Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

Verfolgung starten Optionen

Sinn und Unsinn von Passwörtern - wenn, dann richtig kryptisch!

Olaf19 / 71 Antworten / Flachansicht Nickles

Hallo zusammen!

Wir leben in einer Passwort-Welt. Für bald jeden Atemzug im digitalen Dasein muss man sich registrieren, einloggen, authentifizieren. Mittlerweile gibt es schon Software, um die Sintflut an Passwörtern zu verwalten, denn immerhin sollen wir ja

  • jedes Passwort nur 1x verwenden, also für einen Zweck,
  • Passwörter regelmäßig umstellen, für den Fall, dass es jemand geknackt hat,
  • Passwörter möglichst lang und kryptisch gestalten

Für mich ergeben sich in diesem Zusammenhang zwei Fragestellungen, in die die Sicherheitsexperten unter euch vielleicht ein wenig Licht bringen können.

Erste Frage: Es gibt bei mir zwei Passwörter, die die oben benannten strengen Kriterien nicht erfüllen. Das ist zum einen mein Benutzerkennwort für Mac OS X, zum anderen das Zugangskennwort für die Benutzung meiner Fritz!Box. Diese Passwörter sind kurz und einfach und ich ändere sie nie. Warum?

Nun, diese Passwörter unterscheiden sich von allen anderen in einem wesentlichen Punkt: sie sind "nur zuhause" nutzbar. Es hat wenig Sinn, in einem Internetcafé, "fritz.box" einzugeben - ich erreiche meine Fritz!Box damit nicht. Wenn überhaupt, dann vielleicht eine andere. Auch zuhause erreiche ich die Fritz!Box meines Nachbarn nicht, da ich ja über mein eigenes WLAN surfe und nicht über seins.

Bei Mac OS X verhält es sich im Prinzip genau so. Okay - mein MacBook nehme ich oft mit, wenn ich unterwegs bin. Würde es mir gestohlen, so könnte der Neubesitzer dort Software installieren, die nicht von Apple autorisiert ist - dafür, besser dagegen, ist das Passwort da. Nur, wenn das Book weg ist, könnte mir das auch egal sein. Dann hätte ich andere Sorgen.

Die Frage lautet also: welchen Sinn hätte es, für mein Mac OS X-Benutzerkonto oder die Fritz!Box kryptische Passwörter zu vergeben? Was habe ich da möglicherweise übersehen?

Zweite Frage: Gegen die Passwörter-Administrationsprogramme habe ich eine instinktive Abneigung. Ich möchte lieber zu einer eigenen, quasi "handgemachten" Lösung kommen. Folgende Idee möchte ich euch vorstellen und hätte dann gern eine Einschätzung, ob die Idee gut ist.

Beispiel ebay: Ich konstruiere zunächst eine "Passwort-Basis", zusammengebastelt aus Verwendungszweck, Datum und einigen Fantasiezeichen, die es darauf zu kryptifizieren gilt. Diese Basis könnte etwa so lauten:

ebay15nove14(§&)

Durch diverse Metamorphosen entsteht daraus:

y1%anObVee!4(§&)

Der Verwendungszweck (fett hervorgehoben) wird also rückwärts und in festen Abständen auf das Passwort verstreut, das Datum wird durch Einzelbuchstaben des Zwecks unterbrochen, die Zahlen bleiben teilweise stehen, teilweise werden sie durch das auf der gleichen Zifferntaste platzierte Sonderzeichen ersetzt. Die Buchstaben aus dem Datum erscheinen teils groß, teils klein. Nur den Stringmüll am Ende der "Basis" habe ich unverändert gelassen.

Ich weiß - meine Methode hat einen großen Nachteil: man muss das Prinzip der Verschlüsselung schon tief in Fleisch und Blut verinnerlicht haben, ansonsten sind Tippfehler bei der Eingabe quasi unvermeidlich.

Der große Vorteil ist aber die Wartungsfreundlichkeit. Habe ich mich einmal an meine Methode gewöhnt, so kann ich in 5 Wochen nach dem gleichen Schema beginnen mit:

ebay19deze14(§&)

und ende schließlich bei:

y1)adEbZee!4(§&)

Man könnte es natürlich noch raffinierter machen, aber dann wird es um so schwieriger, sich das Kryptifizierungsprinzip zu merken, nachdem die Passwort-Basis zum echten Passwort manupuliert wird.

Bin wie immer gespannt auf eure Anmerkungen, Rückfragen und Ideen zu beiden Fragestellungen.

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Hi Olaf, zu deiner ersten Frage: meinen Windows-PC habe ich ... ObelixSB
Hi Obelix, ewig nichts von dir gelesen! Schön, dass du mal ... Olaf19
Bezgl.. Fritzbox s.u.a. ... Tom West
Hi Tom, Wenn ich den Thread richtig verstehe, geht es aber a ... Olaf19
Es kann jemand nutzen, der Dein WLAN hackt heute kein ... mawe2
Da sprichst du ein großes Wort gelassen aus... taugt die ... Olaf19
Die Fritz!Box scheint diesbezüglich noch halbwegs OK zu ... mawe2
Ich wollte es zuerst nicht glauben. Aber nachdem du nun ... Olaf19
Na, das finde ich aber ein wenig drastisch. Sicherlich ist ... Maybe
Nur mein iPhone und mein Notebook. Für das iPhone könnte ... Olaf19
Naja, ichmache mir die Arbeit nicht so im Detail. Die ... Systemcrasher
Wenn ich das richtig verstehe, kannst du den ... Olaf19
Naja, kommt drauf an, wo der Zettel gelagert wird. Ein ... Systemcrasher
Ich habe vor einigen Wochen privat mit jemandem darüber ... Olaf19
Im Linux-Club ging es mal darum, eine veraltete Suse-Distri ... Systemcrasher
Deswegen, und nicht nur deswegen, halte ich Linux generell ... Olaf19
Hallo, schau mal hier den Link vom ... erschwinglich3
Sorry erschwinglich3, aber deine Links gehen beide an meinen ... Olaf19
Hallo Olaf, längere komplexe Passwörter merke ich mir mit ... st.lu
Und für 100 Accounts denkst Du Dir 100 verschiedene Sätze ... mawe2
Bei mir ist die Anzahl noch überschaubar. Es stimmt schon, ... st.lu
Hi Stefan, genau den Einwand von mawe habe ich auch. Wenn ... Olaf19
Hallo Olaf, genau das hab ich ja hier in den Beispielen ... st.lu
Du meinst: altes Passwort nehmen und einfach nur eine ... Olaf19
Zu 1 halte ich auch so und erachte das als ausreichend. ... gelöscht_15325
Hi Czuk, Würdest du das auch für die Fritz!Box ... Olaf19
Das mit der Fritzbox ist m.E. kein Problem! Beispiel zum ... gelöscht_15325
Erstaunlich. Das Zeug ist gebraucht in der Regel doch nicht ... Olaf19
Ähnlich halte ich es auch. Sämtliche Passwörter sind in ... schweizer22
So ist es! Hat alles seine Grenzen. gelöscht_15325
Moin, sicherlich kann man im privaten Umfeld ein wenig ... Maybe
Vielleicht kann mir jemand etwas dazu detailliert und nicht ... renkenstein
Das mit den Buchstaben und Sonderzeichen hat folgende ... VC1541
Vielen Dank für die rasche Antwort, aber für mich als ... renkenstein
Olaf19 renkenstein „Vielen Dank für die rasche Antwort, aber für mich als ...“
Optionen
Anders ausgedrückt ist also ein Ausprobieren von Keys über die normale Anmeldefunktion garnicht ohne weiteres möglich

Das ist komplett unmöglich, und das nicht nur aus den von dir genannten Gründen - dass die Anmeldung nach der ca. 3. Fehleingabe streikt - sondern auch, weil ein Mensch nach dem Ausprobieren von 100.000 Passwörtern reif für die Klapsmühle wäre. Und 100.000 ist ja noch gar nichts, und der ganze Aufwand für jeden einzelnen Account? Vergiss es.

Nein, die Darstellung von VC1541 ist schon richtig, und im Grunde ist dem nichts mehr hinzuzufügen. Deine ergänzenden Fragen kann man vielleicht am einfachsten mit einem Fahrradvergleich beantworten:

Die meisten Räder, die geklaut werden, waren überhaupt nicht angeschlossen. Die nächste große Gruppe sind Fahrräder mit minderwertigen Schlössern. Schon mit einem mittelmäßigen handelsüblichen Schloss ist ein Diebstahl recht unwahrscheinlich, natürlich immer mit abhängig davon, wie lange das Rad unbeaufsichtigt herumsteht und in welcher Gegend.

Bei den Hackern ist es ähnlich - sie knacken erst einmal die Konten, die schlecht geschützt sind. Je komplexer das Passwort, desto mühsamer wird die Arbeit. Da macht man sich erst einmal über die Accounts her, die den geringsten Widerstand leisten. In der Zwischenzeit wird das Sicherheitsleck bekannt, und dann hast du Zeit, deinem Account ein neues Passwort zu geben, bevor du gehackt wirst.

Soweit ich das also bisher beurteilen kann, liegt die Krux beim Provider, der seine Datenbanken nicht richtig schützt und der Benutzer dies durch möglichst sichere Passwörter ausgleichen soll.

Der kann so "richtig" schützen wie er will - absolut sicher ist die Datenbank trotzdem nicht.

Russen kochen auch nur mit Wasser...

CU
Olaf

"Das sind Leute, die von Tuten und Ahnung keine Blasen haben" (ein Reporter auf die Frage nach der politischen Bildung des typischen Anhangs von Donald Trump)
bei Antwort benachrichtigen
Hallo Olaf, es gibt viele Möglichkeiten absolut sichere ... Acader
Der o.g. Bekannte von mir meinte, ab mindestens !! 16 ... Olaf19
Olaf, du hast mich nicht richtig verstanden. An hand eines ... Acader
Genau das ist ein Denkfehler! Richtig müsste es heißen: ... gelöscht_84526
Die Wahrscheinlichkeit bei 16 Stellen Code ist dann aber ... Acader
Na klar, aber das Rechnen in diesem Fall heiß eigentlich ... gelöscht_84526
Zu Brute Force habe ich eine ganz grundsätzliche Frage ... Olaf19
Ich mache mir auch so meine Gedanken bez. Passwörter, da ... Conqueror
Was hältst du denn von Programmen wie KeePass oder KyPass ... Olaf19
Hallo Olaf, bei mir werden alle Passwörter analog auf einer ... Kabelschrat
Ich verwende auch KeePass, nur ist der Unterschied zu ... Conqueror
Danke Conqueror, nützliche Info von dir. Noch bin ich zwar ... Olaf19
Genau deswegen sehe ich diese ganzen Diskussionen um ... gelöscht_84526
Gestohlen werden aber nicht die Passwörter im Klartext ... VC1541
????? Wenn ich zu Hause neben meinem Rechner einen ... gelöscht_84526
Ah, entschuldigung. Da habe ich nicht aufgepasst - VC1541
Nochmal als Ergänzung: Welcher Heimanwender legt seine ... gelöscht_84526
Ich hatte bei gestohlen an Gestohlen bei xxx.com gedacht und ... VC1541
Keine Ahnung! Aber nur mal so am Rande: Hast du das ... gelöscht_84526
Ja, ich habe bei meiner Bank noch eine solche Liste. Aber ... Olaf19
Olaf, Bei der Bank und fast allen im Netz verwendeten PWs ... jueki
Glaube ich sofort! Aber so eine PDF, das ist eher ... Olaf19
Ich habe ein raffiniertes Passwort: 123a Das kann ich mir ... krr
Na sicher siehst du das falsch. Wie sollte man unter einem ... Acader
Ich denke eher, krr hebt auf die Datenbank-Diebstähle bei ... Olaf19
Auch das ist ganz einfach und du muß nicht unbedingt in ... Acader
..... und kaum kennt man ihn auswendig, muß man ihn schon ... Systemcrasher
Hi Systemcrasher, du bringst es auf den Punkt. Genau das ... Olaf19
Olaf, und genau das geht mit dem Raumprinzip am besten. Wer ... Acader
Hi Acader, sei mir nicht böse, vielleicht stehe ich auch ... Olaf19
huhu nickelsianer. laßt mich mal erzählen, was mir ende ... subvision1
Ja, wenn jemand physischen Zugriff auf die Hardware hat, ist ... VC1541
naja, dadurch, daß der hacker physischen zugriff auf die ... subvision1
Genau deshalb soll man seine Partitonen auch ... Acader
Was aber auch nix bringt, wenn die Datenbank von Websites ... torsten40
Und wie soll eine Datenbank da von Websites geklaut werden? ... Acader