Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Ich bleibe bei dem Passwort 555-NASE
Da wird niemals jemand draufkommen :D
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

TammerID schrieb:
Ich bleibe bei dem Passwort 555-NASE
Da wird niemals jemand draufkommen :D
Zum Vergrößern anklicken....

Doch, Arthur Spooner wird voraussichtlich schon heute Deinen PCGH-Account übernehmen! :ugly:

@Topic:

So eine Liste ist wenig aussagekräftig wenn kein Mensch weiß woher diese Infos stammen und wie groß der Anteil der schwachen Passwörter ist. Es ist ein ziemlicher Unterschied ob 5% oder 75% der Nutzer derart schwache Passwörter nutzen.

Da Herr Link schreibt "Gelernt haben daraus die wenigsten Internetnutzer, denn die Passwörter sind immer noch lächerlich unsicher." gehe ich davon aus, dass es dazu irgendwelche Zahlen gibt?!
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Man sollte sich Fragen was Geschützt werden soll und danach vergebe ich mein
PW. Für mein Pimperaccount brauch ich kein 32 stelliges Super PW, da musses schnell gehn :ugly:
Bei wichtigere Sachen kommt von allen was rein auf über 12 Stellen.
Und mal Ehrlich, wer rein will und nicht ganz blöde ist. Findet ein Weg!
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Eingebundener Inhalt
An dieser Stelle findest du externe Inhalte von Youtube. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

keinnick schrieb:
@Topic:

So eine Liste ist wenig aussagekräftig wenn kein Mensch weiß woher diese Infos stammen und wie groß der Anteil der schwachen Passwörter ist. Es ist ein ziemlicher Unterschied ob 5% oder 75% der Nutzer derart schwache Passwörter nutzen.
Zum Vergrößern anklicken....

Meistens werden für derartige Statistiken entweder kursierende Accounddatenbanken ausgewertet, oder die Benutzerkonten bei einem Sicherheits-Software-Anbieter selbst. Neben dem klassischen Admin-Passwort "123456" wird also auch eine große Anzahl an bewusst einfach gewählter Passwörter von Einweg-Anmeldungen dabei sein. Wobei ich selbst da nicht nachvollziehen kann, warum man etwas aus den Top10 nimmt. Es gibt nun wirklich genug andere, leicht zu merkende Ausdrücke, die zumindest einem handgetippten Brute-Force-Angriff standhalten.

Mindestens genauso schlimm ist meiner Meinung nach aber die Gegenseite. Wieso werden an sicherheitskritischen Stellen überhaupt so viele Fehleingaben akzeptiert? Mehr als 5 Versuche sollte man bei seinem eigenen Account kaum brauchen, um Vertipper auszuschließen. Danach sollte die Anzahl akzeptierter Versuche auf 3 pro Stunde gedrosselt werden. Wenn von der gleichen Quelle gar Einlogversuche auf eine größere Anzahl von Accounts registriert werden, können ggf. weitergehende Maßnahmen folgen. So wären flächendeckende Brute-Force-Angriffe bereits jenseits der Top1000 so gut wie unmöglich.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Als ich früher noch so einen Kinderkram wie Systemhacken machte, war das Administratorpasswort bei Mikrosoft, aber das ist wirklich 20 Jahre her, 1245678. Was soll man da sagen, der Microsoftadministrator, was haben wir gelacht....
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

PCGH_Torsten schrieb:
Neben dem klassischen Admin-Passwort "123456" wird also auch eine große Anzahl an bewusst einfach gewählter Passwörter von Einweg-Anmeldungen dabei sein.
Zum Vergrößern anklicken....
Ich gehe doch mal davon aus (oder besser hoffe?), dass der Großteil dieser qwerty oder 123456 von genau solchen fake/einmal accounts stammen.
PCGH_Torsten schrieb:
Wobei ich selbst da nicht nachvollziehen kann, warum man etwas aus den Top10 nimmt. Es gibt nun wirklich genug andere, leicht zu merkende Ausdrücke, die zumindest einem handgetippten Brute-Force-Angriff standhalten.
Zum Vergrößern anklicken....
Warum sollte man auch nur eine zusätzliche Sekunde verschwenden um auf 123456a zu kommen? Anmelden, abstauben, nie wieder auftauchen.

Ne, solche Statistiken sagen so reichlich wenig aus.
---
Manche Unternehmen wollen offensichtlich, dass möglichst einfache oder wenigstens nicht all zu komplexe Passwörter verwendet werden.
Bei Paypal kann (konnte?) man es nicht kopieren/einfügen, wenn man es ändern will. Einfacher kann man die Leute nicht davon abhalten Z#e5!%<l$Sno[%G82GSN1U1C*1}<r,9p(sQR\Vs<\o~1uuM9pa zu verwenden. :what:
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

PCGH_Torsten schrieb:
Mindestens genauso schlimm ist meiner Meinung nach aber die Gegenseite. Wieso werden an sicherheitskritischen Stellen überhaupt so viele Fehleingaben akzeptiert? Mehr als 5 Versuche sollte man bei seinem eigenen Account kaum brauchen, um Vertipper auszuschließen. Danach sollte die Anzahl akzeptierter Versuche auf 3 pro Stunde gedrosselt werden. Wenn von der gleichen Quelle gar Einlogversuche auf eine größere Anzahl von Accounts registriert werden, können ggf. weitergehende Maßnahmen folgen. So wären flächendeckende Brute-Force-Angriffe bereits jenseits der Top1000 so gut wie unmöglich.
Zum Vergrößern anklicken....

Dann gibt es auch noch diese supertollen Webseiten, die dir klipp und klar sagen "Nö, Junge, mehr wie 6 Zeichen darf dein Password nicht haben".
Oder noch besser: Es werden nur die ersten 8 Zeichen gespeichert, ins Textfeld eingeben lassen sich aber beliebig viele Zeichen...

Es wird dem unbedarften User so oder so viel zu einfach gemacht, etwas falsch zu machen.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Empfehlenswert:
IssdenPudding oder Donaudampfschifffahrtsgesellschaftskapitaen, und für vorsichtige User eben Taumatawhakatangihangakoauauotamateaturipukakapikimaungahoronukupokaiwhenuakitanatahu.
Es ist wirklich schon seltsam wie simpel manche die Passwörter gestalten und die sollten eine Kerze stiften wenn denen bisher nix gehackt wurde.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Kusanar schrieb:
Dann gibt es auch noch diese supertollen Webseiten, die dir klipp und klar sagen "Nö, Junge, mehr wie 6 Zeichen darf dein Password nicht haben".
Oder noch besser: Es werden nur die ersten 8 Zeichen gespeichert, ins Textfeld eingeben lassen sich aber beliebig viele Zeichen...
Zum Vergrößern anklicken....
Nur sind 6 Zeichen bereits ausreichend.:schief:
Laut dieser Seite braucht man dafür 23.62 Jahre, selbst wenn man die Zeit halbiert landet man bei mehr als 10 Jahren.
Und das auch nur bei 1.000 Anfragen pro Sekunde, sofern das Portal nur 3-5 falsche Eingaben zulässt ist es sehr unwahrscheinlich das sie an das Passwort kommen.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

turbosnake schrieb:
Nur sind 6 Zeichen bereits ausreichend.:schief:
Laut dieser Seite braucht man dafür 23.62 Jahre, selbst wenn man die Zeit halbiert landet man bei mehr als 10 Jahren.
Zum Vergrößern anklicken....

Und wenn sich jetzt jemand bemüht, das ganze Offline zu machen (wie auch immer), dann sind es plötzlich nur noch ein paar Sekunden:

Offline Fast Attack Scenario (Assuming one hundred billion guesses per second): 7.43 seconds
Zum Vergrößern anklicken....

Tadaaaaaaa.

6 Zeichen sind definitiv NICHT ausreichend. Schon gar nicht wenn man die zukünftige Entwicklung der Prozessorgeschwindigkeiten und Passwort-Knackmöglichkeiten in Betracht zieht.


Edith zitiert noch einmal von der Webseite, die du vorhin erwähnt hast:

It is NOT a “Password Strength Meter.”
Zum Vergrößern anklicken....
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Und wenn sich jetzt jemand bemüht, das ganze Offline zu machen (wie auch immer), dann sind es plötzlich nur noch ein paar Sekunden:
Zum Vergrößern anklicken....
Nur kann niemand Offline deine Online Passwörter knacken.:schief:
Und da die meisten Passwörter bei Diensten, wie PayPal, Google oder Online-Spiele, eben NUR online eingegeben werden können bleiben 6 Zeichen sicher.

6 Zeichen sind definitiv NICHT ausreichend. Schon gar nicht wenn man die zukünftige Entwicklung der Prozessorgeschwindigkeiten und Passwort-Knackmöglichkeiten in Betracht zieht.
Zum Vergrößern anklicken....
Und was bringt dir das Online? Nichts.:schief:
Sofern du nur X falsche Passworteingaben machen kannst, nutzt dir mehr Leistung auch nichts.
Dazu ist es unwahrscheinlich das man in 9 Versuche auf eine der 742.912.017.120 Möglichkeiten kommt.
Sie sind nur unsicher, sofern man unbegrenzten Fehlversuche hat, aber das ist dann ein Designfehler auf Seiten des Anbieters.

zitiert noch einmal von der Webseite, die du vorhin erwähnt hast:
Zum Vergrößern anklicken....
Das widerspricht mir auch nicht, da ich nur gesagt habe das es sicher ist, sofern bestimmte Voraussetzungen gelten. Die habe ich aber nicht erwähnt:
1. Das Passwort enthält Groß und Kleinbuchstaben, Sonderzeichen und Zahlen
2. Es ist wie die deutlich Mehrzahl aller PW ein Onlinepasswort
3. Der Dienst erlaubt nur eine geringere Zahl falscher Eingaben. Idealerweise 3 Stück.
Nun würde ich gerne wissen, wieso ein 6-stelliges PW für diese Zweck nicht geeignet sein soll.
 
AW: Samsung Portable SSD T1: 450 MB/s über USB 3.0

Man sollte nicht vergessen dass das beste PW nichts nützt wenn der Nutzer damit nicht umgehen kann.

Ich kenne viele Leute die zwar ein gutes PW nutzen (sowas wie "hZ7!./f33sQP=5Xxg1") aber beispielsweise weil sie es sich nicht merken können es in einer Textdatei auf den Desktop ablegen. Ganz großes Kino.
Oder die Leute die sich Gedanken drüber machen und ihr Passwort zu "Sicherheit" bei sochen Seiten wie der da eingeben. Da hat man auch die Bestätigung dass sein Passwort sicher ist... und es dabei verraten. :ugly:
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Da würde ich ganz bestimmt mein Passwort prüfen lassen, und meine Geheimnummer für die Kreditkarte vermerke ich mit einem Edding auf der Karte:D
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Finde mein PW derzeit auch sehr sicher. :D
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

turbosnake schrieb:
Nur kann niemand Offline deine Online Passwörter knacken.:schief:
Zum Vergrößern anklicken....

Na das erzählst du am besten den Leuten hier: Passwortdatei der Universität von Texas gestohlen | www.itexperst.at,
und denen bitte auch gleich: Sicherheit im Internet: Millionen Passwörter geklaut - LinkedIn, eHarmony und Last.fm sind betroffen - Welt - Tagesspiegel
und auch denen hier, wenn wir schon mal dabei sind: Fataler Hack bei Sony ? alle Kundendaten geklaut! - IT Magazine Seite 0.

Natürlich kann jemand Offline deine Online-Passwörter knacken. Hat man erst mal Zugriff auf die Datei mit den gespeicherten Passwörtern, ist es nur eine Frage der Zeit. Wie du siehst, kann es selbst Größen im Internet wie Sony passieren, dass Passwortdateien abhanden kommen. Google, Paypal, Amazon etc. kann es genauso treffen, einige andere hat es bereits erwischt. Noch schlimmer wirds, wenn du dann ein schwaches Passwort verwendet und vielleicht (wider besseren Wissens) EIN Passwort für mehrere Seiten verwendet hast. Oder sogar noch für den Email-Account, mit dem du dich registriert hast, das gleiche Passwort verwendest.

Auch um selbst aus gehashten Einträgen in der Passwortdatei die originalen Passwörter im Klartext rauszubekommen, bedarf es (mehr oder weniger) nur eines simplen Wörterbuchangriffs. Und Offline kann ich so oft herumprobieren wie ich will, da gibts es auch keine "Login-Beschränkung"....

und dann sind deine 6 Zeichen wieder eine Stufe tiefer gerutscht und wir sind wieder bei 7 Sekunden, die ich im Dictionary suchen muss, um genau dein Passwort zu finden. Wenn ich noch in Betracht ziehe, dass ich vielleicht erst den richtigen Hash suchen muss, dauerts unter Umständen etwas länger. Aber wie gesagt, Offline hat man alle Zeit der Welt...

tl;dr: Nur weil dein Passwort ONLINE ABGESPEICHERT ist, ist es noch lange NICHT SICHER.
 
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Dein Szenario beschreibt ein Versagen des Anbieter, sobald so eine Liste aufgetaucht ist bietet keines der Passwörter mehr Schutz. Egal wie lang es ist, damit gibst du dir maximal eine längere Reaktionszeit.

Natürlich kann jemand Offline deine Online-Passwörter knacken. Hat man erst mal Zugriff auf die Datei mit den gespeicherten Passwörtern, ist es nur eine Frage der Zeit.
Zum Vergrößern anklicken....
Und wie will er das tun?:schief:

Noch schlimmer wirds, wenn du dann ein schwaches Passwort verwendet
Zum Vergrößern anklicken....
Wieso? Wenn sie die Passwortliste haben ist wieder egal, da dort alle PWs draufstehen.

Passwörter im Klartext rauszubekommen, bedarf es (mehr oder weniger) nur eines simplen Wörterbuchangriffs
Zum Vergrößern anklicken....
Das geht nur wenn da was sinnvolles steht, bei 9Ä!ö23 hat man damit auch keine Chance.
Es ist einfach kein Wort.
Und Offline kann ich so oft herumprobieren wie ich will, da gibts es auch keine "Login-Beschränkung"....
Zum Vergrößern anklicken....
An was willst du rumprobieren? Einloggen kannst du dich nirgends.

Aber dein Szenario liegt außerhalb der Verantwortung des Nutzers, sondern zu 100% beim Anbieter.
Und in dem Fall wäre dein gutes PWs total verbrannt.
 
Zuletzt bearbeitet:
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Dr Bakterius schrieb:
Empfehlenswert:
IssdenPudding oder Donaudampfschifffahrtsgesellschaftskapitaen, und für vorsichtige User eben Taumatawhakatangihangakoauauotamateaturipukakapikimaungahoronukupokaiwhenuakitanatahu.
Zum Vergrößern anklicken....

Das ist natürlich weitaus besser als 123456 oder ähnlicher Käse, aber in der c´t gab es vor einiger Zeit einen Artikel, in dem sie aufgezeigt haben, dass sämtliche Passwörter, die auf beliebig komplizierten Merkregeln beruhen, für Profis relativ schnell zu knacken sind. Ich habe keine Zahlen mehr im Kopf aber es war schnell genug, dass sich so ein Hack u. U. auch lohnen würde. Also nicht etwa mehrere Jahre.
Ich fasse das mal zusammen, soweit ich es verstanden habe und mich noch daran erinnere. Das funktioniert dadurch, dass die Tools professioneller Passwortknacker nicht allein auf Brute Force setzen, sondern auf eine Kombination aus Brute Force mit speziellen Datenbanken. In diesen Datenbanken werden anhand geknackter Passwörter (ob durch Brute Force geknackt oder sonstwie gesammelt ist dabei wurscht) sämtliche Merkregeln eingetragen, die sich irgend jemand irgendwo einmal ausgedacht hat. Darauf basierend werden dann per Brute Force zuerst die nach diesen Regeln wahrscheinlichtsten Passwörter ausprobiert und eben nicht einfach der Reihe nach jede Mögliche Kombination.

Ein Beispiel für so ein scheinbar zufälliges Passwort wäre SW3:dRdJ-R. Sieht doch ganz gut aus, oder? Ist aber leider relativ leicht zu knacken. Die Regel dahinter ist, einfach die Anfangsbuchstaben des Lieblingsfilmtitels zu verwenden. Hier war das Star Wars 3: die Rückkehr der Jedi-Ritter. (Das ist keineswegs mein Lieblingsfilm, aber man braucht einen längeren Filmtitel und ein anderer fiel mir gerade nicht ein. ;)) Der alte Trick, manche Buchstaben durch Sonderzeichen zu ersetzen, ändert nichts an dem Problem, das berücksichtigen die Programme natürlich auch.

Die Datenbanken für diese Methode werden permanent ausgebaut, sodass man davon ausgehen muss, dass die meisten Merkregeln, die uns einfallen, schon jemand anderes benutzt hat. Kurz gesagt kann heute kein auf einer für den Menschen funktionierenden Regel basierendes Passwort noch als sicher gelten. Soll ein Passwort also auch dieser datenbankgestützten Methode widerstehen, bleibt einem nichts anderes übrig, als sich ein wirklich zufälliges Passwort einzuprägen, indem man es so lange von einem Zettel abtippt, bis es sitzt. Solche Zufallspasswörter liefert eben Keepass, u. a. deshalb habe ich es in meinem ersten Posting empfohlen.

Kusanar schrieb:
Dann gibt es auch noch diese supertollen Webseiten, die dir klipp und klar sagen "Nö, Junge, mehr wie 6 Zeichen darf dein Password nicht haben".
Oder noch besser: Es werden nur die ersten 8 Zeichen gespeichert, ins Textfeld eingeben lassen sich aber beliebig viele Zeichen...

Es wird dem unbedarften User so oder so viel zu einfach gemacht, etwas falsch zu machen.
Zum Vergrößern anklicken....

Wenn es doch wenigstens sechs Zeichen wären! Meine Bank gestattet maximal 5 (!) Stellen als Passwort. :wall: Ich frage mich wirklich, wie irgend ein Administrator auf so etwas kommen konnte, noch dazu der einer Bank.
 
Zuletzt bearbeitet von einem Moderator:
AW: Vollpfosten-Alarm: Die dämlichsten Passwörter 2014

Shub Niggurath schrieb:
Die Datei liegt quasi für Hacker zum Abgreifen parat auf dem Server. :D
Zum Vergrößern anklicken....

.....

P.S.: Und normalerweise liegen die Passwörter in der Datei dann nicht im Klartext, sondern (hoffentlich) als Hash vor.

@Hornissentreiber: Nur 5 Zeichen? Haha, das ist auch geil. Vor allem beim Onlinebanking...
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PCGH_Sven
News Update-Alarm für FritzBox: Alles zu FritzOS 8.20, 8.21 und 8.24
Antworten
1
Aufrufe
502
LiLxCaesar
LiLxCaesar
PCGH-Redaktion
News Remaster-Alarm: Kommen Fallout 3 und Fallout: New Vegas?
2
Antworten
21
Aufrufe
1K
tigra456
tigra456
PCGH_Jacky
News Alarm für Secure Boot: Zertifikate laufen im Sommer aus, Microsoft liefert Windows-Tool
2 3
Antworten
54
Aufrufe
4K
Incredible Alk
Incredible Alk
PCGH_Sven
News GTA 6: Hype um Vorbestellungen zieht Hacker magisch an
Antworten
2
Aufrufe
253
Frostbeast
F
PCGH-Redaktion
News Mittelalter-Alarm: Neues Taktik-Rollenspiel Tattered Banners zeigt sich auf Steam
Antworten
1
Aufrufe
266
Frank-Langweiler
Frank-Langweiler
Oben Unten
Zurück