Warum müssen Passwörter lang und komplex sein?

[benneq]

Was genau meinst Du denn?

Zum Beispiel ganz einfache Dinge wie:

Für jeden unserer Online-Zugänge sollten wir nie das gleiche Passwort verwenden.

Sollte für jemanden, der Informatik studiert hat, und demnach diverse Logik-Vorlesungen besucht hat, sofort ein Dorn im Auge sein. Um seine Aussage zu erfüllen, reicht es, wenn ich für einen meiner zahlreichen Zugänge ein anderes Passwort verwende und beim Rest das gleiche.
Mir ist bewusst, dass er das im darauf folgenden Satz etwas besser ausformuliert. Aber man könnte auch einfach das KISS Prinzip heranziehen und sowas in einem kurzen Satz auf den Punkt bringen: "Benutz für jeden Online-Zugang ein anderes Passwort. Niemals ein und dasselbe Passwort für mehrere Zugänge nutzen."

Wer allerdings glaubt Hashing und Salts wären ein Allheilmittel, der staunt nicht schlecht, wenn gehashte und »gesalzene« Passwörter mit vergleichsweise wenig Aufwand von professionellen Crackern in die ursprüngliche Form überführt werden

Entweder hat er den verlinkten Artikel nicht gelesen oder nicht verstanden - von letzterem gehe ich aber mal nicht aus. Es geht dort um (erwiesenermaßen unsicheres) MD5. In Kuketz' (Kuketz's? Kuketzs?) Artikel hat das das reißerische Niveau der BILD Zeitung. Es ist undifferenziert und unsachlich.
Außerdem ist dem von ihm verlinkten Artikel nicht zu entnehmen, dass dort gesalzene Passwörter gecrackt wurden. Die dort gezeigten Screenshots sehen auch nicht danach aus. Allein das hätte zur Folge, dass die zu crackende Zeichenkette sich um Faktor 2 oder 3 in die Länge gezogen worden wäre.
Auch hier wieder: Das KISS Prinzip. Er hätte einfach nur schreiben müssen, dass MD5 unsicher ist, dass das seit Jahren bekannt ist und es trotzdem noch weit verbreitet ist. Und weil man nicht weiß, was der Dienstebetreiber einsetzt, kann man sich nicht darauf verlassen, dass man sich hier auf der sicheren Seite befindet. (Das wird nur ansatzweise im allerletzten Satz des Fazits angerissen).
Wobei man beim Thema MD5 auch sagen muss, dass dort auch ein langes Passwort (zumindest wenn ungesalzen), dank inzwischen extrem umfangreicher Rainbow Tables und relativ "einfach" zu provozierender Hash Kollisionen, keinen wirklichen Schutz liefert.

Die Verwendung eines Passwort-Managers ist zunächst gewöhnungsbedürftig. Bei jedem Login müsst ihr zunächst den entsprechenden Eintrag auswählen, das Passwort kopieren und in das Online-Formular einfügen. Das ist nicht unbedingt bequem, aber sicher – sofern euer System nicht kompromittiert ist.

Mir ist bewusst, dass einen Absatz weiter im roten Kasten der Inhalt ideses Absatzes wieder teilweise revidiert wird. Aber: Er steht da! Warum?
Warum lässt er dieses offensichtliche Sicherheitsrisiko mitten im Artikel stehen, statt es durch die sichere Variante (siehe Update) zu ersetzen, und dann einfach im Update darauf hinweisen, dass sich hier was geändert hat, weil die alte Fassung scheiße war.
So liest man erst etwas, denkt sich "ahh, sehr schlau, das merk ich mir!" und 10 Sekunden später wird man dann aufgefordert es wieder zu vergessen.

Bei unser Passphrase, die aus insgesamt 6 Wörtern besteht, würde das 7776⁶ bzw. 221073919720733357899776 mögliche Kombinationen ergeben. Im Schnitt würde ein Angreifer 11 Trilliarden (Zahl mit 22 Nullen) Versuche benötigen.
[...]
Selbst wenn jemand über das Wissen verfügt, dass ihr eure Passphrase aus der englischen Diceware Wortliste erstellt habt, muss er im Durchschnitt verflucht lange rechnen, bis er es errät bzw. knackt.

Hier fehlt der Bezug zu "herkömmlichen" Passwörtern. Vermutlich aus gutem Grund: Die Anzahl der Kombinationen wird durch Diceware nicht größer. Man nehme ein Passwort aus 52 Groß- und Kleinbuchstaben, 10 Zahlen und 7 Sonderzeichen (eigentlich noch mehr möglich), mit einer Länge von 12 Zeichen. Ergibt ca. 11 Trilliarden Möglichkeiten.
Soll heißen: Wenn jemand das Wissen hat, dass das Passwort mit Diceware generiert hat, kommt man auf's selbe Ergebnis.
Und natürlich lässt sich der Diceware Ansatz noch sehr einfach deutlich verbessern, aber darauf geht er nicht ein: Man tausche einfach ein paar Gross- durch Kleinbuchstaben (oder umgekehrt) aus und/oder füge irgendwo noch Sonderzeichen oder Zahlen ein.

Zufall: Garantiert durch die Würfel

Ist natürlich nur eine zu vernachlässigende Kleinigkeit, aber dennoch: Auf die Entropie geht er zwar ein, aber sagt mit keinem Wort, dass ein von Menschen gewürfelter "handelsüblicher" Würfel gar nicht soooo zufällig würfelt. Das hat zum einen mit dem Menschen zu tun, aber eben auch damit, dass der 5ct Würfel aus der Spielesammlung nicht ausbalanciert ist und dadurch keine gleichverteilte Wahrscheinlichkeit für die 6 Seiten gegeben ist. Warum sollte ich dem also eher vertrauen als dem SecureRandomNumberGenerator meiner CPU? Bleibt unbeantwortet.

Wenn ihr eure Passwörter dennoch mit euch herumtragen wollt, dann solltet ihr wissen: Die Geräteverschlüsselung bzw. der Schutz ist nur so gut, wie das verwendete Passwort. Gleiches gilt für die Verwendung von KeePassXC auf dem mobilen Endgerät – eure Diceware-Passphrase solltet ihr also nicht der Bequemlichkeit opfern. Solltet ihr unterwegs unbedingt auf ein Passwort zugreifen müssen, dann freundet euch mit der Eingabe eurer Diceware-Passphrase an.

Mit keinem Wort wird auf das seit Jahren bekannte und vielgenutzte Handy-Feature eingegangen, dass man seinen Passwort Manager auch mit dem Fingerabdruck entsperren könnte. Vor- und Nachteile gegenüber der Eingabe von 40-stelligen Passwörtern, wo jeder die Eingabe mitfilmen kann? Fehlanzeige.



Und sicherlich gibt's in dem Artikel noch andere Punkte, die ich übersehen habe.

@Snakeeater Und sich den einen Punkt rauszupicken, der dir nicht gefällt, und den Rest zu ignorieren, sagt alles über deine Person aus

 

[carnival55]

Danke @benneq für die Mühe, die Du Dir gemacht und das im Detail erklärt hast!

Die Diskussion schweift jetzt ein wenig vom ursprünglichen Thema ab -Sorry an alle Mitlesenden dafür-, dennoch ein paar Gedanken dazu:

Meine erste Reaktion darauf war "Ja, da hatt'er Recht, aber..."
Die Artikel des Kuketz-Blogs ( ) sind oft nicht (auch hier gibt's Ausnahmen) "von Informatikern für Informatiker" geschrieben, sondern, ich würde es mal nennen, "aufbereitet für Interessierte" und haben auch nicht den Anspruch an ein wissenschaftliches Paper.

Ich glaube, bei der adressierten Zielgruppe und der Länge des Artikels (immerhin rund 3.400 Wörter) kann man bei den "Unschärfen" ein Auge zudrücken.

 

[benneq]

Die Artikel des Kuketz-Blogs ( )

Ah! Das erleichtert die Formulierung natürlich ungemein

"aufbereitet für Interessierte" und haben auch nicht den Anspruch an ein wissenschaftliches Paper

Den Eindruck habe ich auch. Der Artikel ist definitiv nicht für Sicherheitsforscher geschrieben worden. Aber gerade dann sollte man bei bestimmten Punkten mehr Differenzierung einbringen und die Dinge auf den Punkt bringen, damit der Leser nicht verwirrt wird und/oder es zu Missverständnissen kommt - gerade wenn's um Sicherheit geht!

Der Artikel wirkt teilweise schnell und undurchdacht heruntergeschrieben, und wenn dann während des Schreibens noch was inhaltlich passendes in den Sinn kommt, dann wird es nicht an die passende Stelle eingebaut bzw. der unpassende / ungenaue Teile umgeschrieben, sondern es wird irgendwo als (scheinbar nebensächliche) Anmerkung eingefügt.
Ich habe damit beruflich zu tun, ich weiß worauf ich achten muss und mir fällt beim Lesen auf, dass das unstimmig wirkt. Aber für einen Laien empfinde ich sowas dann als ungeeignet, weil es Verwirrung stiftet, bzw. weil man zuordnen können muss welche Informationen von welchen Stellen zusammengehören, und wie diese zusammenpassen.

Das fängt schon beim Titel an: "Sicheres Passwort". Auf dieser Phrase baut die gesamte erste Hälfte des Artikels auf. Zum Beispiel geht's immer und immer wieder um "gute", "sichere", "lange" und "zufällige" Passwörter. Das ist natürlich auch sehr wichtig, aber hat herzlich wenig mit dem eigentlichen Problem der ganzen Sache zu tun: Es geht darum, dass man seine Passwörter nicht mehrfach verwenden sollte. Denn: Wenn das Passwort gehackt wurde, dann ist es egal, ob mein Passwort 40 Stellen hat und Chinesischen Schriftzeichen und Emojis beinhaltet. Gehackt ist gehackt. Dazu braucht's nur einen einzigen Dienst, der Mist gebaut hat: Sei es Login über HTTP GET mit den Credentials als Query Parameter (sowas loggt jeder Webserver automatisch mit), oder Logging der POST Bodys von HTTP Requests, oder der Klassiker mit Plaintext Passwörtern in der Datenbank. Aber das kommt nur so am Rande zur Sprache.

Und die zweite Hälfte des Artikels ist eigentlich nur noch eine Werbung für Passwort Manager - was natürlich grundsätzlich erst mal zu befürworten ist. Aber da fehlt's dann für Laien wieder an wertvollen Infos. Wie z.B. die Einstellungen für die (automatische) Sperre der Passwort Datenbank. Standardmäßig bleibt KeyPassXC nämlich entsperrt bis man es manuell sperrt oder man den Rechner sperrt / in den Standby schickt. Heißt: Wer das auf seinem PC deaktiviert hat und seinen Rechner unbeaufsichtigt lässt, kann seine Passwörter genau so gut auf Post-Its an den Bildschirm kleben.

So einen Artikel kann ich nicht kommentarlos weiterempfehlen, weil eben extrem wichtige Punkte deutlich zu kurz kommen bzw. gar nicht erwähnt werden.

 

[Snakeeater]

Also wir fügen also wieder Sonderzeichen und Großkleinschreibung/Zahlen in unser 32 zeichen langes Passwort ein damit wir etwas mehr Sicherheit haben, falls der "Angreifer" darauf kommt das wir das diceware verfahren genutzt haben...

Ganz ehrlich:

So Leute wie du machen das Internet kaputt. Das von dir geschriebene macht für einen Laien deutlich weniger Sinn als der gesamte Artikel und die Zusammenhänge auf die du eingehst sind stellenweise einfach falsch (.s oben) oder Erbsebzählerei, weil man "weiß es ja besser".

Edit:
Dein letzter Kommentar ist unterhaltsam. Hast du das Konzept nicht verstanden, dass das sichere "einfach zu merkende" diceware-Passwort einfach nur für eine Sache genutzt wird? Das entsperren deines PW-Managers.
Aber ja geh lieber darauf ein was für ein Sicherheitsrisiko ein nicht gesperrtes Kepass ist falls ein Fremder an deinem PC rumklüngelt. Das der dann sowieso alles machen kann was er will ist...nicht so wichtig, wa?

Zu guter letzt: Schreib doch einen besseren Artikel für Laien oder verlinke zumindest einen...aber ne, darum gings ja nich.