Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsHasso-Plattner-Institut: Das meistgenutzte Passwort in 2025 bleibt eine Zahlenreihe
Gegen Brute Force Angriffe hilft ein eher ungewöhnliches Zeichen. Passwort½? Hält einen Bruteforce Angriff wahrscheinlich stand. Man muss es nur immer tippen können.
Das erinnert mich daran, dass ich früher Passwörter so auswählte, dass sie auf qwerty und qwertz Tastaturen funktionieren. Man weiss jabnir von welchem Computer aus man sich mal wo einloggen muss.
Und gerade gestern nervte mich ein neuer Router.
Seit jahren benutze ich für die Einstellungsseite etwas sehr kurzes (tippfaul). Der Neue bestand auf min. 6 Zeichen, und ich frag mich: wer braucht das? Von Aussen kommt man da eh nicht ran.
Bitte geben Sie ein Passwort ein
mauldasch Bitte entschuldigen Sie, ihr Passwort ist leider zu kurz!
mauldasch mit kartoffelsalat Bitte entschuldigen Sie, Ihr Passwort muss mindestens eine Zahl enthalten!
1 mauldasch mit kartoffelsalat Bitte entschuldigen Sie, Ihr Passwort muss mindestens einen Umlaut enthalten!
1 gschmälzte mauldasch mit kartoffelsalat Bitte entschuldigen Sie, Ihr Passwort darf kein Leerzeichen enthalten!
1gschmälztemauldaschamitkartoffelsalatduseggl Bitte entschuldigen Sie, Ihr Passwort muss mindestens einen Großbuchstaben enthalten!
50gschmälztemauldaschamitkartoffelsalatdusegglHEIDANEI Bitte entschuldigen Sie, Ihr Passwort muss mindestens ein Sonderzeichen enthalten!
50gschmälztemauldaschamitkartoffelsalatdusegglHEIDANEIgr@nat€daggl Bitte entschuldigen Sie, Ihr Passwort darf nur Großbuchstaben enthalten, die nicht aufeinanderfolgend sind!
Jetzischgnugheuhondaihrobergscheidle50gschmälztemauldaschamitkartoffelsalatondihaueuchogspitztendrbodaneidusegglHeidaeidassdidrherrgottmitdrbeisszangwiedrrausziegakagr@nat€daggl Bitte entschuldigen Sie, dieses Passwort ist bereits in Verwendung. Bitte wählen Sie ein neues Passwort.
Das stimmt bei modernen Algorithmen so nicht, deren Aufwand ist nahezu unabhängig von der Stringlänge.
Hab auf meinem Server kurz einen Test mit 10 vs 10000 Zeichen Strings gemacht, bei Sha1 hat das noch die Rechenzeit um Faktor 30 erhöht (was im Vergleich zu Faktor 1000 bei der Stringlänge auch nicht wild ist), bei argon2id war kein relevanter Unterschied messbar.
Hmm.. gehört 'Nazischlampe' zu den 2000 häufigsten Wörtern?
Falls das Ganze als Kompositum gezählt wird ('Nazi' und 'Schlampe'), sind wir immerhin schon bei 2000 ^ 9 - und nur noch bei einem Faktor von ca. 73.5...
Nehmen wir eben Dinge wie 'phosgenvernichtungsrückkühlschutzabschaltung', da ist immerhin eine Komponente drin, die ich nicht in den Top 2000 sehe... und Sonderzeichen hamma auch noch
die ihre Armee an Affen (oder Bots) einfach mal dauerhaft Megabyte an Nonce an den Server übergeben lassen, der sich dann tot hasht. Es braucht da also sinnvolle Obergrenzen.
Naja. Das ist Quatsch.
Wenn ein Loginname nicht existiert, brauche ich ja erst mal gar nicht rechnen.
Und wenn ein Login-Name existiert, aber zum Beispiel 10 Mal pro Sekunde für den selben Account ein Passwort gegeben wird, dann ist das ganz sicher ein illegitimer Versuch. Auch da brauch ich erst gar nicht mit dem rechnen anzufangen
Piktogramm schrieb:
Und Bcrypt (und andere) begrenzen von sich aus auf 72Byte
Ich verstehe den Sinn von Passwortmanagern nicht so richtig. Klar ich muss mir nur ein Passwort merken was gut ist und verwende welche die ich mir nicht merken muss.
Aber am Ende ist dann alles offen gelegt wenn dieses eine geknackt wird. Macht sicherheitstechnisch für mich keinen riesen Sinn.
Ich nutze KeePass 2 zusammen mit einer Keyfile und einem kryptischen Masterpasswort.
Die Datenbank selbst liegt auf Google Drive, wodurch ich von überall Zugriff auf meine Passwörter habe, sofern die Keyfile auf dem genutzen System ist.
2FA ist sicher. Immer und immer wieder dieselbe Leier.
2FA am selben Gerät, ist wertlos, wenn das Gerät kompromitiert ist.
Und der Passwort Manager darauf ebenfalls.
Aber ich sehe es schon kommen, in den Kuhaugen:
Passwortmanager = Sicher
2FA = Sicher
Also sicher.
NEIN. Das Problem ist, dass die Leute das Ganze leider nicht in EINEM Kontext sehen!
Es gibt noch eine Keyfile die man auf dem verwendeten System haben muss, damit die Datenbank überhaupt geöffnet werden kann.
Also das Masterpasswort alleine nützt nichts, zumindestens ist das bei meinem Passwortmanager so.
Das ist auch etwas übertrieben, also erstmal muss das Gerät dazu eben auch komprommitiert sein - ohne 2FA nicht, das allein filtert schonmal den Großteil aller Angriffe aus.
Und dann kommt noch dazu, dass auf modernen Geräten (Android/iOS) die Apps in eigenen Sandboxes laufen, selbst wenn man sich da etwas eingefangen hat bringt das noch ein deutliches Plus an Sicherheit dass man gleichzeitig die Daten zweier unterschiedlicher Apps abfangen und dann innerhalb der Gültigkeitsdauer nutzen müsste.
Ich verstehe den Sinn von Passwortmanagern nicht so richtig. Klar ich muss mir nur ein Passwort merken was gut ist und verwende welche die ich mir nicht merken muss.
Aber am Ende ist dann alles offen gelegt wenn dieses eine geknackt wird. Macht sicherheitstechnisch für mich keinen riesen Sinn.
Ja. Haste Recht. Kennwörter in Gruppen einteilen! Und an verschiedenen "Plätzen" hinterlegen.
Beispiel: Das Kennwort für die Administration mein LokalesnNAS, muss das am Smartie sein?
Nein. Nur das Kennwort für die Freigabe bzw. User-Konto.
Noch ein Beispiel: Das Kennwort für meine private Key-Infrastruktur (Zertifikate)?
Nein. Am Zettel im Tresor. Für maximale Sicherheit, des Tresor einbetonieren! ;-)
Ergänzung ()
Magellan schrieb:
Das ist auch etwas übertrieben, also erstmal muss das Gerät dazu eben auch komprommitiert sein - ohne 2FA nicht, das allein filtert schonmal den Großteil aller Angriffe aus.
Und dann kommt noch dazu, dass auf modernen Geräten (Android/iOS) die Apps in eigenen Sandboxes laufen, selbst wenn man sich da etwas eingefangen hat bringt das noch ein deutliches Plus an Sicherheit dass man gleichzeitig die Daten zweier unterschiedlicher Apps abfangen und dann innerhalb der Gültigkeitsdauer nutzen müsste.
Du kannst lesen? "2FA am selben Gerät, ist wertlos, wenn das Gerät kompromitiert ist."
Ja oder nein?
Und "moderne Geräte" + Sandbox ... LOL. Siehe Kompromitiert ...
Wenn der Layer 8 sich entscheidet, dann hat er sich entschieden!
Wie ist eigentlich der Rechtsstatus bei 2FA? Ich habe beruflich mit einem Anbieter zu tun, der die 2FA partout nicht aktivieren möchte. Das PW ist zwar relativ sicher, wenn ich die gängigen Standards so anschaue, aber wie hoch das "relativ" ist, kann ich als Nutzer nur begrenzt beurteilen.
Kommt darauf an, bei allem was unter PSD2 fällt, also Banken und Zahlungsdienstleister, ist 2FA ausdrücklich Pflicht. Beim Rest ist es Auslegungssache wie man DSGVO Art. 32 deutet, da ist von "Stand der Technik" und "geeignete technische Maßnahmen" die Rede, je nach Fall, Art der Daten usw könnte man da wohl argumentieren dass 2FA zum Stand der Technik gehört.
