1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Lange Passwörter

  1. Thema

Neues Thema Ansicht wechseln


  1. Lange Passwörter

    Autor: David64Bit 08.04.19 - 12:50

    Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!

    Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000 versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400 Tredezilliarden Jahre sein.

    Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit benötigen, besonders mit Trennern...

    Ich benutze inzwischen nur noch solche Fantasie Kombinationen mit absichtlichen Schreibfehlern. Mein Masterpasswort für den Passwortmanager hat auch weit über 40 Zeichen.

  2. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 14:31

    >mit absichtlichen Schreibfehlern.
    Hauptsache du kannst dir diese dann auch merken. Sowas würde mir bei entsprechend vielen Varianten dann langsam Probleme bereiten.

    Ich nutze simple Passwörter, wo es um nichts geht. Und gute dort, wo es um etwas geht.
    Also in irgendwelchen Foren wie hier etwa ist es völlig wumpe, ob der Account mal 10h geklaut wird oder nicht - auch wenn es noch nie zu soetwas kam.
    Wenn hingegen bei Amazon 500 Sachen bestellt werden...

  3. Re: Lange Passwörter

    Autor: David64Bit 08.04.19 - 16:24

    Ich benutze trotzdem einen Passwortmanager - geht hautpsächlich auch darum, dass wenn man das Passwort doch mal eintippen muss (z.B. irgend ein Konsolenfenster, was kein Copy-Paste unterstützt), das relativ einfach möglich ist.

    Aber ja - das mache ich genau so. Wichtig ist halt für die verschiedenen Accounts auch verschiedene Passwörter zu nutzen, dann ist das tatsächlich Egal, weil damit nicht wirklich was angefangen werden kann.



    1 mal bearbeitet, zuletzt am 08.04.19 16:25 durch David64Bit.

  4. Re: Lange Passwörter

    Autor: violator 08.04.19 - 16:33

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze simple Passwörter, wo es um nichts geht.

    Aber das ist ja der Gag an langen Passwörtern aus mehreren Wörtern, dass sie auch sicher sind, wenn sie simpel sind.

  5. Re: Lange Passwörter

    Autor: SchrubbelDrubbel 08.04.19 - 20:52

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >

    Warum so schwer? Einfach salzen...

  6. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 23:09

    Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200 Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie sie hier schön thematisiert wurden?
    Ne...
    Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht sein.

  7. Re: Lange Passwörter

    Autor: Andrej553 09.04.19 - 11:07

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200
    > Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie
    > sie hier schön thematisiert wurden?
    > Ne...
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Da hatte ich diesbezüglich sogar schon angerufen. Antwort: Ich könne ja meinen Benutzernamen ändern, (was ich sowieso gemacht habe. Ich meine die Kontonummer allein als Username?!? Und dann 5 Zeichen PW?) das wäre dann sicher.

  8. Passwort nur mäßig gut.

    Autor: FaLLoC 09.04.19 - 12:46

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >
    > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > Tredezilliarden Jahre sein.

    Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das Passwort ziemlich sicher sein.

    > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > benötigen, besonders mit Trennern...

    Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere Wörterbuchangriffe berücksichtigen übliche Schreibfehler und Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b), Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig gerechnet.

    Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht gut.

    --
    FaLLoC

  9. Re: Passwort nur mäßig gut.

    Autor: David64Bit 09.04.19 - 18:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die Algorithmen nicht drauf programmiert werden, diesen nicht passenden Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter. Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst bzw. ausgetauscht wurde.

  10. Re: Passwort nur mäßig gut.

    Autor: gaym0r 10.04.19 - 08:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > David64Bit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    > >
    > > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > > Tredezilliarden Jahre sein.
    >
    > Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das
    > Passwort ziemlich sicher sein.
    >
    > > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > > benötigen, besonders mit Trennern...
    >
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Das funktioniert wenn dein Tool ungefähr weiß wie das Passwort aufgebaut ist. Weiß es aber nicht. Es sucht quasi die Nadel im Heuhaufen.

  11. Re: Lange Passwörter

    Autor: gaym0r 10.04.19 - 08:17

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Sind immer noch Millionen Kombination und nach 3 versuchen ist Schluss.

  12. Re: Lange Passwörter

    Autor: nehana 10.04.19 - 13:05

    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen

    Und du glaubst wirklich, du bekommst eine Art Feedback wie "Das erste Wort ist richtig", oder "die ersten 30 Stellen stimmen"? Oder auch nur die richtige Länge des Passwortes? Die Wörterbuchsuche funktioniert nur, wenn das gesamte Konstrukt vorhanden ist. Deswegen reicht es auch völlig z.B. Leberwurstbanane zu schreiben. Auch die absichtlichen Rechtschreibfehler sind völlig zweckfrei und unnötig.

  13. Re: Passwort nur mäßig gut.

    Autor: deadjoe 25.04.19 - 18:45

    dafür gibts doch den levensteihn dings algorythmus....oder eben soundex

    Sollte man koppeln, dann kann man dem Teil beibringen die 10 wahrscheinlichsten angenäherten werte zu testen, is auch egal wo dein schreibfehler dann ist :-)

  14. Re: Passwort nur mäßig gut.

    Autor: FaLLoC 08.07.19 - 12:15

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > FaLLoC schrieb:
    > ---------------------------------------------------------------------------
    > > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > > reduziert sich Dein Passwort auf die Kombination von zwei
    > > Wörterbuchwörtern
    > > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > > gerechnet.
    > >
    > > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > > gut.
    >
    > Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im
    > Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die
    > Algorithmen nicht drauf programmiert werden, diesen nicht passenden
    > Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter.
    > Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst
    > bzw. ausgetauscht wurde.

    Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte Wörterbuchangriffe tun genau das: übliche nichtpassende Buchstaben zu ersetzen. Die Vier Tage Berechnungszeit berücksichtigen bereits deine eingebauten Schreibfehler.

    --
    FaLLoC

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin
  2. VerbaVoice GmbH, München
  3. MEIERHOFER AG, Berlin
  4. DECATHLON Deutschland SE & Co. KG, Plochingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 44,99€ (Bestpreis)
  2. (u. a. The Surge 2 für 42,99€, Trackmania 2: Stadium für 5,99€, Fallout: New Vegas Ultimate...
  3. (aktuell u. a. Netgear Pro Safe JGS524Ev2 Switch für 103,90€, Hasbro Nerf N-Strike für 36...
  4. (u. a. Samsung RU7419 (43 Zoll) für 329€, Samsung RU7409 (50 Zoll) für 449€, Samsung RU8009...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

Unitymedia: Upgrade beim Kabelstandard, Downgrade bei Fritz OS
Unitymedia
Upgrade beim Kabelstandard, Downgrade bei Fritz OS

Der Kabelnetzbetreiber Unitymedia stellt sein Netz derzeit auf Docsis 3.1 um. Für Kunden kann das viel Arbeit beim Austausch ihrer Fritzbox bedeuten, wie ein Fallbeispiel zeigt.
Von Günther Born

  1. Hessen Vodafone bietet 1 GBit/s in 70 Städten und kleineren Orten
  2. Technetix Docsis 4.0 mit 10G im Kabelnetz wird Wirklichkeit
  3. Docsis 3.1 Magenta Telekom bringt Gigabit im Kabelnetz

  1. Entwicklertagung: Sony und Facebook sagen Teilnahme an GDC 2020 ab
    Entwicklertagung
    Sony und Facebook sagen Teilnahme an GDC 2020 ab

    GDC 2020 Mit Neuigkeiten zur Playstation 5 ist auf der Entwicklerkonferenz GDC 2020 nicht zu rechnen: Sony hat wegen des Coronavirus ebenso wie Facebook mit seiner Tochter Oculus abgesagt.

  2. Microsoft: Office 365 läuft jetzt komplett in deutschen Rechenzentren
    Microsoft
    Office 365 läuft jetzt komplett in deutschen Rechenzentren

    Für Microsoft ist Deutschland wohl ein wichtiger Markt: Das Unternehmen wird vielgenutzte Cloud-Dienste wie Office 365 nämlich künftig innerhalb der Landesgrenzen betreiben. Trotzdem soll eine internationale Anbindung für Kunden weiterhin problemlos möglich sein.

  3. Open Source: Angriff von zwei Seiten
    Open Source
    Angriff von zwei Seiten

    Angeblich schlecht für kommerzielle Anbieter, andererseits aber auch nicht ethisch genug: An der Jahrzehnte alten Definition, was Open Source ist und was es sein soll, wird die Kritik immer lauter. Der Streit in der Community wird zur Belastungsprobe.


  1. 11:12

  2. 10:25

  3. 09:30

  4. 09:16

  5. 08:55

  6. 07:54

  7. 23:17

  8. 19:04