1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Übernahme: Passwort-Manager…

Ärgerlich: "Passepartout" nicht überall möglich

  1. Thema

Neues Thema Ansicht wechseln


  1. Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Siciliano 12.10.15 - 09:25

    Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es nicht möglich ein einziges Passepartout-Passwort zu verwenden.

    Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt werden.

    Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen Zusatz zusammenstellt.

    Wie macht ihr es?!

  2. Re: Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Wallbreaker 12.10.15 - 11:03

    Siciliano schrieb:
    --------------------------------------------------------------------------------
    > Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
    > nicht möglich ein einziges Passepartout-Passwort zu verwenden.

    Wäre ohnehin fatal ein Passwort für alles zu nutzen, zumal ein Passwort auch nur so sicher ist, wie das System was dieses verarbeitet. Sollten diese allen Ernstes im Klartext gespeichert werden, dann gibt es keine Sicherheit. Ebenso wenn ein Anbieter nur mit MD5 oder einer Eigenbau-Lösung hasht.

    > Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
    > Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
    > alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
    > Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
    > werden.

    Unmöglich ist gar nichts, daher sollte man auch dynamisch vorgehen, und nicht gerade Passwörter nutzen die vorhersehbar sind.

    > Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
    > vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
    > Zusatz zusammenstellt.

    Wäre eine Möglichkeit, doch ist diese Taktik einmal herausgefunden, dann kann ein Cracken der Passwörter erheblich verkürzt werden. Besonders Wörterbücher und Rainbowtables zielen darauf ab. Daher sind nur Passwörter zu empfehlen wo man um Brute-Force nicht herum kommt. Doch wie man am besten vorgeht ist schwierig, da es offenbar nicht Jedem gegeben ist, sich selbst einfachste Passwörter merken zu können.

    > Wie macht ihr es?!

    Gehe Ich nun von mir aus, dann wird in dem Bezug rechnerisch an die Sache herangegangen. Jedes Passwort ist ein Unikat ohne irgendeine nachvollziehbare Logik, wie auch einer entsprechenden Länge und Komplexität.
    Ein Beispiel wäre als Passwort einen beliebigen Satz zu nehmen, ob nun aus dem Alltag, ein Sprichwort oder evtl. etwas aus einem Film.
    Zumindest sollte kein Passwort je weniger als 14 Stellen besitzen, weil alles darunter schon problematisch ist und errechnet werden kann, sofern ein Login keinerlei Timeouts oder sonstige Beschränkungen aufweist um Passwörter zu schützen.
    Und gerade heutzutage wo man sehr starke Rechnerverbände bequem mieten kann, muss man schon mit Clustern/Supercomputern rechnen.

    Beispiel: Ein Ring um Sie zu knechten, Sie alle zu finden, ins Dunkel zu treiben, und ewig zu binden!

    Dies könnte man wie folgt abändern: EruszksazfidztuezB
    In dieser Form hätte es bereits 18 Stellen mit einer Komplexität von 52 ^ 18 was nicht unerheblich ist, und auf den ersten Blick ergibt es auch keinen echten Sinn. Also 2 x 26 Buchstaben (Großbuchstaben und Kleinbuchstaben) hoch 18 Stellen.

    52 ^ 18 = 772787672187e+30 Passwortkombinationen / 10 ^ 18 (Rechenleistung die ab 2018 verfügbar sein wird) = 772787672187e+12 Sekunden = 245049 Jahre um dies abzuarbeiten bei dieser Rechenleistung. Und so ein Passwort ist noch nicht einmal komplex.

    Weitere Optimierung: *Eruszksazfidz7u3zB§ ,hier wären wir nun bei einer Komplexität von 256 ^ 20, da "§" bereits zu den erweiterten ASCII Zeichen gehört.
    Ist allerdings fraglich ob das alle Webdienste unterstützen, was die Auswahl meist auf 95 mögliche Zeichen beschränkt oder noch weniger.

    256 ^ 20 = 146150163733e+48 / 10 ^ 18 = 146150163733e+30 Sekunden = 463439129037e+22 Jahre

    Allein schon mit dieser kleinen Modifikation potenziert sich der Aufwand extrem, was mit heutiger wie auch zukünftiger Hardware auch noch lange zeit sicher bleibt, auch vor Supercomputern.
    Möglich wäre es auch den ganzen Satz als Passwort zu nutzen was über 80 Stellen wären, und definitiv nicht zu knacken ist. Aber mit hoher Wahrscheinlichkeit ist diese Länge nicht möglich, auch wenn diese Beschränkungen lächerlich anmuten bei Weblogins.

    Eine andere Idee wäre optische Gleichungen zu nutzen, also Ähnlichkeiten zwischen Zahlen, Buchstaben und Sonderzeichen auszunutzen.

    Beispiel: a = @, i = ! oder 1, o = 0 oder (), t = 7, e = 3 oder ¤, b = ß, s = $, 8 = &

    Wie man sieht gibt es viele Möglichkeiten, wie man ein Passwort stärker machen kann, ohne das dies schwer zu merken ist.

    apfelbaum68 = @pf3lßauM6&
    http://www.golem.net = h77p://wWw.g0l3m.n3T

    Hier ist der Fantasie keine Grenze gesetzt.
    Eine andere Option wäre noch Passwörter zu nutzen die auf Mustern basieren, die man nicht einmal kennen muss.

    Beispiel1: 6zjmbhu8&ZJMBHU( ,ergibt ein X auf der Tastatur
    Beispiel2: 8ikm0ol.(IKM=OL: ,ergibt wieder ein X nur anders
    Beispiel3: 8ujm9ol,(UJM)OL; ,ergibt ein O
    Beispiel4: 678uhbnm&/(UHBNM ,ergibt ein Z

    Und sie bestehen alle nur aus beliebigen Kombinationen, die man auch noch beliebig abändern könnte.



    2 mal bearbeitet, zuletzt am 12.10.15 11:08 durch Wallbreaker.

  3. Re: Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Manga 12.10.15 - 12:17

    Siciliano schrieb:
    --------------------------------------------------------------------------------
    > Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
    > nicht möglich ein einziges Passepartout-Passwort zu verwenden.
    >
    > Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
    > Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
    > alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
    > Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
    > werden.
    >
    > Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
    > vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
    > Zusatz zusammenstellt.
    >
    > Wie macht ihr es?!

    Ich habe mir einfach ein eigenen Password Manager gebaut... Ist mit AES 256 lokal verschlüsselt und gespeichert... Mit OneDrive Sync... Plus KDF2 gegen Dictionary attacks... Ich bin zufrieden... :)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über SCHAAF PEEMÖLLER + PARTNER TOP EXECUTIVE CONSULTANTS, Nordrhein-Westfalen
  2. Stadtwerke München GmbH, München
  3. EGT Energievertrieb GmbH, Triberg
  4. Stadt Ingolstadt, Ingolstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-58%) 16,99€
  2. 4,32€
  3. 19,99


Haben wir etwas übersehen?

E-Mail an news@golem.de


Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

Apple-Betriebssysteme: Ein Upgrade mit Schmerzen
Apple-Betriebssysteme
Ein Upgrade mit Schmerzen

Es sollte alles super werden, stattdessen kommen seit MacOS Catalina, dem neuen iOS und iPadOS weder Apple noch Entwickler und Nutzer zur Ruhe. Golem.de hat mit vier Entwicklern über ihre Erfahrungen mit der Systemumstellung gesprochen.
Ein Bericht von Jan Rähm

  1. Betriebssystem Apple veröffentlicht MacOS Catalina
  2. Catalina Apple will Skriptsprachen wie Python aus MacOS entfernen
  3. Apple MacOS wechselt von Bash auf ZSH als Standard-Shell

  1. Datendiebstahl: Facebook warnt eigene Mitarbeiter erst nach zwei Wochen
    Datendiebstahl
    Facebook warnt eigene Mitarbeiter erst nach zwei Wochen

    Nach dem Diebstahl von Festplatten mit unverschlüsselten Gehaltsabrechnungen und persönlichen Daten hat sich Facebook laut einem Medienbericht offenbar sehr viel Zeit gelassen, die betroffenen Mitarbeiter zu informieren.

  2. Ultimate Rivals: Apple Arcade eröffnet Sportspielreihe mit Hockey
    Ultimate Rivals
    Apple Arcade eröffnet Sportspielreihe mit Hockey

    Eishockeylegende Wayne Gretzky gegen Fußball-Weltmeisterin Alex Morgan oder andere Sportstars: Das ist die Idee hinter einer neuen Sportspielserie auf Apple Arcade. Nach dem Hockey-Auftakt namens The Rink geht es im Frühjahr mit Basketball weiter.

  3. T-Mobile: John Legere warnt US-Richter vor Scheitern von Fusion
    T-Mobile
    John Legere warnt US-Richter vor Scheitern von Fusion

    Mehrere US-Bundesstaaten kämpfen gegen die Fusion von Sprint mit T-Mobile in den USA. Dessen Chef John Legere hat sich jetzt bei der Gerichtsverhandlung zu dem Thema geäußert - aber die Aktionäre verlieren offenbar die Geduld.


  1. 14:08

  2. 13:22

  3. 12:39

  4. 12:09

  5. 18:10

  6. 16:56

  7. 15:32

  8. 14:52