Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortswörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> > bestehen, Sonderzeichen und Ziffern.
>
> Ja, aber sie sind nicht sicher.
ab wann sind Sie deiner Meinung nach sicher?
> > Gut zu merken sind sätze mit dem beschreibenden Wort eines
> > Sonderzeichens, sowie einer Angabe die sich auf eine Zahl herunter
> > brechen lässt.
>
> Und was soll der Unsinn?
ich sehe keinen Unsinn?
> > Als Beispiel:
> >
> > Der Nordstern wird in 20 Millarden Jahren zu einer Supernova
> >
> > Passwort. DN*wi20MJzeS
find ich ein 1a Beispiel für ein sicheres merkbares Passwort
> Der originale Satz wäre ein weitaus besseres Passwort! Sicherer,
> leichter zu merken und schneller zu tippen. Man muss auch nicht mit
naja, der originale Satz wäre eher eine Passphrase, ich will nicht
bei jedem Login 50 Zeichen tippen. Du?
> dem ‘*’ auf verschiedenen Tastatur-Layouts rumfriemeln.
hab ich kein Problem mit…
> > Ich hoffe dem ein oder anderen einen kleinen Denkanstoss gegeben zu
> > haben.
>
> Ja, wenn deine Ziel Kopfschmerzen und Verwirrung sind.
hmm das wirkt vielleicht auf dich So, ich fand den OP sinnvoll und
sehe nichts verwirrendes…
März 29th, 2008 - Posted in Allgemein | | 0 Comments
Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
bestehen, Sonderzeichen und Ziffern.
Gut zu merken sind sätze mit dem beschreibenden Wort eines
Sonderzeichens, sowie einer Angabe die sich auf eine Zahl herunter
brechen lässt.
Als Beispiel:
Der Nordstern wird in 20 Millarden Jahren zu einer Supernova
Passwort. DN*wi20MJzeS
oder
Ich traf mich mit Ihr Punkt 20 Uhr.
Passwort: ItmmI.20U
Der Vorteil dieser leicht zu merkenden Passwörter ist, sie lassen
sich eigentlich beliebig verlängern ohne das es großartig kompliziert
im Kopf wird.
Als Beispiel:
Ich traf mich mit Ihr Punkt 20 Uhr bei Karstadt in der 3. Etage.
Passwort: ItmmI.20UbKid3.E.
Eine weitere Möglichkeit (für extrem Merkfaule) ein Passwort
ausreichend sicher zu gestallten ist seinen Namen zu dekorieren. So
mache ich es recht häufig und konnt in meiner Firma auch schon den
ein oder anderen davon überzeugen.
Als Beispiel:
Peter Mustermann (der sonst einfach “peter” als Passwort hatte)
Passwörter: peter**peter; -peter-1977; *peter.peter*; muster.MANN;
_MMustermaNN_;
Besonders das wiederholen von Buchstaben im Namen halte ich für
Sinnvoll, da somit die Wörterbuch Attacken nicht ziehen. Wörterbücher
enthalten meistens Millionen von Vornamen.
Man kann sogar (sofern man diesen “Code” für sich behält) ganz easy
hunderte Passwörter benutzen. Man muss sich nur merken wo man im
Namen der Webseite ein paar Sonderzeichen einfügt.
Als Beispiel:
heise.de -> heise__DE!
spiegel.de -> spiegel__DE!
norma.com -> norma__COM!
sieht zwar _logisch_ und einfach zu erraten aus. Aber die Firmen
tauschen ja unternander nicht die Passwörter aus. Somit doch recht
einfach zu merken und sicher.
Dann gibt es noch die Möglichkeit eleet/31337 Passwörter zu nutzen,
wobei ich glaube, dass das schon zu einfach geworden ist. Die
einfachsten ersetzungen sind: e->3 t->7 a->4 i->1 z->2 s->5 b->8 g->9
Beispiele: heise.de -> h3153.d3 h3i5e.d3
wer konsequent jeden Buchstaben ersetzt macht sein Passwort somit
nicht gerade einfacher. Besser wäre sich nur auf einige Buchstaben zu
beschränken. Da diese 1337 Schrift recht bekannt ist würde ich
hierbei immer raten ein oder zwei Sonderzeichen irgendwo anzufügen
bzw. eine Buchstaben/Zifferwiederholung zu nutzen um es wieder
schwerer zu erraten zu gestallten.
Beispiel: heise.de -> H31Se!DEE
Ich hoffe dem ein oder anderen einen kleinen Denkanstoss gegeben zu
haben.
März 28th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passworta, der originale Satz wäre eher eine Passphrase, ich will nicht
> > bei jedem Login 50 Zeichen tippen. Du?
>
> Ich schon, weil’s schneller und einfacher zu tippen ist als ein
> komplizierter String mit Sonderzeichen.
naaaajaaaa. Ich finde weniger zeichen sind grundsaetzlich schneller
zu tippen als viele. Ausserdem glaube ich dass ein kompletter satz
von vielen logins garnicht akzeptiert wird
> > hmm das wirkt vielleicht auf dich So, ich fand den OP sinnvoll und
> > sehe nichts verwirrendes…
>
> Gegen genau solches falsches Pseudowissen soll sich doch der Artikel
> richten.
naja, die 1337-ersetzungen und names-verlaengerungen die der OP
vorgeschlagen hat find ich auch nicht ideal,
aber genau das Beispiel dass du vorher gequotet (DN*wi20MJzeS) hast
war doch völlig i.o, weiss garnicht was daran “falsches pseudowissen”
sein soll…
ich glaube eher der artikel möchte vor passwoertern wie “maria” oder
“ebayasterix” warnen…
März 27th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortseppig2002 schrieb am 18. August 2006 9:39
> >
> > > > Passwörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> > > > bestehen, Sonderzeichen und Ziffern.
> > >
> > > Ja, aber sie sind nicht sicher.
> >
> > Ganz im Gegenteil. Wenn ich nur einen Satz nehme, habe ich ein
> > Auswahlgebiet von 52-60 Zeichen. Durch Sonderzeichen und Zahlen wird
> > dieser Umfang nochmal um 20 Zeichen vergrößert. Damit hat ein
> > Angreifer schonmal deutlich mehr zu tun. Damit sinken auch die
> > Erfolgsaussichten.
>
> Klassisches Gegenbeispiel: NCC-1701D
ich habe auch festgestellt, dass SEHR einfache Passworte praktisch
nie erraten und selbst nach Bekanntgabe nicht genutzt wurden:
OS/2 neu Installation:
U: wie kann ich mich da anmelden
A: benutzer und kennwort
U: hab ich versucht,geht nicht
A: benutzer und kennwort
U: also xjk1234 geht nicht
A: benutzer und kennwort
U: HAB ICH DOCH VERSUCHT, GEHT NICHT !!!
A(buchstabiert): B E N U T Z E R und dann K E N N W O R T eingeben
U: aehh…ja…achso…
Noch besser war der Rechner bei dem das Admin Passwort weg war, er
hatte gar keins - nur ENTER drücken, KEIN EINZIGER hat es geschafft
sich anzumelden ! :-))
Ist aber zu unsicher, einer hat dann aus versehen doch nur ENTER
gedrückt…
März 25th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
> Ich hoffe dem ein oder anderen einen kleinen Denkanstoss gegeben zu
> haben.
jo. nett.
gut finde ich die Kombination aus Ersetzung von Buchstaben durch
teilweise “1337″ Schreibweise und “ineinanderschreiben”.
Beispiel:
Haus Garten Terrasse
wird zu
H4us G4rten T3rrasse
und nun “schiebt” man die Wörter ineinander, so dass jedes nach zwei
Anfangsbuchstaben des vorigen anfängt.
H4us G4rten T3rrasse
H4G4T3rrassertenus
Ist sehr einfach zu merken und schwer nachzuvollziehen.
Steigerung: Die Anzahl der Anfangsbuchstaben bis zur Einsetzung des
nächsten Wortes bei einem anfangen und um jeweils einen erhöhen.
H4us G4rten T3rrasse
HG4T3rrasserten4us
Steigerung 2: Alle Zahlen “733t” schreiben und die Einsetzung des
nächsten Wortes nach der letzten Zahl, die im Wort vorkommt.
H4us G4rt3n T3rr4ss3
H4G4rt3T3rr4ss3nus
Alternativ: Die Einsetzung des nächsten Wortes auf die Zahl selbst
beziehen.
(wenn 4, dann 4 Zeichen später usw.)
Einziger Nachteil: Wenn man sich das Passwort auch nach 10x schreiben
nicht merken kann, braucht man immer ein “sichtbares” Eingabefeld, um
das Passwort zu rekonstruieren, bevor man es eingeben kann.
März 24th, 2008 - Posted in Allgemein | | 1 Comments
Re: Hash mich, ich bin das Passwort - Mit Hashing-Tricks gegen Passwort-Phishe…
> Was ist eigentlich lang genug…. Ernsthaft, was ist lang genug…
> Das einzige Finanzportal, dass ich kenne mit ausreichend PW platz ist
> die Diba.
> Die haben mal kein Problem mit 24Zeichen Für Pin und Identifier.
Also mein PGP-Passwort besteht aus 25 Buchstaben/Ziffern
(ausgewürfelt mit 2W6). Hingegen ist meine DB24-PIN nur 5 Zeichen
lang, denn mehr geht net. 
> > Hmmm, das dürfte aber kein Problem sein, denn es handelt sich ja
> > nicht um eine Verschlüsselung. SHA-1 (160 Bit) wurde übrigens
> > ausgerechnet von der NSA entwickelt.
> Meine Rede. Würd mal gern wissen, ob sich nsa und konsorten an ihre
> eigenen Vorgaben halten.
Also prinzipiell ist ja nicht die Herstellung/Verwendung von
Kryptografiegeräten (bzw. Software) mit >40 Bit verboten, sondern nur
die Ausfuhr. Die Beschränkung gilt für symmetrische Verschlüsselung.
Ob es eigene Beschränkungen für Hashfunktionen und asymmetr.
Algorithmen gibt, weiß ich nicht.
> Wo wär eigentlich das Problem, jeden Kunden mit nem Rsa Token
> auszustatten?
Jedesmal wenn jemand den Vorschlag macht, wird’s wohl heißen: “Das
ist zu kompliziert, das blickt der net…”
März 23rd, 2008 - Posted in Allgemein | | 0 Comments
Re: Hash mich, ich bin das Passwort - Mit Hashing-Tricks gegen Passwort-Phishe…
> ACK - so lange die Leute Passwörter verwenden, die eine russische
> Kriegswitwe in 3 Minuten erraten hat, kann man das Konzept
> wegschmeißen. Noch dazu gibt es Seiten, wo man gar keine Passwörter
> verwenden *kann*, die halbwegs lang genug wären.
Was ist eigentlich lang genug…. Ernsthaft, was ist lang genug…
Das einzige Finanzportal, dass ich kenne mit ausreichend PW platz ist
die Diba.
Die haben mal kein Problem mit 24Zeichen Für Pin und Identifier.
> > Und wie war das noch mit der max erlaubten verschlüsselungsstärke in
> > den Usa?
>
> Hmmm, das dürfte aber kein Problem sein, denn es handelt sich ja
> nicht um eine Verschlüsselung. SHA-1 (160 Bit) wurde übrigens
> ausgerechnet von der NSA entwickelt.
Meine Rede. Würd mal gern wissen, ob sich nsa und konsorten an ihre
eigenen Vorgaben halten.
Wo wär eigentlich das Problem, jeden Kunden mit nem Rsa Token
auszustatten?
P.S.:
MD5FB7F8B3AE8D887BBD7CE94A584AC3104
SHA-1A38772E9C53A45012AD0A1810D212D3A024D3575
20 sekunden ? *g
Gruß,
root
März 23rd, 2008 - Posted in Allgemein | | 0 Comments
Re: Ein Passwort ist nicht so sicher wie Mehrere - Ein Passwort für alles
> > Tolle Technik. Um damit gleich Zugang zu allen Accounts zu bekommen.
> > Was sich die Leute immer einfallen lassen. Mit dieser Bequemlichkeit
> > hat man dann gleich eine riesen Sicherheitslücke geschaffen.
>
> Sehe ich anders. Die von Dir kritisierte Funktion (ein Masterpaßwort
> für viele) gibt es ja nun schon an vielen Stellen: Mac OS’ Keychain,
> Browserwallet in Mozilla u.ä. Das System ist dann unsicher, wenn
> Zugriff auf die verwaltende Applikation möglich ist oder die
> gespeicherten Paßwörter unsicher verschlüsselt sind. Der Vorteil ist
> aber, daß für all die Webserver da draußen, deren Sicherheit nicht in
> meiner Hand liegt, wirklich unterschiedliche Paßwörter verwendet
> werden, was sonst nicht möglich wäre, da man die sich nicht alle
> merken kann.
>
> Neu ist hier nur, daß auch Paßwörter generiert werden können, was die
> Sicherheit nochmals erhöht, da diese zufällig sind.
Also ich kann mir schon denken wie das aussieht. Das machen die
Benutzer die zu bequem sind die Passwörter zu verwalten. Und dann ist
man mal kurz im Internetcafe und gibt dort sein schöne Masterpasswort
ein und schwups….
Also, alles über ein Passwort laufen zu lassen muss doch einleuchten
das dies unsicherer ist. Das andere ist sozusagen verteilte
Sicherheit. Ein Passwort zu knacken, bedeutet nicht gleich an alle zu
kommen. Darum kann ich den Einwand nicht verstehen. Außerdem hat man
da dann auch so eine schöne Versammlung von allen möglichen Daten.
Und es ist außerdem noch “ausgelagert” und nicht mehr sozusagen
lokal.
K.
Fu
März 22nd, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort = passwort - Passwortdaten von Flirtlife.de kompromit…
> Manchmal werden zur ‘Verschleierung’ noch Ziffern wie “123″ hinten
> angehängt. Was Passworte angeht, so ist der Otto Normaluser ziemlich
> phantasielos. Und vor allem: wozu das Passwort jemals ändern? Sich
> das aktuelle zu merken ist ja schon schwer genug. Darum klebt es
> häufig unter der Tastatur, oder es liegt in einer Schublade. Wer den
> Film “Marnie” von Hitchcock kennt, weiß, dass das “schon immer so”
> gemacht wurde. User lernen einfach nicht dazu.
Man kann bei der Passwortprüfung natürlich ’sicher’ vorgehen:
Einen Algorithmus, der die Sicherheit der Passwörter testet
(mindestens 6 Zeichen, mindestens 1 Ziffer, ein Buchstabe, ein
Sonderzeichen), einen Mustervergleich zu den letzten Passwörtern des
Users durchführt (max. 90% Ähnlichkeit), und Wortfragmente (>4
Buchstaben) gegen ein Wörterbuch abgleicht…
Das Passwort ist dann sicher und nicht zu erraten.
Dasselbe nicht nur fürs allgemeine Netzpasswort, sondern auch den
Zugang zum Fileserver und SAP System.
Was ist die Folge? Der User kanns sich nicht mehr merken und klebt es
sich trotz aller Warnungen unter die Tastatur…
Hier sind andere Lösungen gefragt, kein User-Bashing.
mfg
Rainaari
März 20th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort = passwort - Passwortdaten von Flirtlife.de kompromit…
> Was ist die Folge? Der User kanns sich nicht mehr merken und klebt es
> sich trotz aller Warnungen unter die Tastatur…
>
> Hier sind andere Lösungen gefragt, kein User-Bashing.
Dem kann ich nicht zustimmen!!!
Ein User, der sich ein TÄGLICH, teils MEHRFACH benötigtes Anmelde-PW
nicht merken kann, ist für mich klar unter der Intelligenzgrenze,
unter der ich meine Mitarbeiter einstellen würde (wenn ich
Personalchef wäre) - solche Dummies gehören nicht an Rechner mit
sensiblen, schützenswerten Daten! Mal ehrlich jetzt!
Auch ich kann mir selten benötigte PW
März 19th, 2008 - Posted in Allgemein | | 0 Comments
