Sind sogenannte "sichere" Passwörter noch zeitgemäß?

Peter0167 schrieb am 05.06.2025:Pausenlos wird man irgendwo aufgefordert, sein Passwort zu ändern.

Dass das Quatsch ist, hat man ja zum Glück längst eingesehen.
Ich ändere PWs nur, wenn ich Grund dazu habe. Allerdings nutze ich auch nicht solche "Klopper", wie "12345", "meins" oder "Passwort".
Meine Passwörter zu knacken, ist zugleich verdammt schwer, wobei es für mich persönlich sehr leicht ist, sie im Kopf zu haben.

Ich habe kürzlich erst EINEM Menschen, der nicht zur Familie gehört, eine komplatte Liste aller meiner Passwörter gegeben.
Falls mir mal was passiert, dieser Mensch hat sie. Aber er kommt da nicht ran, da sie verschlüsslelt ist. Das Passwort dafür hat allerdings jemand aus der Familie, der aber noch nicht weiß, wer die Liste hat, bzw. dass es für diese PW Liste ist. Und der wiederum weiß nicht, daß jemand aus der Family das Passwort hat.
Die beiden kennen sich, aber und werden erst im Fall eines Falles daüber informiert.
Ich denke, das isft recht sicher.

JokerClz schrieb am 05.06.2025:„Kennwort läuft nie ab“

Deser Tipp ist natürlich klaase für alle, die das (noch) nicht kannten. Danke.

Gucky.

Gucky87 schrieb:Dass das Quatsch ist, hat man ja zum Glück längst eingesehen.

Leider ist das immer noch sehr verbreitet. Es gibt immer noch viele Unternehmen die Mitarbeiter dazu zwingen ständig die Passwörter zu ändern. Gerne auch mit tollen Komplexitätsregeln. Mit dem "Erfolg" das die dann unter der Tastatur stehen.

Bei Passwörtern zählt vor allem Länge. Lieber einen Satz als ein Wort. Und dann beibehalten.

Bei mir im Unternehmen testen wir Mitarbeiterpasswörter wöchentlich gegen Have I Been Pwned. Tauchen die dort auf, dann wird der Account zugemacht und das Passwort muss dann geändert werden. Ansonsten dürfen die Passwörter beliebig lang genutzt werden.

Peter0167 schrieb am 05.06.2025:Zudem haben alle relevanten Seiten heute die Möglichkeit, die Endgeräte zu identifizieren, über die ein Zugriff erfolgt

was bedeutet dieser Zugriff - haben die Betreiber dann Zugriff auf alle Dateien die auf dem PC sind?

nocheinPoet schrieb am 05.06.2025:Lustig ist immer, wenn ich neue Kunden habe, wer einen Rechner bringt und sagt, da stimmt was nicht, wie oft mich mit 1234 oder 12345 mich anmelden konnte, ist wirklich das beliebteste. Und "qwertz" ist inzwischen sehr selten

was meinst du mit "qwertz" ist sehr selten"?

nocheinPoet schrieb am 05.06.2025:Von 100 Personen denke ich, hat nur eine ein wirklich sicheres PW, also sich was generieren lassen

wenn man sich selbst ein Passwort ausdenkt, was niemand erraten kann (weil das Wort keinen Sinn ergibt), dann bräuchte man sich doch sicherlich keins generieren lassen bzw. müsste das dann genauso sicher sein - oder denke ich da jetzt falsch?

alhambra schrieb:Bei Passwörtern zählt vor allem Länge. Lieber einen Satz als ein Wort

gehe ich recht in der Annahme, dass sich das nur auf diese Programme bezieht, die ein Passwort knacken können?
Und falls ja, dann würde das bedeuten, dass man ohne Hilfsmittel ein nicht zu eratendes Wort auch nicht raus bekommen könnte?

Und wenn man einen Satz nimmt, sind dann z.B. 50 Buchstaben ausreichend, bzw. kann diese Anzahl trotzdem leicht von einem Programm geknackt werden?

Optimist schrieb:gehe ich recht in der Annahme, dass sich das nur auf diese Programme bezieht, die ein Passwort knacken können?
Und falls ja, dann würde das bedeuten, dass man ohne Hilfsmittel ein nicht zu eratendes Wort auch nicht raus bekommen könnte?

Also so wie Film, wo die Kommissare mal drei Passwörter eintippen und sind drin funktioniert es nicht. Ohne Hilfsmittel Passwörter knacken setzt extrem dumme Passwörter voraus.

Meistens haben Angreifer die verschlüsselten Passwörter. Und die Verschlüsselung von Passwörtern kann man nicht umdrehen, also man kann sie nicht entschlüsseln. Aber man kann Worte so lange durchprobieren, also verschlüsseln, bis der verschlüsselte Text der gleiche ist, wie der den man schon hatte.

Und das macht man mit Software, weil ein moderner Computer zig-tausende Passwörter pro Sekunde testen kann.

Optimist schrieb:Und wenn man einen Satz nimmt, sind dann z.B. 50 Buchstaben ausreichend, bzw. kann diese Anzahl trotzdem leicht von einem Programm geknackt werden?

Naja, wenn man sich nur auf Groß und Kleinbuchstaben beschränkt, dann wird mit jedem zusätzlichen Zeichen der Aufwand um Faktor 52 größer. Für ein Passwort der Länge eins gibt es 52 Möglichkeiten, für eins der Länge zwei schon 52x52 Möglichkeiten usw.

Ein Passwort aus 7 Zeichen kann ein Rechner in ein paar Minuten durchspielen. Bei 10 Zeichen sind wir schon bei wenigen Tagen. Bei 20 Zeichen bist du schon an dem Punkt das es schwierig ist fertig zu werden, ehe die Sonne explodiert.

alhambra schrieb:Und die Verschlüsselung von Passwörtern kann man nicht umdrehen, also man kann sie nicht entschlüsseln

mir gehts im Grunde eigentlich nur um mein eigenes (unverschlüsseltes) Passwort ... wie sicher dieses ist (möchte also kein Passw. verschicken) :)

Mich interessiert also, wie sicher mein Passwort im Hinblick darauf ist:

alhambra schrieb:Und das macht man mit Software, weil ein moderner Computer zig-tausende Passwörter pro Sekunde testen kann.

Wenn man ein ganz normales Wort wählt - z.B. "Lampenschirm" - dieses dann aber umdreht zu "Mrihcsnepmal" und DAS dann als Passwort nimmt -> wäre das bissel schwerer zu knacken, als wenn man gleich nur direkt "Lampenschirm" nehmen würde?
Oder wäre das ganz egal, welche Variante von beiden man nimmt?

Peter0167 schrieb am 05.06.2025:Ist das mit der Erfindung der Zwei-Factor-Authentifizierung nicht langsam mal hinfällig?

Solange es Anbieter wie Paypal (!) gibt, bei denen die 2FA bei Zahlung übers Mobilgerät einfach über die App auf dem gleichen Mobilgerät bestätigt werden kann, freu ich mich über Passwörter. ^^

Optimist schrieb:was meinst du mit "qwertz" ist sehr selten"?

Schau mal auf das Q auf deiner Tastatur, und dann guckste langsam nach rechts rüber. ;)

alhambra schrieb:Mit dem "Erfolg" das die dann unter der Tastatur stehen.

Ich werde SO wahnsinnig dabei. Am besten sind die Leute, die das Passwort im Browser speichern, es dann mal ändern müssen und dann nicht mal wissen, wie sie das alte Passwort einsehen können. Mann ey. Tatsächlich speichere ich auch nur Passwörter im Manager, die ich selten brauche. Alles andere ist im Kopf, und da ists am besten aufgehoben.

Luminita schrieb:Schau mal auf das Q auf deiner Tastatur, und dann guckste langsam nach rech

alles klar :D


@all
wie hoch ist eigentlich die Gefahr einzuschätzen, dass ein Fremder, der z.B. mein Smartphone findet, das Passwort mit einer Software versucht zu knacken?
Oder anders gefragt:
Kommt so jemand an solche Software leicht ran und ist diese preiswert genug, damit sich für diesen Fremden der Aufwand lohnen würde?

Des weiteren verstehe ich gar nicht, weshalb von den Herstellern noch so viel auf Passwörter gesetzt wird, wo doch Fingerabdrücke schon wunderbar klappen?
Zumindest habe ich damit gute Erfahrungen gemacht beim Entsperren vom Smartphone und habe auch eine SSD mit Touch-Funktion für den Finger.
Das ist doch sicherlich auch um einiges sicherer als Zeichenfolgen? einen Fingerabdruck kann doch sicher keine Software knacken, oder?

Optimist schrieb:wie hoch ist eigentlich die Gefahr einzuschätzen, dass ein Fremder, der z.B. mein Smartphone findet, das Passwort mit einer Software versucht zu knacken?

Bei jemandem, der es findet, würd ich sagen: sehr gering. Bei mir wurde vor 1,5 Jahren eingebrochen. Ich hab nix wertvolles wie Schmuck etc., aber hatte große Sorge um Laptop, Diensthandy und Tablet, die alle offen in der Wohnung lagen. Nix davon wurde angerührt (außer das Handy, welches dann sogar zur Überführung der Täter geführt hat, weil ein Fingerabdruck drauf war - es blieb aber in der Wohnung zurück). Kripo sagte damals, diese Sachen werden selten geklaut, weil dies meist zu aufwändig ist.
Aber 100%tig kann man natürlich nix ausschließen.

Optimist schrieb:Des weiteren verstehe ich gar nicht, weshalb von den Herstellern noch so viel auf Passwörter gesetzt wird, wo doch Fingerabdrücke schon wunderbar klappen?

Bedenke - wenn du ein Pflaster aufm Finger hast, wirds schon schwierig. :P:

Luminita schrieb:Bedenke - wenn du ein Pflaster aufm Finger hast, wirds schon schwierig

ach ja, das hatte ich nicht bedacht :D
Allerdings hat man die Möglichkeit, mehrere Finger als Abdruck zu hinterlegen.
Und wenn dann beide Hände verbunden wären, hat man natürlich großes Pech und kann dann eine zeitlang nicht an seine Daten ;)

Zumindest könnten doch aber die Anbieter immer auch die Option mit einräumen, dass man es per Touch-Funktion machen könnte. Muss halt jeder das Risiko abwägen, ob zeitgleich gleich beide Hände unbrauchbar sein könnten ;)

Optimist schrieb:Des weiteren verstehe ich gar nicht, weshalb von den Herstellern noch so viel auf Passwörter gesetzt wird, wo doch Fingerabdrücke schon wunderbar klappen?

Luminita schrieb:Bedenke - wenn du ein Pflaster aufm Finger hast, wirds schon schwierig. :P:

Das ist der Nachteil für die eigene Nutzung.

Der Vorteil für die fremde Nutzung (Ermittlunsgbehörden) könnte sein (mir fehlt da belegbares technisches/juristisches Wissen), dass man einer Person eher einen Fingerabdruck abnehmen als ein Passwort aus dem Gehirn 'ablesen' kann.

Optimist schrieb:Wenn man ein ganz normales Wort wählt - z.B. "Lampenschirm" - dieses dann aber umdreht zu "Mrihcsnepmal" und DAS dann als Passwort nimmt -> wäre das bissel schwerer zu knacken, als wenn man gleich nur direkt "Lampenschirm" nehmen würde?
Oder wäre das ganz egal, welche Variante von beiden man nimmt?

Es gibt zwei Varianten für solche Angriffe. Die erste ist die Wörterbuchattacke. Da probiert man halt einfach mal schnell alle Wörter der deutschen Sprache aus, dauert vielleicht ne Sekunde. Da "Lampenschirm" ein Wort ausm Wörterbuch ist, hast du an der Stelle verloren.

Wenn eine Wörterbuchattacke nicht erfolgreich ist, dann bleibt einem nur übrig alle möglichen Kombinationen auszuprobieren. Und dann zählt nur die länge.

Also "Lampenschirm" wäre in einer Sekunde geknackt, "Mrihcsnepmal" dürfte schon ein paar Wochen durchhalten. Ab 20 Zeichen ist ein Passwort dann bombensicher.

Manche Hacker machen auch noch ne Zwischenstufe. Also Wörter ausm Wörterbuch mit jeweils Zahlen oder Sonderzeichen davor oder dahinter. Also "Lampenschirm123" hält nicht viel länger als "Lampenschirm"

Luminita schrieb:Bedenke - wenn du ein Pflaster aufm Finger hast, wirds schon schwierig. :P:

Funfact: Habe mal auf meinem Grundstück was betoniert. Und Beton ist leicht ätzend. Danach hat die Fingerabrduckerkennung ne ganze Woche lang gestreikt.

Optimist schrieb:wenn man sich selbst ein Passwort ausdenkt, was niemand erraten kann (weil das Wort keinen Sinn ergibt), dann bräuchte man sich doch sicherlich keins generieren lassen bzw. müsste das dann genauso sicher sein - oder denke ich da jetzt falsch?

Das was du dir selber ausdenkst kann genauso sicher sein wie eins was du generieren lässt.... Allerdings I'm ersten Fall kannst du es eher preisgeben.

behind_eyes schrieb am 15.06.2025:Das was du dir selber ausdenkst kann genauso sicher sein wie eins was du generieren lässt....

Genau so ist es, das Problem ist nicht das Passwort, sondern der schlampige Umgang damit.

Ob ich nun...

"123"

oder

"p/MGß2@}!b7*ä#?z%Gv]_bla_ich_bin_super_sicher_}t§\\mQ!*#!!!!!!!"

...verwende, spielt doch letztlich gar keine Rolle, wenn Login-Daten gleich Milliardenfach geleakt werden. Viel wichtiger ist es doch, die Passwörter regelmäßig zu ändern, also auch mal "321" oder "987" verwenden, und zudem eine Zwei-Faktor-Authentifizierung (2FA).

Hier mal ein netter Artikel, der das Ausmaß der eigentlichen Bedrohung deutlich macht:

https://cybernews.com/de/sicherheit/16-mrd-ungeschutzte-zugangsdaten-gefunden/

Diese 16.000.000.000 Datensätze sind doch nicht zustande gekommen, weil die Passwörter zu einfach waren, sondern weil es zu einfach ist, gleich den ganzen Datensatz zu klauen, und noch einfacher ist es offenbar, gleich ganze Datenbanken mit Datensätzen zu klauen.

Die Tech-Konzerne sollten langsam mal über ihre eigenen Unzulänglichkeiten in Sachen systemischer Sicherheit nachdenken, anstatt die Nutzer wegen der scheinbar unsicheren Passwörter zu nerven.

Ich habe gerade mal meine Mail-Adresse vom HPI Leak-Checker überprüfen lassen, mit folgendem Ergebnis:



Der DFB hat mich bis heute nicht darüber informiert, dass meine Daten betroffen sind, trotz DSGVO.

In diesem Fall spielte die Sicherheit des Passwortes überhaupt keine Rolle.

Wer seine Mailadresse auch mal überprüfen möchte, hier der Link:

https://sec.hpi.de/ilc/search?

Peter0167 schrieb:"123"

oder

"p/MGß2@}!b7*ä#?z%Gv]_bla_ich_bin_super_sicher_}t§\\mQ!*#!!!!!!!"

...verwende, spielt doch letztlich gar keine Rolle, wenn Login-Daten gleich Milliardenfach geleakt werden

Idr werden sie halt nicht geleakt, das ist nicht der Normalfall und insofern ist 123 oder Abarten davon perse unsicher weil sie nicht geleaked werden müssen, sie sind perse gefährdet und leicht knackbar.

Peter0167 schrieb:Diese 16.000.000.000 Datensätze sind doch nicht zustande gekommen, weil die Passwörter zu einfach waren,

Auf jedenfall ein Krasser Datensatz der aber wohl wie üblich auch aus alten geleakeden Datensätzen besteht und ein Passwort muss nicht zwingend dabei sein, oftmals "nur" Mail und Username.

behind_eyes schrieb:sie sind perse gefährdet und leicht knackbar.

Wie werden den heutzutage Passwörter "geknackt"?

Peter0167 schrieb:Wie werden den heutzutage Passwörter "geknackt"?

Garnicht, sie werden erraten oder erbeutet und 123 dauert so ziemlich genau einen Wimpernschlag.
Das Wording hat sich halt durchgesetzt.

Peter0167 schrieb:...verwende, spielt doch letztlich gar keine Rolle, wenn Login-Daten gleich Milliardenfach geleakt werden. Viel wichtiger ist es doch, die Passwörter regelmäßig zu ändern, also auch mal "321" oder "987" verwenden, und zudem eine Zwei-Faktor-Authentifizierung (2FA).

Und deswegen Passwörter nicht mehrfach benutzen.

Wir sehen das bei uns quasi täglich, dass da Leute unterwegs sind die Benutzernamen/Passwort Kombinationen aus irgendwelchen Leaks durchprobieren und schauen ob man damit bei uns auch reinkommt.

@behind_eyes
@alhambra

Also ich habe die Erfahrung gemacht, dass ich bei wiederholter Falscheingabe temporär gesperrt werde, zumindest auf vielen Seiten, auf denen ich unterwegs bin. Da muss man schon verdammt gut raten, um mit wenigen Versuchen erfolgreich zu sein.

Mir ist das nur einmal gelungen, Windows hat ja diese "Kennworthinweise", und da stand bei einem PC mal "Sonne" als Hinweis. Ich habe es dann mit "Mond" versucht ... war natürlich falsch, aber mit "mond" war ich drin. :D

Hab aber keine Ahnung, wie das so von den asozialen Netzen (Fratzenbuch, etc.) praktiziert wird. Kann man da endlos rumprobieren?

Peter0167 schrieb:Also ich habe die Erfahrung gemacht, dass ich bei wiederholter Falscheingabe temporär gesperrt werde, zumindest auf vielen Seiten, auf denen ich unterwegs bin. Da muss man schon verdammt gut raten, um mit wenigen Versuchen erfolgreich zu sein.

Nein, das hast du falsch verstanden.

Die haben, sagen wir, 1 Mio Benutzernamen samt Passwort. Und wissen das viele Nutzer die gleiche Kombination aus Benutzernamen und Passwort überall verwenden. Und die kommen dann auf unsere Webseite und Probieren jede Kombi in der Liste genau 1 Mal aus um zu sehen ob das geht.

Deshalb greift der Mechanismus "wiederholte Falscheingabe" ins Leere.

Wir haben am Anfang noch mit Rate-Limiting dagegen gehalten, aber diese Leute haben so unfassbar viele IP-Adressen, das auch das nicht mehr funktioniert.
Deswegen bieten wir jetzt optional MFA an, alles andere geht nicht

Credential Stuffing nennt sich das