Sicheres Passwort - lang oder kurz?

[say_hello]

hallo u guten Abend

viele sagen e i n sicheres PASSWORT ist notwendig lang - okay soweit so gut.
nun ich hab passworte die sind 30 Zeichen lang.

Die merk ich mir nicht - sondern lass mir durch den Browser helfen.

FRAGE - ist das dann jetzt sicherer - oder nicht.
Vertraut Ihr der Unterstützung durch den Browser denn!?

Oder verwendet Ihr Passwoerter die dann so kurz sind dass ihr die jedes mal tippen koennt - und niemand und nix sie kennt als ihr allllleine....!?

by the way: hab auch noch von den Systemen gehoert.

kpasswd - es ist ein opensource - tool und
dann gibt es da noch einen Online-Dienst

Freue mich von Euch zu hoeren.

VG

 

[copy&paste]

Hallo
Schau dir doch mal KeePass (für den PC) und eine der Apps für Android an. Damit hast du eine gute Kombination um systemübergreifend deine PW verwalten zu können. Solltest du auf dem PC auch noch mit Firefox surfen, kannst du mit Hilfe eines Addons auf die Datenbank von Keepass zugreifen.
Intern verfügt Keepass über die Möglichkeit PW nach verschiedenen Parametern erstellen zu können.

 

[fleischmuetz]

Moinsen

Das schöne bei KeePass ist auch, dass man die .kdbx Datei auch in der Cloud ablegen kann und somit von allen Geräten drauf zugreifen kann. Ich nutze es auch und es ist sowohl am PC als auch am Handy/Tablet absolut problemlos.

 

[Zedge]

Sicher wird ein Passwort ja vor allem dadurch, dass es eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ist.

Ich persönlich nehme mir immer einen Spiele-Key oder Windowskey.

Natürlich habe ich NUR Original-Spiele usw.

In der Regel hat man Blöcke aus 4 - 5 Kombinationen. Sonderzeichen enthalten diese in der Regel jedoch nicht.

Das Gute ist: Die Keys habe ich greifbar, wenn ich nachschauen will und nur ich weiß, welchen Key ich aktuell als Passwort nutze und wie viele Blöcke. Ob die ersten 3 oder die letzten 2.

Beispiel:

http://static.4players.de/premium/ContentImage/95/c4/95863-bild.png

Hier kann man zB nehmen;

1111222223333

oder

JLPRST23

Wichtig ist, dass man das Passwort die erste Zeit immer von Hand eingibt, nicht speichert, denn dann prägt es sich ein und man ist auch in der Lage, wenn man den Key nicht anhand hat, sich zu erinnern. Bei mir reicht da ein Tag aus.

Von Passwörtern in einer Cloud halte ich Nullkommagarnix! Selbst auf meinem PC würde ich keine Datei mit Passwörtern speichern.

 

[fax666]

Sicher wird ein Passwort ja vor allem dadurch, dass es eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ist.

Nein, Länge ist viel entscheidender. Ein Passwort mit z.B. 8 Buchstaben und Zahlen hat (26 + 26 + 10)^8 = 62^8 mögliche Varianten. Mit jeder extra Stelle erweitert sich der Raum an möglichen Passwörtern um den Faktor 62. Wenn wir stattdessen die 8 Stellen beibehalten und noch ein Sonderzeichen erlauben, erweitert sich der Raum an möglichen Passwörtern um den Faktor 63^8 / 62^8 ~= 1,14. Wenn wir 32 Sonderzeichen erlauben, dann ist das immer noch nur ein Faktor von 94^8 / 62^8 ~= 27,9.

Wichtig ist, dass man das Passwort die erste Zeit immer von Hand eingibt, nicht speichert, denn dann prägt es sich ein und man ist auch in der Lage, wenn man den Key nicht anhand hat, sich zu erinnern. Bei mir reicht da ein Tag aus.

Von Passwörtern in einer Cloud halte ich Nullkommagarnix! Selbst auf meinem PC würde ich keine Datei mit Passwörtern speichern.

Ich habe weit über 200 Passwörter in meinem Passwortmanager. Wie willst du das bitte ohne Computer verwalten? Ich verwende halt für den Passwortmanager ein ziemlich langes Passwort und das ist das einzige, das man sich einprägen muss. Ich bin auch kein Freund der Cloud, aber es gibt durchaus Methoden, Passwörter in der Cloud so zu speichern, dass niemand ohne das Hauptpasswort die Passwörter knacken kann. Bessere Passwortmanager erlauben auch z.B. Zwei-Faktor Authentifizierung oder OTP.

Es gibt übrigens mehrere Tricks, wie man sich längere Passwörter gut merken kann. Man kann z.B. selbst einen Satz ausdenken oder sich aus einem beliebigen Buch im Regal einen Satz raussuchen und die ersten Buchstaben zu einem Passwort zusammensetzen. Aus z.B. "Das ist ein langer Satz, der sich nicht so einfach erraten lässt." wird dann "DielS,dsnseel." Das ist immerhin schon Länge 14, was für die meisten praktischen Anwendungen ausreichen sollte.

 

[fleischmuetz]

Ich bin auch kein Freund der Cloud, aber es gibt durchaus Methoden, Passwörter in der Cloud so zu speichern, dass niemand ohne das Hauptpasswort die Passwörter knacken kann. Bessere Passwortmanager erlauben auch z.B. Zwei-Faktor Authentifizierung oder OTP.

.

Die .kdbx Datei an sich ist ja verschlüsselt, auch wenn sie in der Cloud liegt, und kann nur mit dem Hauptpasswort entsperrt werden. Eine 2-Faktor Autentifizierung ist natürlich immer sicherer, aber im Großen und ganzen ist die .kdbx Datei mit einem entsprechenden Passwort sicher.

 

[Zedge]

Ich kann nur von mir persönlich sprechen und ich mag keine Cloud-Speicher. An irgendwelchen doppelten Sicherungsmechanismen hab ich kein Interesse, wenn es aufwendig für mich ist dann lieber nicht. Ansonsten hab ich auch keine wichtigen Dinge, die ich da reinstecken könnte. Hab noch ein Volumen von 1 GB ungenutzt von meiner Arbeit, weil ich einfach nicht wüsste, was ich zwischenlagern sollte und wozu. Wie gesagt, ich spreche nur von mir. Jeder setzt seine Prioritäten anders, das ist mir bewusst.

Warum pflaumst Du mich so an fax?! Wenn Du 200 Passwörter im Manager hast und zufrieden ist ist ja alles im Lot.

Ich persönlich bin auf vielleicht 5 Websites angemeldet, mein Provider bietet mir meine E-Mailadresse, mehr brauche ich nicht. Da komme ich nicht auf 200 Passwörter. Zusammen mit meinem PC also auf +1 Passwort. DIE kann ich mir ganz gut merken. Das war alles neutral geschildert und eine Empfehlung, eben kein Passwort aus dem Wörterbuch, den Namen seiner Freundin + Geburtsdadum zu nehmen.

Über die Länge habe ich keinen Pieps verloren, das Thema habe ich absichtlich nicht angesprochen, weil es jedem selbst obliegt, die Länge zu wählen. DASS es kein klassisches Passwort ist (da gibt es ja auch genug) erschien mir hier wichtiger, als der Hinweis, da sich der Threadersteller nämlich über die Länge bereits selbst Gedanken gemacht hat, vermute ich aus dem Eingangspost. Daher wollte ich etwas neues ansprechen.

Ich bin hier raus aus dem Thread. Bitte keine Zitate. Danke.

 

[fax666]

Entschuldigung, dass ich entgegen deinem Wunsch weiter zitiere, aber ich bin auch in diesem Forum, um etwas zu lernen und vielleicht hat ja noch ein anderer Mitleser interessante Argumente.

Ich kann nur von mir persönlich sprechen und ich mag keine Cloud-Speicher. An irgendwelchen doppelten Sicherungsmechanismen hab ich kein Interesse, wenn es aufwendig für mich ist dann lieber nicht.

Der einzige Grund, warum ich und vermutlich viele andere die Passwörter in irgendeiner Art Cloud haben, ist die Verwendung vieler Passwörter auf mehr als einem Gerät, z.B. PC und Smartphone.

Warum pflaumst Du mich so an fax?!

Das war nicht die Absicht. Ich habe nur versucht, auf für meinen Anwendungsfall irreführende Aussagen hinzuweisen.

Ich persönlich bin auf vielleicht 5 Websites angemeldet, mein Provider bietet mir meine E-Mailadresse, mehr brauche ich nicht.

OK, in diesem Fall gibt es übrigens auch noch eine ganz gute Methode, um sich lange Passwörter einprägen zu können. Man denkt sich eine Zeichenfolge aus, die man immer verwendet, und daran hängt man z.B. die Webadresse. Also z.B. für Amazon akn234THWEasdamazon.de und für T-Online akn234THWEasdt-online.de. Theoretisch kann natürlich ein Angreifer, der diese Methode kennt, sich auf die kürzere gleichbleibende Zeichenfolge einschießen, aber in der Praxis sind die meisten Angreifer nur an den mit möglichst wenig Aufwand zu ermittelnden Daten interessiert, weil sich der Zeitaufwand für den Rest finanziell nicht lohnt.

Über die Länge habe ich keinen Pieps verloren, das Thema habe ich absichtlich nicht angesprochen

Nur um das nochmal ganz deutlich zu machen - für die Sicherheit eines Passwortes ist es nicht relevant, ob es aus Zahlen, Buchstaben und Sonderzeichen besteht. Solange eine vernünftige Anzahl an möglichen Zeichen vorhanden ist und die Abfolge der Zeichen hinreichend zufällig ist, ist alleine die Länge des Passworts für die Sicherheit entscheidend.

 

[TimeTurn]

Ich nutze da den alten aber effektiven "Satz"-Trick.

Bau Dir einen Satz zusammen, nimm dann von jedem Wort den Anfangsbuchstaben (inkl. Groß/Kleinschreibung), bau da irgendwie ne Zahl ein, wie etwa 1 für ein oder 2fel für zweifel oder sowas in der Art und häng ein Sonderzeichen wie ! oder # dahinter. Fertig ist ein sicheres Passwort, das man sich auch merken kann. Bau dazu noch die Anfangsbuchstaben des Dienstes ein, für den das Kennwort ist, dann haste für jeden Dienst ein eigenes Kennwort, das man sich leicht wieder rekonsturieren kann.

Der Satz darf nur nicht zu kurz oder zu lang sein - peil mal so 10-12 Wörter an. Mit der Zahl und dem Sonderzeichen sollte das passen.

 

[markus.tullius]

@fax666 hat es eigentlich gut zusammen gefasst.

Lange Passworte!!! Je länger desto besser.

(Und für alle alle Entwickler keine Regeln für das Passwort vorschreiben)

Und der Grund dafür ist recht einfach:
Als Angreifer probiere ich einfach alle Passwörter aus (6 Zeichen, dass erledigt der PC beim Kaffee kochen).
Und es gibt im Netz Tabellen für bekannte Passwörter (Da stehen zum Teil auch Sätze nur aus Anfangsbuchstaben)

Man sollte auch den User keine Regeln vorschreiben (Jede Regel begrenzt die Anzahl der Möglichkeiten. Und machen meisten keinen Sinn. Beispiel: 1 Buchstaben groß, eine Zahl: Wahrscheinlich steht dann dort: "Passwort1234" statt "passwort")

 

[Aaskereija]

Lang oder kurz macht eigentlich keinen Unterschied. Es muss komplex sein. Zahl, Buchstabe (klein und groß), Sonderzeichen. Selbst wenn das Passwort nur diese 4 Stellen hätte, gäbe es unzähliche Kombinationsmöglichkeiten, speziell beim Sonderzeichen. Und ja, es macht einen unterschied ob ein Buchstabe klein oder groß geschrieben wird.

Als Angreifer probiere ich einfach alle Passwörter aus (6 Zeichen, dass erledigt der PC beim Kaffee kochen).

Es gab mal eine Doku (2004) über das PW-Hacken und in dem Beispiel-Szenario brauchte der PC für ein Passwort mit 6 stellen das aus Zahlen und Buchstaben bestand fast eine Woche. Das Passwort lautete: "test01"

 

[markus.tullius]

Ja, damals, da war die Welt noch in Ordnung.

Heute geht es leider ein bisschen schneller.
Bei 6 Zeichen (mit Sonderzeichen) waren es 2009 nur noch 3,4 s. Die größten Irrtümer: Ein Passwort mit 6 Zeichen ist sicher

Gut Kaffee kochen funktioniert nicht. Dafür bin ich zu langsam.

Und das ist nur die Hälfte der Medaille. Beim Passwort- Übertragung zwischen Server und Client wird aktuell häufig noch MD5 Hash verwendet. Ein guter Gaming PC schafft ungefähr 234,000,000,000,000,000 Hashes pro Sekunde. Die Lösungen werden in Tabellen gespeichert, mit Millionen von verwendeten Passwörtern.
LinkedIn-Hack: 117 Millionen Passwort-Hashes zum Download aufgetaucht

 

[fax666]

Lang oder kurz macht eigentlich keinen Unterschied. Es muss komplex sein.

Das ist so pauschal falsch. Rechne es mal selbst nach. Die Vorgehensweise findest du hier: sicheres passwort - lang oder kurz

Es gab mal eine Doku (2004) über das PW-Hacken und in dem Beispiel-Szenario brauchte der PC für ein Passwort mit 6 stellen das aus Zahlen und Buchstaben bestand fast eine Woche. Das Passwort lautete: "test01"

Ja, damals, da war die Welt noch in Ordnung.

Heute geht es leider ein bisschen schneller.
Bei 6 Zeichen (mit Sonderzeichen) waren es 2009 nur noch 3,4 s. Die größten Irrtümer: Ein Passwort mit 6 Zeichen ist sicher

Für so einfache Passwörter geht man normalerweise erst mal mit einer Wörterbuchattacke ran. Die dauert evtl. ein bisschen länger aber hat nicht so hohen Speicherbedarf und man muss den Passworthash nicht vorliegen haben.

Und das ist nur die Hälfte der Medaille. Beim Passwort- Übertragung zwischen Server und Client wird aktuell häufig noch MD5 Hash verwendet. Ein guter Gaming PC schafft ungefähr 234,000,000,000,000,000 Hashes pro Sekunde. Die Lösungen werden in Tabellen gespeichert, mit Millionen von verwendeten Passwörtern.
LinkedIn-Hack: 117 Millionen Passwort-Hashes zum Download aufgetaucht

Ab 10 Stellen passt so eine Tabelle auf keinen Speicher der Welt mehr. Und wenn der Hash gesalzen wurde, helfen Tabellen auch kaum. Abgesehen davon ist MD5 seit ein paar Jahren nicht mehr sicher und mit einer billigen Grafikkarte kann man innerhalb weniger Stunden ein Passwort finden, das den gesuchten Hashwert ergibt.

 

[ebookfun]

Also ich nutze auch keine Speichermechanismen vom Browser. Stattdessen halte ich mich auch an die "Satz-Variante".
Ich denk mir einen kurzen-mittellangen Satz aus, der am besten Sonderzeichen oder Zahlen erhält.
In der Regel funktioniert das sehr gut.
Werde mir aber auch mal die vorgeschlagenen Apps anschauen.

 

[garak]

Was sehr gut funktioniert, man hat ein Standard-Wort und verknüpft es mit der Seite, für die man das Passwort benötigt. Das kann man sich recht gut merken, ist immer unterschiedlich und trotzdem nicht zu unsicher. Ein kleines Beispiel:

Standardwort: "Hinkelstein" daraus machen wir "H1nk3lst31n".

Nach ein paar mal üben, gibt man das auf jeder Tastatur flüssig ein. Benötigt man jetzt ein Passwort für diese Seite, setzt man eine Seitenkombi voran, getrennt durch bspw. ein Komma.

Seite: "Android-Hilfe" daraus machen wir "A-H"

Zum Schluss noch ein oder zwei Sonderzeichen und fertig ist ein gut zu merkendes Passwort.

Sonderzeichen: "??"

Das Passwort für Android-Hilfe lautet nach diesem Muster dann "A-H,H1nk3lst31n??". Das sind 17 Zeichen, die man sich gut merken und fast blind tippen kann.

 

[say_hello]

HALLO U: guten abend - danke

ihr seid sehr sehr hilfeich - gelernt hab ich
- über keepass zu lesen - das jetztauch mal auszuprobieren.
- ein langes Passwort zu waehlen

Frage: lasst ihr das denn dann im Browser gespeichert?! Das ist mir sehr sehr wichtig - soll ich das denn im Browser speichern oder nicht!?

 

[TimeTurn]

Ich für meinen Teil mache das so, ja.

 

[fax666]

Auf dem Desktop verwende ich das Passifox Plugin, d.h. die Passwörter landen direkt in KeePass. Auf dem Smartphone lasse ich sie aus Bequemlichkeit im Browser speichern, nachdem ich beim ersten Mal das Passwort aus Keepass2Android rauskopiert habe. Wer ein bisschen mehr Sicherheit will, kann sich ja, zumindest im Firefox, ein Passwort für den Passwortspeicher einrichten.

 

[copy&paste]

lasst ihr das denn dann im Browser gespeichert?! Das ist mir sehr sehr wichtig - soll ich das denn im Browser speichern oder nicht!?

Wenn du Firefox nutzt und du deinen Rechner nicht allein nutzt bzw. andere potentiell Zugang haben könnten und du kein Masterpasswort gesetzt hast, dann kann sich durch kopieren von zwei Dateien (theoretisch) so ziemlich jeder deiner Onlinezugänge bemächtigen. Es gibt also ein gewisses Risiko. Noch sicherer sollte es sein, auch die Passworte von Firefox durch Keepass verwalten zu lassen. Z.B. mit Hilfe von Keefox