Passwort-Sicherheit: "password" und "123456" nach wie vor beliebt

[Annika_Kremer]

Eine aktuelle Studie des auf Passwort-Sicherheit spezialisierten Unternehmens SplashData untersuchte anhand geleakter Zugangsdaten die häufigsten Passwörter des Jahres 2012. Dabei stellte sich heraus, dass viele Benutzer nach wie vor zu extrem schlechten Passwörtern greifen - auf Platz eins der Liste steht etwa noch immer der Begriff "password".

zur News

[Dxxf]

Waren da auch für einen wichtige Webseiten dabei?
Ich für meinen Teil nutze auch das Passwort 1234... auf mir total unwichtigen
Webseiten und überall das Selbe.
Wenn diese gebruteforced werden, ist es mir sowas von egal, gehen halt ein paar Foren,
SpamAdressen und so drauf.
Heutzutage gibt es so viele Webseiten, die irgenwelche Passwörter wollen.
Jedes drittklassige Forum will ne Anmeldung, selbst wenn man nur nem blöden Link folgen will und danach nie wieder auf das Forum zugreift.

[bullyh]

Ich habe kein einziges Passwort doppelt. Wahrscheinlich bin ich eine Ausnahme.

[mathmos]

Nö, aber du gehörst einer seltenen Spezies an.

---

Das Schlimme daran ist, dass solche Passwörter ja nicht nur für relativ unwichtige und unkritische Sachen verwendet werden, sondern auch für Onlinebanking usw. wo es richtig böse werden kann. In Zeiten von KeePass und Co. ehrlich gesagt unverständlich.

[bullyh]

hihi.

Habe auch KeePass.

Spoiler: 

Das ist aber mit 1234 gesichert.

[mathmos]

So jemanden kenne ich sogar persönlich. Nutzt komplexe Passwörter, sichert seinen Passwortsafe allerdings mit einem Passwort ab, das man mit Brute Force vermutlich in Sekunden (wenn überhaupt) und wenn man ihn kennt, in Minuten erraten hat.

[Encom]

Ich persönlich nutze ein Nicht-Wörterbuch Passwort, das außerdem lang ist. Gut das ich Chemiker bin, da gibt's tausende Verbindungen die man als Passwörter nutzen kann. Inklusive Zahlen und Sonderzeichen.

[bullyh]

Da ich ja paranoid bin, und meine Passwörter bei google-Drive liegen, habe ich erstmal die Passwortstärke vom Masterschlüssel von 64 auf 111 Bit verschlüsselt.

[Alkoholpapst]

So jemanden kenne ich sogar persönlich. Nutzt komplexe Passwörter, sichert seinen Passwortsafe allerdings mit einem Passwort ab, das man mit Brute Force vermutlich in Sekunden (wenn überhaupt) und wenn man ihn kennt, in Minuten erraten hat.

Problem ist ja, dass man für einfache Passwörter die Bruteforce Methode garnicht braucht. Da ist die Methode mit Passwortlisten ergibiger.
Gegen Brute Force Angriffe reicht ein langes Passwort, gegen Passwortlisten hilft nur eins, das nicht auf der Liste steht.

[PSP-ZockerSCENE]

Also für "Müll-Logins" benutze ich meistens 123456(78) und ne Temp. Mail.
Fragt sich halt wie viele Leute solche Passwörter tatsächlich für wichtige Dinge nutzen.

GreeZ pspzockerscene

[markantelli]

Problem ist ja, dass man für einfache Passwörter die Bruteforce Methode garnicht braucht. Da ist die Methode mit Passwortlisten ergibiger.

Und woher weißt du, dass das Passwort so einfach ist, dass eine Passwortliste ausreichend wäre?

[Hezu]

Ich möchte ja nicht wissen, wie viele hier im Gulli jetzt ihr Passwort in den News gelesen haben.

[normabates]

Kannst ja mal ne Umfrage starten

[Alkoholpapst]

Und woher weißt du, dass das Passwort so einfach ist, dass eine Passwortliste ausreichend wäre?

6-stelliges Passwort (wird ja Netz meist als Minimum verlangt)mit 36 Zeichen+Sonderzeichen Bruteforcen? Da hängt man mit nur einer CPU, was meinen Verständnis von ganz einfach entspricht, schon ein wenig dran. Mit mal eben ein paar Minuten ist das meist nicht getan. Über die GPU oder Clouddienste ist das wieder ein anderes Thema, aber da sehe ich auch das einfache nicht mehr.

Passwortlisten oder Hinweise im Altpapier sind da vielversprechender.

[Raeven]

Der Witz an der Sache ist, selbst wenn man eine faule Socke ist, kann man ja zumindest einfach 25+ Zeichen machen. Hat den einfachen Grund: Selbst wenn es 25x die 1 ist, braucht ein bruteforce Programm oft (natürlich kann man auch ausnahmen machen, in der Programmierung) sehr sehr lange dafür, weil die ja nach dem Muster 1x alle Zeichen, 2x alle Zeichen + Kombinationen usw. vorgehen.
Bis das Programm dann bei 25x 1 ist, vergeht schon etwas zeit :P.

Natürlich kann so ein Password aber auch in einer Liste auftauchen, die zuerst geprüft wird. (dann schmeißt man halt zufällig noch ein abc dazwischen)

Im übrigen sollte es auch Aufgabe der Webseiten sein, das Brutforcen zu erschweren. Zumindest so weit, das 0-8-50 script kidies nicht einfach Tagelang mit der selben IP Passwörter ausprobieren können ....

[Tunichgut1]

Ich möchte ja nicht wissen, wie viele hier im Gulli jetzt ihr Passwort in den News gelesen haben.

Ich habe meins z.B. jetzt hier gelesen. Aber ich sag euch nicht welches es ist Ätsch

[simpliziss]

Das ist doch nicht verwunderlich.

Einige 100 Millionen Facebook- und Youtube-Nutzer beweisen doch, wie dumm die Netzgemeinde ist.

[ATMega8]

Und die relevanz des ganzen?
In welchen privaten Account wurde denn in den letzten 10 Jahren per Dictionary Attack oder Bruteforce eingebrochen?

Die einzige Möglichkeit, wie private Passwörter and die öffentlichkeit kamen, waren Sicherheitslücken bei Diensten, Phishing-Seiten und Unternehmen, die die PWs ungehasht in Datenbanken hatten und denen die ganze Datenbank geklaut wurde.

In keinem einzigen dieser Fälle hätte ein 100stelliges Passwort mit Groß/Kleinbuchstaben, Ziffern und Sonderzeichen irgendwie geholfen

[accC]

Da die Dummheit der Masse offensichtlich leider nicht reduziert werden kann, wäre vielleicht eine andere Stelle der geeignete Anlaufpunkt, wenn es um sichere Passwörter geht: der Anwendungsentwickler

Da gibt es dann gleich mehrere Möglichkeiten, wie man sichere Passwörter erzwingen kann:

• Blacklist-Filter ("password", "123*" ...)
• Zeichencheck (Groß-, Klein-, Sonderzeichen, Zahlen, #Zeichen)
• Zwang zufallsgenerierter Passwörter (Passwort von der Anwendung generieren lassen)

[Annika_Kremer]

Dann hast du aber wieder das Problem, dass sich das keiner merken kann.