User-Anleitung

Ein Leitfaden für die eigene Passwortsicherheit

Barkeeper 22. Juni 2012 - 7:33 — vor 4 Jahren zuletzt aktualisiert
last.fm, LinkedIn, eHarmony, zuletzt Riot mit League of Legends. Davor das Sony-Debakel. Die Liste der Firmen denen noch nie Passwörter abhandengekommen sind dürfte nicht existieren. Wenn man es also nicht verhindern kann, wie kann man dann wenigstens die Auswirkungen für einen selbst minimieren? Darum soll es in diesem Artikel gehen.
Wählen Sie ein sicheres Passwort: 6-8 Zeichen, Groß-/Kleinschreibung sowie Zahlen oder Sonderzeichen. Diesen Satz dürfte jeder von uns schon dutzendfach gelesen haben. Aber wieso sollen wir eigentlich ein sicheres Passwort wählen wenn der Anbieter diese dann unverschlüsselt in einer Datenbank speichert?

Get used to get hacked

Der Hacker fx von phenolit brachte einmal den denkwürdigen Satz "Get used to get hacked, even I have been
Es gibt keine 100%ige Sicherheit!
hacked". Was er damit zum Ausdruck brachte ist denkbar einfach und altbekannt. Aber gerade in Zeiten von Stuxnet und Flame, wo einzelne Staaten immensen Aufwand (zeitlich, personell und finanziell!) betrieben haben, um einzelne Ziele anzugreifen muss man dies aber endlich realisieren und danach handeln: Es gibt keine 100%ige Sicherheit. Sicherheit in IT ist immer nur die Frage wann, nicht ob man gehackt wird. Wenn ein Angreifer über genug Motivation verfügt wird er solange nicht lockerlassen bis er sein Ziel erreicht hat. Sicherheit legt lediglich die Schwelle für jeden potenzielle Angreifer höher, ganz wie beim Stabhochsprung. Irgendwann gibt es aber immer jemanden der es schafft über die Schwelle zu springen.

Kleine Anekdote: Ein Freund ist Architekt und zog mal einen schönen Vergleich zwischen Brücken und IT-Sicherheit: "Jede in Deutschland gebaute Brücke ist sicher. Nur bringt dir die Aussage nichts, wenn du mit deinem Panzer über meine Wanderweg-Brücke in der Lüneburger Heide fahren willst." Was bei dieser Aussage auch wunderbar zusammengefasst wird ist, das "sicher" nicht gleich die von Hersteller häufig versprochene allumfassende, ewig-währende und grenzenlose Sicherheit meint. Sondern viel mehr: Bis zu welchem Punkt ist etwas sicher? Oder anders formuliert, um im Jargon der Brückenbauer zu bleiben: Wie stark ist das System belastbar? Bekanntestes Beispiel hierfür dürften Virenscanner sein. Gegen bekannte Viren, Würmer, Rootkits und Trojaner bieten diese, je nach Hersteller, einen mehr oder weniger guten Schutz. Gegen unbekannte Bedrohungen oder einfach abgeänderte Varianten bereits bekannter Schädlinge, ist die Heuristik aber nur ein schwacher Konter.

Nutze Verschlüsselung wann immer möglich

Was auch bekannt sein dürfte: Das beste Passwort nützt nichts, wenn dein Smartphone das Passwort deines Mailaccounts unverschlüsselt in einem öffentlichen, ebenfalls unverschlüsselten, WLAN rumposaunt. Nutze HTTPS wo möglich, Setze bei Mail auf SMTPS, POP3s und IMAPS (mit SSL oder TLS). Meide wenn möglich SMTP, POP3 und IMAP. Unterstützt dein Mailanbieter dies nicht, würde ich mir ernsthaft Gedanken über einen Wechsel machen da dies, meiner Meinung nach, zeigt das der Anbieter nicht genug sensibilisiert ist für das Thema. Apps für gerootete Smartphones die Session-Hijacking, Man-in-the-Middle-Angriffe (MITM) oder ganz schnödes Mitschneiden von WLAN-Daten vollbringen können sind u.a. im Android-Appstore erhältlich. Die Bedrohung ist also real.

Sicherheit ist eine Illusion

Wenn wir also nun nicht sicher sind, wie kann man sich dann trotzdem sicher fühlen? Wohlgemerkt: Fühlen, nicht sein. Auch wenn einem da dutzende Anbieter von Personal Firewalls, Antivirensoftware, Anonymisierungsproxies, etc. etwas anderes erzählen wollen. Aber dazu weiter unten mehr. Nun, das Hauptaugenmerk sollte auf Schadensbegrenzung liegen.
Dazu gehört unter anderem:
  • Deine Passwörter sollten mindestens 20 Zeichen lang sein und zufällig sein
Je länger ein Passwort ist, desto höher ist der Aufwand dieses per Bruteforce zu knacken. Zudem sinkt die Chance, dass es in Listen bekannter Passwörter, oder schlimmer, in Wörterbuchlisten vorkommt. Eine Seite die sich mit Passwortsicherheit beschäftigt schreibt: Wenn jedes bekannte Passwort ausprobiert wird, wird es früher oder später gefunden werden. Die Frage ist: Was ist "Zu früh" und was "Spät genug". Mehr kann man auf www.grc.com/haystack.htm erfahren.
  • Verwende: Groß-/Kleinschreibung, Zahlen und Sonderzeichen
Betrachtet man nur Bruteforce-Angriffe, ist lediglich die Länge des Passworts wirklich ausschlaggebend für die Sicherheit. Ein 26 Zeichen langes Passwort, das nur aus dem Buchstaben "a" besteht, ist dann sicherer als ein Passwort wie: -Be98f_dRcjxJb0WOVJeSC. Eben weil es nur 22 Zeichen lang ist und der Angreifer meistens nichts über unser Passwort weiß. Allerdings ist es wesentlich schneller gecrackt wenn der Angreifer es erst nur mit dem a als einzigen Buchstaben versucht. Daher sollte auch genügend Entropie vorhanden sein, damit der Angreifer möglichst viel (Rechen-)Aufwand betreiben muss. Daher: Immer Zeichen aller vier Bereiche verwenden. Dies sind: Kleine Buchstaben, große Buchstaben, Zahlen und Sonderzeichen. Und alles unter 20 Zeichen findet sich im Zweifel in fertig generierten Rainbow-Tables bzw. Wörterbüchern. Viele Passwortmanager (Anmerk. des Autors: Ich verwende KeePass) haben zudem einen sehr guten Passwort-Generator. Solltest du unkreativ sein hilft er dir gerne weiter.
  • Einzigartige Passwörter: Verwende kein Passwort an zwei versch. Stellen
Viele User neigen dazu, einige wenige, viel zu unsichere, Passwörter zu haben und diese ohne Schema mal hier oder dort zu verwenden. Der neugierige Admin des Forums über dein Lieblingsspiel hat den PHP-Code so gepatcht, das Passwörter unverschlüsselt in der DB eingetragen werden. Dies ist praktisch, da er in der Regel auch gleich eine Mailadresse hat wo er das Passwort ausprobieren kann. Und mit den dort liegenden Mails hat er noch Infos auf welchen Seiten du noch registriert bist und kann dort das gleiche Passwort ausprobieren, oder dieses einfach zurücksetzen und ein neues setzen. Häufig fällt dies manchen Benutzern gar nicht auf "Ich hätte schwören können das es das Passwort war was ich immer nehme." heißt es dann. Und zusätzlich: Wieso vertraust du eigentlich dem Admin des Servers? Kennst du ihn? Warum gehst du davon aus das er dir (noch) nichts böses will?
  • Wenn möglich: Verwende auf jeder Seite eine andere Mailadresse
Wer ein Hosting-Paket hat oder gar einen Mailserver sein eigen nennt, kann sich Aliase auf eine Mailadresse einrichten. Oder für eine separate Domain eine sog. Catchall-Adresse einrichten. So bleibt der Loginname des Mailaccounts zusätzlich verborgen, was Bruteforceangriffe auf dieses Postfach ins leere laufen lässt.. Wenn man dann die Mailadressen noch in der Form "domain.tld@meine-domain.de" aufbaut, bekommt man auch mit, von wo wieviel Spam reinkommt. Was unter Umständen auch ein Indiz für eine gehackte Userdatenbank sein kann.
  • Speichere deine Passwörter verschlüsselt in einer für dich vertrauenswürdigen Umgebung. Idealerweise ist diese Umgebung selber verschlüsselt
Eine AES 256bit verschl. Keepass-Datenbankdatei mit Keyfile und Passphrase reicht. Wer es noch sicherer will: Das Keyfile liegt auf einem Read-Only Medium (z.B. CD-ROM) und die Keepass-DB nochmals in einem Hidden TrueCrypt Volume. Wer es noch weiter steigern will versteckt die Keepass-DB innerhalb des TrueCrypt-Volumes noch in einer passwort-geschützten ZIP-Datei mit einem sehr einfachem Passwort. Knackt ein Angreifer das Passwort der ZIP-Datei und entpackt diese, hat er parallel die Keepass-DB zerstört.

Kirika 15 Kenner - 3280 - 22. Juni 2012 - 8:38 #

Sehr schöner Artikel.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:20 #

Danke :-)

Spiritogre 18 Doppel-Voter - 11314 - 22. Juni 2012 - 8:53 #

Wirklich schöner Artikel.

Allerdings sollte man die Pferde auch nicht immer zu scheu machen. Wer benötigt als Privatanwender schon ein 20-stelliges Paßwort? Hinsetzen und sowas durch Brute-Force knacken wird sich kein Hacker der Welt, schlicht, weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.
Insbesondere, da dir das beste Paßwort gar nichts nützt, wenn du dir einen Trojaner bzw. Keylogger eingefangen hast. Für Privatnutzer ist es also eher wichtiger wirklich seinen Rechner, so gut es geht und so zumutbar es ist, zu schützen.

Sinniger ist es, aufgrund der Tatsache, dass immer wieder Webseiten gehackt werden, überall andere Paßwörter zu nutzen, zumindest aber leicht abgewandelte Formen seines Paßwortes. Und für wichtige Dinge wie den Zugang zum Provider ein völlig anderes zu nehmen.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:28 #

1. Aussage: Wer benötigt als Privatanwender schon ein 20-stelliges Paßwort? Hinsetzen und sowas durch Brute-Force knacken wird sich kein Hacker der Welt, schlicht, weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.

Erm.. Äh.. Dir ist klar und bewußt das es Tools gibt die das, auf halbwegs modernen PCs je nach Hash-Verfahren, mehrere Millionen Passwörter pro Minute oder gar Sekunde durchtesten? $Bekannter hatte mal einen Cluster von einem Hersteller als Teststellung (4 Wochen kostlos ausprobieren). Da hat er einen "John the Ripper" draufgepackt mit den distributed Patches, etc.
Das Ding hat perverse viele Millarden Hashes PRO SEKUNDE gerechnet.
Meine damaliges Root PW war nach 6 Minuten Geschichte.

Bruteforce sagt nicht ob es manuell oder automatisch abläuft nur das alles durchprobiert wird. Und selbst wenn es jemand manuell macht greift wieder meine Aussage mit der Motivation. Wer motiviert genug ist 20 Millionen PWs auszuprobieren, aber blöd genug das nicht automatisiert zu tun, wird dies eben tun, bis er durch ist.

2. Aussage: weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.

Falsch, es gibt Foren und regelrechte Marktplätze wo diese Accounts gehandelt werden. Je mehr Daten, desto wertvoller. Siehe Diablo3 :-)

3. Aussage: Insbesondere, da dir das beste Paßwort gar nichts nützt, wenn du dir einen Trojaner bzw. Keylogger eingefangen hast.

Richtig, aber das ist ein völlig anderer Angriffsvektor. Es geht hier um Passwortsicherheit. Nicht um Systemsicherheit.
Und selbst bei einem Trojaner/Keylogger kann dir mein Vorgehen immer noch helfen. Z.B. bekommt der oder die Angreifer-in darüber raus das dein lokales PW "1234test" ist. Er kennt deine Mailadresse, bisher hast du dich aber noch nicht da angemeldet. Ist dein Mail-PW anders, kennt er es noch nicht. ist es gleich, kennt er es.

4. Aussage: Für Privatnutzer ist es also eher wichtiger wirklich seinen Rechner, so gut es geht und so zumutbar es ist, zu schützen.

Richtig. Aber da gehört auch IMMER Passwortsicherheit dazu, was einfach nur ein anderer Begriff für "Zugangsschutz" ist. (StGB 202b wenn ich mich nicht irre, "Ausspähen von Daten")

gar_DE 16 Übertalent - P - 5918 - 22. Juni 2012 - 18:37 #

"Meine damaliges Root PW war nach 6 Minuten Geschichte."

Normalerweise sollte nach einigen Fehlversuchen erst einmal Sendepause sein... Es sei denn, er hatte woher auch immer den Hash, den er dann gegen die errechneten Hashs vergleichen konnte.
Übrigens muss der Angreifer am Ende nicht dein Passwort kennen, es reicht nur eine Kombination, die den selben Hash erzeugt.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 23:51 #

Nee, wir haben ja nicht gegen den Server getestet. Sondern den Hash einfach dem Cluster gegeben bzw. John the Ripper (dem Programm was zum Bruteforcen benutzt wurde). JtR hat dann die Rechenaufgaben im Cluster verteilt die Knoten haben fröhlich angefangen zu rechnen.
Und bei so geballter Rechenkraft war es eben noch 6min per Bruteforce gefunden.

derblaueClaus 12 Trollwächter - 932 - 22. Juni 2012 - 8:59 #

Wirklich toller Artikel. Danke für die Tipps, werde die meisten davon beherzigen und endlich mal anfangen verschiedene Passwörter zu verwenden.

Gaius 13 Koop-Gamer - 1712 - 22. Juni 2012 - 9:05 #

Ein Problem ist, das viele Seiten nach wie vor unsichere Restriktionen bei der Vergabe von Passwörtern haben, z.B. maximal 8 Zeichen, keine Sonderzeichen etc. - da kann man sich dann entscheiden, ob man sich ein unsicheres Passwort ausdenkt oder es gleich ganz bleiben lässt.

Viel einfacher zu merken und nicht weniger sicher als 20-stellige Zufalls-Strings wären übrigens auch einfache Sätze aus Zufallswörtern, am besten noch aus verschiedenen Sprachen. So wäre "Käsebrot tastes bueno" ähnlich sicher wie "jd$673gSDGK83hK!()§H38hd". Für die meisten Seiten ist das aber "zu lang", und vor Social Engineering Angriffen oder Blödheit hilft das natürlich auch keinem...

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 10:12 #

Ja das ist so eine Sache.. Da kotzt mich ja auch Windows Live so dermaßen an.
Wann immer ich Fallout 3 spielen will muss ich mich in Windows LIVE im Spiel anmelden, damit die DLCs geladen werden.
Das Passwortfeld lässt keine Copy&Paste zu und "Passwort speichern" nutze ich seeehr ungern. Tue ich in dem Fall aber eben doch..

Ich mein, klar kann man auch 8 Zeichen lange Passwörter sicher speichern. Aber ich denke die wenigstens Anbieter tun dies..
In der Regel ist eben doch nur ein MD5-Hash ohne Salt, weil das in allen PHP-Tutorials so gemacht wird...

KornKind 13 Koop-Gamer - 1345 - 23. Juni 2012 - 13:14 #

Schlimm bei Live ist zudem, dass es ab einer gewissen Länge nicht mehr überall funktioniert. Ich glaube sogar bei einem Windows-Live-Spiel ging's nicht, vielleicht auch bei einem Win8-Account. Habe dann den Tipp gefunden, dass das PW nicht länger als 16 (?) Zeichen sein sollte...

icezolation 19 Megatalent - 19180 - 23. Juni 2012 - 13:27 #

Ich werde in diesem Fall auch auf ein Passwort 'per Hand' ausweichen.

Skeptiker (unregistriert) 22. Juni 2012 - 14:15 #

"Käsebrot tastes bueno" ist nicht sicher.
In 16 Bits speichere ich zum Beispiel in
Bit 1-3 die Sprache (8 Sprachen) und in Bit 4-16 die
(ca. 8000) Positionen des Wortes im
jeweiligen Wörterbuch (mit 8000 Einträgen).

Sicherheit: 6 Bytes.
Also weniger als ein gutes Passwort mit 8 Zeichen

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 14:25 #

Je mehr Leute ihre Passwörter so aufbauen, desto eher werden die "Hacker" ihre Programme anpassen um genau das was du hier beschreibst zu erreichen. 4 Wörter aus 4 verschiedenen Sprachen in einer zufälligen Reihenfolge bringt nicht viel, da es im Endeffekt dann wieder nur ein Wörterbuchangriff ist...

Captain (unregistriert) 22. Juni 2012 - 14:37 #

Wie kommst du auf 8000 Wörter? Laut Wikipedia umfasst die deutsche Standardsprache ca. 75000 Wörter und insgesamt können es nach Schätzungen durchaus 500000 existierende Worte sein. Wenn man die Worte also mehr oder weniger zufällig aus dem großen Wortschatz wählt und am besten auch noch dialktbedingte Abwandlungen zulässt kommen da schon noch einige Bit an Information dazu ;) Aber klar, wenn man nur die absolut einfachsten Worte wählt ist das natürlich einfacher.

Xalloc 15 Kenner - 2873 - 22. Juni 2012 - 9:09 #

Schöner Artikel.

Ein Fehler ist mir aufgefallen: Es heißt nicht Windows Mobile 7 sondern Windows Phone 7.

Als das Playstation Network gehackt wurde, habe ich mir auch so meine Gedanken zu Passwörtern gemacht. Vorher hatte ich auch noch bei vielen Diensten das gleiche Passwort. Immerhin war ich schon so schlau, das E-Mail Passwort anders zu wählen als das Passwort für den Dienst, bei dem ich mich mit dieser E-Mail anmelde (was sonst passieren kann, hast du ja in dem Artikel erwähnt). Ich dachte mir, jetzt ziehst du das durch, dass du bei jedem Dienst ein anderes Passwort hast. Habe mich dann nach Möglichkeiten der Passwortverwaltung umgeschaut und bin dann auch bei KeePass gelandet. Durch mein Android-Smartphone habe ich die Passwörter auch immer dabei, falls man doch mal an einem fremden Rechner die Zugangsdaten braucht. Allerdings synchronisiere ich meine Passwortdatenbank mittels Dropbox...

Ich hoffe, dass viele durch diesen Artikel auch dazu ermutigt werden, ihre Zugangsdaten sicherer zu machen und es nicht erst dann machen, wenn sie gehackt wurden.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 10:24 #

Danke für den Hinweis mit Windows Phone 7, ist angepasst.

Bzgl. Dropbox:
An sich spricht nichts dagegen nur die DB per Dropbox zu verteilen und den Key selber auf jedes neue Endgerät (Handy) zu kopieren.
In bin halt Dropbox extrem kritisch gegenüber eingestellt. U.a. sagen die ja das die Dateien jedes Users mit einem eigenen Key verschl. sind. Was einfach nicht stimmt.
Es gab einen Bug womit man sich, mit beliebigen Passwort, in jeden Dropboxaccount einloggen konnte und man sah die Dateien.. Zudem gab es dann auch Probleme mit der Authorisierung von Rechnern die auf geteilte Daten zugreifen dürfen, hier konnte man sich das auch einfach erschleichen. Überprüft wurde da nichts. Und eine Verschlüsselung hätte das einfach abfangen müssen weil ein Teil des Keys (Public oder Private) fehlt. Also entweder sie lügen oder haben es extrem schlecht implementiert.

Zudem: Dropbox sagt auch, das sie identische Dateien nur 1x auf ihrem Server speichern. Ok, dafür braucht man ein Hash-Verfahren über die Datei im Klartext, den durch Verschlüsselung ändert sich die Datei und sie ergibt einen anderen Hash, dann würde das nicht gehen. Das heißt aber das zumindest Dropbox einen "Generalschlüssel" haben muss um im Zweifelsfall ALLES entschlüsseln zu können. Das sie es können müssen ist rechtlich vorgeschrieben.
Und wie toll es um den Datenschutz in den USA bestellt weiß man hier in Deutschland/Europa glaube ich. Die Datensammelwut der Amerikaner ist dann noch so ein anderes Thema.
Ebenso wie das Thema "Wie interpretieren wir die Daten die wir da haben." ist dann auch noch so ein Ding.
Einem IRC-Bekannten wurde die Anreise in die USA verweigert. Er wollte eigentlich nach Kanada, aber eben Zwischenlandung in den USA und Umsteigen..
Dort ließ ihn die Immigration Officer-Dame nicht durch. Grund? Er war mitglied im "My God" Counterstrike Clan. Das war auf dem Zettel den Sie da über ihn hatte aber so doof geschrieben das Sie dachte er wäre Mitglied einer paramilitärischen Miliz oder so...

Man merkt das ist ein Aufregerthema für mich :-)

Captain (unregistriert) 22. Juni 2012 - 11:20 #

"U.a. sagen die ja das die Dateien jedes Users mit einem eigenen Key verschl. sind. Was einfach nicht stimmt."
Das sagen sie nicht und das haben sie auch nie behauptet. Sie sagen nur, dass die Daten verschlüsselt abgelegt werden, aber es war immer klar, dass Dropbox selber im Zweifel zugriff auf die Daten im Klartext hat. Daraus haben sie auch nie ein Geheimnis gemacht, aber sie posaunen das natürlich auch nicht so heraus.

Trotzdem sehe ich darin keinen Grund, warum man ne ordentlich verschlüsselte Passwortdatenbank nicht doch in nem unverschlüsselten Dropbox Ordner aufheben sollte.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:24 #

Wie gesagt, solange du die DB nicht ausschließlich nur mit Passwort geschützt hast, sondern noch ein Keyfile benutzt welches du separat auf die Endgeräte verteilst: Aus meiner Sicht auch kein Problem.

Hast du nur eine passwortgeschützte KeePass-DB in Dropbox liegen bist du wieder anfällig für Bruteforce-Angriffe von denen du NICHTS mitbekommst.
Und wenn der Angreifer erfolgt hat und das Passwort zur DB knackt bist du richtig angeschmiert.
- Das ist auch das einzige Szenario vor dem ich WIRKLICH Angst habe bei meinem Vorgehen. Aber momentan überwiegen für mich halt die Vorteile bei weitem.

Captain (unregistriert) 22. Juni 2012 - 12:53 #

Du bist offensichtlich wirklich paranoid, aber das hast du ja in den Seitenüberschriften schon selber zugegeben.

Natürlich sollte man solche Dinge niemals auf die leichte Schulter nehmen, und "better safe than sorry" sollte immer der Leitsatz sein, aber man muss auch mal die Kirche im Dorf lassen.

Bei einer nur durch ein Passwort geschützten DB kann es dir vollkommen egal sein, ob da irgendjemand unbemerkt rum-bruteforced solange dein Passwort lang genug ist und der Verschlüsselungsalgorithmus nicht irgendwelche schwächen aufweist.
Du hast doch selber die Seite verlinkt, auf der man ausrechnen kann wieviel Entropie in einem Passwort steckt, aber offensichtlich hast du nicht verstanden, was das bedeutet.
Wenn du ein Passwort hast, dass aus 20 Kleinbuchstaben besteht, bräuchte der derzeit schnellste Supercomputer, der Sequoia, 30000 Jahre um alle Kombinationen durchzuprobieren, wenn er pro FLOP ein Passwort testen könnte (was vollkommen unrealistisch ist). Das ist selbst mit der verfügbaren Rechenzeit in einigen Jahrzehnten vollkommen ausgeschlossen, dass jemand dein Passwort per Bruteforce knackt. Mal davon abgesehen, dass deine sämtlichen Passwörter vermutlich nichtmal so viel Wert sind wie ein paar Stunden Rechenzeit auf entsprechendem System kosten.

Das bringt mich gleich zum nächsten Kritikpunkt:
"Und alles unter 20 Zeichen findet sich im Zweifel in fertig generierten Rainbow-Tables"
Das ist kompletter Schwachsinn. Von vorne bist hinten. Eine vollständige Rainbowtable mit allen Passwörtern mit 8 Zeichen (wieder nur Kleinbuchstaben) würde schon allein 202GB belegen, wenn jeder einzelne Eintrag nur ein Byte belegen würde (was auch wieder komplett unrealistisch ist). Vollständige Rainbowtables für mehr als 8 Zeichen sind dementsprechend einfach nicht möglich.

Was ich eigentlich nur sagen will: Solang man ein Passwort mit >10 Zeichen hat, braucht man sich KEINE Gedanken über Bruteforce Angriffe machen. Das ist komplett ausgeschlossen. Also lieber viel mehr auf Wörterbuchattacken und Co aufpassen, die sind nämlich wirklich gefährlich bei entsprechendem Passwort.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 13:04 #

Uh, der 1. Trollkommentar auf meinen 1. User-Artikel der auch zu meiner 1. Top News wurde. Dafür bekommst du eine Antwort.

Deine Aussage: Du hast doch selber die Seite verlinkt, auf der man ausrechnen kann wieviel Entropie in einem Passwort steckt, aber offensichtlich hast du nicht verstanden, was das bedeutet.
Wenn du ein Passwort hast, dass aus 20 Kleinbuchstaben besteht, bräuchte der derzeit schnellste Supercomputer, der Sequoia, 30000 Jahre um alle Kombinationen durchzuprobieren, wenn er pro FLOP ein Passwort testen könnte (was vollkommen unrealistisch ist).

Meine Antwort:
Ganz unten, in ROT und dick auf der Seite:
It is NOT a “Password Strength Meter.”
Und Zitat:
The #1 most commonly used password is “123456”, and the 4th most common is “Password.” So any password attacker and cracker would try those two passwords immediately. Yet the Search Space Calculator above shows the time to search for those two passwords online (assuming a very fast online rate of 1,000 guesses per second) as 18.52 minutes and 17.33 centuries respectively! If “123456” is the first password that's guessed, that wouldn't take 18.52 minutes. And no password cracker would wait 17.33 centuries before checking to see whether “Password” is the magic phrase.

Deine Aussage:
Das bringt mich gleich zum nächsten Kritikpunkt:
"Und alles unter 20 Zeichen findet sich im Zweifel in fertig generierten Rainbow-Tables"
Das ist kompletter Schwachsinn. Von vorne bist hinten. Eine vollständige Rainbowtable mit allen Passwörtern mit 8 Zeichen (wieder nur Kleinbuchstaben) würde schon allein 202GB belegen, wenn jeder einzelne Eintrag nur ein Byte belegen würde (was auch wieder komplett unrealistisch ist). Vollständige Rainbowtables für mehr als 8 Zeichen sind dementsprechend einfach nicht möglich.

Meine Antwort:
Es gibt 3 TB große HDDs. Ich habe 4 davon in einem RAID 5 in meinem Heim-NAS (Synology DS411). Macht Netto 8,71 TeraByte an Speicherplatz. Na wieviele Rainbowtables können da drauf?
Und gibt es nicht? DOCH gibt es wohl. Sogar zu kaufen.
Siehe: http://project-rainbowcrack.com/buy.php (Hab ich nun dein Weltbild erschüttert?)
^ Das war nur das 1. Ergebisse der Suchanfrage "buy rainbow table" bei Google. Es gibt auch Passwort-Cracking Dienstleister (nennt sich dann Data Recovery) die damit ihr Geld verdienen. Die haben solche Tabellen im Zweifel. Und kriminelle können dort eben so die Dienste nutzen wie legale Firmen. (Solange die kriminellen halbwegs seriös auftreten.)

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 13:14 #

Und der Behauptung ich wäre paranoid. Erm nein, bin ich nicht. Das ganze war ironisch gemeint, weil mir durchaus klar ist hier für viele "Mit Kanonen auf Spatzen geschossen wird". Wurde dann aber aus der Überschrift von jemanden rausredigiert. Ich habs dann noch aus den Seitennamen rausgenommen, damit der Titel überall gleich ist.

Und ich neige zum "Worst Case" denken. Weil er eben zu häufig eintritt. Wenn dann bin ich also pessimistisch und damit ein extrem gut gelaunter Menschen. (Was paranoide Leute, die sog. Aluhütte, in der Regel nicht sind.)

Grund wieso ich so froh bin?
"Optimisten wissen gar nicht welche freudige Überraschungen Pessimisten jeden Tag erleben."

Captain (unregistriert) 22. Juni 2012 - 13:40 #

Ja tut mir leid, das mit dem pessimistisch hab ich auch nur gesagt weil du es geschrieben hattest. Ich hab keine Ahnung wie du drauf bist und es ist mir auch egal. Ich will nur drauf hinaus, dass du vollkommen übertriebene Tipps gibst. Warum du das machst spielt nicht wirklich ne Rolle.

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:16 #

Können wir uns drauf einigen das es besser gewesen wäre wenn jemand das "paranoid" nicht auf dem Titel herauseditiert hätte? :-)

Captain (unregistriert) 22. Juni 2012 - 13:31 #

Ja, wenn jemand Argumente bringt, die du nicht wiederlegen kann muss es sich um einen Trollkommentar handeln.

Du hast offensichtlich entweder nicht gelesen was ich geschrieben hab oder es nicht verstanden. Die 202GB waren ein vollkommen unrealistischer minimalfall.

"Na wieviele Rainbowtables können da drauf?"
keine einzige vollständige für 8 Zeichen. Wenn ich den Raum auf klein/großbuchstaben +Zahlen+Sonderzeichen erweitere und nicht nur ein Byte pro Eintrag speichere sondern z.B. die 16 Byte eines MD5 hashes komm ich auf: 97000 TB. Speicher die mal in deinem Raid, viel Spaß dabei.

Und warum sollte mein Weltbild von ein paar Rainbowtables erschüttert werden, die helfen komplett veraltete Hashalgorithmen zu knacken, die Algorithmen verwenden, die eklatante Schwächen aufweisen? Da hilft dir auch ein langes Passwort nichts mehr, wenn die Algorithmen selber angreifbar sind.

Und ja, man muss nicht alle Passwörter durchprobieren, im Mittel braucht man nur die Hälfte. Die Hälfte von Unvorstellbar lange ist aber auch noch verdammt lange. Selbst wenn dein Passwort im ersten Promille liegt ist die Größenordnung die du zum Knacken brauchst immer noch ähnlich groß.
Alles weitere ist Wahrscheinlichkeitstheorie. Natürlich kann jemand der nur ein einziges Passwort ausprobiert Glück haben, aber bei den Ereignisräumen über die wir hier reden kann man sich durchaus drauf verlassen, dass das nicht der Fall ist.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 14:09 #

Ok, deal. Ich lese mir nachher in Ruhe das nochmal durch und äußere mich dann dazu hier.

Just my two cents 16 Übertalent - 4593 - 22. Juni 2012 - 9:11 #

Schöner Artikel aber unpraktikabel.
Die Masse wird bei der forderung nach zwanzigstelligen casesensitiven Passwörtern mit Sonderzeichen und Zahlen passen oder gleich bei jedem einloggen die Passwort vergessen Funktion nutzen. Das kombiniert, mit ner eigenen Mailadresse für jeden Dienst - das tut sich keiner an.
Dabei ist es letztlich doch so, dass jeder Nutzeraccount nur so sicher ist, wie die dahinter stehende Mailadresse. Habe ich zu der Zugriff, kann ich sehen, wo der Inhaber Accounts hat und diese durch die "Passwort vergessen" Funktion zurücksetzen.
Wichtiger und wirksameer als wissenschaftliche Passwörter ist ein Medienwechsel, wie ihn immer mehr Anbieter nutzen. Zugriff auf mein Bankkonto nutzt nicht viel ohne die mTAN von meinem Handy, selbst wenn ich mein Battle.net Passwort posten würde - ohne Zugriff auf meinen Authenticator kommt trotzdem erstmal keiner rein.
Facebook erfordert zum einloggen einen SMS-Code ebenso wie Paypal. Das ist etwas unbequemer, erhöht die Sicherheit aber deutlich mehr als die obigen Tipps.

Und auch wenn es völlig albern klingt, genau so sicher wie Keepass und Co ist ein simpler Zettel mit den Passwörtern unter der Tastatur. Den mal ganz ehrlich, kein Mensch bricht bei mir ein, um an mein Passwort für Gamersglobal zu kommen. Auch der Medienwechsel "Zettel" ist sicher, wenn er im privaten Umfeld genutzt wird.

icezolation 19 Megatalent - 19180 - 22. Juni 2012 - 9:30 #

Es geht sich nicht darum, unzählige Passwörter mit ausreichender Zeichenanzahl im Kopf zu haben.

Ich bin zwar ein Freund der zusätzlichen Schnittstelle, etwa das Handy als Auth-Gerät (mache ich so bei PayPal und GMail), allerdings möchte ich eine derartige Funktion auch nicht bei jedem dahergelaufenen Anbieter nutzen, erst recht keinen kleinen Foren oder ähnlichen kleinen Plattformen - sonst kann ich mir bald eine neue Handynummer zulegen.

Wird ein Zettel unter die Tastatur platziert, hat man eine Menge Spaß - vor allem beim ständigen Beschriften und ankleben weiterer Zettel, damit alles draufpasst ;P

Just my two cents 16 Übertalent - 4593 - 22. Juni 2012 - 9:59 #

Din A4 gefaltet. ;)

Eine zusätzliche Schnittstelle würde ich auch nicht überall nutzen. WEnn meine Zugangsdaten hier bekannt wären, würde derjenige hier rumrandalieren können bis mein Account weg wer und er würde meine Adresse aus dem Profil lesen können, mehr Schaden kann er nicht verursachen, das Passwort verwende ich auch nur hier. Bei Facebook, Paypal und Gmail sieht es anders aus - das sind sensible Bereiche - da nutze ich jede zusätzliche Sicherheit, die ich bekommen kann.

Den mal ganz ehrlich, Sony, LinkedIn, LastFM und Co. sind nur die Spitze des Eisberges, Firmen die a) IRGENDWANN bemerkt haben, dass jemand in ihren Systemen war und vor allem b) das öffentlich gemacht haben. Jeden Tag gehen irgendwo durch Hacks, Pfusch und Idiotie beim Anbieter Kunden- und Nutzerdaten verloren und niemand erfährt es.
Da nutzt dir dann auch das beste Passwort nichts wenn das am Ende aus der Datenbank ausgelesen werden kann.

Viel wichtiger als 20 stellen ist einfach nur die Kombination aus Nutzername und Passwort NIE mehrfach zu benutzen - richtige BruteForce Attacken auf einzelne Nutzeraccounts macht doch eh keiner - warum auch wenn man lange Listen mit Accountname + Passwort zum probieren im Netz findet.

Einer Freundin ist es passiert, dass jemand dadurch in Ihren Mailaccout gekommen ist. Dann gingen auf einmal Mails in schlechtem Deutsch an alle privaten und beruflichen Kontakte, dass sie gerade ohne Geld in Spanien festsitzt und ob ihr jemand aus der Patsche helfen könnte. Schlimm genug, dass wirklich jemand fast Geld geschickt hätte, das war auch verdammt peinlich für sie, da sie jeder drauf angesprochen hat.

CBR 20 Gold-Gamer - P - 20591 - 22. Juni 2012 - 10:59 #

Wie im Artikel beschrieben liegt es an Dir selbst, was Du daraus machst. Die Mittel sind da. Die Passwortliste unter der Tastatur ist übrigens ein Klassiker - vor allem im Büro. Ich selbst nutze eine Passwortdatenbank. Einen Passwortgenerator sollte ich aber doch noch zusätzlich nutzen.
Ein weiterer Ansatz, sich leicht zu merkende Passwörter zu erstellen, ist übrigens, die Anfangsbuchstaben eines Satzes zu verwenden. (Beispiel: Gamers Global.de ist eine super Seite, für die ich gerne bezahle. => GG.deiesS,fdigb)
Eigene Mailadressen nutze ich nur in Verbindung mit Steam bzw. GfWL - für jedes einzelne Spiel. In Verbindung mit Webshops habe ich diese Möglichkeit noch nie in Betracht gezogen.

Just my two cents 16 Übertalent - 4593 - 22. Juni 2012 - 11:11 #

Im Büro sollten selbstverständlich keine privaten Passwörter liegen, aber gerade da ist ein für andere zugängliches Passwortbackup für andere wichtig. Ich weiß noch, dass ich am letzten Tag meines letzten Jobs recht lange an einer Übersicht meiner Accounts bei externen Dienstleistern gesessen habe. Wenn ich meinen damaligen Arbeitgeber hätte ärgern wollen hätte ich das gelassen...

Ne eigene Mailadresse für jedes Steamspiel? Steam sagt, dass ich 192 Spiele im Account habe. Das wäre mir echt zu stressig...

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:38 #

Hehe, das war mal auch eine Hinterlassenschaft bei einen meiner Ex-Arbeitgeber.
Ich musste für jeden Login bei jedem Hersteller immer zu Chef dackeln. Wieso? Es gab keine Passwortverwaltung und Chef hat immer andere Mails/Usernamen/Passwörter genutzt. Ein heilloses durcheinander.

Ich habe dann jeden Zugang den ich kannte eingetragen in eine KeePass-DB und als ich nach 2 Jahren ging waren da wohl gut 90-95% der Zugänge drin. (Auch so Sachen wie Zugangsdaten für den Switch/Firewall beim Kunden, etc.).
War immre großartig wenn man beim Kunden war, nicht auf die Firewall konnte, weil Chef das Passwort nicht mehr wußte und "Erstmal suchen musste." :-)
Mein Nachfolger meinte mal er wäre ohne die DB richtig aufgeschmiessen gewesen :-)

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:13 #

Just my two cents schrieb:
> Die Masse wird bei der forderung nach zwanzigstelligen casesensitiven
> Passwörtern mit Sonderzeichen und Zahlen passen oder gleich bei jedem
> einloggen die Passwort vergessen Funktion nutzen.
Eben deswegen von mir die Beschreibung wie ich KeePass nutze und der Hinweis das es für einige der "totale Usability Horror" sein mag.

> Das kombiniert, mit ner eigenen Mailadresse für jeden Dienst - das tut sich keiner an.
Doch, mindestens einer. Ich ;-)
Zudem: Mir ist klar das da niemand sich 300 Mailaccounts bei web.de/GMX oder sonstwo macht. Deswegen arbeite ich mit Aliasen auf einen zentralen Mailaccount auf meinem Mailserver. Kommt von wo zuviel rein wird die Mailaddi geändert und der Alias gelöscht, was einer nicht existente Mailadresse ergibt und somit vom Spamfilter weggefiltert wird.

> Dabei ist es letztlich doch so, dass jeder Nutzeraccount nur so sicher ist,
> wie die dahinter stehende Mailadresse. Habe ich zu der Zugriff, kann ich
> sehen, wo der Inhaber Accounts hat und diese durch die "Passwort vergessen"
> Funktion zurücksetzen.
Richtig, nur führt "Passwort vergessen" in der Regel eben dazu das jemand merkt das sich was getan hat. Und darum geht es ja auch irgendwo.

Pitzilla 18 Doppel-Voter - - 11356 - 22. Juni 2012 - 9:42 #

Netter Artikel. Ich nutze KeePass sogar auf einem Blackberry, könnte man oben in der Aufzählung noch ergänzen.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 10:15 #

Danke für den Hinweis, habs mal ergänzt.

grimmi 10 Kommunikator - 466 - 22. Juni 2012 - 10:08 #

Alles, was man über Passwörter wissen muss: http://xkcd.com/936/

Machiavelli 13 Koop-Gamer - 1470 - 22. Juni 2012 - 11:12 #

Oh man genau den wollt ich auch posten :)

Anonymous (unregistriert) 22. Juni 2012 - 10:53 #

Problem: Online-Banking Portale die nur 4-6 stellige PW ermöglichen. Anderes Problem: PW super, linkedIn lässt sich hacken und verliert das 20stellige PW.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:15 #

Deswegen nirgends 2x das gleiche PW verwenden. Dann greift das unter "Zusammenfassung" beschriebene 5-Minuten-Wohlfühl-Szenario.

Green Yoshi 20 Gold-Gamer - 24031 - 22. Juni 2012 - 11:28 #

Ich hab mir ja angewöhnt bei Opera nur auf den Schlüssel zu klicken, um mich irgendwo einzuloggen. Nutze vielleicht drei verschiedene Passwörter, zumindest das Passwort meines Mailanbieters hab ich letztens nach 10 Jahren geändert, es war etwas zu kurz und hatte weder Großbuchstaben, noch Sonderzeichen.

Jonas -ZG- 17 Shapeshifter - P - 7290 - 22. Juni 2012 - 11:36 #

Das Thema ist grad wieder aktuell. Irgend eine südkoreanische IP wollte auf meine E-Mail Adresse zugreifen.

Was mich wiederum stört ein ellenlanges Passwort mit Zahlen, Buchstaben, Sonderzeichen juhu...

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 11:57 #

Gerade wieder? Ich gehe jetzt mal davon aus das du einen Rootserver hast o.ä. Den die meisten Freemail-Anbieter die ich kenne, zeigen nicht an von wo jemand versucht auf meinen Account zuzugreifen. (Falls deiner das tut: Bitte gib mir mal den Namen, gerne auch per PN.)

Ich habe 2 Rootserver, auf einem davon läuft ein VMware ESXi, der nochmal mehrere virtuelle Systeme bereitstellt. Windows wie Linux-Kisten.. Und glaub mir, SSH-Bruteforces habe ich mehrere hundertversuche die Minute pro Server, hinzukommen Scanner auf bekannte Lücken in irgendwelchen Webapplikationen (Typo3, Joomla, AWStats, PHPMyAdmin, etc. pp.). Dazu kommen dann Dinge wie Smurf-Angriffe, kleinere DoS/DDoS-Angriffe, weil jemand meinen Hoster scheiße findet (oder wieso auch immer). Etwas gezieltere Portscans in der Hoffnung einen telnetd zu finden o.ä.
Dann Bruteforceangriffe auf alles was nur ein automatisierte Bruteforce zulässt. (Mail, htaccess, etc.).

Und DAS ist nur das normale Grundrauschen im Internet. Über eine IP mache ich mir schon lange keine Sorgen mehr. Außer die Scan-Muster zeigen das dort jemand gezielt vorgeht.

Just my two cents 16 Übertalent - 4593 - 22. Juni 2012 - 12:23 #

http://support.google.com/mail/bin/answer.py?hl=de&answer=45938&ctx=gmail

;)

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:39 #

Oh. Doh. Ja, Google hab ich alleine schon wegen meinem Android-Handy und dem Google Marketplace.
Aber das Maildingsbums nutze ich nicht wirklich :-)

Aber danke für die Aufklärung.
Bestätigt aber mal wieder das was ich von Google halte. Eben das die einfach erfrischend anders sind in vielen Dingen.
Kristian Köhntopp hat das alles mal viel besser, extrem fundierter und wesentlich verständlicher formuliert als ich es je könnte.
Siehe: http://blog.koehntopp.de/archives/2665-Das-Google-Missverstaendnis.html

Anonymous (unregistriert) 22. Juni 2012 - 19:33 #

Seltsame Einstellung, da dieser Artikel so offensichtlich einseitig geschrieben ist das er schon aus der Werbeabteilung von Google stammen könnte.

60% philantropische PR (Energieeinsparung = Ausgabenersparnis = Profiterhöhung <> Umweltschutz als Hauptmotivation), 20% Effizienzhype, 10% Arbeitsbedingungsmythos, 0% über die endlosen Verstöße gegen die angebliche Don't BE evil Big Brother Verstöße.

Eine Frage: Du bist arbeitstechnisch notgedrungen sehr auf Datensicherheit bedacht. Wie lässt sich das u.a. mit Googles Geostalking, Wifi-sniffing, Accountdaten-konsolidierung (auch über eindeutige Android-ID-zuordnung) und Gmail-Keywort-Überwachung in Einklang bringen? Bist du technisch so versiert das du all diese Probleme neutralisieren kannst, oder ist das nachdem System- und PW-Sicherheit abgedeckt sind, für dich nicht relevant?

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:29 #

Mhmm weiß nicht. Ich teile deine Meinung nicht. Ich kann dir nur raten dich mit Kristian mal näher auseinander zu setzen. Der Mensch hat einfach eine technische und menschliche Sicht der Dinge die man selten sieht. Und zudem auch ein Wissen und Wortschatz der es ihm gut erlaubt das rüberzubringen.

Zu dem Rest will ich mich nicht äußern. A) Weil es hier den Rahmen sprengen würde, B) Weil es mir gerade zu spät dafür ist :-)
Nur so viel: GMail nutze ich nicht. U.a. auch deswegen. Beim Rest ist es mir entweder egal, oder ich verweigere mich so gut es eben geht.

Anonymous (unregistriert) 23. Juni 2012 - 9:23 #

Die philantropische Seite von Google mit 20% Time etc ist gut und schön (genauso wie die von MS und anderen wenig vertrausnwürdigen Firmen), bereinigt aber nunmal noch lange nicht das "google-Missverständnis". Schon garnicht wenn man die Kritikpunkte garnicht anspricht.

Zum Rest: Ok

Makariel 19 Megatalent - P - 13843 - 22. Juni 2012 - 12:13 #

Danke für den Hinweis auf KeePass, sowas suche ich schon länger war aber bislang zu paranoid es selbst auszuprobieren ;)

Neulich wurde das online-system über das ich meine Kreditkarte verwalte umgestellt. Jetzt erlauben sie plötzlich nur noch passwörter mit 6-8 Zeichen(!) und ohne Sonderzeichen (!). Ich bin grad am überlegen meinen Kreditkartenanbieter zu wechseln.

icezolation 19 Megatalent - 19180 - 22. Juni 2012 - 12:19 #

Ich hab unter den Portalen, die ich häufiger besuche, eins dabei welches mindestens 4, maximal 15 Zeichen fürs Passwort verlangt. Allerdings sämtliche Zeichen erlaubt - immerhin ^^

Bei PayPal sind 20 Zeichen wohl das Limit. Warum Bank-/Kreditkarten Portale auf so kurze Passwörter beharren verstehe ich auch nicht so ganz.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:44 #

Kann ich dir zumindest partiell beantworten: Weil Sie keinen Grund dazu sehen.

Bei Kreditkarten haftet der Betreiber für Schäden. Also Visa, Mastercard, Barcleycard, etc. Deswegen gibt es dort den PCI DSS. Den Payment Card Industry Data Security Standard. Dieser definiert eine große Menge an strikten Sicherheitsvorgaben was du zu tun hast und was zu unterlassen. Ziel ist eben eine sichere IT-Infrastruktur. Nur wer PCI DSS zertifiziert ist, darf dann Kreditkartendaten verarbeiten. Keine Versicherung der Welt wird dich absichern wenn du in Kreditkarten machst, aber nicht PCI DSS zertifiziert bist.

Bei Banken haftet der Kunde wenn Geld vom Konto abgebucht wird. Lieblingsargument ist dann immer: "Sie haben ihre TANs rausgegeben." oder "Sie hatten eben die PIN der EC-Karte im Geldbeutel notiert." Das diese Art der Argumentation viel zu kurz greift stört die Banken nicht. Das häufig EC-Automaten manipuliert sind, oder in Geschäfte einzig und allein zu dem Zweck eingebrochen wird um dort die EC-Reader auszutauschen: Es stört sie nicht. Sie müssen für den Schaden nicht haften.

derblaueClaus 12 Trollwächter - 932 - 22. Juni 2012 - 23:15 #

Falsch. Bei EC-Karten findet "nur" eine Beweislastumkehr statt. D.h. der Kunde kann Beweisen, dass er die PIN nicht neben oder mit seiner Karte aufbewahrt hat und kann damit den sogenannten Anscheinsbeweis wiederlegen. ( Diese Beweislastumkehr ist in den letzten BGH-Urteilen auch stark aufgeweicht worden.) Dann haftet auch die Bank aufgrund des mangelhaften Sicherheitssystems.
Bei den TANS ist es wieder anders. Hier haftet nach den neusten Urteilen wohl nur wer grob fahrlässig handelt. Hier ist also wieder die Bank in der Beweispflicht.
Ein angebliches "zu kurz greifen" kann ich hier also nicht erkennen. Im Endeffekt gilt halt für den Kunden : Augen auf beim Bargeldkauf. ;)

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:29 #

Ah ok, danke für das Update :-)

Captain (unregistriert) 22. Juni 2012 - 13:06 #

So kurze Passwörter sind schon ok in solchen Fällen. Wenn das Konto bei zu vielen Fehlversuchen das Konto sperrt, kann nicht viel passieren.
Die langen Passwörter braucht man ja nicht, weil sonst jemand bei ner Webseite versucht sich per Bruteforce einzuloggen, da die Anbieter eigentlich entsprechende Sperren haben sollten und es auch viel zu lange dauern würde, wenn man bei jedem Versuch auf ne Antwort übers Internet warten müsste.
Die langen Passwörter braucht man, damit nicht jemand, der die Passwortdatenbank eines Anbieters knackt nicht einfach das Passwort zu dem Passworthash finden kann. Das ist bei ner Bank dann aber auch schon egal, denn wenn jemand den Webserver der Bank gehackt hat, macht der garantiert ganz andere Sachen, als die Passwörter der Kunden rauszufinden um dann ihr email-Konto oder ähnliches zu knacken...

Wenn man bei jeder Webseite ein anderes Passwort hat, ist die stärke der einzelnen Passwörter übrigens nicht mehr wirklich entscheidend, aus oben genanntem Grund.

Ardrianer 19 Megatalent - 18697 - 22. Juni 2012 - 12:28 #

schöner Artikel. leider scheitert so eine Passwortpolitik meist an der Bequemlichkeit des Users (wo ich mich selbst nicht raus nehmen will ^^ )

TASMANE79 14 Komm-Experte - 1843 - 22. Juni 2012 - 12:35 #

Toller Artikel, aber als IT-Noob leider alles auf spanisch.
Könnte man die Eine oder Andere Aussage nicht mit einem Organigramm aufpeppen? Bei den vielen Fachausdrücken ist es sehr schwer zu verstehen.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:47 #

Hmmm eigentlich habe ich genau versucht darauf Rücksicht zu nehmen.

Vorschlag zu Güte: Ich schreibe noch 2 User-Artikel.
1x Erklärung der Begriffe, 1x weiterführende Hinweise also: Systemsicherheit, etc.

Dauert aber etwas.

Alternativ darfst du mir auch gerne die Stellen geben die dir Kopfzerbrechen bereiten. Dann schau ich mal ob/wie ich das umformulieren kann.

Desotho 15 Kenner - 3615 - 22. Juni 2012 - 12:43 #

Und sich dann auf einer Website nen Drive-by-Virus einfangen und sich wundern dass das 20 Stellige Passwort irgendwie doch nichts brachte :)

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:48 #

Wie oben erwähnt. Das ist ein anderer Angriffsvektor. Das was du beschreibst ist Systemsicherheit.
Passwortsicherheit ist ein Unterpunkt von Systemsicherheit. Mehr nicht.

icezolation 19 Megatalent - 19180 - 22. Juni 2012 - 12:57 #

Wenn alles wegen einem einzigen Passwort vor die Hunde geht, dann hat man ja schon von Beginn seiner persönlichen Passwortsicherheit was falsch gemacht ;) Es geht ja schließlich auch um übergreifenden Schutz mithilfe von mehreren Passwörtern.

Fred DM (unregistriert) 22. Juni 2012 - 12:46 #

ein bisschen übertrieben für privatuser.

und wieso kommt niemand auf die idee, seine passwörter einfach auf einer liste aufzuschreiben?!? stattdessen elektronische passwortmanager? wieso einfach wenns auch umständlich geht...

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 12:50 #

Ansichssache. Ganz ehrlich? Blatt Papier kann JEDER lesen. Nicht verschlüsselt.
Zudem kannst du darin nicht suchen und ersetzen. Musst alles manuell durchgehen: Fehleranfällig.

Aber wie gesagt: Muss jeder für sich selbst entscheiden.

Fred DM (unregistriert) 22. Juni 2012 - 12:57 #

so? wieviele fremde können denn bitte bei dir zuhause neben dem bildschirm deine dokumente einsehen?

also bei mir bin das nur ich.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 13:27 #

Bitte NICHT beleidigt fühlen, die Vorlage ist einfach zu gut.

Mein Konter:
Ich. habe. Freunde.

;-)

Etwas sachlicher: Nun, dann musst du den Zettel aber auch überall mit dir herumschleppen wenn du aus dem Urlaub oder Arbeit Zugriff auf alle eine Accounts willst.
Oder du hast nur die Anforderung das du nur von zu Hause in deine Accounts einloggst. Alles legitime Anforderungen. Aber eben nicht meine.

Ich habe die Anforderung alle meine Logins immer bei mir zu haben. Egal ob ich im Urlaub bin, in der Disco oder beruflich unterwegs. Ich kann halt nicht in die Zukunft schauen und muss im Zweifel in der Lage sein mich in 5min aus dringendem Grund irgendwo einzuloggen. (Und wenn es nur wegen der Rufbereitschaft ist die ich im Job mache.)

Da wäre mir ein Zettel viel zu unsicher.
Ach, und würde außerdem gegen die IT-Security Richtlinien verstoßen. Für deren Einhaltung ich mit meiner Unterschrift gebürgt habe und bei Verstoß (je nach schwere) durchaus eine Abmahnung drin ist. Bis hin zu Schadensersatzforderungen und Kündigung. Ich habe Zugriffe auf Kundendaten. Und das nicht wenige und nicht unwichtige.

Anonymous (unregistriert) 22. Juni 2012 - 13:45 #

Bei Rufbereitschaft reicht Mail. Eine Mail. Wenn überhaupt (bedeutet immernoch, dass du jederzeit ans Tel gehst, email ist ein Brief).
Aber wo müßtest du dich aus dringenden Gründen in 5min wo einloggen können.
Facebook, Steam, g+, Amazon, Privatforen? Doch höchstens auch nur Mail oder irgend ein Messenger.

Barkeeper 16 Übertalent - 4235 - 22. Juni 2012 - 14:06 #

Ich verstehe deinen 1. Satz nicht. Und bedenke bitte das wir bei uns im Unternehmen Prozesse haben an die ich mich halten muss. Und ich werde eben per Telefon alarmiert. Egal ob um 3 Uhr Nachts oder 14 Uhr Nachmittags wenn ich eh noch auf Arbeit bin.

Und zum 2. Teil: Wie gesagt. Das weiß ich nicht. Daher die Anforderung. (Worst Case Szenario)
Das naheliegenste wäre: Ich erfahre von einem Hack und kann, dank Smartphone und "mobilen Internet", in 5min mein PW ändern.

Fred DM (unregistriert) 22. Juni 2012 - 14:39 #

du schreibst ja hier auf einer gaming-webseite, nicht in einem forum für vertraglich gebundene IT-sicherheitspezialisten, also macht es kaum sinn richtlinien für letztere auf die besucher von ersterer zu übertragen.

lässt du echt deine "freunde" deine dokumente durchsuchen? wieso sollten die das überhaupt machen? und wieso musst du bei angeblichen freunden dann passwort-missbrauch fürchten? das passt alles nicht zusammen.

die paar passwörter die ich tatsächlich unterwegs brauchen könnte, weiss ich auswendig. die restlichen paar dutzend sind wohl kaum so wichtig, dass ich sie tag und nach auf mir rumtragen müsste.

mir scheint, du konstruierst hier absichtlich situationen, die sich so nie ergeben oder für 95% der user hier keine relevanz haben, um deinen artikel zu rechtfertigen (nicht, dass du das überhaupt müsstest).

Old Lion 26 Spiele-Kenner - P - 67913 - 22. Juni 2012 - 13:19 #

Jemand der einbricht?

Fred DM (unregistriert) 22. Juni 2012 - 14:32 #

lol wo ich wohne ist in 30 jahren keiner eingebrochen. ginge auch gar nicht, im 2. stock, und ständig leute im treppenhaus oder generell zuhause.
und wenn einer einbricht hat er wohl besseres zutun als einen stapel unordentlich ausschauender notizzettel zu durchsuchen. ich glaube auch kaum, dass jemand einbrechen würde, um meinen Steam-account auf diese weise zu stehlen. ich würde sogar sagen, dass ein einbrecher wohl vorher einen wichtig ausschauenden elektronischen passwort-manager mitnehmen würde, oder gleich den tresor, in dem du ihn versteckst...

aber jedem das seine. man sollte sich nur bewusstsein, dass paranoia eine krankheit ist und behandelt werden sollte...

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 14:07 #

Ein Blatt Papier ist aber sehr viel unpraktischer, wenn es um Backups geht. Die Keepass DB kann man relativ simpel in einem Backupprozess mit einbauen (CDs/DVDs/externe Platten/eigener Webspace/...)

Fred DM (unregistriert) 22. Juni 2012 - 14:33 #

was hat haben kontozugangsdaten mit sicherungskopien zu tun? ich dachte wir reden hier über so sachen wie e-mail- oder Steam-passwörter.

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 15:43 #

Wenn du dein Blatt Papier mit den Passwörtern verlierst / Wasser drüber läuft / anders unbrauchbar oder auch nur teilweise unleserlich wird, sind die Passwörter weg.

Genauso bei der Keepass Datenbank: Wenn das Speichermedium kaputt geht, sind die Passwörter futsch.

Wenn das nun zufällig generierte Passwörter sind, oder schwer zu merkende, ist das ein Problem.

Es ist sicher einfacher die Keepass Datenbank zu sichern, als ein Blatt Papier. Sehe ich jedenfalls so ;)

wolverine 16 Übertalent - P - 4340 - 22. Juni 2012 - 13:18 #

Außerordentlich guter Artikel! Sehr schön.

Novachen 18 Doppel-Voter - 12905 - 22. Juni 2012 - 13:35 #

Ich nutze tatsächlich auf allen Seiten ein recht ähnliches Passwort. Besteht aus einem leicht für mich merkbaren Satz und besteht aus rund 50-70 Zeichen. Ohne irgendwelche Sonderzeichen etc., sondern ganz normal geschrieben und in 13 Jahren ist damit noch nie was passiert, egal ob es sich um mein privates oder um mein berufliches Passwort handelt.

Das ist sicherer als wenn ich da ein Wort mit Nummerischen, Groß, und Sonderzeichen nutze. Dieses erstellen von unmerkbaren Kombinationen mit Sonderzeichen, Zahlen und Großbuchstaben mitten drin etc. macht es nur für einen schwierig: Für den Menschen. Der Computer interessiert es nicht wirklich, ob da "Passwort" oder "P4$§W0rt" als Passwort gewählt wurde. Die Sicherheit ist bei beiden absolut gleich gering.
Das es tatsächlich Programme wie ICQ etc. gibt, wo es nur eine beschränkte Zeichenlänge gibt, ist in Sicherheitsaspekten natürlich total dämlich. Denn es ist vollkommen egal ob man da diese 8 Zeichen mit Kombinationen vollpumpt oder nur die selbe Zahl verwendet. Wer es knacken will, schafft es so oder so sehr schnell.

Aber gut, dass hier jemand anspricht, das in erster Linie die Passwortlänge über die Sicherheit entscheidet. Ein 100% sicheres Passwort gibt es nicht, aber man kann eben den Aufwand es zu knacken in die Unendlichkeit bewegen. Oder zumindest ein paar tausend bis hunderttausend Jahre dafür zu brauchen bis alle möglichen Kombinationen gelöst worden sind. Wenn Passwörter mies gesichert werden, was ja sowieso sehr verbreitet ist, spielt das aber überhaupt keine Rolle. Dann ist eh alles ein total offenes Buch, egal ob ein Passwort 1 oder 100 Zeichen besitzt.

Captain (unregistriert) 22. Juni 2012 - 13:44 #

Ein sehr langes dafür aber leicht merkbares Passwort halte ich auch für am besten. Aber welche Webseite lässt es denn zu 50 Zeichen lange Passwörter zu benutzen? Erlebe es oft genug, dass schon bei mehr als 10 oder 12 Schluss ist. Aber dann fordern, dass unbedingt ne Zahl drin ist :facepalm:

Novachen 18 Doppel-Voter - 12905 - 22. Juni 2012 - 13:55 #

GamersGlobal kann das unter anderem *g*. Amazon, GamersGate, PayPal, Skype und Steam machen das auch. Und das sind für mich alle wichtigsten Seiten wo es auch um Geld geht.

Unter anderem sagt mir auch GamersGlobal, dass mein Passwort nur "mittel" sicher ist, weil ich keine Zahlen habe. Aber es verhindert nicht, ein Passwort ohne Zahlen zu erstellen. Ich persönlich bin nicht der Meinung, dass das Passwort mit einer Zahl sicherer wäre, nur wäre es für mich schwieriger zu merken. Statt einen einprägenden Satz müsste ich auch noch wissen wo welche Zahl steht.

Anonymous (unregistriert) 22. Juni 2012 - 13:56 #

Bei kurzen PwDs ist es sicherer gegen einen Bruteforce. Einfach weil du die möglichen Zeichen noch mal um 10 erweiterst.
Aber bei 50 bis 70 Zeichen, da könntest du selbst nur Kleinbuchstaben verwenden.

Hoffe nur es sind keine Umlaute drin. Die hat bei mir mal ein Dienst zwar bei der Passworterstellung akzeptiert, aber nicht bei der Eingabe zum Einloggen...

Novachen 18 Doppel-Voter - 12905 - 22. Juni 2012 - 14:05 #

Das ein Passwort zum einloggen nicht funktioniert, merkt man ja spätestens dann, wenn man sich sofort nach der Registrierung einloggt. Wenn es wirklich nicht funktionieren sollte, "Passwort vergessen" unter Umständen Geheimfrage beantworten und noch einmal ein neues setzen und das ganze von vorne.

Probleme mit Umlauten hatte ich bisher aber noch nie :-). Und ich nutze eben auch Großbuchstaben, weil ich da irgendwie dann doch auf Rechtschreibung bestehe. Und wenn es rechtschreiberisch richtig ist, ist das für mich sogar noch einfacher zu merken, als wirklich absichtlich alles klein zu schreiben :D. Aber das sieht schon jeder anders.

Sicherlich erhöhst du die möglichen Zeichen, aber macht das wirklich einen großen Unterschied? Gängige BruteForce Methoden testen sowieso sämtliche möglichen Zeichen durch. Und bei ein paar tausend Eingaben in der Minute geht es hier vielleicht nur wirklich um einen kleinen Unterschied wo das Passwort ein paar Sekunden/Minuten länger hält und wir hier nicht wirklich von Stunden oder Tagen sprechen. Diese Geduld werden die Leute die ein Passwort knacken möchten, am Ende wohl doch noch haben.

Anonymous (unregistriert) 22. Juni 2012 - 13:41 #

Den Privatusern kann man es auch etwas einfacher machen.
Passwörter aus gleichen Elementen aufbauen. Aber unterschiedlich angeordnet und teilweise modifiziert. Verringert den Aufwand für den Nutzer aber nicht für den Angreifer. Dann noch irgendwo etwas aus dem Einstreuen für das das Passwort ist und fertig.
Der Angreifer weiß nicht welche Teile du wie Angeordnet hast, wo die Modifikationen sind und wo und vor allem was noch von der Seite für die das Passwort ist drin steht.

Vor allem auch einfacher zu Merken.

An sonsten schützt das schönste Passwort nicht, wenn keine Sonderzeichen erlaubt sind, die Hashes sich ohne Salz problemlos zurückrechnen lassen oder die Passwörter nicht Case sesitiv gespeichert werden. Nett sind auch Anbieter, die bei zu vielen Loginversuchen hintereinander kein Delay haben.

Der Nutzer ist in der ganzen Passwortsicherheit nur ein kleiner Fisch. Und wenn er nicht komplett blöde Passwörter verwendet (123456 oder so), für "begehrte" Accounts (irgedwas wo Geld hinter steht) etwas längere nimmt, sich klar ist, dass NIEMAND NIEMALS über eine email nach Logindaten fragt und versucht seinen Rechner von Keyloggern sauber zu halten, dann hat er eigentlich schon alles getan was geht.

Alles was darüber hinaus geht ist eher vergebene Liebesmüh. Besonders der Absatz mit der verschlüsselten Zip in Truecrypt. Das ist doch nur für mobile Geräte hoffe ich. Denn sobald sich ein Keylogger zwischenschaltet nützt selbst ein Passwortsafe nix mehr. Da kann ich auch den Passwortmanager vom Browser nehmen. Zumindestens FF verschlüsselt die gespeicherten Passwörter sobald ein Masterpasswort gesetzt wird. Und das wohl mit einer ganz passablen Verschlüsselung. Ist aber eh egal. Ist der Trojaner auf dem Rechner nützt auch das nichts. Hilft eher gegen physischen Zugriff oder eventuell wenn jemand per Remote raufkommt. Sonst sind alle Passwortmanager nichts wert.

Bei Keyloggern hilft ja nicht mal das Blatt.

Und so wie es aussieht sind es eher die Keylogger oder die Angriffe an der Quelle, die die Daten bringen.

Die Empfehlung wäre eher, mach nichts über das Netz von dem du nicht willst, dass es kompromitiert wird.

So ein Forenacc ist nicht wild. Wenn es aber um Onlinebanking geht oder bei Ama die Kontodaten auf Bankeinzug stehen ist das schon was anderes. Selbst die ganzen tollen Accounts für Spiele sind da eher kritisch. Besonders wenn da X tausend € drin angelegt sind.

Zyween 11 Forenversteher - P - 608 - 22. Juni 2012 - 13:54 #

Seit ca. einem Jahr verwende ich Bücher zur Passwortgenerierung.
Da immer irgendwelche Bücher bei mir gerade gelesen werden, nehme ich mir eins, wenn ich wieder ein Passwort brauche, blättere darin rum und tippe an irgendeiner Stelle auf einen Satz. Davon nehme ich die Anfangsbuchstaben. sollte der Satz zu kurz sein, wird halt der nächste satz auch noch genommen. Groß- und kleinschreibung der Wörter wird auch berücksichtig und die Seitenzahl wird auch noch eingebaut.
Bei vielen Passwörtern weiß ich selbst nicht mehr aus welchem Buch sie stammen. Das Passwort trage ich dann in ein Notizbuch ein, das in einer abgeschlossenen Schublade irgendwo in meiner Wohnung ist.
Das erscheint mir persönlich sicher genug!

Skeptiker (unregistriert) 22. Juni 2012 - 14:28 #

Da fehlen Zahlen und Sonderzeichen.
Durch die Beibehaltung von Groß- und Kleinschrift machst
Du es den Angriff wieder viel zu einfach.
Wenn Du sowieso einen Zettel brauchst, um die richtige
Stelle im Buch zu wissen, würde ich auf dem Zettel ein
Muster vermerken.
So könnte "192345678" auf die Verwürfelung der Anfangsbuchstaben
hindeuten und "xXxxXxxXx" auf die Schreibweise (groß/klein).
Die erste/letzte Ziffer der Verwürfelung könnte ausserdem auch die
Seitenzahl kodieren (Seite 100 + 1*10 + 8), oder
(Seite 70 + 1*10, Ab Wort 8), oder (Seite 50 + 1 Seite, Setze
':' an Stelle 8 im Kennwort).
Diese Art der Kodierung darfst Du natürlich nicht aufschreiben und nicht vergessen ...

Skeptiker (unregistriert) 22. Juni 2012 - 14:55 #

Ein Kennwort der Form "a" ist genau so schnell
geknackt wie ein Kennwort der Form "aa", "aaa," usw.
Selbst, wenn das 32 Zeichen lang ist.
Eine Attacke die alle Kennwortlängen parallel durchtestet,
findet die Lösung prinzipiell immer schon in Schritt 1.
Ich langweile auch mal mit etwas Informatik:

Kleinbuchstaben: 26 (< 32 ~ 4 Bit)
Länge: 1-32 (4 Bit).
Die Wiederholung eines beliebigen Kleinbuchstabens von 1-32 Mal
kann ich in einem Byte kodieren.
Sicherheit: 1 Byte

Ähnlich schlecht verhalten sich auch längere Wiederholungsketten,
z.B. "abcABCabc" als Passwort.
Auch hier ist wieder die Frage, wie würde ich das kodieren?
Eine Sequenz aus drei Buchstaben: =26*26*26 <32*32*32 ~ 12 Bit.
Muster der Sequenz (0-klein, 1-groß) ist "010": 3 Bit
Sicherheit bei drei beliebigen Kleinbuchstaben und drei
Wiederholungen mit Wechsel der Groß- und Kleinschreibung:
Sicherheit: 2 Byte.

D.h. "uweUWEuwe" ist genau so sicher wie "Wm"
Erschreckend, oder?

troglodyt 12 Trollwächter - 900 - 22. Juni 2012 - 21:08 #

Es geht hier aber doch nicht darum, wie effektiv ich eine Zechenfolge codieren kann, sondern um die stochastische Chance das Passwort zu raten. Oder seh ich das falsch?
Ich halte es ja mit http://xkcd.com/936/

bolle 17 Shapeshifter - 7613 - 22. Juni 2012 - 23:03 #

Ist es denn wirklich schwerer, 4 zufällige wörter zu raten? Oder ignoriert Randall hier, dass es nicht irgendwelche Buchstabenfolgen, sondern gebräuchliche Wörter sind?

Anonymous (unregistriert) 22. Juni 2012 - 23:19 #

Schwierigkeit hängt doch von der Eingabemöglichkeit ab? Parallele Eingabe im Mikrosekundentakt ist doch hoffentlich beim regulären Webdienst-Login nicht möglich/wird nach den ersten Versuchen drastisch eingeschränkt?

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:06 #

Setzt voraus das der Entwickler da überhaupt dran denkt das da jemand versuchen könnte Schindluder mit zu treiben :-)
Manche freuen sich eher das der Dienst "so gut läuft" und das Produktmanagement ist begeistert über die vielen Kunden die sich anmelden...

Anonymous (unregistriert) 23. Juni 2012 - 9:31 #

Das finde ich schwer zu glauben. PW-Knacker gibt es ja nicht erst seit gestern, die sind sind seit fast einem Jahrzehnt auch bei den älteren Herrschaften irgendwie ins Bewusstsein gedrungen. Wenn uneingeschränkt hyperspeedlogin"Versuche" zugelassen werden scheint mir das doch absichtlich fahrlässig.

Anonymous (unregistriert) 23. Juni 2012 - 18:52 #

Der Informationsgehalt deines Passwortes sagt auch,
wie schnell es geknackt werden kann.
Wenn mein Password aus zwei rückwärts geschriebenen
Worten gesteht und der Hacker versucht genau darauf
eine Brute Force Attacke, ist er halt schnell fertig,
egal wie lang das Kennwort war.

blobblond 19 Megatalent - 18084 - 22. Juni 2012 - 15:04 #

Das sicherste Passwort ist immer noch 12345678900987654321 ;)

Michl Popichl 24 Trolljäger - 50820 - 22. Juni 2012 - 15:25 #

das könnte ich mir niemals merken :-)

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:04 #

*notier*
Jetzt nicht mehr! *mwahahahahaa* ;-)

gar_DE 16 Übertalent - P - 5918 - 23. Juni 2012 - 1:48 #

12345 hat schon vor langer Zeit die Geheimnisse von Präsidenten und Königen bewahrt ;)

bolle 17 Shapeshifter - 7613 - 22. Juni 2012 - 15:16 #

Schöner Artikel, ich werde mich die Tage auch mal hinsetzen und mein Passwort-wirrwar entwirren. Wollte ich seit Jahren machen :)

Izibaar 16 Übertalent - 5857 - 22. Juni 2012 - 15:59 #

Alles schön und gut. Aber man sollte meiner Meinung nach (auch) bei den Anbietern anfangen. Denn meiner Erfahrung nach verwendet man irgendein Hilfmittel (z.B. ähnliches Schema, Passwortgenerator), welches man auf den kleinsten gemeinsamen Nenner einstellt. Wenn drei Anbieter keine Sonderzeichen erlauben, dann verwendet man wahrscheinlich überall keines. Und wer kennt es nicht: Man liest so einen Artikel und will seine Passwörter ändern. Doch man lässt es schon beim ersten sein, da man nicht mehr als 8 Zeichen verwenden darf. Hier wäre wohl erst ein Gesetz nötig, bevor sich etwas ändert.

Was zumindest mir und wahrscheinlich auch anderen helfen würde, wäre die Möglichkeit sich mit einem Account "überall" anmelden zu können. Ansätze gibt es schon mit OpenID und sogar teilweise die Umsetzung mit Facebook. Wobei letzteres nicht Facebooknutzer ausschließt.
Resultat wäre, dass man sich eben keine >300 Passwörter mehr merken müsste und dafür eher bereit ist diese sicherer zu wählen. Auch könnte man die Passörter seiner wichtigsten (Geld) Accounts monatlich ändern. Das kann man zwar so schon, aber wenn die Masse abnimmt ist man eher bereit dazu.
Um klar zu stellen was ich mit einem Account für alles meine: Banken, Versicherungen, etc. sollten dies natürlich nicht anbieten. Gemeint sind die ganzen Spiele- und auch Shopping-Seiten für die man sich wegen einem Kommentar, Gewinnspiel oder Sonderangebot anmeldet. Hier verwendet man meist das leichteste Passwort was man hat und vergisst, dass es sich schlimmstenfalls um das Emailpasswort handelt.

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 16:17 #

Und was ist wenn die OpenID geknackt wird? Zugang zu allem was der Nutzer an Diensten benutzt? Ist ja quasi dasselbe als würde man überall die gleiche Nutzername/Passwort Kombi nutzen.

Imperitum 18 Doppel-Voter - 9391 - 22. Juni 2012 - 16:17 #

Wirklich toller Artikel, der mich jetzt dazu gebracht hat, meine Passwörter zu reorganisieren!
Man merkt auf jeden Fall, dass du eine ganze Menge Fachwissen in dem Gebiet IT-Sicherheit zu besitzen scheinst.
Darf man fragen, welche (akademische) Ausbildung du abgeschlossen hast?

Ich würde mich sehr darüber freuen, mehr solcher Artikel von dir lesen zu dürfen!
Vielleicht zum Beispiel, wie sicher und sinnvoll Firewalls von anderen Anbietern sind.
In dem Magazin c't stand vor geraumer Zeit mal ein Artikel darüber.
Diese äußerten sich recht kritisch im Bezug auf die Verwendung alternativer Firewalls, da diese (laut c't) einem schlimmstenfalls neue Sicherheitslücken ins System hauen und man deshalb mit der Windows Firewall am Besten bedient wäre.

Inwieweit diese Aussage stimmt, kann ich nicht nachvollziehen, da mein Fachbereich nicht die IT-Sicherheit ist. ;-)

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 16:20 #

Wenn es um Personal Firewalls geht muss ich immer an das hier denken: http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls

Imperitum 18 Doppel-Voter - 9391 - 22. Juni 2012 - 16:23 #

Hui, danke dir für den Link!
Das werde ich mir doch direkt mal zu Gemüte führen. :-)

Icy 12 Trollwächter - 1033 - 22. Juni 2012 - 16:26 #

Video Qualität ist so lala (hatte ich besser in Erinnerung, jaja jetzt wo fast jedes Youtube Video in 720p+ ist, ist man halt verwöhnt) aber der Inhalt ist gut.

Barkeeper 16 Übertalent - 4235 - 23. Juni 2012 - 0:02 #

Hi,
erstmal danke für das Lob. Ich habe nur eine ganz normale Ausbildung zum Fachinformatiker Systemintegration. Kein Abi, kein Studium.
Hatte aber schon vorher relativ viel Eigeninteresse. Hab vor der Ausbildung schon meinen Linux-Routserver betrieben. Das schöne an IT ist halt das du vieles zu Hause mit einem PC selber machen kannst.
Wenn er leistungsfähiger ist und du z.B. mit Xen oder VMware noch virtualisieren kannst, kannst du auch kleine Netze simulieren. Da lernt man eine Menge. :-)

Und bzgl. Firewalls.. Uha.. Lieber nicht :-)
Schwieriges Thema. Sehr schwierig. Gerade Personal Firewalls sind ein Reizthema. Ich finde sie generell zu bunt und zu wenig technisch.

Und in IT-Security mache ich auch nicht. Ich muss es berücksichtigen bei dem was ich tue. Aber wir haben ein eigenes Team dafür bei uns. Dort kann ich sog. Penetration Tests (Einbruchsversuche) im Rahmen von Projekten bestellen (Sofern ich das Budget bekomme und das Team Zeit hat ;-) ) und die Testen dann meine Server von vorne bis hinten durch und sagen mir dann wo ich überall Mist gebaut habe :-)

Sp00kyFox 18 Doppel-Voter - 10587 - 22. Juni 2012 - 18:21 #

keepass kann ich auch nur empfehlen.
schluss mit einheits- oder simpel-passwörtern. damit is man ziemlich gut beraten.

Rogaa 15 Kenner - 3856 - 22. Juni 2012 - 18:41 #

Man kann das auch weiterdenken, für _mehr_ Sicherheit.

Warum nicht ein 30 stelliges Passwort benutzen, ob jetzt 20 oder 30 ist doch Wurscht, aber 30 ist "sicherer".
Die KeePass DB natürlich auch mit einem langen PW sichern. (auch hier 30 > 20)!
KeePass DB zippen, Sicherheit? -> same procedure.
Der NAS, auf dem diese zip gespeichert wird natürlich auch.
Und warum diesen NAS nicht auch nochmal backupen, sicher ist sicher oder? ;-)
Das PW vom 2. NAS kann man ja dann auf einen Zettel schreiben und diesen in einem Einbruch- und feuersicherem Tresor zu Hause ablegen.
Naja schließlich die Zahlenkombination mit nem Schwarzlichtmarker auf nen Zettel und diesen auf ein Schweizerkonto ablegen.

puh das kann man ja unendlich weiterspinnen...

Trotzdem ein informativer Artikel.
KeePass ist was feines, nutzen wir in der Arbeit auch.

Sher Community-Event-Team - 3635 - 22. Juni 2012 - 19:17 #

Sehr schöner Artikel. Der wichtigste Grundsatz steht meiner Meinung nach direkt auf Seite 1. Man sollte zwar versuchen seine Passwörter sicher zu wählen und aufzubewahren, aber ein Restrisikko bleibt immer.

Anonymous (unregistriert) 22. Juni 2012 - 19:20 #

20-Stellige Passwörter? Aus welchen Buch hast du denn das abgeschrieben?

Oh man, typischer Fall von "ITler" >< "Anwender".

Fischwaage 17 Shapeshifter - 6765 - 22. Juni 2012 - 23:00 #

Wer sich an diese Regeln hält wird wohl sehr häufig auf den "Ich habe mein Passwort vergessen" Link klicken müssen ;)

Ich frag mich ja: Wer hat Interesse an meinen Passwörtern?

ehm GEMA (unregistriert) 22. Juni 2012 - 23:32 #

Die Marketing/Werbespam-Scammer?

Seit dem diese "seriösen" Werbepartner eine meiner Mailadressen haben sehe ich täglich 2-3 gescheiterte Loginversuche, anfangs kurze Zeit 10-13 pro Tag.

Mit seriös meine ich die Firmen die sich seriös geben. Die schreiben dann sowas wie "wir haben ihre Addi von unseren Adresspartnern in den USA, unsere Spammails sind rechtens weil sie an einem Gewinnspiel teilgenommen haben (habe ich nicht). Die Freuen sich auch wenn sie an dein Addibuch rankommen, dann können sie mehr echt aussehende Sicherheitsmails verschicken: Hallo "Vorname", "Nachname", unser Amazon-Mastercard Service will jetzt mehr Sicherheit bieten, log dich auf dieser präparierten Seite ein und gib uns deine Login-Daten".

Wenn die deine PWs nicht wollen gibt es genug möchtegern-"Hacker" und Trittbrettfahrer. Bei vielen größeren Hacks letzerer Zeit sind die PW-Listen zusätzlich zum angegebenen Hack-Grund in Kaufbörsen aufgetaucht. Beim LinkedIn Hack z.b. Interesse ist dann wohl unterschiedlich, je nachdem wer sowas kauft.

Anonymous (unregistriert) 23. Juni 2012 - 9:35 #

Wer kauft mehrmals im Jahr deine Daten beim Bürgermeldeamt? Interesse besteht für jeden der nen dummen August abzocken will.

LegendaryAfanc 16 Übertalent - P - 4984 - 22. Juni 2012 - 23:13 #

ich schreib meine Passwörter auf einen Zettel, und drucke ihn 2 mal aus, einmal kommt er in die Schublade, einmal in eine kleine Holzkiste neben meinem Rechner (in Griffreichweite), falls ich mal neue Passwörter hab, schreib ich die mit Kugelschreiber einfach auf den Passwortzettel, und wenn sich wieder was angesammelt hat wird alles komplett abgeschrieben und ausgedruckt, das passiert ca. 2-3 mal im Jahr. Passwörter sind bei mir meistens 12 stellig.

MrFawlty 17 Shapeshifter - P - 6796 - 25. Juni 2012 - 9:16 #

Hoffentlich speicherst du das Textdokument mit den Passwörtern nicht auf deiner Festplatte ;-)

So ähnlich wie du habe ich es bis jetzt auch gemacht, nur mit Handgeschrieben Zetteln, die mittlerweile ziemlich voll sind.

Ich teste gerade mal diese KeePass Sache.

Tristan 11 Forenversteher - 824 - 23. Juni 2012 - 3:53 #

Hi - ich habe den Artikel leider nicht ganz verstanden. Am Ende der 1. Seite findet sich dieser Absatz:

«Eine AES 256bit verschl. Keepass-Datenbankdatei mit Keyfile und Passphrase reicht. Wer es noch sicherer will: Das Keyfile liegt auf einem Read-Only Medium (z.B. CD-ROM) und die Keepass-DB nochmals in einem Hidden TrueCrypt Volume. Wer es noch weiter steigern will versteckt die Keepass-DB innerhalb des TrueCrypt-Volumes noch in einer passwort-geschützten ZIP-Datei mit einem sehr einfachem Passwort. Knackt ein Angreifer das Passwort der ZIP-Datei und entpackt diese, hat er parallel die Keepass-DB zerstört.»

Die Abkürzung «AES» hätte netterweise erklärt werden können. Wenn man nachschlägt, kommt man auf «Advanced Encryption Standard», es könnte aber auch für «Advanced Electronic Signature» und x- andere Sachen stehen.

Wie soll das mit dem KeePass funktionieren? Habe ich das auf dem PC selbst? Auf einer CD/USB-Stick oder auf der HDD? Oder gar auf dem Smartphone, um PWs im PC einzugeben? Wie läuft dann das Copy&Paste, was du empfohlen hast? Oder ist der KeePass auf dem Smartphone nur für Anwendungen auf dem Smartphone selbst?

Ich soll also mein Passwort für GG oder D3 per Copy&Paste von einer CD im Laufwerk des PCs holen, wo die KeePass DB in einem Hidden TrueCrypt Volume liegt?

Alles, was ich mir merken muss für die paar hundert verschiedenen Passwörter ist die Passphrase für die Key Pass DB?

Alle dort gespeicherten PW sind doch nicht sicherer als die Passphrase für KeePass DB, die man sich zulegt, oder?

MrFawlty 17 Shapeshifter - P - 6796 - 25. Juni 2012 - 9:45 #

Unter keepass.info kannst du dir die Software laden, am besten als Professional Edition "Portable KeePass 2.19 (ZIP Package)".
Das dann irgendwohin (Festplatte / USB Stick) entpacken und einfach starten.
Für die Datenbank denkst du dir dann 1 möglichst sicheres Passwort aus, was du dir dann merken musst. Ja, die anderen PW in der Datenbank sind dann nur so sicher wie das eine, aber so musst du dir nur 1 sicheres merken und nicht 100. Und es ist besser als 100 unsichere PW.
Am besten einen ganzen Satz und alle Zeichentypen verwenden.
z.B. "ICH_bin_seit_03.06/2007_bei_GaMeRs+gLoBaL"

Am besten redundante Sicherungskopien von KeePass anlegen (USB-Stick, USB-Festplatte, CDROM).

Rapterror 11 Forenversteher - P - 607 - 23. Juni 2012 - 8:17 #

Ich finde leider der Text geht an zuvielen Problemen vorbei und hält sich an Gemeinplätzen auf.
20stelliges Passwort für mein Gamerglobal account? Nie im leben, warum? Das schlimmste im Fall eines Hacks ist das nen Unbekannter in meinem Namen Liebesbriefe an Herr Langer sendet. Das würde ich verkraften. Genau das gleiche mit FB und anderen Foren.
20stelliges Passwort ist für E-Mails (über sie kriegt man sonst alle anderen raus), für den PC und alles was zugang zum Geld gibt. Grade eine Überpasswortisierung bringt nicht, insbesondere wenn man dann da hockt und bei seite xyz wieder zwanzig Passwörter durchtesten muss.
Gruss

P.S. Sonderzeichen sind meiner Meinung nach auch so ne Sache, Leute die viel im Ausland unterwegs sind kennen das Probem *, ` oder % auf der kyrillischen Tastatur zu finden. Wobei das Abgenommen hat seit man immer den eigenen Laptop dabei hat :)

Anonymous (unregistriert) 23. Juni 2012 - 9:44 #

Frage: Was hat es eigentlich mit dem doppelten Login bei Https Seiten auf sich? PW-Änderung bei Amazon brachte zb den Hinweis das Cookies erlaubt sein müssen (Flashcookies auch, bei mir deaktiviert). Cookies waren schon beim ersten Versuch aktiviert, Login wurde aber erst beim zweiten Mal erlaubt (ohne erlaubte Flashcookies). Bei Bestellungen gibt es die zweite PW Bestätigung ja schon länger. Wozu ist das gut?

MachineryJoe 16 Übertalent - P - 4341 - 23. Juni 2012 - 12:00 #

Was mich mal interessiert, ist die Menge an Bandbreite im Internet, die wir wegen solcher automatisierten Hacks verlieren (Smurf, DoS/DDoS-Angriffe, Portscans, Bruteforce o.ä.).
Gibt es keine Strategien, diese früh im Entstehen zu unterbinden, um nicht zu viel Netztraffic zu verschwenden?

Denn mal pessimistisch betrachtet, könnte das Netz ersticken an illegalen Aktionen, wenn man zu den ständigen Hacks und Scans noch die illegalen Up- und Downloads hinzurechnet. Da wird dann am Ende ständig aufgerüstet zu Lasten zahlender Nutzer.

Leider ist ja sogar mein kleiner Webspace, den ich auf Freenet gemietet habe, ständig verseucht. Und hier kann man selbst wenig machen, da man keinerlei Zugriff auf den Server hat, außer die wenigen vorgefertigten CGI-Skripts und der Upload. Da bin ich sehr enttäuscht, was einem so als "professioneller" Webspace verkauft wird.

firstdeathmaker 17 Shapeshifter - P - 6619 - 23. Juni 2012 - 12:10 #

Mal ne Frage zu den 20-stelligen Passwörtern:

Da der Aufwand zum brute-forcen eines Passwortes ja exponentiell mit der Anzahl der Stellen steigt, gehts ab 8-10 Stellen dermassen Steil nach oben das ich bezweifle, ob es bei z.B. einem Spieleaccount notwendig ist, wirklich ein 20-stelliges Passwort zu besitzen.

Merke: Das Passwort berechnen kann nur ein Angreifer, der im Besitz der Passwortdatenbank (bzw. der Hashes) ist. Und normalerweise werden die Passwörter auch noch gesalzen, wodurch ein Bruteforce-Angriff noch aufwändiger wird (jedenfalls auf eine grosse Anzahl von Passwörtern zugleich).

Ein weiterer Punkt ist: Wenn du deine Passwörter einem Program überlässt, woher weisst du, das dieses Program vertrauenswürdig ist? Und was ist, wenn jemand dein Keypass in die Finger bekommt und das Passwort knackt? Dann hat er direkt ALLE deine Passwörter, in dem Fall bringt dir das unterschiedliche Passwörter haben garnix.

Ich selbst fahre eine etwas unsichere aber dafür bequemere Strategie:
Ich habe für verschiedene Sicherheitslevel unterschiedliche Passwörter, Beispiel:

1. Für Trashige Games / Foren wo ich mich höchst warscheinlich nicht lange aufhalte.

2. Für Games bei denen es auch um Geld geht (Diablo 3)

3. Banking (überall verschiedene, dazu zählt auch Paypal)

4. Administrative (jeweils privat/beruflich getrennt)

Dadurch dass es nur eine begrenzte Anzahl von PW sind, kann ich sie mir alle merken und brauche kein Passwort-Verwaltungs-Program.

Zusätzlich habe ich für viele Webseiten eine eigene Email-Adresse (danke eigener Domain). So habe ich z.B. amazon@meinedomain etc. Dadurch kann ich dann auch prima sehen falls einer dieser Dienste meine email-adresse weiterleiten sollte an Werbepartner.

Sp00kyFox 18 Doppel-Voter - 10587 - 23. Juni 2012 - 14:50 #

das nutzen von längeren passwörtern erschwert nicht nur bruteforce-attacken (welche vom angreifer ohnehin nur genutzt werden, wenn er weiß, dass das system nur eine maximale und kleine pw-länge nutzt), sondern auch sogenannte rainbow table attacks. wo nicht das pw an sich gesucht wird, sondern umgekehrt anhand des hash-wertes des pws ein passendes gegenstück gesucht wird.
dass das praktisch machbar ist, wurde schon in der vergangenheit gezeigt. insbesondere die möglichkeit gpus für traditionelle rechenaufgaben zu verwenden, erschließen da neue möglichkeiten des angriffes.

firstdeathmaker 17 Shapeshifter - P - 6619 - 23. Juni 2012 - 16:53 #

Aber auch Rainbowtables sind kein Wundermittel: Eine Rainbowtable muss ja bei jedem neuen Hashalgorithmus neu berechnet werden. Und wenn ich einen Salt verwende (z.b: 20-Stellige Zufallszahl + PW) dann wird ein Hash dafür mit hoher Warscheinlichkeit nicht in einer Rainbowtable vorkommen. Es sein denn, es wurde ein schwacher Hash-Algorithmus mit vielen Kollisionen verwendet (z.B. der leider immer noch allseits beliebte MD5).

Anonymous (unregistriert) 23. Juni 2012 - 17:23 #

wo nehmen die diesen hash-wert her? aus keksen?

Leya 13 Koop-Gamer - 1246 - 23. Juni 2012 - 21:06 #

Danke, wieder viel dazugelernt. Sehr guter Beitrag.

Anon (unregistriert) 25. Juni 2012 - 12:41 #

Ich hätte hier mal eine Frage bezüglich Keepass.
Ist eine Kepass Datenbank "erkennbar", bzw. eindeutig identifizierbar?
Also nehmen wir mal an, ich hätte ein Verzeichnis mit 5 Dateien darin, die jeweils "aaaaa", "bbbbb", etc. heißen. Eine dieser Dateien ist meine Keepass-DB und die 4 anderen Dateien würden nur aus zufälligem binären "Müll" bestehen.
Wäre es dann möglich zu erkennen, welche Datei die Keepass Datenbank ist? Die hat doch keinen eindeutigen Header, wie "normale" Dateien, oder?

Danke im Voraus für die Infos :)

Machiavelli 13 Koop-Gamer - 1470 - 25. Juni 2012 - 13:12 #

Aus http://keepass.info/help/base/repair.html lässt sich schließen, dass eine Keepass-Datenbank im Header Informationen fürs dechiffrieren enthält und sich somit von "Random-Dateien" unterscheiden lässt. Tiefer in die Materie müsste ich mich selbst einlesen und da fehlt mir das Interesse. Kryptographie ist so ein ätzendes Thema :)

Anon (unregistriert) 25. Juni 2012 - 13:37 #

Das ist aber ja schonmal ein Anfang, danke dir!

Goldfinger72 15 Kenner - 3117 - 26. Juni 2012 - 5:02 #

Ich benutze schon seit längerem das Programm Password Depot und bin damit sehr zufrieden.

Kommentar hinzufügen

Neuen Kommentar abgeben
(Antworten auf andere Comments bitte per "Antwort"-Knopf.)