Sind sogenannte "sichere" Passwörter noch zeitgemäß?

Das Problem kennt sicher jeder, der nicht ausschließlich auf Allmystery unterwegs ist. Pausenlos wird man irgendwo aufgefordert, sein Passwort zu ändern. Nicht einmal Microsoft-Offlinekonten bleiben davon verschont.

Windows 10 1709 war ja die letzte Version, bei der Windows-Netzwerke noch gänzlich ohne Kennwort funktionierten. Heute bin ich gezwungen, in meinen eigenen 4 Wänden ein Kennwort zu vergeben, nur weil ich 2 PCs verbinden will, die noch nicht einmal einen Kontakt zur Außenwelt (Internet) haben. Einfach nur Wohnzimmer <--> Schlafzimmer. Und jeder, der es bis in meine Wohnung schafft, der soll auch verdammt noch mal vollen Zugriff auf alle meine Daten haben.

Wer das nicht will, kann sich doch optional dem Trugschluß hingeben, dass seine Daten mit einem Passwort sicher wären. Und als ob das nicht schon nervig genug wäre, neuerdings soll ich jetzt auch noch alle paar Monate dieses sinnfreie Kennwort ändern, was dann zur Folge hätte, dass mein Netzwerk mir wieder mal den Stinkefinger zeigen könnte, ... aber nicht mit mir, mein altes Kennwort ist jedes mal auch das neue Kennwort (nämlich 123 ... falls irgendwer damit was anfangen kann :D).

Aber noch schlimmer wirds im Internet, jeder lausige Online-Shop hält sich neuerdings für Fort Knox ... "DU KOMMST HIER NET REIN!" erst wenn du ein sicheres Kennwort erstellt hast, mit mindestens 256 Stellen, 74 Ziffern, davon 23 irrationale, 12 Großbuchstaben und 48 durch Pi teilbare Sonderzeichen, zwei davon wahlweise in Suaheli oder Saterfriesisch.

Ich habe so die Schnauze voll, mein Kartenterminalbetreiber verlangt jetzt alle 3 Monate ein neues Passwort, und ich will mir dort doch nur meine verdammten PDF-Rechnungen runterladen, die man mir wegen des Datenschutzes nicht per Mail senden darf .... komisch, andere dürfen das trotzdem!?

Egal, nun aber zur Threadfrage: Ist das mit der Erfindung der Zwei-Factor-Authentifizierung nicht langsam mal hinfällig? Und überhaupt, wie gelangen denn Verbrecher heutzutage noch an Zugangsdaten?

Man hört immer wieder, dass Datensätze gleich millionenfach von den Servern der Provider geklaut werden, in solchen Fällen ist es doch pupsegal, wie scheinbar sicher so ein Passwort war.

In vielen Fällen geben Leute ihre Daten auch völlig freiwillig heraus ... da kommt ne Mail von einem unbekannten Absender, z.B. "ichbindeinfreundundüberhauptnichtböse@jfjgfsgfi.ru" .... darin steht dann: "Bite gibb mia dein Daten vom Banck um Amaazone." ... Aber klar doch, willste auch noch Ebay und E.DIS?

Zudem haben alle relevanten Seiten heute die Möglichkeit, die Endgeräte zu identifizieren, über die ein Zugriff erfolgt. Wird dafür ein neues Gerät verwendet, muss es zunächt als "vertrauenswürdig" authentifiziert werden. Also nützen einem doch selbst die korrekten Zugangsdaten nicht viel, wenn der Zugriff über ein neues Gerät erfolgt, da der Konto-Inhaber dieses Gerät erst zulassen muss.

Ich bin auf diesem Gebiet aber kein Experte, daher frage ich mal in die Runde, ob dieser Kennwort-Terror heute wirklich noch sein muss.

An dieser Stelle gleich noch ein fettes DANKE an @dns ... 11 Jahre das gleiche Passwort ... einfach nur ein Traum :)

PS: Ich habs übrigens längst vergessen :D

Also, ehrlich gesagt ist mir das noch nie passiert. Und ich bin eigentlich schon bei einigermaßen viel angemeldet, würd ich sagen. Bin gespannt auch weitere Meinungen.

Peter0167 schrieb:Egal, nun aber zur Threadfrage: Ist das mit der Erfindung der Zwei-Factor-Authentifizierung nicht langsam mal hinfällig? Und überhaupt, wie gelangen denn Verbrecher heutzutage noch an Zugangsdaten?

Man hört immer wieder, dass Datensätze gleich millionenfach von den Servern der Provider geklaut werden, in solchen Fällen ist es doch pupsegal, wie scheinbar sicher so ein Passwort war.

Einige Dienste verlangen schon gar keine Passwörter mehr. Es ist in der Tat obsolet.

Die geklauten Datensätze sind in erster Linie dann problematisch, wenn Leute alle oder mehrere Konten mit denselben Passwörtern versehen. Da wird dann schon das eine oder andere dabei sein, mit dem sich etwas anfangen lässt.

stereotyp schrieb:Also, ehrlich gesagt ist mir das noch nie passiert.

Also ich habe gerade nochmal nachgezält, ich habe 84 gespeicherte Datensätze, darunter über 30 Lieferanten, 3 Banken, Amazon Konten, Ebay, Dienstleister jeglicher Art, Allmy :D, etc.

Okay, von den meisten wird man in Ruhe gelassen, aber einige nerven nur noch, denn ich muss nach jeder Änderung wieder eine neue Sicherungsdatei erstellen, die dann wieder auf 7 bis 8 PCs importiert werden muss, sowohl hier in der Firma, wie auch auf den Läppis zuhause. Da kommt schon was zusammen.

Aber am meisten nervt Windoof. Ich habe mehrere hundert Kunden, deren Rechner ich betreue, Ich installiere bei denen grundsätzlich nur Offline-Benutzerkonten ohne Passwort. Da nun aber Microsoft es für eine gute Idee hielt, Nutzern ihres Betriebssystems vorzuschreiben, dass sie ständig ihr Passwort zu ändern haben, kommt bei der Menge an Kunden natürlich einiges zusammen.

Es vergehen kaum mal 2 Tage, an denen ich keine Anrufe von besorgten Kunden erhalte: "Windows will das ich mein Passwort ändere, aber ich habe doch gar keins drin!?"

Das Blöde ist, und das weiß kaum jemand: Kein Passwort ist auch ein Passwort!

Ich erkläre dann immer: einfach alle 3 Zeilen frei lassen, nix eingeben, und nur in der dritten Zeile den kleinen Pfeil nach rechts anklicken, dann auf OK, und man hat wieder einige Wochen Ruhe bevor es von vorn beginnt.

Vermutlich reagiere ich auch nur deshalb so gereizt, weil das mit Windoof Überhand nimmt, und kommt dann noch irgendein Online-Dienst hinzu .... fängt die Lynchdrüse an zu jucken.

Aber die Frage war ja, ist das überhaupt (noch) notwendig? Ich brauche mir nur aus Versehen mal die Cockies zu löschen, schon komme ich bei der Spasskasse nicht mehr ins Online-Banking. Das Doofe ist, die Spasskasse versteht da überhaupt keinen Spass, ich muss über eine Äpp wieder bestätigen, dass mein eigener Rechner, über den ich schon über 20 Jahre meinen Bankkram erledige, noch vertrauenswürdig ist.

Da ich bis vor Kurzem kein Smartphone besaß, habe ich das über das Handy eines Bekannten erledigen müssen. Das muss man sich mal vorstellen, ich komme über den eigenen Rechner nicht rein, sondern muss einen Bekannten bitten, mir das Banking über sein Handy wieder freizugeben ... Wahnsinn!

Inzwischen hat der Bekannte ein neues Handy und hat mir sein altes geschenkt. Zum Glück brauche ich für die Äpp keine extra Karte, da reicht es aus, wenn ich über mein Netzwerk angemeldet bin. Nun kann ich mich im Notfall selbst authentifizieren, ohne andere darum bitten zu müssen. Ich hole das scheiß Handy auch nur alle paar Monate mal aus der Schublade, um den Akku nachzuladen, und obwohl ich darauf rein gar nichts installiert habe, nur diese fucking S-Äpp, ist das Teil laufend am Rumpiepen, so dass ich es sogar beim Laden inzwischen ausgeschaltet lasse. Was für eine Welt ist das nur, in der wir heute leben, und warum tun sich das intelligente Lebensformen nur an???

Nemon schrieb:Einige Dienste verlangen schon gar keine Passwörter mehr. Es ist in der Tat obsolet.

Das ist ja mal ne gute Nachricht, es besteht also noch Hoffnung :)

Peter0167 schrieb:Das ist ja mal ne gute Nachricht, es besteht also noch Hoffnung :)

Dennoch: Meine Passwort-Software verwaltet aktuell exakt 333 Objekte. Es sind aber nicht nur Passwörter, sondern alle Arten von Konto-Daten etc. Ohne so etwas wäre es schon seit Jahren nicht mehr gegangen.

Peter0167 schrieb:Aber am meisten nervt Windoof.

Ja ok. Ich hab Apple.

Nemon schrieb:Passwort-Software

Ist das ne lokale Lösung, oder vertraust du das einer Cloud an? Bei lokalen Lösungen darf man ja auch die Backups nicht vernachlässigen, und wenn mehrere Endgeräte genutzt werden, wie erfolgt da ein Abgleich?

Das sind so viele Fragen, da kommt man ja kaum noch zum arbeiten, weil man immerzu nur das Umfeld managen und verwalten muss.

stereotyp schrieb:Ich hab Apple.

Oh je, das tut mir leid. Aber keine Bange, das geht irgendwann vorüber. Gute Besserung. ;)

Peter0167 schrieb:Ist das ne lokale Lösung, oder vertraust du das einer Cloud an?

Es ist ein führender Anbieter, dem man dann am Ende einfach vertrauen muss.

Ich für meinen Fall um der Passwort Flut Herr zu werden, nutze eine lokale open source cross plattform Lösung die lokal arbeitet und da ich die nur am PC und nicht unter Android nutze, zusätzlich noch mit einer Schlüsseldatei auf einem USB Stick, ohne den sich auch der Passwort Manager nicht öffnen lässt.

Als zusätzliches Feature beinhaltet diese App auch einen Passwort Generator und eine Autofill Funktion für Web Seiten für ganz faule....

https://keepassxc.org/


Bin zwar auch genervt von den vielen Passwörtern aber mir hat vor kurzem gerade die 2-Faktor Authentizierung den Arsch gerettet, leider wurde mein sichere Universal Passwort geleakt und auch benutzt, wenn nicht 2-Faktor gegriffen hätte wäre die Kontrolle über Email, Steam, Amazon, MS-Account, Google Account und Paypal erstmal weg gewesen. Das hat mich dann auch zum ändern der Passwörter bewegt und der Nutzung eines PW Managers.

Nemon schrieb:dem man dann am Ende einfach vertrauen muss

Naja, wenn es ein führender Anbieter ist, ist es ein amerikanischer, und diese sehr großartige Nation hat seit 2018 den sog. Cloud-Act etabliert, der es amerikanischen Behörden ermöglicht, per Gerichtsbeschluss Zugriff auf die Daten zu erlangen.

Okay, so ein Gerichtsbeschluss mag in der Prä-Trump-Ära ein Hinderniss gewesen sein, aber heute?

Wenn ich im Usenet mal einen Film runterlade, oder auch zwei oder drei, dann wird das für einen trumpschen Richter Grund genug sein ... daher meide ich Clouds auch wie der Teufel das Weihwasser ... das bedeutet jetzt aber nicht, dass ich Filme runterladen würde, und wenn doch, dann lade ich sie auch sofort wieder hoch, bevor sie vermisst werden. :troll:

amtraxx schrieb:wenn nicht 2-Faktor gegriffen hätte

Ja, das Zwei-Faktor-Dingens ist ne gute Sache. Mich hatte es mal erwischt, bevor ich umgestellt hatte. Da hatte ich mal bei einem Online-Gewinnspiel mitgemacht, hab mich da dummerweise mit meiner normalen Mailadresse und meinem Standardpasswort angemeldet, welches ich auch bei Amazon benutzt habe.

Zum Glück war ich gerade selbst bei Amazon unterwegs, und konnte mitverfolgen was die da trieben. Ich suchte gerade nach irgendwas, als ich plötzlich ein Handy für 699 Euro im Warenkorb fand. An dem Punkt ahnte ich noch nicht einmal was, hab es einfach wieder gelöscht und weiter gesucht. Ne Minute später lag es aber erneut im Warenkorb.

Ich habe es sofort wieder gelöscht und habe mein Passwort geändert, bei der Gelegenheit sah ich auch, dass da jemand eine neue Lieferadresse in den Niederlanden hinzu gefügt hatte. Ist aber am Ende noch alles gut gegangen, ich habe sofort Amazon kontaktiert, und die haben mir dann die 2-Faktor-Authentifizierung eingerichtet. Seither ist so etwas nie wieder passiert. :)

Heute habe ich für solche Sachen mehrere Fake-Mailadressen, die ich nirgendswo anders benutze. Zudem bieten Browser-KIs heute auch die Möglichkeit, dubiose Shops schon beim Aufrufen der Seite zu erkennen, ich denke damit wird schon viel verhindert.

Peter0167 schrieb:Naja, wenn es ein führender Anbieter ist, ist es ein amerikanischer, und diese sehr großartige Nation hat seit 2018 den sog. Cloud-Act etabliert, der es amerikanischen Behörden ermöglicht, per Gerichtsbeschluss Zugriff auf die Daten zu erlangen.

Es ist ein kanadisches Unternehmen und könnte theoretisch vom CLOUD Act betroffen sein, aber durch die Zero-Knowledge-Architektur ist das Risiko für Nutzer stark reduziert. Die könnten dem Vernehmen nach nur verschlüsselte Daten weitergeben.

Nemon schrieb:Die könnten dem Vernehmen nach nur verschlüsselte Daten weitergeben.

In einem Film gab es mal eine Szene wo jemand sagte: "Ich hab hier ne 256 bit Verschlüsselung, ... wie lange brauchst du?"

Aus dem Hintergrund hörte man jemand antworten: "Ne knappe Minute." :D

Ist natürlich Quatsch, hab gerade nochmal nachgeschaut, es sind wohl 3,31 * 10⁵⁶ Jahre.

Insofern brauchst du dir da keine Sorgen machen.

@Peter0167

256 Bit ist in der Regel AES, richtig ist, das Knacken im Sinne von Ausprobieren dauert unglaublich lange und ist so nicht möglich, alle Rechner der Erde schaffen es nicht in Milliarden Jahren. Auch Quantenrechner werden so einen Schlüssel nicht eben ausspucken.

Die Frage darüber hinaus ist, wie sicher ist das eigentliche Verschlüsselungsverfahren selber, gibt es hier Hintertüren oder Schwachstellen und so was wurde hier und da schon gefunden. Will sagen, es kommt nicht nur auf den Schlüssel selber an, sondern auch das Verfahren spielt eine Rolle. Und ich mag wo doch schon Passwörter, besser als Passkey, ich will es im Kopf haben können, eine Hardware, die meinen Schlüssel hat, mag ich nicht, kann kaputt gehen, verloren. Geht mein Kopf kaputt oder verloren, werde ich das PW wohl auch nicht mehr brauchen, die Frage ist, was ist mit Servern und gibt man da Verwandten oder der Familie Zugriff.

Hab das auch hier schon gesehen, irgendwann geht man far away, ich finde es nett, wenn man dann hier von wem eine Info bekommt, der User X ist auf dem Weg nach Walhalla.

Lustig ist immer, wenn ich neue Kunden habe, wer einen Rechner bringt und sagt, da stimmt was nicht, wie oft mich mit 1234 oder 12345 mich anmelden konnte, ist wirklich das beliebteste. Und "qwertz" ist inzwischen sehr selten. Von 100 Personen denke ich, hat nur eine ein wirklich sicheres PW, also sich was generieren lassen. Ich nehme hier und da auch mal gerne immer einen Buchstaben aus einen Text, ein Gedicht von mir, und da gibt es einige Wege, Groß und Klein, Zahlen und Zeichen rein, nur jedes zweite Wort, oder auch da eine Variation, muss man sich dann aber schon merken.

Peter0167 schrieb:Ist das ne lokale Lösung, oder vertraust du das einer Cloud an? Bei lokalen Lösungen darf man ja auch die Backups nicht vernachlässigen, und wenn mehrere Endgeräte genutzt werden, wie erfolgt da ein Abgleich?

Das sind so viele Fragen, da kommt man ja kaum noch zum arbeiten, weil man immerzu nur das Umfeld managen und verwalten muss.

amtraxx schrieb:Ich für meinen Fall um der Passwort Flut Herr zu werden, nutze eine lokale open source cross plattform Lösung die lokal arbeitet und da ich die nur am PC und nicht unter Android nutze, zusätzlich noch mit einer Schlüsseldatei auf einem USB Stick, ohne den sich auch der Passwort Manager nicht öffnen lässt.

Als zusätzliches Feature beinhaltet diese App auch einen Passwort Generator und eine Autofill Funktion für Web Seiten für ganz faule....

Bei mir geht es auch nicht mehr ohne Passwortmanager und habe auch keepass.
In der Datenbank verwaltet ich alle Onlinezugänge sowie Ausweisdaten usw. Ich habe vor 3 Jahren auf das Ding umgestellt und tagelang von jedem einzelnen Onlinezugang das Passwort geändert in ein sicheres von keepass erzeugten.
Da ich mehrere Geräte nutze und auch nicht möchte das die Datenbank auf irgendeinem von meinen Geräten liegt, habe ich die in einer Cloud liegen.. Keepass greift darauf automatisch zu und jedes Gerät ist somit immer aktuell.
Die Datenbank ist natürlich verschlüsselt mit einer von mir ausgedachten passphrase die so abartig lang ist das ich erstmal davon ausgehe es ist in diesem Leben egal ob die Datenbank geklaut wird.

Zur Zeit sind ja Passkeys der letzte Schrei:
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html

Da bin ich aber, aus Gründen, noch vorsichtig.

behind_eyes schrieb:Zur Zeit sind ja Passkeys der letzte Schrei:

Ist ziemlich praktisch. Aber da taucht immer Google auf, was mir eigentlich nicht so passt. Aber bei einigen Diensten nutze ich tatsächlich diese Version.

Peter0167 schrieb:Aber am meisten nervt Windoof. Ich habe mehrere hundert Kunden, deren Rechner ich betreue, Ich installiere bei denen grundsätzlich nur Offline-Benutzerkonten ohne Passwort. Da nun aber Microsoft es für eine gute Idee hielt, Nutzern ihres Betriebssystems vorzuschreiben, dass sie ständig ihr Passwort zu ändern haben, kommt bei der Menge an Kunden natürlich einiges zusammen.

Da hilft der Haken bei „Kennwort läuft nie ab“. Entweder irgendwo durch die Systemsteuerung klicken, oder der direkte Weg: Start - Ausführen - mmc.exe - Datei - Snap in hinzufügen - lokale Benutzer - Benutzer - rechte Taste auf den Account - Eigenschaften und dann dort den Haken setzen.

Peter0167 schrieb:Windows 10 1709 war ja die letzte Version, bei der Windows-Netzwerke noch gänzlich ohne Kennwort funktionierten. Heute bin ich gezwungen, in meinen eigenen 4 Wänden ein Kennwort zu vergeben, nur weil ich 2 PCs verbinden will, die noch nicht einmal einen Kontakt zur Außenwelt (Internet) haben. Einfach nur Wohnzimmer <--> Schlafzimmer. Und jeder, der es bis in meine Wohnung schafft, der soll auch verdammt noch mal vollen Zugriff auf alle meine Daten haben.

Kannst du das mal erläutern ???

Habe gerade gestern bei Win 11 noch annonyme Anmeldung erlaubt und damit lokale Freigaben ohne Passwort möglich gemacht.

JokerClz schrieb:Da hilft der Haken bei „Kennwort läuft nie ab“. Entweder irgendwo durch die Systemsteuerung klicken, oder der direkte Weg: Start - Ausführen - mmc.exe - Datei - Snap in hinzufügen - lokale Benutzer - Benutzer - rechte Taste auf den Account - Eigenschaften und dann dort den Haken setzen.

Super Tipp, Haken ist gesetzt, nun muss ich nur noch abwarten, ob es auch wirklich funktioniert, denke aber schon. :)

abbacbbc schrieb:Kannst du das mal erläutern ???

Früher lief bei mir alles über die Heimnetz-Funktion, da bei Heimnetzen keine Benutzerpasswörter nötig waren. Leider hat Microsoft diese nützliche Funktion nach der Version 1709 ersatzlos abgeschafft.

Der Grund, warum ich die Heimnetzfunktion gern genutzt habe war, dass ich einen PC einfach nur einschalten brauchte, und er fuhr danach hoch und meldete sich ohne weiteres zutun im Netzwerk an, man brauchte noch nicht einmal den Monitor dafür einschalten.

Das war mir deshalb so wichtig, weil ich oft Besuch bekomme, und da sind fast immer Kinder mit dabei, die sich gerne die Kinderfilme auf meinem Filmserver anschauen wollen. Von denen standen gleich mehrere auf meinem Schreibtisch, ich habe ihnen dann nur gezeigt, welchen sie einfach per Knopfdruck starten müssen, und dann konnten sie 30 Sekunden später im Wohnzimmer ihre Lieblingsfilme sehen.

Ja, heute weiß ich, dass man auch "normale" Windows-Netzwerke so einrichten kann, dass man bei der Anmeldung keine Passwörter mehr eingeben muss. Man muss sich halt damit beschäftigen, was zuvor nicht notwendig war, weil es auch so funktionierte.

Im letzten Jahr habe ich dann mein Netzwerk umgebaut, 3 Rechner mit zusammen über 30 Festplatten flogen raus, dafür habe ich jetzt einen einzigen PC mit 15 Festplatten, und die anderen 15 Backup-Platten wurden über USB-Lösungen ausgelagert ... ist ein kompliziertes System, würde an dieser Stelle sicher zu weit führen.

Auf dem neuen Rechner habe ich natürlich Windows 11 installiert, lief auch ne Weile genau so wie ich mir das vorgestellt habe. Bis ich eines Tages einen Anruf erhielt, die Kinder kommen nicht an ihre Filme, und glaub mir, das ist keine Situation die ich anderen wünschen würde :D

Ich kam dann abends nach Hause, schaltete den Bildschirm ein ... "Ihr Kennwort ist abgelaufen" ... blablabla :(

Im ersten Moment habe ich gar nicht weiter nachgedacht, hab das Kennwort geändert, Neustart, Anmeldung gelungen ... nur an die Kinderfilme, wie auch alle anderen Filme und Serien war übers Netzwerk nicht ranzukommen. Okay, ich das alte Kennwort wieder rein, alle Rechner neu gestartet, und siehe da, alles lief wieder perfekt, die Kinder hörten auf zu heulen, und alle waren zufrieden :D

Das es so etwas wie eine anonyme Anmeldung gibt, wusste ich noch gar nicht, klingt aber interessant. Muss ich mich mal bei Gelegenheit mit beschäftigen. Aber sollte das jetzt dank Jokers Tip auch so funktionieren, werde ich mein Netzwerk garantiert nicht grundlos ändern.

Auf jeden Fall vielen Dank für eure Hinweise @JokerClz und @abbacbbc