News RTX 4090 vs Passwörter: Sind 8 Zeichen noch sicher?

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu RTX 4090 vs Passwörter: Sind 8 Zeichen noch sicher?

Ist ein Passwort mit 8 Zeichen in Groß- und Kleinschreibung sowie Zahlen und Sonderzeichen noch sicher? Dank der Rechenleistung einer Geforce RTX 4090 nicht mehr. Sie löst den Fall in 59 Minuten.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Unterforum zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: RTX 4090 vs Passwörter: Sind 8 Zeichen noch sicher?

 

[Incredible Alk]

8 Zeichen sind gefühlt seit 20 Jahren nicht mehr "sicher"

Die beiden Gründe, warum die meisten Passwörter nicht geknackt werden per Bruteforce ist, weil
1.) Es nicht versucht wird weil der Passwortinhaber bzw. das hinter dem Passwort zu belanglos ist
2.) Weil die meisten Onlineservices nur eine kleine Zahl an Versuchen zulassen bzw. die Passwortdatei nicht offline zugänglich ist.

Aber wer einen direkten Zugang (mit unbegrenzten Versuchen und ohne Zeitverzögerung) hat kann seit Ewigkeiten 8-stellige Passwörter in zumutbarer Zeit knacken, auch mit normalen Heim-PCs.
Den Hinweis, lieber lange als komplizierte Passwörter zu knacken hat XKCD vor langer langer Zeit schon hübsch dargestellt:

Password Strength

xkcd.com

Leider hat man den Leuten jahrzehntelang erzählt sie sollen sich komplizierte Passworter ausdenken, viele Policies erwarten noch heute Sonderzeichen, Zahlen, Groß-/Kleinschreibung usw. - obwohl das alles Quatsch ist wenn das Passwort nur lang genug ist (und in keinem Wörterbuch steht).

 

[Mazrim_Taim]

Sehe ich ähnlich.
Ein paaar Sonderzeichen schaden zwar nicht aber oft sind es andere Dinge warum ein PW auf einmal unsicher wird.
Wirklich blöd sind die Seiten welche mit unbegrenzten Versuchen und ohne Zeitverzögerung Eingaben zulassen.
Nach jeder Eingabe des PW einfach eine Sek. als Warteschritt einfügen hilft schon extrem viel.

 

[Pu244]

Die beiden Gründe, warum die meisten Passwörter nicht geknackt werden per Bruteforce ist, weil
1.) Es nicht versucht wird weil der Passwortinhaber bzw. das hinter dem Passwort zu belanglos ist
2.) Weil die meisten Onlineservices nur eine kleine Zahl an Versuchen zulassen bzw. die Passwortdatei nicht offline zugänglich ist.

Die beiden Hauptgründe sind, dass man die Passwörter entweder durch Social Engineering oder mit einem Trojaner abgreift. Beides ist wesentlich schneller und einfacher.

 

[ElliotAlderson]

Leider hat man den Leuten jahrzehntelang erzählt sie sollen sich komplizierte Passworter ausdenken, viele Policies erwarten noch heute Sonderzeichen, Zahlen, Groß-/Kleinschreibung usw. - obwohl das alles Quatsch ist wenn das Passwort nur lang genug ist (und in keinem Wörterbuch steht).

Es ist kein Quatsch. Ein Passwort aus reinen Buchstaben ist eben nicht so sicher, wie eines aus Zeichen, Ziffern, großen und kleinen Buchstaben. Die Länge spielt da natürlich auch ne Rolle, aber dein xkcd vergleicht hier Äpfel mit Birnen.
Natürlich ist "SuperLangesPasswortWasIchMirAusdenke" sicherer als "H4x0R!99", aber das liegt hauptsächlich an der Länge.
Bei gleicher Länge gewinnt immer das kompliziertere Passwort.

 

[Incredible Alk]

Die beiden Hauptgründe sind, dass man die Passwörter entweder durch Social Engineering oder mit einem Trojaner abgreift. Beides ist wesentlich schneller und einfacher.

Social Engeneering und Trojaner sind nicht "BruteForce".

Es ist kein Quatsch. Ein Passwort aus reinen Buchstaben ist eben nicht so sicher, wie ein Passwort aus Zeichen, Ziffern, großen und kleinen Buchstaben.

Darum gehts nicht. Es geht darum, dass ich den ganzen Sonderzeichenkäse usw. nicht brauche wenn ich ein Passwort mit 30+ Stellen verwende - und letzteres auch noch viel einfacher für Menschen lernbar ist - das ist auch leicht kombinierbar: Statt das einfach zu knackende "26.07.1985" kann ich als Passwort auch "Ichhabeam26.Juli1985Geburtstag" benutzen. Das ist zumindest mit Bruteforcemethoden um die es hier geht praktisch unknackbar (aber natürlich kein "gutes" Passwort).

 

[ElliotAlderson]

@Incredible Alk das ist richtig, aber sicherer ist das Passwort als solches halt trotzdem nicht unbedingt.
Gerade bei sowas neigen Menschen dazu an irgendwas privates/persönliches zu denken. Dein Beispiel hält vielleicht Bruteforce stand, aber einem Hacker, der private Informationen über die Person hat, eben nicht. Da hilft dann nur ein langes komplexes Passwort.

 

[Incredible Alk]

Ja, da haste ja Recht.

Passwörter zu finden, die nicht nur Bruteforce sondern vor allem auch den ganzen anderen (viel einfacherern...) Angriffen standhalten und sich leicht merken lassen ist gar nicht so einfach - vor allem aber deswegen, weil die Passwortstärke fast immer in der realen Welt gar nicht relevant ist sofern sie ein gewisses Mindestmaß erreicht hat (also nicht als Passwort "1234" benutzt wird).

Ein leicht zu merkendes sicheres Passwort ohne oder zumindest ohne erratbaren Personenbezug wäre vielleicht noch zu finden für den Ottonormalmichel wenn er sich etwas Mühe gibt - "IchschauejedeWocheExtra3" oder sowas. Aber das hilft alles nicht, wenn das Passwort anderen verraten wird die danach fragen, unverschlüsselt irgendwo aufm Desktop inner Textdatei rumliegt oder auf Postits am Bildschirm klebt, auf verseuchten Maschinen mit Trojanern und Keyloggern eingetippt wird usw.

 

[Pu244]

Leider hat man den Leuten jahrzehntelang erzählt sie sollen sich komplizierte Passworter ausdenken, viele Policies erwarten noch heute Sonderzeichen, Zahlen, Groß-/Kleinschreibung usw. - obwohl das alles Quatsch ist wenn das Passwort nur lang genug ist (und in keinem Wörterbuch steht).

Jein, mit Silbengeneratoren kann man da sehr schnell extrem, lange Passwörter erraten. Die Kunst ist es beides zu kombinieren. Also eine Kette an Worten, in denen ein oder mehrere Sonderzeichen den Silbengenerator zu stolpern bringen. Da kann man auch ganz einfach stumpf die Sonderzeichen per Alt Gr* in der obersten Zeile der Tastaur nacheinander anbringen (also z.B. ²Incredible³Alk{ ).

* falls machbar, sonst normale Sonderzeichen.

Social Engeneering und Trojaner sind nicht "BruteForce".

Richtig, deshalb sind es die beiden Gründe, warum die meisten Passworte nicht mit Brute Force geknackt werden. Brute Force nimmt man nur, wenn alles andere nicht hilft.

Darum gehts nicht. Es geht darum, dass ich den ganzen Sonderzeichenkäse usw. nicht brauche wenn ich ein Passwort mit 30+ Stellen verwende - und letzteres auch noch viel einfacher für Menschen lernbar ist - das ist auch leicht kombinierbar: Statt das einfach zu knackende "26.07.1985" kann ich als Passwort auch "Ichhabeam26.Juli1985Geburtstag" benutzen. Das ist zumindest mit Bruteforcemethoden um die es hier geht praktisch unknackbar (aber natürlich kein "gutes" Passwort).

Ein Silbengenerator kann dir da irre schnell auch lange Passworte erraten. Zwar war das Verhältnis schon zu Zeiten meines Athlon XP 1600+ scheinbar schlecht (mehrere Millionen Versuche pro Sekunde Brute Force, gegen mehrere Tausend mit dem Silbengenerator), aber eine Silbe besteht aus mehreren Buchstaben. Damit kann man sich binnen kürzester Zeit auch durch lange Passwörter arbeiten,

 

[binär-11110110111]

Also ich verwende ja nach wie vor das sicherste PW der Welt !

Siehe HIER.

 

[Incredible Alk]

Silbengeneratoren zählen ja zu Wörterbuchattacken sozusagen. Das ist Dictionaryattack3.0.
1.0 --> Wörterbuch abklappern
2.0 --> aneinandergereihte Wörter aus dem Wörterbuch
3.0 --> Einzelsilben aneinanderreihen

Das ist dann aber schon etwas spezielleres. Natürlich knackbar (und auch besser als ein "echtes hartes" Passwort knackbar) aber nicht mehr der Standardstuff mit dem man auf die leichten Opfer losgeht.
Ich bin noch der Überzeugung man muss schon sehr großes Pech haben um überhaupt zu den angegriffenen zu gehören wenn man ein längeres Passwort benutzt und darauf wie oben beschrieben achtet. Es gibt derart viele Leute die unfassbar schlechte PWs nutzen und die überall verraten und reintippen da braucht der Kriminelle doch keine Mühe an uns zu verschwenden

Die meisten PWs die ich verwendet sind so ich nenns mal "mittelsicher" - deutlich sicherer als der 08/15-Standard aber würde einem ernsthaften Angriff wohl nicht lange standhalten. Da ist aber auch der Schaden sehr begrenzt. Da wos wirklich wehtun würde wenns einer knackt habe ich auch SEHR starke PWs.

Nebenbei halte ich von dem "öfter wechseln" Tipp im Artikel auch gar nichts. Das einzige was passiert wenn ich PWs wechsele ist dass ich mehr Aufwand habe sie mir zu merken und am Ende doch aufschreibe/logge/etc.
Das eine große Hauptpasswort von mir das Vollzugriff auf alle meine Daten gewährt ist seit über 20 Jahren das gleiche. Das kann ich gar nicht mehr vergessen selbst wenn ichs wollte - entsprechend stehts auch nirgends außer in meinem Schädel (und wird selbstverständlich nie online verwendet).

 

[Blackvoodoo]

12345678 sollen nicht sicher sein?

 

[JoM79]

Langes Passwort mache ich schon ne ganze Weile.
Ausdenken brauche ich mir die nicht.
Einfach einmal um 360 Grad drehen und random Wörter aus dem Gesehenen einfügen.
Da kommt dann sowas raus wie "Fahrradpedalbaumdombankabfalleimer".
Muss man sich halt aufschreiben.

 

[Registrierzwang]

Passwörter (alleine) sind so was von Neunziger Jahre.... nur ein 2ter Faktor bringt die nötige Sicherheit. Allerdings sind die Anforderungen an die Sicherheit nicht bei allen Diensten gleich hoch.

 

[JoM79]

Zweifaktor ist auch nicht wirklich sicher, es wird nur schwerer.
Und darum geht's doch eigentlich, es dem potenziellen Schadensverursacher schwerer zu machen.

 

[Sidewinder]

Ist ja nix neues, die Empfehlungen sind immer noch dieselben.
Am besten Opensource PW Manager verwenden und nicht bei einem öffentlichen Anbeiter hosten.
Den Generator auf möglichst lange PW einstellen.

Das nützt natürlich alles nichts, wenn der 2. und 3. Faktor dasselbe Gerät sind mit dem man sich einloggt - welches dann korrumpiert ist.
Seit viele RSA Token durch Smartphones ersetzt wurden, reiben sich Geheimdienste auf der ganzen Welt die Finger

 

[Major_Fletcher]

Seit ich einen Passwortmanager verwende, muss ich mir darum wenigstens keine Gedanken mehr machen.
Selbst Passwörter mit 30 Stellen+ kann man ja bequem auf Knopfdruck generieren, sie werden automatisch gespeichert und durch die Synchronisierung dann am PC oder auch Smartphone automatisch bei Bedarf abgerufen und eingesetzt. Da gibt es auch keine Ausreden mehr, dass man sich irgendwas nicht merken kann oder eben immer dasselbe Passwort verwenden muss.

Es ist nur leider so, dass die Leute die sich sowieso nicht mit dem Thema beschäftigen und von all den Veränderungen am Markt eben auch nichts mitbekommen, auch heute noch ihr Geburtsdatum oder eben "passwort" als Passwort verwenden. Das sehe ich so zum Teil immer noch im Bekanntenkreis und der Rest wird ja durch diverse Statistiken schön aufgezeigt, die immer mal wieder die Runde machen.

 

[AyC]

Zweifaktor ist auch nicht wirklich sicher, es wird nur schwerer.
Und darum geht's doch eigentlich, es dem potenziellen Schadensverursacher schwerer zu machen.

Dann müsste man erst mal "sicher" definieren. Warum ist eine Zweifaktor-Absicherung nicht sicher in deinen Augen?

 

[JoM79]

Dann müsste man erst mal "sicher" definieren. Warum ist eine Zweifaktor-Absicherung nicht sicher in deinen Augen?

Wer hindert einen daran nicht beides zu hacken?

 

[deftones]

Ich nehmen immer so 30 Stellen(+ 3-4 eigene Randomzeichen) Passwörter, die haben von sich aus schon um die 200 Bit laut KeePass ^_^. Passwörter merken kann sich eh keiner, ich hab sooooviele Passwörter in meinem Keepass das ist wirklich grausam.
Muss ja auch die von Schatzi und von Schwiegereltern mit verwalten, das bekommen die gar nicht mehr hin.