Chesterfield
Fleet Admiral
- Registriert
- Sep. 2011
- Beiträge
- 10.391
ich halte das nackte 100% vertrauen in einen passwortmanager auch für leichtsinnig. auch die können Bugs behaftet sein. es gibt unter Entwicklern ein Sprichwort, das besagt, es gibt keine bugfreie softwarertx243234 schrieb:
.das Zauberwort ist hier 2 FA und langes Passwort mit umlauten und sonderzeichen und am besten sinnfrei.
Zuletzt bearbeitet:
wrglsgrft
Admiral
- Registriert
- Feb. 2019
- Beiträge
- 7.780
Weil das die sicherste Aufbewahrungsmöglichkeit ist. Sobald das Passwort irgendwo aufgeschrieben ist, besteht die Möglichkeit, dass jemand drittes es lesen kann.rtx243234 schrieb:
Klar, PW-Manager sind relativ sicher, aber eben nur relativ. Aber gerade für sehr sensible Dinge kann es durchaus Sinn machen, das PW nirgends zu notieren.
Damit jeder, der irgendwie Zugriff auf dein Gerät bekommt, sich nicht mal mehr die Mühe machen muss, das Passwort zu umgehen?rtx243234 schrieb:
Klar, man kann es den Leuten auch besonders einfach machen.
thealex
Lt. Commander
- Registriert
- Okt. 2008
- Beiträge
- 1.559
Frooooonk schrieb:
Wieso hast du v. a. bei PayPal keine MFA aktiv? Ich habe vor geraumer Zeit schon den Entschluss gefasst, dass alle Accounts, die mich unmittelbar Geld kosten bei Hijack, MFA sichere. Also amazon, eBay, PayPal & Co.
Mittlerweile habe ich nahezu alle Accounts MFA gesichert, bei denen es möglich (und es irgendwo sinnvoll) ist. Völlig egal ob Forum, Onlineshop oder eben E-Mail-Accounts.
Das spielt ggf. keine Rolle: wenn Du z.B. sechs Wörter aus einem Pool von 4096 Wörtern benutzt, hat Dein Passwort 72 Bit Entropie (4096^6=2^12^6=2^72), und das entspricht etwa 11 völlig zufälligen ASCII-Zeichen, was schon ein sehr gutes Passwort ist, plus der Angreifer kennt das benutzte Wörterbuch ja nicht, muss also deutlich mehr raten, und das bei einem Passwort von "roh" rund 30 Zeichen Länge. Viel Spaß.thrawnx schrieb:
Capet
Lieutenant
- Registriert
- Feb. 2005
- Beiträge
- 891
Ich habe vor einiger Zeit meinen E-Mails wie folgt umgestellt:
Ich habe mir 3 Postfächer angelegt, mit sehr langen und kryptischen Passwörtern, die in einem Passwortsafe liegen (KeepassXC+Yubikey). Die Adressen dieser 3 Postfächer sind zufällige Kombinationen aus Buchstaben und Zahlen. Diese Adressen werden, außer in meinen E-Mail-Clients, nirgends(!) direkt verwendet. Statt dessen richte ich für jedes Forum, jede Website und jeden Onlineshop, bei dem ich mich registriere, einen Alias für eines der 3 Postfächer ein.
Kommen bei einem dieser Anbieter E-Mailadressen „abhanden“ und ich erhalte über einen Alias plötzlich Spam, dann weiß ich a) ganz genau, wo Daten abhanden kamen und meide diese Seite zukünftig und b) ich lösche einfach den Alias und bin den Spam los.
Da die eigentlichen Adressen der E-Mailkontrn nirgend registriert werden, können sie auch nicht gestohlen werden. Bei Bedarf kann ich bei meinem Hoster auch zig weitere Konten mit weiteren Aliasen anlegen.
In KeepassXC habe ich dazu auch eine Liste darüber, welcher Alias zu welchem E-Mailkonto gehört. Ist etwas zusätzlicher Aufwand, hat sich für mich aber bewährt.
Ich habe mir 3 Postfächer angelegt, mit sehr langen und kryptischen Passwörtern, die in einem Passwortsafe liegen (KeepassXC+Yubikey). Die Adressen dieser 3 Postfächer sind zufällige Kombinationen aus Buchstaben und Zahlen. Diese Adressen werden, außer in meinen E-Mail-Clients, nirgends(!) direkt verwendet. Statt dessen richte ich für jedes Forum, jede Website und jeden Onlineshop, bei dem ich mich registriere, einen Alias für eines der 3 Postfächer ein.
Kommen bei einem dieser Anbieter E-Mailadressen „abhanden“ und ich erhalte über einen Alias plötzlich Spam, dann weiß ich a) ganz genau, wo Daten abhanden kamen und meide diese Seite zukünftig und b) ich lösche einfach den Alias und bin den Spam los.
Da die eigentlichen Adressen der E-Mailkontrn nirgend registriert werden, können sie auch nicht gestohlen werden. Bei Bedarf kann ich bei meinem Hoster auch zig weitere Konten mit weiteren Aliasen anlegen.
In KeepassXC habe ich dazu auch eine Liste darüber, welcher Alias zu welchem E-Mailkonto gehört. Ist etwas zusätzlicher Aufwand, hat sich für mich aber bewährt.
Helge01
Commodore
- Registriert
- Nov. 2008
- Beiträge
- 4.970
Ich mache das schon seit über 10 Jahren so und es hat sich bewährt. Es sind bestimmt schon hunderte vom E-Mail Aliase. Da man genau sieht welcher Server gehackt wurde kann man den Alias und das Passwort auf der entsprechenden Webseite/Server ändern, dadurch hat sich das mit Spam dann auch sofort erledigt.
Zuletzt bearbeitet:
Hier eine Tabelle, wie lange man heute etwa braucht, um ein Passwort alleine per Brute-Force aus einem Passwortfile zu knacken:
Man sieht deutlich, dass die Länge des Passworts deutlich wichtiger ist, als wie "kryptisch" es ist.
Artikel (auf Englisch) zu dem Bild:
https://tech.co/password-managers/how-long-hacker-crack-password
Man sieht deutlich, dass die Länge des Passworts deutlich wichtiger ist, als wie "kryptisch" es ist.
Artikel (auf Englisch) zu dem Bild:
https://tech.co/password-managers/how-long-hacker-crack-password
@juwa Dabei ist jedoch zu beachten, das bezieht sich auf Offline-Angriffe auf den Hash. D.h. Angreifer hat sich auf den Server gehackt und eine Kopie der Login-Daten weggetragen. Darüber hinaus ist die Dauer natürlich abhängig vom Hash und den gewählten Parametern.
1.000 Versuche / Tag als Angriff über die Website des Dienstes reichen hingegen nicht aus, um ein 10-stelliges Passwort zu knacken.
1.000 Versuche / Tag als Angriff über die Website des Dienstes reichen hingegen nicht aus, um ein 10-stelliges Passwort zu knacken.
juwa schrieb:
Wo siehst du das? Ich sehe da bei 12 Zeichen z.B. einen Unterschied von 220 Jahren zwischen "upper-/lowercase letters" und "kryptischen", 332 zu 15.000 Jahren bei 13, etc pp. Das findest du gering? o_O
Wenn du in die Tabelle guckst, wirst du sehen dass die Komplexität (sprich Sonderzeichen/Symbole) einen größeren Unterschied ausmachen als 1 Zeichen mehr im Passwort.
Das trifft ja sowieso alles nicht auf Angriffe mit Rateversuchen auf Accounts zu, sondern wenn man die Passwortliste gestohlen hat.
Ich redete ja ursprünglich auch von leicht zu merkenden Passphrasen, also einen ganzen Satz und nicht von kurzen Geschichten wie nur mit 12 Ascii Zeichen. Siehe weiter oben mein Beispiel mit dem Hund, das ist schwerer zu erraten und leichter zu merken als "(§JZq10&732u".
Ich redete ja ursprünglich auch von leicht zu merkenden Passphrasen, also einen ganzen Satz und nicht von kurzen Geschichten wie nur mit 12 Ascii Zeichen. Siehe weiter oben mein Beispiel mit dem Hund, das ist schwerer zu erraten und leichter zu merken als "(§JZq10&732u".
Ich persönlich verwende laut der Tabelle ab und an mal sehr unsichere Passwörter, z.B. bei Netflix. Das ist so ein Dienst von dem ich befürchte, dass ich das Passwort womöglich hin und wieder manuell eintippen muss. Ich hab grad mal geschaut: 17 kleinbuchstaben. War aber mehr Zufall, alles von 12-18 kleinbuchstaben hätte ich erstmal genommen und nach Blick auf die Tabelle auch nicht geändert. Ist ein Passwort zum Teilen und ggf. mal spontan weiter geben, daher nicht zufällig, sondern ein Spruch. Mein Passwortprofil für solche Dienste für zufällige Passwörter ist auf 16 Kleinbuchstaben eingestellt. Ich habe da aber keine Wissenschaft draus gemacht und nach Gefühl entschieden.juwa schrieb:
Weil - was ist das worst case Szenario, wenn jemand an das Passwort kommt? Er kann dann mein Netflix Abo ändern oder kündigen oder peinliche Filme über den Account gucken? Jdfs. bis ich was merke, also nicht allzu lang. Und dahinter steht schon die Annahme, dass jemand eine Datenbank von Millionen von Netflix-Nutzern geklaut hat. Wer das macht, der loggt sich damit dann nicht auf Netflix ein, sondern macht sinnvolle Dinge damit, nämlich versucht sich mit dem selben Passwort in den E-Mail Account oder in Dienste wie Paypal einzuloggen.
Hier bei einem Dienst wie CB, wo unter meinem Pseudonym Dinge gepostet werden könnten ist das Threat-Level generell etwas höher. Zumal ich Pseudonyme genau wie Passwörter nicht wiederverwende. Das ist im Prinzip aber auch ziemlich witzlos, da gilt im Wesentlichen das selbe wie bei Netflix, zumal CB das auch merken würde, wenn jemand deren Datenbank raus trägt.
Zuletzt bearbeitet:
Es geht nicht darum, dass jemand dann Filme über deinen Account guckt, sondern durch den Account an weitere Daten von dir kommt...
Und ein Password lässt dich das Password im Normalfall kopieren. Bzw. unterstützen die meisten Streamingdienste einloggen via Code
Und ein Password lässt dich das Password im Normalfall kopieren. Bzw. unterstützen die meisten Streamingdienste einloggen via Code
