Passwörter

[Kaltregen]

Hallo,

das Thema ist wahrscheinlich etwas nervig, aber dafür umso wichtiger und es sollte alle hier betreffen. Man hört es immer wieder: Viele Leute benutzen angeblich immer noch unsichere Passwörter und / oder das gleiche Passwort für alles. Ich kann das nicht so ganz glauben und mich würde interessieren, wie das bei euch ist. Ich bitte um eine ehrliche Abstimmung und darum, dass ihr die Stimme wenn ihr euch umstellt nicht ändert. Das Häkchen um die Stimmen öffentlich anzuzeigen setze ich nicht, daher sollten alle anonym bleiben. Ein Passwort ist so weit ich weis dann sicher, wenn es bei erster Betrachtung keinen Sinn macht, mindestens 8 Zeichen hat und Sonderzeichen enthält.

Und da sich ja was ändern soll, will ich hier kurz beschreiben wie ich das handhabe:

Ich habe inzwischen 25 verschiedene mit einem Passwort gesicherte Stellen in meinem Leben. Jede Stelle hat ein anderes sicheres Passwort. Damit ich mir die alle merken kann nutze ich ein kleines System. Ich habe ein Masterpasswort mit zufälligen Leerstellen drin. In diese setze ich dann Buchstaben aus dem Namen der Stelle ein. Also z.B. die beiden Endbuchstaben, die Anfangsbuchstaben, den zweiten und vorletzten Buchstaben oder ähnliches. Natürlich dann bei allen Stellen gleich.

Ein Beispiel:

Stelle: woodworker
Masterpasswort: S7.4N P-d9r veb.34

-------E------R-------
-------v------v--------
S7.4N P-d9r veb.34

Durch das viele Eingeben der Ziffernkombination bei allen Stellen kann ich mir die nach ein paar Mal auch ganz gut merken. Man könnte auch das Muster, das es auf der Tastatur ergibt, so legen, dass man es sich gut merken kann.

Was haltet ihr davon? Habt ihr Tipps?

Gruß, Michael

 

[Hondo6566]

Ich denke hier ist die falsche Stelle um über Passwortsicherheit zu diskutieren, nutze doch dazu ein passendes Forum.
Gruß Andreas

 

[Kaltregen]

Ok, ich bitte um Entschuldigung. Ich dachte man könnte am Tresen auch über Off-Topic-Themen die die Leute hier trotzdem betreffen reden, da es ja dabei steht. Wenn es aber wirklich unerwünscht ist könnt ihr das Thema auch wieder entfernen.

 

[tiepel]

Hi,
hier wird so viel "Nicht-Holz" diskutiert, da sehe ich nichts verwerfliches, auch über Passwörter zu reden.
Deine Idee finde ich generell nicht schlecht. Wenn aber jemand nur eins erfährt und das System kennt, ist es leicht, weitere Passwörter rauszufinden, da die Anzahl der Varianten sinkt.
Ich bin aber kein IT-Sicherheitsexperte.
Gruß Reimund

 

[michaelhild]

Ok, ich bitte um Entschuldigung.

Du brauchst Dich da nicht für zu entschuldigen. Das ist nur dem Hondo seine Meinung und die ist nicht allgemeingültig.

 

[Mitglied 30872]

.. nutze doch dazu ein passendes Forum....

… um das dann hier mit dem Tresen zu verlinken, um die Zielgruppe zu erreichen? Sehr komisch.

 

[Fiamingu]

Dafür haben wir doch den Tresen........ Ich bin für einen Tresenadmin.
Jemand der entscheidet was am Tresen gekakert wird und was nicht.

 

[yoghurt]

Dafür haben wir doch den Tresen........ Ich bin für einen Tresenadmin.
Jemand der entscheidet was am Tresen gekakert wird und was nicht.

Ich übernehme den Job!!

Nee, Quatsch!!! Ich habe den Job. Verdammt! Ich wollte gerade einige Biere dafür einfordern, dass das mache....

Ich finde das Thema interessant!

 

[ChristophW]

https://xkcd.com/936/

 

[ChrisOL]

Hallo,

ich benutze überall verschiedene Passwörter, aber durch eine Logik zusammengesetzt ähnlich wie oben angedeutet. Ob die sicher sind, weiß nicht. Schwierig wird es ja auch wenn Hacker Firmen Passwörter klauen. Denn ständiger Passwortwechsel erfolgt bei mir nicht.

Bei uns in der Firma hat unsere IT vor einiger Zeit einen Passwortknacker laufen lassen, die meisten Passwörter waren nach weniger als 5 Sek. gefunden. Als Grund für die vielen einfachen Passwörter wurde die automatische Aufforderung alle 4 Wochen das Passwort ändern zu müssen ausgemacht. Geändert hat sich seit dem wohl wenig. Passwörter müssen alle 8 Wochen geändert werden.

Ich glaube daher sehr wohl, dass es viele einfache Passwörter gibt. Genau so gibt es jedoch auch für den böswilligen Einbrecher bei vielen Häusern die Chance in weniger als einer Minute einzusteigen.

 

[Kaltregen]

Ich finde das Thema interessant!

Das freut mich und auch dass sich das geklärt hat.

Deine Idee finde ich generell nicht schlecht. Wenn aber jemand nur eins erfährt und das System kennt, ist es leicht, weitere Passwörter rauszufinden, da die Anzahl der Varianten sinkt.

Das stimmt. Ich hoffe natürlich, dass ein möglicher Angreifer das Passwort gar nicht erst geknackt bekommt und wenn doch nicht weis welches System ich verwendet habe. Vielleicht sollte man Buchstaben der wichtigen Seiten in das Passwort einbauen, damit es nicht so offensichtlich ist. Man kann auch das System nach Belieben verändern, z.B. den nächsten Buchstaben im Alphabet nehmen oder so. Der Fantasie sind da keine Grenzen gesetzt.

Genau so gibt es jedoch auch für den böswilligen Einbrecher bei vielen Häusern die Chance in weniger als einer Minute einzusteigen.

Das stimmt auch, ich glaube aber dass es im Vergleich ein geringer Aufwand ist ein sicheres Passwort zu erstellen, als das ganze Haus mit viel Geld nachzurüsten.

@ChristophW Das Problem dabei ist glaube ich, dass die Angreifer Programme benutzen, die ganze Wörterbücher durchchecken und zusammensetzen. Bin aber auch kein Experte, vielleicht ist da was dran.

 

[WinfriedM]

In dem Moment, wo man ein System verwendet, hat man ein zusätzliches Sicherheitsrisiko. Die Sicherheit hängt dann nicht nur vom Passwort ab, sondern auch von der Geheimhaltung des Systems. Denn wer z.B. das im ersten Beitrag beschriebene System kennt, kann sehr schnell alle möglichen Kennwörter knacken, die man darüber erzeugt hat, wenn man nur erstmal das Masterpasswort kennt. Ist also das Masterpasswort einmal geknackt, ist das System kaum besser, als ein Passwort für alles.

Das System lässt sich oft erkennen, wenn mehrere Passwörter von jemandem gestohlen werden.

Ich kann deshalb nur dazu raten: Keinerlei System und einen guten Passwortmanager mit einem Masterpasswort. Masterpasswort sollte schon 20 Zeichen oder mehr sein. Oft genutzte Passwörter kann man durchaus leicht merkbar erstellen, aber kein System verwenden.

 

[WinfriedM]

Hier mal 1 Tester, der checkt, ob ein Passwort schon in einer Datenbank bekannt ist. Man staunt wirklich, was alles schon in Wörterbüchern erfasst ist.

haveibeenpwned.com/Passwords

 

[zündapp]

Hallo liebes Forum
Ein wichtiges Thema, dem ich mich schon zweimal stellen musste.

Fazit 1: es ist hilfreich, auf eine VIelzahl zufällig generierter Passwörter zugreifen zu können. Die größte Hürde für einen Passwortwechsel war der Anspruch, sich etwas originelles, sicheres einfallen lassen zu müssen. Das ist lästiger Aufwand, also verschiebt man es. Seit ich per Passwortgenerator genug Zufallspasswörter verschiedener Spezifikationen vorrätig habe, ist regelmäßiger Wechsel kein Thema mehr. Natürlich muss man sich hier organisieren und Ordnung halten.

Fazit 2: es ist sehr sinnvoll, sich etwas über die "Architektur" seiner Sicherheitszonen Gedanken zu machen. Das heißt, was verwalte ich online, was offline, was geht drahtlos und was nur über Kabel. Wo setze ich den Computer, wo eine Notitz und wo den persönlichen Kontakt als einzigen Zugang ein. Wieviele Rechner sind sinnvoll und welches Betriebssystem ist wofür sinnvoll und vertrauenswürdig. Und Datenkraken wie Facebook, Google oder Ebay will ich nicht zuviel Zugriff und Verknüpfungen erlauben.

Das war initial viel Aufwand, aber letzten Endes sehr gut investiert.

Viele Grüße,

Wolfgang

 

[Fidgety Feet]

Hier mal 1 Tester, der checkt, ob ein Passwort schon in einer Datenbank bekannt ist. Man staunt wirklich, was alles schon in Wörterbüchern erfasst ist.

Ich werde bei einem solchen System nicht den Bekanntheitsgrad der von mir verwendeten Passwörter abfragen. Es ist naiv zu glauben, dass mit den so übermittelten Passwörtern nicht später doch Schindluder getrieben wird.

Es ist in etwa so, als würde ich einem potentiellen Dieb meinen Schlüsselbund überreichen, mit der Bitte zu überprüfen, ob er schon Nachschlüssel dafür vorliegen hat. Keine gute Idee, den Tester zu verwenden.

 

[ChristophW]

Das Problem dabei ist glaube ich,

Das wahre Problem ist, das Glaube im Bereich der Computersicherheit immer fehl am Platz ist. Die Intuition führt nahezu immer zu falschen Annahmen. Das Beispiel geht davon aus, das das System und der Symbolvorrat bekannt ist, es geht nur um die "Merkbarkeit" für den Menschlichen Benutzer.

In dem Moment, wo man ein System verwendet, hat man ein zusätzliches Sicherheitsrisiko

Nein das ist falsch, in der Informationssicherheit geht man immer davon aus, das das zugrundeliegende System bekannt ist und beweist dann, das dies keinen Auswirkungen hat (oder halt nutzlos ist).
Wenn nichts bekannt ist über das Passwort, ist rein die Länge des Passwortes der entscheidende Faktor.

Das System lässt sich oft erkennen, wenn mehrere Passwörter von jemandem gestohlen werden.

Die müssen dann aber im Klartext vorliegen, das sollte heute hoffentlich nirgendwo mehr der Fall sein, es sei den der Angreifer kann das Passwort direkt auf deinem PC abgreifen, dann hilft aber auch kein Passwortmanager.

Hier mal 1 Tester, der checkt, ob ein Passwort schon in einer Datenbank bekannt ist

Ja oder einfach eine Website die Passwörter klaut Wer sein echtes Passwort auf irgendeiner Website zum "checken" dem ist meiner Meinung nach echt nicht mehr zu helfen Ich lege meine Wohnungsschlüssel ja auch nicht unter die Fußmatte um zu "checken" das Einbrecher ihn da wirklich als erstes suchen... Auch dazu gibt es einen etwas längeren Comic: https://xkcd.com/792/

Grundsätzlich kann man aber sagen, das für den "Normalo-Mensch" es reicht sich Passwörter zu überlegen die sicherer sind als die von anderen, z.B. Gedanken über Systeme und "Erratbarkeit" muss man sich nur machen wenn man befürchtet persönlich das Ziel eines Angriffs zu sein. Nämlich nur dann kommt ins Spiel was ich anfangs schrieb, die Sicherheit darf nicht von der Geheimhaltung des Systems abhängig sein: https://de.wikipedia.org/wiki/Security_through_obscurity

 

[ChristophW]

Generell kann auch das Abfragende System zur Sicherheit beitragen, Beispiel Pin-Code bei EC-Karten: Der Suchraum ist extrem eingeschränkt (der Angreifer weiß das vier Zahlen von 0-9 verwendet werden), aber man hat nur drei Versuche. Und das ist eher das Problem, ein Passwortgeschütztes System sollte mindestens folgende Dinge umsetzen:

1. Die erlaubte Zeit zwischen zwei Fehlversuchen exponentiell erhöhen (z.B. 100, 200, 400, 800ms)
2. Den Zugriff dauerhaft sperren wenn eine maximale Zahl Fehlversuche überschritten wurde (z.B. 20 Versuche)

Das bringt viel mehr als diese Forderungen mit Groß/Klein+Sonderzeichen+Sonderzeichen und was sonst der individuelle Betreiber meint die Sicherheit zu erhöhen, diese "Passwortanforderungen" schränken übrigens effektiv den Suchraum eines Angreifer ein und schwächen so im Zweifel die Sicherheit

 

[FredT]

Wohl mit am sichersten sind ohnehin Paßworte mit nahezu unsinnigen Kombinationen aus Sonderzeichen, Zahlen und Buchstaben. Wenn man die dann noch in einen Spezialbegriff aus seinem Hobby oder Familienbereich einbaut, wird das ganze doch relativ sicher, denn wer kenn schon mal alle Typen von Traktoren oder Rennrädern oder deren Werknummern?

Grüße

 

[tiepel]

Hi,
bei Sytemen, wo man das Passwort nicht ständig eingeben muss (z. B. ein Shop, den man sehr selten nutzt) nehme ich beliebige Zeichen, die ich mir nicht merke/ notiere.
Wenn ich mich dann irgendwann neu anmelden muss, lasse ich mir ein neues zukommen, das ich dann wieder in was beliebiges ändere.
Gruß Reimund

 

[WinfriedM]

Nein das ist falsch, in der Informationssicherheit geht man immer davon aus, das das zugrundeliegende System bekannt ist und beweist dann, das dies keinen Auswirkungen hat (oder halt nutzlos ist).
Wenn nichts bekannt ist über das Passwort, ist rein die Länge des Passwortes der entscheidende Faktor.

Alles richtig, das macht doch meine Aussage aber nicht falsch. Es geht doch um die Bewertung, wie sicher ein bestimmtes Verfahren der Absicherung ist. Wer jetzt anfängt, Passwörter nach einem bestimmten System zu erstellen, der entfernt sich mehr oder weniger stark von der Sicherheit, die ein zufälliges Passwort garantieren würde. Das wichtigste dabei ist: Die Sicherheit hängt nun noch von der Geheimhaltung des Systems ab. Und hier weiß man, dass das in aller Regel keine gute Idee ist. Systeme sind schneller durchschaut, als einem lieb ist. Der Gefahr muss man sich bewusst sein, wenn man sowas tut.

Oder anders ausgedrückt: Durch obiges System entsteht eine Verbindung zwischen Passwörtern, wodurch man von einem Passwort auf andere Passwörter schließen kann. Kennt man das System, kann man von einem Passwort sämtliche andere Passwörter ableiten. Und das halte ich für recht gefährlich oder es zeigt, wie wichtig es wird, das System geheim zu halten. Spätestens dann, wenn ein Angreifer 2-3 Klartext-Passwörter in die Hand bekommt, kann er das System schon erraten. Und ja, auch heute noch speichern Firmen Passwörter im Klartext. Hier zum Beispiel erst letztens ein großer Social-Media-Anbieter:

https://www.datenschutz-praxis.de/fachnews/erste-geldbusse-wegen-dsgvo-verstoss-verhaengt/

 

[uli2003]

Ja oder einfach eine Website die Passwörter klaut Wer sein echtes Passwort auf irgendeiner Website zum "checken" dem ist meiner Meinung nach echt nicht mehr zu helfen

Du kannst das Wörterbuch auch downloaden und offline checken.

Die Sicherheit eines Passworts muss bei mir dem Anwendungsfall genügen. Ich werde im Forum kein 20-stelliges Passwort nutzen, was ich mir nicht merken kann.
Wenn die Software jetzt noch einigermaßen sicher programmiert ist, einen Brute-Force Angriff bemerkt und die Zugriffszeiten verlängert, hat man kaum eine Chance ein PW auszulesen. Mir sind eigentlich gar keine Fälle bekannt, wo Passwörter direkt auf einer Seite geknackt wurden, wo sie genutzt werden. Datenbank-Hacks hat man öfters, wo dann - wie Winfried gerade schön beschrieb - ganze Listen entwendet werden. Da hilft dann auch das beste PW nichts.

Bei uns in der Firma hat unsere IT vor einiger Zeit einen Passwortknacker laufen lassen, die meisten Passwörter waren nach weniger als 5 Sek. gefunden.

Unter idealsten Bedingungen. Direkt im Netzwerk und mit direktem Zugriff auf die DB wahrscheinlich. Die Möglichkeit hat doch kein Angreifer von außen.

Wenn jetzt jemand da ist, der meint es wäre einfach, der kann ja versuchen mein PW hier im Forum zu hacken Ich bin gespannt.

 

[Kaltregen]

Wie es aussieht sind die meisten hier ja ganz gut abgesichert.

Ich danke euch allen für die vielen Beiträge. Die haben mich jetzt auch nochmal zum nachdenken gebracht und ich werde mich mal nach einem guten Passwort-Manager umgucken. Dann bleiben halt noch vier Passwörter für den Windows Admin-Account, das BIOS, das W-LAN und das Masterpasswort übrig, die ich mir merken muss. Mal gucken wie ich das mache.

 

[Macchia]

werde mich mal nach einem guten Passwort-Manager umgucken

Mit der Forumskristallkugel ist jede Mühe für umsonst.

die kennt doch schon den richtigen Schraubendurchmesser der verwendet werden muss, bevor das Projekt geplant wird, bzw.
der Forist überhaupt weiss, dass er mal dieses Projekt verwirklichen möchte.

Keine Chance auch nicht mit APR1-MD5

 

[mscholz1978]

Als Passwortmanager schaut euch mal keepass von Dominik Reichel an - das Dingen funktioniert einwandfrei - nach eingewöhnung auch ziemlich praktikabel!

 

[Fotom]

Ich finde den Link nicht schlecht. Wenn man auf die Startseite "zurück" schaltet kann man seine Emailadresse prüfen lassen. Mein Passwort gebe ich da sicher auch nicht ein.

Auf unterschiedlichen Seiten habe ich unterschiedliche Passwörter in Verwendung. Der Klassiker allerdings ist ständig, dass ich die Dinger neu anfordern/ anlegen muss, weil ich sie vergesse. Insbesondere auf Seiten, die ich sehr selten verwende.