Sichere Passwörter nach gewissem System vergeben? Ja? Nein?

Sichere Passwörter nach gewissem System vergeben? Ja? Nein?

Impressum | Werbung

Geizhals » Forum » Security & Viren »

Sichere Passwörter nach gewissem System vergeben? Ja? Nein? (35 Beiträge, 878 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Welche Möglichkeit habe ich, meine Passwörter nach einem halbwegs sicheren System so zu vergeben, dass ich mir die auch merken kann?

Habt ihr da irgendwelche Tricks oder Empfehlungen?
Überall das gleiche Passwort zu haben ist natürlich grob fahrlässig, leuchtet ein.

                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

Merksätze wie "ich wohne in (der) Straße/Stadt", "ich bin geboren am" und dann die Zahlen samt einem Sonderzeichen am Ende z.B.. Wobei du halt die Anfangsbuchstaben der Wörter nimmst.
__________________________________________________________________________________

hosted by 666kb.com

My name is VASH THE STAMPEDE! Forgive the lack of warning, but it's time for my daily massacre! If you do not believe I am the real thing, take a good look at me and start freaking out!

Ja, nur brauche ich überall ein anderes Passwort. Kann mir das also dann wieder unmöglich merken. Interessanter wäre es, dass ich z.B. aus der URL von der Seite (bei der ich mich einloggen möchte), nach irgend einem "Schlüssel" ein Passwort generiere.
                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

https://chrome.google.com/webstore/detail/lastpass-free-password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=de
sowas?
__________________________________________________________________________________

hosted by 666kb.com

My name is VASH THE STAMPEDE! Forgive the lack of warning, but it's time for my daily massacre! If you do not believe I am the real thing, take a good look at me and start freaking out!

Hab jetzt mal gegoogelt. Hier wird ca sowas beschrieben woran ich gedacht habe. Aus der URL leitet sich ein Teil des Passwortes ab.

http://www.heise.de/security/artikel/Passwort-Schutz-fuer-jeden-1792413.html?artikelseite=3
                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

Ich verwende zwar nicht überall die gleichen, habe aber ca. 3-4 Passwörter, die ich auf div. Seiten verwende (privat) diese sind alphanumerisch inkl. Groß/Kleinschreibung und Sonderzeichen, nicht wirklich schwer zu merken, 16 Zeichen lang und ich hatte nie ein Problem.

Vielleicht bin ich auch eine Ausnahme, aber ich war die letzten Jahr doch in einigen Foren unterwegs, bei einigen Händlern angemeldet usw.

Kein Probs gehabt...
-------------------------------------------------------------------------

Was spricht gegen einen Passwortsafe wie KeePass? Da brauchst du dir genau ein Passwort zum Öffnen des Safes merken und die gespeicherten Passwörter können dann so sicher sein, wie es der Account zulässt.

Was spricht gegen einen Passwortsafe wie KeePass?

Verwende ich auch. Allerdings ist es ein gewisser Aufwand, die (aktuellen) Passwörter dann auch unterwegs parat zu haben.

habe die KeePassDB bei mir auf einem Server liegen... via VPN kann ich dann vom Handy aus die DB auch öffnen ... 30min Zeit fürs einrichten

edit: über OneDrive oder ownCloud ginge es natürlich noch einfacher

03.06.2014, 14:51 Uhr - Editiert von Blacktronix, alte Version: hier

habe die KeePassDB bei mir auf einem Server liegen... via VPN kann ich dann
vom Handy aus die DB auch öffnen ... 30min Zeit fürs einrichten

Das ist nicht schlecht.

edit: über OneDrive oder ownCloud ginge es natürlich noch einfacher

Das wäre mir zu NSA-gefährlich

die ownCloud ist eine Art Dropbox/OneDrive die du selber auf einem Server / Webspace hosten kannst... also "NSA frei"

Kommt draufan wie die Verbindung zu "OwnCloud" hergestellt wird...ich zweifle an SSL

z'tot gfürcht is a gstorben

Gibt doch genug SW fürs Smartphone, ich verwende msecure, gibt es auf Android und iOS und hat einen Passwortgenerator eingebaut.

Zudem gibt es eine kostenlose SW dazu, mit der man ein Backup auf den PC machen kann.
#--
Hail Freedonia.

ich habe meine passwörter mit einer für mich vereinfachten form von leetspeak (http://de.wikipedia.org/wiki/Leetspeak ) "verschlüsselt". so wird aus einem einfachen satz, schnell ein unverständliches irgendwas.

..zusätzlich noch den jeweilige seitename eingebaut, damit nicht alle gleich sind.

aktuell: "Das Handwerk des Teufels"

Warum willst dir Passwörter merken?
Ich erstell meine Passwörter mit http://passcreator.com/ und speichere es in ein txt file.

weil man sich ab und zu auch mobil wo einloggen muss z.b. am hany, laptop usw. schon klar, dass ich da nen passwortsafe verwenden kann oder ein textfile aber ein system zu haben geht einfach rascher.
                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

Danke ownCloud habe ich auf das txt File eh von überall aus Zugriff.
Ganz blöd ist es nur bei Apps die kein "Paste" erlauben.

Um zu wissen, was ein sicheres Passwort ist, musst du wissen wie die bösen vorgehen.

Nach jedem Hack einer größeren Datenbank, erfahren die Hacker was die Menschen für Passwörter verwenden. Daraus leiten sie Regeln ab:

zb: 70% aller Passwörter sind zwischen 6 und 8-stellig; Wenn ein Großbuchstabe enthalten ist, dann in 80% der Fälle an erster Stelle; Zahlen und Sonderzeichen in 70% der Fälle am Ende; Wenn Zahlen, dann meist 2 oder 4-stellig, usw

Diese Regeln werden dann auf verschlüsselte Passwortdatenbanken automatisiert angewendet. Dadurch entdeckt man weitere Passwörter und kann weitere Regeln ableiten.

Du siehst also, sobald du ein System verwendest, kann man diesen Umstand gegen dich verwenden. Wenn 1-2 deiner Passwörter gecrackt werden, kann man das System daraus ableiten und hat bei deinen anderen Accounts leichtes Spiel.

Das alles geht natürlich automatisiert. Da läuft dann ein Programm über die Passwort Datenbank, das dir alle diese Wahrscheinlichkeiten anzeigt und daraus automatisch Regeln erstellt um weitere Passwörter zu knacken. Ich hab mal ein Video gesehen, in dem man durch das Anwenden dieser Regeln Passwörter in einem Zehntel der Zeit knacken konnte, im Vergleich zu einem Brute Force Angriff: https://www.youtube.com/watch?v=9bTUWwVoK5o

Ein System zu verwenden ist also nur minimal sicherer als überall das selbe Passwort zu verwenden. Die einzige Lösung sind Passwort Manager, die dir zufällige und etwa 20-stellige Passwörter generieren.

03.06.2014, 14:31 Uhr - Editiert von kaufinator1, alte Version: hier

Ich würd einen Satz nehmen, den du dir merken kannst und dann die Anfangsbuchstaben setzen:

Uwdn27mf.EgksP!

Ausgeschrieben: Und wenn du noch 27 mal fragst. Es gibt kein sicheres Passwort!

Ct Tipp:

3-teiliges Passwort: Site_Nummer_Persönliches Passwort

z.B.
Amazon_01_Schnuffi
GMX_01_Schnuffi

mfg lukas

ja nur wenn da einer mal eines deiner passwörter hat, gehts dann auch mir paypal_01_Schnuffi

man muss sich ja immer bewusst sein, dass ein seitenbetreiber von einem forum z.b. dein passwort kennt. da sitzen überall nur menschen im hintergrund. es sollte also schon nach einem system anders vergeben werden. ist auch kein absoluter schutz aber immerhin nicht am ersten blick erkennbar.
                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

Kollegen sage ich immer als Tipp sie sollen eine Adresse von ein Freund oder Onkel nehmen: Pfarrgasse27 ist ein gültiges PW, und nur einfach zu erraten wenn man der Person sehr gut kennt.

Selber nehme ich in der Arbeit irgendein Wort, nach ein Film die ich gerade gesehen habe, oder wann irgendein Gerät herumsteht, und verhunzle es mit Leetspeak. Opt1pl3x, The13Dwarves, M4sterH0bb1t, usw. Das müssen wir eh alle 90 tage wechseln. Auch meine Domainenadmin-PW behandle ich so.

Zuhause bin ich dazu übergegangen um für Webdienste willkürlich generierte PWs zu verwenden, und sie in RoboForm (http://www.roboform.com ) ab zu speichern. Somit habe ich sie auch am Handy, in der Arbeit, usw zur Verfügung.

Save the Earth... it's the only planet with chocolate.

If you're not on a government watchlist by now you should be ashamed of yourself

oder wann irgendein Gerät herumsteht, und verhunzle es mit
Leetspeak.

In dem Video, das ich verlinkt habe wird genau das beschrieben. Es ist absolut üblich, dass sich Leute die Gegenstände in ihrer Umgebung ansehen und daraus Passwörter bilden. Das erleichtert den Hackern die Arbeit wahnsinnig. Die können dann ihr Crack-Programm einfach mit Wörtern füttern, die einen Bezug zur Arbeit des Opfers haben.

Leetspeak ist ebenfalls keine Sicherheit. Die Passwortcrack-Programme gehen das standardmäßig für alle Wörter durch.

Ich fand es sehr erhellend, als ich mich damit auseinandergesetzt habe, wie Passwortcracker vorgehen, weil man dadurch merkt, wie sinnlos die üblichen Passwortbildungsmethoden sind.

Sobald du ein System hast - egal welches - kann das gegen dich verwendet werden. Und das ist heute schon Realität.

ja aber gerade online denke ich, dass bruteforce doch bestimmt überall unterbunden wird, oder? bin jetzt kein hacker aber ich kann mir nicht vorstellen, dass ich bei gmx ein passwort zu oft durchprobieren kann. also was nutzt es denen wortkombinationen durchzuprobieren wenn recht schnell schluß ist?
                      -----------------------------------------------------------------------
                                                  Der Klügere gibt nach!
               Eine traurige Wahrheit, sie begründet die Weltherrschaft der Dummheit.

Es wird üblicherweise die Passwortdatenbank geklaut (in der hoffentlich verschlüsselte Passwörter liegen) und dann werden direkt, ohne dazwischenliegendes Web-Frontend, alle Angriffe darauf gefahren.

Wenn du ein bekanntes System für dein Passwort verwendest, wird es geknackt und man kann sich bei dem Dienst, dessen Datenbank geklaut wurde, damit einloggen. Wenn man schlau
ist und es auf dich abgesehen hat, kann man auch andere deiner Passwörter aus deinem System herleiten.

Ich benutze Password Hasher ( https://addons.mozilla.org/de/firefox/addon/password-hasher/ )

Das ist nicht ganz so sicher wie eine PW-Datenbank mit echten Zufallspasswörtern. Theoretisch könnte das jemand bruteforcen und somit auf alle deine Passwörter kommen. Dafür hat man keine Datenbank die man verlieren kann.

Ansonsten auch das hier: http://xkcd.com/936/

Nur leider erlauben viele Seiten keine solche Passwörter. Aber das kann man dann ja auch wieder mit dem Hasher kombinieren wenn man mag.

Ich kombiniere:

Prefix = Produkt-/Dienst-/Server-/Hardwarename
Divider = beliebiges Trenn-/Sonderzeichen
Passwort = immer gleiche PW-Kombination aus Groß-/Kleinbuchstaben und Sonderzeichen/Zahlen
Postfix = zweistellige Zahlenkombination

Dazu Ersetzen von einigen Buchstaben durch ähnliche Sonderzeichen (z. B. a=@, e=3, z=2, i=!, etc.) und/oder Ersetzen von Zahlen durch die zugehörigen Sonderzeichen auf der Tastatur.

Bsp:
Router$Myp@ss99
R0ut3r?Myp@ss))

1password
lastpass

beispielsweise

verwende selbst aktuell lastpass: habe somit ein masterkennwort, und die anderen lasse ich mir generieren

04.06.2014, 10:30 Uhr - Editiert von Tintifax76, alte Version: hier

Ich nehme ein Masterpasswort und "verwurschtle" es mit einem nur mir bekannten Algorithmus mit der Domain bzw. mit dem Dienstnamen.

Beispiel:
Passwort für geizhals: !hRg4ltDmyg#s9A8+a
Es setzt sich zusammen aus dem Masterpasswort "!R4ty#98+a" und dem Algorithmus

! <- 1. Zeichen des Masterpasswortes
h <- 1. Zeichen von "geizhals" um 1 erhöht
R <- 2. Zeichen des Masterpasswortes
g <- 2. Zeichen von "geizhals" um 2 erhöht
4 <- 3. Zeichen des Masterpasswortes
l <- 3. Zeichen von "geizhals" um 3 erhöht
...

Wenn jemand Zugriff auf das Passwort !hRg4ltDmyg#s9A8+a erlangt, wird er es wahrscheinlich trotzdem schwer haben, die Passwörter für die anderen Dienste zu finden, da "geizhals" nicht mehr in Klartext enthalten ist.

Nachdem immer mehr Passwörter "reverse" geknackt werden, also eher Schwachstellen von Servern und dergleichen genutzt werden würde mich mir da eher keine Gedanken drüber machen.

Man hats ja gesehen bei der Hearhbleed Lücke, ebay, gmx etc. Wenn dir da jemand einfach die Datenbank aushebelt bringt dir ein gutes PW auch nix.

Wäre auch eher meine Vorgehensweise als Hacker. Ich würde mir da einfach einen "Topf" voll Passwörter klauen. Schneller kommst an große Daten kaum dran. Und genau das wird heute auch meistens praktiziert.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung