News Sicherheit: Einfache Passwörter bleiben in Deutschland weiterhin beliebt
- Ersteller mischaef
- Erstellt am
- Zur News: Sicherheit: Einfache Passwörter bleiben in Deutschland weiterhin beliebt
SheepShaver
Commodore
- Registriert
- Nov. 2004
- Beiträge
- 4.207
Au weia. Wer benutzt denn noch so veraltete Richtlinien? Heutzutage sollte man schon die Richtlinien nach NIST 800-63B befolgen.Dr. MaRV schrieb:
https://jumpcloud.com/blog/nist-800-63-password-guidelines
Haldi
Admiral
- Registriert
- Feb. 2009
- Beiträge
- 9.097
hust oder auch nicht hustFred_VIE schrieb:Wo, am Smartphone, wo Apps alles auslesen?
https://support.apple.com/de-ch/guide/security/sec59b0b31ff/web
https://source.android.com/docs/security/features/keystore
obama
Cadet 3rd Year
- Registriert
- Feb. 2021
- Beiträge
- 35
Guter Artikel von Bruce Schneier dazu:Tzk schrieb:
https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
Zuletzt bearbeitet:
(Falschen Link korrigiert)
Botcruscher
Captain
- Registriert
- Aug. 2005
- Beiträge
- 3.610
Da versteht einer bei der eigenen Studie das wirkliche Problem nicht. Für Bullshit Anwendungen werden schlicht auch wegwerf Passwörter benutzt. Das kommt davon wenn jeder Anbieter eine Registrierung verlangt, Klautabfall einbaut und am besten gleich auf die 10min Mail umgeleitet wird. Wertlose PW für wertlose Accounts.
freshprince2002
Captain
- Registriert
- Juni 2008
- Beiträge
- 3.737
Warum sollte sowas wie qwerty dabei sein bei Deutschen mit deutschen Tastaturen?
Wenn sonst sowas wie 123456 angeblich mega beliebt ist, wird da niemand so raffiniert sein und ganz zufällig das z gegen ein y austauschen.
Diese Passwortlisten halte ich für erfunden, wie so vieles im Internet.
Außerdem hat @mischaef da im CB Text einfach mal gwerty draus gebastelt.
Wenn sonst sowas wie 123456 angeblich mega beliebt ist, wird da niemand so raffiniert sein und ganz zufällig das z gegen ein y austauschen.
Diese Passwortlisten halte ich für erfunden, wie so vieles im Internet.
Zuletzt bearbeitet:
dev/random
Lt. Junior Grade
- Registriert
- Okt. 2020
- Beiträge
- 319
Also laut https://fidoalliance.org/faqs/#PasskeysFAQs ist cloud Synchronisation eines der zentralen Features, um eine komfortable Nutzung und Akzeptanz zu erreichen.Haldi schrieb:
Natürlich kann man webauthn auch weiterhin mit einem hardware token verwenden (nennt sich jetzt nur "single-device passkey"). Den Aufwand mit extra Hardware akzeptieren aber nicht viele Benutzer.
Und da kann ich nur voll zustimmen.Haldi schrieb:
Passkeys erhöhen in jedem Fall die Sicherheit, auch wenn Schlüssel per cloud synchronisiert werden.
Vor allem werden vergleichbare Key-Synchronisations-Verfahren bereits in vielen Messengern genutzt. Es ist wirklich Zeit, Passwörter zu ersetzen.
Wie immer fehlen mir bei so einer Diskussion ein paar Zahlen, so man sie denn hätte. Die erste Frage wäre, wieviele 'Datenabflüsse', generell gesprochen, sind darauf zurückzuführen, dass ein Passwort tatsächlich ermittelt oder erraten wurde? So wie ich das sehe, passieren die meisten Hacks durch Einbrüche in die Server und Systeme. Die zweite interessante Zahl wäre dann noch, wieviele dieser 'Passwort-Ermittlungen' verhindert hätten werden können, wenn das Passwort statt 6-7 'vernünftigen' Zeichen, 18 Zeichen mit allem Pipapo gehabt hätte? Klar, 123456 o.ä. ist indiskutabel. Aber es gibt ja auch gute, 'memorierbare' Mittelwege zwischen 123456 und schwachsinnig komplizierten Konstruktionen.
freshprince2002
Captain
- Registriert
- Juni 2008
- Beiträge
- 3.737
Stimmt, erwischt.
Haldi
Admiral
- Registriert
- Feb. 2009
- Beiträge
- 9.097
Das liegt daran das in der Anbieter Cloud wovon die sprechen auch automatisch das Backup mitorganisiert ist.dev/random schrieb:
Stell dir vor du verlierst dein Handy und kannst dich ab sofort nirgendeo mehr einloggen?
Unabhängige Services wie KeePassXC oder Bitwarden (selfhosted) verlassen sich darauf das der Anwender selbst eine Backup Strategie verwendet.
Da gibt's dann auch P2P synchronisation.
Die Alternative dazu wäre das man pro Gerät einen Passkey erstellt und bei Verlust via Recovery einen neuen generiert.
Xood
Lieutenant
- Registriert
- Jan. 2011
- Beiträge
- 638
Ohne die zahlreichen Beitrag hier zu lesen, irgendwas stimmt nicht.
Es ist seit Jahren gängige Praxis dass absurd komplizierte Buchstaben, Zahlen, Sonderzeichen und groß als auch Kleinschreibung und längen kombiniert werden müssen.
Damit ließe sich die aufgelisteten Passwörter nicht abbilden.
Es spiegelt also nicht die Realität wieder, sonder irgendeinen alten Datenbestand.
Noch dazu sollten Passwörter schon lange nicht mehr im Klartext existieren und nur in nicht rückwandelbaren kryptischen Daten vorhanden sein (hash).
Das kombiniert würde auch sinn ergeben, wenn sich alle daran halten, kann diese Liste der einfachen Passwörter nicht mehr aktualisiert werden, da keine neuen mehr gefunden werden...
Es ist seit Jahren gängige Praxis dass absurd komplizierte Buchstaben, Zahlen, Sonderzeichen und groß als auch Kleinschreibung und längen kombiniert werden müssen.
Damit ließe sich die aufgelisteten Passwörter nicht abbilden.
Es spiegelt also nicht die Realität wieder, sonder irgendeinen alten Datenbestand.
Noch dazu sollten Passwörter schon lange nicht mehr im Klartext existieren und nur in nicht rückwandelbaren kryptischen Daten vorhanden sein (hash).
Das kombiniert würde auch sinn ergeben, wenn sich alle daran halten, kann diese Liste der einfachen Passwörter nicht mehr aktualisiert werden, da keine neuen mehr gefunden werden...
theLittleCandy
Ensign
- Registriert
- Dez. 2023
- Beiträge
- 254
Also an den 10 angegebenen Passwörtern, habe ich nicht einmal ansatzweise gedacht. Wüsste auch überhaupt nicht wie man darauf kommt.
Viper816
Lt. Junior Grade
- Registriert
- Jan. 2014
- Beiträge
- 508
Also ich hatte nach mal 2 Passwörter für alles.
Nachdem ein Account auf havebeenpwnd veröffentlicht wurde habe ich einen Tag Arbeit investiert um alle Accounts mit einen Passwortmanager zu vercrypten.
Jetzt bin ich aber ohne diese Manager aufgeschlossen...
Nachdem ein Account auf havebeenpwnd veröffentlicht wurde habe ich einen Tag Arbeit investiert um alle Accounts mit einen Passwortmanager zu vercrypten.
Jetzt bin ich aber ohne diese Manager aufgeschlossen...
Bei den meisten lassen sich die Passwörter relativ schnell erraten.
Benutzername: Michael1960
Passwort: Micha1960
Erfüllt nicht die Anforderungen? Dann ist es meistens Micha1960! oder Micha1960?.
Bei älteren Menschen ist es häufig der Geburtstag der Kinder. In dem Fall einfach deren Facebook öffnen und mögliche Kombinationen notieren.
Ich hatte vor kurzem ein Praxisprogramm vor mir welches "blume" als Standardpasswort nutzt. Natürlich ändert es niemand ab weshalb überall das gleiche Passwort genutzt wird.
Benutzername: Michael1960
Passwort: Micha1960
Erfüllt nicht die Anforderungen? Dann ist es meistens Micha1960! oder Micha1960?.
Bei älteren Menschen ist es häufig der Geburtstag der Kinder. In dem Fall einfach deren Facebook öffnen und mögliche Kombinationen notieren.
Ich hatte vor kurzem ein Praxisprogramm vor mir welches "blume" als Standardpasswort nutzt. Natürlich ändert es niemand ab weshalb überall das gleiche Passwort genutzt wird.
