Das Passwortverwaltungssoftware-Unternehmen NordPass hat seine Liste der “Top 200 most commonpasswords of the year 2020” veröffentlicht. Die Top 10 sieht alles andere als kreativ und schon gar nicht mal gut gewählt aus. Aber offenbar geht einigen die Schlichtheit ihrer Passwörter über deren Sicherheit.
Es gibt auch die Theorie, dass diese Passwörter da auftauchen eben weil man davon ausgeht, dass die Seite bei der man sich anmeldet nicht sicher ist. Und da nimmt man halt einen Wegwerf-Account mit Wegwerf-Passwort.
»jobandtalent « ↦ time to crack 3Jahre – Ü
Aber ein Tipp für sichere Passwörter die man sich auch merken kann. Zumindest solange die Quantencomputer noch auf sich warten lassen ist Länge sehr entscheident und Alphanumerische Ausgangsmengen – natürlich auch mit Majuskeln Schreibung (ja Sonderzeichen oder Umlaute sind auch toll).
fügt einfach eure Telefonnummer an Euren Namen der Fachbegriff dafür ist “salting”. Ein Passwort wie JacK01760123456789 wird deutlich schwerer zu knacken sein. Oh natürlich benutzt ihr überall ein etwas anderes Passwort, indem ihr einfach noch ein Buchstaben anhängt — M für Mail zB ⇒ JacK01760123456789M. (längere und ungewöhnliche Namen oder individuelle Bezeichner sind von Vorteil – bzw. das interlocking ⇒ a0b1c2d3 da hier Wörterbuch Angriffe scheitern.
Oder Buchstaben durch ähnlich aussehende Zahlen ersetzen.
Und Groß-/Kleinschreibung invertieren.
Solide – > s0L1D3
Leetspeak ist längst adaptiert und bringt fast nichts – die Wörterbücher enthalten bereits die Version mit den Ersetzungen.
Das ist einfach völlig falsch. Beschäftige dich bitte mit sicheren Passwörtern, dann wirst du feststellen, dass NIEMAND Passwörter empfiehlt, die mit deiner Person in Verbindung gebracht werden kann.
“völlig falsch” – Du nimmst jedoch nur auf ein kleinen Teil meiner Aussagen Bezug. Zudem übersiehst du die Problematik die Passwörter erzeugen die sich keiner merken kann. Aber schauen wir uns doch mal an wie Angriffe heute stattfinden.
Du hättest durchaus recht wenn ein Angreifer dich als einziges Ziel hat – dies passiert aber nur wenn du zB IT-ler bist (und dann solltest du es eh besser wissen) Oder in einer anderen exponierten Position arbeitest. Was heute idr passiert ist, dass bei Dienst A Passwörter und E-mail adressen/Namen/ Kreditkartendaten etc. abhanden kommen oder versehentlich frei im Netz stehen. Diese Listen werden nun benutzt um sie auf Dienst B,C,D anzuwenden. Daher solltest du kein Passwort mehrfach benutzen. Des weiteren läuft dein Vorwurf auch ins leere wenn du dein Passwort saltest und den Namen mit einer Nummer abwechselnd vermischt. Denn so werden selbst unsichere Folgen verriegelt. Weiter wichtig ist dass dein Passwort möglichst einmalig ist. Wenn dein Passwort auf einem Zettel steht oder im Passwortmanager dann ist es nicht (mehr) sicher. Es ist sogar sehr gut wenn ein Passwort persönlich mit dir zu tun hat – da es so einmalig wird. Es darf nur nicht rekonstruierbar sein. Aber versuch doch bitte mal ein Passwort aus Namen und einer individuellen 10stelligen Nummer zu knacken – wenn du schon glaubst es besser zu wissen. Dies sind individuelle Kombinationen mit über 15 Stellen. Auch sehr gut sind Passwörter aus persönlichen Merksätzen (Anfangs/Endbuchstaben zB). Oh und übrigens die Passwörter aus dem Artikel haben alle nichts mit der Person zu tun und bieten kaum Schutz. Daher ist so ein Hinweis in keiner weise eine Verbesserung.
Deine Aussage kommt aus einer Passwortdefinition wo man 8 Stellen annimmt – wenn hier dein Name (ein Wörterbucheintrag) drin ist, hast du völlig recht. Die Kunst ist es ein langes Passwort zu erzeugen welches dennoch merkbar ist. “Patrickhat0recht” wäre so ein gutes Passwort das man sich nicht aufschreiben muss obwohl es persönlich ist – oder grade weil es dies ist.
Klugscheißmodus engaged:
Aaaalso. Salting ist das nicht was du beschreibst. Unter Salting versteht man – häufig bei Servern im Einsatz – dass eine Zeichenfolge an dein Passwort automatisch angehängt wird um das Knacken zu erschweren. Um genau zu sein, um Rainbow-Table Angriffe zu verhindern. Denn, das selbe Passwort wird unverändert immer den selben Hash erzeugen. Falls nun eine Datenbank geleaked wird, bekommen die Angreifer:innen nur diese Hashes (wenn es vernünftig gesichert wurde, und die PW nicht im Klartext rumlagen). Theoretisch kann Angreifer:in mit diesem Hash nichts anfangen – es sei denn er/sie weiß dass PW X diesen Hash erzeugt. Die Lösung ist, dass die Webseiten Betreiber jedes einzelne Passwort mit einem Salt erweitern. (ich spreche ab jetzt immer nur noch vom Webseiten Betreiber aber das trifft auch auf andere Server- oder Serverlose Authentifizierungmechanismen zu). Dieser Salt (ließ, zusätzicher Passwort Anteil) ist für alle 5 Mio Nutzer:innen der Webseite identisch. Und selbst wenn der Salt bekannt ist, bringt es nichts, weil die Rainbow-Tables neu generiert werden müssten.
Natürlich kannst du argumentieren, da du ja das selbe Prinzip auf deine eigenen Passwörter anwendest, ist das auch salting. Das Wort wird aber so, meines Wissens nach nicht gebraucht. Es ist eine Merkhilfe für dich, mehr nicht.
Zweiter Punkt, tue bitte niemals persönliche Informationen in dein Passwort. Wie gesagt, es gibt sehr viele Webseiten und nicht alle machen es wirklich gut mit der Verschlüsselung. Wenn die PW nun im Klartext geleaked werden, erhält der/die Angreifer:in neue Informationen über dich, die er/sie vorher nicht hatte. Schlecht! Hinzu kommt noch, dass wenn deine Methode zum Generieren des Passworts einmal bekannt ist, ist es super easy auch deine restlichen Accounts zu brute-forcen. Witzigerweise sagst du selbst man sollte kein Passwort mehrfach verwenden. Aber das trifft auch auf „Passwort-Muster“ zu, also die Methode zum Erzeugen des Passworts.
Du sagst, es würden nur/hauptsächlich IT-ler persönlich angegriffen werden. Das könnte fälscher nicht sein. (Spear-)Phishing Angriffe gehen häufig auf die, die sich eben nicht so sehr mit der Thematik beschäftigen. Die dann doch mal auf einen Link klicken und ihr PW auf einer gefälschten Webseite angeben. Deine „Empfehlung“ die eigene Telefonnummer zu verwenden kann sogar noch anderweitig schaden. Oft ist der zweite Faktor die Handynummer. Ist diese Nummer bekannt, kann ein Reset oder Login Code an die Telefonnummer verschickt werden. Das Stichwort hierzu ist Silent-SMS. Gab auch einen schönen Talk beim 35c3 ( Compromising online accounts by cracking voicemail systems).
Nächster Punkt, du sagst es sei schlimm das Passwort auf einen Zettel oder in einem PW Manager abzuspeichern. Auch hier muss ich dir widersprechen. Erstmal zum Zettel, es ist tatsächlich nicht so schlimm es auf einen Zettel zu schreiben wie alle immer tun. Des Kontext ist aber entscheidend. Wenn der Zettel auf der Arbeit hängt und für viele Leute sichtbar ist, ist das in der Tat schlimm. Wenn es aber nur bei dir Zuhause liegt, ist der Schaden nicht so groß. Weil in dem Fall der/die Angreifer:in erstmal bei dir Zuhause einbrechen müsste um an diese Info zu kommen. Und wenn es wirklich so sein sollte, dann ist das geleakte PW dein geringstes Problem. Es gibt genug Möglichkeiten div. PW Schutz zu umgehen sobald man Hardware Zugriff hat. Und wenn dein Angriffsszenario der Staat ist, hast du so oder so verloren.
Und wegen dem PW Manager, aktuelle Empfehlung für sichere Passwörter ist ganz im Gegenteil zu deiner Aussage, einen PW Manager zu verwenden. Dieser Manager sollte dann im Idealfall für jeden Account ein eigenes Passwort haben, das komplett zufällig generiert wird, und möglichst lange ist. Der Vorteil vom PW Manager ist, dass du die 32 Zeichen nicht selbst tippen musst, und dass du dir es auch nicht merken musst.
Der Punkt bzgl. Leetspeak ist völlig richtig, es bringt wenig bis gar nichts, macht es aber schwerer sich das Passwort zu merken. Es gibt noch diverse andere Ansätze sich PW zu merken, aber alle davon reduzieren die Entropie (ließ, Auswahl an verfügbaren Zeichen aus denen das PW gewählt werden kann). Generell sind starke Passwörter sowohl lang, als auch komplett random. Ergeben also keinen Sinn und sind somit schwerer zu merken.
Generell sind PW Knacker sehr gut darin Dinge zusammen zu setzen und statistisch vorzugehen. Auch bspw. mehrere Wörterbuch Einträge hintereinander zu hängen und zwischen drin Zahlen oder Jahreszahlen einzufügen und Buchstaben durch die Leet Variante zu ersetzen. Gepaart mit persönlichen Informationen geht das Knacken erschreckend viel schneller—vorausgesetzt das PW basiert darauf.
So, und zu guter letzt noch ein Online Dienst mit dem man PW checken kann. Bitte NICHT das eigene PW testen, denn dann ist es wirklich nicht mehr sicher. Interessierte (und vor allem Erfahrene können das Projekt gerne selbst bauen und lokal laufen lassen)
https://lowe.github.io/tryzxcvbn/
man könnte es auch padding nennen – aber da die Erweiterung ja nicht auf eine feste Länge geschieht wäre dies auch falsch. Ein Pepper trifft es in der Anwendung auch nicht. Im Übrigen ist der Pepper und Salt nicht zwingend immer gleich. Ich halte daher Salting noch als beste Bezeichnung – solange du keine Bessere hast. Da ich ja schrieb man soll diese Zusatzzeichenfolge abwechselnd ein”streuen” – Trifft es keinen der Begriffe.
Weiter schrieb ich das ITler es besser wissen und direkte Angriffe bei Personen gemacht werden die in exponierten Positionen arbeiten – wo der Angreifer also einen Vorteil erhält.
Mein Passwort “Vorschlag” hat bereits 4/4 auf deinem vorgeschlagenem Test.
Zum Zettel der Zuhause ist – dann hast du offensichtlich keinen Putzdienst oder andere Personen die dein Zuhause betreten. Ein Passwort Manager ist problematisch da bei einem breach sofort Alles weg ist – oder was wenn dein Passwort Manager verloren geht. Viele arbeiten ja auch mit Biometrik die aber auch ohne deine Zustimmung funktioniert.
Ansonsten gehst du hier mit Wissen ran das du nicht hättest (Rückschaufehler) wenn du 50 000 Passwörter erbeutest und darunter eines ist das 0J1a7c6K5672551 lautet – Du weißt nicht ob ich meine Telefonnummer oder Sozialvers№ oder Steuer№ od Konto№ dort reingestreut habe, oder ob es mein Name ist oder der meins Haustieres – ein Pseudonym oder nur ein Anonym – Es geht ja nicht drum das perfekte Passwort zu haben – es muss nur besser als die anderen sein. Daher würde es für jeden normal Bürger völlig ausreichen. Es geht hier drum vor und Nachteile abzuwiegen. Und ja sicher nimm die Telefonnummer deines Lehrers\Freund\Vater \Bruder \Kind \Wasserzählernummer – es geht drum dein Passwort lang zu machen und es merkbar zu halten. Wenn du mal im Ausland dein Smartphone verlierst und dich im Internetkaffee einloggen musst – wirst du froh sein dir dein Passwort merken zu können – und dennoch eines zu haben welches halbwegs sicher ist. Auch Sonderzeichen wie ẞ ß machen viel aus – nur hast du mitunter enorme Probleme wenn du an einem englischen System sitzt von daher sollte man genau überlegen ob man Buchstaben nutzt die es sonst nicht gibt. Umgekehrt könnte es bei “random” Passwörtern passieren eine Kombination zu bekommen die gar nicht so toll ist (weil sie dann doch in einer Liste auftaucht). Und wenn dein Random generator so etwas prüft und du weißt das jemand diesen benutzt – naja gibt ja Gründe wieso man natürliche Prozesse gerne für so etwas einsetzt (siehe Lavalampenwand) . Es ist auch sinnvoll Zusätze Vor zu stellen und nicht dranzuhängen – zumindest solange der Angreifer nicht denkt du bist Araber. Der Grund wieso 0123456 oder QWERT als schlechte Folge gilt ist ja nur weil sie von vielen verwendet wird und bekannt ist. Mein Keyboard würde hier xvlc ausgeben und mit xvlc1234xvlc habe ich auch ein 4/4 score und selbst ungeübte könnten es in sekunden tippen. Gab (vor längerem) eine Untersuchung von Microsoft die einen erheblichen Sicherheitsgewinn für Unternehmen nur dadurch erreichte zu verhindern daß 2 Leute dasselbe PW nutzen – die Passwörter konnten aber nahezu beliebig simpel sein. Hintergrund war das Angreifer nicht Passwörter durchtesten sondern alle Accounts mit den Top10 PW (oder 3 je nach Anzahl Versuche) – und wie die Liste oben zeigt kann man damit auch heute noch viel Erfolg haben. Im Übrigen wenn man einen kurzen Satz/Zeichenfolge oft genug eingibt dann wird man auch sehr schnell darin. “DiesisteinTest” 4/4 score – Es muss einfach nur LANG sein. Und natürlich kann es passieren das ein Teil deiner Nr als Datum erkannt wird – ebenso unwahrscheinlich schaut sich ein Mensch das an – und wenn dann musst du eh ganz andere Kaliber auffahren.
Würde mich nicht wundern wenn meins auch dabei ist. Aber nicht weil es so schlecht ist, sondern weil ich 2 Millionen Accounts überall habe….
Kannst nachgucken: https://haveibeenpwned.com/Passwords
Und für die Streithähne da oben: https://xkcd.com/936/
Einfach Comic posten reicht leider nicht ;)
Ja ist bekannt, nennt sich Diceware. Wenn Angreifer:in weiß dass du diese Herangehensweise verwendest (bspw. durch ein geknacktes PW einer anderen Webseite) sinkt die Entropy schlagartig und du musst nicht mehr 20–30 Zeichen knacken, sondern nur noch 4–5 Wörter. Hinzu kommt dass die Auswahl der zufälligen Wörter häufig eben auch nicht so zufällig ist wie es sein müsste damit es sicher ist. Dazu gibt es ebenfalls Studien, dass Leute Begriffe aus der unmittelbaren Umgebung verwenden und Begriffe die sie kennen, sowie Begriffe die zueinander in Beziehung stehen. Also muss auch hier ein Generator verwendet werden um nicht die menschliche Schwäche zu unterbinden.
Es gibt nicht die einzig richtige Lösung. Und die Empfehlung (so random und lang wie möglich) widerspricht der Usability und des sich merken könnens. Lebt damit ¯\_(ツ)_/¯