Passwort Sicherheit

Sameneulmann

Lt. Junior Grade
Registriert
Mai 2011
Beiträge
374
Moin CBler,

ich spiele gerade mit dem Gedanken mein bisheriges Passwortsystem bei div Webseiten zu ändern. Selbstverständlich weiß ich, dass man nirgendwo den gleichen Benutzernamen mit identischem Passwort nehmen soll.
Ich hätte aber gerne eine logische Struktur in meinen Login-Daten. Meine Idee ist es, mit dem gleichen Benutzernamen ein leicht abgewandeltes Passwort für die entsprechende Seite zu nutzen.
So stelle ich mir das vor:
Anmeldung Computerbase => Passwort: Mustermann1cb
Anmeldung Paypal => Passwort: Mustermann1pp
usw.
So hätte ich quasi nur ein Passwort, welches ich mir merken muss.
Ist mein Gedanke hochgradig dämlich bzw. unsicher?
 
So schlägt das sogar die ct vor.

Also ein Grund Passwort wie

J47g01$lnK
Und dazu dann Infos zur Webseite. ct hat da als Beispiel die ersten zwei Buchtsaben davor und die Anzahl Buchstaben am Ende. Mal ein Beispiel Computerbase:
coJ47g01$lnK12
 
  • Gefällt mir
Reaktionen: charmin
Einziger Knackpunk, wenn mehr als ein Passwort kompromitiert ist wird die Herleitung weiterer Passwörter sehr einfach (bei mir haben kritische Dienste wie z.B. Paypal immer eigene Passwörter). Mir selbst reicht so ein Konzept ansonsten aus.
 
So habe ich es bisher auch gehandhabt, aber leider wird das kaum helfen, denn der großteil der Gründe warum heute Passwörter bekannt sind dürfte sein, dass diese durch Datenleaks bei den Firmen entstanden sind, und dann düfte es ein leichtes sein dort zu erkennen, wenn dort ein nur teil geändert ist, der dann auch noch der Firma entspricht. Sprich der potenzielle Täter ändert einfach diesen Teil auf die 100 bekanntesten Dienste ab etc.

Meiner Meinung nach Passwortmanager und (ab und zu, z.B. einmal im Jahr) die Passwörter ändern/ablaufen lassen.
 
Wichtig ist immer ein langes Kennwort, Sonderzeichen sind unnötig, da aber viele Seiten eins Verlangen würde ich immer welche einbauen.

MeinLangesPasswortFürComputerBase!123
MeinLangesPasswortFürPayPal!123

Sind als Passwörter in der Art absolut OK.

Für die Emailadresse zum zurücksetzen der Passwörter würde ich aber ein anderes Schema wählen.
 
Ich merke mir einen Satz und nehme dann entweder die ersten zwei Buchstaben oder die letzten beiden Buchstaben der Worte und setze sie zusammen.
So muss ich mir nur den Satz merken und wie ich das Passwort zusammengesetzt habe.

Z.B.:
Ich bin ein User auf ComputerBase
IcbieiUsauCoBa

Viel Plattformen verlangen noch ein Sonderzeichen und oder Zahl.
bei mir wird ein a zum @, i zum 1 (siehe mein Nickname), ein o zum 0 (Null), usw...

Demnach würde das Passwort so aussehen.
1cb1e1Us@uC0B@

Das Passwort ist komplex aber sehr einfach zu merken, weil man nur den Satz und die Logik dahinter verstehen muss;)

Ein Büchlein (Papier) wo du alle Plattformen wo du einen Account hast die Anmeldedaten und Passworte oder Sätze einträgst würde ich dir auch empfehlen.
 
Zuletzt bearbeitet:
Sameneulmann schrieb:
Ist mein Gedanke hochgradig dämlich bzw. unsicher?
Ja, denn liegt das Muster frei (was selbst nach einem Leak der Fall sein kann, je nach Obfuskierung), kann man sich in alle deine Accounts "hacken".

Nutz nen Passwortmanager...
 
DiedMatrix schrieb:
Sprich der potenzielle Täter ändert einfach diesen Teil auf die 100 bekanntesten Dienste ab etc.
Die Mühe macht sich aber fast keiner. Zumal die Passwörter eh gehasht und gesalzen abgelegt werden sollten. Und dann kann man nicht mehr Erkennen ob das PW vor dem hashen nur ein Zeichen anders sind oder nicht.
 
  • Gefällt mir
Reaktionen: Otsy
Kann man machen, so schlecht ist die Idee nicht.
Komfortabler wer ein Passwortmanager.
 
Sameneulmann schrieb:
Ist mein Gedanke hochgradig dämlich bzw. unsicher?
Naja jeder hier weiß es ja jetzt und das ganze ist ja auch 'security by obscurity'.
Also ist sicherlich deutlich besser als immer das selbe Passwort aber du läufst natürlich stetig Gefahr, dass jemand das bemerkt und damit Zugriff auf alles hat. Spätestens, wenn jemand Zugriff auf zwei Passwörter erhält.
 
Nimm statt einer Abkürzung den kompletten Domainnamen vor der TLD als Anhängsel. Du weißt in zwei Jahren nicht mehr, ob du computerbase.de mit cb oder mit co abgekürzt hast. Je mehr Logins sich ansammeln, umso schwieriger wird es, all ihre Abkürzungen im Kopf zu behalten.
 
Oder man immer die gleichen Zeichen. (erstes und drittes, zweites und letztes etc.) ;)
 
Fazit ist also: Benutze lieber einen Passwortmanager ;-).
 
  • Gefällt mir
Reaktionen: brianmolko
Yuuri schrieb:
Nutz nen Passwortmanager...
Auch wenn es ein bisschen paranoid und nach Aluhut-Fraktion anhört, aber in meinen Augen soll man niemals auf elektronischen Geräten gespeichert werden.

PS: Ich kann mir mit meiner Methode die komplexesten Passwörter merken ohne in mein schlaues Büchlein schauen zu müssen, dass eigentlich nur für den Fall der Fälle gedacht ist.
 
Corros1on schrieb:
Auch wenn es ein bisschen paranoid und nach Aluhut-Fraktion anhört, aber in meinen Augen soll man niemals auf elektronischen Geräten gespeichert werden.
Die Daten liegen verschlüsselt vor. Für dein Master-Passwort kannst du gern nen kompletten Satz als Passwort nehmen oder ein Key File oder nen Yubi Key mit 2FA oder oder oder... Da kommt keiner ran, wenn du es nicht unbedingt willst.
Corros1on schrieb:
Ich kann mir mit meiner Methode die komplexesten Passwörter merken ohne in mein schlaues Büchlein schauen zu müssen, dass eigentlich nur für den Fall der Fälle gedacht ist.
Und jetzt sagst du mir, wie ich mir 600+ Passwörter merke und auch welche, auf die ich keinen Einfluss habe (bspw. von Arbeit, Kunden, Freunde, Familie)... Wenn du dir allerdings privat problemlos 200+ Sätze merken kannst, dann ist das nicht schlecht.
 
  • Gefällt mir
Reaktionen: Tumbleweed
Corros1on schrieb:
Demnach würde das Passwort so aussehen.
1cb1e1Us@uC0B@

Das Passwort ist komplex aber sehr einfach zu merken, weil man nur den Satz und die Logik dahinter verstehen muss;)
Und warum nimmst du nicht den ganzen Satz als Passwort? Der wäre länger und somit "sicherer" und obendrein einfacher einzutippen als dieses Geschwurbel.

Ansonsten halte ich absolut garnichts davon, nur ein Passwort zu haben und davon andere abzuleiten. Benutzt einen Passwortmanager und gut ist. Wichtige Passwörter kann man sich zudem per Diceware zusammenwürfeln, so dass man sich diese leicht merken kann und somit auch ohne Zugriff auf den Passwortmanager parat hat.
 
Ich möchte an dieser Stelle den Teil "ich finde", "ich meine", "ich mache" mal weglassen und zum Selbststudium diesen Artikel verlinken.

Sicheres Passwort wählen: Der Zufall entscheidet

Aus meiner Sicht werden alle wichtigen Punkte angeschnitten, so dass jeder in der Lage ist, selbst Ableitungen für sein (m/w/d) Passwortmanagement zu treffen.
 
  • Gefällt mir
Reaktionen: BalthasarBux
Zurück
Oben