News Steam & Co: Mein Passwort lautet ... Das sagt das PCGH-Team!

[PCGH_Raff]

PCGH kommentiert aktuelle Ereignisse aus der Welt der PC-Hardware, IT-Branche, Spiele und Technik. Lesen Sie die persönlichen Meinungen der Redaktionsmitglieder. Heute zum Thema "Steam & Co: Mein Passwort lautet ..."

Was sagt die PCGH-X-Community zu Steam & Co: Mein Passwort lautet ... Das sagt das PCGH-Team!

Bitte beachten: Thema dieses Kommentar-Threads ist der Inhalt der Meldung. Kritik und allgemeine Fragen zu Online-Artikeln von PC Games Hardware werden hier gemäß der Forenregeln ohne Nachfrage entfernt, sie sind im Feedback-Thread besser aufgehoben.

 

[QIX]

-|[PCGH1337]|-

Da ich mir das aber nie merken kann, klebt es ganz geheim als Post-It unter der Tastatur.

 

[Cernan68]

Da einer meiner Kernaufgaben IT Security ist, ein generiertes, 20 Zeichen langes Kennwort, das man kaum tippen kann und dank Passworttool auch nicht nötig ist. Natürlich ist alles mit 2 Faktor gesichert, auch Ubisoft. Aufgrund des Ursprungsartikels, natürlich schnell mal das Kennwort erneuert. Schadet ja nicht.

 

[latinoramon]

Ich logge mich über die 2 stufen ein. Das habe ich überall so.

 

[Thomas5010]

Ich logge mich über die 2 stufen ein. Das habe ich überall so.

Sehr sicher. Ohne doppelte Authentifikation ist es schon fast ein Sicherheitsrisiko.

Beim Passwort kann man folgendermaßen verfahren.

Man nimmt einen individuellen Satz (gerne 20 Zeichen) aus einem Buch und schreibt diesen stur zusammen. Vorteil: Das Passwort ist gut zu merken und vor einem Brute Force Angriff ist die Sicherheit ähnlich hoch, wie bei einem Buchstabsalat, den sich eh keiner merken kann.

 

[ArktosFFM]

Sicheres passwort, ich hätte da was - sogar mit Buchstaben und Zeichen

CL-30-38-38-96



Lässt sich auch variieren und erweitern

 

[rhalin]

Gibt dazu ein schönes Video von der CT.
Ist ganz interessant
Vorspulen auf 2 min, vorher Werbung.

Eingebundener Inhalt

youtube.com/watch/?v=mPQ17n7tVvA

An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

 

[Jaffech]

Sicheres passwort, ich hätte da was - sogar mit Buchstaben und Zeichen

CL-30-38-38-96



Lässt sich auch variieren und erweitern

Guter Tipp !
Einfach alle Timings als PW, zusammen mit dem Namen.
DDR5-6400CL28tRCD38tRA$38tRC76tRFC384tR€FI65535tRRD$6tRRDL8tFAW24tWRT$4tWTRL16 usw
Da hat man dann alles drinnen. Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen...

Außerdem kann man es dynamisch an die maximale PW Länge anpassen

 

[PCGH_Torsten]

Das ist aber nur etwas für Leute, die keine Latenzen ändern.^^
Warum nicht einfach für jedes Steam-Spiel einen extra Account mit dem Steam-Key als Passwort? Wer den kennen würde, hätte es ja einfach so schon für sich registriert.^^

Sehr sicher. Ohne doppelte Authentifikation ist es schon fast ein Sicherheitsrisiko.

Beim Passwort kann man folgendermaßen verfahren.

Man nimmt einen individuellen Satz (gerne 20 Zeichen) aus einem Buch und schreibt diesen stur zusammen. Vorteil: Das Passwort ist gut zu merken und vor einem Brute Force Angriff ist die Sicherheit ähnlich hoch, wie bei einem Buchstabsalat, den sich eh keiner merken kann.

Kombinationen aus real existierenden Wörtern stehen bei einem Rainbow-Angriff zwar nicht ganz oben, aber sicherlich an zweiter Stelle hinter beliebten Einzel-Passwörtern. Dicht gefolgt von der beliebten "dann nehme ich halt nur die Anfangsbuchstaben eines längeren Satzes!"-Methode. Denn natürlich ist auch deren Verteilung alles andere als zufällig, sondern stark von der typischen Lautverteilung der jeweiligen Sprache abhängig. Wer da keine vom Klang her wirklich exotische beherrscht (Esperanto zählt also nicht, Klingonisch ist vermutlich besser als Quenya) wird damit leben müssen, dass ein sprachlich sinnvolles Passwort nicht annähernd die Komplexität einer Zufallskombination enthält. "CorrectHorseBatteryStaple" hat eben nicht die Entropie von 26^25 ~8*10^35 und vermutlich auch nicht wirklich von 2^44 ~3*10^13 (sorry @Randall Munroe), denn die ersten drei Wörter stehen weit genug oben in englischen Wort-Ranglisten, dass man kaum auf ~3*10^9 kommt. "Staple" konnte ich in öffentlich zugänglichen Top3.000 zwar nicht finden, aber da es wortwörtlich ein staple der englischen Sprache ist, dürfte es bequem unter den Top10.000 sein und somit keine weitern 10^4 draufpacken.

Grundsätzlich gilt aber bei solchen Überlegungen, was ich schon in die Meinung der Woche geschrieben habe: Wenn die primäre Schwachstelle der Betreiber ist, hat man als Anwender eigentlich nur die Möglichkeit auf Schadensminimierung. Aber man kann die Sicherheit kaum über Passwortkomplexität retten, ohne weitere Schwachpunkte einzuführen. Ein vernünftiger Anbieter blockt Brute-Force-Angriffe bereits nach maximal ein paar Dutzend Versuchen ab und dann reichen sehr lasche Codes – Bankkarten werden, trotz erheblich größerer Bedeutung gegenüber einem Steam-Account, bis heute erfolgreich mit einer 10^4-Pin abgesichert. Wenn sich ein Anbieter dagegen erst einmal Datenbank und Zugangsalgorithmus klauen lässt und das nicht einmal bemerkt, sodass Offline-Angriffe mit Milliarden von Versuchen ein Thema werden, ist es sowie fünf Sekunden nach zwölf.

 

[Tolotos66]

2-Wege-Authentifizierung. Dazu einen vollen Din A 4-Zettel und ein USB-Stick, der in einer Sandbox geöffnet wird
Gruß T.

 

[Thomas5010]

Kombinationen aus real existierenden Wörtern stehen bei einem Rainbow-Angriff zwar nicht ganz oben, aber sicherlich an zweiter Stelle hinter beliebten Einzel-Passwörtern. Dicht gefolgt von der beliebten "dann nehme ich halt nur die Anfangsbuchstaben eines längeren Satzes!"-Methode. Denn natürlich ist auch deren Verteilung alles andere als zufällig, sondern stark der typischen Lautverteilung der jeweiligen Sprache abhängig. Wer da keine vom Klang her wirklich exotische beherrscht (Esperanto zählt also nicht, Klingonisch ist vermutlich besser als Quenya) wird also damit leben müssen, dass ein sprachlich sinnvolles Passwort nicht annähernd die Komplexität einer Zufallskombination enthält. "CorrectHorseBatteryStaple" hat eben nicht die Entropie von 26^25 ~8*10^35 und vermutlich auch nicht wirklich von 2^44 ~3*10^13 (sorry @Randall Munroe), denn die ersten drei Wörter stehen weit genug oben in englischen Wort-Ranglisten, dass man kaum auf ~3*10^9 kommt. "Staple" konnte ich in öffentlich zugänglichen Top3.000 zwar nicht finden, aber da es wortwörtlich ein staple der englischen Sprache ist, dürfte es bequem unter den Top10.000 sein und somit keine weitern 10^4 draufpacken.

Ok, ich würde jetzt keinen Buchtitel verwenden oder einen Satz wie "Lauf Forrest Lauf", sondern schon etwas komplexeres wie: "JetztweißichwarumChinesentropfendesWasseralsFoltermethodenehmen". Dann noch ein paar Buchstaben größer, wo es nicht hingehört oder ein oder zwei Sonderzeichen reinballern (wenn man es braucht...). Besser aber so einprägsam wie möglich. Warum?

In der Praxis erlebe ich bei Kunden, dass sie sich selbst am meisten Schaden, wenn das Passwort vergessen wird. Dann wird externe Hilfe geholt, was dann der eigentliche Schwachpunkt ist. Gerade ab 50 fängt es an, wenn aber- dutzende Passwörter verwaltet werden müssen. Und Passwortmanager sind auch nicht wirklich immer praxistauglich.

Da ist es besser eine praktikable Lösung wie oben zu haben, als kompetentere Dritte im Notfall um Hilfe zu fragen. Sei es der IT-Unternehmer, der Nachbar, ein Bekannter oder jemand aus der allzu neugierigen Familie. Und wenn die in Not befindliche Person erst einmal einem Menschen ausgeliefert ist, dann wird auch schnell die TAN rausgegeben, denn der will mir ja helfen...

 

[XT1024]

Man nimmt einen individuellen Satz (gerne 20 Zeichen) aus einem Buch und schreibt diesen stur zusammen. Vorteil: Das Passwort ist gut zu merken

sondern schon etwas komplexeres wie: "JetztweißichwarumChinesentropfendesWasseralsFoltermethodenehmen". Dann noch ein paar Buchstaben größer, wo es nicht hingehört oder ein oder zwei Sonderzeichen reinballern

Sischer dat!
So etwas merkst du dir? Und das auch mehr als 2-3 Mal?

Und Passwortmanager sind auch nicht wirklich immer praxistauglich.

Aha, weil es 1-2 Gelegenheiten gibt, wo die es nicht bringen, baut man alles auf solchem Unfug auf?

In keepass sind bei mir gerade 181 Accounts vorhanden.
Wie du dir, und wenn nur für die relevantesten 20, o. g. Quatsch merkst, würde mich mal interessieren.

In der Praxis erlebe ich bei Kunden, dass sie sich selbst am meisten Schaden, wenn das Passwort vergessen wird.

Mit PW-Manager kann man maximal eins vergessen.
Und dieses eine kann man ja wohl irgendwo sicher ablegen.

Beim Passwort kann man folgendermaßen verfahren.

->
Man nimmt einen Passwortmanager (und hofft auf passkeys) und lässt den die ganze Arbeit machen.
Alles andere ist Humbug.

 

[chill_eule]

Mein Standardpasswort ist heutzutage leider immer zu kurz, also muss ich das primäre männliche Geschlechtsorgan immer wieder ausschmücken

 

[Bonja_Banana]

Bei mir ist alles mit 2FA gesichert inzwischen. Meist via App auf dem Privathandy. Und das Handy ist einfach mit Fingerabdruck gesichert.

Ich hatte mal vor Ewigkeiten einen Eindringling in mein damaliges T-Online Konto, der hat mir dann bei SWTOR ein Jahresabo abgeschlossen weil er nix anderes erreicht hat. Aber ich habe einfach nicht bezahlt und es wurde direkt gekündigt.

 

[PCGH_Torsten]

Ok, ich würde jetzt keinen Buchtitel verwenden oder einen Satz wie "Lauf Forrest Lauf", sondern schon etwas komplexeres wie: "JetztweißichwarumChinesentropfendesWasseralsFoltermethodenehmen". Dann noch ein paar Buchstaben größer, wo es nicht hingehört oder ein oder zwei Sonderzeichen reinballern (wenn man es braucht...). Besser aber so einprägsam wie möglich. Warum?

In der Praxis erlebe ich bei Kunden, dass sie sich selbst am meisten Schaden, wenn das Passwort vergessen wird. Dann wird externe Hilfe geholt, was dann der eigentliche Schwachpunkt ist. Gerade ab 50 fängt es an, wenn aber- dutzende Passwörter verwaltet werden müssen. Und Passwortmanager sind auch nicht wirklich immer praxistauglich.

Da ist es besser eine praktikable Lösung wie oben zu haben, als kompetentere Dritte im Notfall um Hilfe zu fragen. Sei es der IT-Unternehmer, der Nachbar, ein Bekannter oder jemand aus der allzu neugierigen Familie. Und wenn die in Not befindliche Person erst einmal einem Menschen ausgeliefert ist, dann wird auch schnell die TAN rausgegeben, denn der will mir ja helfen...

Ich sage nicht, dass es ein grundlegend verkehrter Ansatz ist. Nur dass die Sicherheit damit "ähnlich hoch ist", wie bei einer Zufallskombination aus dem halben ASCII-Zeichensatz, stimmt halt einfach nicht. Zumindest bei den von dir zuerst genannten 20 Zeichen. Mit einem Satz aus 11 Wörtern (zusammengesetztes mal einzeln gezählt), wie im neuen Beispiel, hätte man dagegen eine ansehnliche Entropie – sofern er denn akzeptiert und vollständig angewandt wird. Da sind aber schon 20 Zeichen eher die Obergrenze, real würde ich eher mit 12 bis 16 rechnen. Noch mit des letzten Jahrzehnts sind Seiten aufgeflogen, die nach 8 oder 10 Zeichen einen Cut gesetzt haben. So wird aus "JetztweißichwarumChinesentropfendesWasseralsFoltermethodenehmen" dann "Jetztwei"/"Jetztweißi"/"Jetztweißich" und das ist bei systematischen Vorgehen gegebenenfalls schon die 650*138*20=1,8millionste Kombination im Rahmen eines Brute-Force-Angriffs. Selbst wenn man noch die korrekte oder sinnvolle ("jedes Wort") Groß-/Kleinschreibung hinzufügt, bleibt die Entropie hinter der einer vier Zeichen kurzen Kombination von Groß-/Kleinbuchstaben/Ziffern/auf einer normalen Tastatur direkt zugänglichen Sonderzeichen zurück. Wenn die Webseite das "warum" noch auswertet, schafft man vielleicht einen Gleichstand – aber nicht das Sicherheitsniveau einer fünfstelligen Zufallskombination.

Wie gesagt halte ich selbst die bei einem auf Sicherheit bedachten Anbieter für ausreichend (nur wird der sowas kurzes gar nicht akzeptieren^^). Aber man sollte sich nicht der Illusion hingeben, dass strukturell gebildete, leicht zu merkende Passwörter nicht genauso leicht zu erraten wären. Zumal es in Zeiten um sich greifender KI nur eine Frage der Zeit ist, bis die Möglichkeiten automatisierten Spear-Phishings auch auf Brute-Force-Angriffe übertragen werden. Und dann werden für Angriffe auf "Thomas5010" nicht nur die Wortfrequenztabellen an öffentlich einsehbare Posts angepasst, sondern auch gleich systematisch nach deutscher Grammatik gebildete Satzzusammenstellungen priorisiert.

 

[SIR_Thomas_TMC]

@PCGH_Torsten Passwortlänge schlägt doch aber Komplexität. Klar, wenn man irgendwo ein Sonderzeichen und ne Zahl einbaut, hilft das die Basiszahl zu erhöhen. Ein paar Stellen mehr angefügt müsste aber immer mehr bringen, ab ner ordentlichen Länge des Passworts. Grad wer mit den passenden Mathekenntnissen im Raum, das mal kurz auszurechnen?

Passwortmanager plus 2FA halte ich für sehr sinnvoll. Merke mir keins meiner Accountpasswörter mehr, da sie alle unterschiedlich sind.

Passkey muss ich mich noch schlau machen.

 

[SIR_Thomas_TMC]

Ergänzung: Man müsste ja "nur" log2(R1^L1) =log2(R2^[L1+n]) nach n auflösen und dann schauen, für welches n (1,2,3,..) der Unterschied zwischen R1 und R2 ausgeglichen/übertroffen wird. Wie groß R für ohne und mit Sonderzeichen und Zahlen ist, hab ich leider nicht parat.

Ich rechne mal R2=(R1-p).

Beide Seiten 2^ ergibt:

R1^L1=(R1-p)^(L1+n)
Ln und Exponent als Faktor vorgezogen

ln(R₁^L₁) = ln((R₁ - p)^(L₁ + n))
L₁·ln(R₁) = (L₁ + n)·ln(R₁ - p)

Dann Divisionen durch ln(R₁ + p)
(L₁·ln(R₁)) / ln(R₁ - p) = L₁ + n

n = (L₁·ln(R₁)) / ln(R₁ - p) - L₁

Mit ln(R₁) / ln(R₁ - p) = log_{R₁ - p}(R₁) ergibt sich:

n = L₁·(log_{R₁ - p}(R₁) - 1)
Wer sagt mit jetzt noch R1 und p?
Und ob ich nicht wo einen Fehler gemacht hab?
R₂ ≈ 92 (mit Sonderzeichen)
R₁ = 52 (nur groß/klein)?


Konkret
52^(L₁ + n) =92^L₁
(L₁ + n)·ln(52) =L₁·ln(92)
n =L₁·(ln(92)/ln(52) – 1)

Mist, das ist ne Gerade und bedeutet, Alphabet schlägt Länge mit zunehmender Passwortlänge.

Naja, so kann man sich irren.

 

[Waylinkin]

Ich hatte früher für meinen Router mal das Passwort:
§Ver2pissDic7hDu!Wi**serDukomm"shiernichr12ein(

 

[PCGH_Torsten]

@SIR_Thomas_TMC
Ich habe mir nicht die Mühe einer allgemeinen Relation gemacht, aber die Zahlen in meinen Beispielen sind alle überschlagsmäßig durchgerechnet. Grundsätzlich spielen vier Parameter mit:
- Eine Vergrößerung des Zeichensatzes hebt den Wert jeder bestehenden Stelle an.
- Eine Vergrößerung der Anzahl von Stellen hebt den Wert jedes Zeichens im bestehenden Satz an.
- In der Praxis ist die genutzte Länge von Passwörtern meist begrenzt.
- Gängige Vergrößerungen des Zeichensatzes arbeiten in großen Blöcken.

Die ersten beiden Parameter sind spiegelbildlich und verlangen nach einer Balance zwischen beiden Größen – ein sehr kurzes Passwort mit bereits großem Zeichensatz zu verlängern bringt viel mehr, als den Zeichensatz noch weiter zu steigern; ein bereits langes Passwort auf mehr Zeichen zu stellen ist effektiver als noch ein paar weitere Stellen anzuhängen. Punkt 3 und 4 geben dabei den Ausschlag: Das Basis-Alphabet hat 26 Zeichen, mit deutschen Umlauten und SZ (sofern akzeptiert) sind wir bei 30. Die Ziffern dazu und man ist bei 40. Auch Großbuchstaben sind noch einmal 26-29 dazu (mit großem SZ wären es in der Summe 70). Im QWERTZ-Layout gibt es, inklusive der 3 Accents, weitere 37 direkt erreichbare Sonderzeichen on top. Ergibt also beim Maximalausbau* 107 statt 26 Zeichen. Um die gleiche Komplexitätssteigerung durch zusätzliche Stellen zu erreichen, müsste man ein nur-Buchstaben Passwort um Faktor log26(107) = 1,64 verlängern – was zum Beispiel von 12 auf 20 gegebenenfalls gar nicht möglich ist, weil so viele Zeichen nicht mehr ausgewertet werden.

Meine eigentliche Kernaussage ist aber, dass solche Rechnungen nur für Zufallspasswörter gelten. Sobald das Passwort systematisch aufgebaut wird, zum Beispiel aus Wörtern, sinkt seine Mächtigkeit dagegen extrem ab. "CorrectHorseBattery" hat 19 Stellen und selbst wenn man nur einfache Buchstaben ohne Groß-/Kleinschreibung nutzt, sind damit 766467265200361890474622976 Kombinationen möglich. Oder in Worten: Knapp Achthundertquadrilliarden. Es ist aber eben nicht zufällig, sondern eine Aneinanderreihung von drei Wörtern, die im Schnitt zu den Top-1.500 gehören (das nicht bezifferbare "Staple" lass ich im Beispiel mal weg). Statt 26^19 liegt die Komplexität daher nur bei 1.500^3 oder näherungsweise 3000000000 aka Dreimilliarden. Diese Komplexität könnte man auch mit 107^4,1 erreichen. "CorrectHorseBattery" ist also gerade einmal so "komplex", wie ein vier Stellen kurzes Zufallskennwort, dass die gesamte QWERTZ-Tastatur nutzt, obwohl man knapp fünf mal so viel eintippt. Vorsicht also mit solchen EselsPferdebrücken.

*: Wer richtig fies zu Angreifern sein will, merkt schmeißt noch ASCII-Codes rein. Als Redakteur hat man zum Beispiel "×", "–" oder " " (geschütztes Leerzeichen) im Blut, "Å" wird künftig wohl auch wichtiger werden. Muss der Angreifer den kompletten Satz berücksichtigen, weil sowas mit drin ist, hat man ein Basis von gut über 200 Symbolen (theoretisch 255, aber die Steuerungsbefehle in ASCII taugen wohl eher nicht). Lässt sich dann aber nur noch mit Betriebssystem abhängigen Kombinationen eingeben, die unter Windows zudem allesamt einen Numblock erfordern.^^

 

[SIR_Thomas_TMC]

@PCGH_Torsten Thx für die Ausführung.
Wie gesagt, ich hab selbst durch die Formeln und Berechnung gemerkt, dass das größere Alphabet mehr hilft als ein oder zwei Stellen dranzuhängen.

und bedeutet, Alphabet schlägt Länge mit zunehmender Passwortlänge.

Meine eigentliche Kernaussage ist aber, dass solche Rechnungen nur für Zufallspasswörter gelten.

Absolut richtig. Und um es wirklich zufällig zu halten, helfen Passwortmanager.