. TÜV SÜD Gruppe, Leverkusen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-67%) 19,99€
  2. 17,99€
  3. (-55%) 4,50€
  4. (u. a. Far Cry 5 für 14,99€, Far Cry New Dawn für 17,99€, Far Cry für 3,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Workflows: Wenn Digitalisierung aus 2 Papierseiten 20 macht
Workflows
Wenn Digitalisierung aus 2 Papierseiten 20 macht

Die Digitalisierung von Prozessen scheitert selten an der Technik. Oft ist es Unwissenheit über wichtige Grundregeln, die Projekte nach hinten losgehen lässt - ein wichtiges Change-Modell hilft dagegen.
Ein Erfahrungsbericht von Markus Kammermeier

  1. Digitalisierung Aber das Faxgerät muss bleiben!
  2. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  3. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"

Leistungsschutzrecht: Drei Wörter sollen ...
Leistungsschutzrecht
Drei Wörter sollen ...

Der Vorschlag der Bundesregierung für das neue Leistungsschutzrecht stößt auf Widerstand bei den Verlegerverbänden. Überschriften mit mehr als drei Wörtern und Vorschaubilder sollen lizenzpfichtig sein. Dabei wenden die Verlage einen sehr auffälligen Argumentationstrick an.
Eine Analyse von Friedhelm Greis

  1. Leistungsschutzrecht Memes sollen nur noch 128 mal 128 Pixel groß sein
  2. Leistungsschutzrecht Französische Verlage reichen Beschwerde gegen Google ein
  3. Leistungsschutzrecht Französische Medien beschweren sich über Google

Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

  1. Zahlungsabwickler: Protest gegen Massenentlassungen bei Paypal Deutschland
    Zahlungsabwickler
    Protest gegen Massenentlassungen bei Paypal Deutschland

    Die Beschäftigten von Paypal Deutschland wollen den Abbau von über 300 Arbeitsplätzen nicht hinnehmen. Die Jobs sollen an andere Standorte oder an externe Partner gehen.

  2. DSGVO: Iren sollen Facebook an EU-Datenschützer abgeben
    DSGVO
    Iren sollen Facebook an EU-Datenschützer abgeben

    Bei der irischen Datenschutzbehörde laufen seit 2018 elf Untersuchungen gegen Facebook. Dass noch keine Entscheidungen gefallen sind, bemängeln Politiker und Datenschützer gleichermaßen.

  3. Dispatch: Open-Source-Krisenmanagement à la Netflix
    Dispatch
    Open-Source-Krisenmanagement à la Netflix

    Die Entwickler von Netflix haben ihr Framework Dispatch als Open Source veröffentlicht. Damit will das Team besser auf kritische Situationen vorbereiten, auf die schnell reagiert werden muss.


  1. 18:01

  2. 17:07

  3. 16:18

  4. 15:59

  5. 14:36

  6. 14:14

  7. 13:47

  8. 13:25