News Vergleich von 2 Milliarden Leaks: So simpel sind viele Passwörter
- Ersteller PCGH_Jacky
- Erstellt am
Jo, (schlechte) Passwortmanager, das softwaregewordene Klumpenrisiko
Warum nur bei einem Fall gehackt werden wenn man durch ein einzelnes Passwort oder eine ausgenutzte Sicherheitslücke eines PW Managers gleich alle seine Passwörter verlieren kann?
Also bevor ich da in irgendwelchen proprietären Softwares all meine Passwörter eintrage speichere ich lieber ne Textdatei in nen Veracryptcontainer - selbst den guten alten analogen Zettel sehe ich persönlich als sicherer als nen Passwortmanager an, immerhin müsste jemand um an den Zettel zu kommen erst mal einbrechen und ihn finden (eas vermutlich insgesamt einfacher wäre als die Passwörter darauf zu hacken).
https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength
Wo es wichtig ist wird ein erzeugtes Passwort verwendet das im PW Manager landet, gerne mit 2Faktor/Passkey.
Munroe ist übrigens auch hart an der Grenze mit seinem berühmten Beispiel: Weder wird die benötigte Zeichenunterstützung thematisiert noch die Bedeutung seltener Wörter angesprochen.
Und je nachdem, welcher Liste man traut, erfüllt nicht einmal sein eigener Vorschlag die versprochene Zählweise. Er verspricht 7 Bits = das Äquivalent von 2.048 Zeichen je Wort, aber "correct" ist oft, "horse" manchmal unter den Top-1.000 geführt und "battery" dürfte nur in den veralteten Offline-Zählungen, die noch keine Smartphones oder Artikel darüber kennen, nennenswert Stärke haben. Komischerweise fehlt "staple" quasi immer (obwohl es doch eigentlich ein staple der Sprache sein sollte^^), weswegen dass die Gesamtstärke vielleicht wieder rausreißt. Umgekehrt spielt er die Stärke von Sonderzeichen massiv herunter.
Wie gerade vorgerechnet: Nein, bei Begrenzung der Passwortlänge kann es sogar schwächer sein.
Sepheran
Komplett-PC-Käufer(in)
Den PW Manager sicherst du dann am besten mit 123456Ba
Ich selbst schau immer das es auch was ist was keiner aus meinem umkreis erraten kann, ein Hacker knackt eh irgendwann alles, ist dann nur die frage ob er sich die mühe macht oder ob er glaubt das es sich lohnen wird
JoM79
Trockeneisprofi (m/w)
Du meinst also, 8 Zeichen sind sicherer als 32?
Schinken
BIOS-Overclocker(in)
Vaultwarden, self-hosted, 2FAJo, (schlechte) Passwortmanager, das softwaregewordene Klumpenrisiko
Warum nur bei einem Fall gehackt werden wenn man durch ein einzelnes Passwort oder eine ausgenutzte Sicherheitslücke eines PW Managers gleich alle seine Passwörter verlieren kann?
Also bevor ich da in irgendwelchen proprietären Softwares all meine Passwörter eintrage speichere ich lieber ne Textdatei in nen Veracryptcontainer - selbst den guten alten analogen Zettel sehe ich persönlich als sicherer als nen Passwortmanager an, immerhin müsste jemand um an den Zettel zu kommen erst mal einbrechen und ihn finden (eas vermutlich insgesamt einfacher wäre als die Passwörter darauf zu hacken).
.Irgendeinem Cloud Anbieter muss man das wirklich nicht anvertrauen, das stimmt.
Das Masterpasswort dagegen steht nirgends (mehr, seitdem ich ganz sicher bin, es im Hirn zu haben), wird nie laut ausgesprochen, steht in keinem Duden.
Das ist bei mir auch so - also das Hauptpasswort. Das ist bei mir seit mindestens 20 Jahren dasselbe und stand noch nie irgendwo aufgeschrieben. Und da ichs fast täglich benutze hab ich auch keine Chance mehr es jemals wieder zu vergessen, auch wenns ein ziemlich langer ziemlich zufälliger Zeichenhaufen ist.
Schinkennudel
PC-Selbstbauer(in)
https://www.der-postillon.com/2014/04/sicherstes-passwort.html
Diskussion beendet, verwende ich überall
Diskussion beendet, verwende ich überall
Einwegkartoffel
Kokü-Junkie (m/w)
https://www.der-postillon.com/2014/04/sicherstes-passwort.html
Diskussion beendet, verwende ich überall
Wenn ich mir das als Lesezeichen speicher, hab ich gute Chancen es nicht zu vergessen - danke für den Tipp!
XT1024
Volt-Modder(in)
Ich nicht, nicht im 21. Jahrhundert.
Wird etwas wie wI9Jqzt4ruxsG8Wo03dq echt regelmäßig vom Zettel abgelesen und eingetippt?
Warum soll deine Bastellösung per se sicherer sein?
Sicherheitslücken muss man erstmal, bevorzugt von außen weil von innen ja Quatsch ist, ausnutzen können. Durch Zugriff oder schon deren purer Existenz.
Ist deine passwort.txt entschlüsselt, kann man sie nicht entwenden?
Mein keepass.db muss auch erstmal jemand bekommen und dann mit ihr irgendwas anfangen können.
Die soll ja auch verschlüsselt sein.
VulturesRevenge
Freizeitschrauber(in)
Also ich verschlüssel meine einfachen Passwörter doppelt mit rot13. Zur Sicherheit 
Die Lösung ist prinzipiell genau die gleiche, ich verschlüssele mit einem Passwort eine Datei die alle anderen passwörter enthält.
Nur wenn ich das mit OpenSource VeraCrypt mache ist nahezu sicher (so sicher es aktuell geht), dass jemand der meine Datei bekommt (etwa weil er meine Sicherungs-SSD klaut) die Datei niemals entschlüsseln kann.
Wenn ich das mit proprietärer Software mache habe ich keinerlei Kontrolle darüber was genau passiert, ob die Software Sicherheitslücken hat (was schon häufig bei solchen Tools vorgekommen ist...), ob die Verschlüsselung stark ist, ob der Hersteller der Software nicht gar ein Backdoor hat.
Was aber der stärkere Grund für mich persönlich ist: All meine Sicherungsdaten sind sowieso alle verschlüsselt abgelegt. Bedeutet ich habe den "Aufwand" sowieso. Ob da jetzt noch eine Passwort.txt mehr oder weniger im Archiv ist spielt keine Rolle mehr, dafür brauche ich kein weiteres Tool zu bemühen.
Wie dargelegt:
8 Zeichen inklusive Sonderzeichen sind mindesten gleich sicher, je nach Strategie sicherer, als 8 Wörter im Gesamtumfang von 47 Buchstaben, wenn die Webseite nur die ersten 18 Zeichen tatsächlich auswertet.
Zuletzt bearbeitet:
RyzA
PCGH-Community-Veteran(in)
Du kannst auch logische Zusammenhänge einfach erklären und auf den Punkt bringen. Super! Jetzt habe sogar ich das verstanden.
It's literally my Job.^^
Leider kann ich zu dem Beispiel nicht sagen, wie wahrscheinlich eine derartige Kürzung ist. Jede Webseite muss irgendwo einen Cut setzen, sonst könnte man die Eingabemaske mit unendlich langen Zeichenketten DoSsen. Aber ich weiß nicht, wo er üblicherweise gesetzt wird. Früher war es teilweise schon nach acht Zeichen, aber das gab zurecht große Aufschreie. Auf der anderen Seite ist wohl ein Beliebter Hash-Algorithmus auf 72 Byte optimiert. Wenn man da noch je 16 Byte Salt und Pepper reinwirft, bleiben 40 Byte für ein Passwort, das bei Akzeptanz nicht-lateinischer Schriften mindestens zwei Byte je Zeichen, im Worst Case aber sogar vier Byte je Zeichen erfordert. Obwohl ich die "18" schlicht als passendes Beispiel zur Wortstruktur des vorgeschlagenen Passworts gewählt habe, ist sie also gar nicht mal so abwegig.
Leider kann ich zu dem Beispiel nicht sagen, wie wahrscheinlich eine derartige Kürzung ist. Jede Webseite muss irgendwo einen Cut setzen, sonst könnte man die Eingabemaske mit unendlich langen Zeichenketten DoSsen. Aber ich weiß nicht, wo er üblicherweise gesetzt wird. Früher war es teilweise schon nach acht Zeichen, aber das gab zurecht große Aufschreie. Auf der anderen Seite ist wohl ein Beliebter Hash-Algorithmus auf 72 Byte optimiert. Wenn man da noch je 16 Byte Salt und Pepper reinwirft, bleiben 40 Byte für ein Passwort, das bei Akzeptanz nicht-lateinischer Schriften mindestens zwei Byte je Zeichen, im Worst Case aber sogar vier Byte je Zeichen erfordert. Obwohl ich die "18" schlicht als passendes Beispiel zur Wortstruktur des vorgeschlagenen Passworts gewählt habe, ist sie also gar nicht mal so abwegig.
DOcean
PCGHX-HWbot-Member (m/w)
Es gibt ja noch diese Tabellen:
www.hivesystems.com
Das mit den Kürzungen ist aber echt fies, da denkst du dir die 48 Zeichen wird schon keiner knacken und dann pustekuchen weil zufällig deine ersten 12 zeichen nur buchstaben enthalten....
The 2025 Hive Systems Password Table Is Here - Passwords Are Easier to Crack Than Ever
Passwords that felt secure a year ago might not hold up in 2025. Hive Systems’ updated Password Table reveals just how much faster hackers can break into accounts today. See the latest cracking times and find out if your passwords are still safe while downloading your copy.
www.hivesystems.com
Das mit den Kürzungen ist aber echt fies, da denkst du dir die 48 Zeichen wird schon keiner knacken und dann pustekuchen weil zufällig deine ersten 12 zeichen nur buchstaben enthalten....
_Oskar_
Software-Overclocker(in)
Meiner meinung nach sollte in ungefähr so ein gutes Passwort angelegt werden als Beispiel:
¹éçHÐ4¬["¸j{ÿ}ð;®¹'«$ó5-sôÐí°Þ3»ÝÁX°H;´÷¯Ø}w¿=d¾qÌàåñ59)÷L¢¬í³LEÀ!½r'ªzª³p[×m²[Õfz¤9C´/
(Abgespeichert in einer Txt Datei z.B auf einem USB Stik.)
Da ist dann nichts mehr mit Erraten können.
Zuletzt bearbeitet:
G
Gast1764587403
Guest
Jaja. Sicheres Passwort. Bla bla.
Kann man die Leaks durchblättern?
Hab nen Email Account von 2001 bei dem ich das Passwort nicht mehr weiss.
Wäre echt hilfreich wenn ich da mal nachschlagen könnte.
Kann man die Leaks durchblättern?
Hab nen Email Account von 2001 bei dem ich das Passwort nicht mehr weiss.
Wäre echt hilfreich wenn ich da mal nachschlagen könnte.
Ähnliche Themen
