ComputerBase Menü
Aktuelles

sicheres Passwort...

In der c't oder auf heise Online gab es mal einen Link zu einen Passwort checker, der die nötige Zeit zum Bruteforcen anhand der Kombination relativ exakt angezeigt hat. Wenn also jemand "aaaaaaaaaaaaaaa" als Passwort hat ist das zwar schön lang aber trotzdem je nach Charset als erstes dran.

Kennt den zufällig jemand?
 
grünel schrieb:
Kann KeePass auch alles.
Und KeePass ist Open Source.
Zum Vergrößern anklicken....

Nah das kompliziert bezog sich auf die Experimente von User über Aussagen ohne einen PWM.
Mh ob der wirklich alles was Steganos kann, bezweifle ich irgendwo dennoch.
Aber anscheinend kann es inzwischen mehr als ich es in Erinnerung habe.

... und dann noch OpenSource...

Nice, Ich denke, ich werd wohl wechseln.
Danke für die Info. :)

Masamune2 schrieb:
In der c't oder auf heise Online gab es mal einen Link zu einen Passwort checker, der die nötige Zeit zum Bruteforcen anhand der Kombination relativ exakt angezeigt hat. Wenn also jemand "aaaaaaaaaaaaaaa" als Passwort hat ist das zwar schön lang aber trotzdem je nach Charset als erstes dran.

Kennt den zufällig jemand?
Zum Vergrößern anklicken....

Also Steganos, und wahrscheinlich auch KeePass, zeigt dir an wie lange bestimmte CPU-Systeme brauchen. Aber wie du schon sagtes es kommt auf die verwendeten Charsets an und man sollte bedenken die Zeit die angezeigt wird, geht oft vom Maximum aus, also mit bestimmter Technik oder gar den Zufall wird es wohl weit aus schneller geknackt.

Mein Tipp: Lieber noch 1 -2 Zeichen mehr dran hängen als geplant, das multipliziert das ganze auch nochmal hoch. ;)

.... und natürlich regelmäßig ändern.
Denn da nützt auch nen Super-Computer nichts weil die Zeitspanne zu gering ist. ^^
 
Zuletzt bearbeitet:
Die Sache mit den "paar Zeichen" mehr muss aber auch von der jeweiligen Software unterstützt werden. Ich hatte mal solange Probleme bis mir der zweite Hotline-Mitarbeiter sagte dass nur eine bestimmte Anzahl von Zeichen möglich sein. Waren es mehr gelang der nächste Einlogg nicht und nach Erstellung eines neuen Kennwortes dasselbe...
 
@Fauler Willi
Danke für den Tipp, hatte sowas mal im Verdacht, aber nicht gedacht das es tatsächlich so isr.
Wie siehts denn bei KeePass und Steganos aus, sind schon Infos bekannt ?
Zur Not werd ichmal den Support bemailen und hier posten. :)
 
Masamune2 schrieb:
In der c't oder auf heise Online gab es mal einen Link zu einen Passwort checker, der die nötige Zeit zum Bruteforcen anhand der Kombination relativ exakt angezeigt hat. Wenn also jemand "aaaaaaaaaaaaaaa" als Passwort hat ist das zwar schön lang aber trotzdem je nach Charset als erstes dran.

Kennt den zufällig jemand?
Zum Vergrößern anklicken....


Heute gabs zufällig einen Akrtikel in dem dem dieser Artikel verlinkt war:
http://www.heise.de/security/meldun...ackdauer-fuer-Passwoerter-voraus-1037592.html
 
Zurzeit überlege ich auch , wegen den ganzen Datenbank Diebstählen (Mindfactory , Neckermann, ...), wie sicher mein Passwort ist.

Was wenn die Datenbanken mit meinen "HochSicherheitsPasswort" geklaut wurde? Wie viel Schutz bietet dann ein PW mit Sonderzeichen und 8+ Stellen? Oder wie sieht's mit Keyloggern aus?

Das beste wäre wohl da den Schutz der Kunden bei solchen Läden einzurichten. Nur an verifizierte Adresse liefern zB.
 
@Herrmann
wenn die Betreiber nicht geschlampt haben sollten sämtliche Passwörter als 'gesalzener' Hash in der Datenbank liegen, welche man dann nur mit extremem Aufwand wieder rekonstruieren können.
 
Das mit der Datenbank ist natürlich schon beruhigend, dass dort idR Hash- Werte gespeichert werden.

Was ich mich aber schon die ganze Zeit frage, ist es denn tatsächlich eine reale denkbare Bedrohung, mit BruteForce ein PW irgendeines Internet Services zu attackieren? Fast alle Internetseiten blockieren den Account doch nach 3-5 fehlerhaften Einloggversuchen - dann geht erstmal nichts mehr.

Oder denke ich falsch und da gibt es noch andere Möglichkeiten?

Und, haltet Ihr es für sinnvoll die Passwörter in Gruppen einzuteilen? Beispielsweise: eMail Account 1 pw, online foren 1 pw, online banking 1pw... ?

Danke :) und einen schönen abend!
 
Das Passwort wird dabei ja nicht über den Login auf der Seite ausprobiert sondern direkt mit dem Hash der entwendet wurde.
 
Wie viele Stellen sind eigentlich empfehlenswert? Über 6 ist ja klar, aber ab wann ist es nur eine Übertreibung? (wegen andere Sorgen wie Keylogger etc)

Ich war wegen den Mindfactory, Neckermann etc Vorfall so verunsichert das ich bis zu 33 Stellig gegangen bin.

Dumm nur das ich am Ende bei einen Paswortwechsel bei KM Probleme bekam da er es zwar zum Anmelden annahm, aber nicht beim PW ändern. Da war es zu lang.
 
Zuletzt bearbeitet:
Ja, in der Regel schon... So sicher würde ich höchstens das Passwort eines Truecrypt Containers oder einer Keepass Datenbank setzen.

Bei Hashes die relativ schnell zu berechnen sind (md5 z.B.) brauchst du bei einem 8-stelligen (komplexen!) Passwort schon etwa ein halbes Jahr mit Grakaunterstützung.
Nimm jetzt einfach 10 Stellen und ein Angreifer benötigt Jahrzehnte....

Immer unter der Voraussetzung das dein Passwort einen möglichst großen Keyspace enthält (Kleinbuchstaben, Großbuchstaben, Zahlen und Zeichen) und nicht in einem Wörterbuch vorkommt.
 
Um mal die Analogie zu einem anderen Satz zu benühen:
Besser als ein langes Passwort ist nur ein noch längeres Passwort!

Wenn du gut damit zurecht kommst ein 25 Zeichen langes Passwort einzugeben, dann ist überhaupt nichts dagegen einzuwenden.
"Gefährlich" sind dann nur noch die Systeme, die dir zwar die Eingabe eines langen Passwortes erlauben, aber nur die ersten X Zeichen davon verwenden. "Komplexe" Passwörter werden eigentlich nur dort benötigt wo lange Passwörter nicht verwendet werden können.
 
wenn ich jetzt mehr als 8 Stellen habe, und für jede Seite ein anderes, dann werde ich ja wohl mit KeePass am besten kommen. Und die KeePass Datenbank hat ein 13 Stelliges Passwort
 
Kleine Anmerkung noch hierzu:

Für Keepass würde sogar ein kürzeres Passwort genügen, da die Verschlüsselung mit mehrfachen Runden des Hash-Algorithmus arbeitet. Der erhöht den Rechenaufwand beim Brute-Force enorm, sodass weniger Passwörter pro Sekunde getestet werden können.
(Einzustellen im Reiter Security beim Erstellen der Datenbank)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

CyborgBeta
Anforderungen an sicheres Passwort?
2
Antworten
25
Aufrufe
1.286
Ranayna
Ranayna
T
Passwort-Manager Sicherheit bei Clouddiensten?
2
Antworten
22
Aufrufe
1.928
Oli_P
Oli_P
K
Erpressung per E-Mail wie kommt die Person an mein Passwort?
2 3
Antworten
56
Aufrufe
3.437
BFF
BFF
M
email: IMAP nur mit STARTTLS ohne verschlüsseltes Passwort sicher ?
2
Antworten
23
Aufrufe
2.173
Helge01
Helge01
F
kleinanzeigen: "Dein Passwort wurde aus Sicherheitsgründen zurückgesetzt" Sonst noch jemand betroffen?
Antworten
3
Aufrufe
1.658
freifacht
F
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz