Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer:
Hilf auch du mit!
Aber wie soll ich mir das denn alles merken?
Häufig wird als Grund für unsichere Passwörter das Argument angeführt, dass man sich das alles ja irgendwie merken können muss.
Mein Ansatz ist ein anderer: Man muss sich die Passwörter doch gar nicht merken. Wenn man Dinge oft genug getan hat, kann man sie irgendwann auswendig. Wichtig ist dabei nur eine zentrale einheitliche Stelle zu haben wo man nachschauen kann wenn man es dann doch mal vergessen hat (Passwortmanager!).
So kann ich aktuell nur folgende Passwörter auswendig:
- PIN meiner EC-Karte
- Passwort für den Benutzer meine Linux-/Windows-Workstation zu Hause
- Passwort für den Benutzer meiner Linux-Workstation auf der Arbeit
- Passphrase für meinen privaten und beruflichen SSH-Key
- Passphrase für meinen privaten GPG-Key (verschl. E-Mails senden)
- Passphrase für meine KeePass Datenbank
- Passwort für meinen Battle.Net Account
Aktuell finden sich in meiner KeePass-Datenbank aber 338 Einträge. Jeder dieser Einträge hat ein einzigartiges Passwort. Es gibt also 329 Einträge wo ich das Passwort nicht kenne. Muss ich auch nicht.
KeePass öffnen, Eintrag suchen, Usernamen und Passwort kopieren, ins Loginfeld einfügen und nach 12 Sekunden löscht KeePass automatisch den Inhalt der Zwischenablage. Sicherlich mag dies für manchen der totale Usability Horror sein. Für mich ist es der Preis der Sicherheit den ich gerne zu zahlen bereit bin. Und nach zwei Jahren hat man sich dran gewöhnt. Und, wenn ich etwas persönliches anmerken darf: In den knapp zehn Jahren in denen ich beruflich mit IT zu tun habe, habe ich sehr viele Anwender erlebt die sich weitaus komplexere und unnützere Rituale eingeprägt haben. Eben weil sie es gewohnt waren. Irgendwann laß ich mal: "Es braucht ca. 40 Tage sich eine neue Gewohnheit anzueignen und ca. 3 Monate sich diese abzugewöhnen." Keine Ahnung ob dies wissenschaftlich wirklich bestätigt ist. Zu meinen Beobachtungen passt es aber.
Aber ich muss meine Passwörter immer verfügbar haben!
Ja, und? Wir leben hier in Deutschland in einer Wohlstandsgesellschaft. Jeder der sich über Passwortsicherheit Gedanken macht hat andere Sorgen als "Wo bekomme ich morgen etwas zu essen her?" Klingt fies, ist aber die traurige Wahrheit. Demzufolge gehe ich davon aus das nahezu 100% der Leser hier ein Smartphone oder Laptop besitzen. KeePass gibt es für Android, iOS, Windows Phone 7 und Blackberry. Es gibt Linux/MAC und Windows-Clients. Was hält dich davon ab es zu nutzen und zu installieren?
Ein USB-Stick mit KeePass Portable tut es zur Not auch. Wenn man denn KeePass in einer prinzipiell vertrauensunwürdigen Umgebungen einsetzen will.
Finger weg von Online Passwortdiensten!
 |
| Arbeite mit deinem Gehirn, nicht gegen es! |
 |
Ich kann es nicht genug betonen: Jeder der sich einen Account bei Online-Passwortmanagerdiensten wie z.B. Lastpass erstellt hat es nicht verstanden. Da verwendet man sehr viel Zeit und Energie drauf dort alles einzupflegen nur um
alle seine Zugänge in die Hand von Leuten zu legen die man nicht im Geringsten kennt und man demzufolge auch nicht vertrauen kann. Zudem sind Dienste wie Lastpass wohl das beliebteste Ziel wenn es um Angriffe geht. Nein, auch kein Dropbox! Keine Cloud, oder sonstwas onlineartiges. Lokal und zu 100% physikalisch unter deiner Kontrolle, das sind die Anforderungen. Minimiere die Wege von denen Angriffe kommen können. So lautet wohl das Motto beim Basisbau vieler Echtzeitstrategie-Titel. Wenn es um deine Passwort-DB geht verhält es sich exakt gleich. Und wenn du es schon Online brauchst: Was hindert dich daran dir 10 MB Webspace zu mieten und durch einen Verzeichnisschutz (z.B. htaccess/htpasswd) gesichert dort deine KeePass-DB abzulegen? Bedenke: Hoster werden auch regelmäßig gehackt.
Aber die sagen: Wenn ich dieses Produkt nutze bin ich zu 100% sicher
Frage dich: Wie definierst du Vertrauen? Vertrauen ist für mich, grob, eine Summe aus gemeinsam mit einer Person gemachten Erfahrungen und die Art wie sich diese Person dabei verhalten hat. Firmen wollen dir zuallererst etwas verkaufen. Daher muss es sicher sein, keine Firma wird dir je etwas anderes sagen oder ihre eigenen Produkte schlecht machen. Und wenn du dies nun berücksichtigst habe ich ein kleines philosophisches Paradoxon für dich: Firmen sind keine Menschen, keine natürlichen Personen. Firmen sind juristische Personen. Also eine Person (Körperschaft) die nur rechtlich als Person in Erscheinung tritt. Man kann also nur begrenzt mir ihr interagieren und Erfahrungen sammeln. Wie kann man also einer Firma, einer juristischen Person, vertrauen?
Zusammenfassung
Was will ich mit diesem Artikel erreichen? Ihr sollt nachdenken. Nicht immer alles auf die "blöden Anbieter mit ihren inkompetenten Admins" schieben. Wenn ihr von einem Hack, z.B. bei
League of Legends lest: Meldet auch in eurem Account an, ändert Passwort, Sicherheitsfrage, Mailadresse und loggt euch dann ein um weiterzuspielen. 5 Minuten Aufwand und danach das beruhigende Gefühl wieder sicher zu sein. Das sollte euer Ziel sein. Schafft quasi für jeden Account eine eigene kleine Welt. Nur diese Welt geht unter. Der Rest der Galaxis keucht und fleucht weiter. Reaktionen wie: "Ich kündige mein Abo! Ihr Vollnoobs!" sind für mich nur Anzeichen, dass dort jemand nicht im Geringsten daran gedacht hat, er könnte nicht sicher sein. Selbst mit sicherem Passwort. Verlasse dich nicht ausschließlich auf die Anbieter. Werde selbst (pro-)aktiv.
270 Kudos
Unabhängig. Meinungsstark.
Sehr schöner Artikel.
Danke :-)
Wirklich schöner Artikel.
Allerdings sollte man die Pferde auch nicht immer zu scheu machen. Wer benötigt als Privatanwender schon ein 20-stelliges Paßwort? Hinsetzen und sowas durch Brute-Force knacken wird sich kein Hacker der Welt, schlicht, weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.
Insbesondere, da dir das beste Paßwort gar nichts nützt, wenn du dir einen Trojaner bzw. Keylogger eingefangen hast. Für Privatnutzer ist es also eher wichtiger wirklich seinen Rechner, so gut es geht und so zumutbar es ist, zu schützen.
Sinniger ist es, aufgrund der Tatsache, dass immer wieder Webseiten gehackt werden, überall andere Paßwörter zu nutzen, zumindest aber leicht abgewandelte Formen seines Paßwortes. Und für wichtige Dinge wie den Zugang zum Provider ein völlig anderes zu nehmen.
1. Aussage: Wer benötigt als Privatanwender schon ein 20-stelliges Paßwort? Hinsetzen und sowas durch Brute-Force knacken wird sich kein Hacker der Welt, schlicht, weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.
Erm.. Äh.. Dir ist klar und bewußt das es Tools gibt die das, auf halbwegs modernen PCs je nach Hash-Verfahren, mehrere Millionen Passwörter pro Minute oder gar Sekunde durchtesten? $Bekannter hatte mal einen Cluster von einem Hersteller als Teststellung (4 Wochen kostlos ausprobieren). Da hat er einen "John the Ripper" draufgepackt mit den distributed Patches, etc.
Das Ding hat perverse viele Millarden Hashes PRO SEKUNDE gerechnet.
Meine damaliges Root PW war nach 6 Minuten Geschichte.
Bruteforce sagt nicht ob es manuell oder automatisch abläuft nur das alles durchprobiert wird. Und selbst wenn es jemand manuell macht greift wieder meine Aussage mit der Motivation. Wer motiviert genug ist 20 Millionen PWs auszuprobieren, aber blöd genug das nicht automatisiert zu tun, wird dies eben tun, bis er durch ist.
2. Aussage: weil es sich nicht lohnt einzelne private Rechner bzw. Accounts zu hacken.
Falsch, es gibt Foren und regelrechte Marktplätze wo diese Accounts gehandelt werden. Je mehr Daten, desto wertvoller. Siehe Diablo3 :-)
3. Aussage: Insbesondere, da dir das beste Paßwort gar nichts nützt, wenn du dir einen Trojaner bzw. Keylogger eingefangen hast.
Richtig, aber das ist ein völlig anderer Angriffsvektor. Es geht hier um Passwortsicherheit. Nicht um Systemsicherheit.
Und selbst bei einem Trojaner/Keylogger kann dir mein Vorgehen immer noch helfen. Z.B. bekommt der oder die Angreifer-in darüber raus das dein lokales PW "1234test" ist. Er kennt deine Mailadresse, bisher hast du dich aber noch nicht da angemeldet. Ist dein Mail-PW anders, kennt er es noch nicht. ist es gleich, kennt er es.
4. Aussage: Für Privatnutzer ist es also eher wichtiger wirklich seinen Rechner, so gut es geht und so zumutbar es ist, zu schützen.
Richtig. Aber da gehört auch IMMER Passwortsicherheit dazu, was einfach nur ein anderer Begriff für "Zugangsschutz" ist. (StGB 202b wenn ich mich nicht irre, "Ausspähen von Daten")
"Meine damaliges Root PW war nach 6 Minuten Geschichte."
Normalerweise sollte nach einigen Fehlversuchen erst einmal Sendepause sein... Es sei denn, er hatte woher auch immer den Hash, den er dann gegen die errechneten Hashs vergleichen konnte.
Übrigens muss der Angreifer am Ende nicht dein Passwort kennen, es reicht nur eine Kombination, die den selben Hash erzeugt.
Nee, wir haben ja nicht gegen den Server getestet. Sondern den Hash einfach dem Cluster gegeben bzw. John the Ripper (dem Programm was zum Bruteforcen benutzt wurde). JtR hat dann die Rechenaufgaben im Cluster verteilt die Knoten haben fröhlich angefangen zu rechnen.
Und bei so geballter Rechenkraft war es eben noch 6min per Bruteforce gefunden.
Wirklich toller Artikel. Danke für die Tipps, werde die meisten davon beherzigen und endlich mal anfangen verschiedene Passwörter zu verwenden.
Ein Problem ist, das viele Seiten nach wie vor unsichere Restriktionen bei der Vergabe von Passwörtern haben, z.B. maximal 8 Zeichen, keine Sonderzeichen etc. - da kann man sich dann entscheiden, ob man sich ein unsicheres Passwort ausdenkt oder es gleich ganz bleiben lässt.
Viel einfacher zu merken und nicht weniger sicher als 20-stellige Zufalls-Strings wären übrigens auch einfache Sätze aus Zufallswörtern, am besten noch aus verschiedenen Sprachen. So wäre "Käsebrot tastes bueno" ähnlich sicher wie "jd$673gSDGK83hK!()§H38hd". Für die meisten Seiten ist das aber "zu lang", und vor Social Engineering Angriffen oder Blödheit hilft das natürlich auch keinem...
Ja das ist so eine Sache.. Da kotzt mich ja auch Windows Live so dermaßen an.
Wann immer ich Fallout 3 spielen will muss ich mich in Windows LIVE im Spiel anmelden, damit die DLCs geladen werden.
Das Passwortfeld lässt keine Copy&Paste zu und "Passwort speichern" nutze ich seeehr ungern. Tue ich in dem Fall aber eben doch..
Ich mein, klar kann man auch 8 Zeichen lange Passwörter sicher speichern. Aber ich denke die wenigstens Anbieter tun dies..
In der Regel ist eben doch nur ein MD5-Hash ohne Salt, weil das in allen PHP-Tutorials so gemacht wird...
Schlimm bei Live ist zudem, dass es ab einer gewissen Länge nicht mehr überall funktioniert. Ich glaube sogar bei einem Windows-Live-Spiel ging's nicht, vielleicht auch bei einem Win8-Account. Habe dann den Tipp gefunden, dass das PW nicht länger als 16 (?) Zeichen sein sollte...
Ich werde in diesem Fall auch auf ein Passwort 'per Hand' ausweichen.
"Käsebrot tastes bueno" ist nicht sicher.
In 16 Bits speichere ich zum Beispiel in
Bit 1-3 die Sprache (8 Sprachen) und in Bit 4-16 die
(ca. 8000) Positionen des Wortes im
jeweiligen Wörterbuch (mit 8000 Einträgen).
Sicherheit: 6 Bytes.
Also weniger als ein gutes Passwort mit 8 Zeichen
Je mehr Leute ihre Passwörter so aufbauen, desto eher werden die "Hacker" ihre Programme anpassen um genau das was du hier beschreibst zu erreichen. 4 Wörter aus 4 verschiedenen Sprachen in einer zufälligen Reihenfolge bringt nicht viel, da es im Endeffekt dann wieder nur ein Wörterbuchangriff ist...
Wie kommst du auf 8000 Wörter? Laut Wikipedia umfasst die deutsche Standardsprache ca. 75000 Wörter und insgesamt können es nach Schätzungen durchaus 500000 existierende Worte sein. Wenn man die Worte also mehr oder weniger zufällig aus dem großen Wortschatz wählt und am besten auch noch dialktbedingte Abwandlungen zulässt kommen da schon noch einige Bit an Information dazu ;) Aber klar, wenn man nur die absolut einfachsten Worte wählt ist das natürlich einfacher.
Schöner Artikel.
Ein Fehler ist mir aufgefallen: Es heißt nicht Windows Mobile 7 sondern Windows Phone 7.
Als das Playstation Network gehackt wurde, habe ich mir auch so meine Gedanken zu Passwörtern gemacht. Vorher hatte ich auch noch bei vielen Diensten das gleiche Passwort. Immerhin war ich schon so schlau, das E-Mail Passwort anders zu wählen als das Passwort für den Dienst, bei dem ich mich mit dieser E-Mail anmelde (was sonst passieren kann, hast du ja in dem Artikel erwähnt). Ich dachte mir, jetzt ziehst du das durch, dass du bei jedem Dienst ein anderes Passwort hast. Habe mich dann nach Möglichkeiten der Passwortverwaltung umgeschaut und bin dann auch bei KeePass gelandet. Durch mein Android-Smartphone habe ich die Passwörter auch immer dabei, falls man doch mal an einem fremden Rechner die Zugangsdaten braucht. Allerdings synchronisiere ich meine Passwortdatenbank mittels Dropbox...
Ich hoffe, dass viele durch diesen Artikel auch dazu ermutigt werden, ihre Zugangsdaten sicherer zu machen und es nicht erst dann machen, wenn sie gehackt wurden.
Danke für den Hinweis mit Windows Phone 7, ist angepasst.
Bzgl. Dropbox:
An sich spricht nichts dagegen nur die DB per Dropbox zu verteilen und den Key selber auf jedes neue Endgerät (Handy) zu kopieren.
In bin halt Dropbox extrem kritisch gegenüber eingestellt. U.a. sagen die ja das die Dateien jedes Users mit einem eigenen Key verschl. sind. Was einfach nicht stimmt.
Es gab einen Bug womit man sich, mit beliebigen Passwort, in jeden Dropboxaccount einloggen konnte und man sah die Dateien.. Zudem gab es dann auch Probleme mit der Authorisierung von Rechnern die auf geteilte Daten zugreifen dürfen, hier konnte man sich das auch einfach erschleichen. Überprüft wurde da nichts. Und eine Verschlüsselung hätte das einfach abfangen müssen weil ein Teil des Keys (Public oder Private) fehlt. Also entweder sie lügen oder haben es extrem schlecht implementiert.
Zudem: Dropbox sagt auch, das sie identische Dateien nur 1x auf ihrem Server speichern. Ok, dafür braucht man ein Hash-Verfahren über die Datei im Klartext, den durch Verschlüsselung ändert sich die Datei und sie ergibt einen anderen Hash, dann würde das nicht gehen. Das heißt aber das zumindest Dropbox einen "Generalschlüssel" haben muss um im Zweifelsfall ALLES entschlüsseln zu können. Das sie es können müssen ist rechtlich vorgeschrieben.
Und wie toll es um den Datenschutz in den USA bestellt weiß man hier in Deutschland/Europa glaube ich. Die Datensammelwut der Amerikaner ist dann noch so ein anderes Thema.
Ebenso wie das Thema "Wie interpretieren wir die Daten die wir da haben." ist dann auch noch so ein Ding.
Einem IRC-Bekannten wurde die Anreise in die USA verweigert. Er wollte eigentlich nach Kanada, aber eben Zwischenlandung in den USA und Umsteigen..
Dort ließ ihn die Immigration Officer-Dame nicht durch. Grund? Er war mitglied im "My God" Counterstrike Clan. Das war auf dem Zettel den Sie da über ihn hatte aber so doof geschrieben das Sie dachte er wäre Mitglied einer paramilitärischen Miliz oder so...
Man merkt das ist ein Aufregerthema für mich :-)
"U.a. sagen die ja das die Dateien jedes Users mit einem eigenen Key verschl. sind. Was einfach nicht stimmt."
Das sagen sie nicht und das haben sie auch nie behauptet. Sie sagen nur, dass die Daten verschlüsselt abgelegt werden, aber es war immer klar, dass Dropbox selber im Zweifel zugriff auf die Daten im Klartext hat. Daraus haben sie auch nie ein Geheimnis gemacht, aber sie posaunen das natürlich auch nicht so heraus.
Trotzdem sehe ich darin keinen Grund, warum man ne ordentlich verschlüsselte Passwortdatenbank nicht doch in nem unverschlüsselten Dropbox Ordner aufheben sollte.
Wie gesagt, solange du die DB nicht ausschließlich nur mit Passwort geschützt hast, sondern noch ein Keyfile benutzt welches du separat auf die Endgeräte verteilst: Aus meiner Sicht auch kein Problem.
Hast du nur eine passwortgeschützte KeePass-DB in Dropbox liegen bist du wieder anfällig für Bruteforce-Angriffe von denen du NICHTS mitbekommst.
Und wenn der Angreifer erfolgt hat und das Passwort zur DB knackt bist du richtig angeschmiert.
- Das ist auch das einzige Szenario vor dem ich WIRKLICH Angst habe bei meinem Vorgehen. Aber momentan überwiegen für mich halt die Vorteile bei weitem.
Du bist offensichtlich wirklich paranoid, aber das hast du ja in den Seitenüberschriften schon selber zugegeben.
Natürlich sollte man solche Dinge niemals auf die leichte Schulter nehmen, und "better safe than sorry" sollte immer der Leitsatz sein, aber man muss auch mal die Kirche im Dorf lassen.
Bei einer nur durch ein Passwort geschützten DB kann es dir vollkommen egal sein, ob da irgendjemand unbemerkt rum-bruteforced solange dein Passwort lang genug ist und der Verschlüsselungsalgorithmus nicht irgendwelche schwächen aufweist.
Du hast doch selber die Seite verlinkt, auf der man ausrechnen kann wieviel Entropie in einem Passwort steckt, aber offensichtlich hast du nicht verstanden, was das bedeutet.
Wenn du ein Passwort hast, dass aus 20 Kleinbuchstaben besteht, bräuchte der derzeit schnellste Supercomputer, der Sequoia, 30000 Jahre um alle Kombinationen durchzuprobieren, wenn er pro FLOP ein Passwort testen könnte (was vollkommen unrealistisch ist). Das ist selbst mit der verfügbaren Rechenzeit in einigen Jahrzehnten vollkommen ausgeschlossen, dass jemand dein Passwort per Bruteforce knackt. Mal davon abgesehen, dass deine sämtlichen Passwörter vermutlich nichtmal so viel Wert sind wie ein paar Stunden Rechenzeit auf entsprechendem System kosten.
Das bringt mich gleich zum nächsten Kritikpunkt:
"Und alles unter 20 Zeichen findet sich im Zweifel in fertig generierten Rainbow-Tables"
Das ist kompletter Schwachsinn. Von vorne bist hinten. Eine vollständige Rainbowtable mit allen Passwörtern mit 8 Zeichen (wieder nur Kleinbuchstaben) würde schon allein 202GB belegen, wenn jeder einzelne Eintrag nur ein Byte belegen würde (was auch wieder komplett unrealistisch ist). Vollständige Rainbowtables für mehr als 8 Zeichen sind dementsprechend einfach nicht möglich.
Was ich eigentlich nur sagen will: Solang man ein Passwort mit >10 Zeichen hat, braucht man sich KEINE Gedanken über Bruteforce Angriffe machen. Das ist komplett ausgeschlossen. Also lieber viel mehr auf Wörterbuchattacken und Co aufpassen, die sind nämlich wirklich gefährlich bei entsprechendem Passwort.
Uh, der 1. Trollkommentar auf meinen 1. User-Artikel der auch zu meiner 1. Top News wurde. Dafür bekommst du eine Antwort.
Deine Aussage: Du hast doch selber die Seite verlinkt, auf der man ausrechnen kann wieviel Entropie in einem Passwort steckt, aber offensichtlich hast du nicht verstanden, was das bedeutet.
Wenn du ein Passwort hast, dass aus 20 Kleinbuchstaben besteht, bräuchte der derzeit schnellste Supercomputer, der Sequoia, 30000 Jahre um alle Kombinationen durchzuprobieren, wenn er pro FLOP ein Passwort testen könnte (was vollkommen unrealistisch ist).
Meine Antwort:
Ganz unten, in ROT und dick auf der Seite:
It is NOT a “Password Strength Meter.”
Und Zitat:
The #1 most commonly used password is “123456”, and the 4th most common is “Password.” So any password attacker and cracker would try those two passwords immediately. Yet the Search Space Calculator above shows the time to search for those two passwords online (assuming a very fast online rate of 1,000 guesses per second) as 18.52 minutes and 17.33 centuries respectively! If “123456” is the first password that's guessed, that wouldn't take 18.52 minutes. And no password cracker would wait 17.33 centuries before checking to see whether “Password” is the magic phrase.
Deine Aussage:
Das bringt mich gleich zum nächsten Kritikpunkt:
"Und alles unter 20 Zeichen findet sich im Zweifel in fertig generierten Rainbow-Tables"
Das ist kompletter Schwachsinn. Von vorne bist hinten. Eine vollständige Rainbowtable mit allen Passwörtern mit 8 Zeichen (wieder nur Kleinbuchstaben) würde schon allein 202GB belegen, wenn jeder einzelne Eintrag nur ein Byte belegen würde (was auch wieder komplett unrealistisch ist). Vollständige Rainbowtables für mehr als 8 Zeichen sind dementsprechend einfach nicht möglich.
Meine Antwort:
Es gibt 3 TB große HDDs. Ich habe 4 davon in einem RAID 5 in meinem Heim-NAS (Synology DS411). Macht Netto 8,71 TeraByte an Speicherplatz. Na wieviele Rainbowtables können da drauf?
Und gibt es nicht? DOCH gibt es wohl. Sogar zu kaufen.
Siehe: http://project-rainbowcrack.com/buy.php (Hab ich nun dein Weltbild erschüttert?)
^ Das war nur das 1. Ergebisse der Suchanfrage "buy rainbow table" bei Google. Es gibt auch Passwort-Cracking Dienstleister (nennt sich dann Data Recovery) die damit ihr Geld verdienen. Die haben solche Tabellen im Zweifel. Und kriminelle können dort eben so die Dienste nutzen wie legale Firmen. (Solange die kriminellen halbwegs seriös auftreten.)
Und der Behauptung ich wäre paranoid. Erm nein, bin ich nicht. Das ganze war ironisch gemeint, weil mir durchaus klar ist hier für viele "Mit Kanonen auf Spatzen geschossen wird". Wurde dann aber aus der Überschrift von jemanden rausredigiert. Ich habs dann noch aus den Seitennamen rausgenommen, damit der Titel überall gleich ist.
Und ich neige zum "Worst Case" denken. Weil er eben zu häufig eintritt. Wenn dann bin ich also pessimistisch und damit ein extrem gut gelaunter Menschen. (Was paranoide Leute, die sog. Aluhütte, in der Regel nicht sind.)
Grund wieso ich so froh bin?
"Optimisten wissen gar nicht welche freudige Überraschungen Pessimisten jeden Tag erleben."
Ja tut mir leid, das mit dem pessimistisch hab ich auch nur gesagt weil du es geschrieben hattest. Ich hab keine Ahnung wie du drauf bist und es ist mir auch egal. Ich will nur drauf hinaus, dass du vollkommen übertriebene Tipps gibst. Warum du das machst spielt nicht wirklich ne Rolle.
Können wir uns drauf einigen das es besser gewesen wäre wenn jemand das "paranoid" nicht auf dem Titel herauseditiert hätte? :-)
Ja, wenn jemand Argumente bringt, die du nicht wiederlegen kann muss es sich um einen Trollkommentar handeln.
Du hast offensichtlich entweder nicht gelesen was ich geschrieben hab oder es nicht verstanden. Die 202GB waren ein vollkommen unrealistischer minimalfall.
"Na wieviele Rainbowtables können da drauf?"
keine einzige vollständige für 8 Zeichen. Wenn ich den Raum auf klein/großbuchstaben +Zahlen+Sonderzeichen erweitere und nicht nur ein Byte pro Eintrag speichere sondern z.B. die 16 Byte eines MD5 hashes komm ich auf: 97000 TB. Speicher die mal in deinem Raid, viel Spaß dabei.
Und warum sollte mein Weltbild von ein paar Rainbowtables erschüttert werden, die helfen komplett veraltete Hashalgorithmen zu knacken, die Algorithmen verwenden, die eklatante Schwächen aufweisen? Da hilft dir auch ein langes Passwort nichts mehr, wenn die Algorithmen selber angreifbar sind.
Und ja, man muss nicht alle Passwörter durchprobieren, im Mittel braucht man nur die Hälfte. Die Hälfte von Unvorstellbar lange ist aber auch noch verdammt lange. Selbst wenn dein Passwort im ersten Promille liegt ist die Größenordnung die du zum Knacken brauchst immer noch ähnlich groß.
Alles weitere ist Wahrscheinlichkeitstheorie. Natürlich kann jemand der nur ein einziges Passwort ausprobiert Glück haben, aber bei den Ereignisräumen über die wir hier reden kann man sich durchaus drauf verlassen, dass das nicht der Fall ist.
Ok, deal. Ich lese mir nachher in Ruhe das nochmal durch und äußere mich dann dazu hier.
Schöner Artikel aber unpraktikabel.
Die Masse wird bei der forderung nach zwanzigstelligen casesensitiven Passwörtern mit Sonderzeichen und Zahlen passen oder gleich bei jedem einloggen die Passwort vergessen Funktion nutzen. Das kombiniert, mit ner eigenen Mailadresse für jeden Dienst - das tut sich keiner an.
Dabei ist es letztlich doch so, dass jeder Nutzeraccount nur so sicher ist, wie die dahinter stehende Mailadresse. Habe ich zu der Zugriff, kann ich sehen, wo der Inhaber Accounts hat und diese durch die "Passwort vergessen" Funktion zurücksetzen.
Wichtiger und wirksameer als wissenschaftliche Passwörter ist ein Medienwechsel, wie ihn immer mehr Anbieter nutzen. Zugriff auf mein Bankkonto nutzt nicht viel ohne die mTAN von meinem Handy, selbst wenn ich mein Battle.net Passwort posten würde - ohne Zugriff auf meinen Authenticator kommt trotzdem erstmal keiner rein.
Facebook erfordert zum einloggen einen SMS-Code ebenso wie Paypal. Das ist etwas unbequemer, erhöht die Sicherheit aber deutlich mehr als die obigen Tipps.
Und auch wenn es völlig albern klingt, genau so sicher wie Keepass und Co ist ein simpler Zettel mit den Passwörtern unter der Tastatur. Den mal ganz ehrlich, kein Mensch bricht bei mir ein, um an mein Passwort für Gamersglobal zu kommen. Auch der Medienwechsel "Zettel" ist sicher, wenn er im privaten Umfeld genutzt wird.
Es geht sich nicht darum, unzählige Passwörter mit ausreichender Zeichenanzahl im Kopf zu haben.
Ich bin zwar ein Freund der zusätzlichen Schnittstelle, etwa das Handy als Auth-Gerät (mache ich so bei PayPal und GMail), allerdings möchte ich eine derartige Funktion auch nicht bei jedem dahergelaufenen Anbieter nutzen, erst recht keinen kleinen Foren oder ähnlichen kleinen Plattformen - sonst kann ich mir bald eine neue Handynummer zulegen.
Wird ein Zettel unter die Tastatur platziert, hat man eine Menge Spaß - vor allem beim ständigen Beschriften und ankleben weiterer Zettel, damit alles draufpasst ;P
Din A4 gefaltet. ;)
Eine zusätzliche Schnittstelle würde ich auch nicht überall nutzen. WEnn meine Zugangsdaten hier bekannt wären, würde derjenige hier rumrandalieren können bis mein Account weg wer und er würde meine Adresse aus dem Profil lesen können, mehr Schaden kann er nicht verursachen, das Passwort verwende ich auch nur hier. Bei Facebook, Paypal und Gmail sieht es anders aus - das sind sensible Bereiche - da nutze ich jede zusätzliche Sicherheit, die ich bekommen kann.
Den mal ganz ehrlich, Sony, LinkedIn, LastFM und Co. sind nur die Spitze des Eisberges, Firmen die a) IRGENDWANN bemerkt haben, dass jemand in ihren Systemen war und vor allem b) das öffentlich gemacht haben. Jeden Tag gehen irgendwo durch Hacks, Pfusch und Idiotie beim Anbieter Kunden- und Nutzerdaten verloren und niemand erfährt es.
Da nutzt dir dann auch das beste Passwort nichts wenn das am Ende aus der Datenbank ausgelesen werden kann.
Viel wichtiger als 20 stellen ist einfach nur die Kombination aus Nutzername und Passwort NIE mehrfach zu benutzen - richtige BruteForce Attacken auf einzelne Nutzeraccounts macht doch eh keiner - warum auch wenn man lange Listen mit Accountname + Passwort zum probieren im Netz findet.
Einer Freundin ist es passiert, dass jemand dadurch in Ihren Mailaccout gekommen ist. Dann gingen auf einmal Mails in schlechtem Deutsch an alle privaten und beruflichen Kontakte, dass sie gerade ohne Geld in Spanien festsitzt und ob ihr jemand aus der Patsche helfen könnte. Schlimm genug, dass wirklich jemand fast Geld geschickt hätte, das war auch verdammt peinlich für sie, da sie jeder drauf angesprochen hat.
Wie im Artikel beschrieben liegt es an Dir selbst, was Du daraus machst. Die Mittel sind da. Die Passwortliste unter der Tastatur ist übrigens ein Klassiker - vor allem im Büro. Ich selbst nutze eine Passwortdatenbank. Einen Passwortgenerator sollte ich aber doch noch zusätzlich nutzen.
Ein weiterer Ansatz, sich leicht zu merkende Passwörter zu erstellen, ist übrigens, die Anfangsbuchstaben eines Satzes zu verwenden. (Beispiel: Gamers Global.de ist eine super Seite, für die ich gerne bezahle. => GG.deiesS,fdigb)
Eigene Mailadressen nutze ich nur in Verbindung mit Steam bzw. GfWL - für jedes einzelne Spiel. In Verbindung mit Webshops habe ich diese Möglichkeit noch nie in Betracht gezogen.
Im Büro sollten selbstverständlich keine privaten Passwörter liegen, aber gerade da ist ein für andere zugängliches Passwortbackup für andere wichtig. Ich weiß noch, dass ich am letzten Tag meines letzten Jobs recht lange an einer Übersicht meiner Accounts bei externen Dienstleistern gesessen habe. Wenn ich meinen damaligen Arbeitgeber hätte ärgern wollen hätte ich das gelassen...
Ne eigene Mailadresse für jedes Steamspiel? Steam sagt, dass ich 192 Spiele im Account habe. Das wäre mir echt zu stressig...
Hehe, das war mal auch eine Hinterlassenschaft bei einen meiner Ex-Arbeitgeber.
Ich musste für jeden Login bei jedem Hersteller immer zu Chef dackeln. Wieso? Es gab keine Passwortverwaltung und Chef hat immer andere Mails/Usernamen/Passwörter genutzt. Ein heilloses durcheinander.
Ich habe dann jeden Zugang den ich kannte eingetragen in eine KeePass-DB und als ich nach 2 Jahren ging waren da wohl gut 90-95% der Zugänge drin. (Auch so Sachen wie Zugangsdaten für den Switch/Firewall beim Kunden, etc.).
War immre großartig wenn man beim Kunden war, nicht auf die Firewall konnte, weil Chef das Passwort nicht mehr wußte und "Erstmal suchen musste." :-)
Mein Nachfolger meinte mal er wäre ohne die DB richtig aufgeschmiessen gewesen :-)
Just my two cents schrieb:
> Die Masse wird bei der forderung nach zwanzigstelligen casesensitiven
> Passwörtern mit Sonderzeichen und Zahlen passen oder gleich bei jedem
> einloggen die Passwort vergessen Funktion nutzen.
Eben deswegen von mir die Beschreibung wie ich KeePass nutze und der Hinweis das es für einige der "totale Usability Horror" sein mag.
> Das kombiniert, mit ner eigenen Mailadresse für jeden Dienst - das tut sich keiner an.
Doch, mindestens einer. Ich ;-)
Zudem: Mir ist klar das da niemand sich 300 Mailaccounts bei web.de/GMX oder sonstwo macht. Deswegen arbeite ich mit Aliasen auf einen zentralen Mailaccount auf meinem Mailserver. Kommt von wo zuviel rein wird die Mailaddi geändert und der Alias gelöscht, was einer nicht existente Mailadresse ergibt und somit vom Spamfilter weggefiltert wird.
> Dabei ist es letztlich doch so, dass jeder Nutzeraccount nur so sicher ist,
> wie die dahinter stehende Mailadresse. Habe ich zu der Zugriff, kann ich
> sehen, wo der Inhaber Accounts hat und diese durch die "Passwort vergessen"
> Funktion zurücksetzen.
Richtig, nur führt "Passwort vergessen" in der Regel eben dazu das jemand merkt das sich was getan hat. Und darum geht es ja auch irgendwo.
Netter Artikel. Ich nutze KeePass sogar auf einem Blackberry, könnte man oben in der Aufzählung noch ergänzen.
Danke für den Hinweis, habs mal ergänzt.
Alles, was man über Passwörter wissen muss: http://xkcd.com/936/
Oh man genau den wollt ich auch posten :)
Problem: Online-Banking Portale die nur 4-6 stellige PW ermöglichen. Anderes Problem: PW super, linkedIn lässt sich hacken und verliert das 20stellige PW.
Deswegen nirgends 2x das gleiche PW verwenden. Dann greift das unter "Zusammenfassung" beschriebene 5-Minuten-Wohlfühl-Szenario.
Ich hab mir ja angewöhnt bei Opera nur auf den Schlüssel zu klicken, um mich irgendwo einzuloggen. Nutze vielleicht drei verschiedene Passwörter, zumindest das Passwort meines Mailanbieters hab ich letztens nach 10 Jahren geändert, es war etwas zu kurz und hatte weder Großbuchstaben, noch Sonderzeichen.
Das Thema ist grad wieder aktuell. Irgend eine südkoreanische IP wollte auf meine E-Mail Adresse zugreifen.
Was mich wiederum stört ein ellenlanges Passwort mit Zahlen, Buchstaben, Sonderzeichen juhu...
Gerade wieder? Ich gehe jetzt mal davon aus das du einen Rootserver hast o.ä. Den die meisten Freemail-Anbieter die ich kenne, zeigen nicht an von wo jemand versucht auf meinen Account zuzugreifen. (Falls deiner das tut: Bitte gib mir mal den Namen, gerne auch per PN.)
Ich habe 2 Rootserver, auf einem davon läuft ein VMware ESXi, der nochmal mehrere virtuelle Systeme bereitstellt. Windows wie Linux-Kisten.. Und glaub mir, SSH-Bruteforces habe ich mehrere hundertversuche die Minute pro Server, hinzukommen Scanner auf bekannte Lücken in irgendwelchen Webapplikationen (Typo3, Joomla, AWStats, PHPMyAdmin, etc. pp.). Dazu kommen dann Dinge wie Smurf-Angriffe, kleinere DoS/DDoS-Angriffe, weil jemand meinen Hoster scheiße findet (oder wieso auch immer). Etwas gezieltere Portscans in der Hoffnung einen telnetd zu finden o.ä.
Dann Bruteforceangriffe auf alles was nur ein automatisierte Bruteforce zulässt. (Mail, htaccess, etc.).
Und DAS ist nur das normale Grundrauschen im Internet. Über eine IP mache ich mir schon lange keine Sorgen mehr. Außer die Scan-Muster zeigen das dort jemand gezielt vorgeht.
http://support.google.com/mail/bin/answer.py?hl=de&answer=45938&ctx=gmail
;)
Oh. Doh. Ja, Google hab ich alleine schon wegen meinem Android-Handy und dem Google Marketplace.
Aber das Maildingsbums nutze ich nicht wirklich :-)
Aber danke für die Aufklärung.
Bestätigt aber mal wieder das was ich von Google halte. Eben das die einfach erfrischend anders sind in vielen Dingen.
Kristian Köhntopp hat das alles mal viel besser, extrem fundierter und wesentlich verständlicher formuliert als ich es je könnte.
Siehe: http://blog.koehntopp.de/archives/2665-Das-Google-Missverstaendnis.html
Seltsame Einstellung, da dieser Artikel so offensichtlich einseitig geschrieben ist das er schon aus der Werbeabteilung von Google stammen könnte.
60% philantropische PR (Energieeinsparung = Ausgabenersparnis = Profiterhöhung <> Umweltschutz als Hauptmotivation), 20% Effizienzhype, 10% Arbeitsbedingungsmythos, 0% über die endlosen Verstöße gegen die angebliche Don't BE evil Big Brother Verstöße.
Eine Frage: Du bist arbeitstechnisch notgedrungen sehr auf Datensicherheit bedacht. Wie lässt sich das u.a. mit Googles Geostalking, Wifi-sniffing, Accountdaten-konsolidierung (auch über eindeutige Android-ID-zuordnung) und Gmail-Keywort-Überwachung in Einklang bringen? Bist du technisch so versiert das du all diese Probleme neutralisieren kannst, oder ist das nachdem System- und PW-Sicherheit abgedeckt sind, für dich nicht relevant?
Mhmm weiß nicht. Ich teile deine Meinung nicht. Ich kann dir nur raten dich mit Kristian mal näher auseinander zu setzen. Der Mensch hat einfach eine technische und menschliche Sicht der Dinge die man selten sieht. Und zudem auch ein Wissen und Wortschatz der es ihm gut erlaubt das rüberzubringen.
Zu dem Rest will ich mich nicht äußern. A) Weil es hier den Rahmen sprengen würde, B) Weil es mir gerade zu spät dafür ist :-)
Nur so viel: GMail nutze ich nicht. U.a. auch deswegen. Beim Rest ist es mir entweder egal, oder ich verweigere mich so gut es eben geht.
Die philantropische Seite von Google mit 20% Time etc ist gut und schön (genauso wie die von MS und anderen wenig vertrausnwürdigen Firmen), bereinigt aber nunmal noch lange nicht das "google-Missverständnis". Schon garnicht wenn man die Kritikpunkte garnicht anspricht.
Zum Rest: Ok
Danke für den Hinweis auf KeePass, sowas suche ich schon länger war aber bislang zu paranoid es selbst auszuprobieren ;)
Neulich wurde das online-system über das ich meine Kreditkarte verwalte umgestellt. Jetzt erlauben sie plötzlich nur noch passwörter mit 6-8 Zeichen(!) und ohne Sonderzeichen (!). Ich bin grad am überlegen meinen Kreditkartenanbieter zu wechseln.
Ich hab unter den Portalen, die ich häufiger besuche, eins dabei welches mindestens 4, maximal 15 Zeichen fürs Passwort verlangt. Allerdings sämtliche Zeichen erlaubt - immerhin ^^
Bei PayPal sind 20 Zeichen wohl das Limit. Warum Bank-/Kreditkarten Portale auf so kurze Passwörter beharren verstehe ich auch nicht so ganz.
Kann ich dir zumindest partiell beantworten: Weil Sie keinen Grund dazu sehen.
Bei Kreditkarten haftet der Betreiber für Schäden. Also Visa, Mastercard, Barcleycard, etc. Deswegen gibt es dort den PCI DSS. Den Payment Card Industry Data Security Standard. Dieser definiert eine große Menge an strikten Sicherheitsvorgaben was du zu tun hast und was zu unterlassen. Ziel ist eben eine sichere IT-Infrastruktur. Nur wer PCI DSS zertifiziert ist, darf dann Kreditkartendaten verarbeiten. Keine Versicherung der Welt wird dich absichern wenn du in Kreditkarten machst, aber nicht PCI DSS zertifiziert bist.
Bei Banken haftet der Kunde wenn Geld vom Konto abgebucht wird. Lieblingsargument ist dann immer: "Sie haben ihre TANs rausgegeben." oder "Sie hatten eben die PIN der EC-Karte im Geldbeutel notiert." Das diese Art der Argumentation viel zu kurz greift stört die Banken nicht. Das häufig EC-Automaten manipuliert sind, oder in Geschäfte einzig und allein zu dem Zweck eingebrochen wird um dort die EC-Reader auszutauschen: Es stört sie nicht. Sie müssen für den Schaden nicht haften.
Falsch. Bei EC-Karten findet "nur" eine Beweislastumkehr statt. D.h. der Kunde kann Beweisen, dass er die PIN nicht neben oder mit seiner Karte aufbewahrt hat und kann damit den sogenannten Anscheinsbeweis wiederlegen. ( Diese Beweislastumkehr ist in den letzten BGH-Urteilen auch stark aufgeweicht worden.) Dann haftet auch die Bank aufgrund des mangelhaften Sicherheitssystems.
Bei den TANS ist es wieder anders. Hier haftet nach den neusten Urteilen wohl nur wer grob fahrlässig handelt. Hier ist also wieder die Bank in der Beweispflicht.
Ein angebliches "zu kurz greifen" kann ich hier also nicht erkennen. Im Endeffekt gilt halt für den Kunden : Augen auf beim Bargeldkauf. ;)
Ah ok, danke für das Update :-)
So kurze Passwörter sind schon ok in solchen Fällen. Wenn das Konto bei zu vielen Fehlversuchen das Konto sperrt, kann nicht viel passieren.
Die langen Passwörter braucht man ja nicht, weil sonst jemand bei ner Webseite versucht sich per Bruteforce einzuloggen, da die Anbieter eigentlich entsprechende Sperren haben sollten und es auch viel zu lange dauern würde, wenn man bei jedem Versuch auf ne Antwort übers Internet warten müsste.
Die langen Passwörter braucht man, damit nicht jemand, der die Passwortdatenbank eines Anbieters knackt nicht einfach das Passwort zu dem Passworthash finden kann. Das ist bei ner Bank dann aber auch schon egal, denn wenn jemand den Webserver der Bank gehackt hat, macht der garantiert ganz andere Sachen, als die Passwörter der Kunden rauszufinden um dann ihr email-Konto oder ähnliches zu knacken...
Wenn man bei jeder Webseite ein anderes Passwort hat, ist die stärke der einzelnen Passwörter übrigens nicht mehr wirklich entscheidend, aus oben genanntem Grund.
schöner Artikel. leider scheitert so eine Passwortpolitik meist an der Bequemlichkeit des Users (wo ich mich selbst nicht raus nehmen will ^^ )
Toller Artikel, aber als IT-Noob leider alles auf spanisch.
Könnte man die Eine oder Andere Aussage nicht mit einem Organigramm aufpeppen? Bei den vielen Fachausdrücken ist es sehr schwer zu verstehen.
Hmmm eigentlich habe ich genau versucht darauf Rücksicht zu nehmen.
Vorschlag zu Güte: Ich schreibe noch 2 User-Artikel.
1x Erklärung der Begriffe, 1x weiterführende Hinweise also: Systemsicherheit, etc.
Dauert aber etwas.
Alternativ darfst du mir auch gerne die Stellen geben die dir Kopfzerbrechen bereiten. Dann schau ich mal ob/wie ich das umformulieren kann.
Und sich dann auf einer Website nen Drive-by-Virus einfangen und sich wundern dass das 20 Stellige Passwort irgendwie doch nichts brachte :)
Wie oben erwähnt. Das ist ein anderer Angriffsvektor. Das was du beschreibst ist Systemsicherheit.
Passwortsicherheit ist ein Unterpunkt von Systemsicherheit. Mehr nicht.
Wenn alles wegen einem einzigen Passwort vor die Hunde geht, dann hat man ja schon von Beginn seiner persönlichen Passwortsicherheit was falsch gemacht ;) Es geht ja schließlich auch um übergreifenden Schutz mithilfe von mehreren Passwörtern.
ein bisschen übertrieben für privatuser.
und wieso kommt niemand auf die idee, seine passwörter einfach auf einer liste aufzuschreiben?!? stattdessen elektronische passwortmanager? wieso einfach wenns auch umständlich geht...
Ansichssache. Ganz ehrlich? Blatt Papier kann JEDER lesen. Nicht verschlüsselt.
Zudem kannst du darin nicht suchen und ersetzen. Musst alles manuell durchgehen: Fehleranfällig.
Aber wie gesagt: Muss jeder für sich selbst entscheiden.
so? wieviele fremde können denn bitte bei dir zuhause neben dem bildschirm deine dokumente einsehen?
also bei mir bin das nur ich.
Bitte NICHT beleidigt fühlen, die Vorlage ist einfach zu gut.
Mein Konter:
Ich. habe. Freunde.
;-)
Etwas sachlicher: Nun, dann musst du den Zettel aber auch überall mit dir herumschleppen wenn du aus dem Urlaub oder Arbeit Zugriff auf alle eine Accounts willst.
Oder du hast nur die Anforderung das du nur von zu Hause in deine Accounts einloggst. Alles legitime Anforderungen. Aber eben nicht meine.
Ich habe die Anforderung alle meine Logins immer bei mir zu haben. Egal ob ich im Urlaub bin, in der Disco oder beruflich unterwegs. Ich kann halt nicht in die Zukunft schauen und muss im Zweifel in der Lage sein mich in 5min aus dringendem Grund irgendwo einzuloggen. (Und wenn es nur wegen der Rufbereitschaft ist die ich im Job mache.)
Da wäre mir ein Zettel viel zu unsicher.
Ach, und würde außerdem gegen die IT-Security Richtlinien verstoßen. Für deren Einhaltung ich mit meiner Unterschrift gebürgt habe und bei Verstoß (je nach schwere) durchaus eine Abmahnung drin ist. Bis hin zu Schadensersatzforderungen und Kündigung. Ich habe Zugriffe auf Kundendaten. Und das nicht wenige und nicht unwichtige.
Bei Rufbereitschaft reicht Mail. Eine Mail. Wenn überhaupt (bedeutet immernoch, dass du jederzeit ans Tel gehst, email ist ein Brief).
Aber wo müßtest du dich aus dringenden Gründen in 5min wo einloggen können.
Facebook, Steam, g+, Amazon, Privatforen? Doch höchstens auch nur Mail oder irgend ein Messenger.
Ich verstehe deinen 1. Satz nicht. Und bedenke bitte das wir bei uns im Unternehmen Prozesse haben an die ich mich halten muss. Und ich werde eben per Telefon alarmiert. Egal ob um 3 Uhr Nachts oder 14 Uhr Nachmittags wenn ich eh noch auf Arbeit bin.
Und zum 2. Teil: Wie gesagt. Das weiß ich nicht. Daher die Anforderung. (Worst Case Szenario)
Das naheliegenste wäre: Ich erfahre von einem Hack und kann, dank Smartphone und "mobilen Internet", in 5min mein PW ändern.
du schreibst ja hier auf einer gaming-webseite, nicht in einem forum für vertraglich gebundene IT-sicherheitspezialisten, also macht es kaum sinn richtlinien für letztere auf die besucher von ersterer zu übertragen.
lässt du echt deine "freunde" deine dokumente durchsuchen? wieso sollten die das überhaupt machen? und wieso musst du bei angeblichen freunden dann passwort-missbrauch fürchten? das passt alles nicht zusammen.
die paar passwörter die ich tatsächlich unterwegs brauchen könnte, weiss ich auswendig. die restlichen paar dutzend sind wohl kaum so wichtig, dass ich sie tag und nach auf mir rumtragen müsste.
mir scheint, du konstruierst hier absichtlich situationen, die sich so nie ergeben oder für 95% der user hier keine relevanz haben, um deinen artikel zu rechtfertigen (nicht, dass du das überhaupt müsstest).
Jemand der einbricht?
lol wo ich wohne ist in 30 jahren keiner eingebrochen. ginge auch gar nicht, im 2. stock, und ständig leute im treppenhaus oder generell zuhause.
und wenn einer einbricht hat er wohl besseres zutun als einen stapel unordentlich ausschauender notizzettel zu durchsuchen. ich glaube auch kaum, dass jemand einbrechen würde, um meinen Steam-account auf diese weise zu stehlen. ich würde sogar sagen, dass ein einbrecher wohl vorher einen wichtig ausschauenden elektronischen passwort-manager mitnehmen würde, oder gleich den tresor, in dem du ihn versteckst...
aber jedem das seine. man sollte sich nur bewusstsein, dass paranoia eine krankheit ist und behandelt werden sollte...
Ein Blatt Papier ist aber sehr viel unpraktischer, wenn es um Backups geht. Die Keepass DB kann man relativ simpel in einem Backupprozess mit einbauen (CDs/DVDs/externe Platten/eigener Webspace/...)
was hat haben kontozugangsdaten mit sicherungskopien zu tun? ich dachte wir reden hier über so sachen wie e-mail- oder Steam-passwörter.
Wenn du dein Blatt Papier mit den Passwörtern verlierst / Wasser drüber läuft / anders unbrauchbar oder auch nur teilweise unleserlich wird, sind die Passwörter weg.
Genauso bei der Keepass Datenbank: Wenn das Speichermedium kaputt geht, sind die Passwörter futsch.
Wenn das nun zufällig generierte Passwörter sind, oder schwer zu merkende, ist das ein Problem.
Es ist sicher einfacher die Keepass Datenbank zu sichern, als ein Blatt Papier. Sehe ich jedenfalls so ;)
Außerordentlich guter Artikel! Sehr schön.
Ich nutze tatsächlich auf allen Seiten ein recht ähnliches Passwort. Besteht aus einem leicht für mich merkbaren Satz und besteht aus rund 50-70 Zeichen. Ohne irgendwelche Sonderzeichen etc., sondern ganz normal geschrieben und in 13 Jahren ist damit noch nie was passiert, egal ob es sich um mein privates oder um mein berufliches Passwort handelt.
Das ist sicherer als wenn ich da ein Wort mit Nummerischen, Groß, und Sonderzeichen nutze. Dieses erstellen von unmerkbaren Kombinationen mit Sonderzeichen, Zahlen und Großbuchstaben mitten drin etc. macht es nur für einen schwierig: Für den Menschen. Der Computer interessiert es nicht wirklich, ob da "Passwort" oder "P4$§W0rt" als Passwort gewählt wurde. Die Sicherheit ist bei beiden absolut gleich gering.
Das es tatsächlich Programme wie ICQ etc. gibt, wo es nur eine beschränkte Zeichenlänge gibt, ist in Sicherheitsaspekten natürlich total dämlich. Denn es ist vollkommen egal ob man da diese 8 Zeichen mit Kombinationen vollpumpt oder nur die selbe Zahl verwendet. Wer es knacken will, schafft es so oder so sehr schnell.
Aber gut, dass hier jemand anspricht, das in erster Linie die Passwortlänge über die Sicherheit entscheidet. Ein 100% sicheres Passwort gibt es nicht, aber man kann eben den Aufwand es zu knacken in die Unendlichkeit bewegen. Oder zumindest ein paar tausend bis hunderttausend Jahre dafür zu brauchen bis alle möglichen Kombinationen gelöst worden sind. Wenn Passwörter mies gesichert werden, was ja sowieso sehr verbreitet ist, spielt das aber überhaupt keine Rolle. Dann ist eh alles ein total offenes Buch, egal ob ein Passwort 1 oder 100 Zeichen besitzt.
Ein sehr langes dafür aber leicht merkbares Passwort halte ich auch für am besten. Aber welche Webseite lässt es denn zu 50 Zeichen lange Passwörter zu benutzen? Erlebe es oft genug, dass schon bei mehr als 10 oder 12 Schluss ist. Aber dann fordern, dass unbedingt ne Zahl drin ist :facepalm:
GamersGlobal kann das unter anderem *g*. Amazon, GamersGate, PayPal, Skype und Steam machen das auch. Und das sind für mich alle wichtigsten Seiten wo es auch um Geld geht.
Unter anderem sagt mir auch GamersGlobal, dass mein Passwort nur "mittel" sicher ist, weil ich keine Zahlen habe. Aber es verhindert nicht, ein Passwort ohne Zahlen zu erstellen. Ich persönlich bin nicht der Meinung, dass das Passwort mit einer Zahl sicherer wäre, nur wäre es für mich schwieriger zu merken. Statt einen einprägenden Satz müsste ich auch noch wissen wo welche Zahl steht.
Bei kurzen PwDs ist es sicherer gegen einen Bruteforce. Einfach weil du die möglichen Zeichen noch mal um 10 erweiterst.
Aber bei 50 bis 70 Zeichen, da könntest du selbst nur Kleinbuchstaben verwenden.
Hoffe nur es sind keine Umlaute drin. Die hat bei mir mal ein Dienst zwar bei der Passworterstellung akzeptiert, aber nicht bei der Eingabe zum Einloggen...
Das ein Passwort zum einloggen nicht funktioniert, merkt man ja spätestens dann, wenn man sich sofort nach der Registrierung einloggt. Wenn es wirklich nicht funktionieren sollte, "Passwort vergessen" unter Umständen Geheimfrage beantworten und noch einmal ein neues setzen und das ganze von vorne.
Probleme mit Umlauten hatte ich bisher aber noch nie :-). Und ich nutze eben auch Großbuchstaben, weil ich da irgendwie dann doch auf Rechtschreibung bestehe. Und wenn es rechtschreiberisch richtig ist, ist das für mich sogar noch einfacher zu merken, als wirklich absichtlich alles klein zu schreiben :D. Aber das sieht schon jeder anders.
Sicherlich erhöhst du die möglichen Zeichen, aber macht das wirklich einen großen Unterschied? Gängige BruteForce Methoden testen sowieso sämtliche möglichen Zeichen durch. Und bei ein paar tausend Eingaben in der Minute geht es hier vielleicht nur wirklich um einen kleinen Unterschied wo das Passwort ein paar Sekunden/Minuten länger hält und wir hier nicht wirklich von Stunden oder Tagen sprechen. Diese Geduld werden die Leute die ein Passwort knacken möchten, am Ende wohl doch noch haben.
Den Privatusern kann man es auch etwas einfacher machen.
Passwörter aus gleichen Elementen aufbauen. Aber unterschiedlich angeordnet und teilweise modifiziert. Verringert den Aufwand für den Nutzer aber nicht für den Angreifer. Dann noch irgendwo etwas aus dem Einstreuen für das das Passwort ist und fertig.
Der Angreifer weiß nicht welche Teile du wie Angeordnet hast, wo die Modifikationen sind und wo und vor allem was noch von der Seite für die das Passwort ist drin steht.
Vor allem auch einfacher zu Merken.
An sonsten schützt das schönste Passwort nicht, wenn keine Sonderzeichen erlaubt sind, die Hashes sich ohne Salz problemlos zurückrechnen lassen oder die Passwörter nicht Case sesitiv gespeichert werden. Nett sind auch Anbieter, die bei zu vielen Loginversuchen hintereinander kein Delay haben.
Der Nutzer ist in der ganzen Passwortsicherheit nur ein kleiner Fisch. Und wenn er nicht komplett blöde Passwörter verwendet (123456 oder so), für "begehrte" Accounts (irgedwas wo Geld hinter steht) etwas längere nimmt, sich klar ist, dass NIEMAND NIEMALS über eine email nach Logindaten fragt und versucht seinen Rechner von Keyloggern sauber zu halten, dann hat er eigentlich schon alles getan was geht.
Alles was darüber hinaus geht ist eher vergebene Liebesmüh. Besonders der Absatz mit der verschlüsselten Zip in Truecrypt. Das ist doch nur für mobile Geräte hoffe ich. Denn sobald sich ein Keylogger zwischenschaltet nützt selbst ein Passwortsafe nix mehr. Da kann ich auch den Passwortmanager vom Browser nehmen. Zumindestens FF verschlüsselt die gespeicherten Passwörter sobald ein Masterpasswort gesetzt wird. Und das wohl mit einer ganz passablen Verschlüsselung. Ist aber eh egal. Ist der Trojaner auf dem Rechner nützt auch das nichts. Hilft eher gegen physischen Zugriff oder eventuell wenn jemand per Remote raufkommt. Sonst sind alle Passwortmanager nichts wert.
Bei Keyloggern hilft ja nicht mal das Blatt.
Und so wie es aussieht sind es eher die Keylogger oder die Angriffe an der Quelle, die die Daten bringen.
Die Empfehlung wäre eher, mach nichts über das Netz von dem du nicht willst, dass es kompromitiert wird.
So ein Forenacc ist nicht wild. Wenn es aber um Onlinebanking geht oder bei Ama die Kontodaten auf Bankeinzug stehen ist das schon was anderes. Selbst die ganzen tollen Accounts für Spiele sind da eher kritisch. Besonders wenn da X tausend € drin angelegt sind.
Seit ca. einem Jahr verwende ich Bücher zur Passwortgenerierung.
Da immer irgendwelche Bücher bei mir gerade gelesen werden, nehme ich mir eins, wenn ich wieder ein Passwort brauche, blättere darin rum und tippe an irgendeiner Stelle auf einen Satz. Davon nehme ich die Anfangsbuchstaben. sollte der Satz zu kurz sein, wird halt der nächste satz auch noch genommen. Groß- und kleinschreibung der Wörter wird auch berücksichtig und die Seitenzahl wird auch noch eingebaut.
Bei vielen Passwörtern weiß ich selbst nicht mehr aus welchem Buch sie stammen. Das Passwort trage ich dann in ein Notizbuch ein, das in einer abgeschlossenen Schublade irgendwo in meiner Wohnung ist.
Das erscheint mir persönlich sicher genug!
Da fehlen Zahlen und Sonderzeichen.
Durch die Beibehaltung von Groß- und Kleinschrift machst
Du es den Angriff wieder viel zu einfach.
Wenn Du sowieso einen Zettel brauchst, um die richtige
Stelle im Buch zu wissen, würde ich auf dem Zettel ein
Muster vermerken.
So könnte "192345678" auf die Verwürfelung der Anfangsbuchstaben
hindeuten und "xXxxXxxXx" auf die Schreibweise (groß/klein).
Die erste/letzte Ziffer der Verwürfelung könnte ausserdem auch die
Seitenzahl kodieren (Seite 100 + 1*10 + 8), oder
(Seite 70 + 1*10, Ab Wort 8), oder (Seite 50 + 1 Seite, Setze
':' an Stelle 8 im Kennwort).
Diese Art der Kodierung darfst Du natürlich nicht aufschreiben und nicht vergessen ...
Ein Kennwort der Form "a" ist genau so schnell
geknackt wie ein Kennwort der Form "aa", "aaa," usw.
Selbst, wenn das 32 Zeichen lang ist.
Eine Attacke die alle Kennwortlängen parallel durchtestet,
findet die Lösung prinzipiell immer schon in Schritt 1.
Ich langweile auch mal mit etwas Informatik:
Kleinbuchstaben: 26 (< 32 ~ 4 Bit)
Länge: 1-32 (4 Bit).
Die Wiederholung eines beliebigen Kleinbuchstabens von 1-32 Mal
kann ich in einem Byte kodieren.
Sicherheit: 1 Byte
Ähnlich schlecht verhalten sich auch längere Wiederholungsketten,
z.B. "abcABCabc" als Passwort.
Auch hier ist wieder die Frage, wie würde ich das kodieren?
Eine Sequenz aus drei Buchstaben: =26*26*26 <32*32*32 ~ 12 Bit.
Muster der Sequenz (0-klein, 1-groß) ist "010": 3 Bit
Sicherheit bei drei beliebigen Kleinbuchstaben und drei
Wiederholungen mit Wechsel der Groß- und Kleinschreibung:
Sicherheit: 2 Byte.
D.h. "uweUWEuwe" ist genau so sicher wie "Wm"
Erschreckend, oder?
Es geht hier aber doch nicht darum, wie effektiv ich eine Zechenfolge codieren kann, sondern um die stochastische Chance das Passwort zu raten. Oder seh ich das falsch?
Ich halte es ja mit http://xkcd.com/936/
Ist es denn wirklich schwerer, 4 zufällige wörter zu raten? Oder ignoriert Randall hier, dass es nicht irgendwelche Buchstabenfolgen, sondern gebräuchliche Wörter sind?
Schwierigkeit hängt doch von der Eingabemöglichkeit ab? Parallele Eingabe im Mikrosekundentakt ist doch hoffentlich beim regulären Webdienst-Login nicht möglich/wird nach den ersten Versuchen drastisch eingeschränkt?
Setzt voraus das der Entwickler da überhaupt dran denkt das da jemand versuchen könnte Schindluder mit zu treiben :-)
Manche freuen sich eher das der Dienst "so gut läuft" und das Produktmanagement ist begeistert über die vielen Kunden die sich anmelden...
Das finde ich schwer zu glauben. PW-Knacker gibt es ja nicht erst seit gestern, die sind sind seit fast einem Jahrzehnt auch bei den älteren Herrschaften irgendwie ins Bewusstsein gedrungen. Wenn uneingeschränkt hyperspeedlogin"Versuche" zugelassen werden scheint mir das doch absichtlich fahrlässig.
Der Informationsgehalt deines Passwortes sagt auch,
wie schnell es geknackt werden kann.
Wenn mein Password aus zwei rückwärts geschriebenen
Worten gesteht und der Hacker versucht genau darauf
eine Brute Force Attacke, ist er halt schnell fertig,
egal wie lang das Kennwort war.
Das sicherste Passwort ist immer noch 12345678900987654321 ;)
das könnte ich mir niemals merken :-)
*notier*
Jetzt nicht mehr! *mwahahahahaa* ;-)
12345 hat schon vor langer Zeit die Geheimnisse von Präsidenten und Königen bewahrt ;)
Schöner Artikel, ich werde mich die Tage auch mal hinsetzen und mein Passwort-wirrwar entwirren. Wollte ich seit Jahren machen :)
Alles schön und gut. Aber man sollte meiner Meinung nach (auch) bei den Anbietern anfangen. Denn meiner Erfahrung nach verwendet man irgendein Hilfmittel (z.B. ähnliches Schema, Passwortgenerator), welches man auf den kleinsten gemeinsamen Nenner einstellt. Wenn drei Anbieter keine Sonderzeichen erlauben, dann verwendet man wahrscheinlich überall keines. Und wer kennt es nicht: Man liest so einen Artikel und will seine Passwörter ändern. Doch man lässt es schon beim ersten sein, da man nicht mehr als 8 Zeichen verwenden darf. Hier wäre wohl erst ein Gesetz nötig, bevor sich etwas ändert.
Was zumindest mir und wahrscheinlich auch anderen helfen würde, wäre die Möglichkeit sich mit einem Account "überall" anmelden zu können. Ansätze gibt es schon mit OpenID und sogar teilweise die Umsetzung mit Facebook. Wobei letzteres nicht Facebooknutzer ausschließt.
Resultat wäre, dass man sich eben keine >300 Passwörter mehr merken müsste und dafür eher bereit ist diese sicherer zu wählen. Auch könnte man die Passörter seiner wichtigsten (Geld) Accounts monatlich ändern. Das kann man zwar so schon, aber wenn die Masse abnimmt ist man eher bereit dazu.
Um klar zu stellen was ich mit einem Account für alles meine: Banken, Versicherungen, etc. sollten dies natürlich nicht anbieten. Gemeint sind die ganzen Spiele- und auch Shopping-Seiten für die man sich wegen einem Kommentar, Gewinnspiel oder Sonderangebot anmeldet. Hier verwendet man meist das leichteste Passwort was man hat und vergisst, dass es sich schlimmstenfalls um das Emailpasswort handelt.
Und was ist wenn die OpenID geknackt wird? Zugang zu allem was der Nutzer an Diensten benutzt? Ist ja quasi dasselbe als würde man überall die gleiche Nutzername/Passwort Kombi nutzen.
Wirklich toller Artikel, der mich jetzt dazu gebracht hat, meine Passwörter zu reorganisieren!
Man merkt auf jeden Fall, dass du eine ganze Menge Fachwissen in dem Gebiet IT-Sicherheit zu besitzen scheinst.
Darf man fragen, welche (akademische) Ausbildung du abgeschlossen hast?
Ich würde mich sehr darüber freuen, mehr solcher Artikel von dir lesen zu dürfen!
Vielleicht zum Beispiel, wie sicher und sinnvoll Firewalls von anderen Anbietern sind.
In dem Magazin c't stand vor geraumer Zeit mal ein Artikel darüber.
Diese äußerten sich recht kritisch im Bezug auf die Verwendung alternativer Firewalls, da diese (laut c't) einem schlimmstenfalls neue Sicherheitslücken ins System hauen und man deshalb mit der Windows Firewall am Besten bedient wäre.
Inwieweit diese Aussage stimmt, kann ich nicht nachvollziehen, da mein Fachbereich nicht die IT-Sicherheit ist. ;-)
Wenn es um Personal Firewalls geht muss ich immer an das hier denken: http://ulm.ccc.de/ChaosSeminar/2004/12_Personal_Firewalls
Hui, danke dir für den Link!
Das werde ich mir doch direkt mal zu Gemüte führen. :-)
Video Qualität ist so lala (hatte ich besser in Erinnerung, jaja jetzt wo fast jedes Youtube Video in 720p+ ist, ist man halt verwöhnt) aber der Inhalt ist gut.
Hi,
erstmal danke für das Lob. Ich habe nur eine ganz normale Ausbildung zum Fachinformatiker Systemintegration. Kein Abi, kein Studium.
Hatte aber schon vorher relativ viel Eigeninteresse. Hab vor der Ausbildung schon meinen Linux-Routserver betrieben. Das schöne an IT ist halt das du vieles zu Hause mit einem PC selber machen kannst.
Wenn er leistungsfähiger ist und du z.B. mit Xen oder VMware noch virtualisieren kannst, kannst du auch kleine Netze simulieren. Da lernt man eine Menge. :-)
Und bzgl. Firewalls.. Uha.. Lieber nicht :-)
Schwieriges Thema. Sehr schwierig. Gerade Personal Firewalls sind ein Reizthema. Ich finde sie generell zu bunt und zu wenig technisch.
Und in IT-Security mache ich auch nicht. Ich muss es berücksichtigen bei dem was ich tue. Aber wir haben ein eigenes Team dafür bei uns. Dort kann ich sog. Penetration Tests (Einbruchsversuche) im Rahmen von Projekten bestellen (Sofern ich das Budget bekomme und das Team Zeit hat ;-) ) und die Testen dann meine Server von vorne bis hinten durch und sagen mir dann wo ich überall Mist gebaut habe :-)
keepass kann ich auch nur empfehlen.
schluss mit einheits- oder simpel-passwörtern. damit is man ziemlich gut beraten.
Man kann das auch weiterdenken, für _mehr_ Sicherheit.
Warum nicht ein 30 stelliges Passwort benutzen, ob jetzt 20 oder 30 ist doch Wurscht, aber 30 ist "sicherer".
Die KeePass DB natürlich auch mit einem langen PW sichern. (auch hier 30 > 20)!
KeePass DB zippen, Sicherheit? -> same procedure.
Der NAS, auf dem diese zip gespeichert wird natürlich auch.
Und warum diesen NAS nicht auch nochmal backupen, sicher ist sicher oder? ;-)
Das PW vom 2. NAS kann man ja dann auf einen Zettel schreiben und diesen in einem Einbruch- und feuersicherem Tresor zu Hause ablegen.
Naja schließlich die Zahlenkombination mit nem Schwarzlichtmarker auf nen Zettel und diesen auf ein Schweizerkonto ablegen.
puh das kann man ja unendlich weiterspinnen...
Trotzdem ein informativer Artikel.
KeePass ist was feines, nutzen wir in der Arbeit auch.
Sehr schöner Artikel. Der wichtigste Grundsatz steht meiner Meinung nach direkt auf Seite 1. Man sollte zwar versuchen seine Passwörter sicher zu wählen und aufzubewahren, aber ein Restrisikko bleibt immer.
20-Stellige Passwörter? Aus welchen Buch hast du denn das abgeschrieben?
Oh man, typischer Fall von "ITler" >< "Anwender".
Wer sich an diese Regeln hält wird wohl sehr häufig auf den "Ich habe mein Passwort vergessen" Link klicken müssen ;)
Ich frag mich ja: Wer hat Interesse an meinen Passwörtern?
Die Marketing/Werbespam-Scammer?
Seit dem diese "seriösen" Werbepartner eine meiner Mailadressen haben sehe ich täglich 2-3 gescheiterte Loginversuche, anfangs kurze Zeit 10-13 pro Tag.
Mit seriös meine ich die Firmen die sich seriös geben. Die schreiben dann sowas wie "wir haben ihre Addi von unseren Adresspartnern in den USA, unsere Spammails sind rechtens weil sie an einem Gewinnspiel teilgenommen haben (habe ich nicht). Die Freuen sich auch wenn sie an dein Addibuch rankommen, dann können sie mehr echt aussehende Sicherheitsmails verschicken: Hallo "Vorname", "Nachname", unser Amazon-Mastercard Service will jetzt mehr Sicherheit bieten, log dich auf dieser präparierten Seite ein und gib uns deine Login-Daten".
Wenn die deine PWs nicht wollen gibt es genug möchtegern-"Hacker" und Trittbrettfahrer. Bei vielen größeren Hacks letzerer Zeit sind die PW-Listen zusätzlich zum angegebenen Hack-Grund in Kaufbörsen aufgetaucht. Beim LinkedIn Hack z.b. Interesse ist dann wohl unterschiedlich, je nachdem wer sowas kauft.
Wer kauft mehrmals im Jahr deine Daten beim Bürgermeldeamt? Interesse besteht für jeden der nen dummen August abzocken will.
ich schreib meine Passwörter auf einen Zettel, und drucke ihn 2 mal aus, einmal kommt er in die Schublade, einmal in eine kleine Holzkiste neben meinem Rechner (in Griffreichweite), falls ich mal neue Passwörter hab, schreib ich die mit Kugelschreiber einfach auf den Passwortzettel, und wenn sich wieder was angesammelt hat wird alles komplett abgeschrieben und ausgedruckt, das passiert ca. 2-3 mal im Jahr. Passwörter sind bei mir meistens 12 stellig.
Hoffentlich speicherst du das Textdokument mit den Passwörtern nicht auf deiner Festplatte ;-)
So ähnlich wie du habe ich es bis jetzt auch gemacht, nur mit Handgeschrieben Zetteln, die mittlerweile ziemlich voll sind.
Ich teste gerade mal diese KeePass Sache.
Hi - ich habe den Artikel leider nicht ganz verstanden. Am Ende der 1. Seite findet sich dieser Absatz:
«Eine AES 256bit verschl. Keepass-Datenbankdatei mit Keyfile und Passphrase reicht. Wer es noch sicherer will: Das Keyfile liegt auf einem Read-Only Medium (z.B. CD-ROM) und die Keepass-DB nochmals in einem Hidden TrueCrypt Volume. Wer es noch weiter steigern will versteckt die Keepass-DB innerhalb des TrueCrypt-Volumes noch in einer passwort-geschützten ZIP-Datei mit einem sehr einfachem Passwort. Knackt ein Angreifer das Passwort der ZIP-Datei und entpackt diese, hat er parallel die Keepass-DB zerstört.»
Die Abkürzung «AES» hätte netterweise erklärt werden können. Wenn man nachschlägt, kommt man auf «Advanced Encryption Standard», es könnte aber auch für «Advanced Electronic Signature» und x- andere Sachen stehen.
Wie soll das mit dem KeePass funktionieren? Habe ich das auf dem PC selbst? Auf einer CD/USB-Stick oder auf der HDD? Oder gar auf dem Smartphone, um PWs im PC einzugeben? Wie läuft dann das Copy&Paste, was du empfohlen hast? Oder ist der KeePass auf dem Smartphone nur für Anwendungen auf dem Smartphone selbst?
Ich soll also mein Passwort für GG oder D3 per Copy&Paste von einer CD im Laufwerk des PCs holen, wo die KeePass DB in einem Hidden TrueCrypt Volume liegt?
Alles, was ich mir merken muss für die paar hundert verschiedenen Passwörter ist die Passphrase für die Key Pass DB?
Alle dort gespeicherten PW sind doch nicht sicherer als die Passphrase für KeePass DB, die man sich zulegt, oder?
Unter keepass.info kannst du dir die Software laden, am besten als Professional Edition "Portable KeePass 2.19 (ZIP Package)".
Das dann irgendwohin (Festplatte / USB Stick) entpacken und einfach starten.
Für die Datenbank denkst du dir dann 1 möglichst sicheres Passwort aus, was du dir dann merken musst. Ja, die anderen PW in der Datenbank sind dann nur so sicher wie das eine, aber so musst du dir nur 1 sicheres merken und nicht 100. Und es ist besser als 100 unsichere PW.
Am besten einen ganzen Satz und alle Zeichentypen verwenden.
z.B. "ICH_bin_seit_03.06/2007_bei_GaMeRs+gLoBaL"
Am besten redundante Sicherungskopien von KeePass anlegen (USB-Stick, USB-Festplatte, CDROM).
Ich finde leider der Text geht an zuvielen Problemen vorbei und hält sich an Gemeinplätzen auf.
20stelliges Passwort für mein Gamerglobal account? Nie im leben, warum? Das schlimmste im Fall eines Hacks ist das nen Unbekannter in meinem Namen Liebesbriefe an Herr Langer sendet. Das würde ich verkraften. Genau das gleiche mit FB und anderen Foren.
20stelliges Passwort ist für E-Mails (über sie kriegt man sonst alle anderen raus), für den PC und alles was zugang zum Geld gibt. Grade eine Überpasswortisierung bringt nicht, insbesondere wenn man dann da hockt und bei seite xyz wieder zwanzig Passwörter durchtesten muss.
Gruss
P.S. Sonderzeichen sind meiner Meinung nach auch so ne Sache, Leute die viel im Ausland unterwegs sind kennen das Probem *, ` oder % auf der kyrillischen Tastatur zu finden. Wobei das Abgenommen hat seit man immer den eigenen Laptop dabei hat :)
Frage: Was hat es eigentlich mit dem doppelten Login bei Https Seiten auf sich? PW-Änderung bei Amazon brachte zb den Hinweis das Cookies erlaubt sein müssen (Flashcookies auch, bei mir deaktiviert). Cookies waren schon beim ersten Versuch aktiviert, Login wurde aber erst beim zweiten Mal erlaubt (ohne erlaubte Flashcookies). Bei Bestellungen gibt es die zweite PW Bestätigung ja schon länger. Wozu ist das gut?
Was mich mal interessiert, ist die Menge an Bandbreite im Internet, die wir wegen solcher automatisierten Hacks verlieren (Smurf, DoS/DDoS-Angriffe, Portscans, Bruteforce o.ä.).
Gibt es keine Strategien, diese früh im Entstehen zu unterbinden, um nicht zu viel Netztraffic zu verschwenden?
Denn mal pessimistisch betrachtet, könnte das Netz ersticken an illegalen Aktionen, wenn man zu den ständigen Hacks und Scans noch die illegalen Up- und Downloads hinzurechnet. Da wird dann am Ende ständig aufgerüstet zu Lasten zahlender Nutzer.
Leider ist ja sogar mein kleiner Webspace, den ich auf Freenet gemietet habe, ständig verseucht. Und hier kann man selbst wenig machen, da man keinerlei Zugriff auf den Server hat, außer die wenigen vorgefertigten CGI-Skripts und der Upload. Da bin ich sehr enttäuscht, was einem so als "professioneller" Webspace verkauft wird.
Mal ne Frage zu den 20-stelligen Passwörtern:
Da der Aufwand zum brute-forcen eines Passwortes ja exponentiell mit der Anzahl der Stellen steigt, gehts ab 8-10 Stellen dermassen Steil nach oben das ich bezweifle, ob es bei z.B. einem Spieleaccount notwendig ist, wirklich ein 20-stelliges Passwort zu besitzen.
Merke: Das Passwort berechnen kann nur ein Angreifer, der im Besitz der Passwortdatenbank (bzw. der Hashes) ist. Und normalerweise werden die Passwörter auch noch gesalzen, wodurch ein Bruteforce-Angriff noch aufwändiger wird (jedenfalls auf eine grosse Anzahl von Passwörtern zugleich).
Ein weiterer Punkt ist: Wenn du deine Passwörter einem Program überlässt, woher weisst du, das dieses Program vertrauenswürdig ist? Und was ist, wenn jemand dein Keypass in die Finger bekommt und das Passwort knackt? Dann hat er direkt ALLE deine Passwörter, in dem Fall bringt dir das unterschiedliche Passwörter haben garnix.
Ich selbst fahre eine etwas unsichere aber dafür bequemere Strategie:
Ich habe für verschiedene Sicherheitslevel unterschiedliche Passwörter, Beispiel:
1. Für Trashige Games / Foren wo ich mich höchst warscheinlich nicht lange aufhalte.
2. Für Games bei denen es auch um Geld geht (Diablo 3)
3. Banking (überall verschiedene, dazu zählt auch Paypal)
4. Administrative (jeweils privat/beruflich getrennt)
Dadurch dass es nur eine begrenzte Anzahl von PW sind, kann ich sie mir alle merken und brauche kein Passwort-Verwaltungs-Program.
Zusätzlich habe ich für viele Webseiten eine eigene Email-Adresse (danke eigener Domain). So habe ich z.B. amazon@meinedomain etc. Dadurch kann ich dann auch prima sehen falls einer dieser Dienste meine email-adresse weiterleiten sollte an Werbepartner.
das nutzen von längeren passwörtern erschwert nicht nur bruteforce-attacken (welche vom angreifer ohnehin nur genutzt werden, wenn er weiß, dass das system nur eine maximale und kleine pw-länge nutzt), sondern auch sogenannte rainbow table attacks. wo nicht das pw an sich gesucht wird, sondern umgekehrt anhand des hash-wertes des pws ein passendes gegenstück gesucht wird.
dass das praktisch machbar ist, wurde schon in der vergangenheit gezeigt. insbesondere die möglichkeit gpus für traditionelle rechenaufgaben zu verwenden, erschließen da neue möglichkeiten des angriffes.
Aber auch Rainbowtables sind kein Wundermittel: Eine Rainbowtable muss ja bei jedem neuen Hashalgorithmus neu berechnet werden. Und wenn ich einen Salt verwende (z.b: 20-Stellige Zufallszahl + PW) dann wird ein Hash dafür mit hoher Warscheinlichkeit nicht in einer Rainbowtable vorkommen. Es sein denn, es wurde ein schwacher Hash-Algorithmus mit vielen Kollisionen verwendet (z.B. der leider immer noch allseits beliebte MD5).
wo nehmen die diesen hash-wert her? aus keksen?
Danke, wieder viel dazugelernt. Sehr guter Beitrag.
Ich hätte hier mal eine Frage bezüglich Keepass.
Ist eine Kepass Datenbank "erkennbar", bzw. eindeutig identifizierbar?
Also nehmen wir mal an, ich hätte ein Verzeichnis mit 5 Dateien darin, die jeweils "aaaaa", "bbbbb", etc. heißen. Eine dieser Dateien ist meine Keepass-DB und die 4 anderen Dateien würden nur aus zufälligem binären "Müll" bestehen.
Wäre es dann möglich zu erkennen, welche Datei die Keepass Datenbank ist? Die hat doch keinen eindeutigen Header, wie "normale" Dateien, oder?
Danke im Voraus für die Infos :)
Aus http://keepass.info/help/base/repair.html lässt sich schließen, dass eine Keepass-Datenbank im Header Informationen fürs dechiffrieren enthält und sich somit von "Random-Dateien" unterscheiden lässt. Tiefer in die Materie müsste ich mich selbst einlesen und da fehlt mir das Interesse. Kryptographie ist so ein ätzendes Thema :)
Das ist aber ja schonmal ein Anfang, danke dir!
Ich benutze schon seit längerem das Programm Password Depot und bin damit sehr zufrieden.