Sichere Passwörter

  • Hi Leute,


    ich bin mir in diesem ganzen Hacker Wirrwarr nicht mehr sicher,ob ich sichere Passwörter verwende. Ich wollte die jetzt mal alle ändern. Wie erstellt ihr sichere Passwörter? Ich hab im Internet geguctk und es gibt diese Passwortgeneratoren, aber die spucken immer so komplizierte Wortkombinationen aus. Die kann man sich doch unmöglich merken.

  • Eine weitere verbreitete Methode ist, die Anfangsbuchstaben der Wörter eines relativ langen Satzes zu verwenden, wobei hier und da auch Sonderzeichen und Ziffern benutzt werden, um technische Anforderungen der Prüfroutine zu erfüllen.


    Es gibt allerdings auch schon wieder den Hinweis, dass man seine Passwörter nicht zu kompliziert wählen soll, weil man dann keine Lust hat, sich für jeden Einsatzzweck unterschiedliche Eselsbrücken zu merken, und wieder das gleiche häufiger verwendet.


    Das künstliche Verlängern relativ kurzer Passwörter ist da eigentlich eine der simpleren Lösungen.


    Ich habe bisher auch den PwdGen von Gaijin verwendet (Online, mit Links zu PC-Version und Android-App), weil dieser auch Passwörter mit Pseudo-Silben generieren kann, die halbwegs merkbar sind, und auch die Stärke des Passwortes in Bit ermittelt.

  • um einen kompromiss zwischen sichereit und nutzbarkeit der passwöter anzubieten,
    so biete ich meine technik an:


    man möge erstmal je nach verwendungszweck ~3 +/- verschiedene stammpasswörter generieren.
    verwendungszwecke: geld, sozial media, spam, familie, onlinedienste...
    dise(s) stammpasswort(er) schreibt man noch den dienstnahmen hinein und bläht es auf eine mindestzeichenlänge auf...


    beispiel: Herr Dieter Schmitt auf ebay:
    pw: ebay.de-Qayxc-159753-dieter-0123456789


    - das stammpasswort wäre: Qayxc-159753
    - gewählter dienst ist: ebay.de
    - der benutzer ist auch mit dabei: dieter
    - und zum aufblähen noch 0123456789
    - achja die trenn striche " - " verlängern das pw auch noch :P
    - schon hat man ein 130bit langes passwort...


    ein passwort muss kein hieroglyphenchaos sein,
    es muss nur maschinell* nicht angreifbar ein:
    - mustererkennung
    - wörterbuchattake
    + wortschatz von wikipedia
    - länge des passwortes
    - geheimnis/passwortlisten


    und da man ein passwort auch nicht teilknacken kann,
    so kann man alles reinschreiben,
    solange man von jeder zeichengruppe die zeichen verwendet:
    a - kleine buchstaben (26 Z.)
    Z - große buchstaben (26 Z.)
    0 - zahlen (10 Z.)
    # - sonderzeichen (32+ Z. ASCII-tabelle)


    fieser ist es noch unicodezeichen zu verwenden (本 д ᵿ ة ₩),
    aber das scheitert u.u. bei einzelnen diensten.
    z.b. hatte paypal eine zeichenbegrenzung auf 20 Z. ... sehr sicher... -_-


    theoretisch wäre "..........................................................." auch sicher,
    aber wenn man passwortknacker routinen für muster einbaut, so ist sowas dann doch schnell geknackt.


    aber grundsätzlich gilt, passwörter sind geheim.
    sind sie es nicht, dann hilft keine komplexität gegen copy&pasta.


    leute mit höheren sicherheitsbedürfnis,
    sollten systeme mit zeitlich generierten passwörtern,
    auf vertrauenswürdigen & sicheren systemen verwenden.
    was aber auch die verwaltung und die kosten erhöht...



    meine letzten worte:
    ich konnte eine zeit lang mit einem 9-stelligen passwort überleben.
    der verräter der mein passwort verbrannt hat war ebay.


    und das ist nur das offiziell bekannt.
    haveibeenpwned.com hat mir mal gestekt,
    dass mein passwort (1. gen. / 8 Z. /33bit) "endlich" in der liste ist
    ich befinde mich gerade in der 4. gen. (20 Z.+ / 113bit+)


    tya, jetzt sollte man sich fragen, warum man sich so ein aufwand macht,
    wenn man sein passwort dann wieder aus die hände gibt,
    und der dienstleister eine schlechte it-infrastrucktur hat.

  • Eine weitere verbreitete Methode ist, die Anfangsbuchstaben der Wörter eines relativ langen Satzes zu verwenden.


    Sätze sind üblicherweise nicht so zufällig. Im Grunde eine ganz schlechte Methode, denn durch das Verkürzen der Wörter auf die Anfangsbuchstaben ist die ganze Entropie wieder weg. Dann besser den Satz komplett lassen.


    tya, jetzt sollte man sich fragen, warum man sich so ein aufwand macht,
    wenn man sein passwort dann wieder aus die hände gibt,
    und der dienstleister eine schlechte it-infrastrucktur hat.


    Darum für jeden Dienst ein eigenes Paßwort. Eigentlich wichtiger, als überall 100% zufällig. Aber wenn man bei vielen Seiten angemeldet ist, kann man sich das eh nicht merken und braucht einen Paßwortmanager. Und wenn man eh einen solchen Manager verwendet, kann man gleich für jeden Dienst sehr lang, sehr zufällig wählen.
    Wirklich wichtig ist das eigentlich nur für Verschlüsselung (z.B. TrueCrypt).

  • darum gruppiere ich meine passwörter und änder nur den dienst.
    nur wens ums geld geht, dann erst ist es wirklich individuell.


    meine persönliche daten, die halte ich so gering wie möglich.
    die sind eh durch freunde & verwante geleakt, bewusst oder ehr unbewusst.


    also wenn man nach diensten kategorisiert,
    kann man die anzahl der kernpasswörter radikal reduzieren,
    die dienste die kritisch sind sollten wenige sein.


    es ist ja nicht nur das passwort,
    sonndern auch das eigene verhalten.
    nicht jeder dienst ist so wichtig wie er sich gibt.


    ich muss noch anmerken,
    dass ich 3 emals dafür verwende.
    damit merke ich duch spam,
    welche dienste nich so toll sind.
    und bis jetzt ist der spam
    auch immer dort angekommen wo er hin gehört.