Sicherheit: Die schlechtesten Passwörter 2018

PCGH-Redaktion

PCGH-Redaktion

Kommentar-System
Teammitglied
Jetzt ist Ihre Meinung gefragt zu Sicherheit: Die schlechtesten Passwörter 2018

Wie auch in den Jahren zuvor veröffentlicht SplashData 2018 die Liste der Top 100 schlechtesten Passwörter. Kleiner Spoiler vorab: Auch in diesem Jahr kann "123456" den ersten Platz halten.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

lastpost-right.png
Zurück zum Artikel: Sicherheit: Die schlechtesten Passwörter 2018
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

So wird beispielsweise aus "PCGH rockt auch 2018!" in Windeseile das - nun nicht mehr ganz so sichere Passwort - "PCGHra2018!".
Zum Vergrößern anklicken....
Ich nehme mal an, der Autor wollte "nun nicht mehr ganz so UNsichere Passwort" schreiben. ;)

Leider habe ich eine schlechte Nachricht an alle, die sich ein vermeintlich sicheres Passwort so oder so ähnlich erstellt haben:
Ein solches Passwort ist zwar tatsächlich "123456" um Welten überlegen, aber beileibe nicht wirklich sicher. Professionellen Passwortknackern wiedersteht so ein Passwort nicht, weil die heute eine Kombination aus datenbankbasierten Regeln und Bruteforce verwenden. Das geht dann weitaus schneller als Bruteforce allein.

Stark vereinfacht gesagt geht das so: Passwortknacker pflegen Datenbanken, in denen Regeln hinterlegt werden, die Menschen sich zum besseren Merken von Passwörtern ausgedacht haben. Diese Datenbanken werden mit jedem neuen, durch Bruteforce geknackten oder geleakten Passwort größer. Wenn nun ein neues Passwort per Bruteforce geknackt werden soll, wird das Verfahren nicht mehr auf jede mögliche Zeichenkombination angewandt, sonder zunächst getestet, ob bei dem Passwort eine Merkregel aus der Datenbank verwendet wurde. Das reduziert die Anzahl möglicher Zeichenkombinationen massiv. Weil dieser Ansatz schon einige Jahre verfolgt wird, ist die zugehörige Datenbank mittlerweile so umfangreich geworden, dass selbst lange, komplizierte Passwörter, die auf einer Merkregel basieren, in Minuten geknackt werden können.

Ein sehr simples Beispiel für so eine Regel ist, dass viele Passwörter mit einem Großbuchstaben beginnen, weil die dahinter stehenden Merksätze mit einem Großbuchstaben anfangen. Das sieht man ja schön an "PCGHra2018!" Das Bruteforce-Programm wird also zunächst Passwortkombinationen versuchen, die mit einem Großbuchstaben anfangen.

Die Quintessenz daraus ist leider, dass man für ein wirklich sicheres Passwort nicht darum herum kommt, ein echtes Zufallspasswort zu verwenden, hinter dem keine Merkregel stecken darf. Die gute Nachricht ist, dass das gar nicht so schlimm ist, wie es klingt. Ein echtes Zufallspasswort merken sich in kürzester Zeit nämlich die Finger, wenn man es häufig verwendet. Ich brauchte keine Woche, bis ich meines fehlerfrei eingeben konnte.

Dann nehme man einen Passwortmanager, generiere ein wirklich zufälliges, langes Passwort und verwende es als Hauptschlüssel für den Passwortmanager. Ich kann Keepass aus langer Erfahrung empfehlen. Mit dem Passwortmanager erstellt man dann für jeden im Internet genutzten Dienst ein separates, zufälliges Passwort. Das Masterpasswort sichert man auf einem Medium, das vor Hackern hundertprozentig geschützt ist, falls man es doch einmal vergessen sollte. Man nennt so ein absolut nicht zu hackendes Speichermedium übrigens Zettel. ;)

So, jetzt bin ich mal gespannt, wie viele Leute mir jetzt erzählen werden, dass so eine Herangehensweise viel zu viel Mühe macht. Ich antworte schonmal jetzt darauf: ihr müsst euch eben entscheiden, ob ihr maximale Bequemlichkeit oder maximale Sicherheit bevorzugt. Für ersteres nehmt ruhig weiter qwertz, aber heult dann nicht rum, wenn euer Steam-Account gehackt wird.

Munter bleiben!
 
Zuletzt bearbeitet von einem Moderator:
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hornissentreiber schrieb:
Ich nehme mal an, der Autor wollte "nun nicht mehr ganz so UNsichere Passwort" schreiben. ;)

Leider habe ich eine schlechte Nachricht an alle, die sich ein vermeintlich sicheres Passwort so oder so ähnlich erstellt haben:
Ein solches Passwort ist zwar tatsächlich "123456" um Welten überlegen, aber beileibe nicht wirklich sicher. Professionellen Passwortknackern wiedersteht so ein Passwort nicht, weil die heute eine Kombination aus datenbankbasierten Regeln und Bruteforce verwenden. Das geht dann weitaus schneller als Bruteforce allein.

Stark vereinfacht gesagt geht das so: Passwortknacker pflegen Datenbanken, in denen Regeln hinterlegt werden, die Menschen sich zum besseren Merken von Passwörtern ausgedacht haben. Diese Datenbanken werden mit jedem neuen, durch Bruteforce geknackten oder geleakten Passwort größer. Wenn nun ein neues Passwort per Bruteforce geknackt werden soll, wird das Verfahren nicht mehr auf jede mögliche Zeichenkombination angewandt, sonder zunächst getestet, ob bei dem Passwort eine Merkregel aus der Datenbank verwendet wurde. Das reduziert die Anzahl möglicher Zeichenkombinationen massiv. Weil dieser Ansatz schon einige Jahre verfolgt wird, ist die zugehörige Datenbank mittlerweile so umfangreich geworden, dass selbst lange, komplizierte Passwörter, die auf einer Merkregel basieren, in Minuten geknackt werden können.

Ein sehr simples Beispiel für so eine Regel ist, dass viele Passwörter mit einem Großbuchstaben beginnen, weil die dahinter stehenden Merksätze mit einem Großbuchstaben anfangen. Das sieht man ja schön an "PCGHra2018!" Das Bruteforce-Programm wird also zunächst Passwortkombinationen versuchen, die mit einem Großbuchstaben anfangen.

Die Quintessenz daraus ist leider, dass man für ein wirklich sicheres Passwort nicht darum herum kommt, ein echtes Zufallspasswort zu verwenden, hinter dem keine Merkregel stecken darf. Die gute Nachricht ist, dass das gar nicht so schlimm ist, wie es klingt. Ein echtes Zufallspasswort merken sich in kürzester Zeit nämlich die Finger, wenn man es häufig verwendet. Ich brauchte keine Woche, bis ich meines fehlerfrei eingeben konnte.

Dann nehme man einen Passwortmanager, generiere ein wirklich zufälliges, langes Passwort und verwende es als Hauptschlüssel für den Passwortmanager. Mit diesem erstellt man dann für jeden im Internet genutzten Dienst ein separates, zufälliges Passwort. Das Masterpasswort sichert man auf einem Medium, das vor Hackern hundertprozentig geschützt ist, falls man es doch einmal vergessen sollte. Man nennt so ein absolut nicht zu hackendes Speichermedium übrigens Zettel. ;)

So, jetzt bin ich mal gespannt, wie viele Leute mir jetzt erzählen werden, dass so eine Herangehensweise viel zu viel Mühe macht. Ich antworte schonmal jetzt darauf: ihr müsst euch eben entscheiden, ob ihr maximale Bequemlichkeit oder maximale Sicherheit bevorzugt. Für ersteres nehmt ruhig weiter qwertz, aber heult dann nicht rum, wenn euer Steam-Account gehackt wird.

Munter bleiben!
Zum Vergrößern anklicken....

ich verstehe nur nicht ganz warum sie nicht gleich bei "PCGHrocktauch2018!" geblieben sind. das hat 18 zeichen ihre abänderung nur 11. ich denke mal halbwegs random ausgedachte lange passätze werden dann doch den auffand nicht wert sein wenn du nicht gerade "der prominente" bist aber dafür sollten sie halt auch nicht wenig zeichen enthalten. kevinhat!3784?kucheligelamasimhinterhof <<< ist jetzt nicht sonderlich schwer zumerken und ich denke auch mit neueren techniken schwer bzw lange zu knacken. aber hey ich bin kein pw specialist also wer weiss. :ugly:
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Also den Passwort-Manager von TeamID verwende ich schon mal mit Sicherheit nicht. Oder gibts eine beruhigende Erklärung woher die ihre Daten für die "Schlechtesten Passwörter 2018" erhalten haben? :ugly:
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Und wie jedes Jahr wird bei dem Thema kein Wort über Einmal-/Müllaccounts verloren? :hmm: Warum erinnert mich das wieder an die beknackte Backblaze-Statistik?
Es wär für den Skandal aber auch zu blöd, wenn zumindest die ganzen Zahlen- oder Buchstabenreihen, admin und co. von solchen kämen.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Gleich mal aufschreiben, sind ja nette Ideen für den nächsten Passwortwechsel :lol:
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hornissentreiber schrieb:
Ich nehme mal an, der Autor wollte "nun nicht mehr ganz so UNsichere Passwort" schreiben. ;)
Zum Vergrößern anklicken....

Der Einschub war schon so gemeint, wie er da steht. Die Kombination steht ja jetzt für alle sichtbar da. Wer die benutzt, hat natürlich jetzt kein wirklich sicheres Passwort mehr - auch wenn es nur "pseudo-sicher" sein sollte. Aber zum Rest: Selbst wenn sich ein derart konstruiertes Passwort immer noch mit verhältnismäßig geringem Aufwand knacken lässt, ist es immer noch sicherer als die Klassiker.

Man muss ja auch nicht zwingend mit einem Großbuchstaben beginnen, sondern kann auch die Rechtschreibung ignorieren oder ganz kuriose Sätze bilden, die von jeglicher Konvention abweichen. So hat man dann auch ein "echtes Zufallspasswort". Das Beispiel im Artikel war jetzt recht plump gewählt, um das Konzept zu verdeutlichen. Zumal der Kopf - lassen wir mal die Science-Fiction-Szenarien außen vor - ja noch sicherer als der Zettel ist. Der kann entwendet werden.

Torsley schrieb:
ich verstehe nur nicht ganz warum sie nicht gleich bei "PCGHrocktauch2018!" geblieben sind. das hat 18 zeichen ihre abänderung nur 11. ich denke mal halbwegs random ausgedachte lange passätze werden dann doch den auffand nicht wert sein wenn du nicht gerade "der prominente" bist aber dafür sollten sie halt auch nicht wenig zeichen enthalten. kevinhat!3784?kucheligelamasimhinterhof <<< ist jetzt nicht sonderlich schwer zumerken und ich denke auch mit neueren techniken schwer bzw lange zu knacken. aber hey ich bin kein pw specialist also wer weiss. :ugly:
Zum Vergrößern anklicken....

Ganze Wörter lassen sich leichter knacken als zufällige Zeichenketten. Indem man immer den Anfangsbuchstaben von jedem Wort nimmt, lassen sich halt komplexere Passwörter schaffen. Dazu sollte man auch nicht vergessen, dass beispielsweise so manche Webseite nur begrenzte Passwortlängen zulässt. In dem Fall wäre man dann in seiner Wortwahl arg begrenzt.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

kantenkopf schrieb:
Zumal der Kopf - lassen wir mal die Science-Fiction-Szenarien außen vor - ja noch sicherer als der Zettel ist. Der kann entwendet werden.
Zum Vergrößern anklicken....

Einverstanden. Allerdings würde ich mir über die Entwendung eines Zettels mit meinem Passwort nur Sorgen machen, wenn ich z. B. im Siemens-Aufsichtsrat sitzen würde oder Staatssekretär im Bundeskanzleramt wäre. Für Otto-Normalbürger dürfte es eher unwahrscheinlich sein, dass die NSA bei Ihnen Zuhause einbricht. ;)

Munter bleiben!
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hornissentreiber schrieb:
Einverstanden. Allerdings würde ich mir über die Entwendung eines Zettels mit meinem Passwort nur Sorgen machen, wenn ich z. B. im Siemens-Aufsichtsrat sitzen würde oder Staatssekretär im Bundeskanzleramt wäre. Für Otto-Normalbürger dürfte es eher unwahrscheinlich sein, dass die NSA bei Ihnen Zuhause einbricht. ;)
Zum Vergrößern anklicken....

*hust* http://www.pcgameshardware.de/Polit...n-heimliche-Einbrueche-durch-Polizei-1258170/
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Es ist wirklich beeindruckend wie Leute im Jahr 2018 immer noch Passwörter wie 123456 und password verwenden :ugly:
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hm, wie wäre es denn mit einer Anmeldeprozedur aus mehreren Faktoren?
Nehmen wir eine Kombination aus zwei Faktoren, so dürfte das doch ziemlich unwahrscheinlich sein, dass da jemand rein kommt.
Beispiel 1: Nach Passworteingabe -> Code per Mail oder Handy -> Code eingeben zum verifizieren.
Beispiel 2: Nach Passworteingabe -> Code von Authenticator (Kleines Gerät, Beispiel Blizzard) generieren lassen und zum verifizieren eingeben.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

2-Faktor Gedöns (gibt es ja schon, zum Glück meist nicht zwingend):
- es dauert bedeutend länger, wenn es bei jedem Lopin genutzt werden muss
- der Übertragungsweg für den Empfang des zweiten Codes muss sicher sein (es soll ja Leute geben, die irgendwie an Partnerkarten fürs Handy gekommen sind)
- ein eigenes Gerät (früher hatte ich sowas mal als TAN-Generator bei der Bank) ist sehr unpraktisch:

- ist der Handyakku leer oder man hat einfach nur kein Empfang: tja, dumm gelaufen, kein Login, trotz Internet per WLan und VPN.
- Der TAN-Generator liegt zu hause: Pech gehabt, kein Login während dem Urlaub/Dienstreise
- läuft der Generator auf dem Smartphone, sperrt das u.U. den Login über das Smartphone (weil es doch nur ein Gerät ist un ddie SW immer besser weis, wie man den Anwender quälen muss wie der Anweder, was er gerae machen möchte)
- ist die Batterie des Generators leer, hat man auch verloren. Man kann noch nicht eimal online eine neue bestellen, weil der 2-Faktor Login ja nicht mehr möglich ist.
- Biometriedaten sind für mich nur so lange praktikabel, wie ich dem Dienst zu 10000% traue. Werden die Daten erstmalig geklaut, habe ich keine Möglichkeit, meinen Finger oder das Auge "austauschen"?

Ich kenne so einen 2-Faktor Müll von einem Passwort-Safe (ob der die Passwörter auch an den Hersteller verrät wie das unsichere Teil, das für die Statistik genutzt wurde?). Das macht besonders viel Spaß, wenn man sowas im Service nutzen muss.

Wenn man sich dann vor Augen hält, wie der Google Authenticator arbeitet und welchen exorbitanten Aufwand man dort (per Design) treiben muss, falls das Smartphone gewechselt werden soll oder muss, dann ist sowas m.M.n. nichts für die private Nutzung.

RtZk schrieb:
Es ist wirklich beeindruckend wie Leute im Jahr 2018 immer noch Passwörter wie 123456 und password verwenden
Zum Vergrößern anklicken....
Ich finde es eher beeindruckend, dass über Jahre hinweg der Hersteller eines angeblichen Passwortmanagers in der Lage ist, Statistiken über Passwörter zu erstellen.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

fotoman schrieb:
2-Faktor Gedöns (gibt es ja schon, zum Glück meist nicht zwingend):
- es dauert bedeutend länger, wenn es bei jedem Lopin genutzt werden muss
- der Übertragungsweg für den Empfang des zweiten Codes muss sicher sein (es soll ja Leute geben, die irgendwie an Partnerkarten fürs Handy gekommen sind)
- ein eigenes Gerät (früher hatte ich sowas mal als TAN-Generator bei der Bank) ist sehr unpraktisch:

- ist der Handyakku leer oder man hat einfach nur kein Empfang: tja, dumm gelaufen, kein Login, trotz Internet per WLan und VPN.
- Der TAN-Generator liegt zu hause: Pech gehabt, kein Login während dem Urlaub/Dienstreise
- läuft der Generator auf dem Smartphone, sperrt das u.U. den Login über das Smartphone (weil es doch nur ein Gerät ist un ddie SW immer besser weis, wie man den Anwender quälen muss wie der Anweder, was er gerae machen möchte)
- ist die Batterie des Generators leer, hat man auch verloren. Man kann noch nicht eimal online eine neue bestellen, weil der 2-Faktor Login ja nicht mehr möglich ist.
Zum Vergrößern anklicken....
Ich empfehle in dem Fall, dass die Batterie leer ist, den analogen Beschaffungsweg namens "Geschäft". Die Älteren unter uns können sich noch dunkel erinnern. Man findet die noch gelegentlich in den Städten und manche davon sollen sogar Batterien verkaufen, habe ich mal gehört. ;) Das ist übrigens eines der Argumente dafür, dass ich nicht bei einer reinen Online-Bank Kunde bin. Meine Hausbank hat eine Filiale in fußläufiger Entfernung. Wenn der TAN-Generator kaputt ist, was schon einmal vorgekommen ist, gehe ich dahin und bekomme sofort einen neuen ausgehändigt. Ganz ohne Login und ohne Wartezeit. Manchmal ist die analoge Welt schneller und einfacher, ganz ehrlich! :nicken:

Da ist es wieder, das an dieser Stelle stets auftauchende Argument Bequemlichkeit. Wenn man bedenkt, dass viele Leute heute praktisch ihr gesamtes Leben von ihrer Online-Identität abhängig machen, kann ich das beim besten Willen nicht begreifen. Wie ich weiter oben schon schrieb: man kann es sicher oder bequem haben, nicht beides. Ich persönlich habe mich für Ersteres entschieden und setze absolut überall, wo es möglich ist, zwei-Faktor-Authentifizierung ein, GERADE im privaten Bereich. Im meinem Beruflichen Umfeld wird das nämlich nicht eingesetzt, zudem müsste ich einen dadurch ggf. entstandenen Schaden nicht persönlich tragen. Privat ist mir etwas mehr Mühe beim Login allemal lieber als eines Tages z. B. meinen Amazon-Account gehackt vorzufinden. Der Schaden, den ich dann hätte, wäre um mehrere Größenordnungen höher als der kleine Aufwand, den der zweite Faktor bedeutet.

Das alles ähnelt dem Thema Backup. Auch das machen viele Leute nicht, weil es ihnen zuviel Mühe ist. Dazu kann ich jedesmal nur sagen: kein Backup, kein Mitleid. So auch hier. Wer bewusst auf eine nach aktuellem Stand der Technik hinreichend sichere Authentifizierung verzichtet, braucht nicht zu jammern, wenn er gehackt wird. Kein sicheres Passwort, kein zweiter Faktor, kein Mitleid.

Munter bleiben!
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

kantenkopf schrieb:
Ganze Wörter lassen sich leichter knacken als zufällige Zeichenketten. Indem man immer den Anfangsbuchstaben von jedem Wort nimmt, lassen sich halt komplexere Passwörter schaffen. Dazu sollte man auch nicht vergessen, dass beispielsweise so manche Webseite nur begrenzte Passwortlängen zulässt. In dem Fall wäre man dann in seiner Wortwahl arg begrenzt.
Zum Vergrößern anklicken....

Das stimmt NUR wenn man strikt Passwörter der gleichen Länger vergleicht, was aber wegen der Mekrbarkeit nicht sinnvoll ist.
Ein Passwort das aus x ganzen Wörtern besteht ist viel schwieriger zu knacken als ein Passwort aus x Anfangsbuchstaben besteht, auch und insbesondere wenn der Angreifer deine "Passwort-Bau-Regel" kennt. Vorausgesetzt, du wählst nicht nur aus den 100 häufigsten Wörtern der deutschen Sprache aus.

Das Passwort "PcGamesHardwarerocktauch2018!" ist um Welten besser als "PCGHra2018!" und genauso einfach bzw, einfacher zu merken. Wie schon erwähnt wurde ist das einzige Problem damit die teilweise stupiden Regeln die manche Seiten bei der Passwortvergabe fordern, sprich man ist quasi gezwungen Passwortmanager zu benutzen. Und vlt. die lange Tippzeit.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

fotoman schrieb:
- es dauert bedeutend länger, wenn es bei jedem Lopin genutzt werden muss
- der Übertragungsweg für den Empfang des zweiten Codes muss sicher sein (es soll ja Leute geben, die irgendwie an Partnerkarten fürs Handy gekommen sind)
- ein eigenes Gerät (früher hatte ich sowas mal als TAN-Generator bei der Bank) ist sehr unpraktisch:
Zum Vergrößern anklicken....

Zum einen ist die 2-Faktor Authentifizierung in der Regel nur notwendig, wenn du dich mit einem neuen Gerät anmeldest oder aber dich schon sehr lange nicht mehr angemeldet hast.
Das kostet mich jetzt auch nicht exorbitant viel Zeit - unter 10 Sekunden definitiv. Mit was arbeitest du denn, wenn du keinen TAN Generator nutzt?
Bringst du deine Überweisungen immer noch handschriftlich oder nutzt du SMS TAN was auch nicht viel besser ist?

Zum Rest den ich da von dir lesen darf: Es gibt immer einen zweiten Weg, der ist dann zwar meist etwas umständlicher, aber dafür sicher.
Ich habe es noch nie geschafft meinen Akku so leer zu nudeln, dass da gar nichts mehr ging und wenn ich wusste, dass ich das Gerät viel nutze, dann habe ich ein Ladegerät / eine Powerbank genommen.

Seit 2007 bin ich nicht mehr Kunde bei O2 - seit dem habe ich nie Probleme mit dem Datenempfang gehabt.
Maximal im Serverraum oder sonstigen Kellergewölben, aber da brauche ich mich meist auch nicht privat zu authentifizieren.

Auch in meinem beruflichen Feld muss ich nicht nur meine Karte an das Lesegerät halten, sondern muss obendrein noch mein Passwort eingeben.
An der heiligen Pforte (nein nicht der Himmel) wird sogar anhand der Biometrie authentifiziert.
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hornissentreiber schrieb:
Ich nehme mal an, der Autor wollte "nun nicht mehr ganz so UNsichere Passwort" schreiben. ;)

Leider habe ich eine schlechte Nachricht an alle, die sich ein vermeintlich sicheres Passwort so oder so ähnlich erstellt haben:
Ein solches Passwort ist zwar tatsächlich "123456" um Welten überlegen, aber beileibe nicht wirklich sicher. Professionellen Passwortknackern wiedersteht so ein Passwort nicht, weil die heute eine Kombination aus datenbankbasierten Regeln und Bruteforce verwenden. Das geht dann weitaus schneller als Bruteforce allein.

Stark vereinfacht gesagt geht das so: Passwortknacker pflegen Datenbanken, in denen Regeln hinterlegt werden, die Menschen sich zum besseren Merken von Passwörtern ausgedacht haben. Diese Datenbanken werden mit jedem neuen, durch Bruteforce geknackten oder geleakten Passwort größer. Wenn nun ein neues Passwort per Bruteforce geknackt werden soll, wird das Verfahren nicht mehr auf jede mögliche Zeichenkombination angewandt, sonder zunächst getestet, ob bei dem Passwort eine Merkregel aus der Datenbank verwendet wurde. Das reduziert die Anzahl möglicher Zeichenkombinationen massiv. Weil dieser Ansatz schon einige Jahre verfolgt wird, ist die zugehörige Datenbank mittlerweile so umfangreich geworden, dass selbst lange, komplizierte Passwörter, die auf einer Merkregel basieren, in Minuten geknackt werden können.

Ein sehr simples Beispiel für so eine Regel ist, dass viele Passwörter mit einem Großbuchstaben beginnen, weil die dahinter stehenden Merksätze mit einem Großbuchstaben anfangen. Das sieht man ja schön an "PCGHra2018!" Das Bruteforce-Programm wird also zunächst Passwortkombinationen versuchen, die mit einem Großbuchstaben anfangen.

Die Quintessenz daraus ist leider, dass man für ein wirklich sicheres Passwort nicht darum herum kommt, ein echtes Zufallspasswort zu verwenden, hinter dem keine Merkregel stecken darf. Die gute Nachricht ist, dass das gar nicht so schlimm ist, wie es klingt. Ein echtes Zufallspasswort merken sich in kürzester Zeit nämlich die Finger, wenn man es häufig verwendet. Ich brauchte keine Woche, bis ich meines fehlerfrei eingeben konnte.

Dann nehme man einen Passwortmanager, generiere ein wirklich zufälliges, langes Passwort und verwende es als Hauptschlüssel für den Passwortmanager. Ich kann Keepass aus langer Erfahrung empfehlen. Mit dem Passwortmanager erstellt man dann für jeden im Internet genutzten Dienst ein separates, zufälliges Passwort. Das Masterpasswort sichert man auf einem Medium, das vor Hackern hundertprozentig geschützt ist, falls man es doch einmal vergessen sollte. Man nennt so ein absolut nicht zu hackendes Speichermedium übrigens Zettel. ;)

So, jetzt bin ich mal gespannt, wie viele Leute mir jetzt erzählen werden, dass so eine Herangehensweise viel zu viel Mühe macht. Ich antworte schonmal jetzt darauf: ihr müsst euch eben entscheiden, ob ihr maximale Bequemlichkeit oder maximale Sicherheit bevorzugt. Für ersteres nehmt ruhig weiter qwertz, aber heult dann nicht rum, wenn euer Steam-Account gehackt wird.

Munter bleiben!
Zum Vergrößern anklicken....


Hi deine idee ist ja recht und gut aber das ganze hat immer einen haken.

Wenn man so wie ich sehr vergesslich ist und das ein oder andere Passwort vergisst oder durcheinander bringt so wie ich und auch zum Zettel Chaos neigt.Dann nutzt das auch nichts mehr.Es war des öfteren sogar so schlimm gewesen das ich mir ein neues passtwort anfordern musste um dies zu ändern.Ich bin nun mal ein chaot.Vergesse auch schon mal andere sachen.Meinen Kopf habe ich bisher aber noch nie vergessen(ja wie auch)
 
AW: Sicherheit: Die schlechtesten Passwörter 2018

Hornissentreiber schrieb:
Im meinem Beruflichen Umfeld wird das nämlich nicht eingesetzt, zudem müsste ich einen dadurch ggf. entstandenen Schaden nicht persönlich tragen. Privat ist mir etwas mehr Mühe beim Login allemal lieber als eines Tages z. B. meinen Amazon-Account gehackt vorzufinden. Der Schaden, den ich dann hätte, wäre um mehrere Größenordnungen höher als der kleine Aufwand, den der zweite Faktor bedeutet.
Zum Vergrößern anklicken....

Dann mache es doch so wie ich.Ich habe kein Bankkonto hinterlegt und auch keine Karte.Ich kaufe mir Amazon Geschenkgutschein Karten.Habe somit kein guthaben bei Amazon woanders her.Selbst wenn das Konto geknackt werden würde,dann hätte er wohl nicht wirklich viel.Ich weis das eine adresse auch nicht gut ist,aber er kann dennoch nicht so viel damit machen.Kein Bild oder der gleichen.Es bringt dem Häcker nix.Mag sein das er dann ein paar Euros dann erbeutet hatte.Der schaden hält sich ja dennoch in Grenzen.

Ansonsten kaufe ich lieber im Laden ein(sofern es doch der Preis stimmen sollte).Aber nicht alles kann man absichern.Eine 100 % Sicherheit kann ja niemand Garantiert werden auf der Welt.Dafür ist alles ja zu unsicher dafür.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Keepass: Schwachstelle ermöglicht das Auslesen der Master-Passwörter
Antworten
2
Aufrufe
844
Ellina
E
PCGH-Redaktion
News Virus durch Vibrator: Beim Aufladen wird Schadsoftware aufgespielt
2
Antworten
22
Aufrufe
1K
Hackman
Hackman
PCGH-Redaktion
News Windows 11: WLAN-Passwörter sollen schneller geteilt werden
Antworten
2
Aufrufe
700
FlyKilla
FlyKilla
PCGH-Redaktion
News Enshrouded ohne PvP: Passwortgeschützte Server sind ein Muss
Antworten
3
Aufrufe
565
Laub
L
PCGH-Redaktion
News Deutlicher Kurseinbruch: Intel enttäuscht mit schlechtem Ausblick
Antworten
19
Aufrufe
1K
PCGH_Torsten
PCGH_Torsten
Oben Unten
Zurück