ComputerBase Menü
Aktuelles

Wie sicher sind Schematische Passwörter

P

Pyrukar

Captain
Registriert
Jan. 2013
Beiträge
3.483
Hallo zusammen,

da ja leider immer wieder Passwörter aus Website Datenbanken gestohlen werden, bin ich gerade mal wieder dabei einen Neuen Schwung Passwörter zu vergeben (Eher Tonusweise nicht weils gerade Akutell gebeached ist)

Es heist ja immer Jede Website ein Individuelles Passwort ... soweit so gut. Da ich PW Saves nicht wirklich vertraue (zumindest für PWs die mehr als nur Email und Nutzernahmen abdecken), frage ich mich, wie gut heutige Passwort Crawler geworden sind. Probieren die Stumpf aus, oder denken die inzwischen mit.
Es geht mir ehrlich gesagt nicht darum, ob ein Mensch die Passwörter erraten könnte, denn die Wahrscheinlichkeit dass es ein Mensch auf meine Passwörter abgesehen hat, halte ich für sehr gering.

Also meine Idee war, eine Relativ Sichere Passphrase ("Natürlich sicherer als das Folgende Beispiel) mit "_Website" zu versehen. also bspw. XyZ,123_Computerbase, XyZ,123_Amazon, XyZ,123_Ebay etc ... Mit einem Mindestmaß an Intelligenz könnte ein Mensch wohl problemlos von meinem CB Passwort auf mein Amazon oder Ebay Passwort schließen, aber ist das eurer Meinung nach ein Problem das Crawler bzw. Automatisierte Programme derzeit (oder in Absehbarer Zukunft) auch intelligent genug sind, das zu Verstehen.

Gruß
Pyrukar
 
Ich würde die Finger von schemenhaften PW lassen. Wenn das Schema einmal bekannt ist, dann gute Nacht :-(
 
  • Gefällt mir
Reaktionen: hax69, up.whatever, lazsniper und 2 andere
Wenn Passwörter aus unterschiedlichen Datenbanken gestohlen werden, erkennt man sehr schnell schemenhafte Passwörter. Würde ich nicht machen und lieber einen gut abgesicherten Passwortmanager mit zufälligen Passwörter nutzen.
 
  • Gefällt mir
Reaktionen: hax69, conf_t und _anonymous0815_
das ist niemals sicher. das würde ich sein lassen.
 
  • Gefällt mir
Reaktionen: _anonymous0815_
Das ist nicht viel sicherer als überall das gleiche Passwort. Man kann davon nur abraten.

Wenn es unbedingt so sein muss: benutze wenigstens unterschiedliche Stämme für Spaßprojekte (Computerbase u.a. Foren), und alles wo es ums Geld geht (Amazon, Ebay, Paypal, ...)

Alternativ gibt es "Password Hasher" als Browseraddon die machen aus XyZ,123 computerbase einen Hash (LFn4*tqn) und aus XyZ,123 amazon einen anderen Hash (BEL5"MxQ) und aus XyZ,123 ebay wieder einen anderen Hash (4zVP%LXD) damit ein eindeutiges Passwort für jede Seite und der Seitenbetreiber kann nicht sehen das du einen Hasher verwendest und welchen Stamm (XyZ,123) du dafür einsetzt.

Aber wenn wir schon bei Browser Addons sind kannst du auch gleich, ein richtigen Passwort Manager nehmen, der für jeder Seite ein echtes Zufalls Passwort mit hoher Entropie generiert.

Der Vorteil des Hashers ist lediglich das es überall funktioniert ganz ohne Passwort datenbank. Damit kommt man auch von unterwegs im Internet Cafe an seine Passwörter. Aber das war eine eigenschaft die eig. nur vor dem Smartphone Zeitalter relevant war. Heute hast du deine Passwörter immer inder Hosentasche mit dabei

Der Nachteil des Hashers ist ebenso... wenn jemand weis das du deine Passwörter so erzeugst. Und wenn dein Stamm nicht sicher ist. Dann kann damit jemand all deine Passwörter auf einen schlag knacken
 
  • Gefällt mir
Reaktionen: dermatu und _anonymous0815_
Die Entropie von Passwortmanagern oder dergleichen, wirst Du auf diesem Wege nicht erreichen und damit sind diese Passwörter eben nicht so sicher.

Prinzipiell heißt es ja auch: Passwortlänge > Komplexität.

Die Fritz!Boxen haben ein 20-stelliges, numerisches Passwort, was von EINEM normalschnellen Computer in ca. 70 Jahren geknackt würde.

Das ist nicht viel, aber ein komplexes Passwort mit z.B. 8 Zeichen 1%@h$K_L wäre laut https://www.security.org/how-secure-is-my-password/

In ACHT Stunden geknackt.
 
Je einfacher die Mustererkennung, desto.... der Satz braucht nicht ausformuliert zu werden, um zu wissen, wie er im Kontext der Frage ergänzt wird.
 
kieleich schrieb:
Der Nachteil des Hashers ist ebenso... wenn jemand weis das du deine Passwörter so erzeugst. Und wenn dein Stamm nicht sicher ist. Dann kann damit jemand all deine Passwörter auf einen schlag knacken
Zum Vergrößern anklicken....
Im Prinzip geht sowas schon, der Stamm muss halt entsprechend komplex sein.

Cloudflare hat z.B. eine Wand mit Lavalampen und knipst da aller paar Minuten Bilder und lässt sich davon den Hash ausgeben und nutzt das als SSL-Key.
Ergänzung ()

https://www.cloudflare.com/de-de/learning/ssl/lava-lamp-encryption/
 
  • Gefällt mir
Reaktionen: mae1cum77
Pyrukar schrieb:
Da ich PW Saves nicht wirklich vertraue
Zum Vergrößern anklicken....
Ich kann diese Einstellung bei Cloud-Managern ja nachvollziehen, aber was stört Dich denn an einer reinen Offline-Lösung wie Keepass?

Deine Schemen-Passwörter sind zumindest dann hinreichend sicher, wenn wo nur möglich 2FA verwendet wird.
 
  • Gefällt mir
Reaktionen: Dr. McCoy
nen passowrtsafe a la keepass kannst du ruhig verwenden, oder auch bitwarden.

bitwarden generiert auch passwörter und checkt, ob sie jemals bei nem leak aufgetreten sind.

2fa zusätzlich bei jedem dienst wo verfügbar.
 
An dieser Stelle ein kleiner Tipp zu einem (umfangreichen) Tool für die Passworterstellung:

Passwort Tech PW Generator
https://pwgen-win.sourceforge.io/

Der Programmierer Christian Thöing antwortet schnell auf Fragen oder Vorschläge.
(Habe für das Tool ein Spender Key gekauft.)

Die Funktionen des Tools übertreffen bei Weitem die Funktionen der eingebauten Generatoren der üblichen Passwortmanager. Das 77 Seiten Manual ist entsprechend umfangreich. ^^
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Dr. McCoy
Helge01 schrieb:
Wenn Passwörter aus unterschiedlichen Datenbanken gestohlen werden, erkennt man sehr schnell schemenhafte Passwörter.
Zum Vergrößern anklicken....
prinzipiell richtig, aber keine datenbank sollte(!) passwörter im klartext gespeichert haben. leider gibt es noch solche experten, aber unter der voraussetzung, dass nur hashes gespeichert werden, wäre der ansatz sicher.
 
Vigilant schrieb:
Je einfacher die Mustererkennung
Zum Vergrößern anklicken....
Das ist mir schon klar, dass das Muster supereinfach von Menschen Erkannt wird, die frage, die bisher unbeantwortetet ist: Wird eine Solche Mustererkennung schon Aktiv bei Hacker Programmen und Passwort Crawlern eingesetzt? Oder sind die immer noch Stumpf Copy Paste wird schon exakt das selbe sein.
Helge01 schrieb:
Würde ich nicht machen und lieber einen gut abgesicherten Passwortmanager mit zufälligen Passwörter nutzen.
Zum Vergrößern anklicken....
kieleich schrieb:
Heute hast du deine Passwörter immer inder Hosentasche mit dabei
Zum Vergrößern anklicken....
Und genau da schließt ihr von euch auf mich :) Ich habe ein Handy Ohne Biometische Sicherheitsfeatures. Dh wenn ich ein Sicheres Passwort an meinem Handy eingeben möchte dann ist das super umständlich. Außerdem Nutze ich ein Handy dass inzwischen Keine Android Updates mehr bekommt und außerdem auf ein Googlefreies Android setzt ( Mein Appstore ist FDroid und ja auch da gibts PW Manager, das ist mir schon klar, aber Thema Passworteingabe am Handy).
Und ich bin eben sehr regelmäßig in der Situation, dass ich an Fremden Geräten ein PW eingeben muss. Deshalb möchte ich ehrlich gesagt am liebten Passwörter die ich mir Merken kann, und auf einen PW Manager verzichten!

Wie wäre es denn eurer Meinung nach mit XyZ_Cmp,123 und XyZ_Amz,123, XyZ_Pyp,123, Ich meine Anfangsbuchstabe + die ersten beiden Konsonaten ist sicherlich etwas, was ein Mensch auch erkennen kann, aber da würde sich doch schon eine Mustererkennung vermutlich die Zähne ausbeisen oder?

Edit 1: Natürlich möchte ich Statt XyZ und 123 schon noch sinnvolle Passwortteile einsetzen, aber solange die gleich bleiben ists halt wurscht solange eine Datenbank gehackt wurde.

Edit 2: Es geht mir eigentlich hauptsächlich darum, dass ich Websites ohne Relevante Persönliche Info besser schütze, denn tlw. haben die bisher eben PWs von denen ich sogar weis, dass sie gebreached sind, aber wer interessiert sich schon für Random Forenzugang xyz. Worst case mein Nutzeraccount wird übernommen ... so what, mach ich mir eben einen neuen

Edit 3: die Paar Websiten die tatsächlich Zahlungsinformationen direkt hinterlegt haben, haben sowieso 2 Faktor und ein Einzigartiges Passwort ... ich nutze hier nur Amazon und Paypal, weils halt jeder kennt :D
 
Zuletzt bearbeitet:
du musst bei jeder seite von ausgehen das die das passwort im klar text haben.

wenn die seite gehackt ist kann jeder login mit gelesen werden.

ansonst reicht ein vergessenes debug log odgl aus.

desswegen ist es ja so wichtig für jede Seite ein eigenes, unabhängig zufälliges, Passwort zu haben damit Leak bei Seite A nicht auch deine allen anderen Accounts betreffen

ansonsten soweit möglich auch überall 2FA aktivieren, das arbeitet auch schlicht, mit einen Hash
 
Pyrukar schrieb:
Deshalb möchte ich ehrlich gesagt am liebten Passwörter die ich mir Merken kann, und auf einen PW Manager verzichten!
Zum Vergrößern anklicken....
Nutze Passphrases. Problem gelöst.
Ergänzung ()

Pyrukar schrieb:
Wird eine Solche Mustererkennung schon Aktiv bei Hacker Programmen und Passwort Crawlern eingesetzt? Oder sind die immer noch Stumpf Copy Paste wird schon exakt das selbe sein.
Zum Vergrößern anklicken....
Nein, die sind alle doof und ackern die riesigen Leak-Dateien, die man im Darknet bekommt, alle per Hand durch. Sorry, aber soviel Naivität ist echt nicht gut. Das ist ein automatisierter Prozess. Und natürlich kann man in einem Datenbestand von Klartextpasswörtern nach Mustern suchen.
 
Evil E-Lex schrieb:
Das ist ein automatisierter Prozess. Und natürlich kann man in einem Datenbestand von Klartextpasswörtern nach Mustern suchen.
Zum Vergrößern anklicken....
Mir ist bewusst, dass das ein Automatisierter Prozess ist, und mir ist natürlich auch bewusst, dass das Technisch absolut Möglich ist, die Frage ist doch die: Wird der Aufwand aktiv betrieben oder werden zu 99% sowieso nur die Low hanging fruits abgeerntet?

Ich meine wie viel Milliarden Spam Emails werden täglich versendet und wie viele davon sind tatsächlich gut genug gemacht, dass der Versierte Normalbürger ernsthaft darauf reinfällt. Nur weil etwas Technisch machbar ist heist es noch lange nicht dass es aktiv ausgenutzt wird, gerade wenn der Aufwand eigentlich zu hoch für den Nutzen ist...

Wie gesagt: es geht mir nicht um Wertvolle Online Accounts sondern um Accounts die halt eigentlich keinen Wert haben, die aber dennoch Eine Email und Passwort benötigen.
 
Pyrukar schrieb:
Wird der Aufwand aktiv betrieben oder werden zu 99% sowieso nur die Low hanging fruits abgeerntet?
Zum Vergrößern anklicken....
Da man das problemlos automatisieren kann, ist es kein Aufwand.

Niemand interessiert sich für deinen Account im Hundezüchterforum.
 
  • Gefällt mir
Reaktionen: FSMP1337
Einfach auf die Tastatur amok schlagen

3ü409qirep5wor67g8gjw495p6ztn

und anschliessend noch Sonderzeichen einfügen und Groß/Kleinbuchstaben

3ü4W09qir'ep5wor6!7g8gBjw495p=6ztn

(Ein herkömmlicher PC könnte dein Passwort innerhalb von
795 Nonilliarden Jahren knacken.)


Dieses Passwort in einem Archiv speichern (und mehrfach absichern, auf unterschiedlichen Festpaltten, usb sticks)
 
Geringverdiener schrieb:
Dieses Passwort in einem Archiv speichern (und mehrfach absichern, auf unterschiedlichen Festpaltten, usb sticks)
Zum Vergrößern anklicken....
Oder man nutzt einfach Passwortmanager, die machen genau das (sogar portable möglich) und noch mehr und achten auch auf Dinge, die du als Normalo nicht im Kopf hast (z.B. temporär angelegte Dateien zu verschlüsseln, oder die Zwischenablage zu löschen). Meine Kombo ist schon seit langem
  • Desktop-Rechner: Keepass + HIBP Offline Check
  • Smartphone (nutze auch Fdroid mit CalyxOS): KeepassDX
  • Datenbank liegt in der selbst administrierten Nextcloud
 
  • Gefällt mir
Reaktionen: BeBur, Geringverdiener und _anonymous0815_
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz