Ich hab die Idee quasi von xkcd. Und von einem Video über Passwortsicherheit.
Password Choice - Computerphile
How do you pick the perfect password? Is it as simple as XKCD make out, or is there more to it? Dr Mike Pound follows on from his password cracking video. Pa...
Der Artikel listet halt auch keine random word phrases sondern Dinge wie 'Bandgeek1234 und iloveyousomuch als Bespiele warum random words nicht gut sind... das ein gscheites Programm eher iloveyousomuch weil sprachlich sinnvoll probiert als icouchdefinitionbridgeeagle ist natuerlich klar...
Dieses Experts haben 90% encrypten koennen fusst auf einer md5 verschluesselten list - ich hab mir den spass mal gemacht nach einem EA Leak vor Jahren - man kommt in 5min auf knappe 50% nur mit den top10 der beliebtesten Passwoerter einem md5er und der search function in notepad++ ohne irgendwelchen spezialtools oder gpu-rechnereien, also net wirklich so scary wie es der Artiekl beschreibt...
Ich habe gestern und heute mehr über das Thema gelesen, weil ich offensichtlich eine Lücke hatte. Obwohl ich ein Fan von Bruce Schneier bin - einer seiner Algorithmen befindet sich im Kernel-Code von GPUPI -, ist dieser Ratschlag etwas unglücklich formuliert. Er baut nämlich darauf auf, dass es etwas Schlechtes ist, wenn der Angreifer weiß, wie das Passwort zustande gekommen ist. Das sollte allerdings meiner Meinung nach nicht den Maßstab für die Sicherheit eines Passworts setzen. Früher oder später wird jede verbreitete Methode nach ihren mathematischen Schwachstellen durchsucht und in einen Cracking-Algorithmus verwandelt. Die Schneier-Methode mit den Anfangsbuchstaben eines Satzes hat definitiv auch ihre Schwächen, weil englische Grammatik und gewisse Wörter, speziell Verben, auch vorhersehbar sind. Außerdem ist ein Satz aus zehn oder mehr Worten auch nicht gerade leicht zu merken.
Die XKCD-Methode ist also durchaus noch gültig, aber sie wird durch das Comic leider falsch angewandt. Die gewählten Wörter sollten nämlich nicht selbst ausgewählt werden, weil das dann alles andere als zufällig ist.
Das Problem ist, dass so ein Vorgehen - wie so viele andere Dinge auch - ein gewisses Maß an Disziplin erfordert. Das kann vom Standard-User erfahrungsgemäß leider nicht erwartet werden: Convenience rules supreme. Kein Standard-User wählt vier zufällig gewählte Wörter aus einem Wörterbuch aus, wenn dabei beispielsweise "akzessorisch Übertragungsleitung Steinschütte Harmetallbohrer" herauskommt (das war gerade ein aktuelles, zufälliges Ergebnis der Random-Suche hier). Weiters lässt sich über die zufällige Auswahl streiten, die mit Sicherheit nicht zufällig ist (wie du ja auch schon richtig sagst), wenn das dem User selbst überlassen ist. Kein Standard-User will mehrere Programme verwenden oder zur Passwortwahl auf Würfel, Karten oder Münzen zurückgreifen.
Ebenfalls problematisch in Randall Munroes Comic ist die Tatsache, dass viele Passwort-Richtlinien auf einem Template basieren, dass den ersten Ansatz verfolgt, also "mindestens 8 Zeichen, mindestens zwei Ziffern, mindestens ein Sonderzeichen, mindestens zwei Großbuchstaben, etc." und dieses Passwort auch noch alle drei Monate geändert werden muss, wobei sich die Passwörter signifikant unterscheiden müssen und die letzten fünf Passwörter unterschiedlich sein müssen. Besonders toll ist es dann auch, wenn die maximale Passwortlänge auf eine niedrige Anzahl beschränkt ist.
Ich will damit weder das unglücklich benannte "Schneier scheme" loben (das sehe ich auch als Selbstbeweihräucherung), noch das Grundprinzip verurteilen; je mehr Entropie desto besser. Nur bin ich auch der Meinung, dass selbst jetzt, nach so vielen großen Leaks/Hacks und in einer Post-Snowden-Ära, das Sicherheitsbewusstsein des Normalbürgers zu wenig ausgeprägt ist, als dass das Comic allgemein umsetzbar wäre.
Besonders toll ist es dann auch, wenn die maximale Passwortlänge auf eine niedrige Anzahl beschränkt ist.
Was besonders grossartig ist wenn man einen Passwortmanager verwendet und ein zu langes Passwort festlegt und das einfach gecropt wird ohne Meldung - ganz herrlich wenn dann beim Login 2Minuten spaeter das gepastete Password nicht geht
Zitat von JC
Nur bin ich auch der Meinung, dass selbst jetzt, nach so vielen großen Leaks/Hacks und in einer Post-Snowden-Ära, das Sicherheitsbewusstsein des Normalbürgers zu wenig ausgeprägt ist, als dass das Comic allgemein umsetzbar wäre.
Wird sich auch nicht grossartig aendern, da kriegen wir noch eher ueberal Fingerprintsensoren als sinnvolle Passwoerter. Und selbst dann wird man sudern das es zuviel Arbeit is anderen Leuten guest-access oder so zu geben
eitschpi
alpakaflüsterer
Registered: Dec 2004
Location: eierbärhausen
Posts: 4386
Passwortzeichenbegrenzungen find ich jetzt nicht sooo schlimm. Ärger sind Dinge wie z.B., dass die ersten fünf Zeichen Zahlen sein müssen oder keine Sonderzeichen verwendet werden dürfen.
Ich hab mit fail-passwords wegen der forderungen (Großbuchstabe, zahl, länge) wieder angefangen bei einigen accounts. Zuvor hatte ich diverse zeichenketten. Aber alles ohne Großbuchstaben.
Inzwischen kommt das passwd für zb. Paypal aus dem manager. Dafür kann ich jetzt ohne manager nicht mehr rein. Und einmal hatte mein sohn das passwd in nem chat geposted, weils vom manager noch in der zwischenablage war.
Keepass: Kopierst du das PW mittels Doppelklick ausm Manager löscht er dies binnen 12 (defaultwert) wieder aus der Zwischenablage.
Das lastpass/1password (weiß nicht mehr was du zu Hause verwendest) dies nicht machen verwundert mich nun.
Bei KeePass gäbs dann auch noch das Auto Type Feature, hier definierst du einmal wie KeePass die Website/Applikation zu behandeln hat und mittels Tastendruck kopiert er dir die Credentials ins jeweilige Fenster, loggt sicht ein und man hat nichtmal den Manager geöffnet.
Ich verwende KeePassXC welches KeePassHttp eingebaut hat. Für chromium ChromeIPass extension und das funktioniert problemlos. Dann muss auch nichts in die Zwischenablage kopiert werden und Passwörter werden automatisch bei der registration generiert und gespeichert.
detailiert zu meinem 'vorfall': ich hab täglich in der firma mit 1password zu tun. da hatte ich noch nie probiert was passiert, wenn ich auf pw-kopieren klicke, ob es dann in der zwischenablage landet und wie lange es dort bleibt.
bei lastpass ist es nun nur aufgefallen, weil mein sohn strg+c kennt.
Anmeldung