1Password - Intelligentes Passwort gleiches Muster und Länge

[Falc410]

ich das zuverlässig zu merken ist zumindest ambitioniert und führt am Ende nur dazu, dass man für viele Dienste dann halt doch ein Standardpasswort wählt.

Deswegen mein Hinweis zu Supergen Pass. Damit komme ich auch an meine Dienste ran wenn ich meinen Passwort Safe nicht zur Hand habe. Das Thema 2FA sorgt natürlich dafür, dass man ohne Handy wirklich aufgeschmissen ist.

 

[blackbirdone]

Hi,

man sollte aber schon anmerken, dass die Zeit, ein solches Passwort zu knacken, um etliche Größenordnungen geringer ist als ein "normales" Passwort gleicher Länge und Komplexität, wenn die Faktoren "Länge", sowie auch noch "Muster" und "mögliche Zeichen an Stelle xy" so klar sind.

Fixe 19 Stellen: alles darunter und darüber kann man vernachlässigen.
Stelle 1-3 nur Buchstaben: sämtliche Zahlen und Sonderzeichen fallen raus.
Stelle 4 nur Zahl/Sonderzeichen: sämtliche Buchstaben fallen raus.

Und so weiter und sofort. Das ist kryptografisch gesehen schon massiv schlechter als ein Passwort beliebiger Länge und ohne Muster.

Seiten wie "checkdeinpasswort" errechnen die "Knackdauer" eben unter der Annahme, dass alle Stellen zufällig sind und keine Muster oder dergleichen vorliegen.

"Schnell mal knackbar" ist es deswegen nicht. Aber "unsicherer" definitiv.

VG,
Mad

Das ist so nicht korrekt. Denn es setzt voraus das du davon weißt und das genau dieses Passwort diese Kriterien erfüllt.

Das Passwort ist damit immernoch zufällig und genauso sicher wie ein random Passwort. In der Theorie könnten wir das jetzt reduzieren, da aber in der Praxis keiner weiß was hinter den hashes steht, bringt das niemanden was.

Vorallem saltet hashes lassen sich nicht vorrausberechnen.

Its also ein rein theoretisches Problem und hilft dem TE nicht. Seine Passwörter sind sicher. Genauso sicher wie ein random Passwort. Denn es setzt wissen voraus welches ein Angreifer nicht haben kann. Okay jetzt schon weil der TE die gepostet hat und man weiß das sein Account solche nutzt.....

 

[Falc410]

Seine Passwörter sind sicher. Genauso sicher wie ein random Passwort.

Wenn ihr meinen Link zu dem Generator von Kasperky gelesen hättet, würdet ihr sehen, dass die Passwörter vermutlich nicht sicher wenn sie so einem Schemata entsprechen. Aber das sind natürlich Laborbedingungen, in der freien Wildbahn weiß der Angreifer nicht mit welchem Tool User X seine Passwörter erzeugt hat. Wäre ich aber eine entsprechend gefährdete Person und es würde hier um sensible Daten gehen (z.B. Journalist verschlüsselt Datenträger mit Quellen) dann würde ich den generierten Passwörtern nicht trauen.

 

[calippo]

Vorteil dabei, man kann sich die Passphrasen problemlos merken,

Also ich kann das leider nicht, drei vier Passphrasen vielleicht, aber dann wird es schwer. Zumal unterschiedliche komische Vorgaben existieren, Buchstaben, Sonderzeichen, minimale und maximale Länge, nur Zahlen.

Zudem habe ich über 200 Einträge in meiner PW Datenbank...

 

[Madman1209]

Hi,

Das ist so nicht korrekt. Denn es setzt voraus das du davon weißt und das genau dieses Passwort diese Kriterien erfüllt.

genau das weiß ich doch im Falle des TE. Bzw. wenn 1Password das immer macht: bei Allen, die das nutzen.

VG,
Mad

 

[obama]

Danke euch allen schon einmal für die hilfreichen Antworten!
Ich habe heute alle meine Passwörter, die diesem Schema entsprachen in zufällige Passwörter geändert. Sicher ist sicher! Habe auch mal eine Mail an 1Password bzw. deren Support gesendet und werde hier berichten
Ansonsten gibt es diese Funktion nicht explizit beim MacBook. Dort werden zwar auch zufällige Passwörter bei Websites angezeigt, aber es wird nicht "intelligentes Passwort" genannt, aber diese scheinen kein Muster aufzuweisen, außer, dass die Länge wohl immer gleich ist, aber eben nicht 19 Stellen beinhalten.
Auch macht mein Bowser-Add-on bei Seiten von Banken (getestet bei der DKB) bei Wahl "intelligentes Passwort" doch ein anderes und nicht nach dem Schema. Inwieweit dieses Schema mit meinem PC/Browser verknüpft ist, weiß ich nicht. Hier wären die Berichte anderer User interessant

 

[obama]

Habe eine Antwort vom Support erhalten. Ganz hilfreich ist sie nicht, gibt aber immerhin etwas Auskunft:

Thank you for reaching out. My name is [XYZ], and I am happy to be your assistant for the day.

Instead of giving a random password that follows the rule you set in the password generator, 1Password will generate a password by finding your website's password requirements first from a database and a specific attribute in the site's HTML. If it can't find the requirements, 1Password will return to default settings and create a strong password using the most ubiquitous requirements of most sites. Most sites only require their users' passwords to be eight characters or longer, at least one special character, one capital letter, one lower case letter, and one number. I would say a password is perfectly safe with eight to twelve characters, and it is hugely overkilling to have eighteen characters.

That said, the longer a password, the more secure it is. It should not matter if someone knows the length of a password generated by 1Password because they will never be able to find your password even with the help of a supercomputer.

Thank you for using 1Password. Please let me know if you need more information.

Best regards,

Oder was hält ihr davon?

 

[Madman1209]

Hi,

nein. Auf die eigentliche Frage wird ja soweit ich das sehe nicht mal eingegangen...

VG,
Mad

 

[Falc410]

Ich finde das ja eher noch schlimmer, das heißt, wenn man weiß dass jemand mit 1Password für Seite X ein Passwort generiert hat, kann man vielleicht eben doch Rückschlüsse auf den Seed ziehen wenn die für jede Seite spezielle Einstellungen hinterlegt haben.

 

[obama]

das heißt, wenn man weiß dass jemand mit 1Password für Seite X ein Passwort generiert hat, kann man vielleicht eben doch Rückschlüsse auf den Seed ziehen wenn die für jede Seite spezielle Einstellungen hinterlegt haben.

Bin bin hier aber nicht sicher, ob es bei jedem gleich ist. Mein MacBook schlägt bei den gleichen Seiten andere Passwörter vor. Bisher ohne erkennbares Muster. Aber die Länge ist immer gleich.
Ansonsten kann man aber im Firefox-Add-on ändern, was vorgeschlagen wird als direktes einfügen. So kann man auch weg vom Standard "Intelligentes Passwort" zu "Zufälliges Passwort" und dort seine Präferenzen angeben. Hier sind die Passwörter dann zufällig (soweit eben möglich, wie ich hier gelernt habe). Nur die Länge hält sich eben an den Vorgaben. Genauso, ob, Ziffern und/oder Symbole enthalten sein sollen.

Wäre wirklich interessant zu wissen, wie es bei anderen aussieht und ob sie auch ein Muster haben und wenn ja, ob es das gleiche ist?!

Denn die Option "Intelligentes Passwort" gibt es beim Mac nicht. Dort wird einfach eins vorgeschlagen, wenn man auf ein Feld mit Passwort klickt, wo man sich registrieren kann.

 

[Evil E-Lex]

Denn die Option "Intelligentes Passwort" gibt es beim Mac nicht.

Meine Windows-Version hat die auch nicht:

Welche Version von 1Password nutzt du? Ich hab die 7.7.810.

 

[obama]

Welche Version von 1Password nutzt du?

Die gleiche Version. Also die aktuelle. Bei dem Desktop-Programm habe ich aber auch die Funktion „Intelligentes Passwort“ nicht und darüber scheint auch nicht die Autofill-Funktion zu laufen. Das läuft wohl über das Browser-Add-on, wo ich eben die Funktion „Intelligentes Passwort“ habe. Ich nutze unter Windows die aktuelle Version von Firefox und das entsprechenden Add-on von 1Password. Und wenn man auf das Icon oben klickt und dann auf Passwortgenerator, kann man wählen. Darüber bzw. über die Wahl, was benutzt werden soll, läuft dann auch die Autofill-Funktion, wie ich bisher feststellen konnte.

 

[Evil E-Lex]

Das läuft wohl über das Browser-Add-on,

Der Screenshot von mir ist das Browser-Add-On.

Ahh, Rätsel gelöst:

Ich nutze die "Classic Extension". Die läuft im Gegensatz zur neuen Variante nicht ohne installierte App. Da ich rein im Browser lebenden Passwortmanangern nichts abgewinnen kann, nutze ich die moderne Version nicht.
Die "Classic Extemsion" war bis zum Erscheinen von 1Password X die normale Version.

 

[obama]

Hey Leute,
mir kam diese Sache die letzten Tage doch wieder in den Kopf, lies mich nicht ganz los, weil die letzte Antwort doch unbefriedigend war. Ich habe deshalb im dortigen Forum mal nachgefragt und diesmal eine viel bessere Antwort (mMn) erhalten:

Great question


When the entropy is strong enough, patterns are not as important. You can have a predetermined pattern in 16-18 characters long passwords and it will be uncrackable if the passwords are randomly generated with strong entropy in mind, it would take hundreds/thousands of years to crack with current day technology.


We update our smart passwords recipe from time to time according to how well they're being accepted on most websites. Up until recently, it was around 20-21 characters long, and we've reduced it to comply with even more websites, when we can't read the specific requirements of the website, we fall back on our default which is now a 19 characters long password.


You are correct that patterns in passwords could weaken them, but that is only of they were not randomly generated, short and do not contain a mix of lowercase+uppercase+digits+symbols. For example, if you generate passwords that are 12 characters long and contain 4 lower case letters, 4 digits and 4 lower case letters, that would be considerably weaker due to it being shorter and with lesser entropy. You can strengthen Entropy by adding other types of characters (mix uppercase/lowercase, add symbols etc).


You can also find password strength calculators online and paste some of these smart passwords in it to see how the passwords perform there, just make sure not to use these passwords for real later on

Was denkt ihr darüber?

 

[PHuV]

Genau das macht ja mein Vorschlag:

Nö. 😄 Sicher ja, Bomensicher nein. Du hast hier zuwenig Zufall mit Wörten, was man aus einem Wörterbuch generieren könnte. Das hier wäre bombensicher: ·¦øïÞJ£÷aUY'*zýú{îâÏ3§gyÚhz;Û[Ás

Die Entropie ist hier groß genug und die Anzahl der Zeichen ausreichend. BruteForce würde hier eben scheitern, da der Rechenaufwand hier enorm ist. Nur ist ein solches Kennwort nicht mehr merkbar, geschweige denn viele davon.

Ja, alles was da steht ist richtig. Sobald ein Muster mit festen Bestandteilen da ist, wird das Erraten leichter. Nur völliger Zufall und Länge garantiert die höhere Sicherheit. Aber wie schon wo anders von mir gesagt, Kennwörter zu sichern ist irrelevant, besser ist 2 Wege Authentifizierung und Zertifikate.

 

[Madman1209]

Hi,

You are correct that patterns in passwords could weaken them, but that is only of they were not randomly generated

das widerspricht sich in meinen Augen. Wenn es Pattern bei der Generierung gibt (" 3 Buchstaben, dann eine Zahl, dann zwei Sonderzeichen, dann wieder eine Zahl, dann ein Sonderzeichen...") dann ist es eben per Definition NICHT "randomly generated". Wenn ich das Pattern eines Passworts kenne ist der Aufwand es zu knacken um Größenordnungen kleiner als bei einem wirklich "randomly generated" Passwort. Eben weil ich bestimmte Dinge schon im Vorfeld ausschließen und festlegen kann. Die Möglichkeiten sinken damit rapide.

Wie relevant das in der Praxis ist müsste man berechnen oder testen, aber im Grunde reduziert man eben mit solchen Pattern massiv die Komplexität und die Entropie.

Schönes Beispiel, wie solche bekannten Pattern bei der Passworterstellung fürchterlich nach hinten losgehen können: Samy Kamkar's "How i met your girlfriend" auf der defcon.

VG,
Mad