Passwortsicherheit

[Paddy2590]

Hallo zusammen,
ich weiß nicht, wo ins Forum dieses Thema genau hingehört, ich hoffe, ich bin hier nicht so ganz falsch.

Aus gegebenem Anlass habe ich noch mal eine kleine Frage zur Passwortsicherheit.
Ich hab schon im Internet gesucht, aber ich verstehe es immer noch nicht richtig.

Wenn ich mein Passwort aus mehreren Wörtern zusammensetze, die alle im Wörterbuch stehen, diese aber nicht einfach hintereinander reihe, sondern trenne durch Zahlenfolgen, Sonderzeichen, etc., ist das Passwort dann trotzdem durch eine Wörterbuchattacke leicht zu knacken? Mal ein ganz doofes Beispiel: Scanner_275948_Marta_Düsseldorf

Ist das jetzt sicher? Oder muss es wirklich sowas sein wie : JMgimmH-A-15MddfLzB

Ich hoffe, irgendwer hier kann mir das so erklären, dass ich das auch verstehe...
Liebe Grüße

 

[Benutzer 176034]

Je länger und abstrakter, desto "unknackbarer".
Mit dieser Formel kannst Du wirtschaften... "1234567890" wird in 2 sec. zu knacken gehen. "1+2*3$4%5}6£7¥8•9[" dauert schon etwas länger.
"MPwskr,esd,eieS" (Mein Passwort wird sicher keiner rauskriegen, es sei denn, er ist ein Supercrack) dürfte Knackversuchen auch sehr lange standhalten.

 

[Paddy2590]

Vielen Dank für deine Antwort
Okay, also muss man sich wohl wirklich abgewöhnen, ganze Wörter im Passwort zu verwenden... Ich nutze Passwörter, die über 30 Stellen lang sind, letztendlich aber doch weniger wert zu sein scheinen...

 

[raven]

ganze Wörter im Passwort zu verwenden...

Doch kannst du schon mit einem kleinen Kniff. Als Beispiel: Passwort-Beispiel = P4ssw0rt_B31sp13L Du erseztt einige Buchstaben durch zahlen. A=4 als beispiel. Oder was nur dir logisch erscheint.

 

[Rastafari]

muss man sich wohl wirklich abgewöhnen, ganze Wörter im Passwort zu verwenden

Jein.
Solange es mehrere Worte sind, die in keinerlei sinnhaftem Zusammenhang zueinander stehen, ist das völlig OK.
("Winter_Gabel_Banane_Hammer" wäre völlig ok, "Ein Hund ist keine Katze" dagegen nicht.)
Du solltest dir die Frage stellen:
Kann es sein, dass genau diese Kombination von Worten, in dieser ungefähren Zusammensetzung mit Trennzeichen usw, schon irgendwann mal von irgendwem niedergeschrieben wurde?
Falls du das nicht ganz klar verneinen kannst...?
Sobald die Google Searchbots eine Phrase schon irgendwo, irgendwann mal im Netz gesehen haben, ist diese "verbrannt". Vollkommen egal wie lang oder komplex diese ist. Und Google hat schon längst fast alles gesehen, was Menschen jemals geschrieben und veröffentlicht haben.
("Winter_Gabel_Banane_Hammer" ist damit seit heute ebenfalls mausetot. Genau seit jetzt.)

 

[simmac]

Doch kannst du schon mit einem kleinen Kniff. Als Beispiel: Passwort-Beispiel = P4ssw0rt_B31sp13L Du erseztt einige Buchstaben durch zahlen. A=4 als beispiel. Oder was nur dir logisch erscheint.

Hacker sind auch nicht blöd Moderne Wörterbuchattacken haben solche Abwandlungen gespeichert

Viel besser ist es, möglichst lange Passwörter zu bilden die man sich einfacher merken kann. Das kann man machen, indem man mehrere zufällige Wörter nimmt, eventuell noch ein paar Zahlen dazwischen streuen und Sonderzeichen dazugeben wenn es besonders wichtig ist. ZB
-Welt1Polster3Lampenschirm3Baum7Banane+

Praktisch unknackbar, aber leicht zu merken (vier Wörter, vierstellige Zahlen und zwei Sonderzeichen sind doch noch merkbar).

 

[Benutzer 176034]

Wenn man dasselbe Passwort überall und immer wieder verwendet, lernt man es sicherlich auswendig, aber wie viele User nutzen diverse, unterschiedliche Passwörter? Da wird es dann eng mit "merken"...

 

[Paddy2590]

Vielen Dank euch allen für die Antworten. Ich seh schon, so einfach ist es wohl nicht. Am besten nehme ich also ein Passwort mit 40 Ziffern und alles abstrakt und gemischt Und dann für alles ein anderes und halbjährig gewechselt. Wenn man das bis zum Tod durchzieht, kann man sich jegliches Gehirntraining im Alter sparen

Nein, Scherz beiseite, man wird dann wohl einen Kompromiss finden müssen zwischen Sicherheit auf der einen und Merkbarkeit und Handlebarkeit im Alltag auf der anderen Seite...

 

[Benutzer 176034]

40 Zeichen sehe ich als notwendig an, wenn mein Arbeitsplatz das Vorzimmer von "Mr. President from the United States of America" ist.
Der normalsterbliche Zivilist kommt mit kürzeren Passwörtern aus. Muss ja nicht ABC sein, aber...
BCA z.B.

 

[raven]

Hacker sind auch nicht blöd Moderne Wörterbuchattacken haben solche Abwandlungen gespeichert

@simmac Ist mir schon bewusst. Das Paswort-Beispiel sollte je nur als Beispiel dienen.
reicht es nicht, wenn ich schon zuvor Beispiel schreibe? Noch besser sind ganez Sätze die man verwendet. Mir musst du nicht erklären wie man ein Passwor generiert.

 

[MACaerer]

Es gibt auch noch einen anderen Aspekt der Datensicherheit. Dieses von dir genannte "Wrtlprmft" -Passwort ist zwar von außen schwer zu knacken, hat aber den Nachteil, dass du es dir selber nicht merken kannst. Mit anderen Worten, du musst es dir irgendwo notiert haben. Und da wir nun mal alle faule Menschen sind liegt der Zettel mit der Notiz meistens irgendwo in greifbarer Nähe. Dann hat man eben das Problem durch einen möglichen Zugriff von innen. Die Kunst ist es also ein Passwort zu verwenden das einerseits nur durch eine aufwändige BruteForce-Attacke zu knacken ist und sich der Anwender aber trotzdem noch ohne Notiz merken kann. Beispielsweise ein Satz aus dem persönlichen Leben, den man nur selber kennt und von dem man nur die Anfangs- oder Endbuchstaben nimmt. Wenn man noch bestimmte Buchstaben willkürlich durch Zahlen oder Sonderzeichen ersetzt (z.B. ein "s" durch ein "$", oder ein "i" durch eine "1", ein "o" durch eine "0" usw.) ist man einigermaßen sicher, aber man kann sich das Konstrukt noch merken.

MACaerer

 

[ottomane]

Am Rande: Ich habe mal eine Studie zu real verwendeten Passwörtern gesehen. Erschütternd, sehr erschütternd

 

[dadudeness]

Quelle: https://xkcd.com/936/

 

[Rastafari]

und halbjährig gewechselt

Es ist ein sehr einfältiger (und grundverkehrter) Mythos, dass das der Sicherheit diene.
Der einzige Grund warum das in Unternehmensumgebungen (!) empfohlen wird ist der bekannte Umstand, dass Benutzer dazu neigen ihre Kennworte an andere zu verraten, oder auch der Aspekt von ständig wechselndem Personal.
Gute Kennworte verderben nicht. Sie im rein privaten Bereich ohne einen konkreten Anlass zu wechseln ist kontraproduktiv, in jeder Hinsicht.

 

[rootie]

Das sehe ich genau so. Wieso soll ich ein 25-Stelliges, zufällig generiertes Passwort regelmäßig ändern?

 

[u0679]

Das regelmäßige Ändern der Kennwörter in Firmenumgebungen ist auch häufig Internen Richtlinien und Audits des Qualitätswesens oder der Forderung von Wirtschaftsprüfern geschuldet. Im privaten Bereich sehe ich das wie @rootie und @Rastafari, wenn das Kennwort entsprechend komplex ist, genügt ein Ändern bei konkretem Bedarf.

 

[rootie]

Ja und in Firmenumgebungen ist es der allergrößte Müll. Weißt warum? Dadurch stichelst Du die Leute förmlich an, unsichere Passwörter zu verwenden. Alle Kollegen, die ich kenne, nutzen ihr Standardpasswort mit einer laufenden Nummer hinten dran, weil sie sich nicht alle 6 Wochen ein komplett neues sicheres Passwort einfallen lassen wollen.

Die Firma sollte eine Komplexitätsrichtlinie einsetzen, aber nicht alle paar Wochen eine Passwortänderung erzwingen.

 

[u0679]

Das mit der laufenden Nummer anhängen geht nicht mehr, wenn (jedenfalls unter Windows) die Komplexitätsanforderungen in den Richtlinien aktiviert wird. Das Problem ist wie gesagt, häufig zwingen äußere Einflüsse Firmen dazu, dies so umzusetzen.

 

[rootie]

Bei uns geht das und ich mache das auch so. 10-stelliges Passwort und einen zweistelligen Counter am Ende

 

[Saarlaenderin]

Aufgrund meiner Erfahrung hab ich es die letzten 10 Jahre bei wichtigen Passwörtern wie folgt gemacht:

Als PW den Code eines Originalspieles verwendet, das bei mir im Regal steht. Ich habe ja nicht nur eins und geb die auch nicht weiter.

Da gibt es ja immer Zahlen-Buchstaben-Blöcke, meist 4 - 5 davon.

A) Hab nur ich das Spiel und B) weiß nur ich, welche Blöcke ich nehme. Manchmal hab ich die ersten zwei genommen, manchmal die ersten drei Blöcke. Manchmal die letzten beiden.

Geht auch mit Betriebssystemen die man kaufen muss.

Wenn man das PW wechselt kann man ja zwischen den ersten drei Blöcken und den letzten drei Blöcken immer wechseln.

Nach der 4. Eingabe spätestens hab ich die auch immer auswendig gewusst. Wobei das bei mir auch übers fotografische Gedächtnis geht. Aber mehrmals hintereinander eingeben (geht, wenn man ändert und neu einlogt und das ggf. dann nicht nur auf der Website sondern auch bei Programmen macht) fix und falls alle Stricke reißen weiß man, wo man nachschlagen muss.

Ggf. würde auch der Aufladecode einer Prepaidkarte oder so taugen, wenn man die irgendwo unauffällig platziert und man selbst der Einzige ist der weiß, dass man diese Kombination als Passwort benutzt, durchaus praktikabel. Nur verlegt man sowas leichter als ein PC-Spiel mit Hülle.