Ergebnis 1 bis 17 von 17
  1. #1
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    36

    Standard Studie: Passwort-Sicherheit noch immer mangelhaft

    Das IT-Sicherheitsunternehmen Imperva beschäftigt sich in einem aktuellen Bericht mit dem Thema Passwort-Sicherheit. Die Schlussfolgerung der Experten ist ernüchternd, aber kaum überraschend: die Sicherheit typischer Passwörter hat sich in den letzten zwei Jahren kaum verbessert. Viele häufige Passwörter lassen sich mit aktuellen Methoden schon in wenigen Minuten entschlüsseln.

    zur News

  2. #2
    Mitglied
    Registriert seit
    Mar 2011
    Beiträge
    54
    Danksagungen
    3

    Standard Passwort-Sicherheit

    Mhm dann werden mich auch noch weitere Seiten zwingen Ziffern in meine Passwörter zu tun, was ich relativ sinnbefreit finde, da nur 10 neue Zeichen hinzukommen. Die Seitenbetreiber sollten eher verpflichten Klein- und Großbuchstaben (was schon 52 Zeichen sind, im Gegensatz zu 36 bei Kleinbuchstaben+ziffern), wobei der Großbuchstabe nicht am Anfang stehen darf, und häufige PWs verbieten. Mindestpasswortlänge auf 8 Zeichen, und noch einen Salt verwenden und PWs sind im allgemeinen sicher genug.

    Dann müssten die User noch 3 verschiedene PWs nutzen, eines für unkritsches wie Forenaccounts, Spieleaccounts, eines für die Email, da man damit alle anderen PWs zurücksetzen kann und eines für kritisches wie Onlinebanking-Bankpasswort.


    Das allerbeste von allen wäre natürlich wenn man Unicode verwenden dürfte. Ein kyrillische Zeichen, ein lateinischen und ein chinesisches und noch ein japanisches und das PW wäre ja auch schon sicher genug, bei der Vielfalt an möglichen Zeichen.

  3. #3
    Mitglied
    Registriert seit
    Aug 2006
    Beiträge
    1.975
    Danksagungen
    14

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    ... wodurch die Passwörter so kompliziert werden, dass jeder sie auf einen Zettel aufschreibt und unter die Tastatur klebt.
    Ich hasse es beispielsweise wenn mir eine Website vorschreibt ich muss Klein- und Großschreibung verwenden. Solange der Hacker nicht weiß, dass mein Passwort nur Kleinbuchstaben enthält, muss er beim Brute-Forcen ja trotzdem Klein- und Großschreibung testen.

    Zudem sollte man eigentlich keine Passwörter bei mehreren Anbietern benutzen.

  4. #4
    Gesperrt Avatar von Monty
    Registriert seit
    Aug 2004
    Ort
    nicht mehr hier
    Beiträge
    6.594
    Danksagungen
    24

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Zitat Zitat von agrarbayer Beitrag anzeigen
    ... wodurch die Passwörter so kompliziert werden, dass jeder sie auf einen Zettel aufschreibt und unter die Tastatur klebt.
    Genau das ist das Problem was entsteht und teilweise auch bereits existiert. Meine Firma hat vor einiger Zeit angefangen die Passwort-Richtlinien umfassend zu überarbeiten. Da bei uns verhältnismäßig viele verschiedene Anwendungen zum Einsatz kommen und die jeweiligen Verantwortlichen sich offenbar nicht untereinander abgesprochen haben wurde zwar erreicht, das die User es schwer haben gleiche und unsichere Passwörter zu nutzen, aber niemand kann sich all das merken. Passwort-Manager wie KeePass dürfen nicht verwendet werden, also haben die meisten eben doch einen "Zettel" oder eine Excel-Tabelle in der feinsäuberlich jeder Mitarbeiter seine Zugangskennungen aufbewahrt.

    Die Idee eine Smartcard -mit EINEM Passwort kombiniert- zu verwenden halte ich persönlich für eine sehr gute Lösung. Wir verwenden diese bei uns z.B. ohnehin. Dann entfällt das aufschreiben vieler Passwörter was durch unterschiedliche Änderungszyklen und erzwungene Mindestanforderungen zwangsläufig passiert.

  5. #5
    Mitglied Avatar von der_andi
    Registriert seit
    Mar 2007
    Beiträge
    166
    Danksagungen
    3

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Ich hab auch nen Vorschlag:
    Lange Passwörter (oder besser: Sätze) sind besser als kurze, kryptische. Also nimmt man eben ein langes, das sich aber gut merken lässt.
    Beispiel: meinetanterosmarie
    Das sind schon 18 zeichen, man kann es sich aber trotzdem sehr gut merken.
    Wenn man nur 26 Buchstaben ohne Zahlen, Sonderzeichen oder Groß/kleinschreibung als Zahlenmenge verwendet kriegt man aus 18 Buchstaben schon 26^18 = rund 2,95 x 10^25 mögliche Kombinationen raus.

  6. #6
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    60
    Danksagungen
    0

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Mein Problem ist... desto komplizierter ist das Password, desto weniger habe ich Chancen, dass ich es nach einer Woche noch weiß... daher mache ich es mir lieber einfach. Was halt letztendlich nicht so sicher... leider...

  7. #7
    Mitglied
    Registriert seit
    May 2008
    Beiträge
    421
    Danksagungen
    9

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    da der grossteil der menschen dumm is spiegelt sich das natürlich auch in vielen bereichen des lebens wieder.

    abhilfe schafft da wohl nur täglich eine schulstunde "passwortkunde" von der ersten bis zur letzten klasse

  8. #8
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    braucht man denn ein (viele) sichere passwörter?
    eines ja - für die verschlüsselung der heimsysteme, für webseiten hingegen... lol, arschlecken standardpasswort.

  9. #9
    Mitglied Avatar von cubei
    Registriert seit
    Mar 2008
    Beiträge
    90
    Danksagungen
    2

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Ich habe fast überall ein super schlechtes Passwort, weil es mir ziemlich egal ist, ob in irgendeinem Forum jemand mit meinem FakeNamen was schreibt.
    Wichtige Dinge, mit Bezahldaten, haben dann ein immer noch kurzes Passwort aber mit Zeichenkombinationen, das ich mir gerade so merken kann und beim Googleaccount kommt dann die Zweischrittanmeldung dazu.
    Nur meine Festplatteverschlüsselung hat ein vernünftiges Passwort.

    Aber Bruteforce ist doch erst möglich, wenn es geschafft wurde die Datenbank mit den Hashcodes zu erreichen, oder sehe ich das falsch ?
    Was soll dann dieser ganze Aufstand ?

  10. #10
    Mitglied
    Registriert seit
    Aug 2006
    Beiträge
    185
    Danksagungen
    0

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    bruteforce zielt direkt auf das passwort ab
    für die hashwerte nimmt man rainbow tables.

    definiere "super schlechtes passwort"

    wenn es tatsächlich nur aus 5 kleinbuchstaben + 2 zahlen besteht
    ist es mit normalem bruteforce innerhalb von 10-15 minuten geknackt.
    je nach rechenpower.

    in der cloud dürfte das ganze etwa..hm .. 3 sekunden dauern
    sofern der mailanbieter oder sonstwas nicht nach jedem fehlversuch eine zeitsperre erteilt.

    <edit>
    Muss mich hier korrigieren. Ich geh bei den 10-15 Minuten von Offlinezugriff auf z.b. ein Windowsystem aus. Online dürfte das wesentlich länger dauern. Kann mich da auch nur auf diverse Bruteforce-Calculator stützen. Da ist dann eher die Rede von 40-60 Stunden (mit einem einzelnen Rechner). Aber selbst das find ich noch deutlich zu schnell.
    </edit>

    ein gutes passwort wie es bei uns verwendet werden muss sieht dagegen eher so aus: <-HQgo&#<IIY6ÄweCZäHT;H8/r\]ÖlV(

    das ganze dann in KeePass gepackt und mit einem Satz verschlüsselt.
    dieser kann dann gerne so etwas sein wie "hier sind meine passwörter drin. da kommst du niemals ran. ha ha!"
    einfach zu merken und lang genug um jeden angriff ins leere laufen zu lassen.

    das sollte, meines erachtes, nach aktuellem stand der technik sicher sein.

    meiner meinung nach liegt aber das kritischste sicherheitsproblem wie eh und je nicht im passwort sonderm im nutzer der es dann gerne in irgendwelche gefakten eingabemasken hackt oder den schön blinkenden banner mit den brüsten anklickt und sich nen keylogger/trojaner einfängt.

    da bringt auch das sicherste passwort nix ..
    Geändert von RoqueNE (08. 01. 2012 um 06:34 Uhr)

  11. #11
    Mitglied Avatar von prtjn
    Registriert seit
    Jan 2012
    Beiträge
    3
    Danksagungen
    1

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Ich empfehle ja gerne passwordmaker.org, das leicht zu handhaben ist.

    Es gibt sogar Dienste, die Sonderzeichen in Passwörtern verbieten. Stumbleupon und ICQ fallen mir da ein. Die gehen schon mal gar nicht.

  12. #12
    Mitglied
    Registriert seit
    Aug 2006
    Beiträge
    185
    Danksagungen
    0

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Zitat Zitat von prtjn Beitrag anzeigen
    Ich empfehle ja gerne passwordmaker.org, das leicht zu handhaben ist.
    Hm, also anstatt das sichere Passwort irgendwo zu speichern wird es einfach jedes mal neu berechnet. Also gibt es nichts was man klauen könnte. So weit, so gut.

    Grundlegend keine schlechte Idee. Aber der Schwachpunkt ist der selbe wie bei jedem x-beliebigen Passwortmanager: Das Masterpasswort.

    Muss aber zugeben dass mich das interessiert. Werd ich mir gleich mal angucken.

    Guter Passwortgenerator im übrigen: http://www.gaijin.at/olspwgen.php
    Ja, einfach #1 bei Google^^. Aber muss deswegen ja nicht schlecht sein.

    Auf benutzerdefiniert schalten, alle Haken rein und auf 32 Zeichen stellen.
    Da kommt so schnell keiner durch.

  13. #13
    Mitglied

    (Threadstarter)

    Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    36

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Zitat Zitat von RoqueNE Beitrag anzeigen
    bruteforce zielt direkt auf das passwort ab
    für die hashwerte nimmt man rainbow tables.
    Das ist so nicht korrekt insofern, als man natürlich mit Hilfe eines Bruteforce auch das zu einem Hash gehörige Passwort berechnen kann. Die Passwörter, die man beim Bruteforce durchprobiert, werden einfach gehasht und mit dem vorliegenden Hash verglichen. Analog verhält es sich bei einem Wörterbuch-Angriff. Rainbow-Tables sind tatsächlich ein Sonderfall, da darin komplette Passwort-Sequenzen gespeichert sind. Diese funktionieren aber nur unter bestimmten Bedigungen: es darf kein Salt verwendet worden sein und die Tabelle muss für die vorliegende Passwort-Länge berechnet worden sein (die Generierung der Tabellen kann je nachdem sehr lange dauern, weswegen Rainbow Tables hoher Qualität für sehr lange Passwörter nicht praktikabel sind). Die anderen Angriffe kommen dagegen auch mit Salted Hashes klar, wenn man den Salt mit erbeutet hat (was, wie mir der intensiv mit Passwort-Sicherheit befasste Hacker Ron Bowes auf der DeepSec 2010 mitteilte, bei einem Einbruch in eine Datenbank praktisch immer gelingt).

  14. #14
    Mitglied Avatar von cubei
    Registriert seit
    Mar 2008
    Beiträge
    90
    Danksagungen
    2

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Zitat Zitat von RoqueNE Beitrag anzeigen
    definiere "super schlechtes passwort"

    wenn es tatsächlich nur aus 5 kleinbuchstaben + 2 zahlen besteht
    ist es mit normalem bruteforce innerhalb von 10-15 minuten geknackt.
    je nach rechenpower.
    Mit dem Risiko, meinen Account hier zu verlieren: Mit "super schlechtem Passwort" meine ich keine Kombination aus verschiedenen Zeichen, sondern nur von einem Typ. Bei vielen Sachen muss es ja leider 8+ Zeichen lang sein, denn bei einigen Seiten, wo man sich dummerweise registrieren muss, würde mir auch "1234" reichen.


    Zitat Zitat von RoqueNE Beitrag anzeigen
    Muss mich hier korrigieren. Ich geh bei den 10-15 Minuten von Offlinezugriff auf z.b. ein Windowsystem aus. Online dürfte das wesentlich länger dauern. Kann mich da auch nur auf diverse Bruteforce-Calculator stützen. Da ist dann eher die Rede von 40-60 Stunden (mit einem einzelnen Rechner). Aber selbst das find ich noch deutlich zu schnell.
    Bei vielen Seiten ist es ja so, dass man ab dem X. Fehlversuch ein Captcha noch mit eingeben muss und ich hoffe mal, dass kein wichtiger Onlineanbieter stundenlange Einlogversuche zulässt.

  15. #15
    Mitglied Avatar von JRW6137
    Registriert seit
    Apr 2010
    Ort
    Kassel
    Beiträge
    269
    Danksagungen
    4

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Ich habe mein eigenes System, O.K. es ist ein System aber trotzdem sicherer als die meisten Passwörter, da dieses System eine 4 stellige Zahl soweit fächert und umwandelt, das es der Computer extrem schwer hat:
    Am anfang Steht die Zahl: 1234
    dann nehme Ich mir die Alt-Codes: ☺♀{Ê
    dann kommt Num-->Key : bnmg
    dann evtl der Japanisch input vom Pc: ブルネイ
    man kann jetzt auch noch shift und die zahl: !"§$
    oder den ganzen kram invertieren: ♦+░ß

    Der Punkt ist, dass man sich nur nen bissl was merken muss und das System, sowie die Reihenfolge dann das PW macht:1234☺♀{Êbnmg ブルネイ!"§$♦+░ß also wenn das nen Rechner Rauskriegt dann weiss ich auch nicht weiter^^ Das Problem ist leider, dass bei vielen websites japanisch und altcode sachen rausfallen, sowie bei gulli^^

    MfG

    JRW6137

    PS: beim Lesen eines anderen Posts fiel mir auf, man könnte das ja nochmal verschlüsseln, oder in eine andere Reihenfolge setzen...

  16. #16
    Mitglied Avatar von prtjn
    Registriert seit
    Jan 2012
    Beiträge
    3
    Danksagungen
    1

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft

    Zitat Zitat von RoqueNE Beitrag anzeigen
    Grundlegend keine schlechte Idee. Aber der Schwachpunkt ist der selbe wie bei jedem x-beliebigen Passwortmanager: Das Masterpasswort.
    Das Grundproblem bei Passwörtern ist die Merkbarkeit. Die etwa 40 verschiedenen Passwörter, die ich nutze, kann ich mir unmöglich merken. Da ist ein Masterpasswort schon hilfreich. Für spezielle Sachen, wie Mail oder Festplattenverschlüsselung merke ich mir die Passwörter jedoch extra.

    Früher machte ich ähnliches wie der Passwordmaker von Hand: 2 Buchstaben aus der URL (z.B. 2. und 4.) plus Masterpasswort in Fire Encrypter eingegeben und den Hash daraus als Passwort verwenden. War mir aber auf die Dauer zu umständlich.
    Geändert von prtjn (08. 01. 2012 um 15:12 Uhr) Grund: Text zu Fire Encrypter hinzu gefügt

  17. #17
    Mitglied
    Registriert seit
    Oct 2010
    Beiträge
    60
    Danksagungen
    0

    Standard Re: Studie: Passwort-Sicherheit noch immer mangelhaft


  18.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •