Wir sammeln alle Infos der Bonusepisode von Pokémon Karmesin und Purpur für euch!
Zu der Infoseite von „Die Mo-Mo-Manie“Ein Passwort ist dann "sicher", wenn es ausreichend lang (10+ Zeichen) ist und keine offensichtliche oder sinnvolle Bedeutung besitzt. Eine zufällige Zeichenfolge, die keinerlei für fremde Ersichtlich Bedeutung hat, ist bei ausreichender Länge ein sicheres Passwort, ganz egal, ob da Sonderzeichen enthalten sind.
Der Begriff sicher ist aber auch ein dehnbarer und relativer Begriff. Mit genug Zeit bzw Rechenleistung lässt sich jedes Passwort knacken, weshalb Passwörter mit dem technischen Fortschritt irgendwann aussterben werden. Wenn jemand von einem sicheren Passwort spricht, ist damit also nur gemeint, dass es mit dem aktuellen Stand der Technik zu lange dauern würde, es zu knacken, was den Aufwand nicht lohnenswert macht.
Moin ;)
Also erstmal hat Steampunk Mew völlig recht, da möchte ich nicht wiedersprechen
Zu deiner Frage...
Wie findet man raus, ob das Passwort sicher ist?
Dazu kannst du ja mal ein paar Seiten wie z.B. diese oder diese befragen, natürlich gehen die tatsächlich nur von einem billigen Brute-Force Angriff aus, wobei Kaspersky sogar tatsächlich noch "oft genutzte Kombinationen", also Ziele für Wörterbuchangriffe erkennt.
Natürlich sind die beiden auch nicht perfekt, aber bieten denk ich mal nen ganz brauchbaren Überblick darüber, ob das Passwort in irgendeiner Weise empfehlenswert ist.
Grüße,
~~Shin~~
Es gehören Sonderzeichen rein, was Web.de nicht empfiehlt
Da hast du dich verlesen. In dem von dir verlinkten Artikel wird der Mythos, man bräuche keine Sonderzeichen widerlegt. Der Artikel empfiehlt die Sonderzeichen an sich schon.
Was nebenbei mindestens genauso wichtig ist, wie die Komplexität des Passwortes ist: Die Passwörter sollten einmalig sein. Sollte es doch mal geknackt, mitgeschrieben, ausgespäht etc werden, kann der Dieb nur einen Onlinedienst übernehmen, und nicht alle, wo du dieselbe eMail-Adresse/den selben Nutzernamen hast.
Kleiner Tipp fuer ein kryptisches Passwort, welches sich gut behalten laesst: Es gibt diverse Passwort-Generatoren im Internet, welche ein Pseudo-Wort erschaffen. Dieses hat keine Bedeutung, aber aufgrund seines Aufbaus mit Vokalen, Konsonanten und Zahlen (!) entsteht ein Wort, dass sich aussprechen laesst; dies vereinfacht den Merkprozess gewaltig.
Bsp: Zhai6een1moof
Die 6 kann man als t "aussprechen", so bildet man quasi das Pseudowort "Saiteenimoof", was zwar keinen Sinn ergibt aber vom Klang her Wiedererkennungswert hat. Ich hoffe man versteht, worauf ich hinauswill.
Wenn du auf Sonderzeichen verzichten willst, sollte es zumindest drei verschiedene Anforderungen erfuellen (Gross- und Kleinbuchstaben sowie Zahlen). Passwoerter sind case sensitive, sprich wenn du einen Grossbuchstaben verwendest und ein Angreifer diesen Buchstaben klein schreibt, kann er sich nicht einloggen; dies sorgt fuer zusaetzliche Sicherheit.
Es gibt nicht DAS ultimative Passwort, lediglich verschiedene Strategien, es Angreifern schwieriger zu machen. Wenn du viele Accounts mit unterschiedlichen PWs hast, gibt es auch Passwort-Manager, wo du nur ein Masterpasswort benoetigst. Ich persoenlich traue dem aber nicht so ^^'
Ich male meine Variante ist das Besagte von @MadnezzzShin eingetragen und kann es jetzt nur empfehlen.
Ich habe einfach den Produktschlüssel eines Spieles als Passwort genommen. Nach der Seite würde selbst im schlimmsten Fall hacken noch 260 Jahre dauern. Und so lange lebe ich nicht ;D
Wahlweise geht bestimmt auch der Strichcode von irgendeinem beliebigen Produkt, wenn man noch ein paar Buchstaben mit reinklatscht.
Genau, zu der Einmaligkeit gibts übrigens noch nen kleinen Tipp von mir ;)
Ich nutze seit einiger Zeit ziemlich begeistert den Passwort-Manager KeePass, natürlich umsonst.
Da brauchst du dir "nur" ein komplexes Masterpasswort merken, und lässt dir für deine Accounts halt direkt im Manager ein eigenes generieren.
Wenn man diese Datenbank dann vernünftig pflegt, ist sie tatsächlich eine ziemliche Hilfe. Natürlich sollten die generierten Passwörter dann aber auch eine entsprechende Komplexität aufweisen ;)
Grüße,
~~Shin~~
EDIT:
@Zymi
Ich bevorzuge da übrigens den "Satz" den auch schon web.de empfiehlt ;)
Also man nimmt sich einen Satz wie z.B.
"Nächstes Jahr mache ich Urlaub auf Mallorca! Wer will mit?"
Dann nimmt man die Anfangsbuchstaben, ersetzt im besten Fall noch die Buchstaben bei denen es geht durch LeetSpeak und kriegt:
NJm1U4M!Wwm?
Wobei deine Idee natürlich auch nicht schlecht ist, aber dachte mir son zweiter Vorschlag schadet sicher nicht ;) Jeder Mensch lernt und merkt sich Dinge ja anders
KeyPass kann ich auch nur empfehlen. Bei den ganzen Online-Diensten kann man ja nix mehr überblicken und vor allem bei den komplizierten Passwörtern ist das Copy-Paste aus KeyPass Gold wert.
Die Eselsbrücke mit dem Satz ist auch ziemlich gut :3
@MadnezzzShin
Da hast du Recht, ist auch ein guter Tipp. Ich kann damit so gar nichts anfangen deshalb faellt der Satzbau bei mir unter den Tisch, aber jeder Mensch tickt anders ^^
Besonders wenn jemand ein Lebensmotto oder besonderen Spruch hat kann das deutlich einfacher sein, als sich ausgedachte Woerter zu merken.
Mein Chef benutzt KeePass und ist uebrigens sehr zufrieden. Er managed die Passwort-Datei ueber unsere eigene Cloud, wodurch diese mit all seinen Geraeten synchonisiert und immer aktuell ist. Das vereinfacht vieles, aber auf fremde Clouds wuerde ich bei diesem Verfahren trotz Verschluesselung nicht zurueckgreifen.
Bei der einen Seite wurde mir gesagt, man bräuchte 33 Billionen Jahre um mein Passwort zu knacken, bei der anderen 9 Jahrhunderte. ^^
Als sicher würde ich empfinden: Grossbuchstaben die vielleicht nicht am Satzanfang stehen, also anstatt "Hallo" vielleicht "haLlo", Kleinbuchstaben, Zahlen, Sonderzeichen und Dinge die vielleicht nicht direkt mit einem zusammenhängen wie zB der Name des Freundes/der Freundin, Famillienname und solche Dinge, Satzbau-Abkürzungen.
Dinge die vielleicht nicht direkt mit einem zusammenhängen wie zB der Name des Freundes/der Freundin, Famillienname und solche Dinge
Hier würde ich ganz gerne direkt mal einschreiten und sagen: Gar keine Namen und solche Dinge ;)
Und diese krasse Differenz zwischen der Zeit die man zum "Knacken" braucht tritt gelegentlich schonmal auf...soll halt nur als kleiner Ansporn dienen im Sinne von "Ist mein Passwort sicher?", die Werte sollen auf gar keinen Fall als gesichert angesehen werden ^^
Was genau meinst du eigentlich mit Satzbau-Abkürzungen wenn ich fragen darf? Kann mir da grad nix drunter vorstellen
Grüße,
~~Shin~~
Was genau meinst du eigentlich mit Satzbau-Abkürzungen wenn ich fragen darf?
Zitat:
"Nächstes Jahr mache ich Urlaub auf Mallorca! Wer will mit?"
Dann nimmt man die Anfangsbuchstaben, ersetzt im besten Fall noch die Buchstaben bei denen es geht durch LeetSpeak und kriegt:
NJm1U4M!Wwm?
Ich nutze seit einiger Zeit ziemlich begeistert den Passwort-Manager KeePass, natürlich umsonst.
Endlich spricht es mal einer aus: Ich kann auch nur zu einem Passwort-Manager des Vertrauens raten. Als Tipp, damit es auch mit der Disziplin funktioniert (es ist ja schon ein gewisser Umstand): Ändert, wenn ihr euch zu einem Passwort-Manager entscheidet radikal direkt sofort alle Passwörter, die euch einfallen. So seid ihr gezwungen den Passwort-Manager zu benutzen und kommt gar nicht erst in Versuchung doch wieder ein schlechtes und / oder doppeltes Passwort zu benutzen.
Ansonsten habe ich selten so viel Halb- und Pseudowissen gelesen wie in diesem Thema. Ein Passwort muss nicht zufällig aussehen, es muss eine gewisse Mindestentropie besitzen. Empfehle dazu den xkcd-Klassiker, welcher mittlerweile leider etwas in die Jahre gekommen ist: https://xkcd.com/936/
Außerdem ist es völlig egal, wie sicher das Passwort ist, wenn es bei jedem Dienst unterschiedlich ist. Wenn der Dienst an sich nicht gehackt wird, dann sind die Passwort-Versuche ohnehin durch die Rechenleistung des Dienstes beschränkt. Wenn die Server nur 1000 Anfragen pro Sekunde schaffen, dann ist "jedes" Passwort sicher. Wenn die Datenbank des Dienstes geklaut wird, dann sieht das anders aus - aber das ist völlig egal, wenn der Passwort nur bei diesem Dienst in Verwendung ist.
Fazit: Verwendet einen Passwort-Manager. Wenn nicht, dann gebt euch Mühe zumindest möglichst viele unterschiedliche Passwörter zu verwenden. Und Pro-Tipp: Gebt eure Passwörter nicht wahllos auf Internetseiten ein, die behaupten die Stärke für euch zu analysieren. Die einzig richtige Antwort ist: "Unsicher, weil du es uns gerade verraten hast".
Zu den Mythen: Sonderzeichen sind keine Pflicht. Ein Zeichen mehr in der Länge hat einen viel größeren Effekt, als ein Zeichen durch ein Sonderzeichen zu ersetzen. Keines meiner zufälligen Passwörter enthält Sonderzeichen, einfach weil es bei unterschiedlichen Tastaturen und ggf. auf dem Smartphone viel zu mühselig zum Tippen ist, wenn der Passwort-Manager gerade mal nicht zur Verfügung steht.
Lustig wird nur dann, wenn der Anbieter sagt: "Nur maximal 16 Zeichen". Was soll man in so einem Fall machen? Zählt das denn dann schon als sicher?
Wie einfach lässt sich KeePass synchroniesieren? Hätte hier jetzt 4 Geräte, zweimal Android, einmal Ubuntu und einmal Windows. Als ich das letzte Mal versucht hatte, einen Passwort-Manager zu nutzen, bekam ich schon mit Ubuntu Probleme.
Reicht der Passwortspeicher von Firefox aus? (Abgesehen davon, dass die Datenbank von Mozilla gehackt wird)
Wie einfach lässt sich KeePass synchroniesieren?
In der Theorie sehr einfach. Wir haben auf der Arbeit eine eigene Nextcloud, mein Chef hinterlegt einfach sein KeePass-File in einem Cloud-Ordner und synchroniert diesen dann mit all seinen Geraeten. Der Einfachheit halber nutzt er die Portable-Version, braucht man nicht zu installieren und erfuellt ihren Zweck vollkommen. Ruft er KeePass nun auf, verweist er auf den Pfad der Datei (Anbindung in den Windows Explorer durch Nextcloud-Client), gibt sein Passwort ein und hat direkt Zugriff auf alle Passwoerter.
Natuerlich kann man das File auch mit einem USB-Stick mitnehmen, gibt ja mittlerweile die kleinen fuer den Schluesselbund. Besonders in oeffentliche Clouds (Dropbox, Drive etc.) wuerde ich das Passwort-File nicht packen, dann lieber der USB-Stick.
Generell wuerde ich behaupten, die Einfachheit einer Synchronisation ist eben abhaengig davon, wie du mit KeePass arbeitest bzw. welche Moeglichkeiten zur Verwaltung du besitzt.
Ob dir der Speicher von Firefox ausreicht, nun ja, er erfuellt definitiv seine Funktion. Dennoch speichere ich einfach aus Sicherheitsgruenden niemals meine Passwoerter im Browser oder Mailclient, man weiss eben nie wo die landen koennen.
Ein Passwort muss nicht zufällig aussehen, es muss eine gewisse Mindestentropie besitzen.
Da will ich auch ueberhaupt nicht widersprechen, konkret ging es mir viel eher um die typischen 08/15-Passwoerter wie "passwort" oder "hallo123", also Begriffe, die leicht zu erraten sind bzw. auf Woerterbuch-Attacken zugreifen koennen. Einige Pseudo-Woerter lassen sich eben leicht behalten und sind somit als Passwort gut geeignet, besonders wenn man keinen Manager benutzt.
Wenn Passwoerter von Benutzern schlecht verschluesselt in Datenbanken abgelegt und diese dann gehackt werden, wars das sowieso mit dem guten Passwort.
Lustig wird nur dann, wenn der Anbieter sagt: "Nur maximal 16 Zeichen". Was soll man in so einem Fall machen? Zählt das denn dann schon als sicher?
Ich schau', dass KeePass mir mindestens 100 Bit Entropie rausgibt. Wenn es alphanumerisch mit der gegebenen Maximallänge nicht reicht, dann kommen noch ein paar einfache Sonderzeichen mit in den Topf, wenn die Seite unbedingt Sonderzeichen möchte, dann ebenfalls.
Wie einfach lässt sich KeePass synchroniesieren? Hätte hier jetzt 4 Geräte, zweimal Android, einmal Ubuntu und einmal Windows. Als ich das letzte Mal versucht hatte, einen Passwort-Manager zu nutzen, bekam ich schon mit Ubuntu Probleme.
Ich verwende Ubuntu als primäres System. Nimm da das Paket „keepass2“. Die Datenbank liegt auf einem USB-Stick mit kleiner Bauform, wenn ich tatsächlich mal ein Passwort auf dem Handy brauche, dann lasse ich mir einen QR-Code generieren und scanne den auf dem Handy. Die Datenbank selbst nutze ich auf dem Handy nicht.
Reicht der Passwortspeicher von Firefox aus? (Abgesehen davon, dass die Datenbank von Mozilla gehackt wird)
Für mich nicht – ich habe Passwörter für Dinge, die ich mit Firefox nicht machen kann.
Ich hadere ehrlich gesagt noch mit dem Verwenden eines Passwort-Managers, auch wenn die Vorteile (nur noch ein Passwort merken müssen, kein Risiko von unsicheren Passwörtern außer fürs Masterpasswort etc.) offensichtlich sind. Wenn irgendjemand das Masterpasswort in die Griffel bekommt, hat er/sie Zugriff auf alle Accounts und Dienste die mit diesem Passwort-Manager verwaltet werden... :S
Ich hadere ehrlich gesagt noch mit dem Verwenden eines Passwort-Managers, auch wenn die Vorteile (nur noch ein Passwort merken müssen, kein Risiko von unsicheren Passwörtern außer fürs Masterpasswort etc.) offensichtlich sind. Wenn irgendjemand das Masterpasswort in die Griffel bekommt, hat er/sie Zugriff auf alle Accounts und Dienste die mit diesem Passwort-Manager verwaltet werden...
Ich weiß nicht, wie du Situation bei dir aktuell ist: Wie viele unterschiedliche Passwörter benutzt du? Und wie wahrscheinlich ist es, dass einer der Dienste gehackt wird und die Passwörter dadurch veröffentlicht werden im Gegensatz dazu, dass jemand sowohl deine Passwort-Datenbank, als auch dein Masterpasswort klaut?
@TimWolla
Uff. So doll ist die Situation bei mir nicht XD
Ich kann mich auch nicht mehr an alle Webseiten erinnern bei denen ich jemals registriert war - aber das dürften wohl nur fünf verschiedene Passwörter sein. Plus mein Windows-Passwort, macht sechs. Außerdem habe ich drei verschiedene E-Mail-Adressen, mit denen ich mich auf Webseiten registriere. Wenn jemand also mein Passwort bei Dienst XY klaut, wird diese Person auch Zugriff auf andere Dienste haben (sofern dieselbe E-Mail-Adresse)... aber nicht auf alle.
In meiner Lebenszeit habe ich mich auf vermutlich drei Dutzend Webseiten angemeldet. Für jede Webseite ein eigenes, sicheres Passwort angeben, ohne sich die ganzen Passwörter aufzuschreiben oder eine sonstige Gedächtnisstütze zu verwenden? Schwierig.
Gehackt werden kann jeder Dienst, BisaBoard wie Google. Aber die genaue Wahrscheinlichkeit kann ich nicht abschätzen. Generell halte ich HTTPS-Seiten für sicherer.
Wenn jemand das Masterpasswort hat, UND Zugriff auf meinen Computer, hat er auch die Datenbank.
Selbstverständlich würde mein Masterpasswort nicht "123456" oder "passwort" lauten. Ich habe schon jetzt wesentlich sicherere Passwörter als diese, mit Sonderzeichen, Zahlen und Klein- und Großbuchstaben, kein Wörterbuch, kein Geburtsdatum. Aber mit genug Zeitaufwand ist jedes noch so komplexe Passwort zu knacken. Das macht mir am meisten Sorgen.
Und zum Fremdzugriff auf meinen Computer: Ich klicke zwar nie verdächtige Anhänge an, und ich stecke nur meine eigenen USB-Sticks in den USB-Schacht, aber ich bin mir heutzutage nicht mehr sicher, ob das reicht, damit kein Unbefugter Zugriff auf meinen PC bekommt.
Moin,
ich vermute mal TimWolla wollte hier eher darauf hinaus, dass die Gefahr des "Diebstahls" der Passwortdabei und ZUSÄTZLICH das Erlangen des MasterPasswort ebendieser doch eher gering ist.
Eine vollständige Sicherheit wirst du natürlich nicht haben, davon geht hier auch niemand aus.
HTTPS-Seiten eher zu trauen ist jetz auch keine so blöde Idee von dir ;)
Bezüglich deines letzten Satzes würde ich dir vielleicht noch nahelegen JavaScript und ähnliche Angriffsquellen im Browser generell deaktivieren zu lassen, bei den gängigen Browsern dürfte es auch AddOns dazu geben, die dir das Management da etwas vereinfachen und z.B. JavaScript nur im BisaBoard zulassen (Bei Chrome gäbe es da z.B. NoScript oder uMatrix). Ich weiß ehrlich gesagt nicht wie hoch die Gefahr aktuell noch ist, sich darüber angreifbar zu machen, aber auf Nummer sicher gehen schadet ja nicht.
Grüße,
~~Shin~~
