News Steam & Co: Mein Passwort lautet ... Das sagt das PCGH-Team!

[XT1024]

Passwortlänge schlägt doch aber Komplexität.

Auch wenn das nur für fragwürdige brute force Vorgänge relevant wäre aber bei
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
vs.
SZecQVDaaUwsMD8GUIAb

Erst alle erlaubten Zeichen mit Anzahl 4-100 durchzuprobieren ist doch bestimmt einfacher als anderen, obskuren Kram zu probieren.

Ein paar Stellen mehr angefügt müsste aber immer mehr bringen, ab ner ordentlichen Länge des Passworts. Grad wer mit den passenden Mathekenntnissen im Raum, das mal kurz auszurechnen?

Ob es da viel auszurechnen gibt?
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaxaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
macht es sicherlich schwieriger weil man mit o. g. Ansatz eben nicht so einfach weiter kommt.


In der Realität ist das wohl eh alles wurscht da 753 Anmeldeversuche hoffentlich nur bei den größten Gammeldiensten überhaupt möglich sind.

- Eine Vergrößerung der Anzahl von Stellen hebt den Wert jedes Zeichens im bestehenden Satz an.

Da muss ich immer an Blizzard denken.
Die ersten Jahre mit WoW hatte ich mein PW immer brav und korrekt mit entsprechenden Großbuchstaben eingegeben bis ich dann per Zufall erfuhr, dass die bei Passwörtern gar nicht zwischen Groß-/Kleinschreibung unterscheiden.

Und die Begründung war, dass das ja nicht viel bringt.
Rein technisch mag das ja sein aber da fällt mir trotzdem echt nichts mehr ein. Man verschenkt kostenlose Sicherheit für nix?

Wer richtig fies zu Angreifern sein will, merkt schmeißt noch ASCII-Codes rein.

Dann muss der Dienst aber auch exotische Zeichen akzeptieren.
Und ob man ± mal mit einem mobilen Gerät eingeben will? Man weiß es nicht.

 

[PCGH_Torsten]

Wie gesagt: Tastatur mit Numblock sollte man schon mitbringen.^^

Bezüglich der Anmeldeversuche hoffe ich, wie gesagt, dass alles jenseits der Top100-most-used-passwords "sicher" ist respektive Server-seitig als Angriff erkannt wird. Aber leider kriegen es einige Anbieter nicht einmal hin, ihre Passwort-Datenbanken zu sichern. Wenn ein Angreifer die Hashes und eine Kopie des Log-In-Server-Codes in die Hände bekommt, kann er die Kombinationen offline durchprobieren und mit einmal geht es um 10er-Potenzen. Aber so ein GAU ist nur geringfügig vom Super-GAU entfernt (= Angreifer kriegt die Passwort-Datenbank in die Hand und sie besteht nicht aus Hashs mit Salt, sondern aus ungesalzenen oder gar aus Klartext) und dann hilft gar kein Passwort mehr.

Vielleicht wäre "123456" dann sogar besser; zumindest ich würde damit "gesicherte" Accounts als Wegwerfspam aussortieren und nicht näher auf wertvolle Inhalte prüfen.^^ Die beste Maßnahme ist es aber, möglichst alle Accounts so zu behandeln als wären sie unsicher. Also möglichst wenig persönliches in der Cloud belassen und nichts nur dort speichern.