Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwort> Passwörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> > > bestehen, Sonderzeichen und Ziffern.
> >
> > Ja, aber sie sind nicht sicher.
>
> ab wann sind Sie deiner Meinung nach sicher?
Wenn sie lang und nicht trivial herleitbar sind.
Schönes Gegenbeispiel für benannte Regel: NCC-1701D
(Für Nicht-Trekkies: die Schiffsnummmer der Enterprise D, steht daher
in jeder guten Wortliste)
> > Der originale Satz wäre ein weitaus besseres Passwort! Sicherer,
> > leichter zu merken und schneller zu tippen. Man muss auch nicht mit
>
> naja, der originale Satz wäre eher eine Passphrase, ich will nicht
> bei jedem Login 50 Zeichen tippen. Du?
Ich schon, weil’s schneller und einfacher zu tippen ist als ein
komplizierter String mit Sonderzeichen.
> hmm das wirkt vielleicht auf dich So, ich fand den OP sinnvoll und
> sehe nichts verwirrendes…
Gegen genau solches falsches Pseudowissen soll sich doch der Artikel
richten.
April 6th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortswörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> > bestehen, Sonderzeichen und Ziffern.
>
> Ja, aber sie sind nicht sicher.
Ganz im Gegenteil. Wenn ich nur einen Satz nehme, habe ich ein
Auswahlgebiet von 52-60 Zeichen. Durch Sonderzeichen und Zahlen wird
dieser Umfang nochmal um 20 Zeichen vergrößert. Damit hat ein
Angreifer schonmal deutlich mehr zu tun. Damit sinken auch die
Erfolgsaussichten.
> > Als Beispiel:
> >
> > Der Nordstern wird in 20 Millarden Jahren zu einer Supernova
> >
> > Passwort. DN*wi20MJzeS
>
> Der originale Satz wäre ein weitaus besseres Passwort! Sicherer,
> leichter zu merken und schneller zu tippen. Man muss auch nicht mit
> dem ‘*’ auf verschiedenen Tastatur-Layouts rumfriemeln.
Nein. Je länger der Satz, umso größer die Gefahr, das man sich
vertippt. Abgesehen davon gibt es immernoch maximale Längen für ein
Kennwort und das kann unter Umständen 8 oder 16 Zeichen sein.
April 5th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortörter gelten als _sicher_ wenn sie aus Groß- und Kleinbuchstaben
> bestehen, Sonderzeichen und Ziffern.
Ja, und wenn sie lang genug sind. 7 Zeichen ist absolutes Minimum und
auch nur, wenn man Sonderzeichen und Zahlen nicht ausschließt, besser
sind aber mindestens 9 Zeichen.
Bei dem alten Samba-Protokoll (Windows Freigaben) sollte man übrigens
wegen eines Fehlers im Verschlüsselungsalgorithmus nur genau 7 oder
14 Zeichen lange Paßwörter nehmen, wobei ein 14 Zeichen langes
Paßwort bei Samba nur etwa doppelt so sicher ist wie ein 7 Zeichen
langes (das liegt an dem Fehler - es werden jeweils 7 Zeichen
verschlüsselt und nicht alle 14 auf einmal). Nimmt man hier 8, 9 oder
10 Zeichen, können die letzten Zeichen hinter dem 7. Zeichen sehr
leicht innerhalb von Sekunden geknackt werden. Wenn diese Zeichen
dann Rückschlüsse auf den Anfang des Wortes geben, ist das sogar
unsicherer als ein 7 Zeichen langes Paßwort zu nehmen. Wenn ich z. B.
weiß, daß die beiden letzten Zeichen des Paßworts “ll” sind, brauche
ich nur noch alle Wörter mit “ll” am Ende durchprobieren und komme
dann schnell auf z. B. “Protokoll”. Bei Samba gilt also besonders,
daß man keine Wörter aus Wörterbüchern oder Namen verwenden sollte.
> Gut zu merken sind sätze mit dem beschreibenden Wort eines
> Sonderzeichens, sowie einer Angabe die sich auf eine Zahl herunter
> brechen lässt.
> […]
Ja, das ist eigentlich die beste Methode, sich ein gutes Paßwort zu
erstellen, das man sich auch gut merken kann.
> Eine weitere Möglichkeit (für extrem Merkfaule) ein Passwort
> ausreichend sicher zu gestallten ist seinen Namen zu dekorieren. So
> mache ich es recht häufig und konnt in meiner Firma auch schon den
> ein oder anderen davon überzeugen.
>
> Als Beispiel:
>
> Peter Mustermann (der sonst einfach “peter” als Passwort hatte)
>
> Passwörter: peter**peter; -peter-1977; *peter.peter*; muster.MANN;
> _MMustermaNN_;
Das halte ich nicht für sicher. Paßwort-Knack-Programme probieren
einige Sachen, die in diese Richtung gehen gerne aus (siehe z. B. den
sehr guten Paßwortknacker “john” mit den Default-Regeln). Auch wenn
ich glaube, daß Deine Variationen oben von “john” nicht direkt
geknackt werden, sind einige Regeln doch nahe dran. Z. B. hängt john
auch Zahlen an die Wörter aus (Namens-)Wörterbüchern an und auch
Wiederholungen wie peterpeter sind für ihn kein Problem. Die
Extra-Zeichen bei peter**peter knackt “john” zwar afaik mit den
Standard-Regeln nicht, aber das ist schon so extrem nah dran, daß ich
solche Paßwörter eher nicht verwenden würde.
> Besonders das wiederholen von Buchstaben im Namen halte ich für
> Sinnvoll, da somit die Wörterbuch Attacken nicht ziehen. Wörterbücher
> enthalten meistens Millionen von Vornamen.
Selbstlaute zu duplizieren ist aber auch eine gängige Methode der
Paßwort-Knacker.
> Man kann sogar (sofern man diesen “Code” für sich behält) ganz easy
> hunderte Passwörter benutzen. Man muss sich nur merken wo man im
> Namen der Webseite ein paar Sonderzeichen einfügt.
>
> Als Beispiel:
>
> heise.de -> heise__DE!
> spiegel.de -> spiegel__DE!
> norma.com -> norma__COM!
>
> sieht zwar _logisch_ und einfach zu erraten aus.
Richtig - und das ist es auch. Sachen die mit dem Benutzernamen oder
der Website selbst zu tun haben, würde ich als erstes ausprobieren,
wenn ich einen Website-Account knacken wollte.
> Aber die Firmen
> tauschen ja unternander nicht die Passwörter aus. Somit doch recht
> einfach zu merken und sicher.
Sehe ich nicht so. Sicher geht anders …
> Dann gibt es noch die Möglichkeit eleet/31337 Passwörter zu nutzen,
> wobei ich glaube, dass das schon zu einfach geworden ist. Die
> einfachsten ersetzungen sind: e->3 t->7 a->4 i->1 z->2 s->5 b->8 g->9
>
> Beispiele: heise.de -> h3153.d3 h3i5e.d3
Auch das ist eine Methode, die “john” ohne Probleme schafft.
> wer konsequent jeden Buchstaben ersetzt macht sein Passwort somit
> nicht gerade einfacher. Besser wäre sich nur auf einige Buchstaben zu
> beschränken.
Das erhöht die Anzahl der Möglichkeiten, ja. Aber sicher ist das
meiner Meinung nach nicht.
> Da diese 1337 Schrift recht bekannt ist würde ich
> hierbei immer raten ein oder zwei Sonderzeichen irgendwo anzufügen
> bzw. eine Buchstaben/Zifferwiederholung zu nutzen um es wieder
> schwerer zu erraten zu gestallten.
>
> Beispiel: heise.de -> H31Se!DEE
Die 1337-Schrift würde ich höchstens als Ergänzung auf ein Paßwort
anwenden, das nach der ersten Methode (die mit dem Satz) erstellt
wurde. Da kann man dann ein, zwei Zeichen durch Zahlen ersetzen (aber
nicht zu viele und keinesfalls alle). Das macht durchaus Sinn. Ein
schlechtes Paßwort kann man damit aber nur unwesentlich besser
machen.
> Ich hoffe dem ein oder anderen einen kleinen Denkanstoss gegeben zu
> haben.
Also Deine erste Regel mit dem Satz, der kann ich nur voll und ganz
zustimmen. Die anderen Vorschläge halte ich für nicht sicher genug
und würde davon abraten, zumal die Regel mit dem ausgedachten Satz ja
so gut und einfach ist, daß man alle anderen Regeln nicht mehr
benötigt.
Gruß
April 5th, 2008 - Posted in Allgemein | | 2 Kommentare
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwortman das persönliche Umfeld des Opfers kennen kann? Weil es alle
> möglichen Formen von Literatur gibt?
Ok, Du bist ein Troll, denn das ist wirklich unsinn. Mein
persönlicher “Satz” ist ca. 15 Jahre alt und stammt somit aus einer
Zeit die NICHTS mit meinem jetzigen Umfeld zu tun hat. Desweiteren
ist er ca. 12 Zeichen lang.
Ich habe diesen Satz nirdends niedergeschrieben, es gibt ihn
sicherlich so in dieser Form nicht in Büchern und anvertaut habe ich
ihn auch noch Niemandem.
Welche Art der Literatur soll den da weiterhelfen?
Selbstverständlich ist jedes Passwort bzw. deren Länge nur so lange
“sicher” wie es keine PCs gibt die in einer annehmbaren Zeit jegliche
Zeichenkombination durchprobieren können. beim ANSI Zeichensatz und
ca. 10 Zeichen aus Zahlen, Buchstaben und Sonderzeichen sollte das
heute immer noch _zu_ lange dauern.
Wenn in ein paar Jahren nur noch UNICode vorliegt sind es eben 10
Zeichen aus 65535 möglichen, was wieder als ausreichend gelten
dürfte.
Für Dich zum überprüfen ohne Anspruch auf Vollständigkeit:
http://tinyurl.com/fzdzj
http://tinyurl.com/k6jmg
http://tinyurl.com/k2vak
…
April 4th, 2008 - Posted in Allgemein | | 0 Comments
Re: Passwort Tipps für Unentschlossene -> leicht zu merkende Regeln - c’t magazin.tv: Wann ist ein Passwort wi…
passwort man das persönliche Umfeld des Opfers kennen kann? Weil es alle
> > möglichen Formen von Literatur gibt?
>
> Ok, Du bist ein Troll, denn das ist wirklich unsinn. Mein
> persönlicher “Satz” ist ca. 15 Jahre alt und stammt somit aus einer
> Zeit die NICHTS mit meinem jetzigen Umfeld zu tun hat. Desweiteren
> ist er ca. 12 Zeichen lang.
>
> Ich habe diesen Satz nirdends niedergeschrieben, es gibt ihn
> sicherlich so in dieser Form nicht in Büchern und anvertaut habe ich
> ihn auch noch Niemandem.
Und genau das ist mit “nicht trivial herleitbar” gemeint.
> Für Dich zum überprüfen ohne Anspruch auf Vollständigkeit:
http://www.google.com/search?hl=en
April 1st, 2008 - Posted in Allgemein | | 0 Comments
