Ist das ein sicheres Passwort?

5 Antworten

Ist das ein sicheres Passwort?

In der Theorie: Ja.

In der Praxis? Auch Ja, aber mit einem Twist.

Längere Passwörter bedeuten nicht gleich sichere(re) Passwörter.

Jedes zufällig generierte Passwort mit groß-, Kleinbuchstaben, Zahlen und Sonderzeichen ab einer Länge von 16 Zeichen ist bereits nicht mehr von einem Algorithmus in absehbarer Zeit knackbar. Bis zu 32 Zeichen und du kannst davon ausgehen, dass dies auch nicht in den nächsten Jahrzehnten passiert, solange dein Passwort geheim bleibt.

Alles über dieser Länge verspricht also nur einen Pseudo Sicherheitseffekt, der sich nicht mehr in die Praxis übersetzt.

Du bist durch ein Passwort mit über 32 Zeichen sogar insofern benachteiligt, als du, falls du dieses für andere Plattformen verwenden willst, du darin nicht in der Lage bist, da viele Anbieter ein Zeichenlimit setzen.

Außerdem wird es für dich zu last, solltest du dieses Passwort einmal per Hand eingeben müssen.

Klar, im Passwort Manager ist so ein Passwort mit dieser Länge kein Problem. Jedoch gibt es keinen reellen Schutz mehr hinsichtlich der 32 Zeichen.

Ich würde es also bei einer Länge von maximal 32 Zeichen belassen. Wenn überhaupt.

falls du dieses für andere Plattformen verwenden willst

... was man nicht tun sollte, da man nie weiß, wie das Passwort behandelt wird.

Außerdem wird es für dich zu last, solltest du dieses Passwort einmal per Hand eingeben müssen.

Oh ja xD

1

Warum sind da so viele Quasi-Worte?

Wenn ich ein Passwort dieser Länge generieren lasse, sieht das so aus:

5CgWMjGpM5BXfb3mFjBFVv7zg3$vD2S!2W$&8hP$vLHtcqJemzU*hy7oCtjkuHE45MSv2ejoxTCMLkTrwmfmzdGnGN!e

Ansonsten muss das gar nicht so lang sein. Wichtig ist nur, dass man mit gängigen Mechanismen (z.B. Brute-Force) zu keinem Ziel kommt und das ist definitiv gegeben.

Also ja, ist sicher, vorausgesetzt, dein Passwort-Manager ist das auch, weil merken kannst Du dir das nicht und das Passwort ist nur dann wirklich sicher, wenn's auch nur für ein Konto benutzt wird.

ist proton pass sicher?

0
@Arksor

Keine Ahnung, ich benutze Bitwarden, allerdings bei mir Zuhause selber gehostet.

Du kannst dich ja mal ausführlich dazu belesen, wenn es da Sicherheitsbedenken gibt, solltest Du das dann recht schnell finden können.

0

Jaein!

Da sind mir zu viele richtige Wörter enthalten.

Diese Wörter sind in vielen Listen enthalten und könnten in Bruchteilen von Sekunden von einem PC gematcht werden.

Solche Passwörter sind besser:

MHJngf/n%$9KMhHTdf/(8%&/65

Am Ende bringt das tollste Passwort allerdings gar nichts, wenn Du in Deinem Browser einen Addblocker oder andere Apps benutzt, die die richtig Berechtigung einfordern. :D

https://support.mozilla.org/de/kb/berechtigungsdialoge-der-firefox-erweiterungen#w_auf-ihre-daten-fur-alle-websites-zugreifen

Es ist insofern unsicher, dass sich das kein Mensch merken kann und der Anwender es wahrscheinlich irgendwo im klartext hinterlegt

hab einen sicheren passwort manager

mit 2fa

das passwort werde ich natürlich nicht mehr nutzen!

1

Es ist sowieso besser, wenn man sich das Passwort selbst nicht merken kann.

2

Wirklich sichere Passwörter:

https://xkcd.com/936/

Woher ich das weiß:Berufserfahrung – Security Backend - KEIN Pentester! KEIN Kali!

Joa, bis jemand nicht nur nur Buchstaben random durch probiert, sondern Worte, dann ist das ganz plötzlich nicht mehr sicher.

0
@Palladin007

Glaube ich nicht.

Bei Verwendung von 4 beliebigen Wörtern und einem durchschnittlichen aktiven Wortschatz einer Sprache von 1000 Vokabeln (und das ist sehr niedrig gegriffen), reden wir von 10^12 möglichen Kombinationen.

Bei - wie im Comic angedeuteten - 1000 Versuchen/Sekunden sind wir bei 1.000.000.000 Sekunden, was immer noch ca. 385 Jahren entspricht.

Das obige Beispiel war bezogen auf nur ein einziges und verkürztes Vokabular. Verwendest du gemischt Deutsch, Englisch, Spanisch und Schwedisch, dann wird es exponentiell schwieriger.

Sorry, aber ich fühle mich da immer noch sicher. Trotz Rainbow tables (so heisst das übrigens, wenn ganze Wörter probiert werden).

0
@CSANecromancer

Ok, insofern hast Du Recht, das es nicht unsicher ist, allerdings aus einem anderen Grund, der hier ganz außer Acht gelassen wurde: Delays

Ein vernünftiger Login sollte ziemlich langsam sein und vernünftige Hash-Algorithmen sind auch so entworfen, dass sie ziemlich aufwändig zu berechnen sind. Wenn die Website dann noch ein extra Delay ergänzt, rechnest Du nicht mit 1000 Versuchen pro Sekunde, sondern einem Versuch pro Sekunde.

Es gibt aber noch eine ganz andere Gefahr, deren Umfang ich nicht einschätzen kann: Hash-Listen.

Es gibt doch immer wieder Nachrichten, dass von irgendwelchen Portalen Daten geklaut wurden und da werden sicher auch Hash-Listen dabei sein. Und viele Portale wissen vermutlich nicht mal, dass sie beklaut wurden oder werden. Die Hash-Listen alleine dürften ziemlich wertlos sein, aber wenn man die Passwörter dazu "erraten" könnte, dann hätte man plötzlich Portal + Email + Passwort = freien Zugang. Und Du weißt auch nie, wie sicher die Passwörter behandelt werden, ggf. laufen noch ein paar Firmen auf MD5?

Und ich gehe mal davon aus, dass ein moderner Computer weit weit mehr Hashes berechnen kann, als nur 1000 pro Sekunde. Ich habe gerade mal auf meinem PC eine Sekunde MD5 Hashes (ja, unsicher, aber darum geht es nicht) berechnen lassen und hab nach paar Minuten Optimierung über 72 Millionen Hashes erreicht - in nur einer Sekunde. Und das kann man sicher noch deutlich steigern, bei mir wurden nicht mal alle Kerne ausgelastet.

Dazu kommt dann aber auch noch, dass man sich so Wort-Ketten gut merken kann, aber bei 100 Online-Konten wird das plötzlich irgendwann schwieriger und die Mehrfach-Verwendung immer verlockender.

Daher sind Passwortmanager so spannend, da kann man lange und nicht zu erratende Passwörter wiederverwenden, nur eines pro Konto nutzen und bei Bedarf sehr leicht und schnell ein Neues vergeben.

Das + 2FA/MFA ist das Maximum an Sicherheit, was mir derzeit bekannt ist.

0
@Palladin007

Ich gebe dir zwar in locker 90% deines Posts recht, aber ich fürchte, du schiesst gerade über das Ziel hinaus. Dein Post gerade ging über Sicherheit im allgemeinen. Meiner war bzgl. sichere Passwörter und nur dazu.

Ich verwende auch den KeepAssX und kenne die Verwendungsregeln für Passwörter und Logons auch. Aber das war ja weder die Frage noch das Ursprungsthema.

0
@CSANecromancer

Stimmt, da bin ich ggf. etwas abgeschweift :D
Allerdings finde ich das gar nicht mal so falsch.

Wenn ein Benutzer der Meinung ist, es ist sicher, ein paar Worte aneinander zu ketten, dann wird der Benutzer vermutlich nicht auf die Idee kommen, ein Passwortmanager zu benutzen, das Passwort kann man sich doch auch so merken. Und eben diese Nutzer verwenden dann das gleiche Passwort oder nur leicht abgewandelte Formen für mehrere Konten.

Da finde ich es besser, das Bild etwas schwärzer zu malen, als es ist, um damit etwas mehr Angst zu schüren, als nötig, damit etwas mehr Bewusstsein bei den Risiken entsteht.

Ich muss dabei immer an eine Situation von einem früheren Arbeitgeber denken. Eine Ransomware hat es auf unsere Server geschafft (wir waren vorbereitet, der Datenverlust war gering). Eine einzelne Sachbearbeiterin war schuld, weil sie ein Word-Dokument unbedacht geöffnet und Makros erlaubt hat. Mein damaliger Teamleiter ist dann, sobald wir das wussten, in ihr Büro gerannt, mit einem Hechtsprung unter den Tisch (ja, wirklich) und hat den PC vom Strom genommen. Das wäre nicht nötig gewesen (und die Show-Einlage natürlich auch nicht), da wir häufg Backup laufen hatten, aber die Wirkung, die das auf die ganze Belegschaft hatte, die war enorm. Danach wurden wir ständig gefragt, ob diese oder jene Email oder Website vertrauenswürdig ist und niemand hat geklagt, als wird Office-Dokumente und andere Dinge im Email-Server pauschal blockiert haben. Die Kollegen wurden zwar etwas nervig, aber das ist mir lieber, als dass sie unvorsichtig sind.

Was ich damit sagen will:

Beim Thema Sicherheit sind IT affine Menschen selten das Problem. Allen anderen sollte man aber lieber zu viel Angst machen, als zu wenig, denn nur dann fangen sie an, wirklich darauf zu achten, was sie tun.

Und ja, auch das ist etwas am Thema vorbei, ich weiß :D

0
@Palladin007
Wenn ein Benutzer der Meinung ist, es ist sicher, ein paar Worte aneinander zu ketten, dann wird der Benutzer vermutlich nicht auf die Idee kommen, ein Passwortmanager zu benutzen, das Passwort kann man sich doch auch so merken. Und eben diese Nutzer verwenden dann das gleiche Passwort oder nur leicht abgewandelte Formen für mehrere Konten.
Beim Thema Sicherheit sind IT affine Menschen selten das Problem. Allen anderen sollte man aber lieber zu viel Angst machen, als zu wenig, denn nur dann fangen sie an, wirklich darauf zu achten, was sie tun.

Und mit diesen beiden Absätzen haben wir 100% Übereinstimmung und ich kapiere, weswegen du abgeschweift bist.

Ok.

Ich halte xkcds Idee immer noch für brauchbarer als irgendein 6-stelliges simples Passwort. Aber ja: Ein Passwortmanager ist die korrekte Lösung. :)

1