MoonTower schrieb:
Das ist doch alles Humbug(ck)! Diese ganzen Schrottpasswörter werden doch zu 99% nur in 1x Wegwerfportalen genutzt. Und die werden wohl am Leichtesten "abgegriffen".
Die 99% sind halt fröhlich ausgedacht. Viele professionelle Portale pfuschen mit ihrer Sicherheit und da können wunderbar Passwörter gezogen werden. Da viele Nutzer ihre Passwörter bzw. Bestandteile fröhlich recyclen kann davon ausgehend fröhlich weiter erkundet werden.
Magellan schrieb:
So eine Top Liste der meistgenutzen Passwörter ohne die Nennung der jeweiligen Häufigkeit ist halt komplett sinnlos.* Die Top10 können nur solche Trivialpasswörter sein, anders geht es nicht, ein sicheres Passwort kann per Definition keines sein welches so viele nutzen, dass es in den Top10 landen könnte.
Du hast Relation nicht verstanden.
silentdragon95 schrieb:
Gegenargument: Wieso sollten Kriminelle die Energie aufwenden, diese abzugreifen?
Zum einen kann man mit den gewonnen Logins/Passwörtern fröhlich versuchen bei anderen Diensten Logins zu betreiben und zum Anderen kann man mit größeren Passwortverzeichnissen wunderbar seine eigenen Werkzeuge schärfen. Es ist ja mindestens anzunehmen, dass die Nutzer·innen alle sehr ähnliche Fehler machen. Es ist also durchaus sinnvoll das knacken bekannter Passwörter zu üben (Algorithmen zum Erzeugen der PWs anpassen bzw. heute "KI" drauf werfen).
Wallwatcher schrieb:
Ich verstehe immer noch nicht, wieso Passwortmanager so unglaublich sicher sein sollen. Schließlich hängt dort alles an einem einzigen Masterpasswort. Ist das kompromittiert, steht man sofort komplett nackig da.
Die gescheiten Passwortmanager nutzen schwer skalierbare Algorithmen zur Schlüsselableitung für die Verschlüsselung. Einen entsprechenden Container in die Finger zu bekommen nutzt Angreifern entsprechend wenig. Zudem viele PW-Manager heute auch 2FA können und damit den Aufwand abermals steigern.
Zusätzlich, so ein PW-Manager verwaltet die Zugangsdaten zu öffentlichen Logins von Dritten. Daher die können angegriffen werden, ohne dass du es merkst. Wenn dir wer nach dem PW-Manager trachtet, hast du mehr Chancen es mitzubekommen. Aus einem nicht vertrauenswürdigem System würde ich aber keinen PW-Manager nutzen!
bossbeelze schrieb:
Woher weiss HPI das? Haben die das ausprobiert? Das is doch nur ein Schätzwert.
Es gibt von erfolgreichen Hacks immer wieder komplette Dumps von Datenbanken mit Klartextpasswörtern oder zumindest trivial knackbaren Passworthashes. Entweder gegen Geld im Darknet, OpenWeb, Hackerkonferenzen, guten Freunden, ..
Araska schrieb:
Und dann kommt wieder die Website an: 'Ihr Passwort hat aber gar keine Sonderzeichen; somit kann es nicht sicher sein. Bitte vergeben Sie ein anderes.'
Für Leetspeak gibt es für Hashcat simpelste Generatoren:
https://github.com/hashcat/hashcat/blob/master/rules/leetspeak.rule
Das dagegen die Passwortpolicy aktiv wird ist vernünftigt, Leetspeak gibt allenfalls wenige Bits anzusätzlicher Entropie und damit praktisch keinen Sicherheitsgewinn.
