Sichere Passwörter?

• IslaBonita
  12. April 2018 - 14:42 Uhr
  Im Zuge der ganzen Cambridge Analytica Affäre habe ich umso mehr Schiss um den Schutz meiner persönlichen Daten bekommen...
  Unabhängig von der versteckten Einwilligung zur Weitergabe von Daten an Dritte, fängt das ja alles zu Hause schon mit der Wahl eines sicheren Passworts an.
  Ich frag mich immer, ob man die wichtigen Passwörter monatlich wechseln sollte, was ein sicheres Passwort überhaupt ist und ob das alles überhaupt Schutz bringt. Kennt sich jemand von euch damit aus?
  Many thanks.
• the folk
  12. April 2018 - 22:25 Uhr
  Ein sicheres Passwort ist in jedem Fall sinnvoll. Es sollte auch gelegentlich geändert werden. Über den Intervall lässt sich streiten, bei wichtigen Zugangsdaten wählen die meisten größeren Unternehmen z.B. alle 3 Monate.
  Es sollte möglichst nicht aus Wörtern oder nur Zahlen bestehen, sondern ein (je nachdem, was die jeweilige Website zulässt) Misch aus Buchstaben, Zahlen und Sonderzeichen sein. Allerdings muss man es sich trotzdem merken können - denn auch das sicherste Passwort bringt wenig, wenn es auf einem Zettel geschrieben neben dem PC liegt oder vergessen wird.
  Zur Not irgendwie verschlüsselt aufschreiben - entweder auf Papier oder in einem externen Speicher.
  
  Wenn ein Account mit einem E-Mail-Konto verbunden ist, sollte dieses Mailkonto auf jeden Fall gut geschützt sein um hier keine Hintertür offen zu lassen. Ggf. kann es auch sinnvoll sein, mehrere Mailkonten zu nutzen.
  
  Das Ganze ist natürlich recht sinnlos, sobald man sich eine entsprechende Schadsoftware einfängt oder auf einen Phishingversuch reinfällt. Deshalb sind zusätzliche Sicherungsmaßnahmen zwingend nötig.
  Dazu gehören ein Antivirenschutz, ggf. eine Firewall (ob die von Windows selbst nun ausreicht oder nicht muss jeder selbst entscheiden) und bei sensibleren Daten möglichst eine Zwei-Wege-Authentifizierung.
  
  Mit etwas angelesenem Wissen zum Thema Phishing; Ein klein wenig Vorsicht damit, welche Websites man besucht und wem man seine Daten überlässt; Ein gesundes Misstrauen gegenüber anderen Usern im Netz - dann kann fast nichts mehr schiefgehen
• Tristan
  13. April 2018 - 11:46 Uhr
  Naja also es gibt so ein paar Grundregeln die ein sicheres PW ausmachen, @the folk hat da schon einige genannt, ich kann noch ergänzen:
  
  - mehr als 15 Zeichen, das rät die Studie des Hasso-Plattner-Instituts*, alle Zeichenklassen – also Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen und bestenfalls steht es nicht mal im Wörterbuch
  
  - keine Ziffer am Ende des PW
  
  - individuelle PW für versch. Dienste
  
  - Unternehmens-E-Mail-Adresse nicht für private Zwecke nutzen
  
  - Zwei-Faktor-Authentifizierung wann immer es möglich ist nutzen
  
  Was ich selbst nutze ist ein PW Manager, da geb ich alle PW ein und nutze am Ende nur noch ein Masterpasswort und alle freischalten auf den jeweiligen Seiten.
  Is ne App auf dem Handy und nen Programm aufm Mac, kostet aber bisschen was (sollte es dir wert sein).
  Je länger das PW umso länger dauert die Entschlüsselung, sieben Kleinbuchstaben schafft ein guter Rechner in unter 4 Sekunden zu entschlüsseln, bei nen PW aus 13 Groß- und Kleinbuchstaben und Ziffern kann es bis zu 3.000 Jahre dauern..
  
  
  
  
  Greetz Tristan
  
  
  
  
  
  
  
  *Quelle https://www.ivanti.de/blog/passwortsicherheit/
• Stitchy
  16. April 2018 - 17:57 Uhr
  Ich lehne mich mal ganz weit aus dem Fenster und behaupte mal, dass in 99% die Komplexität des Passworts egal ist. Meistens werden Passwörter einfach verraten, man fällt auf Phishing oder Social Engineering herein.
  
  
  Trotzdem sollte man sich natürlich auch gegen die (von mir geratenen) 1% absichern. Wie man ein potenziell sicheres Passwort erstellt wurde hier eigentlich schon zusammengefasst. Du kannst dir hier aber auch noch mal genauer durchlesen, was das BSI empfiehlt.
  
  
  Beim Password Cracking wird zwischen Online und Offline Cracking unterschieden.
  Online Cracking ist deutlich schwerer. Einfaches Ausprobieren aller Möglichkeiten ist hier normal nicht möglich, da nach X-Versuchen der Account einfach aus Sicherheitsgründen gesperrt wird oder die Passwort Überprüfung absichtlich verlangsamt wird, sodass das Ausprobieren von mehreren Milliarden Passwörtern zeitlich nicht mehr möglich ist. Du bist hier also mit einem relativ simplen, aber nicht zu erratenen Passwort schon ziemlich sicher.
  
  
  Beim Offline Cracking zahlt sich jetzt endlich dein sehr komplexes Passwort aus. Falls die Runescape-Server gehackt werden und jemand kommt an die Usernamen + Passwörter, steht er noch vor dem Problem, dass die Passwörter nur verschlüsselt (gehashed) auf dem Server vorliegen. Die Art der Verschlüsselung ist bekannt, lässt sich aber nicht rückgängig machen, d. h. er muss wirklich alle Möglichkeiten ausprobieren und schauen, ob er mit der Verschlüsselung auf denselben Hashwert kommt. Erschwerend kommt hinzu, dass (hoffentlich) meistens das Passwort nicht nur einmal verschlüsselt wird, sondern mehrmals. Das erhöht einfach den Rechenaufwand und macht das Ausprobieren von mehreren Millionen Möglichkeiten wieder unpraktikabel.
  
  Vor ein paar Jahren wurde die Usernamen + Passwörter der Website "rockyou.com" geleaked. Die Liste und viele weitere (Sony, LinkedIn, phpBB, DropBox, Adobe, usw.) sind online frei zugänglich. Die Wahrscheinlichkeit, dass bereits ein Username + Passwort von dir in einer frei verfügbaren Datenbank liegt ist also gar nicht so gering (kann man zum Beispiel hier überprüfen: https://haveibeenpwned.com/). Daher sollte man wohl auch nicht dasselbe Passwort mehrmals verwenden.
  
  
  Die zehn häufigsten Passwörter waren:
  
  Anzahl - Passwort
  

  1. 290.729 - 123456
     
  2. 79.076 - 12345
     
  3. 76.789 - 123456789
     
  4. 59.462 - password
     
  5. 49.952 - iloveyou
     
  6. 33.291 - princess
     
  7. 21.725 - 1234567
     
  8. 20.901 - rockyou
     
  9. 20.553 - 12345678
     
  10. 16.648 - abc123
      

  
  
  Das so was dann natürlich kein Hindernis mehr ist, sollte klar sein.
  
  
  Das Passwort für den Start der amerikanischen Atomraketen war übrigens früher wohl einfach 000000.
  https://nakedsecurity.sophos.com/2013/12/11/for-nearly-20-years-the-launch-code-for-us-nuclear-missiles-was-00000000/
  
  
  PS: Ich will hier nicht zur Verwendung von einfachen Passwörtern raten. Sondern nur noch mal verdeutlichen, was the folk schon angesprochen hat. Ein komplexes Passwort schützt dich nicht, wenn man gedankenlos alles anklickt und herunterlädt, was man finden kann.
• Tristan
  06. Juli 2018 - 09:52 Uhr

  Stitchy sagte am 16. April 2018 - 17:57 Uhr:

  Ich lehne mich mal ganz weit aus dem Fenster und behaupte mal, dass in 99% die Komplexität des Passworts egal ist. Meistens werden Passwörter einfach verraten, man fällt auf Phishing oder Social Engineering herein.
  Trotzdem sollte man sich natürlich auch gegen die (von mir geratenen) 1% absichern. Wie man ein potenziell sicheres Passwort erstellt wurde hier eigentlich schon zusammengefasst. Du kannst dir hier aber auch noch mal genauer durchlesen, was das BSI empfiehlt.
  Beim Password Cracking wird zwischen Online und Offline Cracking unterschieden.
  Online Cracking ist deutlich schwerer. Einfaches Ausprobieren aller Möglichkeiten ist hier normal nicht möglich, da nach X-Versuchen der Account einfach aus Sicherheitsgründen gesperrt wird oder die Passwort Überprüfung absichtlich verlangsamt wird, sodass das Ausprobieren von mehreren Milliarden Passwörtern zeitlich nicht mehr möglich ist. Du bist hier also mit einem relativ simplen, aber nicht zu erratenen Passwort schon ziemlich sicher.
  Beim Offline Cracking zahlt sich jetzt endlich dein sehr komplexes Passwort aus. Falls die Runescape-Server gehackt werden und jemand kommt an die Usernamen + Passwörter, steht er noch vor dem Problem, dass die Passwörter nur verschlüsselt (gehashed) auf dem Server vorliegen. Die Art der Verschlüsselung ist bekannt, lässt sich aber nicht rückgängig machen, d. h. er muss wirklich alle Möglichkeiten ausprobieren und schauen, ob er mit der Verschlüsselung auf denselben Hashwert kommt. Erschwerend kommt hinzu, dass (hoffentlich) meistens das Passwort nicht nur einmal verschlüsselt wird, sondern mehrmals. Das erhöht einfach den Rechenaufwand und macht das Ausprobieren von mehreren Millionen Möglichkeiten wieder unpraktikabel.
  Vor ein paar Jahren wurde die Usernamen + Passwörter der Website "rockyou.com" geleaked. Die Liste und viele weitere (Sony, LinkedIn, phpBB, DropBox, Adobe, usw.) sind online frei zugänglich. Die Wahrscheinlichkeit, dass bereits ein Username + Passwort von dir in einer frei verfügbaren Datenbank liegt ist also gar nicht so gering (kann man zum Beispiel hier überprüfen: https://haveibeenpwned.com/). Daher sollte man wohl auch nicht dasselbe Passwort mehrmals verwenden.
  Die zehn häufigsten Passwörter waren:
  Anzahl - Passwort
  

  1. 290.729 - 123456
     
  2. 79.076 - 12345
     
  3. 76.789 - 123456789
     
  4. 59.462 - password
     
  5. 49.952 - iloveyou
     
  6. 33.291 - princess
     
  7. 21.725 - 1234567
     
  8. 20.901 - rockyou
     
  9. 20.553 - 12345678
     
  10. 16.648 - abc123
      

  
  Das so was dann natürlich kein Hindernis mehr ist, sollte klar sein.
  Das Passwort für den Start der amerikanischen Atomraketen war übrigens früher wohl einfach 000000.
  https://nakedsecurity.sophos.com/2013/12/11/for-nearly-20-years-the-launch-code-for-us-nuclear-missiles-was-00000000/
  PS: Ich will hier nicht zur Verwendung von einfachen Passwörtern raten. Sondern nur noch mal verdeutlichen, was the folk schon angesprochen hat. Ein komplexes Passwort schützt dich nicht, wenn man gedankenlos alles anklickt und herunterlädt, was man finden kann.
  

  
  
  rockyou/princess sind ja mal zwei Wahnsinns Passwörter!!

  Dieser Beitrag wurde von Tristan bearbeitet: 06. Juli 2018 - 09:52 Uhr