Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 21
  1. #1
    Mitglied
    Registriert seit
    Sep 2012
    Beiträge
    2
    NewsPresso
    2 (Talent)
    Danksagungen
    3

    Standard Passwörter: Sicherheitsrichtlinien oft zuwenig

    Deloitte weist Anbieter und Nutzer von Internetdiensten darauf hin, dass sie den Umgang mit Passwörtern nicht auf die leichte Schulter nehmen sollten. Selbst jene Passwörter, welche die Ratschläge von Sicherheitsexperten beherzigen (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und andere Zeichen), werden durch die Verhaltensmuster der Nutzer unsicher.

    zur News

  2. #2
    Mitglied Avatar von SchmutzWeich
    Registriert seit
    Aug 2008
    Ort
    daheim
    Beiträge
    89
    NewsPresso
    20 (Spezialist)
    Danksagungen
    0

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Zitat Zitat von joanZ Beitrag anzeigen
    Deloitte weist Anbieter und Nutzer von Internetdiensten darauf hin, dass sie den Umgang mit Passwörtern nicht auf die leichte Schulter nehmen sollten. Selbst jene Passwörter, welche die Ratschläge von Sicherheitsexperten beherzigen (mindestens acht Zeichen, Groß- und Kleinbuchstaben, Ziffern und andere Zeichen), werden durch die Verhaltensmuster der Nutzer unsicher.

    zur News
    ach, und ich dachte 123Gulli wäre ein sicheres Kennwort

  3. #3
    Mitglied
    Registriert seit
    Jul 2008
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    es würde schon einiges helfen, wenn ein paar mehr Webseiten/Dienste die Möglichkeit anbieten würden dort einen Authenthicator zu hinterlegen (Google bietet ja einen mit offener Schnittstelle an) der jedes mal fällig wird wenn man sich mit ner neuen IP anmelden will...

    Ich für meinen Teil hab' mich schon oft irgendwo registriert, habe trotz alledem nur 2-5 Passwörter die ich durchrotiere und die sich alle relativ ähnlich sind und wurde noch nie gehackt - ich glaube da geht auch ein bisschen was auf den Nutzer zurück, wie leichtgläubig man mit einkommenden EMails umgeht ala "Es wurde eine dubiose Aktion auf ihrem Account beobachtet, loggen sie sich deswegen über dieses Forular ein um ihre Identität zu bestätigen" (ich glaube immer noch nicht, dass es Leute gibt, die darauf reinfallen...)

  4. #4
    Mitglied
    Registriert seit
    Jan 2004
    Ort
    127.0.0.1
    Beiträge
    953
    Danksagungen
    9

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Ich finde es wird zwar immer darauf verwiesen man solle ein PW sicher machen, solche und jene Zeichen... aber nur in den seltensten Fällen wird dem User Hilfestellung gegeben wie man sich komplexe PW bilden kann und sie sich merken kann ohne sie notieren zu müssen.

    So erkläre ich es unseren Anwendern. Man selbs muss sich eine Regel aufstellen mit der man seine PW konstruieren kann.


    Beispiel:

    Schritt 1 - die individuelle Note
    - Lieblingssong nehmen "Queen - We Will Rock You"
    - die ersten 2 Buchstaben jedes Wortes nehmen, 1ter groß, inkl sonderzeichen
    - ergibt: "Qu-WeWiRoYo"

    Schritt 2 - Zahlen
    - anlehnend and die 1337 schrift buchstaben gg ähnlich Zahlen tauschen
    - ergibt: "Qu-W3W1R0Y0"

    Schritt 3 - für jede Anwendung ein Unicat
    - dem PW nun eine Anwendungs oder Internetseite spezifische Endung/anfang verpassen
    - z.b. letzte 3 Zeichen der Domain inkl endung
    - ergibt "Qu-W3W1R0Y0lli.de"

    Ein PW welches sehr komplex ist, lang ist und sich verhältnismäßig leicht merken lässt.

    Schritt 3 dient einfach nur um das "automatisierte" ausprobieren der Passwörter bei verschiedenen Portalen zu unterbinden wenn mal eines der PW ins Internet gelangt. (UserDB eines Forums wird gehackt)

    Aber natürlich sollten für bestimmte Bereich PW gewählt werden die wirklich unicat sind (Mail(!!!), Serverzugänge, Bezahlportale)

  5. #5
    Gesperrt Avatar von gelöschterNutzer11
    Registriert seit
    Dec 2012
    Beiträge
    258
    NewsPresso
    1 (Talent)
    Danksagungen
    30

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Als ich jünger war, hatte ich auch nur so 1-2 Passwörter, welche auch noch extrem einfach waren.
    Heutzutage benutze ich jedesn Passwort nur für eine bestimmte Internetseite.
    Und sie sind alle komplex, und 12 Zeichen lang.
    Ist zwar teilweise etwas blöd, wenn man mal nen PW vergisst, aber das passiert mir eigentlich nur bei den gleichen 2-3 Seiten, auf die ich seltener gehe.
    Muss dann immer Zuhause nachgucken welches es denn ist

  6. #6
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    11

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Solche Passwörter sind im Grunde eher unsicherer.
    Das Geheimnis liegt eben nicht darin, es möglichst kompliziert zu machen, sondern es möglichst einfach aber sehr lang zu machen.
    Da liegt doch der Fehler, die meisten Webseiten gestatten gar nicht ausreichend Zeichen.
    Und wenn alle vernünftig verschlüsseln und salzen würden, wäre man auch mit einem einzigen Passwort überall sicher.

  7. #7
    Mitglied
    Registriert seit
    Jul 2008
    Beiträge
    329
    Danksagungen
    8

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Zitat Zitat von Xypro Beitrag anzeigen
    [...]
    - ergibt "Qu-W3W1R0Y0lli.de"

    Ein PW welches sehr komplex ist, lang ist und sich verhältnismäßig leicht merken lässt.

    Schritt 3 dient einfach nur um das "automatisierte" ausprobieren der Passwörter bei verschiedenen Portalen zu unterbinden wenn mal eines der PW ins Internet gelangt. (UserDB eines Forums wird gehackt)

    Aber natürlich sollten für bestimmte Bereich PW gewählt werden die wirklich unicat sind (Mail(!!!), Serverzugänge, Bezahlportale)
    Schon Schritt 3 würde oft scheitern.
    Ich verwende meist Passwörter die ich aus den gleichen X Bausteinen unterschiedlich zusammensetze + Zusätze von der Seite für die die sind. Selbst wenn mal irgendwer alle Bausteine abgreift wird es noch viele Versuche brauchen das PWD zu finden.

    Letztens hatte ich damit ein wunderbares Erlebnis. Passwort ähnlich zu deiner Nr.3, nur etwas länger. Ich hatte schon auf Umlaute ß und ähnliche Deutsche Scherze verzichten.
    Die einzigen erlaubten Sonderzeichen: _ und -. Die Leertaste gehörte dort zu den Sonderzeichen. Info während des ersten Versuches.
    Ok, Passwort geändert. Dann wollte ich mich einloggen, was nicht ging. (Passwort per C&P eingefügt). Passwort zusenden, mit dem klappts. Noch mal, wieder das gleiche. Das Spielchen ging dann noch ein paar mal, bis mir dämmerte, dass mein Passwort ZU LANG! ist und das beim Abspeichern eventuell irgendwo abgeschnitten wird oder beim Vergleich oder weiß der Henker wo. Aber, OHNE einen Hinweiß darauf.
    Ich hab dann einfach auf 12 Zeichen reduziert, wobei die Länge ja grade der Hauptsicherheitsfaktor ist... Eventuell gehen noch 1 oder 2 Zeichen mehr. Vielleicht auf 3. Aber ich hatte echt die Schnauze voll und habe erstmal 10 Passwortrücksetzmails gelöscht.
    Aus dem gleichen Grund ist mein MSN Account schon tot gewesen als ich ihn erstellte. Sicherheitsfrage? Keine Ahnung. Und irgend ein Zeichen, dass der zwar bei der Erstellung schluckt, aber nicht beim einloggen...

    Solche Spaßvögel im Web gehören wirklich vertrimmt. Und das sind wahrlich keine kleinen Firmen gewesen...

  8. #8
    Mitglied
    Registriert seit
    Dec 2007
    Beiträge
    197
    Danksagungen
    7

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Meine Passwörter bestehen aus mehreren Worten ohne irgendwelche Zahlen- oder Sonderzeichensubstitutionen. Die sind recht einfach zu merken und schwer zu bruteforcen. Das einzige Problem dabei ist, dass manche Webseiten die Passwortlänge stark limitieren.

    xkcd.com/936/

  9. #9
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Kann nur Paßwort + Handynummer;> Irisscan geht nicht mit zwei Glasaugen und Fingerabdruck..nun ja,..dafür wechsle ich jeden Tag meine Handynummer! ^^
    Geändert von mariYo (08. 02. 2013 um 19:24 Uhr)

  10. #10
    Mitglied
    Registriert seit
    Mar 2007
    Beiträge
    54
    Danksagungen
    233

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Kryptische Passwörter sind der totale Schwachsinn.
    Bei einer brute-force Attacke wird blind jede Kombination getestet. Ob man da nun ein kryptisches Passwort nimmt ist komplett wurst.
    Es reicht ein stinknormaler Satz. Hauptsache man verwendet jede Zeichenart einmal und packt ein oder mehrere Wörter in Sonderzeichen ein (padding).

    Ein starkes Passwort ist zum Beispiel das hier:

    Code:
    Gulli.com $ist% die Nr. !1!
    Das Problem bei vielen Websites ist halt die nicht vorhandene Zeichenlänge...

  11. #11
    Gesperrt Avatar von gelöschterNutzer11
    Registriert seit
    Dec 2012
    Beiträge
    258
    NewsPresso
    1 (Talent)
    Danksagungen
    30

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Naja, meine bestehen halt auch aus 2 Wörtern, Ziffern und dann halt Sonderzeichen.

  12. #12
    Mitglied
    Registriert seit
    Dec 2009
    Beiträge
    1.856
    Danksagungen
    42

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Mal ehrlich, welcher Webserver lässt es denn zu dass auf die Login-Maske eine Bruteforce-Attacke gefahren wird?
    Bei einer lokalen, verschlüsselten Datei lässt sich sowas natürlich nicht verhindern weil man ein Programm für die Bruteforce-Attacke entwickelt.
    Aber wenn es auf einer Webseite möglich ist, pro Sekunde mehrere 1000 login-Daten auszuprobieren, dann gehört deren Ersteller vor ein Erschießungskommando...

    Was natürlich eine Gefahr ist: Social Engineering -> Nicht die Länge des Passwortes ist relevant sondern mindestens ein Teil der nicht durch Social Engineering gewonnen werden kann.

    Und bei den ganzen bekannten Fällen der letzten Jahre wurde jedes Mal eine Datenbank mit unverschlüsselten (!) Passwörtern gemopst - da hilft das sicherste Passwort nichts
    Geändert von ATMega8 (08. 02. 2013 um 22:26 Uhr)

  13. #13
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    ach, und ich dachte 123Gulli wäre ein sicheres Kennwort
    Du brauchst auch Sonderzeichen. 321Gulli! ist schon viiiel sicherer!

    ...die meisten Webseiten gestatten gar nicht ausreichend Zeichen.
    Das stimmt leider.

    Die User hier sind sowieso nicht die Zielgruppe von solchen Meldungen. Unsereiner kann sich auch 20-stellige Passwörter ohne Probleme merken, die aus Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen bestehen.

  14. #14
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    57
    Danksagungen
    1

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Zitat Zitat von Xypro Beitrag anzeigen
    - Lieblingssong nehmen "Queen - We Will Rock You"
    - die ersten 2 Buchstaben jedes Wortes nehmen, 1ter groß, inkl sonderzeichen
    - ergibt: "Qu-WeWiRoYo"
    Die Passwörter die auf Sprüchen oder bekannten Lieder basieren sind schon längst in Wörterbüchern vorhanden und werden mit entsprechenden Abwandlungen wie angehängten Zahlen etc. schnell gefunden.

    Zitat Zitat von Xypro Beitrag anzeigen
    Schritt 2 - Zahlen
    - anlehnend and die 1337 schrift buchstaben gg ähnlich Zahlen tauschen
    - ergibt: "Qu-W3W1R0Y0"
    1337-speech ist ebenfalls schon in den Routinen implementiert und werden direkt auf die Wörterbücher angewandt.

    Die drei Schritte hintereinander runden es natürlich bei entsprechender Länge derart ab, dass es unter normalen Umständen sehr sicher sein kann.
    Allerdings wären tatsächlich zufällige Passwörter deutlich besser, da alles, was irgendwie systematisch aufgebaut ist (weil leichter zu merken) auch mittlerweile analysiert und gescriptet werden kann.


    Interessant hierzu auch der Themenblock Passwortsicherheit in der recht aktuellen c't 03/13.

  15. #15
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    2.670
    Danksagungen
    110

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Da würde ich ja jetzt jedem die ct' magazin 3/2013 empfehlen.
    Dort gibt es einen recht interessanten Artikel über Passwörter.

    Demzufolge ist auch g3H31m+743 kein sicheres Passwort, obwohl alphanumerisch und mit Sonderzeichen.

    Aber das können Interessierte ja ggf. selber nachlesen.

  16. #16
    Mitglied
    Registriert seit
    Dec 2009
    Beiträge
    1.856
    Danksagungen
    42

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Nochmal: Welche Seite lässt Bruteforce- oder Dictionary-Attacks zu?

    Meist wird man beim 4. falschen Versuch für >5Minuten gesperrt.

    Was hier diskutiert wird ist doch nur dann relevant wenn man eine lokal vorliegende, verschlüsselte Datei knacken will

  17. #17
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    So ist es. Wichtig wird das erst bei ordentlichem, lokalen Bruteforcen.

    Hier diese Seite ist vielleicht auch interessant für den einen oder anderen: https://www.grc.com/haystack.htm

  18. #18
    Mitglied
    Registriert seit
    Mar 2009
    Beiträge
    568
    Danksagungen
    19

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Alle Tips sind schön und gut.

    Muss man sich die Passwörter aber merken ist schnell aus die maus, da es einfach zu viele sind.


    Extrem ähnliche Passwörter sind zudem einfach genauso unsicher, den einfach nur eine zahl drangehängt bringt auch nicht viel (da Variationen von Passwörtern gerne gleich mit genommen werden, das passiert viel zu häufig).


    Passwort "Sticks" und tools die Passwörter speichern sind irgendwo das einzige was man nutzen kann, aber auch das ist wieder ein Punkt wo alles zusammenläuft und es steht und fällt damit ob der Stick sicher ist und man den nicht verliert (was natürlich schonmal deutlich sicherer ist als schlechte Passwörter oder immer das gleiche).



    Irgendwo brauchts verfahren die Passwörter ersetzen, fand Bio-Muster noch ganz interessant, also fingerabdruck usw. ; aber das ja auch nur begrenzt "sicher" , machts aber schon deutlich angenehmer wenn man sich die Wörter nicht merken muss.

    2-Way Anmeldungen werden ja auch immer verbreiteter, sind an sich auch ziemlich sicher. Nur ziemlich blöd wenn das zu viele machen wird das auch echt nervtötend immer sein handy zu zücken um Codes per SMS einzugeben oder durch Apps.

    Vielleichts gibts ja irgendwann mal einen Ausweiß der im Körper verankert wird (bei Hunden und Haustieren gibts das ja schon länger) , über die Schnittstelle könnte man viel authentifizieren, ohne Passwörter und solchem Kram.

  19. #19
    Mitglied
    Registriert seit
    Apr 2012
    Beiträge
    875
    Danksagungen
    11

    Standard Re: Passwörter: Sicherheitsrichtlinien oft zuwenig

    Zitat Zitat von Wafer Beitrag anzeigen
    1337-speech ist ebenfalls schon in den Routinen implementiert und werden direkt auf die Wörterbücher angewandt.

    Die drei Schritte hintereinander runden es natürlich bei entsprechender Länge derart ab, dass es unter normalen Umständen sehr sicher sein kann.
    Allerdings wären tatsächlich zufällige Passwörter deutlich besser, da alles, was irgendwie systematisch aufgebaut ist (weil leichter zu merken) auch mittlerweile analysiert und gescriptet werden kann.
    Das ändert aber nichts daran, dass Sätze sehr viel sicherer (siehe den xkcd-Comic weiter oben) als zufällige Zeichen sind, reine Mathematik.
    Man muss sich nur mal vor Augen führen, wie wenig gültige Zeichen (Buchstaben,Zahlen,usw.) es gibt, und wie wahnsinnig viele Wörter es gibt. Mit Bruteforce ist so ein Satz ohnehin unknackbar und mit Wörterbuchangriff wird daraus auch nur eine Art Bruteforce mit Wörtern. Und wenn man da irgendwelche anderen Zeichen ranhängt/reinfügt, auch wenns nur eins ist, hat man quasi eine Kombination die extrem sicher gegen Bruteforce und Dictionary ist und auch noch gut merkbar ist.
    Klar gibt es Scripte um sowas zu generieren, aber dennoch wissen die Angreifer ja nicht, wo und wieviele Zeichen wie überall verteilt sind und müssen dadurch eben doch alles ausprobieren, wobei dann die hohe Anzahl wieder vorteilhaft ist.

  20. #20
    Mitglied Avatar von thom53281
    Registriert seit
    Mar 2007
    Ort
    http://9584.3az.de
    Beiträge
    5.764
    Danksagungen
    42

    Standard

    Zitat Zitat von SchmutzWeich Beitrag anzeigen
    ach, und ich dachte 123Gulli wäre ein sicheres Kennwort
    Das erinnert mich an folgendes:
    http://board.gulli.com/thread/370111...94#post2325694




    Grüße
    Thomas

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •