1. Foren
  2. Kommentare
  3. Software-Entwicklung
  4. Alle Kommentare zum Artikel
  5. › Passwort-Richtlinien…

Lange Passwörter

  1. Thema

Neues Thema Ansicht wechseln


  1. Lange Passwörter

    Autor: David64Bit 08.04.19 - 12:50

    Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!

    Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000 versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400 Tredezilliarden Jahre sein.

    Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit benötigen, besonders mit Trennern...

    Ich benutze inzwischen nur noch solche Fantasie Kombinationen mit absichtlichen Schreibfehlern. Mein Masterpasswort für den Passwortmanager hat auch weit über 40 Zeichen.

  2. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 14:31

    >mit absichtlichen Schreibfehlern.
    Hauptsache du kannst dir diese dann auch merken. Sowas würde mir bei entsprechend vielen Varianten dann langsam Probleme bereiten.

    Ich nutze simple Passwörter, wo es um nichts geht. Und gute dort, wo es um etwas geht.
    Also in irgendwelchen Foren wie hier etwa ist es völlig wumpe, ob der Account mal 10h geklaut wird oder nicht - auch wenn es noch nie zu soetwas kam.
    Wenn hingegen bei Amazon 500 Sachen bestellt werden...

  3. Re: Lange Passwörter

    Autor: David64Bit 08.04.19 - 16:24

    Ich benutze trotzdem einen Passwortmanager - geht hautpsächlich auch darum, dass wenn man das Passwort doch mal eintippen muss (z.B. irgend ein Konsolenfenster, was kein Copy-Paste unterstützt), das relativ einfach möglich ist.

    Aber ja - das mache ich genau so. Wichtig ist halt für die verschiedenen Accounts auch verschiedene Passwörter zu nutzen, dann ist das tatsächlich Egal, weil damit nicht wirklich was angefangen werden kann.



    1 mal bearbeitet, zuletzt am 08.04.19 16:25 durch David64Bit.

  4. Re: Lange Passwörter

    Autor: violator 08.04.19 - 16:33

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze simple Passwörter, wo es um nichts geht.

    Aber das ist ja der Gag an langen Passwörtern aus mehreren Wörtern, dass sie auch sicher sind, wenn sie simpel sind.

  5. Re: Lange Passwörter

    Autor: SchrubbelDrubbel 08.04.19 - 20:52

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >

    Warum so schwer? Einfach salzen...

  6. Re: Lange Passwörter

    Autor: Eheran 08.04.19 - 23:09

    Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200 Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie sie hier schön thematisiert wurden?
    Ne...
    Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht sein.

  7. Re: Lange Passwörter

    Autor: Andrej553 09.04.19 - 11:07

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Und ich merk mir dann ganz viele "ach so simple" Passwörter für die 200
    > Seiten/Foren/0815-Shops/blablabla inkl. absurdester Passwortrichtlinien wie
    > sie hier schön thematisiert wurden?
    > Ne...
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Da hatte ich diesbezüglich sogar schon angerufen. Antwort: Ich könne ja meinen Benutzernamen ändern, (was ich sowieso gemacht habe. Ich meine die Kontonummer allein als Username?!? Und dann 5 Zeichen PW?) das wäre dann sicher.

  8. Passwort nur mäßig gut.

    Autor: FaLLoC 09.04.19 - 12:46

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    >
    > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > Tredezilliarden Jahre sein.

    Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das Passwort ziemlich sicher sein.

    > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > benötigen, besonders mit Trennern...

    Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere Wörterbuchangriffe berücksichtigen übliche Schreibfehler und Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b), Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig gerechnet.

    Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht gut.

    --
    FaLLoC

  9. Re: Passwort nur mäßig gut.

    Autor: David64Bit 09.04.19 - 18:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die Algorithmen nicht drauf programmiert werden, diesen nicht passenden Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter. Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst bzw. ausgetauscht wurde.

  10. Re: Passwort nur mäßig gut.

    Autor: gaym0r 10.04.19 - 08:17

    FaLLoC schrieb:
    --------------------------------------------------------------------------------
    > David64Bit schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Dampfschifffahrtsgesellschaft-Fischerreiverein-2019!
    > >
    > > Ist ein sehr viel sichereres Passwort als es irgend ein Kauderwelsch je
    > > sein kann. 50 Zeichen, Rechnerisch im Prinzip mit aktueller Hardware und
    > > Supercomputern unknackbar (Berechnet auf der Grundlage von 3.000.000.000
    > > versuchen pro Sekunde - AFAIK ein Niveau von 2 GTX 1080), da vorher die
    > > Sonne zum Roten Giganten wird. 6,44*10^81 Jahre. Das dürften 6400
    > > Tredezilliarden Jahre sein.
    >
    > Da hast Du recht. Gegen einen dummen Brute-Force-Angriff dürfte das
    > Passwort ziemlich sicher sein.
    >
    > > Und selbst Wörterbuch Angriffe sind fast nicht möglich, zum einen weil
    > > "Fischerreiverein" falsch geschrieben ist und so nicht im Wörterbuch
    > > vorkommt, zum anderen weil solche Wortkombinationen weitaus mehr Zeit
    > > benötigen, besonders mit Trennern...
    >
    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > reduziert sich Dein Passwort auf die Kombination von zwei Wörterbuchwörtern
    > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > gerechnet.
    >
    > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > gut.

    Das funktioniert wenn dein Tool ungefähr weiß wie das Passwort aufgebaut ist. Weiß es aber nicht. Es sucht quasi die Nadel im Heuhaufen.

  11. Re: Lange Passwörter

    Autor: gaym0r 10.04.19 - 08:17

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Aber krasseste sind sowieso die maximal 5 Zeichen bei der fucking
    > Sparkasse. Die haben den Arsch so unfassbar weit offen, dass kann nicht
    > sein.

    Sind immer noch Millionen Kombination und nach 3 versuchen ist Schluss.

  12. Re: Lange Passwörter

    Autor: nehana 10.04.19 - 13:05

    > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen

    Und du glaubst wirklich, du bekommst eine Art Feedback wie "Das erste Wort ist richtig", oder "die ersten 30 Stellen stimmen"? Oder auch nur die richtige Länge des Passwortes? Die Wörterbuchsuche funktioniert nur, wenn das gesamte Konstrukt vorhanden ist. Deswegen reicht es auch völlig z.B. Leberwurstbanane zu schreiben. Auch die absichtlichen Rechtschreibfehler sind völlig zweckfrei und unnötig.

  13. Re: Passwort nur mäßig gut.

    Autor: deadjoe 25.04.19 - 18:45

    dafür gibts doch den levensteihn dings algorythmus....oder eben soundex

    Sollte man koppeln, dann kann man dem Teil beibringen die 10 wahrscheinlichsten angenäherten werte zu testen, is auch egal wo dein schreibfehler dann ist :-)

  14. Re: Passwort nur mäßig gut.

    Autor: FaLLoC 08.07.19 - 12:15

    David64Bit schrieb:
    --------------------------------------------------------------------------------
    > FaLLoC schrieb:
    > ---------------------------------------------------------------------------
    > > Sowohl Dampfschiffahtsgesellschaft als auch Fischereiverein dürften in
    > > einem herkömmlichen 100'000-Wörter Wörterbuch vorkommen. Schlauere
    > > Wörterbuchangriffe berücksichtigen übliche Schreibfehler und
    > > Substitutionen. Worttrenner als Leerzeichen, Punkte oder Bindestriche
    > > tragen auch nur wenig zur Entropie bei. Ebenso wie 2019!. Letztendlich
    > > reduziert sich Dein Passwort auf die Kombination von zwei
    > > Wörterbuchwörtern
    > > (jeweils 17 bit Entropie) mit Zusatzentropie für Falschschreibung (8b),
    > > Worttrennern (4b) und die aktuelle Jahreszahl + ! (4b). Großzügig
    > > gerechnet.
    > >
    > > Bei einem geschickt gewählten Angriffsaufbau braucht Dein obiges System
    > > (3mrd tries/s) dafür ungefähr vier Tage. Nicht schlecht. Aber auch nicht
    > > gut.
    >
    > Aber nicht mit absichtlichem Schreibfehler ;) Das steht so nicht im
    > Wörterbuch (dampfschifffahrtsgesellschaft sowieso nicht) und solange die
    > Algorithmen nicht drauf programmiert werden, diesen nicht passenden
    > Buchstaben zu ignorieren und es trotzdem versuchen passiert da nix weiter.
    > Noch dazu weil der Angreifer nicht weiß welcher Buchstabe fehlt/angepasst
    > bzw. ausgetauscht wurde.

    Ich hatte bereits Zusatzentropie für die Falschschreibung berücksichtigt. Und geschickte Wörterbuchangriffe tun genau das: übliche nichtpassende Buchstaben zu ersetzen. Die Vier Tage Berechnungszeit berücksichtigen bereits deine eingebauten Schreibfehler.

    --
    FaLLoC

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DZ HYP AG, Hamburg
  2. unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, Wadern
  3. DKV EURO SERVICE, Ratingen
  4. ING-DiBa AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,99€
  2. 17,99€
  3. (-67%) 19,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich
Grünheide
Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.
Ein IMHO von Hanno Böck

  1. Gigafactory Berlin Der "Tesla-Wald" ist fast gefällt
  2. Grünheide Tesla darf Wald weiter roden
  3. Gigafactory Grüne kritisieren Grüne Liga wegen Baumfällstopp für Tesla

Wolcen im Test: Düster, lootig, wuchtig!
Wolcen im Test
Düster, lootig, wuchtig!

Irgendwo zwischen Diablo und Grim Dawn: Die dreckige Spielwelt von Wolcen - Lords Of Mayhem ist Schauplatz für ein tolles Hack'n Slay - egal ob offline oder online, alleine oder gemeinsam. Und mit Cryengine.
Ein Test von Marc Sauter

  1. Project Mara Microsoft kündigt Psychoterror-Simulation an
  2. Active Gaming Footwear Puma blamiert sich mit Spielersocken
  3. Simulatoren Nach Feierabend Arbeiten spielen

  1. Vor dem Start von Disney+: Erste Folge von The Mandalorian als Lockangebot im Free-TV
    Vor dem Start von Disney+
    Erste Folge von The Mandalorian als Lockangebot im Free-TV

    Die erste Folge der Star-Wars-Serie The Mandalorian wird vor dem Deutschlandstart von Disney+ im Free-TV ausgestrahlt. Die übrige Staffel kann dann über ein kostenpflichtiges Disney+-Abo weitergeschaut werden.

  2. Besuch bei Justwatch: Größte Streaming-Suchmaschine ohne echte Konkurrenz
    Besuch bei Justwatch
    Größte Streaming-Suchmaschine ohne echte Konkurrenz

    Wer mehrere Videostreaming-Dienste abonniert hat, für den ist eine zentrale Suchmaschine hilfreich. Justwatch wird in Berlin entwickelt - und hat der Konkurrenz einiges voraus.

  3. Solar Roof: Tesla und Panasonic beenden Solarzellen-Partnerschaft
    Solar Roof
    Tesla und Panasonic beenden Solarzellen-Partnerschaft

    Es wird nicht besser in der kriselnden Beziehung zwischen Tesla und Panasonic: Wegen ausbleibenden Erfolgs haben die beiden angekündigt, die gemeinsame Fertigung von Solarzellen einzustellen.


  1. 13:15

  2. 12:01

  3. 11:56

  4. 11:50

  5. 11:38

  6. 11:29

  7. 11:15

  8. 11:00