ComputerBase Menü
Aktuelles

Passwortkomplexität und -länge

N

newteliman

Ensign
Registriert
Okt. 2005
Beiträge
245
Moin,

eine Frage zur Länge bzw. Komplexität von Passwörtern.

Es ist ja wohl so, dass die schiere Länge der Passwörter die Komplexität der Passwörter wie „hej;)467/4h“ schlägt, also ein Passwort zusammengesetzt aus mehreren Wörtern z. B. „Parse-grime-gaus-dyad-dart-arms-odd9“.

Da ich ein Passwortmanager benutze, ist mir die Länge im Prinzip ja auch egal, nur kommt es hin und wieder mal vor, dass man ein Passwort händisch eintippen muss, was natürlich bei vielleicht 60 Zeichen schon sehr mühsam sein kann.

Daher meine Frage, wie lang MUSS mindestens ein Passwort aus lesbaren Wörtern getrennt z. B. durch Bindestrichen sein, so das es mit heutigen Massstäben als „sicher“ gilt?
 
Es kommt nicht nur auf die länge und komplexität eines Passwortes an, sondern auch auf Bequemlichkeit.

Wenn Du die Sicherheit wier erhöhen willst, dann ändere alle 3, 6, 9, oder 12 Monate beispielsweise alle Passwörter.

Wenn Du seid 10 Jahren das gleiche Passwort für einen Dienst verwendest, ist die Chance ungleich höher, dass das PW geknackt wird, als wenn Du alle paar Monate das Passwort änderst.
 
Ein Passwort alleine gilt nicht wirklich als sicher egal wie komplex, da müsst schon Multifaktor zum Einsatz kommen.
 
Nutze natürlich auch wo es geht 2FA... 😉 Mit geht es halt ums Verhältnis zwischen einer sicheren Passwortlänge vs. Nutzerfreundlichkeit bei hin und wieder händischer Eingabe.
 
nimm was komplexes einmaliges ... lieber komplexer und nicht so oft ändern, oft ändern veranlasst Menschen dazu ein einfaches PW zu verwenden, was einfacherer geknackt wird.

OmaErnaHauptstr.13,61523München&

OpelKadett,Bj.1985Weiß$

Omaist3JahreälteralsOpa§

Kann man auch gut mit was persönlichem verbinden, man sollte dann aber halt nicht dem Social Engineering zum Opfer fallen.
 
Heutzutage tendiert man eher zum Passwortsatz statt zum Passwort: "Ich war schon 36-Mal in Mallorca, war jedesmal besoffen und hatte mächtig Spass dabei!" knackt sich erst in ein "paar" Jahren und wird so für BruteForcer mächtig uninteressant.

/Edit: schönes Video unter anderm auch zu Passwörtern (geht ab ca 40:50 los, der Rest ist aber durchaus auch sehenswert):

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.


Grüsse

Gulp
 
alex_k schrieb:
Wenn Du seid 10 Jahren das gleiche Passwort ...
Zum Vergrößern anklicken....

Wenn eine Bruteforceattacke dein Passwort findet (weils das Passwort zu einfach war) spielt es keine Rolle ob du es jetzt 5min oder 20 Jahre genutzt hast :-)

Grundsätzlich ist davon abzuraten normale Wörter zu nutzen, da Bruteforceattacken auf Wörterbücher zurückgreifen um das Passwort zu finden.
Und wenn es unbedingt sein muss dann selbst erdachte Wörter, die es normal nicht gibt aber sich selbst besser merken kann.
 
newteliman schrieb:
Daher meine Frage, wie lang MUSS mindestens ein Passwort aus lesbaren Wörtern getrennt z. B. durch Bindestrichen sein, so das es mit heutigen Massstäben als „sicher“ gilt?
Zum Vergrößern anklicken....
Da die eigentliche Frage noch niemand beantwortet hat... ;-).

Angenommen du nimmst zufällig aus dem 171.000 Worte Pool des englischen Wörterbuches (du müsstet checken wie groß der Pool deines Passwortmanagers ist...). Dann gibt es bei sechs Worten 171.000^6 = 2,5*10^31 Möglichkeiten.

Nehmen wir den schlimmsten Fall an: Das Passwort wurde mit MD5 gehasht und der Angreifer weiß/vermutet dein Format "wort1-wort2-wort3-wort4-wort5-wort6".
Nehmen wir weiter an, der Angreifer kann 1 Billionen = 10^12 (bin offen für bessere Vermutungen) Hashes pro Sekunde ausprobieren.
Dann brauch er durchschnittlich 2,5*10^31 / (10^12 * 60 * 60 * 24 * 365) ~ 8*10^14 Jahre um dein Passwort zu erraten. Klingt safe.


Gulp schrieb:
Heutzutage tendiert man eher zum Passwortsatz statt zum Passwort: "Ich war schon 36-Mal in Mallorca, war jedesmal besoffen und hatte mächtig Spass dabei!" knackt sich erst in ein "paar" Jahren und wird so für BruteForcer mächtig uninteressant.
Zum Vergrößern anklicken....
Solange du dir merken kannst, dass es "36-Mal" heißt und nicht "24 mal" oder "46-mal" oder "16-Male" und du besoffen warst und nicht betrunken und das du "Spass" hattest statt "Spaß" und das du kommata korrekt gesetzt hast und ein Ausrufezeichen....
Ich mein gut, sind dann am Ende vllt 1000 Kombinationen die man ausprobieren muss. Wohl dem, der stark genug mit regexp ist :D.
 
Zuletzt bearbeitet:
Ich persönlich mag die "Satz-Methode" ganz gern. Also einen bestimmten Satz nehmen und da dann z. B. die Anfangsbuchstaben (oder die letzten Buchstaben) aller Wörter sowie Sonderzeichen verwenden, dann noch ein paar Regeln bzgl. Groß- und Kleinschreibung oder "Leet-Speak" und fertig. Auf die Art habe ich Passwörter mit mehr als 25 Zeichen, die sich problemfrei merken lassen.

Nur mal als Beispiel, was man da machen könnte:

Code: 
Alle meine Entchen, schwimmen auf dem See, schwimmen auf dem See, Köpfchen in das Wasser, Schwänzchen in die Höh'

Code: 
AmE,54dS,54dS,K1dW,S1dH'

@BeBur
Wenn die Wörter sehr einfach sind ("hund-katze-auto-Oma-Haus-Flugzeug"), wird das knacken allerdings wesentlich schneller laufen können, weil dann über Wörterbücher attackiert werden kann.
 
Exterior schrieb:
Wenn die Wörter sehr einfach sind ("hund-katze-auto-Oma-Haus-Flugzeug"), wird das knacken allerdings wesentlich schneller laufen können, weil dann über Wörterbücher attackiert werden kann.
Zum Vergrößern anklicken....
Wichtig ist natürlich, dass zufällig aus dem gesamten Wörterbuch gewählt wird, was ein Mensch selbstredend nicht kann. Ich bin dabei ausgegangen, dass der Passwortmanager das für den Threadersteller übernimmt. Sonst stimmt die Rechnung natürlich nicht mehr bzw. man braucht dann ein Programm, dass genau diese Aufgabe übernimmt.
 
@BeBur: Sicherlich hat ein Passwortsatz auch seine Schwächen, er ist allerdings um Längen praxistauglicher und am Ende aus meiner Sicht immer noch deutlich sicherer als die üblichen Passwörter, die ohne zu Murren durch die Komplexitätsprüfung durchrutschen, wie zB September_2018 .......

Es geht ja bei der Implementation von Sicherheit auch nicht nur um das sichere System an sich, sondern auch darum es dem DAU erfolgreich an die Hand zu geben, damit auch er es verstehen und umsetzen kann. Da sind Passwörter nur ein Teil des Puzzles. Das geht gleich bei der Kontosperrung weiter, auch da täuschen sich die meisten, dass eine Sperrung nach 3 Mal falschem Passwort in 30 Minuten etwas Sicheres wären ........

Grüsse

Gulp
 
@Exterior
Wo ist denn hier im neuen Forum der "Gefällt mir nicht"-Knopf? ;-)
AmE,54dS,54dS,K1dW,S1dH'
Zum Vergrößern anklicken....
So ein Passwort wäre mir persönlich viel zu umständlich. Da würde ich doch lieber direkt den kompletten Satz hernehmen, ohne irgendwelche Leetspeak-Obskuritäten. Ist meiner Meinung nach auch deutlich schneller eingetippt. Vielleicht würde ich nicht gerade einen Liedtext nehmen, der so überall im Internet zu finden ist, sondern halt irgend einen anderen Satz.
Leider erlauben manche Dienste im Internet bisweilen nur sehr kurze Passwörter mit maximal 15-20 Zeichen. Aber du musst doch zugeben, zum händischen Eintippen ist dein Passwortvorschlag bereits echt nervig.
 
  • Gefällt mir
Reaktionen: brianmolko und Nase
Es gibt sowieso keine sinnvolle Alternative zu einem Passwortmanager mehr, weil man heutzutage viel zu viele Passwörter benötigt. Der Threadersteller macht das von daher schon richtig und die Frage finde ich auch sehr nachvollziehbar. Ich nehme in solchen Fällen einfach lange zufällige Passwörter mit nur kleinen Buchstaben und Zahlen, da es mich persönlich nicht stört alle paar Monate ggf. mal so ein Passwort händisch abzutippen.

Btw. geht niemand ernsthaft hin und rotiert regelmäßig (und in sinnvoller Weise) seine Passwörter. Einfach sichere Passwörter verwenden und gut ist.
 
Die Satz-Variante ist ziemlich gut, aber der Satz sollte keinen Sinn ergeben, um ein Erraten zu erschweren. zusätzlich hilft es, mehrere Sprachen zu verwenden. Gut merkbar, komplex und das (seltene) manuelle Eintippen geht besser von der Hand.
 
  • Gefällt mir
Reaktionen: adius
War doch nur ein Beispiel zur Veranschaulichung, natürlich sollte niemand "Alle meine Entchen" als Passphrase nutzen, das sollte ja wohl klar sein.

@simpsonsfan
Ich finde das nicht unpraktisch. Ich habe auf die Art Passwörter jedweder couleur und die lassen sich ziemlich flott eintippen. Die ersten paar mal sind sperrig, aber danach geht das ziemlich flott von der Hand, wenn's quasi im Muskelgedächtnis ist.

Eines der Passwörter mit 27 Zeichen, Zahlen, Groß- und Kleinschreibung sowie verschiedenen Sonderzeichen dauert kaum 5 Sekunden, hab's gerade gestoppt. Da dauert ein ganzer Satz länger, aber das Passwort ist trotzdem ziemlich zügig eingegeben und auch sehr sicher.

Aber jeder, wie er will.
 
  • Gefällt mir
Reaktionen: simpsonsfan
simpsonsfan schrieb:
Leider erlauben manche Dienste im Internet bisweilen nur sehr kurze Passwörter mit maximal 15-20 Zeichen
Zum Vergrößern anklicken....
Das ist mir kürzlich auch irgendwo aufgefallen, aber ich weiß nicht mehr wo. Da waren es glaub ich sogar nur 8 Zeichen. Man könnte glauben, die Benutzer denken heutzutage schon sicherer als die Anbieter selbst - irgendwie beunruhigend und erfreulich zugleich.
 
Mein persönliches Lieblingsbeispiel dazu sind Online-Banking-Oberflächen, die nur 5 Zeichen (genau 5, nicht mehr, nicht weniger, 5!) zugelassen haben und da auch keine Sonderzeichen. Klar, Online-Banking ist ja jetzt auch nicht sooo eine kritische Anwendung, dass man die gescheit sichern müsste. Ist ja immerhin ein Zeichen mehr als bei der PIN meiner Giro-Karte und da geht's ja auch... Aber ich glaube, inzwischen haben da die meisten tatsächlich mal nachgezogen.
 
  • Gefällt mir
Reaktionen: BalthasarBux und LieberNetterFlo
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz