"Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Heute ist "Ändere dein Passwort"-Tag und das kostenlos in der Headline ist ein Triggerwort, um etwas Aufmerksamkeit zu erregen. Passwörter werden nämlich viel zu selten gewechselt und oft sind sie auch nicht sicher.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Mensch, die alberne Überschrift hat mich gerade auf eine neue Geschäftsidee gebracht :ugly: Große Online-Dienste wie Facebook, Battle.Net, etc. könnten den Passwort-Wechsel kostenpflichtig machen. Muss ja nicht viel sein, 10 Cent pro Wechsel reichen ja aus. Wenn dann jeder Nutzer noch gezwungen wird, mindestens einmal pro Jahr das Passwort zu wechseln, hat man viele Millionen Dollar an zusätzlichen Einnahmen :D
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Wieso genau sollte man Passwörter häufig wechseln? Gehen wir mal davon aus dass jeden Tag die gleiche Chance besteht das mein Passwort in irgendeiner Form geknackt wird, kann das doch genauso gut direkt nach dem Wechsel mit einem neuen PW passieren. Der häufige Zwang Passwörter zu wechseln sorgt aber dafür das viele Passwörter einfach gestrickt sind, z.B. mit Jahreszahl am Ende oder aus einfachen Wörtern, da sonst der Merkaufwand viel zu groß wird, gerade wo man heutzutage für jeden Kleinscheiß (demnächst Nvidia-Treiber?) ein Account und damit ein Passwort braucht.
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Meine Passwörter sind schon lange 6-10 lange und enthalten Zahlen, kleine und Grosse Buchstaben sowie alle möglichen Sonderzeichen die meine Tastatur zu bieten hat. ;)
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Die Sicherheit des Benutzerkontos ist nicht nur von dem Kennwort abhängig sondern auch von der Eingabe. Passwörter könnten auch einfacher (aber nicht zu simple) sein, wenn es nicht möglich wäre die Eingabemasken vollzuspammen bis es zufällig passt, was leider oft geht. Eine exponentielle Steigerung der Zeit bis zur nächsten möglichen Eingabe trägt zum Beispiel sehr viel zur Erhöhung der Sicherheit bei. Das muss natürlich auf der Serverseite gelöst sein.
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Namaker schrieb:
Genau das ist eigentlich falsch: Länge>>Zeichenvielfalt, siehe dazu XKCD. ;)
Zum Vergrößern anklicken....
Ohne Sonderzeichen & Zahlen bedeutet aber auch das der Computer die Zahlen & Sonderzeichen bei der Brute-Force-Methode weglassen kann.
Damit reduziert sich die Anzahl der möglichen Kombinationen um ein Vielfaches.
Verwendet man dazu einfach nur Worte aus einem Wörterbuch, kann sich der Computer auch zufällige und unlogische Buchstabenkombinationen sparen --> Wieder viel weniger Möglichkeiten.

Es würde schon reichen irgendein Sonderzeichen irgendwo (aber besser nicht am Anfang/Ende) im Passwort unterzubringen. Damit das Passwort sicherer ist.
Zum einen würde es dadurch länger werden, und es müssten zusätzlich noch Sonderzeichen mit in die Liste der Möglichen Zeichen bei der Brute-Force-Methode aufgenommen werden.
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Homerclon schrieb:
Ohne Sonderzeichen & Zahlen bedeutet aber auch das der Computer die Zahlen & Sonderzeichen bei der Brute-Force-Methode weglassen kann.
Damit reduziert sich die Anzahl der möglichen Kombinationen um ein Vielfaches.
Zum Vergrößern anklicken....

Stimmt - nur ist die Anzahl möglicher Zeichen die Basis, die Zeichenanzahl/Länge des PWs aber der Exponent der möglichen Kombinationen.
Oder anders gesagt ein Passwort das 4 Zeichen länger ist und nur aus Kleinbuchstaben besteht ist schwerer zu knacken als eines das alle Sonderzeichen enthält aber kürzer ist.

Alle Sonderzeichen, 6 Stellen lang --> 255^6 = 2,75*10^14 Möglichkeiten
Nur kleine Buchstaben, 10 Stellen lang --> 26^10 = 9,5*10^16 Möglichkeiten (mehr als 200x so stark!)

Oder anders gesagt das Paswort "aaaaaaaaaa" ist wesentlich schwerer zu knacken als "G%5ö.+" sofern der Bruteforcer nicht "intelligent" ist und für den Menschen eingängige Kombinationen (wie "x mal Buchstabe a" zuerst probiert).


Die Variante mit "4 beliebige Wörter aneinanderreihen" aus dem Comic ist übrigens nicht zu empfehlen. Bruteforcer können DictionaryAttacks natürlich auch mit mehreren Wörtern durchführen.
Das ergibt zwar bei 75.000 Wörtern im deutschen Wortschatz bereits gute 3*10^19 Möglichkeiten, aber auch hier - "cccccccccccccc" sind schon mehr. :-D
Da Wörterbuchattacken auch nicht nach Alphabet vorgehen sondern nach am häufigsten genutzte Wörter (was nur Größenordnung 2000 sind im Alltag) hat man da das PW schnell gefunden wenn die Anzahl Versuche pro Zeiteinheit unbegrenzt ist.
 
Zuletzt bearbeitet:
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Incredible Alk schrieb:
Stimmt - nur ist die Anzahl möglicher Zeichen die Basis, die Zeichenanzahl/Länge des PWs aber der Exponent der möglichen Kombinationen.
Oder anders gesagt ein Passwort das 4 Zeichen länger ist und nur aus Kleinbuchstaben besteht ist schwerer zu knacken als eines das alle Sonderzeichen enthält aber kürzer ist.

Alle Sonderzeichen, 6 Stellen lang --> 255^6 = 2,75*10^14 Möglichkeiten
Nur kleine Buchstaben, 10 Stellen lang --> 26^10 = 9,5*10^16 Möglichkeiten (mehr als 200x so stark!)

Oder anders gesagt das Paswort "aaaaaaaaaa" ist wesentlich schwerer zu knacken als "G%5ö.+" sofern der Bruteforcer nicht "intelligent" ist und für den Menschen eingängige Kombinationen (wie "x mal Buchstabe a" zuerst probiert).


Die Variante mit "4 beliebige Wörter aneinanderreihen" aus dem Comic ist übrigens nicht zu empfehlen. Bruteforcer können DictionaryAttacks natürlich auch mit mehreren Wörtern durchführen.
Das ergibt zwar bei 75.000 Wörtern im deutschen Wortschatz bereits gute 3*10^19 Möglichkeiten, aber auch hier - "cccccccccccccc" sind schon mehr. :-D
Da Wörterbuchattacken auch nicht nach Alphabet vorgehen sondern nach am häufigsten genutzte Wörter (was nur Größenordnung 2000 sind im Alltag) hat man da das PW schnell gefunden wenn die Anzahl Versuche pro Zeiteinheit unbegrenzt ist.
Zum Vergrößern anklicken....

Du kennst dich aber gut aus auf diesem Gebiet :daumen: Darf man fragen woher?? ;)
 
g$

Incredible Alk schrieb:
Die Variante mit "4 beliebige Wörter aneinanderreihen" aus dem Comic ist übrigens nicht zu empfehlen. Bruteforcer können DictionaryAttacks natürlich auch mit mehreren Wörtern durchführen.
Das ergibt zwar bei 75.000 Wörtern im deutschen Wortschatz bereits gute 3*10^19 Möglichkeiten, aber auch hier - "cccccccccccccc" sind schon mehr. :-D
Da Wörterbuchattacken auch nicht nach Alphabet vorgehen sondern nach am häufigsten genutzte Wörter (was nur Größenordnung 2000 sind im Alltag) hat man da das PW schnell gefunden wenn die Anzahl Versuche pro Zeiteinheit unbegrenzt ist.
Zum Vergrößern anklicken....
Im Falle des Comics wird davon ausgegangen, dass das benutzte Wörterbuch dem Angreifer komplett bekannt ist (2048 Wörter - 11bit). Bei 4 Wörtern sind das dann die 44bit Entropie (werden beim Konkattenieren einfach addiert). Hier oder, mit noch mehr Beispielen, hier wird das etwas genauer erläutert :)
Natürlich sind mehr Iterationen besser, im Gegensatz zu zufälligen Zeichenkombinationen kann man sich mehrere Wörter aber deutlich leichter merken, und das ist im Endeffekt das Entscheidende.
Falls jemand Langeweile hat: Hier mal was zum Generieren anhand der angeblich >288.000 Einträge im Deutschen Wiktionary (es ist höllisch lahm :ugly:)
Code: 
#!/usr/bin/sh
PASSWORD=""
NR2=""
f=1
while [  "$f" -le 4 ];do
    while [ -z "${NR2}" ];do
        NR2="$(w3m -dump "https://de.wiktionary.org/wiki/Spezial:Zuf%C3%A4llige_Seite" | grep -F "(Deutsch)[Bearbeiten]" | awk '{print $1}')"
    done
    PASSWORD="$(echo -n "${PASSWORD}${NR2}")"
    NR2=""
    echo "${PASSWORD}"
    let f++
done
(benötigt w3m)
 
Zuletzt bearbeitet:
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Hobbypasswortknacker :devil:

Nein Quatsch, ich bin generell eben interessiert an solchen Dingen, das Gebiet von Verschlüsselungen/Passwörtern und Schwachstellen/Attacken darauf ist irre interessant - und nebenbei wie man sieht auch für den privaten Bereich relevant.

Was ich da oben beschrieben habe sind auch nur absolute Grundlagen und kein tiefes Wissen. In der Realität werden "Passwortknacker" nicht durch lange und/oder komplizierte Passwörter gebändigt - da die PWs von Endnutzern stammen die in 99% der Fälle keine Ahnung von guten Passwörtern haben wäre das sinnlos.

Da geht man meist den Weg, die Zeit ein Passwort zu benutzen/prüfen möglichst lang zu machen. Entweder online dadurch dass der Server nur alle 10 Minuten 3 Versuche erlaubt oder bei Datenverschlüsselungen durch sehr rechenaufwendige Algorithmen zum "benutzen" des eingegebenen Passwortes, so dass beispielsweise auch ein moderner PC 5 Sekunden rechnen muss um zu erkennen ob das eingegebene Passwort richtig oder falsch ist (VeraCrypt benutzt diese Methode). Für den, der das richtige PW kennt sind 5 Sekunden warten schmerzfrei, jemand der 50.000 PWs durchprobieren will müsste schon 3 Tage Zeit haben. ;)

Bei alten Verschlüsselungen die keine solchen Schutzfunktionen haben und nur prüfen ob das eingegebene PW mit dem gespeicherten übereinstimmt (etwa die alte WinZIP-Verschlüsselung) können moderne PCs Größenordnung 100 Millionen bis eine Milliarde Passwörter pro Sekunde durchprobieren, da sind kurze Passwörter in kürzester Zeit geknackt. Ein Passwort mit 20 Stellen wäre aber auch hier weiterhin sicher, sofern der verwendete Algorithmus selbst nicht in sinnvoller Zeit angreifbar ist (so dass man an die Daten kommt ohne das Passwort zu kennen weil das System selbst geknackt wird).
 
Zuletzt bearbeitet:
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Elthy schrieb:
Wieso genau sollte man Passwörter häufig wechseln? Gehen wir mal davon aus dass jeden Tag die gleiche Chance besteht das mein Passwort in irgendeiner Form geknackt wird, kann das doch genauso gut direkt nach dem Wechsel mit einem neuen PW passieren. Der häufige Zwang Passwörter zu wechseln sorgt aber dafür das viele Passwörter einfach gestrickt sind, z.B. mit Jahreszahl am Ende oder aus einfachen Wörtern, da sonst der Merkaufwand viel zu groß wird, gerade wo man heutzutage für jeden Kleinscheiß (demnächst Nvidia-Treiber?) ein Account und damit ein Passwort braucht.
Zum Vergrößern anklicken....

Ganz einfach, Datenbanken werden mehr oder minder regelmäßig gehackt, Anmeldedaten gestohlen oder schlicht verkauft. Wenn man ein PW 10 Jahre lang nutzt kann man ziemlich sicher sein, dass es irgendwo im Netz schwirrt. Diese Gefahr potenziert sich wenn man das gleiche PW für mehrere Accounts verwendet, wie es fast jeder tut.
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Incredible Alk schrieb:
Also wenn ich überall völlig verschiedene PWs verwende die alle in etwa wie "hz6!Qb+)u7tGb=0" aussehen sehe ich keinen Grund darin, das Passwort irgendwann mal zu ändern.
Und wenn ich Passwörter verwende wie "hallo123" hilfts auch nicht das alle 3 Tage zu ändern. :ugly:
Zum Vergrößern anklicken....

Abgesehen davon wäre es auch cool wenn man ne Nachricht erhalten würde das es X Versuche gab sich einzuloggen.
Wenn man zusätztlich nur alle 3 Sek. das PW neu einzugeben kann halten sich die fremden Versuche eh schon stark in Grenzen.
 
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Elthy schrieb:
Wieso genau sollte man Passwörter häufig wechseln? Gehen wir mal davon aus dass jeden Tag die gleiche Chance besteht das mein Passwort in irgendeiner Form geknackt wird, kann das doch genauso gut direkt nach dem Wechsel mit einem neuen PW passieren..
Zum Vergrößern anklicken....
Nein, da es bei aufwendigen PW eine Zeit dauert bis sie geknackt werden können.
Mal als Beispiel: Das Passwort xYz22.ä kann mit dem stärksten Botnet in ca. 11 Monaten erraten werden.
Mit dem schnellsten Super-Computer in ca. 2 Tagen. Sofern man dieser Seite trauen will https://blog.kaspersky.de/password-check/
Man kann natürlich auch beim ersten Mal raten richtig liegen, aber das wäre Zufall.
Der häufige Zwang Passwörter zu wechseln sorgt aber dafür das viele Passwörter einfach gestrickt sind, z.B. mit Jahreszahl am Ende oder aus einfachen Wörtern, da sonst der Merkaufwand viel zu groß wird, gerade wo man heutzutage für jeden Kleinscheiß (demnächst Nvidia-Treiber?) ein Account und damit ein Passwort braucht.
Zum Vergrößern anklicken....
Es gibt PW Manager.;)
Und wenn du hinter das oben erwähnte PW 2 weitere Zahlen/Zeichen packst xYz22.ä 9§ dann ist es laut der verlinkten Seite sehr sicher.
Und auch nicht sehr kompliziert.

Schinken schrieb:
Ganz einfach, Datenbanken werden mehr oder minder regelmäßig gehackt, Anmeldedaten gestohlen oder schlicht verkauft. Wenn man ein PW 10 Jahre lang nutzt kann man ziemlich sicher sein, dass es irgendwo im Netz schwirrt. Diese Gefahr potenziert sich wenn man das gleiche PW für mehrere Accounts verwendet, wie es fast jeder tut.
Zum Vergrößern anklicken....
Ich habe auch einige PW mehrfach verwendet, aber für nichts wirklich kritisches.
Und die Datenbank machen einem teilweise mehr Probleme als die kompliziertheit des PW
 
Zuletzt bearbeitet:
AW: "Ändere dein Passwort"-Tag: Wechseln Sie jetzt kostenlos

Namaker schrieb:
Genau das ist eigentlich falsch: Länge>>Zeichenvielfalt, siehe dazu XKCD. ;)
Zum Vergrößern anklicken....
Sehr schön, und es beschreibt genau das Problem. Ich nutze immer ganz einfach zu merkende Passwörter aber mit viel Länge und Sonderzeichen, dazu reicht eines.
Ich nehme z.B. Wörter mit Rechtsschreibfehlern und kombiniert sie mit Sonderzeichen. Viel Spass beim Hacken.

Düs_ist_mein_Pösswort!
Matter_und_Vutter_mit_Künd
Hind-Kutze-Maaus
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Windows 11: WLAN-Passwörter sollen schneller geteilt werden
Antworten
2
Aufrufe
719
FlyKilla
FlyKilla
PCGH-Redaktion
News Technische Referenz jetzt kostenlos online
Antworten
0
Aufrufe
36
PCGH-Redaktion
PCGH-Redaktion
PCGH-Redaktion
News Google führt Passkeys ein: Der "Anfang vom Ende" für Passwörter
Antworten
10
Aufrufe
2K
Cruach
Cruach
PCGH-Redaktion
News Epic Games Store: Sehr beliebtes Singleplayer-Spiel ab sofort kostenlos
Antworten
1
Aufrufe
221
h_tobi
h_tobi
PCGH-Redaktion
News Enshrouded ohne PvP: Passwortgeschützte Server sind ein Muss
Antworten
3
Aufrufe
589
Laub
L
Oben Unten
Zurück