Bitte ändern sie ihr altes Passwort - Der falsche Kampf um Sicherheit im Internet

Joaquin

Administrator
Teammitglied
Manchmal ist es wirklich ärgerlich, wenn man plötzlich für irgendeine Seite und Zugang, sein Passwort ändern soll. Zum einen bin ich froh, dass ich mir mein altes Passwort merken konnte und zum anderen ist es oft auch noch relativ aufwendig und zeitraubend.

Sicher, es gibt schlechte und bescheuerte Passwörter, die man mit einer Brute-Force-Attacke oder einfachem Ausprobieren leicht knacken kann. Aber warum sollte ich ein bestehendes, gutes Passwort ändern?

Klar, so kann man verhindern, dass ein bereits geknacktes Konto weiter vom Hacker genutzt wird. Nur oft schaut es ja eh so aus, dass man aus Faulheit, das bestehende Passwort um ein oder zwei Zeichen erweitert und diese zwei Zeichen hat der Hacker dann eh schnell raus gefunden. Aber wie oft passiert das schon und läuft man bei regelmäßigen Änderungen nicht Gefahr, dass dann erst Recht mal das Passwort irgendwo abgefangen werden kann?

Und dann gibt es die Passwörter die nicht mehr den alten Sicherheitsvorgaben entsprechen. Heißt, Groß- und Kleinbuchstaben, eine Ziffer und ein Sonderzeichen beinhalten sollen. Nur wenn ich ein sehr langes Passwort habe und es nun mit eben solchen Sonderzeichen ausstatten muss und mir dafür vom System mir ein acht Zeichen langes Passwort an die Hand gegeben wird, dann bezweifle ich, dass das neue Passwort mich besser schützt. Zumal ich davon ausgehe, dass ab einer gewissen Länge beim Hacken des Passwortes durch eine Brute-Force-Attacken eh davon ausgegangen wird, dass Sonderzeichen angewendet werden müssen und diese dann wieder beim ersten Zeichen beginnt, somit das lange Passwort also sicherer ist, als das kurze mit Sonderzeichen.

Und das ist mir erst kürzlich passiert und da war ich echt sauer. Das gute und lange Passwort, wurde als nicht sicher eingestuft, nur weil es keine bestimmten Sonderzeichen beinhaltete. Hier war nicht mein Passwort unsicher, sondern der Algorithmus dilettantisch programmiert, der feststellen sollte ob mein Passwort noch sicher genug war und mir statt dessen dieses lächerlich kurze Passwort vergeben wollte.

Vor allem sollte man sich eine gute Passwortstrategie zulegen, denn Passwörter sind die Schlüssel im Internet und mit der Zeit braucht man da richtig viele davon. Und man sollte unbedingt diese Strategien in sensiblen Bereichen ändern. Denn wenn ein Hacker irgendwo Zugriff auf eines ihrer einfachen Passwörter für ein verschmerzbaren Zugang entdeckt hat, sollte er nicht darauf kommen können, wie das Passwort für einen sensibleren Bereich lautet.
 

Sonnenschein

Bekanntes Mitglied
Ich kann mir nicht mehr alle Passwörter merken:confused::mad:;)


Meistens schreibe ich mir Passwörter auf. So kann ich schnell mal nachsehen,welches Passwort gerade gebraucht wird.

Ich habe ein kleines Notizbüchlein, in dem ich mir Username und Passwort notiere, das mag zwar altbacken sein aber funktioniert.
 
Zuletzt bearbeitet:

Joaquin

Administrator
Teammitglied
Bill Burr hatte 2003 aus Zeitdruck die unsinnigen Regeln für das National Institute of Standards and Technology (NIST), welche dann später zum Standard wurden. Mittlerweile hat das NIST seine Regeln erneuert und demzufolge sollte man ein Passwort nicht regelmäßig austauschen, außer das System wurde in der zZwischenzeit kompromittiert. Denn wer ständig sein Passwort ändern soll, der macht eh nur leichte Abwandlungen wie aus hallo1 ein hallo 2 und das ist dann alles andere als sicher. Zudem ist der ganze Kram mit den Sonderzeichen, Zahlen und gemischten Groß- und Kleinbuchstaben absoluter Unsinn. Hier sollte man besser auf lange und für einen einfach zu merkende Phrasen setzen. Hier bringt es mehr, Leerzeichen dazwischen einzusetzen. "Am Morgen wird es bald sehr hell werden." ist ein besseres Passwort als "TgfK34%$".
 
G

Gast4188

Guest
Zudem ist der ganze Kram mit den Sonderzeichen, Zahlen und gemischten Groß- und Kleinbuchstaben absoluter Unsinn.
Von Passworten wie "Am Morgen wird es bald sehr hell werden." ist natürlich streng abzuraten. Passwörter sollten niemals feststehend Wörter, Namen oder Daten enthalten - danach suchen die Cracker als erstes. Dann schon besser ein Passwort dass aus 34 kleinen "a" besteht. Oder 43 großen "O". Wenn man dann die Stellen 13 und 23 gegen jeweils ein großes X oder Y ist man schon im Bereich der sehr sicheren Passwörter.
Dagegen ist allerdings ein Passwort der Form "_Q86/ZqEy&Sk&d,~bscQemQW;C47c" sicherheitstechnisch so gut wie unschlagbar. Natürlich: je länger desto besser.
Natürlich ist das unpraktisch und kaum zu merken - aber wer merkt sich heutzutage noch Passwörter und tippt sie sogar ein? Dafür gibt es schließlich geeignete Hilfsmittel.
 

Joaquin

Administrator
Teammitglied
Ich würde behaupten, die Mehrheit aller Benutzer, merken sich ihre Passwörter, angefangen beim Entsperrungscode des eigenen Smartphones. Typische Hilfsmittel ist bei Computerpasswörtern der Zettel am Monitor. Da müssen wir einfach bei der Realität blieben, denn die meisten sind nicht wirklich technikaffin und benutzen entsprechende Tools mit einem Masterpasswort.

Ansonsten sind solche Phrasen in der Regel sehr sicher, wenn sie nicht schon als solche, wie auch oben genannte kryptische Zeichenkombinationen, schon durch komprimierte Systeme in Passwortlisten aufgenommen wurden.

Die in der Regel verwendeten Zeichen umfassen eine Größe von 128 Zeichen. Wörterbücher, welche Hackertools benutzen sind da weitaus umfangreicher und werden in der Regel daher auch nur auf ein Wort angelegt, denn eine Kombination fällt da schnell ungleich umfangreicher aus. Zudem kommen dann noch Groß-Kleinschreibungen als ganzes Wort oder nur am Anfang de Wortes in Frage, sowie Interpunktion und der Einsatz oder das Fehlen von Freizeichen. Dazu darf man nicht vergessen, dass der Angreifer evtl. nur die verwendete Sprache oder Sprachkombinationen erraten kann, wenn er denn überhaupt davon ausgehen kann, dass es sich um einen Satz und nicht um ein kryptisches Passwort handelt. Daher verwenden solche Hackertools ja in der Regel erst Wörterbücher für Worte oder feste Wortgruppen und gehen bei Misserfolg die brute force Methode an. Aber Kombinationen aus Wörtern eine Sprache, Fachsprachen oder gar aus Kombination von Sprachen und Dialekten usw., macht da keinen Sinn. Aus der rein mathematischen Sicht, sehe ich daher nicht, wieso solche Sätze an sich unsicherer sein sollten als kryptische Kombinationen.
 
G

Gast4188

Guest
.....die brute force Methode an.
Gerade dann kommt es doch darauf an, dass das Passwort nicht nur eine gewisse Länge sondern auch eine möglichst große "Breite" besitzt.
Dein Passwort hat pro Stelle 25 Möglichkeiten (a-z und Blank). Nimmst du Groß-/Kleinschreibung hast du 50 Möglichkeiten. Bedienst du dich aus dem kompletten Zeichenvorrat, den die Tastatur hergibt, also zumindest alle druckbaren Zeichen aus dem ASCII - also 95.
Passwortgeneratoren verwenden auch gerne weitere aus dem Windows-1252-Zeichensatz (z. B. Grafikzeichen), aber dann lässt sich das nur schwer über die Tastatur eingeben.
 

Joaquin

Administrator
Teammitglied
Ich denke es kommt auch sehr auf das jeweilige Szenario an. Vor wem möchte ich welche Daten sichern und wo sind diese Daten gesichert? Dahingehend kommt dann auch die Frage auf, wie viel Aufwand wird ein Angreifer aufwenden, um mein Passwort zu knacken? Muss meine Festplatte zu Hause ein ebenso, ein weniger oder gar noch sicheres Passwort haben, als meine Daten in der Cloud?
Den Laptop zu Hause sichere ich evtl. vor Diebstahl, wobei Diebe dort eher an der Hardware interessiert sind und da erst keinen Aufwand betreiben an die Daten heran zu kommen, sondern eher das System resetten und ein neues System darauf einrichten. In der Regel will ich den Laptop auch nur vor unbefugten Zugriff der Kinder und den arglosen löschen von Daten usw. sichern. Da muss ich keinen großen Aufwand betreiben.
Mit einem Smartphone ist man da eher unterwegs und kann es verlieren oder unterwegs gestohlen werden. Die Gefahr ist deutlich höher und daher sollte hier die Verschlüsselung besser sein. Aber auch da werden Diebe keinen all zu großen Aufwand betreiben und eher das System resetten um das Teil selbst zu nutzen oder weiter zu verkaufen.
Das Handy ist aber oft auch Angelpunkt für die Cloud und daher sollten hier Zugangsdaten ordentlich gesichert sein und die Cloud im Netz auch noch sicherer sein, je nachdem, welche Daten man dort ausgelagert hat. Denn Systeme im Netz sind ständigen Angriffen ausgesetzt.

Aber wenn man nicht eine Person von besonderem Interesse ist, werden Angreifer nur Standard-Angriffe laufen und sich dann dem nächsten Konto zuwenden. Gerade im Netz ist oftmals das verwendete System und Betreiber viel wichtiger. Werden Passwörter dort verschlüsselt? Gibt es ausreichende Zugriffssperren bei brute-force Attacken? Ebenso die Frage bei dem Handy und Rechner zu Hause. Den ein gutes Passwort nützt mir nichts, wenn das System an sich leicht zu knacken und der Passwortschutz zu umgehen ist.

Dies sind aber oftmals Fragen, die der normale Benutzer so nicht auf dem Schirm hat oder überhaupt nicht weiß. Und für ihn ist es besser zu wissen, dass in der Regel ein gut gewählter Satz den er sich merken kann, nicht viel schlechter ist als das kryptische Passwort, welcher er evtl. noch mit den Zugangsdaten in seiner Brieftasche aufbewahrt.
 
G

Gast4188

Guest
Um noch einmal auf der rein technischen Aspekt von Passworten zurück zu kommen :)
 

Joaquin

Administrator
Teammitglied
Hier ist nun die Frage, ob der jeweilige Angriff auf die Passwörter immer nur die jeweilig, links angegebenen Zeichen ausprobiert haben oder alles plus Sonderzeichen ausprobiert hat? Denn ein Angreifer kann ja in der Regel nie wissen, wie das Passwort tatsächlich erstellt wurde.
Weiterhin sollte man beachten, dass die üblichen Portale nach ein paar Passworteingaben, eine automatische Sperre oder eine zusätzliche Eingabe erfordern. Das bremst so einen Angriff dann doch erheblich aus. Hier liegt das Problem oft eher auf der Serverseite, wenn solche Sicherheitsmechanismen nicht genutzt wurden.
 
G

Gast4188

Guest
Die Tabelle gibt die maximal benötigte Rechenzeit eines Brute-Force-Angriffs auf verschiedene Passwörter wieder. In diesem Beispiel wird eine Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer pro Sekunde durchprobieren kann. Dies entspricht ungefähr der Leistung eines modernen Standard-PCs mit leistungsfähiger Grafikkarte. Die zugrundeliegende Formel für die Berechnung der Anzahl der maximal benötigten Versuche lautet: (Zeichenraumgröße hoch Passwortlänge), also beispielsweise bei alphanumerischen Passwörtern mit einem Zeichenraum von 62 und der Länge 10 ergäben sich maximal (62 hoch 10) Versuche (also rd. (8,393 x 10 hoch 17) Sekunden = rd. 26,614 Jahre.
 

ChrissiK

Neuer Benutzer
Ich muss leider zugeben, dass ich mich bei der Passwortvergabe auch recht schwer tue. Ich habe 3 Passwörter, die ich mir merken kann. Die verteile ich eben auf meine verschiedenen Accounts und Bereiche. Bisher ist mir nichts passiert und niemand hat mich gehackt. Ich hoffe das bleibt so, denn meiner Kreativität sind da wirklich Grenzen gesetzt.
 

luna63

Neuer Benutzer
Am besten ist es, man verwendet ein Passwort mit mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Dabei kann man sich z.B. einen Satz überlegen, den man sich gut merken kann:

Als Beispiel für einen E-Mail Account: "Jeden zweiten Tag in der Woche checke ich meine E-Mails."
--> J2TidWc1mE-@
So kann man sich auch ein eigentlich sehr kompliziertes und schwer zu knackendes Passwort ganz einfach merken.

Probierts doch mal aus. :)
 

jocacoca

Neuer Benutzer
Genau so wie Luna63 es sagt mache ich es bei wichtigen Konten auch.Hilft aber nicht bei Geldkarten,mir wurde das Portemonnaie geklaut und innerhalb einer halben Stunde wurde Geld abgehoben.Ich hatte die Pin nicht in der Börse,bei nachforschungen stand auch niemand in meiner Nähe an der Kasse.Also vorsichtig sein ,ich wollte nur Hilfsbereit sein,das war Teamarbeit hinten am Auto hat man meine Tochter um Kleingeld gebeten ,der weil schlich sich ,einen halben mtr von mir entfernt, eine Frau vorne ins Auto und klaute meine Börse.Seit dem bin ich nicht mehr hilfsbereit.
 

kapuzinerkresse

Aktives Mitglied
Um noch einmal auf der rein technischen Aspekt von Passworten zurück zu kommen :)
Das ist ein anschauliches Bild, danke dir für`s Teilen! Mit den technischen Aspekten kenne ich mich selbst zwar nicht besonders gut aus, aber ich habe auch unterschiedliche Passwörter die unterschiedlich komplex sind. Groß- und Kleinbuchstaben und Zahlen verwende ich bei allen meinen Passwörtern.

Für wichtige Passwörter wie zum Beispiel für das Onlinebanking verwende ich noch dazu einige Sonderzeichen und ein längeres Passwort, das nur für mich Sinn ergibt. Bei wichtigen Passwörtern sollte man, glaube ich, auch darauf achten, dass man sie wirklich nur ein einziges Mal verwendet und nicht woanders noch ein zweites oder drittes Mal.

Absolute Sicherheit bekommt man so natürlich auch nicht, aber letzten Endes ist das alles ja nur eine Frage der Wahrscheinlichkeiten. Die wird zwar nie Null werden, aber man kann sie so weit wie möglich minimieren.
 
Oben