Passwortsicherheit

Es gibt 23 Antworten in diesem Thema, welches 1.307 mal aufgerufen wurde. Der letzte Beitrag (9. März 2013 um 15:56) ist von gunreo.

    Habe im Internet eine Seite gefunden bei der man überprüfen kann wie lange ein normaler PC bräuchte um ein Passwort zu entschlüsseln.

    * * * * * * * * * * * * * * * * * * * *
    Die Seite wurde entfernt.
    Bitte meinen Beitrag auf Seite 2 dazu lesen, Vielen Dank.
    * * * * * * * * * * * * * * * * * * * *

    Natürlich sollte man nicht das genaue Passwort testen sondern die Zahlen, Buchstaben und Sonderzeichen einfach austauschen.

    Das ist kein Problem, denn jedes Zeichen hat ja die selbe Wahrscheinlichkeit ( 1 genau wie 9, a genau wie x usw. ).

    Das sieht dann am Ende so aus am Beispiel meines Passwortes für den Administratoraccount meines Rechners:

    Ich finde die Seite ganz nützlich um seine eigenen Passwörter mal etwas kritisch zu betrachten.

    HINWEIS:
    Die Seite sollte nur in einer sicheren Browserumgebung geöffnet werden.

    Vielen Dank für den Hinweis an Markus30S

    2 Mal editiert, zuletzt von Butika (6. März 2013 um 13:05)

    Ich schicke mein Passwort ganz sicher nicht auf eine ungesicherte Seite, die mein Passwort dann auch noch in Klartext empfängt und gleichzeitig meine IP-Adresse loggt. 8| :wacko: :pinch: Noch dämlicher geht es wohl nicht.

    "Je mehr Regeln und Gesetze, desto mehr Diebe und Räuber." Lao Tse (6. Jh. v. Chr.)

    Zitat von Markus30S

    Ich schicke mein Passwort ganz sicher nicht auf eine ungesicherte Seite, die mein Passwort dann auch noch in Klartext empfängt und gleichzeitig meine IP-Adresse loggt. 8| :wacko: :pinch: Noch dämlicher geht es wohl nicht.

    Man schickt ja auch nicht das eigentliche Passwort dorthin, sondern nur ein ähnliches.

    Anstatt z. B. 1ktla41 schickt man 8xpq73 hin.

    Die Chance für 0 ist die gleiche wie für 6.

    Die Chance für a ist genauso hoch wie für z.

    Im übrigen steht der Link bei t-online auf der Seite, also halbwegs seriös.

    Außerdem musst Du da ja nicht mal Enter oder sonstwas drücken.

    Kaspersky gibt auch keine Warnung oder sonst was beim Besuch der Seite.

    Als Phishing-Seite ist die Seite nicht gemeldet. Nichtsdestotrotz sollte man damit allenfalls Muster testen, nicht reale Passwörter.

    Zitat

    It would take a desktop PC about
    29 octillion years
    to crack your password

    Character Variety: Non-Standard Character
    Your password contains a non-keyboard character. This should make it more secure.

    Length: Long
    Your password is over 16 characters long. It should be pretty safe.


    Dank KeePass dürfte diese "Bewertung" auf alle meine Passwörter zutreffen ;)

    Übrigens: Falls die boardinterne Suchfunktion nicht das gewünschte Ergebnis liefert, versucht es einfach mal mit der seitenspezifischen Google-Suche

    ▪▪▪ E V I G I L A T E

    Zitat von Butika

    Im übrigen steht der Link bei t-online auf der Seite, also halbwegs seriös.

    Außerdem musst Du da ja nicht mal Enter oder sonstwas drücken.

    Ich will dir ja nicht zu nahe treten, aber das ist schon ein wenig naiv oder ?
    Das Netz ist voll von Banditen, da traue ich auch nix was t-online auf seinen Seiten stehen hat.

    --- Field Target :W: iesloch - Da werden Sie geholfen :new2: ! ---

    Zitat von Lt. Dan

    Ich will dir ja nicht zu nahe treten, aber das ist schon ein wenig naiv oder ?
    Das Netz ist voll von Banditen, da traue ich auch nix was t-online auf seinen Seiten stehen hat.

    Teils teils.

    Ich habe die Seite natürlich in der Sandbox von Kaspersky geöffnet.

    ;^)

    Zitat von Butika

    Sandbox von Kaspersky geöffnet.


    Dank Kaspersky habe ich mir von einigen Wochen einen ganz übelen Virus eingefangen, der nur durch ein totales " plattmachen" auszulöschen war.
    Mein Vertrauen zu Kaspersky ist drastisch gesunken.


    Gruß, Andy

    Zitat von Butika

    Ich habe die Seite natürlich in der Sandbox von Kaspersky geöffnet.


    Schön, dass Du auf Deine Sicherheit großen Wert legst, es aber
    versäumst, dies auch Deinen Freunden und Mitusern schon am Anfang
    mitzuteilen.

    So ganz strukturiert scheint das Programm doch nicht
    zu sein. Bei "Passwort" kommt "instantly", beim französischen "mot de
    passe" bräuchte ein Desktop-PC (welcher Hacker hat denn noch so eine
    langsame Mühle?) schon 546 Jahre.

    "Je mehr Regeln und Gesetze, desto mehr Diebe und Räuber." Lao Tse (6. Jh. v. Chr.)

    Solche Seiten gehen meist vom normalen Desktop PC's aus.

    Wenn sich die NSA oder andere mit entspechenden Rechnern der Sache annehmen wirds um einiges schneller gehen.

    Knackbar ist theoretisch alles in 1 Sekunde...ist nur eine Frage von Rechenpower. Aber wirklich sichere Passwörter kann man mit heutigen Rechnern schwer in in brauchbarer Zeit knacken.
    Natürlich kann theoretisch der erste Versuch schon ein Treffer sein und es ist nach 1 Sek geknackt. Ist aber recht unwahrscheinlich. Bedeuted also auch, solche Seiten gehen immer davon aus wie lange es maximal dauert also das erst der letzte Versuch passt. Faktisch dürfte es einiges schneller gehen.

    Buchstaben (klein/groß), Ziffern, Sonderzeichen gemischt mit mindestens 20 Stellen dürfte aber aktuell auch von Großrechnern nicht wirklich knackbar sein bzw. es wird ewig dauern (Glückstreffer mal aussen vor).

    :thumbsup:

    3 Mal editiert, zuletzt von Maverick14 (5. März 2013 um 21:50)

    Zitat von illuminatus!

    und selbst wenn Du den Passwortvorschlag anonym übermitteln könntest - wer sagt dir, dass die Summe der eingehenden Vorschläge nicht statistisch ausgewertet wird?

    Naja Angst habe ich da nicht wirklich.

    Was bringt es zu wissen das die Personenzahl xy in einem Gebiet xy sichere Passwörter benutzt oder nicht?

    Solang es alles nur normale "kleine Heimanwender" sind ist man dadurch nicht gläserner als eh schon.

    Hier wird ja auch rege an Petitionen teilgenommen zum Waffenrecht, Wasserrecht und was sonst noch alles.

    Da macht sich anscheinend auch keiner Gedanken drüber ob da irgendwas ausgewertet oder gespeichert wird.

    Im Supermarkt kauft Du auch ein Produkt xy das dann zur Auswertung von Kaufstatistiken dient.

    Bezahlst Du mit EC-Karte und kaufst 10 Jahre lang z. B. Unmengen an Cola und Chips kann in Zukunft ( und so wirds irgendwann kommen ) auch die Krankenkasse sagen es werden keine Behandlungskosten übernommen und hält Dir als Begründung Deine Wocheneinkäufe unter die Nase.

    Das ist mit dem derzeitigen Technikstand und dem Grad der Vernetzungsmöglichkeiten schon möglich, nur noch nicht erlaubt. ;^)

    Wenn ich davon ausgehe, dass ein Computer der Reihe nach alle Buchstaben auswählt und immer wieder ein neues Zeichen anhängt, dann dauert es wirklich so lange. Bei der Voraussetzung, dass der Computer dazu der Reihe nach alle ASCI-Zeichen verwendet, ist die gemischte Verwendung von Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen für Passwörter absolut sinnlos. Das hilft nur gegen den Kollegen, der über die Schulter schaut.

    Wenn ich genau diese obige Seite geschrieben hätte, dann nur für einen Zwecke. Statistische Auswertung welche Passwörter besonders häufig verwendet werden. Diese dann nach der Häufigkeit geordnet in eine Liste packen, z.B. die ersten 400.000 um sie dann im Brute-Force-Verfahren anzuwenden und evtl. für teures Geld zu verkaufen.

    "Je mehr Regeln und Gesetze, desto mehr Diebe und Räuber." Lao Tse (6. Jh. v. Chr.)

    Meine Pw sind allesamt irgendwelche selbsterfundene Phantasienamen oder Bezeichnungen,welche keinen Sinn ergeben,und nach denen man ohne Ergebnis googeln könnte,kombiniert mit sinnlosen Zahlen/Zeichen.Und min.10Stellen,ehr mehr bei wichtigen Sachen wie zb Paypal oder sowas.Denke,dürfte relativ sicher sein.

    Wenn der STAAT seinen Bürgern die Waffen nimmt,bedeutet das nur,das er Angst vor der Demokratie hat!

    Zitat von Markus30S

    Bei der Voraussetzung, dass der Computer dazu der Reihe nach alle ASCI-Zeichen verwendet, ist die gemischte Verwendung von Groß- und Kleinbuchstaben, sowie Zahlen und Sonderzeichen für Passwörter absolut sinnlos. Das hilft nur gegen den Kollegen, der über die Schulter schaut.


    Naja, ein leistungstungsfähiger Desktop Rechner schafft um die 3 Milliarden Abfragen pro Sekunde. In der Regel probiert er erstes alle Zahlenkombinationen durch. Das dürfte wenn man nicht von unendlich langen Passwörtern ausgeht schnell erledigt sein.

    Dann alle möglichen Kombinationen aus Kleinbuchstaben. Geht man von mittellangen Passwörtern aus dürfte auch das noch machbar sein.

    :thumbsup:

    Und genau darum haben intelligente Systeme steigende Zeitspannen als Pause drin.

    Die ersten drei Fehlversuche 0 Sekunden, dann 5 Pause, dann 10, dann 20, dann 60, bis 10 Minuten.

    Eine völlige Sperre geht ja nicht, da eine Backdoor nicht ohne weiteres Sicherheitsrisiko möglich ist.
    Außer vielleicht ein überlanges Passwort, min. 50 Zeichen und beschränkt auf echte Tastatureingabe.


    Was mich übrigens nervt, das sind Webseiten, deren PW-Funktion keine Sonderzeichen zulässt.
    Manche nichtmal Zahlen oder Großschreibung.
    Das ist verschenkte Sicherheit.


    Stefan

    Zitat von Butika

    Was bringt es zu wissen das die Personenzahl xy in einem Gebiet xy sichere Passwörter benutzt oder nicht?

    Solang es alles nur normale "kleine Heimanwender" sind ist man dadurch nicht gläserner als eh schon.

    Das hat garnicht so viel mit gläsern zu tun. Das "Maß der Sicherheit" ist die Info, die dir zurückgegeben wird.

    Du gibst bei dem Vorgang aber mehr Information preis, als Du zurückbekommst:

    - mit der Teilnahme bekundest Du Interesse an einem sicheren Passwort. Dir ist das Thema nicht egal und Du hast dir Gedanken zum Thema gemacht und vielleicht sogar weitere Informationen beschafft, wie man bei maximalem Komfort ein maximal sicheres Passwort erstellen kann
    - eine hinreichend lange, zufällige Zeichenfolge wirst Du nicht prüfen müssen, hier hilft nur brute force: Du gibst also mit hoher Wahrscheinlichkeit ein Passwort ein, das mehr Konstrukt denn Zufall ist. Hierzu gehören "einprägsame Muster auf der Tastatur" genauso dazu wie viele andere "Geheimtipps"


    Wenn die Anzahl der Eingaben nun groß genug ist und der clevere Statistiker von der Gesamtheit die schon überall verwerteten "Einprägsamen Muster auf der Tastatur" und "Geheimtipps" abzieht, hat sich die Sache schon gelohnt, weil er einen Trend ableiten kann. Für mich ist das nichts anderes als social engineering: Bringe möglichst viele an Sicherheit interessierte Leute dazu, ihren Vorschlag für ein sicheres Passwort zu veröffentlichen.

    ich nehme immer 1234 als Passwort, das ist so offentsichlich , das probiert keiner aus :)

    Aus technischen Gründen befindet sich die Signatur auf der Rückseite des Beitrages!

    Es ist so wie immer:

    Wenn etwas nicht kostet, ist es zwar kostenlos, aber man bezahlt letztendlich mit seinen Daten.

    Wenn nun einer beispielhaft aS1d2F weiß das Gegenüber schon einiges über die Passwort Zusammenstellung.

    Länge: 6 Zeichen
    Groß- und Kleinschreibung
    Zahlen sind auch dabei
    Keine Sonderzeichen

    Und, wenn der Übermittler einer von der ganz doofen Sorte ist:

    1. Zeichen Buchstabe - klein
    2. Zeichen Buchstabe - groß
    3. Zeichen Zahl
    4. Zeichen Buchsabe - klein
    5. Zeichen Zahl
    6. Zeichen Buchstabe - groß

    Und wie lange dauerts dann noch, das zu knacken? Mit 100%iger Sicherheit weniger wie einen Tag.

    Also drauf auf die Seite und fleißig überprüfen.

    Hat nicht noch einer einen TAN-Bogen übrig? Möchte mir mal anschauen, wie der aussieht. Und ne Kontonummer und Bankleitzahl dazu wäre auch nicht schlecht.

    Zitat

    ich nehme immer 1234 als Passwort

    :cursing: ich habe das Selbe Passwort wie mein Arbeitskollege: 8 Sternchen :thumbsup:

    Gruß
    Roland

    Zitat von HWJunkie

    Was mich übrigens nervt, das sind Webseiten, deren PW-Funktion keine Sonderzeichen zulässt.
    Manche nichtmal Zahlen oder Großschreibung.
    Das ist verschenkte Sicherheit.

    Ich habe neulich mit Entsetzen festgestellt, daß ebay nicht case sensitiv ist. Zu Deutsch: Groß- und Kleinschreibung ist egal.

    Allerdings kann man es auch übertreiben. Bei uns im Betrieb ist eingestellt: mindestens 10 Zeichen, Groß-und Kleinschreibung von Buchstaben muß drin sein, Zahl muß drin sein, Sonderzeichen muß drin sein. Das password muß nach vier Wochen gewechselt werden, auch wenn der Betroffene im Urlaub ist, wird sein account sonst deaktiviert. Nach vier erfolglosen Versuchen ist Kontaktaufnahme mit einem Administrator erforderlich.

    Zitat von Akula

    ...Allerdings kann man es auch übertreiben. Bei uns im Betrieb ist eingestellt: mindestens 10 Zeichen, Groß-und Kleinschreibung von Buchstaben muß drin sein, Zahl muß drin sein, Sonderzeichen muß drin sein. Das password muß nach vier Wochen gewechselt werden, ...Kontaktaufnahme mit einem Administrator erforderlich.

    Das ist zwar für den Einzelnen ärgerlich, aber aus Sicht der Datensicherheit nötig. Minimum: 8 Zeichen und 6 Wochen fürs Wechseln. Ich kenne welche, die müssen nie wechseln. Mal schauen, wie lange noch.

    Gruß
    Roland