Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> bestehen, Sonderzeichen und Ziffern.
Ja, und wenn sie lang genug sind. 7 Zeichen ist absolutes Minimum und
auch nur, wenn man Sonderzeichen und Zahlen nicht ausschließt, besser
sind aber mindestens 9 Zeichen.
Bei dem alten Samba-Protokoll (Windows Freigaben) sollte man übrigens
wegen eines Fehlers im Verschlüsselungsalgorithmus nur genau 7 oder
14 Zeichen lange Paßwörter nehmen, wobei ein 14 Zeichen langes
Paßwort bei Samba nur etwa doppelt so sicher ist wie ein 7 Zeichen
langes (das liegt an dem Fehler - es werden jeweils 7 Zeichen
verschlüsselt und nicht alle 14 auf einmal). Nimmt man hier 8, 9 oder
10 Zeichen, können die letzten Zeichen hinter dem 7. Zeichen sehr
leicht innerhalb von Sekunden geknackt werden. Wenn diese Zeichen
dann Rückschlüsse auf den Anfang des Wortes geben, ist das sogar
unsicherer als ein 7 Zeichen langes Paßwort zu nehmen. Wenn ich z. B.
weiß, daß die beiden letzten Zeichen des Paßworts “ll” sind, brauche
ich nur noch alle Wörter mit “ll” am Ende durchprobieren und komme
dann schnell auf z. B. “Protokoll”. Bei Samba gilt also besonders,
daß man keine Wörter aus Wörterbüchern oder Namen verwenden sollte.
> Gut zu merken sind sätze mit dem beschreibenden Wort eines
> Sonderzeichens, sowie einer Angabe die sich auf eine Zahl herunter
> brechen lässt.
> […]
Ja, das ist eigentlich die beste Methode, sich ein gutes Paßwort zu
erstellen, das man sich auch gut merken kann.
> Eine weitere Möglichkeit (für extrem Merkfaule) ein Passwort
> ausreichend sicher zu gestallten ist seinen Namen zu dekorieren. So
> mache ich es recht häufig und konnt in meiner Firma auch schon den
> ein oder anderen davon überzeugen.
>
> Als Beispiel:
>
> Peter Mustermann (der sonst einfach “peter” als Passwort hatte)
>
> Passwörter: peter**peter; -peter-1977; *peter.peter*; muster.MANN;
> _MMustermaNN_;
Das halte ich nicht für sicher. Paßwort-Knack-Programme probieren
einige Sachen, die in diese Richtung gehen gerne aus (siehe z. B. den
sehr guten Paßwortknacker “john” mit den Default-Regeln). Auch wenn
ich glaube, daß Deine Variationen oben von “john” nicht direkt
geknackt werden, sind einige Regeln doch nahe dran. Z. B. hängt john
auch Zahlen an die Wörter aus (Namens-)Wörterbüchern an und auch
Wiederholungen wie peterpeter sind für ihn kein Problem. Die
Extra-Zeichen bei peter**peter knackt “john” zwar afaik mit den
Standard-Regeln nicht, aber das ist schon so extrem nah dran, daß ich
solche Paßwörter eher nicht verwenden würde.
> Besonders das wiederholen von Buchstaben im Namen halte ich für
> Sinnvoll, da somit die Wörterbuch Attacken nicht ziehen. Wörterbücher
> enthalten meistens Millionen von Vornamen.
Selbstlaute zu duplizieren ist aber auch eine gängige Methode der
Paßwort-Knacker.
> Man kann sogar (sofern man diesen “Code” für sich behält) ganz easy
> hunderte Passwörter benutzen. Man muss sich nur merken wo man im
> Namen der Webseite ein paar Sonderzeichen einfügt.
>
> Als Beispiel:
>
> heise.de -> heise__DE!
> spiegel.de -> spiegel__DE!
> norma.com -> norma__COM!
>
> sieht zwar _logisch_ und einfach zu erraten aus.
Richtig - und das ist es auch. Sachen die mit dem Benutzernamen oder
der Website selbst zu tun haben, würde ich als erstes ausprobieren,
wenn ich einen Website-Account knacken wollte.
> Aber die Firmen
> tauschen ja unternander nicht die Passwörter aus. Somit doch recht
> einfach zu merken und sicher.
Sehe ich nicht so. Sicher geht anders …
> Dann gibt es noch die Möglichkeit eleet/31337 Passwörter zu nutzen,
> wobei ich glaube, dass das schon zu einfach geworden ist. Die
> einfachsten ersetzungen sind: e->3 t->7 a->4 i->1 z->2 s->5 b->8 g->9
>
> Beispiele: heise.de -> h3153.d3 h3i5e.d3
Auch das ist eine Methode, die “john” ohne Probleme schafft.
> wer konsequent jeden Buchstaben ersetzt macht sein Passwort somit
> nicht gerade einfacher. Besser wäre sich nur auf einige Buchstaben zu
> beschränken.
Das erhöht die Anzahl der Möglichkeiten, ja. Aber sicher ist das
meiner Meinung nach nicht.
> Da diese 1337 Schrift recht bekannt ist würde ich
> hierbei immer raten ein oder zwei Sonderzeichen irgendwo anzufügen
> bzw. eine Buchstaben/Zifferwiederholung zu nutzen um es wieder
> schwerer zu erraten zu gestallten.
>
> Beispiel: heise.de -> H31Se!DEE
Die 1337-Schrift würde ich höchstens als Ergänzung auf ein Paßwort
anwenden, das nach der ersten Methode (die mit dem Satz) erstellt
wurde. Da kann man dann ein, zwei Zeichen durch Zahlen ersetzen (aber
nicht zu viele und keinesfalls alle). Das macht durchaus Sinn. Ein
schlechtes Paßwort kann man damit aber nur unwesentlich besser
machen.
> Ich hoffe dem ein oder anderen einen kleinen Denkanstoss gegeben zu
> haben.
Also Deine erste Regel mit dem Satz, der kann ich nur voll und ganz
zustimmen. Die anderen Vorschläge halte ich für nicht sicher genug
und würde davon abraten, zumal die Regel mit dem ausgedachten Satz ja
so gut und einfach ist, daß man alle anderen Regeln nicht mehr
benötigt.
Gruß
April 5th, 2008 - Posted in Allgemein | |
2 Responses to ' Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi… '
Leave a reply
You must be logged in to post a comment.
on April 14th, 2008 at 02:06
[…] - komfortabel ist sie jedoch nicht. Und meist ist es so das man mit der Zeit nachlässig wird, wenn die Sicherheitsvorkehrungen zu umständlich sind. Ein digitaler Passwort-Manager bringt natürlich nur einen Sicherheitsgewinn, […]
on April 14th, 2008 at 10:03
[…] als bei den üblichen Verdächtigen. Ich kann mir meine ~ 80 kryptischen Web-Passwörter jedenfalls nicht merken. Daher merke ich mir nur meine handvoll “Master-Passwörter”. > Respektive > […]