Passwörter "gestalten"

[Anoubis]

Davon wird seit Jahren abgeraten, weil Menschen sich sowas nicht merken können und die Folge ist dann genau wieder, dass sich Beate und Wolfgang den Passwortzettel unter die Tastatur kleben.

Wir empfehlen Passwörter die aus zb aus Worten zusammengesetzt sind die für die einzelnen Menschen eine persönliche Erinnerung repräsentieren und dann bspw. mit einem Bindestrich getrennt sind.
Hauptsache das Passwort ist lang.
Beispiel:

muschel-sand-wellen15

=> 21 Zeichen lang mit Sonderzeichen (Bindestriche) und Zahlen

Exakt so verfahren wir auch! War nicht mehr haltbar, wie viele Passwortzettel wir unter Tastaturen gefunden haben. Bei den Usern geht es allerdings nur um ein Passwort. Der TE sucht ein System für mehrere Passwörter.

Wer ist wir?

Multinationaler Industriekonzern

Ich verstehe die Einwände, aber wenn Wolfgang in der Hotline sitzt, dass er sein Passwort für den Passwortmanager vergessen hat, nachdem man 30min für die Einrichtung desselben mit dem User verbracht hat, ist halt irgendwann das Maß voll.

Arbeiten wir in derselben Firma? 😅

 

[iron_monkey]

wobei n die Anzahl der Worte ist. Die Komplexität solcher Passwörter ist damit um ein vielfaches geringer[1] als die zufälligen Zeichenfolge, die die von dir eingebundene Tabelle bewertet.

Danke, ich bekomme das nicht mehr genau hin und schon garnicht so genau!
Rainbowtables habe ich noch im Hinterkopf, damit sind einfach Wörter quasie sofort gelöst und der Aufwand schrumpft zusammen.

 

[TorenAltair]

Einfach einen Satz überlegen, den man sich merken kann. Also z.B. MeinerstesAutowareinComputerbaseOpel

 

[Anoubis]

MeinerstesAutowareinComputerbaseOpel

Das ist genau das Gegenteil von dem was gefordert wird! @Stagefire85 Bitte auf gar keinen Fall so verfahren!
Es geht dem TE darum, nicht alle Passwörter ändern zu müssen, wenn ein Passwort geknackt wurde.
Wenn das PW für Computerbase "MeinerstesAutowareinComputerbaseOpel" lautet,
kann sofort abgeleitet werden, dass das Paypal PW "MeinerstesAutowareinPaypalOpel" lautet.

 

[TorenAltair]

Muss man alles bis ins Mikrodetail erläutern? C ist Buchstabe 3, also addiere ich z.B. mein Geburtsdatum dazu und habe MeinersterAutowarein4Computerbase-Käsekuchen. Umd bevor auch da noch Gemecker kommt. C ist in 1. Hälfte des Alphabets, Also addiere ich noch den Monat drauf, bei P in Hälfte zwei das Jahr.

Natürlich kann man auch mit Farben, Tieren, Musik oder so arbeiten. Also z.B. bei C wie Computerbase füge ich noch Cher an, bei Paypal mit P kommt (Vanessa) Paradis dazu. Usw

Bischen mitdenken darf man ja schon. Nicht persönlich gemeint, nervt mich nur manchmal heutzutage, dass man Leuten alles bis ins allerkleinste Detail vorkauen muss. Sorry für mein Gemotze.

Sonstige vernünftige Lösungen wie PW-Manager sind ja nicht gewünscht und Merken ist wohl auch nicht.

 

[Anoubis]

Ich verstehe deine Aussage:

Einfach einen Satz überlegen, den man sich merken kann. Also z.B. MeinerstesAutowareinComputerbaseOpel

definitiv anders und sehe darin ein großes Risiko und genau das Gegenteil von dem, was gefordert wird!
Würde mich erleichtern, wenn es anders gemeint ist, aber dafür sehe ich leider keine Anzeichen.

 

[Bully49]

und hinten dran "Computerbase", "Amazon" etc dranhängen.

Besser davor und zwar abgekürzt mit Buchstaben beispielweise cpb für Computerbase und azn für Amazon. Dazwischen mit einem Sonderzeichen. Beispiel: azn_(hier kommt das eigentliche Passwort).

 

[n/a]

Wenn ich mich z.B. hier auf dem Forum anmelde, dann will ich ein Standardpasswort nutzen, dass ich oft verwende.
Aber ich möchte etwas von "Computerbase" mit einbauen.
Falls doch mal so ein Passwort auf eine geackte Liste kommt, dass ich nicht überall ändern muss.

Du kannst folgendes verwenden...

Es erfüllt diese Anforderungen:

• Das Wort kann chiffriert und dechiffriert werden mit demselben Seedwort
• Für Menschen ist erkennbar, welches Wort als Passwort verwendet wurde

Beispiel:

Aus ComputerBase wird mit dem Seedwort computer: moeCrepuBast

Das ist sicher, solange dein Seedwort nicht bekannt wird und dein Passwort genug Zeichen enthält

    class WeirdText {
      constructor() {
        let pw = "ComputerBase";
        let seed = "computer";
        let enc = this.encode(pw, seed);
        let dec = this.decode(enc, seed);
        console.log(seed);
        console.log(enc);
        console.log(dec);
      }
      cyrb128(str) {
        let h1 = 1779033703, h2 = 3144134277,
          h3 = 1013904242, h4 = 2773480762;
        for (let i = 0, k; i < str.length; i++) {
          k = str.charCodeAt(i);
          h1 = h2 ^ Math.imul(h1 ^ k, 597399067);
          h2 = h3 ^ Math.imul(h2 ^ k, 2869860233);
          h3 = h4 ^ Math.imul(h3 ^ k, 951274213);
          h4 = h1 ^ Math.imul(h4 ^ k, 2716044179);
        }
        h1 = Math.imul(h3 ^ (h1 >>> 18), 597399067);
        h2 = Math.imul(h4 ^ (h2 >>> 22), 2869860233);
        h3 = Math.imul(h1 ^ (h3 >>> 17), 951274213);
        h4 = Math.imul(h2 ^ (h4 >>> 19), 2716044179);
        h1 ^= (h2 ^ h3 ^ h4), h2 ^= h1, h3 ^= h1, h4 ^= h1;
        return [h1 >>> 0, h2 >>> 0, h3 >>> 0, h4 >>> 0];
      }
      sfc32(a, b, c, d) {
        return function () {
          a |= 0; b |= 0; c |= 0; d |= 0;
          let t = (a + b | 0) + d | 0;
          d = d + 1 | 0;
          a = b ^ b >>> 9;
          b = c + (c << 3) | 0;
          c = (c << 21 | c >>> 11);
          c = c + t | 0;
          return (t >>> 0) / 4294967296;
        }
      }
      getRand(seedStr) {
        let seed = this.cyrb128(seedStr);
        let rand = this.sfc32(seed[0], seed[1], seed[2], seed[3]);
        return rand;
      }
      encode(str, seedStr) {
        let rand = this.getRand(seedStr);
        let arr = str.split('');
        for (let i = 0; i < arr.length; i++) {
          let r = parseInt(rand() * arr.length);
          let t = arr[i];
          arr[i] = arr[r];
          arr[r] = t;
        }
        return arr.join('');
      }
      decode(str, seedStr) {
        let rand = this.getRand(seedStr);
        let rands = [];
        for (let i = 0; i < str.length; i++) {
          rands.unshift(rand());
        }
        let arr = str.split('');
        for (let i = 0; i < arr.length; i++) {
          let j = arr.length - 1 - i;
          let r = parseInt(rands[i] * arr.length);
          let t = arr[j];
          arr[j] = arr[r];
          arr[r] = t;
        }
        return arr.join('');
      }
    }
    new WeirdText();

 

[RedPanda05]

Warum gebt ihr euch eigentlich noch Mühe?Der Herr sagt doch, dass die Accounts nicht wichtig sind, da reicht auch „PasswortT6Z4y“ sind ja eh nicht wichtig.

 

[Piktogramm]

Rainbowtables habe ich noch im Hinterkopf, damit sind einfach Wörter quasie sofort gelöst und der Aufwand schrumpft zusammen.

Rainbowtables helfen nur, wenn der Anbieter gegen den das Login läuft die Datenbank verliert und ohne Salz hasht. Was genau der Grund ist, wieso davon abzuraten ist irgendwelche simplen Passwörter zu nutzen und schon garkeine Passwörter mehrfach zu nutzen. Denn Anbieter pfuschen gelegentlich.

Ein Standardvorgehen, welches Nutzerfehler beim Generieren von Passwörtern ausschließt ist daher die Lösung der Wahl. 32 Stellen Zufall sind halbwegs immun gegen Pfusch etwaiger Anbieter.

Exakt so verfahren wir auch! War nicht mehr haltbar, wie viele Passwortzettel wir unter Tastaturen gefunden haben. Bei den Usern geht es allerdings nur um ein Passwort. Der TE sucht ein System für mehrere Passwörter.

Multinationaler Industriekonzern

Arbeiten wir in derselben Firma? 😅

Also klassische Schlüssel irgendwo rumliegen lassen ist abmahnfähig, Passwortzettel auch. Zudem habe ich zweifel daran, welchen betriebswirtschaftlichen Mehrwert Personen mit Computerarbeitsplatz bringen, die sich ein täglich verwendetes Passwort nicht merken können.

 

[Anoubis]

abmahnfähig, Passwortzettel auch. Zudem habe ich zweifel daran, welchen betriebswirtschaftlichen Mehrwert Personen mit Computerarbeitsplatz bringen, die sich ein täglich verwendetes Passwort nicht merken können.

Theorie und Praxis. Hunderte Leute abmahnen funktioniert halt nicht / ist nicht zielführend, egal was theoretisch möglich / sinnvoll / wünschenswert wäre.

Wir haben eine ausführliche und aufwändige Informationskampagne darüber gestartet, dass unbekannte USB-Sticks nicht an Firmen-PCs angeschlossen werden dürfen. Einige Wochen später haben wir präparierte USB-Sticks random an verschiedenen Standorten verteilt und gewartet, bis wir einen dieser Sticks an einem Firmen-PC registrieren. Das Ergebnis war desaströs.

 

[slumpie]

Ich verstehe die Einwände, aber wenn Wolfgang 3 Monate später in der Hotline sitzt, dass er sein Passwort für den Passwortmanager vergessen hat, nachdem man 30min für die Einrichtung desselben mit dem User verbracht hat, ist halt irgendwann das Maß voll.

Es kann doch auch für die Passwortverwaltung ein gutes einprägsames Passwort (Wörterkette + Extrazeichen) verwendet werden.
Nachtrag: Wobei für Unternehmen eigentlich AD / LDAP naheliegender ist.

Zudem sollte es eine Wiederherstellungsmöglichkeit geben für den Benutzer.
Nachtrag: Wird leider oft nicht unterstützt.

Authentifizierung über SAML wäre vermutlich noch interessant.

 

[n/a]

Du kannst folgendes verwenden

Habe das noch in ein JSFiddle gegossen zum selber Ausprobieren:

https://jsfiddle.net/s81a7czd/

 

[Oli_P]

Ich verstehe nicht, warum man ein System für die Erstellung von nicht so wichtigen Passwörtern sucht. In nem vernünftigen Passwort-Manager gibts auch einen Passwort-Generator. Damit kann man seine Passwörter erstellen und prinzipiell für alles den Passwort-Manager nutzen. Ob jetzt wichtiger Zugang oder nicht. Damit man nicht den Zugriff auf all seine Zugangsdaten verliert, wenn man das Masterpasswort vergisst, dafür gibts auch Vorkehrungen (z.B. etwas anderes nutzen als ein Masterpasswort, um die Datenbank zu öffnen). Aber sowas will der Thread-Verfasser nicht und ich verstehe nicht warum nicht.

 

[Gliese]

Was spricht gegen eine Hybridlösung?

Man lässt sich für mittelwichtige Dinge ein mittelmäßig gutes Passwort generieren, packt selbst noch was mit seinem System hinten oder vorne was dran, halt so, dass man es sich noch gerade eben merken kann UND packt es zusätzlich in einem Passwort-Safe.

So dass es dann dazu führt, dass man die häufig genutzten Passwörter im Kopf hat, während man die selten genutzten Passwörter halt irgendwann einfach vergisst. Man hat ja schließlich noch sein Passwort-Safe, das man im Zweifel befragen kann.
Am Ende hat man ein wichtiges Passwörter, dass man sich merken muss und lang und komplex sein muss.

Für ganz wichtige Sachen wie E-Mail-Login, womit Bösewichte viel Schaden anrichten können, ist das Passwort sowieso im E-Mail-Client (und dann hoffentlich im Passwort-Safe) hinterlegt. Wenn dann nach 2 Jahren plötzlich eine Passwort-Abfrage kommt, weil der Client nach einem Major-Update irgendwelche Einstellungen vergessen hat oder neuer PC / neues Handy, weiß man das Passwort im Zweifel sowieso nicht mehr und muss nachschlagen.

 

[Anoubis]

Aber sowas will der Thread-Verfasser nicht und ich verstehe nicht warum nicht.

Hat der TE doch erklärt. Er möchte sich auch von anderen Orten anmelden können, wenn er den Passwort Manager nicht zur Hand hat.

 

[RedPanda05]

@Anoubis Welcher Mensch verwendet einen PW Manager und hat den nicht irgendwie auf dem Smartphone verfügbar?

 

[Anoubis]

@RedPanda05 Ich, benötige ich aber auch nicht.

Evtl. ist dem TE nicht bewusst, dass es Passwort Manager auch als Smartphone App gibt. Er war seit "Gestern um 14:13" nicht mehr online. Seitdem wurden hier im Thread zahlreiche Beiträge verfasst. Wir kommen wohl erst weiter, wenn er wieder online ist und sich nochmal meldet.

 

[.one]

Welcher Mensch verwendet einen PW Manager und hat den nicht irgendwie auf dem Smartphone verfügbar?

Schätzung meinerseits: 90%.

 

[RedPanda05]

@.one Richtige Passwort-Manager und nicht der Zettel? Kaum vorstellbar.
Welcher soll das sein, keepass?
Jeder andere: Bitwarden, Chrome, Apple, 1Password, Roboform, 1Password etc. bietet eine App an.