Passwort Management - Sinn/Unsinn & Empfehlungen - Forum - Page 52

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50478

28.01.2023 - 11:37

Zitat aus einem Post von COLOSSUS
Das imho Vernuenftigste/Sicherste ist die Kombination eines strikt lokal arbeitenden, stark verschluesselnden Passwortmanagers (z. B. Software, die das KDBX-Format versteht) mit einem davon unabhaengigen Synchronisationsmechanismus (z. B. Syncthing) zum Verteilen auf die Endpunkte. Ist fuer manche Leute vielleicht nicht komfortabel genug im Vergleich zu LastPass und Co., aber die haben dann halt mal alle paar Jahre den ***** offen mit Sorgen, ob die geilen Werbeversprechen der Lieferanten (und Subsubsublieferanten) ihrer Software und Dienstleistung wirklich 100%ig fuer bare Muenze zu nehmen sind.

Ich muss diesen wichtigen Absatz gleich nochmals zitieren um euch über ein Selfhosted KeeWeb https://keeweb.info/ zu befragen.
Das ist einfach zu benutzender Webservice der mit der KeePass Datenbank umgehen kann.

Widerspricht zwar genau dem von Colo geschriebenen (strikt lokal, Trennung von Passwort DB und Synchronisations-Mechanismus) aber ist für wohl simpler in der Anwendung

sk/\r

i never asked for this

Registered: Dec 2002
Location: oö
Posts: 11057

28.01.2023 - 11:41

Zitat aus einem Post von enjoy
imho ist nicht der "Kauderwelsch" der Garant für die Sicherheit eines Passworts, sondern die Länge.
Um zu Verhindern, dass ein Mensch ein Passwort knackt, ist so ein Kauderwelsch gut geeignet, einen Computer ist egal welches Zeichen da steht.

Natürlich sollten es nicht "zusammenpassende" Wörter/Sätze sein, um eine Wörterbuchattacke nicht zu erleichtern

siehe auch https://xkcd.com/936/

bzw. die Tipps von Heise hier https://www.heise.de/ratgeber/Secur...ts-4886755.html

sind imho gut - was hilft dir das beste Passwort der Welt, wenn die Eingabe so umständlich ist und es deshalb nicht verwendet wird?

ja. natürlich ist auch die länge extrem wichtig.
ich orientier mich da eben an passwortcheck.ch.
15 zeichen (ohne eindeutige wörter) = ein paar millionen jahre entschlüsselung via bruteforce.

Master99

verträumter realist

Registered: Jul 2001
Location: vie/grz
Posts: 12696

28.01.2023 - 11:49

ist eine random abfolge wirklich sicherer als eine (lang genuge) mehrwortige passphrase?

ist ja nicht so das der angreifer bei einer bruteforce dann feedback bekommt a la ‘toll das erste wort hast du bereits erraten’

wörterbuchattacke demnach auch nicht sinnvoll.

Earthshaker

Here to stay

Registered: Dec 2002
Location: .de
Posts: 9113

28.01.2023 - 12:00

Ich finds ja erschreckend wieviele Webseiten gar kein komplexes Passwort akzeptieren.
Wie du hast mehr als 12 Stellen und Sonderzeichen? Wtf hau ab

eitschpi

epidämlichologe

Registered: Dec 2004
Location: eierbärhausen
Posts: 4389

28.01.2023 - 12:05

"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

b_d

Registered: Jul 2002
Location: 0x3FC
Posts: 10605

28.01.2023 - 14:34

absolut, lächerliche password policy enforcements und NOCH schlimmer, expirations, sind lustigerweise grad im b2b segment fast standard :rolleyes:

watercool

Vereinsmitglied
BYOB

Registered: Jan 2003
Location: -
Posts: 5966

28.01.2023 - 17:37

Zitat aus einem Post von eitschpi
"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf.

Ist/war bei der Easybank und BA so...

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50478

28.01.2023 - 17:37

Zitat aus einem Post von eitschpi
"Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"

Hab gestern einige Accounts bei netcup erstellt und genau dass wiederfahren. Leider stehen nirgends die erlaubten bzw verbotenen Zeichen.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2568

28.01.2023 - 18:20

Zitat aus einem Post von watercool
da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf.

Ist/war bei der Easybank und BA so...

Am meisten bei der BA stört mich, dass deren tolle App das Pasten von Passwörtern nicht unterstützt. Wollen sie deren Kunden dazu motivieren möglichst schwache Passwörter zu verwenden? :mad:

edit: Den Unterschied zwischen einem PIN und einem Passwort kennen sie ja auch nicht. In der App wird nach dem PIN gefragt während das Passwort gemeint ist :rolleyes:

Ob es noch immer erforderlich ist, dass nach den 8 Stellen nur alphanumerische Zeichen folgen weiß ich nicht. Aber der String darf zumindest über 16 Zeichen lang sein.

Bearbeitet von schizo am 28.01.2023, 18:26

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3571

28.01.2023 - 18:22

Ich bin mittlerweile schon länger von der BA weg, aber machts noch immer einen Unterschied, was man nach den 8 Zahlen eingibt? Als auf das umgestellt wurde, konntest du danach eingeben, was du willst...

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

28.01.2023 - 18:26

Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop Software für das Business Banking).
Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs).

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2568

28.01.2023 - 18:30

Zitat aus einem Post von ccr
Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop App für das Business Banking).
Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs).

Wenn die BA aber User dazu mittlerweile zwingt eine App zu installieren, über welche sie Onlinebanking betreiben können hebelt die BA von sich aus schön fleißig das 2FA Prinzip aus. Und die Option, dass einem das Smartphone entwendet wird gibts auch. Dazu zu animieren möglichst schwache Passwörter zu verwenden halte ich auch für fahrlässig.

ccr

Registered: Jul 2001
Location: am Dach
Posts: 5865

28.01.2023 - 18:40

Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden.
Man benötigt also:
- Verfüger
- Passwort
- PIN für das Smartphone (oder Kopf oder Finger des Besitzer)
- Code für die BA App (oder Finger des Besitzers)

Und dann ist man erst einmal nur eingeloggt.

Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal.

Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2568

28.01.2023 - 19:01

Zitat aus einem Post von ccr
Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden.
Man benötigt also:
- Verfüger
- Passwort
- PIN für das Smartphone (oder Kopf oder Finger des Besitzer)
- Code für die BA App (oder Finger des Besitzers)

Und dann ist man erst einmal nur eingeloggt.

Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal.

Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort

Verfüger+Passwort sind des öfteren im Browser gespeichert
PIN für das Smartphone entfällt wenn eine tolle Wischgeste gewählt wird, die mit Hilfe von Fett + Lichteinfall ziemlich leicht herausgefunden werden kann.
Und der Code für die BA App kann ja laut deiner Aussage eh trivial sein, denn es gibt ja 2FA!

Aber ja, dass von der BA selbst die 2FA ausgehebelt wird habe ich in meinem letzten Posting erwähnt.

smashIt

master of disaster

Registered: Feb 2004
Location: OÖ
Posts: 5285

28.01.2023 - 19:07

Zitat aus einem Post von ccr
Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden

heißt das dann nicht auch, dass die ba das passwort im klartext speichert?
das wäre doch ein noch größerer fail...

Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50478	28.01.2023 - 11:37 Zitat aus einem Post von COLOSSUS Das imho Vernuenftigste/Sicherste ist die Kombination eines strikt lokal arbeitenden, stark verschluesselnden Passwortmanagers (z. B. Software, die das KDBX-Format versteht) mit einem davon unabhaengigen Synchronisationsmechanismus (z. B. Syncthing) zum Verteilen auf die Endpunkte. Ist fuer manche Leute vielleicht nicht komfortabel genug im Vergleich zu LastPass und Co., aber die haben dann halt mal alle paar Jahre den ***** offen mit Sorgen, ob die geilen Werbeversprechen der Lieferanten (und Subsubsublieferanten) ihrer Software und Dienstleistung wirklich 100%ig fuer bare Muenze zu nehmen sind. Ich muss diesen wichtigen Absatz gleich nochmals zitieren um euch über ein Selfhosted KeeWeb https://keeweb.info/ zu befragen. Das ist einfach zu benutzender Webservice der mit der KeePass Datenbank umgehen kann. Widerspricht zwar genau dem von Colo geschriebenen (strikt lokal, Trennung von Passwort DB und Synchronisations-Mechanismus) aber ist für wohl simpler in der Anwendung
sk/\r i never asked for this Registered: Dec 2002 Location: oö Posts: 11057	28.01.2023 - 11:41 Zitat aus einem Post von enjoy imho ist nicht der "Kauderwelsch" der Garant für die Sicherheit eines Passworts, sondern die Länge. Um zu Verhindern, dass ein Mensch ein Passwort knackt, ist so ein Kauderwelsch gut geeignet, einen Computer ist egal welches Zeichen da steht. Natürlich sollten es nicht "zusammenpassende" Wörter/Sätze sein, um eine Wörterbuchattacke nicht zu erleichtern siehe auch https://xkcd.com/936/ bzw. die Tipps von Heise hier https://www.heise.de/ratgeber/Secur...ts-4886755.html sind imho gut - was hilft dir das beste Passwort der Welt, wenn die Eingabe so umständlich ist und es deshalb nicht verwendet wird? ja. natürlich ist auch die länge extrem wichtig. ich orientier mich da eben an passwortcheck.ch. 15 zeichen (ohne eindeutige wörter) = ein paar millionen jahre entschlüsselung via bruteforce.
Master99 verträumter realist Registered: Jul 2001 Location: vie/grz Posts: 12696	28.01.2023 - 11:49 ist eine random abfolge wirklich sicherer als eine (lang genuge) mehrwortige passphrase? ist ja nicht so das der angreifer bei einer bruteforce dann feedback bekommt a la ‘toll das erste wort hast du bereits erraten’ wörterbuchattacke demnach auch nicht sinnvoll.
Earthshaker Here to stay Registered: Dec 2002 Location: .de Posts: 9113	28.01.2023 - 12:00 Ich finds ja erschreckend wieviele Webseiten gar kein komplexes Passwort akzeptieren. Wie du hast mehr als 12 Stellen und Sonderzeichen? Wtf hau ab
eitschpi epidämlichologe Registered: Dec 2004 Location: eierbärhausen Posts: 4389	28.01.2023 - 12:05 "Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!"
b_d © Natural Ignorance (NI) Registered: Jul 2002 Location: 0x3FC Posts: 10605	28.01.2023 - 14:34 absolut, lächerliche password policy enforcements und NOCH schlimmer, expirations, sind lustigerweise grad im b2b segment fast standard
watercool Vereinsmitglied BYOB Registered: Jan 2003 Location: - Posts: 5966	28.01.2023 - 17:37 Zitat aus einem Post von eitschpi "Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!" da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf. Ist/war bei der Easybank und BA so...
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50478	28.01.2023 - 17:37 Zitat aus einem Post von eitschpi "Sonderzeichen, ja gerne. ABER DOCH NICHT DIESES!" Hab gestern einige Accounts bei netcup erstellt und genau dass wiederfahren. Leider stehen nirgends die erlaubten bzw verbotenen Zeichen.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2568	28.01.2023 - 18:20 Zitat aus einem Post von watercool da find ich viele Banken echt oag. So "zwischen 8 und 16 zeichen, aber die ersten 6 MÜSSEN eine Zahl sein". Und wennst _ oder - verwenden willst gehts auch ned. Like wtf. Ist/war bei der Easybank und BA so... Am meisten bei der BA stört mich, dass deren tolle App das Pasten von Passwörtern nicht unterstützt. Wollen sie deren Kunden dazu motivieren möglichst schwache Passwörter zu verwenden? edit: Den Unterschied zwischen einem PIN und einem Passwort kennen sie ja auch nicht. In der App wird nach dem PIN gefragt während das Passwort gemeint ist Ob es noch immer erforderlich ist, dass nach den 8 Stellen nur alphanumerische Zeichen folgen weiß ich nicht. Aber der String darf zumindest über 16 Zeichen lang sein. Bearbeitet von schizo am 28.01.2023, 18:26
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3571	28.01.2023 - 18:22 Ich bin mittlerweile schon länger von der BA weg, aber machts noch immer einen Unterschied, was man nach den 8 Zahlen eingibt? Als auf das umgestellt wurde, konntest du danach eingeben, was du willst...
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	28.01.2023 - 18:26 Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop Software für das Business Banking). Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs).
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2568	28.01.2023 - 18:30 Zitat aus einem Post von ccr Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden (zB in der Desktop App für das Business Banking). Da aber eh 2FA vorgeschrieben ist, muss man da IMHO auch nicht mit Zwang das komplizierteste Passwort wählen (Sonderzeichen sind gar keine vorgeschrieben, es ginge also 12345sechs). Wenn die BA aber User dazu mittlerweile zwingt eine App zu installieren, über welche sie Onlinebanking betreiben können hebelt die BA von sich aus schön fleißig das 2FA Prinzip aus. Und die Option, dass einem das Smartphone entwendet wird gibts auch. Dazu zu animieren möglichst schwache Passwörter zu verwenden halte ich auch für fahrlässig.
ccr Registered: Jul 2001 Location: am Dach Posts: 5865	28.01.2023 - 18:40 Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden. Man benötigt also: - Verfüger - Passwort - PIN für das Smartphone (oder Kopf oder Finger des Besitzer) - Code für die BA App (oder Finger des Besitzers) Und dann ist man erst einmal nur eingeloggt. Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal. Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2568	28.01.2023 - 19:01 Zitat aus einem Post von ccr Der Login ins Onlinebanking muss am entsperrten Smartphone freigegeben werden. Man benötigt also: - Verfüger - Passwort - PIN für das Smartphone (oder Kopf oder Finger des Besitzer) - Code für die BA App (oder Finger des Besitzers) Und dann ist man erst einmal nur eingeloggt. Ob da das Passwort 12345sechs oder 94361#%a/jrKL& ist, ist für die Sicherheit völlig egal. Und sowieso ist der Fall komplett praxisfern - weil wenn man Zugriff auf Smartphone und Smartphone App hat, braucht man kein Onlinebanking und weder Verfüger noch Passwort Verfüger+Passwort sind des öfteren im Browser gespeichert PIN für das Smartphone entfällt wenn eine tolle Wischgeste gewählt wird, die mit Hilfe von Fett + Lichteinfall ziemlich leicht herausgefunden werden kann. Und der Code für die BA App kann ja laut deiner Aussage eh trivial sein, denn es gibt ja 2FA! Aber ja, dass von der BA selbst die 2FA ausgehebelt wird habe ich in meinem letzten Posting erwähnt.
smashIt master of disaster Registered: Feb 2004 Location: OÖ Posts: 5285	28.01.2023 - 19:07 Zitat aus einem Post von ccr Bei der BA müssen die ersten 5 Stellen Zahlen sein, weil das die alte Passwortlogik war, und diese 5 Stellen immer noch als PIN in diversen Systemen verwendet werden heißt das dann nicht auch, dass die ba das passwort im klartext speichert? das wäre doch ein noch größerer fail...

Passwort Management - Sinn/Unsinn & Empfehlungen

Forum Index > Software > Applications, Apps & Drivers

Viper780

sk/\r

Master99

Earthshaker

eitschpi

b_d

watercool

Viper780

schizo

UnleashThebeast

ccr

schizo

ccr

schizo

smashIt