Wie sicher sind sichere Passwörter?

090714bruce-blogIT-Security-Papst Bruce Schneier (siehe Pic) weist aktuell darauf hin, dass auch die „sichersten“ Passwörter mit sämtlichen Sonderzeichen, und mehr Stellen als von einem typischen Konzern pro Monat abgebaut werden, trotzdem nicht gegen Keylogger und Phishing helfen.

Er rät daher zu „normal“ sicheren Passwörtern, die „normalen“ Brute-Force-Attacken widerstehen können, und empfiehlt dafür, die User-Namen sicherer (komplizierter) zu machen. Wie haltet ihr das mit den Passwörtern (siehe Poll)?

( schneier via slashdot)

13 Kommentare

  1. Eine repräsentative Umfrage sieht aber anders aus…

    Gefällt mir

    • Das hier ist ja auch das 11k2, und nicht der SPON.

      Gefällt mir

      • Ausserdem. ist die Umfrage klar noch bedeutungslos, wenn man der allererste ist, der abstimmt. ^^

        Gefällt mir

  2. Wie ich schon auf /. meinte: Man muss sich halt eine Eselsbrücke drum stricken. Ein Muster wie man wieder drauf kommt. Z.B. wenn man sein Hintergrundbild als „Zeichnung“ auf die Tastatur tippt, oder ähnliches. Was wo sonst keine Sau draufkommen kann, was einen aber unmöglich nicht dran erinnern kann.

    Gefällt mir

  3. ich benutze ganze sätze die mit, nur für mich logischen, wort- zahlen- und sonderzeichen- kombinationen durchsetzt sind. wenn es zugelassen ist kann das schon mal in die 30 oder 40 zeichen gehen.

    das längste welches ich im moment im einsatz habe ist 36 zeichen lang.

    Gefällt mir

  4. Das ist eigentlich ganz einfach und nachvollziehbar! ich nutze eine fixe anzahl zahlen und zeichen in festgelegten kombinationen und wechsle diese in bestimmten abständen. Schränkt die Auswahl bei erhaltener Willkür enorm ein und man erinnert sich immer. Ob es ein Keylogger knacken kann ist mir egal, hauptsache ich kanns mir merken und der Rätselfreund kommt nicht drauf.

    Gefällt mir

  5. ich variiere passworte nach wichtigkeit. für foren etc. hab ich meist das gleiche, bei privaten dingen ist das anders und die höchste sicherheit mit 30+ zeichen sind bei den platten der fall.
    wenn wer keylogging oder so macht, dann soll er meine passworte eben haben. meine TAN-nummern sind eh gut unter der tastatur versteckt!!!!!111

    Gefällt mir

  6. Sean aus dem F-Secure Lab hat da einen interessanten und funktionalen Ansatz:
    http://www.f-secure.com/weblog/archives/00001691.html

    Macht Sinn :)

    Gefällt mir

  7. Meine Nutzeraccounts sind mit relativ schwachen Passwörtern geschützt (um die 8 Zeichen, noch gut merkbar). Root Zugriff ist schon komplizierter.

    Dieses Schema gilt aber nicht für meinen Router. Hier hat selbst ein normaler Beutzer ein Passwort, das nur noch mit copy/paste eingegeben werden kann.

    Die Verschlüsselten Partitionen werden mit Passwörtern eingehängt, die nur in Verbindung mit einem USB token die Entschlüsselung freigeben.

    Alle richtigen Passwörter liegen in einem verschlüsselten Container auf einem USB Stick, der von einem memorierbaren, aber mit Wörterbuchattacken und Brute Force nicht sinnvoll erratbaren Passwort >30 Zeichen geschützt ist.

    Windows kommt bei mir höchstens in einer VM zum Einsatz, deren Netzwerkverkehr mit Gewalt (iptables) eingeschränkt und in geordnete Bahnen gelenkt wird.

    Noch Fragen? ;-)

    Gefällt mir

  8. kommt drauf an wofür.
    Für 0815 accounts (Foren(User), Torrentseiten, etc) ists ein einfaches passwort
    Für die etwas höheren accounts (Forum-Admin, Telekom-sachen etc) ists ein sichereres passwort
    Für empfindliche Sachen gehts schon in den Bereich leet rein.
    Allerdings existieren bei mir keine passwörter die mehr als 10 zeichen haben.

    (Und Wlan gibts nur per Mac und ein passwort das sich wohl nur meine Frau merken kann;) )

    Was mich stört ist das beim onlinebanking die Passwortsicherheit sehr stark beshränkt ist. Bei einer Bank sind sogar nur 5 ziffern möglich…

    Gefällt mir

  9. wörter aus dem Bayrischen :D

    übrigens ich hab letzes mal eine Reportage datrüber gesehen, ein häufiges Passwort was genutzt wird ist „ficken“ :D jetzt erkläre es mal deinen IT chef der sich wgeen Problem auf deinem Rechner einloggen muss .. hehe

    Gefällt mir

  10. noch viel häufiger wird arschloch ‚verwendet‘ oder ‚passwort‘. Keylogger ok, aber die meisten sind den Aufwand den der Hacker dafür betreiben muss gar nicht wert. Rein schon wegen dem iTan Verfahren was jedesmal eine andere TAN verlangt.

    Was natürlich geht ist andere sensible Daten abfangen, Kreditkarten infos zb…

    Gefällt mir

  11. > [Schneier] … die “sichersten” Passwörter … trotzdem nicht gegen Keylogger und Phishing helfen.
    > [er] empfiehlt dafür, die User-Namen sicherer (komplizierter) zu machen.

    Komplexere User-Namen machen sicherlich Sinn aber in wie fern soll dies gegen Keylogger und Phishing helfen???

    Gefällt mir


Comments RSS TrackBack Identifier URI

Kommentar schreiben

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.