Ärgerlich: "Passepartout" nicht überall möglich

Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es nicht möglich ein einziges Passepartout-Passwort zu verwenden.

Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt werden.

Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen Zusatz zusammenstellt.

Wie macht ihr es?!

Siciliano schrieb:
--------------------------------------------------------------------------------
> Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
> nicht möglich ein einziges Passepartout-Passwort zu verwenden.

Wäre ohnehin fatal ein Passwort für alles zu nutzen, zumal ein Passwort auch nur so sicher ist, wie das System was dieses verarbeitet. Sollten diese allen Ernstes im Klartext gespeichert werden, dann gibt es keine Sicherheit. Ebenso wenn ein Anbieter nur mit MD5 oder einer Eigenbau-Lösung hasht.

> Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
> Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
> alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
> Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
> werden.

Unmöglich ist gar nichts, daher sollte man auch dynamisch vorgehen, und nicht gerade Passwörter nutzen die vorhersehbar sind.

> Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
> vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
> Zusatz zusammenstellt.

Wäre eine Möglichkeit, doch ist diese Taktik einmal herausgefunden, dann kann ein Cracken der Passwörter erheblich verkürzt werden. Besonders Wörterbücher und Rainbowtables zielen darauf ab. Daher sind nur Passwörter zu empfehlen wo man um Brute-Force nicht herum kommt. Doch wie man am besten vorgeht ist schwierig, da es offenbar nicht Jedem gegeben ist, sich selbst einfachste Passwörter merken zu können.

> Wie macht ihr es?!

Gehe Ich nun von mir aus, dann wird in dem Bezug rechnerisch an die Sache herangegangen. Jedes Passwort ist ein Unikat ohne irgendeine nachvollziehbare Logik, wie auch einer entsprechenden Länge und Komplexität.
Ein Beispiel wäre als Passwort einen beliebigen Satz zu nehmen, ob nun aus dem Alltag, ein Sprichwort oder evtl. etwas aus einem Film.
Zumindest sollte kein Passwort je weniger als 14 Stellen besitzen, weil alles darunter schon problematisch ist und errechnet werden kann, sofern ein Login keinerlei Timeouts oder sonstige Beschränkungen aufweist um Passwörter zu schützen.
Und gerade heutzutage wo man sehr starke Rechnerverbände bequem mieten kann, muss man schon mit Clustern/Supercomputern rechnen.

Beispiel: Ein Ring um Sie zu knechten, Sie alle zu finden, ins Dunkel zu treiben, und ewig zu binden!

Dies könnte man wie folgt abändern: EruszksazfidztuezB
In dieser Form hätte es bereits 18 Stellen mit einer Komplexität von 52 ^ 18 was nicht unerheblich ist, und auf den ersten Blick ergibt es auch keinen echten Sinn. Also 2 x 26 Buchstaben (Großbuchstaben und Kleinbuchstaben) hoch 18 Stellen.

52 ^ 18 = 772787672187e+30 Passwortkombinationen / 10 ^ 18 (Rechenleistung die ab 2018 verfügbar sein wird) = 772787672187e+12 Sekunden = 245049 Jahre um dies abzuarbeiten bei dieser Rechenleistung. Und so ein Passwort ist noch nicht einmal komplex.

Weitere Optimierung: *Eruszksazfidz7u3zB§ ,hier wären wir nun bei einer Komplexität von 256 ^ 20, da "§" bereits zu den erweiterten ASCII Zeichen gehört.
Ist allerdings fraglich ob das alle Webdienste unterstützen, was die Auswahl meist auf 95 mögliche Zeichen beschränkt oder noch weniger.

256 ^ 20 = 146150163733e+48 / 10 ^ 18 = 146150163733e+30 Sekunden = 463439129037e+22 Jahre

Allein schon mit dieser kleinen Modifikation potenziert sich der Aufwand extrem, was mit heutiger wie auch zukünftiger Hardware auch noch lange zeit sicher bleibt, auch vor Supercomputern.
Möglich wäre es auch den ganzen Satz als Passwort zu nutzen was über 80 Stellen wären, und definitiv nicht zu knacken ist. Aber mit hoher Wahrscheinlichkeit ist diese Länge nicht möglich, auch wenn diese Beschränkungen lächerlich anmuten bei Weblogins.

Eine andere Idee wäre optische Gleichungen zu nutzen, also Ähnlichkeiten zwischen Zahlen, Buchstaben und Sonderzeichen auszunutzen.

Beispiel: a = @, i = ! oder 1, o = 0 oder (), t = 7, e = 3 oder €, b = ß, s = $, 8 = &

Wie man sieht gibt es viele Möglichkeiten, wie man ein Passwort stärker machen kann, ohne das dies schwer zu merken ist.

apfelbaum68 = @pf3lßauM6&
http://www.golem.net = h77p://wWw.g0l3m.n3T

Hier ist der Fantasie keine Grenze gesetzt.
Eine andere Option wäre noch Passwörter zu nutzen die auf Mustern basieren, die man nicht einmal kennen muss.

Beispiel1: 6zjmbhu8&ZJMBHU( ,ergibt ein X auf der Tastatur
Beispiel2: 8ikm0ol.(IKM=OL: ,ergibt wieder ein X nur anders
Beispiel3: 8ujm9ol,(UJM)OL; ,ergibt ein O
Beispiel4: 678uhbnm&/(UHBNM ,ergibt ein Z

Und sie bestehen alle nur aus beliebigen Kombinationen, die man auch noch beliebig abändern könnte.



2 mal bearbeitet, zuletzt am 12.10.15 11:08 durch Wallbreaker.

Siciliano schrieb:
--------------------------------------------------------------------------------
> Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
> nicht möglich ein einziges Passepartout-Passwort zu verwenden.
>
> Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
> Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
> alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
> Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
> werden.
>
> Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
> vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
> Zusatz zusammenstellt.
>
> Wie macht ihr es?!

Ich habe mir einfach ein eigenen Password Manager gebaut... Ist mit AES 256 lokal verschlüsselt und gespeichert... Mit OneDrive Sync... Plus KDF2 gegen Dictionary attacks... Ich bin zufrieden... :)