Die Tricks der Paßwort-Knacker und gute Paßwörter

[laserman]

Hallo Gemeinde,

ich habe in der CT 2013 Heft 3 (Computer und Technik Zeitschrift) einen interessanten und beunruhigenden Bericht über Paßwörter gesehen.
Sollte man sich in jedem Fall mal in Ruhe durchlesen (sind 8 Seiten).

Es gibt Tips, wie man jeweils ein unterschiedliches Paßwort für verschiedene Dienste erstellen und sich vor allem auch merken, bzw. rekonstruieren kann.

Quintessenz ist im Grunde, daß zum einen unsere Identität und zum anderen unser Geld durch Paßwörter geschützt ist.
Da sollte man wirklich nicht leichtfertig mit umgehen.

"Paßwort"
oder
"1234"
oder
"Qwertz"
hat ja hoffentlich niemend mehr als Paßwort.

Es ist aber auch schon der Satz aus Marry Poppins als Paßwort geknackt worden:
"supercaligarilistigexpialigetisch"
oder etwas übersichtlicher:
super-cali-gari-listig-expi-ali-getisch

Hier kamen die Täter aber am Server mehr oder weniger direkt an die Paßwörter ran.

"g3h31m"
ist auch kein gutes Paßwort mehr. Heißt nämlich "geheim" nur anders geschrieben.

Ein gutes Paßwort hingegen kann aus einem Master-Paßwort bestehen:
Anfangsbuchstaben eines Liedes, oder 4 komplette Sätze:

Der Weg zu einem guten Paßwort:
1.)
Beispielsatz
"Das neue Album von Heino ist der Knaller"
2.)
Jeweils erster Buchstabe
>> DnAvHidK
>>> Neues Masterpaßwort!
3.)
In entsprechenden Dienst einflechten.
die einzelnen Buchstaben jeweils hinter oder vor einen Buchstaben des Masterpaßworts:

Beispiel ebay
>> DenbAavyHidK
>>> Neues Paßwort für ebay!

Beispiel Amazon
>> DAnmAavzHoindK
>>> Neues Paßwort für Amazon!

Fertig!

[Defiant]

http://xkcd.com/936/

[hefeteig]

Hallo, falls es euch zu viel Mühe ist euch ein gutes Passwort
auszudenken und vor allem dann auch zu merken, empfehle ich euch ein
Computerprogramm. Davon gibts einige. Ich benutze "Secure Passwords"(auf deutsch Sichere Passwörter).
Aus dem Windows 8 Store.
Es bietet nicht nur die Möglichkeit Passwörter zu generieren und zu speichern.
Es speichert sie auch verschlüsselt und zeigt euch an, wie sicher euer Passwort ist.
Gruß Hefeteig

[steffalk]

Oh oh,

und wer sagt, dass das Programm nicht vorhersehbare Kennwörter generiert, die jemand anderes auch generieren könnte, oder sie sogar irgendwohin übermittelt? Im Leben würde ich sowas nicht einer Software anvertrauen, die zudem noch auf demselben Rechner läuft, auf dem ich das Kennwort sicher halten will.

Gruß,
Stefan

[hefeteig]

Nein, die App 'Secure Passwords' wird keine Daten weiterschicken.
Das kann ich versichern, weil ich sie selber programmiert habe.
Man kann aber auch anhand der Berechtigungen und den Datenschutzerklärungen, darauf schließen,
welche Daten weiter gegeben werden.
Und zu dem zufälligen generieren von Passwörtern.
Wie stellst du dir das vor

dass das Programm nicht vorhersehbare Kennwörter generiert

?
Du meinst es wird nur zwischen 100 Passwörtern eins zufällig ausgewählt oder so?
Also zumindest meiner App liegt ein Zufallsgenerator zugrunde, allerdings wird sichergestellt, dass das generierte Passwort
Groß- und Kleinschreibung, Zahlen und Sonderzeichen drin hat. Dadurch wird das Passwort allerdings nicht wirklich vorhersehbar.
Meiner App kann man trauen.
Und ich würde mich freuen, wenn ihr sie euch angucken würdet.
Vorausgesetzt ihr habt Windows 8.

Gruß Hefeteig

[steffalk]

Tach auch!

Na dann erstmal Kompliment für die Windows-8-App!

Zufallszahlen generieren ist keine triviale Sache. Die meisten Zufallszahlengeneratoren berechnen ja nur Pseudo-Zufallszahlen. Aus dem letzten Wert wird z.B. der nächste berechnet. Fängst Du mit demselben Seed an, bekommst Du immer dieselbe Zahlenfolge. Und aus einer Folge von Zahlen (die z.B. Dein Programm generiert) könnte man nun drauf schließen, welchen Generator Du intern verwendest - und wie man den ggf. angreifen kann.

Du musst also *kryptografisch sichere* Zufallszahlen verwenden. Dafür gibt es extra APIs in Windows (und .net), damit man möglichst nichts voraus- oder rückberechnen kann.

Gruß,
Stefan