Viren, Spyware, Datenschutz 11.147 Themen, 93.045 Beiträge

Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!

Olaf19 / 71 Antworten / Baumansicht Nickles

Hallo zusammen!

Wir leben in einer Passwort-Welt. Für bald jeden Atemzug im digitalen Dasein muss man sich registrieren, einloggen, authentifizieren. Mittlerweile gibt es schon Software, um die Sintflut an Passwörtern zu verwalten, denn immerhin sollen wir ja

  • jedes Passwort nur 1x verwenden, also für einen Zweck,
  • Passwörter regelmäßig umstellen, für den Fall, dass es jemand geknackt hat,
  • Passwörter möglichst lang und kryptisch gestalten

Für mich ergeben sich in diesem Zusammenhang zwei Fragestellungen, in die die Sicherheitsexperten unter euch vielleicht ein wenig Licht bringen können.

Erste Frage: Es gibt bei mir zwei Passwörter, die die oben benannten strengen Kriterien nicht erfüllen. Das ist zum einen mein Benutzerkennwort für Mac OS X, zum anderen das Zugangskennwort für die Benutzung meiner Fritz!Box. Diese Passwörter sind kurz und einfach und ich ändere sie nie. Warum?

Nun, diese Passwörter unterscheiden sich von allen anderen in einem wesentlichen Punkt: sie sind "nur zuhause" nutzbar. Es hat wenig Sinn, in einem Internetcafé, "fritz.box" einzugeben - ich erreiche meine Fritz!Box damit nicht. Wenn überhaupt, dann vielleicht eine andere. Auch zuhause erreiche ich die Fritz!Box meines Nachbarn nicht, da ich ja über mein eigenes WLAN surfe und nicht über seins.

Bei Mac OS X verhält es sich im Prinzip genau so. Okay - mein MacBook nehme ich oft mit, wenn ich unterwegs bin. Würde es mir gestohlen, so könnte der Neubesitzer dort Software installieren, die nicht von Apple autorisiert ist - dafür, besser dagegen, ist das Passwort da. Nur, wenn das Book weg ist, könnte mir das auch egal sein. Dann hätte ich andere Sorgen.

Die Frage lautet also: welchen Sinn hätte es, für mein Mac OS X-Benutzerkonto oder die Fritz!Box kryptische Passwörter zu vergeben? Was habe ich da möglicherweise übersehen?

Zweite Frage: Gegen die Passwörter-Administrationsprogramme habe ich eine instinktive Abneigung. Ich möchte lieber zu einer eigenen, quasi "handgemachten" Lösung kommen. Folgende Idee möchte ich euch vorstellen und hätte dann gern eine Einschätzung, ob die Idee gut ist.

Beispiel ebay: Ich konstruiere zunächst eine "Passwort-Basis", zusammengebastelt aus Verwendungszweck, Datum und einigen Fantasiezeichen, die es darauf zu kryptifizieren gilt. Diese Basis könnte etwa so lauten:

ebay15nove14(§&)

Durch diverse Metamorphosen entsteht daraus:

y1%anObVee!4(§&)

Der Verwendungszweck (fett hervorgehoben) wird also rückwärts und in festen Abständen auf das Passwort verstreut, das Datum wird durch Einzelbuchstaben des Zwecks unterbrochen, die Zahlen bleiben teilweise stehen, teilweise werden sie durch das auf der gleichen Zifferntaste platzierte Sonderzeichen ersetzt. Die Buchstaben aus dem Datum erscheinen teils groß, teils klein. Nur den Stringmüll am Ende der "Basis" habe ich unverändert gelassen.

Ich weiß - meine Methode hat einen großen Nachteil: man muss das Prinzip der Verschlüsselung schon tief in Fleisch und Blut verinnerlicht haben, ansonsten sind Tippfehler bei der Eingabe quasi unvermeidlich.

Der große Vorteil ist aber die Wartungsfreundlichkeit. Habe ich mich einmal an meine Methode gewöhnt, so kann ich in 5 Wochen nach dem gleichen Schema beginnen mit:

ebay19deze14(§&)

und ende schließlich bei:

y1)adEbZee!4(§&)

Man könnte es natürlich noch raffinierter machen, aber dann wird es um so schwieriger, sich das Kryptifizierungsprinzip zu merken, nachdem die Passwort-Basis zum echten Passwort manupuliert wird.

Bin wie immer gespannt auf eure Anmerkungen, Rückfragen und Ideen zu beiden Fragestellungen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
ObelixSB Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Hi Olaf,

zu deiner ersten Frage:

meinen  Windows-PC habe ich gar nicht mit einem Passwort geschützt, da ich allein wohne und gegen meinen Willen niemand den PC benutzen kann. Wozu sollte ich da meinen PC mit Passwort schützen ? 

bei Antwort benachrichtigen
Olaf19 ObelixSB

„Hi Olaf, zu deiner ersten Frage: meinen Windows-PC habe ich ...“

Optionen

Hi Obelix, ewig nichts von dir gelesen! Schön, dass du mal wieder mitmischst.

da ich allein wohne und gegen meinen Willen niemand den PC benutzen kann. Wozu sollte ich da meinen PC mit Passwort schützen ? 

Würdest du dieser Argumentation auch in Bezug auf die Fritz!Box folgen? Wahrscheinlich ja?

Mein Hintergedanke war, spielt dieses Passwort wirklich nur dann eine Rolle, wenn es darum geht, einen Unbefugten vom Herumwerkeln abzuhalten, der bei mir zuhause direkt davor sitzt - oder wird dieses Passwort, ohne dass wir es aktiv merken und beeinflussen können, auch übers Netzwerk abgefragt, in welchem Kontext auch immer?

Im letzteren Fall wäre es wichtig, ein sicheres Passwort zu nehmen. Nur, wer könnte sich von außen über mein Passwort in meine, lokal in meinem Wohnzimmer stehende Fritz!Box einloggen wollen, geschweigen denn können? Fernwartung und so Zeugs ist natürlich deaktiviert bzw. war nie aktiviert.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Tom West Olaf19

„Hi Obelix, ewig nichts von dir gelesen! Schön, dass du mal ...“

Optionen
bei Antwort benachrichtigen
Olaf19 Tom West

„Bezgl.. Fritzbox s.u.a. ...“

Optionen

Hi Tom,

Wenn ich den Thread richtig verstehe, geht es aber a) um offene WLANs, b) Kennwörter für die Fernwartung und c) das Kennwort für den WPA2-Schlüssel.

U.a. wird der Tipp gegeben, eine sichere "Kombination aus Benutzernamen und Passwort" zu wählen. Da geht es schon los – einen Benutzernamen habe ich überhaupt nicht, und der wird auch gar nicht abgefragt:

Was nützt dieses Kennwort jemandem, der nicht direkt vor meinem Rechner sitzt, oder wenigstens an meinem WLAN teilnimmt?

Mir geht es aber ausschließlich um die Konfiguration der Box vom Bildschirm aus. Dafür gibt es aber noch ein drittes Kennwort, das weder mit Fernwartung noch mit dem WPA2-Schlüssel zu tun hat.

Zu letzterem: sollte man diesen Schlüssel, der unten auf der Box aufgedruckt ist, ebenfalls von Zeit zu Zeit ändern?

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
mawe2 Olaf19

„Hi Tom, Wenn ich den Thread richtig verstehe, geht es aber a ...“

Optionen
Was nützt dieses Kennwort jemandem, der nicht direkt vor meinem Rechner sitzt, oder wenigstens an meinem WLAN teilnimmt?

Es kann jemand nutzen, der Dein WLAN hackt (heute kein Problem mehr) und dann Deine Fritz!Box übernimmt. Sicher: Man kann sich drüber streiten, wie wahrscheinlich das ist. Aber das könnte man ja bei jedweder Sicherheitsdiskussion.

Zum MacOS-Passwort kann ich nichts sagen.

Ein lokales Windows-Passwort lässt sich jedenfalls recht leicht ändern, wenn man lokalen Zugriff auf den Rechner hat. Insofern hat es sicherheitstechnisch kaum eine Relevanz.

Wenn überhaupt, macht es nur Sinn, wenn man seine Festplatte verschlüsselt. Das stellt den Benutzer aber wieder vor ganz andere Probleme, die man auch nicht unbedingt haben möchte.

Gruß, mawe2

PS: Das ganze fragile Sicherheitskonzept des heutigen Internet, basierend auf zig bzw. hunderten Passwörtern, die alle verschieden sein sollen und am besten ständig geändert werden sollen, ist auf Dauer zum Scheitern verurteilt!

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Olaf19 mawe2

„Es kann jemand nutzen, der Dein WLAN hackt heute kein ...“

Optionen
Es kann jemand nutzen, der Dein WLAN hackt (heute kein Problem mehr)

Da sprichst du ein großes Wort gelassen aus... taugt die WPA2-Verschlüsselung denn auch schon nichts mehr? Und das Passwort dazu ist schier endlos, da muss man richtig nachzählen.

Nehmen wir an, jemand hackt erst mein eigentlich ganz gut abgesichertes WLAN, errät dann noch das Benutzeroberflächenzugangskennwort der Box - könnte er dann die Fernwartungstools einschalten und Telefonanrufe auf die niederländischen Antillen lancieren? Wahrscheinlich ja...?

Zum MacOS-Passwort kann ich nichts sagen.

Im Prinzip das gleiche wie bei Windows. Ja, es lässt sich leicht ändern, also über die Benutzerkonteneinstellungen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
mawe2 Olaf19

„Da sprichst du ein großes Wort gelassen aus... taugt die ...“

Optionen
Da sprichst du ein großes Wort gelassen aus... taugt die WPA2-Verschlüsselung denn auch schon nichts mehr?

Die Fritz!Box scheint diesbezüglich noch halbwegs OK zu sein. Ansonsten ist das Web voll von Anleitungen, wie man WPA2 knacken kann. Ich denke, es ist nicht übertrieben, wenn man WLAN grundsätzlich als unsicher betrachtet.

Nehmen wir an, jemand hackt erst mein eigentlich ganz gut abgesichertes WLAN, errät dann noch das Benutzeroberflächenzugangskennwort der Box - könnte er dann die Fernwartungstools einschalten und Telefonanrufe auf die niederländischen Antillen lancieren?

Davon muss man wohl ausgehen.

Im Prinzip das gleiche wie bei Windows. Ja, es lässt sich leicht ändern, also über die Benutzerkonteneinstellungen.

Im Windows kann man aber sogar als Außenstehender (also als Angreifer), der lokalen Zugang zum Rechner hat, das Passwort ändern. Man muss also gar nicht erst zu den Benutzerkonteneinstellungen gelangen.

Dabei wird der Rechner mittels Windows-Installations-DVD gebootet, über die Wiederherstellungskonsole tauscht man eine Datei aus und anschließend kann man den Rechner normal booten und beim Anmeldeprozeß eine Kommandozeile aufmachen, an der man das Passwort des gewünschten Benutzers ändern kann.

Sicher: Man kann das verhindern, in dem man das Booten von DVD oder USB verbietet und indem man das BIOS ebenfalls mit Kennwort absichert.

Aber je mehr man versucht, das System gegen Fremde abzusichern, desto mehr sperrt man auch sich selber aus. Nun muss man entscheiden, wie weit man dabei gehen will. Irgendwann ist das System so sicher, dass niemand mehr rankommt. Nicht mal der Besitzer des Systems...

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
Olaf19 mawe2

„Die Fritz!Box scheint diesbezüglich noch halbwegs OK zu ...“

Optionen
Die Fritz!Box scheint diesbezüglich noch halbwegs OK zu sein. Ansonsten ist das Web voll von Anleitungen, wie man WPA2 knacken kann. Ich denke, es ist nicht übertrieben, wenn man WLAN grundsätzlich als unsicher betrachtet.

Ich wollte es zuerst nicht glauben. Aber nachdem du nun schon der Dritte bist, der sich mir gegenüber so geäußert hat - und ich rede jetzt von ernst zu nehmenden, versierten Anwendern! - wächst meine Skepsis gegenüber WLAN erheblich.

Wie viele Jahre habe ich "glücklich und zufrieden" ohne WLAN gelebt - dann wird das in Zukunft auch wieder sein? Gut, dann kann ich eben nicht mehr im Bett auf dem Bauch liegen und dabei surfen. Was soll's.

Ich glaube, ich schalt's ab.

Im Windows kann man aber sogar als Außenstehender (also als Angreifer), der lokalen Zugang zum Rechner hat, das Passwort ändern. Dabei wird der Rechner mittels Windows-Installations-DVD gebootet, über die Wiederherstellungskonsole tauscht man eine Datei aus und anschließend kann man den Rechner normal booten

Irgendwie geht das auch Mac. Im Detail sicherlich etwas anders, aber im Grundsatz ähnlich. Irgendwie muss man da ja rankönnen, wenn man sich selbst ausgesperrt hast, wie du schon richtig geschrieben hast.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Maybe Olaf19

„Ich wollte es zuerst nicht glauben. Aber nachdem du nun ...“

Optionen
Ich glaube, ich schalt's ab.

Na, das finde ich aber ein wenig drastisch. Sicherlich ist eine Funkverbindung anfälliger gegenüber Manipulation.

Aber hin und wieder mal ein Blick in die DHCP-Clientliste des Routers und regelmäßig das Passwort wechseln hilft schon viel.

Du könntest z.B. auch per App mit dem Smartphone verbundene Geräte ausfindig machen. Ich nutze für den schnellen Blick die Android-App "Fing".

Ich weiß nicht, wie viele Geräte bei Dir im WLAN sind und wie groß damit der Aufwand wäre. Bei mir sind es z.B. 18 Geräte im Netzwerk, was schon ein wenig Aufwand ist, wenn man das PW ändert.

Zudem nützt Dir die Deaktivierung des WLAN recht wenig gegen Angriffe aus dem Internet. Ist das passiert, sind auch kabelgebundene Geräte angreifbar.

Ein weiterer Punkt ist, wenn man kein Internet braucht, einfach mal den Router ausschalten. Afaik bieten die Fritzboxen dafür auch Automatismen, z.B.einen Timer für WLAN.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
Olaf19 Maybe

„Na, das finde ich aber ein wenig drastisch. Sicherlich ist ...“

Optionen
Ich weiß nicht, wie viele Geräte bei Dir im WLAN sind

Nur mein iPhone und mein Notebook. Für das iPhone könnte ich das WLAN gelegentlich aktivieren, wenn neue Apps installiert oder upgedatet werden sollen. Das Notebook lässt sich im Bedarfsfall auch über Ethernetkabel anschließen. Das habe ich eh nicht angeschafft, um damit zuhause zu surfen (...obwohl es recht bequem ist, vom Schlafzimmer aus...).

Aber hin und wieder mal ein Blick in die DHCP-Clientliste des Routers und regelmäßig das Passwort wechseln hilft schon viel.

Damit meinst du jetzt aber nicht das Passwort, mit dem ich die Benutzeroberfläche der Fritz!Box auf dem Computer zugänglich mache, sondern den WPA2-Schlüssel für das WLAN? Und dann gibt es doch noch ein drittes Passwort für den Fernwartungszugriff, das ich aber ignorieren kann, wenn Fernwartung deaktiviert ist?

Sorry, aber dieses Passwort-Chaos bei der Fritz!Box konnte bislang noch keiner so richtig endgültig entwirren.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Systemcrasher Olaf19

„Hi Obelix, ewig nichts von dir gelesen! Schön, dass du mal ...“

Optionen

Naja, ichmache mir die Arbeit nicht so im Detail.

Die Wlan-Box hat ja hinten auf der Rückseite einen sehr langen Zifferncode als WPA-Schutz.

Diesen habe ich geändert in einen noch längeren aus Ziffern und Buchstaben bestehenden, der vollkommen willkührlich entstanden ist. Natürlich kann ich ihn mir nicht merken. Und natürlich steht er auch nicht auf der Box.

Allerdings ist er in allen Geräten, die auf die box zugreifen müssen (also auch Laptop und Handy). Das ist die unvermeidbare Schwachstelle.

Meine Rechner selber haben relativ einfache Passwörter. Denn hier kommt nur der ran, der meine Wohnung betritt. Ein Einbrecher würde den PW-Suhutz ohnehin umgehen.

PW, mit denen ich mich im Internet einlogge, sind je nach bedarf angepaßt.

Einfache, für "Wegwerfaktivitäten". Würde z.B. das Paßwort bei Nickles geknackt, wäre das kein Beinbruch. Jemand könnte in meinem Namen hier rumspammen oder die Nickels-Artikel ausdrucken. Das wäre kein Beinbruch, eine vom System eingeleitete Schreibsperre würdebehoben, wenn ich PW geändert und erklärt habe, daß mein Account gehackt wurde (was auch anhand der IP nachweisbar wäre). Allerdings sind die "einfacheren" nur für mich einfach zu merken. Auch sie bstehen aus Worten und Ziffern, z.T. auch Sonderzeichen und sind ohne Weiteres nicht erratbar.

Die komplizierteren (z.B. ebay, emailkonten, Onlineshops) sind schon komplizierter. Sie sind länger und enthalten immer Ziffern, Buchstaben (groß und klein) und Sonderzeichen. Aber ich kann mir sie gut merken. Am "schlimmsten" sind die Bankkonten-PW. Sie sind sehr lang und enthalten viele "Fallen", aber sie sind so gestaltet, daß ich sie mir merken kann, weil sie mit Erinnerungen/Erlebnissen/ERfahrungen verknüpft sind, also praktisch nicht erratbar und schwer zu knacken.

Ist halt immer ein Kompromiß: Was habe ich zu verbergen und wie interessant  bin ich für Angreifer. Und da gerate ich höchstens mal in ein "Breitbandfeuer". Dafür bin ich mehr als ausreichend abgesichert. 

Sollte sich da irgendwamm mal ändern (ich werde z.B. Innenminister, oder - wahrscheinlicher - Lottomillionär), dann werden auch meine PW komplizierter. Aber dann werde ich mich auch um gescheite Verschlüsselung kümmern müssen.

Aber als Existenzminimumrumkrebser bin ich eigentlich nicht interessant für potentielle Angreifer.

Und gegen BOT-Netz & Co., naja Linux + gescheite Browser (also nicht Firefox & Co., sondern eher Exoten wir Dillo, Surf, Xxxterm usw.) sind da schon ein äußerst wirksames Bollwerk.

Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Olaf19 Systemcrasher

„Naja, ichmache mir die Arbeit nicht so im Detail. Die ...“

Optionen
Die Wlan-Box hat ja hinten auf der Rückseite einen sehr langen Zifferncode als WPA-Schutz. Diesen habe ich geändert in einen noch längeren aus Ziffern und Buchstaben bestehenden, der vollkommen willkührlich entstanden ist. Natürlich kann ich ihn mir nicht merken. Und natürlich steht er auch nicht auf der Box. Allerdings ist er in allen Geräten, die auf die box zugreifen müssen (also auch Laptop und Handy). Das ist die unvermeidbare Schwachstelle.

Wenn ich das richtig verstehe, kannst du den WPA2-Schlüssel kein zweites Mal ändern, weil du dir den geänderten Schlüssel nicht gemerkt hast? Oder hast du den auf einen Zettel geschrieben (was man ja eigentlich auch nicht machen soll?).

So wie du das geschildert hast, habe ich meine Passwörter bislang auch immer konstruiert: kryptisch zwar, aber doch leicht zu merken für mich selbst. Der Knackpunkt ist nur: wenn du für jeden Verwendungszweck ein anderes Passwort hast, dieses auch noch regelmäßig ändern willst, dann kommst du früher oder später hoffnungslos durcheinander.

Deswegen meine Idee, sich für die Konstruktion einmal eine Art "Masterplan" zu machen, aufbauend auf einem Buchstabencode für den Verwendungszweck, dem Datum und ein wenig String-Müll, das ganze dann so irrwitzig zu verschwurbeln und durch drücken der Shift-Taste auf einigen Ziffern mit Sonderzeichen zu verzieren. Dann ergibt das Passwort für niemanden mehr einen Sinn, außer für den, der er erstellt hat.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Systemcrasher Olaf19

„Wenn ich das richtig verstehe, kannst du den ...“

Optionen
Oder hast du den auf einen Zettel geschrieben (was man ja eigentlich auch nicht machen soll?).

Naja, kommt drauf an, wo der Zettel gelagert wird. Ein potentieller Einbrecher wird ein Router-PW wohl schneller über den Laptop/geklautes Handy rauskriegen als den Zettel finden.

Und ändern kann ich das natürlich jederzeit. Ist aber 'n Haufen Arbeit, weil ich ja dann auch alle Geräte ändern muß, die dran hängen.

 

Deswegen meine Idee, sich für die Konstruktion einmal eine Art "Masterplan" zu machen

Deine Idee stand auch nie zur Kritik (jedenfalls nicht von meiner Seite).

Es ist halt immer die Frage, wie hoch das eigene Sicherheitsbedürfnis bzw. die Gefährdung der Daten ist. Je höher das Risiko, desto heftiger die Verschlüsselung bzw. das PW.

Bzgl. WLAN: Die wahrscheinlichste Variante ist doch die, daß irgendwo jemand (z.B. in einem PKW mit getönten Scheiben sitzt, mit einem Verstärker, der ein paar Dutzend WLANs empfängt. Und der wird sich in das am leichtesten zugängliche einhacken. Meines ist das sicherlich nicht.

Bei einem gezielten Angriff wird früher oder später jeder Schutz einknicken.

Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Olaf19 Systemcrasher

„Naja, kommt drauf an, wo der Zettel gelagert wird. Ein ...“

Optionen
Deine Idee stand auch nie zur Kritik (jedenfalls nicht von meiner Seite).

Ich habe vor einigen Wochen privat mit jemandem darüber gesprochen, der ganz fit ist in Sicherheitsfragen. Der schüttelte den Kopf und meinte, wenn du die 4 Buchstaben e - b - a - y im Passwort mit drin hast, egal ob groß oder klein, in welcher Reihenfolge, direkt nacheinander oder verstreut, dann ist das Passwort schon leicht zu knacken. Deswegen war ich schon drauf und dran, meine Idee zu verwerfen - ich glaube jetzt aber eher, da hat einer ganz schön übertrieben.

Es ist halt immer die Frage, wie hoch das eigene Sicherheitsbedürfnis bzw. die Gefährdung der Daten ist. Je höher das Risiko, desto heftiger die Verschlüsselung bzw. das PW.

Das Gruselige an der ganzen Thematik ist: ich kann genau das überhaupt nicht einschätzen. Wenn ich die Diskussionen rund um IT-Sicherheit der letzten Jahre so ansehe, komme ich mir vor wie der Mann, der vom 25. Stock springt, am 16. vorbeifliegt und bei sich denkt: bis hierhin ist immer alles gutgegangen...

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Systemcrasher Olaf19

„Ich habe vor einigen Wochen privat mit jemandem darüber ...“

Optionen
Wenn ich die Diskussionen rund um IT-Sicherheit der letzten Jahre so ansehe, komme ich mir vor wie der Mann, der vom 25. Stock springt, am 16.

Im Linux-Club ging es mal darum, eine veraltete Suse-Distri weiterzuverenden.

Da wurde mit gravierenden nicht mehr geschlossenen Sicherheitslücken gesprochen, etc.

Mag ja sein, aber knapp 1% aller Desktops haben eine von hunderten Linux-Distries in einer von unzähligen Versionen drauf.

Es ging damals  (2011 glaub ich) um Suse 9.1.

Ich möchte nicht wissen, wieviele Tausende von Win98 oder gar Win95-Installationen auf eine Suse 9.1 kamen.....

Abgesehen davon ging es dem Betreffenden nur darum, einen älteren Rechner Officetauglich zu machen. Internet wollte der gar nicht.

Du kannst auch aus dem 50. springen, wenn Du unten sauber abbremsen und sanft landen kannst.

Wie gesagt: Für einen Administrator eines Unternehmens ist das eine extrem wichtige Sache, berufsbedingt. Unternehmen werden nun mal gerne gehackt.

Aber der private Endverbraucher? Saubere Installation mit zeitnahen Updates und einigermaßen sicheres PW (also der Name der Hauskatze ist das sicher nicht) dürfen wohl meistens ausreichen, nur für Bankgeschäfte u.ä. sollte man ein wenig mehr paranoid sein. Da ist die Idee mit der Banking-CD gar nicht so schlecht.

Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Olaf19 Systemcrasher

„Im Linux-Club ging es mal darum, eine veraltete Suse-Distri ...“

Optionen
Im Linux-Club ging es mal darum, eine veraltete Suse-Distri weiterzuverenden. Da wurde mit gravierenden nicht mehr geschlossenen Sicherheitslücken gesprochen, etc. Mag ja sein, aber knapp 1% aller Desktops haben eine von hunderten Linux-Distries in einer von unzähligen Versionen drauf.

Deswegen, und nicht nur deswegen, halte ich Linux generell für ziemlich sicher. Die Konfiguration im Einzelfall ist individuell sehr verschieden, das ist kompliziert für Hacker. Da geht man eher den Weg des geringsten Widerstandes und stürzt sich auf die "Mainstream-Konstellationen". Ich könnte mir inzwischen sogar vorstellen, dass man mit Windows 98 heutzutage(!) relativ unbehelligt unterwegs ist. Beschwören möchte ich das aber nicht.

Für einen Administrator eines Unternehmens ist das eine extrem wichtige Sache, berufsbedingt. Unternehmen werden nun mal gerne gehackt. Aber der private Endverbraucher?

Ich persönlich werde vielleicht nicht gehackt, möglicherweise aber z.B. mein E-Mail-Provider oder noch schlimmer: ebay oder amazon. Da ist dann mal eben eine komplette Datenbank futschikato.

http://www.heise.de/ct/projekte/Sicheres-Online-Banking-mit-Bankix-284099.html

...ist wirklich keine schlechte Idee.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
erschwinglich3 Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Hallo,

schau mal hier den Link vom NDR
https://checkdeinpasswort.de/

oder auch dort vom NDR:
http://www.ndr.de/nachrichten/netzwelt/online-sicher-unterwegs,internetsicherheit104.html

Wer aber Paßwörter nur von zu Hause benutzt braucht wohl nicht ganz soviel Sorge zu haben?

bei Antwort benachrichtigen
Olaf19 erschwinglich3

„Hallo, schau mal hier den Link vom ...“

Optionen

Sorry erschwinglich3, aber deine Links gehen beide an meinen Themen vorbei.

Wie sicher meine Passwörter sind bzw. wie man sichere Passwörter erstellt, weiß ich selbst. Mir ging es darum, ohne Benutzung einer Passwort-Verwaltungssoftware dahin zu kommen, dass ich regelmäßig neue, lange, kryptische und abhängig vom Verwendungszweck variierende Passwörter erfinden kann, die für mich trotzdem relativ leicht zu behalten sind, weil ich das im Eröffnungsposting geschilderte Konstruktionsprinzip dahinter kenne.

Wer aber Paßwörter nur von zu Hause benutzt braucht wohl nicht ganz soviel Sorge zu haben?

Die Passwörter für Mac OS X und den Zugang zur Browser-Bedienoberfläche meiner Fritz!Box kann ich nach meinem Verständnis nur von zuhause aus benutzen. Deswegen vermute(!) ich, dass es hier nicht auf Sicherheit ankommt.

Wenn mir jemand sagen könnte, ob

  • jemand übers Internet meine Fritz!Box konfigurieren kann, wenn er nur das Browserpasswort kennt (Screenshot siehe Antwort auf Tom West),
  • jemand übers Internet mein Mac OS X übernehmen kann, wenn er nur das Passwort für meinen Benutzeraccount kennt,

wäre mir bei dieser Frage schon sehr geholfen.

Zu meiner zweiten Frage hat sich bislang noch keiner geäußert - ist aber auch zugegebenermaßen wirklich knifflig.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
st.lu Olaf19

„Sorry erschwinglich3, aber deine Links gehen beide an meinen ...“

Optionen

Hallo Olaf,

längere komplexe Passwörter merke ich mir mit Abwandlung nach dem Satz-Prinzip (Tipp 7 von:

http://www.n-joy.de/multimedia/10-Tipps-fuers-perfekte-Passwort,dasperfektepasswort101.html

).

Nimm mal als Beispiel:

Das 1. Passwort.

Daraus wird dann:

D1.Pw.

Schon hast du:

Gross- und Kleinschreibung

Zahlen

Sonderzeichen

Und für längere PW denkst du dir natürlich einen längeren Satz aus (den du aber trotzdem noch gut behalten kannst).

Auch Baukasten-Prinzip ist möglich:

Ein Passwort für mein privates Konto.

Ein Passwort für mein öffentliches Konto.

So, das war auf die Schnelle mein Prinzip mit den Passwörtern.

Die hier gewählten PW nutze ich nätürlich nicht.

MfG

bei Antwort benachrichtigen
mawe2 st.lu

„Hallo Olaf, längere komplexe Passwörter merke ich mir mit ...“

Optionen
Und für längere PW denkst du dir natürlich einen längeren Satz aus (den du aber trotzdem noch gut behalten kannst).

Und für 100 Accounts denkst Du Dir 100 verschiedene Sätze aus, die Du Dir alle merkst und immer problemlos dem richtigen Account zuordnen kannst? Und die Du regelmäßig alle änderst und trotzdem nie durcheinander kommst?

Ich verwende das Prinzip mit den Merksätzen auch. Aber ab einer bestimmten Anzahl von unterschiedlichen Accounts wird es problematisch.

Gruß, mawe2

"When bankers get together for dinner, they discuss Art. When artists get together for dinner, they discuss Money" (Oscar Wilde)
bei Antwort benachrichtigen
st.lu mawe2

„Und für 100 Accounts denkst Du Dir 100 verschiedene Sätze ...“

Optionen

Bei mir ist die Anzahl noch überschaubar.

Es stimmt schon, das mit der Anzahl der PW es problematischer wird.

Dafür bin ich ja auch auf das Baukasten -System gekommen, um mit einem bestimmten Grundmuster verschiedene PW zu generieren.

Gruss

Stefan

bei Antwort benachrichtigen
Olaf19 st.lu

„Bei mir ist die Anzahl noch überschaubar. Es stimmt schon, ...“

Optionen

Hi Stefan, genau den Einwand von mawe habe ich auch.

Wenn das alles so einfach wäre, hätte ich diesen Thread nie gestartet, zumindest nicht mit dem ausführlichen zweiten Teil der Fragestellung. Die Geschichte mit den Satzanfängen ist nett, aber auch ein alter Hut. Das ist m.E. keine endgültige Lösung.

Folgendes Szenario: ich habe mindestens 12 verschiedene "Gelegenheiten", zu denen ich ein Passwort benötige. So alle 4-6 Wochen möchte ich die in Zukunft(!) ändern. Das macht dann immerhin schon 100 - 150 Merksätze im Jahr.

Deswegen meine Überlegung, damit man sich nicht so viel wirres Zeug merken lässt: Ein (1), genau ein Konstruktionsprinzip für alle Gelegenheiten und für alle Zeiten. Dann muss ich mir nur das Datum der PW-Änderung merken und das Schema, nach dem es konstruiert ist. Dann brauche ich weder eine Zusatzsoftware noch die Merksätze.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
st.lu Olaf19

„Hi Stefan, genau den Einwand von mawe habe ich auch. Wenn ...“

Optionen

Hallo Olaf,

genau das hab ich ja hier

Ein Passwort für mein privates Konto.
Ein Passwort für mein öffentliches Konto.

(in den Beispielen)probiert.

Du kannst ja z.B. durchnummerieren.

1, 2, 3, PW

oder

PW für xx, xy, yy,

usw.

Du musst da ja nur ein Prinzip aufbauen, was du dir einfach merken kannst.

LG

bei Antwort benachrichtigen
Olaf19 st.lu

„Hallo Olaf, genau das hab ich ja hier in den Beispielen ...“

Optionen
Du musst da ja nur ein Prinzip aufbauen, was du dir einfach merken kannst.

Du meinst: altes Passwort nehmen und einfach nur eine höhere Ziffer dransetzen? - das ist viel zu einfach zu erraten. Wenn ein Passwort einmal geknackt ist, liegen die zukünftigen Versionen dem Hacker zu Füßen.

Wenn es so einfach ginge, wären Programme wie KeePass ja völlig überflüssig.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
gelöscht_15325 Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Zu 1) halte ich auch so und erachte das als ausreichend. Meine PCs, Tablets und Handys sichere ich garnicht vor Fremdzugriff ab.

zu 2) kann man so machen. So habe ich meine Passwörter im Prinzip auch gestaltet. Der Haken an der Sache ist nur; es gibt ein paar blöde Webseiten die ich nutze, welche keine Sonderzeichen erlauben, oder nur bestimmte. Oder die Länge wird eingeschränkt auf z.B. 16 Zeichen oder so. Oder ich melde mich in irgend einem internationalem Forum an und muss feststellen, dass mein Username schon vergeben ist, oder auch da wieder mindestens 6 Buchstaben erfordert werden... alles schon gehabt.

Ich war es dann irgendwann leid mir ständig neues ausdenken zu müssen und griff zu einem Passwortsafe (Keepass). Dort lagern mittlerweile 63 verschiedene Passwörter und Usernamen, je nach Website zwischen 6 und 30 Zeichen lang und höchst kryptisch.

Merken kann ich mir davon keines mehr.

Für mein Sicherheitsempfinden ist das der beste Kompromis aus Sicherheit und Komfort. Sieht aber sicherlich jeder anders.

bei Antwort benachrichtigen
Olaf19 gelöscht_15325

„Zu 1 halte ich auch so und erachte das als ausreichend. ...“

Optionen
Zu 1) halte ich auch so und erachte das als ausreichend. Meine PCs, Tablets und Handys sichere ich garnicht vor Fremdzugriff ab.

Hi Czuk, Würdest du das auch für die Fritz!Box "unterschreiben"...? Die macht mir mehr Kopfzerbrechen als der Useraccount am Rechner, nach all den Horrormeldungen der letzten Monate.

Ich war es dann irgendwann leid mir ständig neues ausdenken zu müssen und griff zu einem Passwortsafe (Keepass).

So wird's bei mir vielleicht auch eines Tages enden. Meine persönliche Passwort-Kreations-und-Kryptifizier-Methode ist zugegebenermaßen ganz schön umständlich. Ob ich damit auf die Dauer froh werde, muss die Zukunft lehren. Evtl. greife ich da doch eines Tages noch zu einer Softwarelösung. Dann muss ich mir nicht so viel Ballast merken.

Oder ich melde mich in irgend einem internationalem Forum an und muss feststellen, dass mein Username schon vergeben ist, oder auch da wieder mindestens 6 Buchstaben erfordert werden

Der Username ist ja nicht das Problem - wenn dein Wunschname schon vergeben ist, musst du eben einen anderen nehmen. Aber egal für welchen du dich entschieden hast: die Wahl des Passwortes ist ja frei.

Schwerer wiegt da schon der Einwand mit der Nichtakzeptanz mancher Sonderzeichen. Ich glaube, das §-Zeichen macht da oft Ärger, eher als $ oder %.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
gelöscht_15325 Olaf19

„Hi Czuk, Würdest du das auch für die Fritz!Box ...“

Optionen

Das mit der Fritzbox ist m.E. kein Problem!

Beispiel zum Datenschutzthema;

guter Freund von mir ist selbstständiger IT'ler und hat seine Daten (Projekte) zu hause doppelt und dreifach gesichert. Sei es in Form von Zugriffseinschränkungen mit diversen Passwörtern, oder durch die Ablage auf verschiedenen Medien und Festplatten.

Von Cloud hält er nicht viel. Was war passiert? Diebe räumten ihm die Wohnung aus und nahmen sein komplettes IT Equipment mit. Alle externen Platten, internen Platten, PCs, Notebooks, Tablets weg, nichts mehr da.

Die Gewissheit, seine PCs mit Passwortschutz versehen zu haben, war ihm in der Situation nur ein schwacher Trost.

bei Antwort benachrichtigen
Olaf19 gelöscht_15325

„Das mit der Fritzbox ist m.E. kein Problem! Beispiel zum ...“

Optionen
Diebe räumten ihm die Wohnung aus und nahmen sein komplettes IT Equipment mit.

Erstaunlich. Das Zeug ist gebraucht in der Regel doch nicht mehr viel wert, außerdem für Einbrecher umständlich zu transportieren. Oder hatten die es auf sein geistiges Eigentum abgesehen?

Wie auch immer - diese Art von "Datenverlust" ist natürlich eine komplett andere Baustelle. Dagegen kann man sich mit keiner der hier besprochenen Methoden absichern.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
schweizer22 gelöscht_15325

„Zu 1 halte ich auch so und erachte das als ausreichend. ...“

Optionen

Ähnlich halte ich es auch. Sämtliche Passwörter sind in KeePass gespeichert.

Für "leichte" Fälle habe ich drei oder vier Passwörter die ich mit meiner alten Matrikelnummer immer wieder mal kombiniere und Sonderzeichen oder Zahlen hinzufüge. Diesen Pool von Passwörten kann ich mir recht gut merken, für alles andere, das besonders gesichert werden muss, nutze ich den Passwortgenerator von Keepass.

Ich glaube aber das daß alles nur einen Menschen davon abhalten kann bei mir elektronisch einzudringen. Eine Attacke von Robotern (heißen die Bots?), welche darauf aus sind, möglichst viel zu knacken haben diese meine Passwörter keine Chance. Das Vergleichen von Kombinationen dauert wenige Milisekunden pro Kombi. Es werden Wörterbücher "abgeklappert", Namen, etc.

Wie soll man da als Privatmensch mit eingeschränktem IT-Wissen kontern?

Letztendlich ist es ähnlich wie mit dem Autoklauen. Das Schloss kann noch so gut sein; ein Dieb kommt dran wenn er will und fährt weg.

desmodromische Grüsse
bei Antwort benachrichtigen
gelöscht_15325 schweizer22

„Ähnlich halte ich es auch. Sämtliche Passwörter sind in ...“

Optionen
Letztendlich ist es ähnlich wie mit dem Autoklauen. Das Schloss kann noch so gut sein; ein Dieb kommt dran wenn er will und fährt weg.

So ist es! Hat alles seine Grenzen.

bei Antwort benachrichtigen
Maybe Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Moin,

sicherlich kann man im privaten Umfeld ein wenig gelassener mit der Thematik umgehen. Aber es gibt durchaus sehr gute Gründe für aufwendige Kennwortkonvertionen in Netzwerken.

Auch privat schützt das Passwort nicht nur den Rechner, oder den Router, sondern das Netzwerk. Ein Passwort ist in vielen Bereichen Grundlage für Berechtigungen, nicht nur auf User- sondern auch auf Systemebene.

Surft man z.B. mit einem eingeschränkten Konto, so sind auch die Rechte beschränkt. Für bestimmte Operationen benötigt man aber Administratorrechte. Ist jetzt nur der vorkonfigurierte Administrator vorhanden und das noch ohne PW, dann stellt das keinerlei Hindernis mehr da.

Wenn physikalisch auf ein Gerät zugegriffen wird, lässt sich der Passwortschutz einfach umgehen, hier würde nur eine Verschlüsselung, mit z.B. BitLocker evtl. helfen.

Sicherheit ist natürlich immer relativ, aber heutzutage sollte man sich generell eine gewissen Philosophie zur Sicherung seiner Daten einfallen lassen. Und dazu gehören neben regelmäßigen Backups auch Passwörter.

Wenn findige Cracker es immer wieder schaffen, auf komplex gesicherte Firmenserver zuzugreifen, dann stellt ein privater Router sicherlich überhaupt kein Hindernis da. Ein Passwort ist da auch nur eine weitere Hürde, die zu überwinden ist.

Gruß

Maybe

"Es gibt nur eine falsche Sicht der Dinge: der Glaube, meine Sicht sei die einzig Richtige!" (Nagarjuna, buddhistischer Philosoph)
bei Antwort benachrichtigen
renkenstein Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Vielleicht kann mir jemand etwas dazu detailliert  und nicht nur die allgemeine Floskel, aus Buchstaben, Zahlen und Sonderzeichen ein min. 12-stelliges Passwort zu generieren.

Angenommen, ich wäre Hacker. Nach einer Ebay Auktion habe ich vom Verkäufer nun seinen Accountnamen und seine Emailadresse und weiß vielleicht noch, dass er ein PayPalkonto hat.

Ich beginne mit dem Ebay-Account. Selbst wenn dieser nur mit einer 4-stelligen Zahlenkombination gesichert ist und eine Zugangsanfrage pro Kombination etwa 1,5 - 2 sec dauert, sind es theoretisch min. 15.000 sec,bis ich alle möglichen Optionen generiert habe.

Meine Email-Account sperrt mich 5 Fehlversuchen für 10 min aus und nach weiteren Fehlversuchen muss ich die Sicherheitsfragen beantworten, um überhaupt noch ins Programm zu kommen.

Wie reagieren Dienst-Anbieter wie Ebay, Gmail, facebook überhaupt, wenn plötzlich -zigweise Passwortanfragen zu einem Account gesendet werden?

Ist diese " macht Euer Passwort unknackbar" Geschichte nicht einfach nur überzogen, weil sich jeder der das kommuniziert, für wichtig hält?

Danke  Andreas

bei Antwort benachrichtigen
VC1541 renkenstein

„Vielleicht kann mir jemand etwas dazu detailliert und nicht ...“

Optionen

Das mit den Buchstaben und Sonderzeichen hat folgende Bewandtnis:

Wenn ich (egal woher) die Passwortdatenbank von xmail.com, einem Webmail Anbieter, in die Finger bekomme, kann ich die verschlüsselten Passwörter rekonstruieren. Ein heutiger Heimrechner kann etwa 2.000.000.000 Kombinationen pro Sekunde angreifen.

Je kürzer nun dein Passwort ist und je weniger potentielle Zeichen es umfasst (z.B. nur Kleinbuchstaben), desto schneller habe ich es entschlüsselt.

Habe ich nun dein xmail.com-Passwort, kann ich über die Passwort-Vergessen Funktion überall dein Passwort an dein von mir kontrolliertes xmail.com-Konto schicken lassen.

Oder noch schlimmer: Du verwendest dein xmail.com-Passwort überall und ich kann nun einfach alle Dienste mit deinem xmail.com-Passwort nutzen.

Ich verwende auch keepass. Als open-source potentiell vertrauenswürdig und der beste Kompromiss aus Sicherheit und Bequemlichkeit (die ja immer Gegensätze sind).

bei Antwort benachrichtigen
renkenstein VC1541

„Das mit den Buchstaben und Sonderzeichen hat folgende ...“

Optionen

Vielen Dank für die rasche Antwort,

aber für mich als PC-Honk erschließt sich mir das nicht so recht. Das heißt also, erst wenn der Hacker die Paswortdatenbank vorliegen hat, kann er sich daran machen, zu den Benutzerkonten passenden Keys zu entschlüsseln. Anders ausgedrückt ist also ein Ausprobieren von Keys über die normale Anmeldefunktion garnicht ohne weiteres möglich, sondern der Hacker muss vorher schon die Datenbank in seine Gewalt gebracht haben, richtig?

Weiter schreibst Du (ich hoffe Du ist ok), dass ein normaler Heimrechner pro sec. 2 Mio.Kombinationen errechnen könnte. Dann gehe ich weiter davon aus, das ein hochgerüstetes Teil die zig-fache Leistung hat. Muss der Hacker jetzt die gesamte Datenbank entschlüsseln, um gezielt einige Accounts in seine Gewalt zu bringen oder entschlüsselt er erst und macht sich dann auf die Suche nach erfolgversprechenden Zugängen?

Du merkst schon, das Ganze erschließt sich mir nicht so richtig. Soweit ich das also bisher beurteilen kann, liegt die Krux beim Provider, der seine Datenbanken nicht richtig schützt und der Benutzer dies durch möglichst sichere Passwörter ausgleichen soll. Und ich kann noch so sichere Passwörter nehmen; wenn die Datenbank in Russland auseinandergenommen wird nützt mir auch das nix.

Danke für die Aufmerksamkeit

Andreas

bei Antwort benachrichtigen
Olaf19 renkenstein

„Vielen Dank für die rasche Antwort, aber für mich als ...“

Optionen
Anders ausgedrückt ist also ein Ausprobieren von Keys über die normale Anmeldefunktion garnicht ohne weiteres möglich

Das ist komplett unmöglich, und das nicht nur aus den von dir genannten Gründen - dass die Anmeldung nach der ca. 3. Fehleingabe streikt - sondern auch, weil ein Mensch nach dem Ausprobieren von 100.000 Passwörtern reif für die Klapsmühle wäre. Und 100.000 ist ja noch gar nichts, und der ganze Aufwand für jeden einzelnen Account? Vergiss es.

Nein, die Darstellung von VC1541 ist schon richtig, und im Grunde ist dem nichts mehr hinzuzufügen. Deine ergänzenden Fragen kann man vielleicht am einfachsten mit einem Fahrradvergleich beantworten:

Die meisten Räder, die geklaut werden, waren überhaupt nicht angeschlossen. Die nächste große Gruppe sind Fahrräder mit minderwertigen Schlössern. Schon mit einem mittelmäßigen handelsüblichen Schloss ist ein Diebstahl recht unwahrscheinlich, natürlich immer mit abhängig davon, wie lange das Rad unbeaufsichtigt herumsteht und in welcher Gegend.

Bei den Hackern ist es ähnlich - sie knacken erst einmal die Konten, die schlecht geschützt sind. Je komplexer das Passwort, desto mühsamer wird die Arbeit. Da macht man sich erst einmal über die Accounts her, die den geringsten Widerstand leisten. In der Zwischenzeit wird das Sicherheitsleck bekannt, und dann hast du Zeit, deinem Account ein neues Passwort zu geben, bevor du gehackt wirst.

Soweit ich das also bisher beurteilen kann, liegt die Krux beim Provider, der seine Datenbanken nicht richtig schützt und der Benutzer dies durch möglichst sichere Passwörter ausgleichen soll.

Der kann so "richtig" schützen wie er will - absolut sicher ist die Datenbank trotzdem nicht.

Russen kochen auch nur mit Wasser...

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Acader Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Hallo Olaf,

es gibt viele Möglichkeiten absolut sichere Paßwörter zu erstellen und deren Quelle zu merken.

Nur ein Beispiel: Man nehme ein Buch was nicht jeder hat z.b. "Das Kapital" von Karl Marx.

Aus den Seiten und Zeilen erstellt man sich nach eigenem Ermessen ein persönliches Schema wo bei man zusätzlich die Groß und Kleinbuchstaben verwenden muß welche ja auch da gegeben sind. Das findet man dann auch immer schnell wieder. Bei einem 15 stelligen Code ist man dann absolut sicher. (Die Lösung wäre erst nach vielen Milliarden Jahren möglich; wenn überhaupt)

Diese Anwendungsweise empfehle ich für alles was übers Internet geht.

Für Offline Anwendungen reicht ein Code mit 10 Stellen vollkommen aus und diesen kann man sich dann auch merken. Den kann man z.B. nach dem Raumprinzip erstellen.

Mache ich übrigens schon seit Jahren so.

bei Antwort benachrichtigen
Olaf19 Acader

„Hallo Olaf, es gibt viele Möglichkeiten absolut sichere ...“

Optionen
Bei einem 15 stelligen Code ist man dann absolut sicher. (Die Lösung wäre erst nach vielen Milliarden Jahren möglich; wenn überhaupt)

Der o.g. Bekannte von mir meinte, ab mindestens(!!) 16 Stellen aufwärts wäre ein Passwort erst so halbwegs sicher - er verwende meistens 50-stellige Passwörter. Tja, jeder Jeck ist anders.

Ganz sicher, dass es Milliarden Jahre dauert?

Man nehme ein Buch was nicht jeder hat z.b. "Das Kapital" von Karl Marx. Aus den Seiten und Zeilen erstellt man sich nach eigenem Ermessen ein persönliches Schema wo bei man zusätzlich die Groß und Kleinbuchstaben verwenden muß welche ja auch da gegeben sind. Das findet man dann auch immer schnell wieder.

Ich bin mir nicht sicher, ob ich richtig verstehe, was du meinst. Man nimmt ein Zitat aus dem Buch, und dessen Stelle im Buch richtet sich nach einem aus Seitenzahlen und Zeilenanzahlen errechneten Schema? Und wie wird dieses Zitat dann verschlüsselt? Wenn es direkt lesbar wäre, wäre es ja schon wieder zu einfach.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Acader Olaf19

„Der o.g. Bekannte von mir meinte, ab mindestens !! 16 ...“

Optionen
Ich bin mir nicht sicher, ob ich richtig verstehe, was du meinst.

Olaf, du hast mich nicht richtig verstanden.

An hand eines persönlichen Schemas meinte ich z.B. dein Geburtsdatum und eventuel x5 multiplizieren

z.B. 03.07.1962 x 5 = 15359810

jetzt nimmst du 15, 35, 98 und 10 als Seitenzahlen. Von Seite 15 nimmst du vom ersten oder auch letzten Substantiv den ersten und letzten Buchstaben und baust das ein; also C15r.Mit den anderen Seiten machste das ebenso. Am Ende haste einen 16 stelligen Code. Kannst ja dann noch deine Hausnummer anhängen dann haste 18 Stellen. Da mußt du dann nichts weiter verschlüsseln, schließlich gibt es Millionen von Büchern. Ist ganz einfach und sinnvoll und man kann an hand der Quelle immer nachschauen.

MfG Acader

bei Antwort benachrichtigen
gelöscht_84526 Acader

„Hallo Olaf, es gibt viele Möglichkeiten absolut sichere ...“

Optionen
(Die Lösung wäre erst nach vielen Milliarden Jahren möglich; wenn überhaupt)

Genau das ist ein Denkfehler!

Richtig müsste es heißen: Das Errechnen aller denkbaren Möglichkeiten würde viele Millionen Jahre dauern. Wenn der Computer Glück hat, dann hat er das Passwort schon nach einer Sekunde beim ersten Versuch "errechnet" bzw. erraten......

Im Prinzip gilt das doch auch für die Lottozahlen: Da gibt es auch mehrere Millionen Möglichkeiten, einen "Sechser" zu haben. Trotzdem kann es passieren, dass du zum ersten Mal tippst, dazu auch nur eine Reihe - und trotzdem hast du sechs Richtige.

Gruß

K.-H.

bei Antwort benachrichtigen
Acader gelöscht_84526

„Genau das ist ein Denkfehler! Richtig müsste es heißen: ...“

Optionen
Wenn der Computer Glück hat, dann hat er das Passwort schon nach einer Sekunde beim ersten Versuch "errechnet" bzw. erraten...

Die Wahrscheinlichkeit bei >16 Stellen Code ist dann aber genau so groß als das wir morgens den lieben Gott sehen. Mit den Lotozahlen kannste das nicht gleichstellen, die werden getippt und fertig. Ein Computer dagegen rechnet und das dauert.

MfG Acader

bei Antwort benachrichtigen
gelöscht_84526 Acader

„Die Wahrscheinlichkeit bei 16 Stellen Code ist dann aber ...“

Optionen
Ein Computer dagegen rechnet und das dauert.

Na klar, aber das "Rechnen" in diesem Fall heiß eigentlich nichts anderes, als "ausprobieren". Die diesem "Berechnen" zugrunde liegende Methode heißt Brute-Force-Methode. Da wird im Grunde "nur" jede mögliche Kombination, welche mit der vorgegebenen Anzahl von Zeichen möglich ist, nacheinander ausprobiert - und zwar nur solange, bis der richtige Schlüssel gefunden wurde.

Eine zweite Methode ist die "Wörterbuchmethode". Allerdings sind Passwörter, welche man im "Wörterbuch" finden kann, natürlich wesentlich unsicherer.

Eine Suche nach der Wörterbuchmethode dauert deshalb auch nicht so lange, wie die Suche per "Brute-Force", weil bei Brute-Force auch alle möglichen "sinnfreien" Buchstaben-, Zahlen- und Sonderzeichenkombinationen "ausprobiert" werden müssen.

Ist der Schlüssel schon nach dem ersten Versuch "gefunden", dann hat sich die Rechnerei für den Computer erledigt (und das trifft auf beide oben beschriebenen Methoden im gleichen Maße zu)! Wie ich schon in meinem ersten Posting schrieb: Der Schlüssel kann im Extremfall entweder im Bruchteil einer Sekunde gefunden sein - oder aber nach mehreren Millionen Jahren.....

Ist zwar alles nur Theorie - aber die Möglichkeit, dass schon nach ein paar Sekunden oder Minuten der Schlüssel gefunden wird, ist eben nicht ganz auszuschließen.

Gruß

K.-H.

bei Antwort benachrichtigen
Olaf19 gelöscht_84526

„Na klar, aber das Rechnen in diesem Fall heiß eigentlich ...“

Optionen
Die diesem "Berechnen" zugrunde liegende Methode heißt Brute-Force-Methode. Da wird im Grunde "nur" jede mögliche Kombination, welche mit der vorgegebenen Anzahl von Zeichen möglich ist, nacheinander ausprobiert - und zwar nur solange, bis der richtige Schlüssel gefunden wurde.

Zu Brute Force habe ich eine ganz grundsätzliche Frage – irgendwie kapiere ich es nicht...

Klar kann ich ein Fahrrad-Nummernschloss mit Brute Force knacken. Einfach alle Nummern von 000 – 999 durchprobieren. Das geht.

Wenn ich das aber bei meiner Bank mache, dann ist der Zugang nach dem 3. Fehlversuch gesperrt. Damit ist Brute Force doch schon untauglich?

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Conqueror Olaf19

„Zu Brute Force habe ich eine ganz grundsätzliche Frage ...“

Optionen

Ich mache mir auch so meine Gedanken bez. Passwörter, da man immer wieder liest dass Passwörter geklaut werden von Servern diverser Firmen und was die Hacker dann damit anfangen weiß man ja.

Ich verwende Roboform und wechsle ca jeden Monat die Passwörter. Als Passwortgenerierer verwende ich  PWGen.

bei Antwort benachrichtigen
Olaf19 Conqueror

„Ich mache mir auch so meine Gedanken bez. Passwörter, da ...“

Optionen
Als Passwortgenerierer verwende ich  PWGen.

Was hältst du denn von Programmen wie KeePass oder KyPass (=Macversion von KeePass)? Die verwalten sämtliche Passwörter, du musst dir keins mehr merken, und die Generierung ist da gleich mit drin.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Kabelschrat Olaf19

„Was hältst du denn von Programmen wie KeePass oder KyPass ...“

Optionen

Hallo Olaf,

bei mir werden alle Passwörter analog auf einer Pappe gespeichert! Aber bei allen fehlen die selben zwei Sonderzeichen und 3 Zahlen.

Das Passwort für den Tresor knacken, alle PW klauen und auf meine Kosten einkaufen? Nein danke!

Manchmal frag ich mich, ob die Welt von klugen Köpfen regiert wird, die uns zum Narren halten oder von Schwachköpfen die es ernst meinen. M. Twain
bei Antwort benachrichtigen
Conqueror Olaf19

„Was hältst du denn von Programmen wie KeePass oder KyPass ...“

Optionen

Ich verwende auch KeePass, nur ist der Unterschied zu Roboform, dass KeePass nur geeignet ist Passwörter zu verwalten, mehr nicht, oder wenn dann leicht kompliziert mit manuellem eintragen, also nicht einfach . Mit Roboform habe ich die Möglichkeit im Internet die Userdaten und Passwörter automatisch eintragen zu lassen.

bei Antwort benachrichtigen
Olaf19 Conqueror

„Ich verwende auch KeePass, nur ist der Unterschied zu ...“

Optionen

Danke Conqueror, nützliche Info von dir.

Noch bin ich zwar auf dem Trip, mir meine Passwörter trotz regelmäßiger Änderung und ansprechender Kryptik mit etwas Geistesakrobatik selbst merken zu wollen – aber ich weiß nicht, ob mir das auf die Dauer gelingt oder ob es mir gefällt. Deshalb bin ich noch ein wenig auf der Suche nach einem "Plan B" - Roboform könnte es werden.

Greetz
Olaf

PS: Schreib gern wieder regelmäßiger hier, ich fand deine Beiträge immer lesenswert und hilfreich.

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
gelöscht_84526 Olaf19

„Zu Brute Force habe ich eine ganz grundsätzliche Frage ...“

Optionen
Wenn ich das aber bei meiner Bank mache, dann ist der Zugang nach dem 3. Fehlversuch gesperrt.

Genau deswegen sehe ich diese ganzen Diskussionen um "sichere" und vermeintlich (!) unsichere Passwörter nicht so ganz eng.

Passwörter werden in der Regel nicht "geknackt", sondern gestohlen! Will man ein Passwort "knacken", dann kommt es in den allermeisten Fällen (also nicht nur bei der Bank) zu dem von dir beschriebenen Verhalten: Nach dem 3. oder 4. oder meinetwegen auch 5. Versuch, ein falsches Passwort einzusetzen, ist ganz einfach "Ende im Gelände"!

Klaut jedoch jemand ein Passwort und er hat es dann vor sich liegen und gibt es sofort richtig bei der entsprechenden Stelle ein, dann hat er natürlich Zugang. Deshalb ist es viel wichtiger, ein Passwort sicher aufzuheben, als ein "Monsterpasswort" mit 20 Stellen incl. Sonderzeichen und sonstigem Müll zu verwenden.

In den meisten Fällen, wo irgendwelche Daten oder sonstwas geklaut wurden, wurde ein Passwort in der Art von "123456" oder "qwertz" oder auch "asdfg" verwendet, sicher hast du das auch mal verfolgt, wenn mal wieder irgendwo über einen Datenklau berichtet wurde. Diese Passwörter werden von "Datendieben" natürlich zuerst ausprobiert, da hat man keine Mühe, nach zwei oder drei Versuchen an die "Objekte der Begierde" zu kommen. Mit einem Passwort, welches erst mittels Brute Force errechnet werden muss und an einem Rechner "ausprobiert" werden muss, ist die Chance, dass der Datenklau oder die Kontoplünderung klappt, so gut wie gar nicht gegeben - egal, ob du ein fünfstelliges oder ein fünfundzwanzigstelliges Passwort benutzt.......

Aus diesem Grunde hast du ja auch bei deiner Bankkarte "nur" eine vierstellige (!) PIN, welche zudem auch noch "nur" aus Zahlen besteht, weil diese einfach sicher genug ist. Immerhin bestehen da 10.000 Kombinationsmöglichkeiten. Wenn du mit einer fremden Bankkarte also irgendwo Geld abheben willst und willst erst die PIN erraten oder durch "Try&Error" (wie es bei Brute Force der Fall ist) versuchen, das Konto zu "knacken", dann hast du logischerweise schlechte Karten, weil der Bankautomat eben schon nach 3 falschen Versuchen "zu macht" und die Karte einzieht!

Wenn da irgendwo mal der Fall aufgetreten ist, dass mit einer fremden Bankkarte das Konto geplündert wurde, dann hat entweder die PIN auf dieser Karte gestanden (mit einem Edding draufgeschrieben) oder der Besitzer der Karte hat diese Karte zusammen mit der PIN in seiner Geldbörse aufbewahrt oder jemand hat ihm beim Abheben von Geld am Bankautomaten über die Schulter geschaut, als er die PIN dort eingegeben hat und die Karte wurde ihm anschließend von "Taschendieben" incl. Geldbörse geklaut. Ist so und bleibt so.....

Gruß

K.-H.

bei Antwort benachrichtigen
VC1541 gelöscht_84526

„Genau deswegen sehe ich diese ganzen Diskussionen um ...“

Optionen

Gestohlen werden aber nicht die Passwörter im Klartext sondern die verschlüsselten. Somit gilt: Je komplizierter ein Passwort, desto länger brauchen Rechner, um dies zu entschlüsseln.

Wer das mal ausprobieren will, der generiert von einem Passwort eine verschlüsselte Variante mit http://md5-generator.de/ (md5 wird oft zum Verschlüsseln genommen).

Das Ergebnis gebe man auf http://md5cracker.org/ ein und siehe da: viele Einfachstpasswörter sind ratzfatz da!

Zumal es mit den sogenannten Rainbow Tables schon fertig berechnete Tabellen mit Milliarden von bereits errechneten Kombinationen gibt, so dass der Cracker gar nicht bei null anfangen muss.

bei Antwort benachrichtigen
gelöscht_84526 VC1541

„Gestohlen werden aber nicht die Passwörter im Klartext ...“

Optionen
Gestohlen werden aber nicht die Passwörter im Klartext sondern die verschlüsselten.

?????

Wenn ich zu Hause neben meinem Rechner einen "Merkzettel" liegen habe, auf welchem ich alle möglichen Passwörter und PINs (und womöglich auch noch eine TAN-Liste. Gibt es die überhaupt noch in Papierform?) aufgeschrieben habe (auch die für's Banking und für andere mir wichtigen Sachen), und jemand bricht bei mir ein, während ich in Urlaub bin, sodass der Einbrecher womöglich auch noch ein paar Tage hat, bis der Diebstahl bemerkt wird: Genau dann hat der Dieb unverschlüsselte (!!) Passwörter, mit denen er alles anstellen kann, was er will!

Genau das meinte ich, als ich schrieb, dass man seine Passwörter sicher aufbewahren sollte. Von verschlüsselten Passwörtern war und ist in diesem Thread nicht die Rede gewesen.

Gruß

K.-H.

bei Antwort benachrichtigen
VC1541 gelöscht_84526

„????? Wenn ich zu Hause neben meinem Rechner einen ...“

Optionen

Ah, entschuldigung. Da habe ich nicht aufgepasst ;-)

bei Antwort benachrichtigen
gelöscht_84526 VC1541

„Ah, entschuldigung. Da habe ich nicht aufgepasst -“

Optionen

Nochmal als Ergänzung: Welcher Heimanwender legt seine Passwörter schon in verschlüsselter Form neben seinen Rechner? Oder welche Oma schreibt sie PIN für ihre Bankkarte schon in verschlüsselter Form auf den Zettel, welchen sie an ihre Pinnwand in der Küche hängt?

Das wollte ich eigentlich noch in mein vorheriges Posting reinschreiben, aber da hattest du schon geantwortet.

Gruß

K.-H.

bei Antwort benachrichtigen
VC1541 gelöscht_84526

„Nochmal als Ergänzung: Welcher Heimanwender legt seine ...“

Optionen

Ich hatte bei gestohlen an "Gestohlen bei xxx.com" gedacht und weniger an einen Zettel.

Ist es aber wirklich so, dass physischer Diebstahl (z.B. von Zetteln) tatsächlich häufiger vorkommt als Einbrüche in Serversysteme?

bei Antwort benachrichtigen
gelöscht_84526 VC1541

„Ich hatte bei gestohlen an Gestohlen bei xxx.com gedacht und ...“

Optionen
Ist es aber wirklich so, dass physischer Diebstahl (z.B. von Zetteln) tatsächlich häufiger vorkommt als Einbrüche in Serversysteme?

Keine Ahnung!

Aber nur mal so am Rande: Hast du das Eingangsposting vom Threadstarter eigentlich gelesen? Da geht es um Passwörter für die Fritz!Box, für eBay, für's Homebanking und dergleichen. Von Serversystemen ist da gar nicht die Rede und darum geht es in diesem Thread überhaupt nicht.....

Nix für ungut.

Gruß

K.-H.

bei Antwort benachrichtigen
Olaf19 gelöscht_84526

„????? Wenn ich zu Hause neben meinem Rechner einen ...“

Optionen
(und womöglich auch noch eine TAN-Liste. Gibt es die überhaupt noch in Papierform?)

Ja, ich habe bei meiner Bank noch eine solche Liste. Aber sobald die aufgebraucht ist, ist Schluss damit. Dann verwende ich nur noch SMS-TAN.

Wobei ich rein aus Sicherheitssicht gar nichts einzuwenden habe gegen die Papiertiger-TANs. Ich glaube kaum, dass ein Einbrecher, der die Liste bei mir irgendwo hervorholt, sich erst einmal genüsslich die Zeit nimmt, meinen Online-Banking-Zugang zu hacken. Wenn ihm das aber nicht gelingt, ist dieses Stück Papier wertlos für ihn.

Zu deinem Beitrag weiter oben: Ja, auch ich denke inzwischen, dass der Diebstahl von Passwörtern ein viel größeres Problem ist als die Sicherheit einzelner Passwörter.

Genau das meinte ich, als ich schrieb, dass man seine Passwörter sicher aufbewahren sollte.

Ja – im Gehirnkasten :-D

Cheers
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
jueki Olaf19

„Zu Brute Force habe ich eine ganz grundsätzliche Frage ...“

Optionen

Olaf,

Wenn ich das aber bei meiner Bank mache, dann ist der Zugang nach dem 3. Fehlversuch gesperrt. Damit ist Brute Force doch schon untauglich?

Bei der Bank und fast allen im Netz verwendeten PWs ist BruteForce untauglich - das mag stimmen.
Ist schon 3, 4 Jahre her, aber ich habe damit damit das ziemlich kryptische und vergessene PW einer damit geschützten pdf  wieder ermittelt.
Es waren, wenn ich mich recht erinnere, rund 12 Stunden Rechenzeit.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Olaf19 jueki

„Olaf, Bei der Bank und fast allen im Netz verwendeten PWs ...“

Optionen
Ist schon 3, 4 Jahre her, aber ich habe damit damit das ziemlich kryptische und vergessene PW einer damit geschützten pdf  wieder ermittelt.

Glaube ich sofort! Aber so eine PDF, das ist eher vergleichbar mit dem Fahrradschloss aus meinem vorangegangenen Post. Du hast 12 Stunden gebraucht, aber wären es 120 gewesen, hätte es auch nicht weiter gestört.

Daher halte ich es alles in allem mehr mit King-Heinz – der Diebstahl von PWs aus einer Datenbank ist noch gefährlicher als das "Erraten" eines nicht gestohlenen Passworts.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
krr Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

Ich habe ein raffiniertes Passwort:

123a

Das kann ich mir gut merken. 

z.B. kann ich mir y1)adEbZee!4(§&) nicht merken. Was ist eigentlich hier sicherer? Nach meinem Kenntnisstand werden heutzutage Passwörter nicht geknackt sondern einfach komplett geklaut und da ist doch eine wirre  Kombination völlig egal. Und da meistens nach 5 falschen Eingaben eine Zwangspause angedacht ist, lohnt sich auch keine Encryptionstool.

Oder sehe ich das falsch?

K.

bei Antwort benachrichtigen
Acader krr

„Ich habe ein raffiniertes Passwort: 123a Das kann ich mir ...“

Optionen
Oder sehe ich das falsch?

Na sicher siehst du das falsch.

Wie sollte man unter einem Betriebssystem denn die Paßwörter klauen wenn diese da gar nicht abgelegt sind und der Zugang zum Rechner verwehrt ist.

kann ich mir y1)adEbZee!4(§&) nicht merken

So legt man ja auch kein sichers Paßwort an, weil du das aufschreiben mußt um nach zuschauen. Das allerdings kann man dann klauen.

123a

Nicht dein ernst, oder?

MfG Acader

bei Antwort benachrichtigen
Olaf19 Acader

„Na sicher siehst du das falsch. Wie sollte man unter einem ...“

Optionen
Wie sollte man unter einem Betriebssystem denn die Paßwörter klauen wenn diese da gar nicht abgelegt sind und der Zugang zum Rechner verwehrt ist.

Ich denke eher, krr hebt auf die Datenbank-Diebstähle bei E-Mail- und anderen Dienstanbietern ab. Das finde allerdings auch ich zum Gruseln; da kann sich unsereins noch so viel Mühe geben mit sicheren Passwörtern, wenn da andauernd irgendwelche Lecks auftreten.- Zu deinem Post weiter oben:

jetzt nimmst du 15, 35, 98 und 10 als Seitenzahlen. Von Seite 15 nimmst du vom ersten oder auch letzten Substantiv den ersten und letzten Buchstaben und baust das ein; also C15r.Mit den anderen Seiten machste das ebenso. Am Ende haste einen 16 stelligen Code. Kannst ja dann noch deine Hausnummer anhängen dann haste 18 Stellen.

Das klingt wirklich nicht schlecht, nur ist ein solches Passwort schwer zu merken. Das Buch hat man ja nicht ständig bei sich. Deswegen schwebt mir ein Prinzip vor, bei dem ich mir nur wenige Eckdaten merken muss sowie eine Art "Verschlüsselungsalgorithmus", d. h. wann benutze ich die Shift-Taste und wann nicht, wann wird ein Textfragment umgedreht, wie groß ist der Abstand zwischen den einzelnen Buchstaben des Schlüsselworts e - b - a - y etc. Damit ließe sich auch ein vergessenes Passwort jederzeit rekonstruieren, auch ohne dass ich ein Buch schauen müsste, das gerade zuhause im Regal steht. Voraussetzung ist natürlich, dass ich mein Verschlüsselungskonzept gut verinnerlicht habe.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Acader Olaf19

„Ich denke eher, krr hebt auf die Datenbank-Diebstähle bei ...“

Optionen
nur ist ein solches Passwort schwer zu merken

Auch das ist ganz einfach und du muß nicht unbedingt in das Buch schauen.

Dein Geburtsdatum kennst du; klar. (kann auch von einem dir nahe stehenden Bekannten sein) Den Multiplikationswert auch, Die acht Buchstaben in  z.b. umgekehrter Reihenfolge notieren (damit kann ohnehin niemand etwas anfangen) oder bei häufigen Gebrauch auswendig lernen ist auch kein Thema.

Ist man oft unterwegs macht sich auch das Raumprinzip gut. Also gewisse Gegenstände die man sich der Reihe nach einprägt. Auch dazu kann man wieder den Multiplikationswert mit verwenden. Das mache ich übrigens auf Arbeit so mit einem 10 stelligen Code. Mit der Zeit merkt man sich den dann auch.

MfG Acader

bei Antwort benachrichtigen
Systemcrasher Acader

„Auch das ist ganz einfach und du muß nicht unbedingt in ...“

Optionen
Mit der Zeit merkt man sich den dann auch.

..... und kaum kennt man ihn  auswendig, muß man ihn schon wieder ändern.....

Null Toleranz f?r Intoleranz
bei Antwort benachrichtigen
Olaf19 Systemcrasher

„..... und kaum kennt man ihn auswendig, muß man ihn schon ...“

Optionen
..... und kaum kennt man ihn  auswendig, muß man ihn schon wieder ändern.....

Hi Systemcrasher, du bringst es auf den Punkt. Genau das ist der Ausgangspunkt aller meiner Überlegungen.

Mir geht es um ein Passwort, was ich einerseits leicht rekonstruieren, gar nicht unbedingt merken kann, was sich andererseits leicht ändern lässt. Also: ebay19112014, das ganze bis zur Unkenntlichkeit durch den Wolf gedreht und mit noch etwas "String-Müll" verlängert. Zu Weihnachten dann eben ebay24122014 und mit derselben Methode nachbehandelt.

Auf die Weise brauche ich mir nur Datum und Verwendungszweck zu merken – alles andere errechnet sich streng logisch, aber nur für den, der das Prinzip dahinter kennt.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Acader Olaf19

„Hi Systemcrasher, du bringst es auf den Punkt. Genau das ...“

Optionen
was sich andererseits leicht ändern lässt

Olaf, und genau das geht mit dem Raumprinzip am besten. Wer oft mit dem Auto unterwegs ist nimmt das Auto, welches aus ca. 2.000 Einzelteilen besteht (ansonsten sein Büro oder eben zu hause sein Arbeitszimmer), da gibt es genügend Varianten was man sich alles gut merken kann.

MfG Acader

bei Antwort benachrichtigen
Olaf19 Acader

„Auch das ist ganz einfach und du muß nicht unbedingt in ...“

Optionen

Hi Acader, sei mir nicht böse, vielleicht stehe ich auch nur etwas auf der langen Leitung...

Aber alles, was ich aus deinen Beiträgen herauslese, ist eine Methode, Passwörter zu kreieren, die nur für andere Leute furchtbar kompliziert sind, nicht aber für einen selbst.

Das ist ja soweit auch sehr gut, nur – was mache ich, wenn ich das Passwort in 5 Wochen schon wieder ändern will? Dann müsste ich mir bei deiner Methode doch etwas Neues ausdenken?

Mein Ansatz geht aber in die Richtung: einmal im Leben richtig Hirnschmalz reinstecken, so dass auch alle zukünftigen Passwortänderungen / -anpassungen quasi von allein gehen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
subvision1 Olaf19

„Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!“

Optionen

huhu nickelsianer.

laßt mich mal erzählen, was mir ende 2012 passiert ist:

september 2012 war ich mehrere wochen im urlaub. ich kam nach hause und hatte damals windows 7 64 bit laufen. nach dem erfolgreichen login fragte meine comodo firewall, wo ich wäre (zuhause, internet cafe, flughafen). nichtsahnend klickte ich auf "zu hause". danach lief das system wieder normal. einige tage später ließ sich mein avast free antivirus nicht mehr updaten, ich bekam eine meldung im wartungscenter, daß die visthauth.dll oder so ähnlich keine updates erlaube. mir kam in den sinn, ich hätte mein system infiziert, aber die tragweite sollte mir erst später klar werden. mit xp-antispy deaktivierte ich den windows scripting host und danach gingen die updates wieder. dafür bekam ich einen bluescreen mit der meldung: "system code has been changed". sicher, einen trojaner zu haben, machte ich windows platt und installierte mir linux mint 12 64-bit. auch das war kurz darauf gehackt. ich fragte mich, wieso und konnte mir keinen reim darauf machen. mit dariks boot and nuke machte ich meine festplatte komplett platt. danach funktionierten die meisten passwörter meiner accounts nicht mehr (email, skype, steam, facebook u.a.). das war die rache des hackers, daß ich das tdl4 rootkit gelöscht habe, was von einer eigenen partition heraus operierte. da die partition bei systemstart als erstes gestartet wurde, war jeder virenkiller machtlos zu der zeit, denn rootkits auf eigenen partitionen, das gabs bis dahin nicht. außerdem war die rootkit partition mit gängigen partitionsprogrammen, wie etwa gparted, nicht zu sehen. einzig ein tool auf der ultimate boot cd 5 war im stande, die rootkit partition zu sehen. zusätzlich zu der rechnerinfizierung war auch mein router mit ner custom firmware gehackt, um den netzwerkverkehr und voip gespräche abfangen zu können. das gilt zwar nicht als sicher geschehen, ich gehe jedoch davon aus, daß es so war. ein flashen der fritzbox mit nem aktuellen routerimage machte dem spuk ein ende. die meldung der comodo firewall, wo ich wäre, (zu hause, inetcafe, flughafen) war der custom firmware auf meinem router geschuldet, so daß meine firewall die sache so behandelte, als wäre ein neuer router angeschlossen worden. mit viel mühe ist es mir dann gelungen, meine webaccounts nach und nach wiederzubekommen, bis auf den skype account.

was ich euch damit sagen möchte, ist, daß die paßwörter sicher sind, solange man keine malware, wie ein rootkit auf dem system hat. faktisch war jemand (ich weiß, wer, hab aber keinen beweis. es ging ums geld) in meine wohnung eingebrochen und hat den rechner infiziert.

Wenn Du Dich verhältst, wie immer, bekommst Du auch das, wie immer...
bei Antwort benachrichtigen
VC1541 subvision1

„huhu nickelsianer. laßt mich mal erzählen, was mir ende ...“

Optionen

Ja, wenn jemand physischen Zugriff auf die Hardware hat, ist jeder Schutz wirkungslos.

Selbst wenn deine Fritzbox per Passwort gesichert war, kann jemand der physichen Zugriff hatt einfach den Werkszustand wiederherstellen.

bei Antwort benachrichtigen
subvision1 VC1541

„Ja, wenn jemand physischen Zugriff auf die Hardware hat, ist ...“

Optionen

naja, dadurch, daß der hacker physischen zugriff auf die hardware hatte, konnte er einfach die sicherheitseinstellungen der fritzbox übergehen und eine neue firmware installieren. die abfrage des paßwortes wurde einfach übergangen, daher hatte sich das paßwort auch nicht geändert.

das tdl4 rootkit zu installieren, wäre auch übers web möglich gewesen. es installiert sich üblicherweise über ein windows exploit.

Wenn Du Dich verhältst, wie immer, bekommst Du auch das, wie immer...
bei Antwort benachrichtigen
Acader VC1541

„Ja, wenn jemand physischen Zugriff auf die Hardware hat, ist ...“

Optionen
Ja, wenn jemand physischen Zugriff auf die Hardware hat, ist jeder Schutz wirkungslos.

Genau deshalb soll man seine Partitonen auch verschlüsseln. Angebracht bei mobiler Hardware welche man ja klauen kann. In Büros gehören Festplatten (WDT) mit wichtigen Daten zusätzlich in den Panzerschrank.

MfG Acader

bei Antwort benachrichtigen
torsten40 Acader

„Genau deshalb soll man seine Partitonen auch ...“

Optionen
Genau deshalb soll man seine Partitonen auch verschlüsseln.

Was aber auch nix bringt, wenn die Datenbank von Websites geklaut wird. (mal abgesehen von einem infizierten Rechner)

Gruß

Freigeist
bei Antwort benachrichtigen
Acader torsten40

„Was aber auch nix bringt, wenn die Datenbank von Websites ...“

Optionen
Was aber auch nix bringt, wenn die Datenbank von Websites geklaut wird

Und wie soll eine Datenbank da von Websites geklaut werden?

mal abgesehen von einem infizierten Rechner

Was für infizierter Rechner?

Ich selbst hatte in 28 Jahren noch nie einen infizierten Rechner, weder unter DOS, Windows oder Linux.

MfG Acader

bei Antwort benachrichtigen