grundlegende Verschlüsselungsfrage

[ThomasK_7]

Hallo Auskenner,
ich habe eine grundlegende Anfängerfrage zur gängigen Verschlüsselungstechnologie für Passwörter.
Ich habe mir für einige Webseiten ein neues Passwort zugelegt, weil meine alten entweder zu kurz waren oder keine Ziffern enthielten.

Leichtsinnig habe ich mir ein erstbestes längeres, real existierendes Wort + eine zweistellige numerische Zahl ausgewählt und verwendet.
Nun kommen mir Zweifel, ob es nicht doch zu leicht knackbar ist, weil das 11stellige Wort schon die Kombination "sch" und "ch" enthält (1.Teilwort, 2.Teilwort).

Falls die Verschlüsselung für jeden gleichen Buchstaben das gleiche Verschlüsselungsäquivalent generiert, wäre meiner Meinung nach im Bereich der realen Wörter das schon sehr eindeutig zuordenbar, denn die wiederholende Kombination aus "sch" und "ch" ist in der deutschen Sprache meiner Meinung nach schon sehr stringend geordnet. So gibt es meines Wissens keine direkte Folgekombination aus "schch" und diese 5 Buchstaben machen schon rd. 45% des Gesamtwortes aus.
Wie sieht das denn mit der Erkennbarkeit der Verschlüsselung von numerischen Zahlen innerhalb eines Passwortes aus?
Lässt sich im Verschlüsselungsäquivalent das ganz gut mutmaßen, an welcher Stelle des Passwortes numerische Zahlen stehen?

Klar könnte ich mir jetzt dort überall ein neues Passwort mit sinnlosen Buch- und Zahlenkombination, gepaart mit Sonderzeichen zulegen, aber das kann ich mir doch unmöglich merken und an Fremdcomputern wäre auch kein persönlicher Passwortmanager verfügbar und generell nutze ich solch ein Programm nicht, weil ich nicht einen Generalschlüssel erzeugen möchte.
Ich bin da ganz oldschool, so mit Zettel im Safe für den Fall der Fälle des Ablebens bzw. im Ordner für den Vertretungsfall.
Im Ganzen habe ich so 6-7 Passwörter für den alltäglichen Bereich, Schwierigkeit gestaffelt nach finanziellem Disaster im Fall einer Entdeckung. Also für ein Forum ein ganz einfaches Wort und für banking usw. schon ein Kunstwort mit Ziffern, aber jetzt nichts ellenlanges.

Verzeiht die Frage, aber ich denke, bei einer Google-Suche bekomme ich jede Anzahl von technisch überbordenden Beschreibungen über x-Verschlüsselungstechnologien ohne Angabe, was davon üblicherweise so verwendet wird und mit zu vielen Fremdwörtern.

 

[Dr. McCoy]

Leichtsinnig habe ich mir ein erstbestes längeres, real existierendes Wort + eine zweistellige numerische Zahl ausgewählt und verwendet.

Für jeden Login das gleiche Wort, nur mit dem Unterschied der zweistelligen Zahl?

Nun kommen mir Zweifel, ob es nicht doch zu leicht knackbar ist, weil das 11stellige Wort schon die Kombination "sch" und "ch" enthält (1.Teilwort, 2.Teilwort).

Nun, ein "Wörterbuch-Wort" plus zwei Zahlen, das ist kein gutes "Passwort". Bilde Dir besser aus Merksätzen Passwörter aus den Anfangsbuchstaben der Wörter plus Zahlen/Sonderzeichen.

Klar könnte ich mir jetzt dort überall ein neues Passwort mit sinnlosen Buch- und Zahlenkombination, gepaart mit Sonderzeichen zulegen,

Wie auch immer Du es drehst und wendest: Simpelste Kombinationen aus Wörterbuch-Wort plus wenige Zahlen sind keine Passwörter im Sinne des Erfinders!

aber das kann ich mir doch unmöglich merken und an Fremdcomputern wäre auch kein persönlicher Passwortmanager verfügbar

Naja, an Fremdcomputern sollte man ohnehin sehr vorsichtig mit der Eingabe persönlicher Logindaten sein. Da braucht nur ein unvorsichtiger anderer Nutzer des betroffenen Fremd-PCs zuvor eigenhändig eine Malware installiert zu haben, oder die Absicherung des Systems wurde, wie so häufig, stark vernachlässigt, und es gelang "Drive-By" ein Keylogger auf's System. Dann kann das Passwort noch so gut sein, wenn es hier abgegriffen wird, ist es verbrannt.

 

[PUNK2018]

Bei einer Sinnvollen Verschlüsselung lässt sich nicht ein Teil der Verschlüssellung zurückführen auf eventuelle Wortsegmente...

also Bspw. Eisenbahn --> 15718jksd

1 = e

So wirds nicht gemacht, eine "vernünftige" Verschlüsselung umgeht so einen Fall.

Aber Grundsätzlich.. Wörterbuchangriff + Zahlengenerator = dein PW

Lieber ein nicht-wort + etwaige zahlen + 2-3 Sonderzeichen...

BSPW: E1senb4hn?!

Ist schon deutlich schwerer zu knacken...

 

[Madman1209]

Hi,

also zunächst einmal: Passwörter werden nicht verschlüsselt, sondern gehasht! Das ist ein Unterschied, da ein Hash (im Idealfall) nicht umkehrbar ist. Außerdem verwendet man - zumindest sollte man das heutzutage - einen SALT mit dazu, was die Entropie nochmals erhöht.

Der Einfachheit halber würde ich dir einen Passwortmanager empfehlen, der das ganze für dich übernehmen kann. Da gibt es einige, die für dich extrem starke Passwörter erzeugen, welche dann auch automatisch für dich verwaltet werden, nachdem du dich mit einem Masterpasswort oder heutzutage deinem Fingerabdruck angemeldet hast. Dadurch brauchst du dir bei solchen Sachen keinen Kopf mehr machen.

Die Unsicherheit liegt dann viel eher beim Anbieter der jeweiligen Seite - nicht umsonst sind es riesen Skandale, wenn z.B. Sony Passwörter im Klartext speichert!

VG,
Mad

 

[zazie]

Ich kann viele deiner Überlegungen sehr gut nachvollziehen, weil ich die PW-Problematik seit mehr als 20 Jahren mit mir herum schleppe und während dieser Zeit das Gedächtnis ja nicht unbedingt besser wird ...

Ich rate dir zu einer (seit laaaangem kursierenden) Methode, die sich individualisieren lässt: Akronym verwenden, also eine Abkürzung bekannter Wörter/Namen/Begriffe:

DMia,dgSp,aHhuk

Das ist jetzt eigentlich schon fast zu simpel, zeigt aber das Muster: Es sind die Anfangsbuchstaben von "Der Mond ist aufgegangen ..."
Du nimmst also einen dir auch im Vollsuff bekannten Satz und ein Muster daraus (es können auch die zweiten statt der ersten Buchstaben sein oder wie auch immer), der mindestens ein Dutzend Zeichen umfasst, ergänzt dann mit weiteren Buchstaben/Zahlen/Sonderzeichen, die einen Bezug zum Einsatzort des PW haben:
D_eB001?Mia,dgSp,aHhuk
Damit kommst du nach kurzer Eingewöhnungszeit weit - und bist von der Verschlüsselung her sicher unterwegs.

 

[MrStools]

Wenn du dir ernsthaft Gedanken um sichere Passwörter machst, dann musst du überall ein anderes, langes, kryptisches nehmen, sonst hebelst du das ganze Prinzip gleich wieder aus.

 

[Madman1209]

Hi,

und bist von der Verschlüsselung her sicher unterwegs

überall das gleiche Passwort? Dann kann es noch so lange sein, dann ist es per Definition nicht sicher. Hatte ich ja oben schon geschrieben:

nicht umsonst sind es riesen Skandale, wenn z.B. Sony Passwörter im Klartext speichert!

jede Anmeldung ein eigenes, sicheres Passwort. Alles andere ist, egal wie lange, nicht sicher, weil dann eine Kompromittierung ausreicht und alle deine Logins sind betroffen!

VG,
Mad

 

[BeBur]

Eine wirklich sinnvolle Alternative zu Passwortmanagern gibt es heute eigentlich nicht. Dafür gibt es einfach zu viele Logins.

 

[ThomasK_7]

Es ging mir nicht um das ultimative sichere Passwort, sondern um die Frage, ob aus der üblichen Verschlüsselung heraus erkennbar ist, ob gleiche Buchstaben oder Zahlen in der Passphrase verwendet wurden.

Ich bin nicht so ambitioniert, überall ein Passwort in hoher Sicherheitsstufe zu benutzen.
Ich möchte auch nicht von einem Passwortsafe/-Manager abhängig sein, auch wenn dieser das Handling sehr vereinfachen würde.
Das übliche Geschäftsmodell kommerzieller Programme ist doch, ohne Abozahlung kein herausrücken der Passwörter, oder?
Ich nutze auf meinen Geräten in den letzten Jahren sehr zufrieden Norton Internet Security (5er Version), der hätte sogar einen PW-Manager/-Safe. Aber ob man da nach Ablauf der Jahresfrist noch an seine Daten kommt, ich weis es nicht?

 

[scooter010]

Ich hatte mir Mal eine Zeit lang kein Passwort ausgedacht sondern eine Art "Verschlüsselung". Name oder Adresse des Dienstes genommen und dann z.B. 2Buchstabe +3 im Alphabet, Länge des Namens, 4. Buchstabe von Recht ist der x. Buchstabe, als x Mal auf der Zahlenreihe abzählen und das Sonderzeichen auswählen usw. Problem war dann nur, dass es irgendwann "Kollisionen" gab, also 2 Dienste doch das gleiche PW besaßen oder ich nach Fusionen und Umbenennung en irgendwann nicht mehr wusste, welchen Dienstnamen ich verwendet hatte (Skype, Microsoft, Live, Windows, MSN, Office Onedrive... ?)

Grundsätzlich, ja. Es gibt sog. Rainbow Tables für die Wörterbücher und die häufigsten Passwörter. Somit kann man am Hash sehen, welches ursprüngliche Passwort verwendet wurde.
Wenn aus "Passwort" Mal 123 und Mal ABC würde, wie soll der Dienst dann wissen, ob das Passwort korrekt ist?
Deswegen soll man heute eigentlich "gesalzene" Passwörter speichern. Bedeutet: Nachdem du dein Passwort eingegeben hast hängt der Dienst eine nur ihm bekannte 128-1024 Bit Zufallszahl hinten ran und hasht dann erst und speichert nur den Hash. Somit kann man dann anhand des hashes das Passwort nicht mehr rekonstruieren.

 

[Poati]

Es scheint dich ja zu interessieren. Wie schon angemerkt werden Passwörter gehasht. Um da ein Verständnis zu bekommen solltest du dich mit den Eigenschaften einer kryptografisch sicheren Hashfunktion anschauen. Preimage resistance etc.

Hash kommt tatsächlich ausm englischen und bedeutet plumb Hack. Das Problem bei solchen Funktionen ist also aus dem Ergebnis wieder die Eingabewerte herzustellen. Probiere mal aus einer Portion Hack wieder das Stück Fleisch zu gewinnen -> keine leichte Aufgabe. Desweiteren wird gefordert, dass bspw. die Hashwerte zu "Apfel17" und "Apfel16" komplett unterschiedlich aussehen.

Passwörter, die bekannte Wörter enthalten, sind schlecht, da diese bei Brute-Force-Angriffen unter Einsatz von Wörterbüchern geknackt werden können. Dann probiert ein Angreifer bspw. "Apfel" gefolgt von Ziffern und Sonderzeichen und kommt zum Erfolg.

 

[NeoExacun]

Es ging mir nicht um das ultimative sichere Passwort, sondern um die Frage, ob aus der üblichen Verschlüsselung heraus erkennbar ist, ob gleiche Buchstaben oder Zahlen in der Passphrase verwendet wurden.

Nein, aus zwei Gründen:

• Passwörter werden nicht verschlüsselt, sondern gehasht. Dabei ändert sich das Ergbnis mit jeder Änderung des Inputs enorm. Egal ob gleiche oder unterschiedliche Zeichen benutzt werden.
• Selbst wenn verschlüsselt wird, wird heutzutage keine derart simple Methode dafür genutzt (du hast vermutlich so etwas wie die Cäsar-Chiffre im Kopf), sondern deutlich komplexere Verfahren, die sich nicht nur einzelene Zeichen anschauen.

 

[BeBur]

Ich hatte mir Mal eine Zeit lang kein Passwort ausgedacht sondern eine Art "Verschlüsselung".

Hatte ich auch damals vor 10 Jahren. Ein weiteres Problem besteht darin, dass sich alle Passwörter erraten lassen wenn ein Angreifer an nur zwei heran kommt.

 

[florian.]

Keepass /lastpass und wie sie alle hießen sind komplett kostenlos.

und zu deiner anderen Frage:
Wie schon beantwortet, aus dem Hash lässt sich nicht erkennen ob im Passwort ein "sch" steckt"

 

[Valvana]

Es ging mir nicht um das ultimative sichere Passwort, sondern um die Frage, ob aus der üblichen Verschlüsselung heraus erkennbar ist, ob gleiche Buchstaben oder Zahlen in der Passphrase verwendet wurden.

Das Passwort wird normalerweise (aber leider nicht immer) gehasht und nicht verschlüsselt.
Bei einem gehashtem Passwort kann man nicht auf irgendwelche gleiche zeichen oder ähnliches kommen.

Ich nutze auf meinen Geräten in den letzten Jahren sehr zufrieden Norton Internet Security (5er Version), der hätte sogar einen PW-Manager/-Safe. Aber ob man da nach Ablauf der Jahresfrist noch an seine Daten kommt, ich weis es nicht?

Ich würde dir KeePass empfehlen.
Sieht ein bisschen altbacken aus, aber es ist Kostenlos und deine Passwörter sind verschlüsselt bei dir und nicht in irgendeiner Cloud bei z.B. Northon.
Also bist du komplett unabhänig von irgendwelchen Abos oder ähnlichem.
Du kannst die Passwörter dann mit einem Passwort schützen. Falls du dir das nicht merken willst geht auch z.B. eine Passwortdatei oder auf z.B. Mobilgeräten (Android) der Fingerabdruck.

 

[scooter010]

Nochmal zusammengefasst:
Hash ist eine mathematische "Einwegfunktion". Ein Beispiel hierfür ist das "Exklusive oder" auch Xor genannt. Siehe Wikipedia
Man kann also aus dem Ergebnis eines Hashes das ursprüngliche Passwort nicht "errechnen". Man kann sich aber, wie oben erwähnt, einfach für gaaaaanz viele mögliche und oft genutzte Passwörter eine mehrere TB große sog. Rainbowtable errechnen. Dort stehen dann für viele Passwörter (das ganze Wörterbuch und die 10.000 bis 1.000.000 häufigsten Passwörter "Passwort1234" ist häufig) die Hashwerte. Wenn man nun die Datenbank einer Webseite hackt und die Hashwerte ran kommt sieht man: email@adresse.net hat hash "xyz".

Gemäß Rainbow-Table ist dies das Hash für "Passwort". Die Hacker probieren dann, ob sie sich mit dieser Kombination bei der Mailadresse selbst eingeloggt bekommen, bei Paypal, Amazon usw.

"Passwort1234"   (SHA-1 fd3f1990751fc3d0346193aee8c90720057650c6) und
"Passwort 12345" (SHA-1 ca224f0956bcb21c33b2b3c8171aa743bd7d7f77)

haben aber, wie man sieht, komplett unterschiedliche Hashwerte. Trotzdem ist ein Wörterbuch-Wort + eine zweistellige Zahl unsicher.

"Passwort14"     (SHA-1 e1efeb5c940a947ce93972429836de7206c7b1ee) ist ebenso unsicher wie
"Zeitmaschine78" (SHA-1 97f1ee8e47a2db88881a00110af93b2d7747ab19).

Deswegen nutzen "gute" Dienste den Salt, damit bei einem möglichen Datenverlust kein "Klartextpasswort" ermittelt werden kann. Am Besten ist es, wenn das Passwort vor Übertragung noch im Browser gehasht wird und anschließend auf dem Server mit einem Salt versehen und erneut gehasht wird. Erst dieser Wert steht in der Datenbank. So ist sichergestellt, dass der Anbieter das eigentliche Passwort niemals "sieht".

 

[Kenny [CH]]

Falls die Verschlüsselung für jeden gleichen Buchstaben das gleiche Verschlüsselungsäquivalent generiert, wäre meiner Meinung nach im Bereich der realen Wörter

monograpische und monoalphabetische Ciphers werden heute nicht mehr oft eingesetzt.
Der bekannteste Cipher, welcher monographisch und monoalphabetisch ist, ist der Caesar Cipher.

Die meisten modernen Cipher die ich kenne sind polyalphabetisch - D.h. ein A kann verschlüsselt zu eine H werden, ein anderes A jedoch zu einem X, aber auch wieder zu einem A.

Passworte werden gehascht. Dabei wird Eine Message in kleinere Blöcke aufgeteilt und jeder Block wird durch eine Einwegfunktion geleitet. Das Resultat der Funktion wird "meistens" mit XOR mit dem Resultat des Blockes davor verknüpft. Das wird solange gemacht, bis kein Block mehr vorhanden ist und der Hash wird gesetzt.
(Wenn die Message kleiner ist, als zb. 512Bit bei Sha1, wird die Message mit einem Padding versehen - in der regel viele 0, bis die Nachricht mind. die Grösse hat, welche die Funktion benötigt).

Beim Salting (was heute eingentlich jeder machen sollte), wird das Passwort mit einem Salt verknüpft und erst dann wird die Hash funktion aufgerufen. Damit wird verhindert, dass man x thausende Passworte vorgenerieren kann und von dennen ihren Hash. Denn diese Hashes (ohne Salt) würden bei einem Angriff relativ leicht geknackt werden und man kann sehr oft einen Hash mit einfachem Googeln in Klartext übersetzten lassen.
Denn Hashing ohne Salt generiert immer den gleichen Hashwert:
ABC => MD5(902fbdd2b1df0c4f70b4a5d23525e932)
3e45af4ca27ea2b03fc6183af40ea112 => Was könnte das sein?

Hashing ohne Salt sind anfällig für Rainbow table attacks

 

[PS828]

Ich sichere meine Passwörter im safe auf papier.
Vergess ich eins schau ich nach

Aber grundsätzlich muss man leider durch und kommt um eine getrennte Aufbewahrung einzigartiger Passwörter nicht herum. Dafür hat man dann auch entsprechende Sicherheit.

Dazu kommen Techniken wie zwei Wege Authentifizierung. Sowas nach Möglichkeit nutzen und bei den Diensten jeden login per Mail melden lassen. So kann man unbefugte Zugriffe gut erkennen und im Zweifelsfall alles sperren.

Ich hab auch so einen killcode aufm Handy. Wird der entsperrcode 10 mal in Folge falsch eingegeben werden alle Daten des Telefons + Simkarte und Speicherkarte gelöscht. Zusätzlich wird die Position übermittelt.

 

[scooter010]

Ich hab auch so einen killcode aufm Handy. Wird der entsperrcode 10 mal in Folge falsch eingegeben werden alle Daten des Telefons + Simkarte und Speicherkarte gelöscht. Zusätzlich wird die Position übermittelt.

Total super, wenn man kleine Kinder hat und die mal eben versuchen, die Lieblingsserie an zu machen, wenn Papa mal nicht hin schaut...

 

[PS828]

Total super, wenn man kleine Kinder hat und die mal eben versuchen, die Lieblingsserie an zu machen, wenn Papa mal nicht hin schaut...

Gibt Dinge die trägt man immer bei sich. noch sind keine Kinder unterwegs aber selbst für so einen Fall hat man natürlich eine Sicherung im Haus.
Also passt schon. Musste ich bisher noch nie machen