1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Übernahme: Passwort-Manager…

Ärgerlich: "Passepartout" nicht überall möglich

  1. Thema

Neues Thema Ansicht wechseln


  1. Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Siciliano 12.10.15 - 09:25

    Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es nicht möglich ein einziges Passepartout-Passwort zu verwenden.

    Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt werden.

    Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen Zusatz zusammenstellt.

    Wie macht ihr es?!

  2. Re: Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Wallbreaker 12.10.15 - 11:03

    Siciliano schrieb:
    --------------------------------------------------------------------------------
    > Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
    > nicht möglich ein einziges Passepartout-Passwort zu verwenden.

    Wäre ohnehin fatal ein Passwort für alles zu nutzen, zumal ein Passwort auch nur so sicher ist, wie das System was dieses verarbeitet. Sollten diese allen Ernstes im Klartext gespeichert werden, dann gibt es keine Sicherheit. Ebenso wenn ein Anbieter nur mit MD5 oder einer Eigenbau-Lösung hasht.

    > Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
    > Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
    > alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
    > Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
    > werden.

    Unmöglich ist gar nichts, daher sollte man auch dynamisch vorgehen, und nicht gerade Passwörter nutzen die vorhersehbar sind.

    > Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
    > vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
    > Zusatz zusammenstellt.

    Wäre eine Möglichkeit, doch ist diese Taktik einmal herausgefunden, dann kann ein Cracken der Passwörter erheblich verkürzt werden. Besonders Wörterbücher und Rainbowtables zielen darauf ab. Daher sind nur Passwörter zu empfehlen wo man um Brute-Force nicht herum kommt. Doch wie man am besten vorgeht ist schwierig, da es offenbar nicht Jedem gegeben ist, sich selbst einfachste Passwörter merken zu können.

    > Wie macht ihr es?!

    Gehe Ich nun von mir aus, dann wird in dem Bezug rechnerisch an die Sache herangegangen. Jedes Passwort ist ein Unikat ohne irgendeine nachvollziehbare Logik, wie auch einer entsprechenden Länge und Komplexität.
    Ein Beispiel wäre als Passwort einen beliebigen Satz zu nehmen, ob nun aus dem Alltag, ein Sprichwort oder evtl. etwas aus einem Film.
    Zumindest sollte kein Passwort je weniger als 14 Stellen besitzen, weil alles darunter schon problematisch ist und errechnet werden kann, sofern ein Login keinerlei Timeouts oder sonstige Beschränkungen aufweist um Passwörter zu schützen.
    Und gerade heutzutage wo man sehr starke Rechnerverbände bequem mieten kann, muss man schon mit Clustern/Supercomputern rechnen.

    Beispiel: Ein Ring um Sie zu knechten, Sie alle zu finden, ins Dunkel zu treiben, und ewig zu binden!

    Dies könnte man wie folgt abändern: EruszksazfidztuezB
    In dieser Form hätte es bereits 18 Stellen mit einer Komplexität von 52 ^ 18 was nicht unerheblich ist, und auf den ersten Blick ergibt es auch keinen echten Sinn. Also 2 x 26 Buchstaben (Großbuchstaben und Kleinbuchstaben) hoch 18 Stellen.

    52 ^ 18 = 772787672187e+30 Passwortkombinationen / 10 ^ 18 (Rechenleistung die ab 2018 verfügbar sein wird) = 772787672187e+12 Sekunden = 245049 Jahre um dies abzuarbeiten bei dieser Rechenleistung. Und so ein Passwort ist noch nicht einmal komplex.

    Weitere Optimierung: *Eruszksazfidz7u3zB§ ,hier wären wir nun bei einer Komplexität von 256 ^ 20, da "§" bereits zu den erweiterten ASCII Zeichen gehört.
    Ist allerdings fraglich ob das alle Webdienste unterstützen, was die Auswahl meist auf 95 mögliche Zeichen beschränkt oder noch weniger.

    256 ^ 20 = 146150163733e+48 / 10 ^ 18 = 146150163733e+30 Sekunden = 463439129037e+22 Jahre

    Allein schon mit dieser kleinen Modifikation potenziert sich der Aufwand extrem, was mit heutiger wie auch zukünftiger Hardware auch noch lange zeit sicher bleibt, auch vor Supercomputern.
    Möglich wäre es auch den ganzen Satz als Passwort zu nutzen was über 80 Stellen wären, und definitiv nicht zu knacken ist. Aber mit hoher Wahrscheinlichkeit ist diese Länge nicht möglich, auch wenn diese Beschränkungen lächerlich anmuten bei Weblogins.

    Eine andere Idee wäre optische Gleichungen zu nutzen, also Ähnlichkeiten zwischen Zahlen, Buchstaben und Sonderzeichen auszunutzen.

    Beispiel: a = @, i = ! oder 1, o = 0 oder (), t = 7, e = 3 oder ¤, b = ß, s = $, 8 = &

    Wie man sieht gibt es viele Möglichkeiten, wie man ein Passwort stärker machen kann, ohne das dies schwer zu merken ist.

    apfelbaum68 = @pf3lßauM6&
    http://www.golem.net = h77p://wWw.g0l3m.n3T

    Hier ist der Fantasie keine Grenze gesetzt.
    Eine andere Option wäre noch Passwörter zu nutzen die auf Mustern basieren, die man nicht einmal kennen muss.

    Beispiel1: 6zjmbhu8&ZJMBHU( ,ergibt ein X auf der Tastatur
    Beispiel2: 8ikm0ol.(IKM=OL: ,ergibt wieder ein X nur anders
    Beispiel3: 8ujm9ol,(UJM)OL; ,ergibt ein O
    Beispiel4: 678uhbnm&/(UHBNM ,ergibt ein Z

    Und sie bestehen alle nur aus beliebigen Kombinationen, die man auch noch beliebig abändern könnte.



    2 mal bearbeitet, zuletzt am 12.10.15 11:08 durch Wallbreaker.

  3. Re: Ärgerlich: "Passepartout" nicht überall möglich

    Autor: Manga 12.10.15 - 12:17

    Siciliano schrieb:
    --------------------------------------------------------------------------------
    > Da die Weblogins unterschiedliche Passwortanforderungen verlangen, ist es
    > nicht möglich ein einziges Passepartout-Passwort zu verwenden.
    >
    > Einerseits sollte man ja kein Passepartout verwenden, denn wenn mal das
    > Konto gehackt werden sollte, dann hat der Angreife ja praktisch Zugriff auf
    > alle Daten. Andererseits ist es schwierig für jedes Portal ein eigenes
    > Passwort zu merken und die Passwort-Tools könnten ja auch mal gehackt
    > werden.
    >
    > Welchen Weg soll man am besten gehen?! Ich könnte mir ein Passwort
    > vorstellen, dass sich aus dem Namen der Webseite und einem persönlichen
    > Zusatz zusammenstellt.
    >
    > Wie macht ihr es?!

    Ich habe mir einfach ein eigenen Password Manager gebaut... Ist mit AES 256 lokal verschlüsselt und gespeichert... Mit OneDrive Sync... Plus KDF2 gegen Dictionary attacks... Ich bin zufrieden... :)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  2. Deutsche Rentenversicherung Bund, Berlin
  3. KfW Bankengruppe, Frankfurt am Main
  4. St.Galler Kantonalbank Deutschland AG, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 3.499€ (Vergleichspreise ab 4.399€)
  2. (u. a. Battlefleet Gothic: Armada 2 für 11,99€, Star Trek Bridge Crew für 6,66€, Rage 2 für...
  3. (Huawei Matebook D 14 Zoll, Full HD + Freebuds 3 für 699€ und Huawei Matebook D 15 Zoll, Full...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Akkutechnik: In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus
Akkutechnik
In Zukunft kommen Akkus mit weniger seltenen Rohstoffen aus

In unserer Artikelserie zu Akku-FAQs geht es diesmal um bessere Akkus, um mehr Akkus und um Akkus ohne seltene Rohstoffe. Den Wunderakku, der alles kann, den gibt es leider nicht. Mit Energiespeichern ohne Akku beschäftigen wir uns später in Teil 2 dieses Artikels.
Von Frank Wunderlich-Pfeiffer

  1. Elektroautos BASF baut Kathodenfabrik in Brandenburg
  2. Joint Venture Panasonic und Toyota bauen prismatische Zellen für E-Autos
  3. Elektromobilität EU-Kommission genehmigt europäisches Batterieprojekt

Verkehr: Das Kaltstart-Dilemma der Autos mit Hybridantrieb
Verkehr
Das Kaltstart-Dilemma der Autos mit Hybridantrieb

Bei Hybridautos und Plugin-Hybriden kommt es häufiger zu Kaltstarts als bei normalen Verbrennungsmotoren - wenn der Verbrennungsmotor ausgeht und der Elektromotor das Auto durch die Stadt schiebt. Wie schnell lässt sich der Katalysator vorwärmen, damit er Abgase dennoch gut reinigen kann?
Von Rainer Klose

  1. Elektromobilität Umweltbonus gilt auch für Jahreswagen
  2. Renault City K-ZE Dacia plant City-Elektroauto
  3. Elektroautos EU-Kommission billigt höheren Umweltbonus

Dauerbrenner: Bis dass der Tod uns ausloggt
Dauerbrenner
Bis dass der Tod uns ausloggt

Jedes Jahr erscheinen mehr Spiele als im Vorjahr. Trotzdem bleiben viele Gamer über Jahrzehnte hinweg technisch veralteten Onlinerollenspielen wie Tibia treu. Woher kommt die anhaltende Liebe für eine virtuelle Welt?
Von Daniel Ziegener

  1. Unchained Archeage bekommt Parallelwelt ohne Pay-to-Win
  2. Portal Knights Computerspielpreis-Gewinner bekommt MMO-Ableger

  1. AMI: Citroën entwickelt kleines Elektroauto für 6.900 Euro
    AMI
    Citroën entwickelt kleines Elektroauto für 6.900 Euro

    Citroën hat mit dem AMI ein Elektroauto von der Studie zur Serienreife entwickelt. Das Fahrzeug für zwei Personen soll nur 6.900 Euro kosten. Dafür sind einige Abstriche erforderlich.

  2. Golem Akademie: IT-Sicherheit für Webentwickler
    Golem Akademie
    IT-Sicherheit für Webentwickler

    Welches sind die häufigsten Sicherheitslücken im Web, wie können sie ausgenutzt werden - und wie können Webentwickler ihnen begegnen? Diese Fragen beantwortet der Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck in einem Workshop Ende März.

  3. Larian Studios: Baldur's Gate 3 rollenspielt mit Würfeln und Sekunden
    Larian Studios
    Baldur's Gate 3 rollenspielt mit Würfeln und Sekunden

    Die Klassiker bekommen endlich eine Fortsetzung: Golem.de konnte sich bei den Entwicklern die Welt und Neuerungen von Baldur's Gate 3 anschauen. Neben dem spektakulären Intro zeigen wir im Video auch, wie schön Fantasywelt und Kampfsystem in der Engine aussehen.


  1. 07:39

  2. 07:00

  3. 22:00

  4. 19:41

  5. 18:47

  6. 17:20

  7. 17:02

  8. 16:54