Mozilla visualisiert Passwörter

14. März 2012 Kategorie: Backup & Security, Firefox & Thunderbird, geschrieben von: caschy

Password. Admin. Passwort123. 123456. NamederFreundin. Na, klingelt es? Jau, viele von uns sind faul. Die gleichen Passwörter. Immer und überall. Zum Glück gibt es bei Google so etwas wie die doppelte Anmeldesicherheit – aber ansonsten? Wir wechseln selten Passwörter. Wir verwenden zu häufig identische Passwörter. Und zumindest Firefox-Nutzer können sich mit dem aktuellen Projekt aus den Mozilla-Labs vor Augen führen, wie uralt die Passwörter sind.

Password Age Visualizer heisst der Spaß und was die Erweiterung macht, sollte der Screenshot ganz gut visualisieren. Bleibt die Frage: können Passwörter altersbedingt unsicherer sein? Oder ist es unsicherer, überall den gleichen Satz Passwörter zu nutzen?

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 15417 Artikel geschrieben.


19 Kommentare

Stefan B 14. März 2012 um 21:28 Uhr

Oh man :D ich wechsel meine Passwörter, indem ich mir nen neuen Account mache :D

Haf 14. März 2012 um 21:42 Uhr

Im Gegensatz zur Meinung leider auch vieler Administratoren und Sicherheitsbevollmächtigten verliert ein gutes Passwort altersbedingt nicht einfach so an Sicherheit. Im Gegenteil ist das regelmäßige Wechseln von Passwörtern kontraproduktiv. In manchen Betrieben wird ja per Sicherheitsrichtlinie durchgesetzt, sein Passwort alle 1-3 Monate zu wechseln. Da gibt es Studien, dass die Leute dann besonders einfach zu merkende Passwörter nehmen, alte Passwörter leicht verändern oder sich ganz einfach die Passwörter doch entgegen der Sicherheitsbestimmungen doch aufschreiben.

Ganz klar sollte man bei unterschiedlichen Diensten verschiedene Passwörter verwenden. Vor allem sollte auf keinen Fall das Passwort des eigenen E-Mail-Accounts irgendwo anders verwendet werden. Verwendet man es nämlich bei Dienst X und wird dort die Kundendatenbank gehackt und alle Passwörter und E-Mail-Adressen der Nutzer ins Netz gestellt (wie ja letztes Jahr mehrfach geschehen), hat die ganze Welt potentiell Zugriff auf das eigene Postfach.

GhostWriter 14. März 2012 um 21:51 Uhr

Würde ja voraussetzen, dass Hacker sich 200+ Tage an meinem Passwort probieren, was ich eher nicht glaube.

http://xkcd.com/936/

JürgenHugo 14. März 2012 um 22:05 Uhr

Da brauchts doch eine extra Software, um viele Passwörter regelmäßig zu wechseln – das ist doch ein Riesenaufwand.

Und wenn DIE Software mal spinnt, dann sind die Reaktionen wegen “Das Passwort von Windows 7…” garnix dagegen… :mrgreen:

Daedaleus 14. März 2012 um 22:06 Uhr

Grad mal ausprobiert, also die Angaben sind bei mir definitiv falsch, warum? Keine Ahnung… Aber es sind Passwörter dabei, welche ich vor 2-3 Wochen erstellt habe und diese werden dort mit 300+ Tagen eingetragen…

Dustin Klein 14. März 2012 um 22:15 Uhr

Ich denke, wenn man selbst ein vernünftig langes Passwort wählt und es, der Seite entsprechend, mit einem Salt versieht, man sich keine großen Sorgen mehr machen braucht.

Ich finde auch die “Sie müssen Zahlen und Sonderzeichen benutzen”-Mentalität nicht gut. Bei 26 Buchstaben im Alphabet ergibt sich folgender Schlüssel:

Kleinbuchstaben: 26 hoch AnzahlBuchstaben
Klein- und Großbuchstaben: 52 hoch AnzahlBuchstaben

Sonderzeichen erhöhen hier die Basis, aber eine einzige Zeichenfolge erhöht den Exponenten, was wesentlich sicherer ist, als die Basis unnötig groß zu machen.

Beispiel Koffer mit 3 Rädchen, Zahlen 0 bis 5: 6^3 = 216
Beispiel Koffer mit 3 Rädchen, Zahlen 0 bis 9: 10^3 = 1000
Beispiel Koffer mit 4 Rädchen, Zahlen 0 bis 5: 6^4 = 1296

Also selbst, wenn ich 3 Ziffern hinzufüge, fahre ich mit einer Stelle mehr im Passwort, immernoch besser.

_schachmatt_ 14. März 2012 um 22:54 Uhr

Jo wir haben auch so tolle PW-Richtlinien, alle 2 Monate PW ändern… die PW der Kollegen sind hauptsächlich BeliebigeStadt1 nächstes Mal BeliebigeStadt2 etc…
Bei uns im Lager klebt ein PostIt hinterm Monitor mit dem aktuellen PW weil mehrere dran müssen und weil sich das alle 2 Monate ändert -> PostIt m(
Ich hab die Richtlinie bei mir deaktiviert, weil ich mein PW eh nicht rausgebe mit den Admin-Rechten und mein PW recht komplex mit Sonderzeichen ist ;-)

b1en 14. März 2012 um 23:41 Uhr

Also ich benutze überall qwertz… upsss….

Daniel 15. März 2012 um 00:27 Uhr

Keepass und Generator > 8 Zeichen (ggf. mit -_ wenn belibt Sonderzeichen) und der Drops ist gelutscht. Da braucht man dann auch nicht alle furz lang die Passwörter ändern. Sind ja eh alle einzigartig.Wenig aufwand mit hoher Sicherheit. Das ganze in die Dropbox geworfen und man hat überall Zugriff. Man sollte dann allerdings das PW für Dropbox behalten oder sein Handy nicht verlieren. Naja Sicherheit forderte schon immer Komfort. Aber alles ist besser als “susi123″- oder Post-It am Monitor…

Negativity 15. März 2012 um 02:56 Uhr

Ich kann das addon nicht benutzen, weil ich mein master kennwort für firefox vergessen habe. was eine ironie.

wahrscheinlich haben wir uns in wirklichkeit gerade einen passwortsniffer installiert. :D

Josef Türk jun. 15. März 2012 um 08:13 Uhr

Aus meiner Sicht können Passwörter eigentlich nicht veralten. Eine gute Kombination aus Buchstaben, Zahlen und Schreibweise, warum sollte das veralten?
Sicher habe auch ich Passwörter schon ab und an abgeändert aber regelmäßig oder in kurzen Intervallen, sicher nicht.
Ich nutze auch keine Software dafür, sondern stricke die mir selber und mit dem merken habe ich auch noch keine Probleme. Das könnte höchstens passieren wenn ich die alle Monate tauschen würde.

Bsp. auch EC Karten Pin und dergleichen, die wechselt man ja auch nicht ständig.

Christoph 15. März 2012 um 08:23 Uhr

@Haf

Sehe ich genauso. Statt alle naselang das PW zu wechseln, sollte man in Betrieben eher darauf bedacht sein, dass die User ein sicheres (min 10 Zeichen lang und wenns geht mit Sonderzeichen) Passwort benutzen und dieses weder notieren noch rausgeben; bzw wenn Sie dies tun, es zu wechseln haben .

Wie schon erwähnt führt das dauernde Gewechsel nur dazu, dass sich die User ihre Passwörter notieren (es ist ja nur für die Arbeit) oder irgendein pillefitz pw nehmen.

Wie schon von “Dustin Klein” erwähnt ist die Länge und auch die Unbekanntheit der Länge massgeblich für die Sicherheit eines Passworts. Ausserdem spielt die Unbekanntheit des benutzten Alphabets eine grosse Rolle.

Ich erinnere mich in diesem Zusammenhang an den jüngst durch die Medien gegangenen Fall des “Maskenmanns”, derern Festplatte zu entschlüsseln für die Kripo ein unmögliches Vorhaben stellte.
Passwortlänge: unbekannt
Passwortalphabet: unbekannt
Es ist als von mindestens 5 Zeichen und einem WorstcaseAlphabet von
52+Zahlen+22(Sonderzeichen)=84
auszugehen, was im ersten Anlauf dann
84^5 = 4.182.119.424
Bei (in den Medien genannt) 130.000 Versuchen pro Sekunde wären das insgesamt etwa 9 Stunden für den ersten Durchlauf
Wir rechnen weiter (ich liebe sowas ;)
84^6 = 351298031616 = 4065949,44 Tage => 31 Tage
84^7 =2,950903466×10¹³ => 7 Jahre
84^8 =2,478758911×10¹⁵ => 604 Jahre
Ab hier bin ich etwas Grosszügiger mit den Versuchen pro Sekunde: 10 Mio/s
84^9 =2,082157485×10¹⁷ => 660 Jahre
84^10 = 1,749012288×10¹⁹ => 55.000 Jahre
84^11 => 4.658.708

usw.
Wie also schon bekannt potentiert sich mit der Länge des PWs auch die Sicherheit. Ein doppelt so langes PW ist also weit mehr als doppelt so gut, sofern es natürlich auch geheim ist ;)

PS.
Ein 11 stelliges PW wäre also nach etwa 2 Mio Jahren veraltet; sofern es geheim bleibt . Mir reicht das

Novie 15. März 2012 um 08:49 Uhr

Also meine Passwörter sind sehr komplex meist 20 bis 300 Zeichen mit Sonderzeichen usw. aber nur bei denn Sensiblen Accounts….

Bei unwichtigen dingen nehme ich welche die etwas einfacher zu merken sind!!!

demaya 15. März 2012 um 10:01 Uhr

Ich nutze pwdhash für Webseiten: http://demaya.de/wp/2010/04/mit-pwdhash-onetimekennworter-pro-webseite-generieren/

Macht Sinn, man muss sich nur ein PW merken, die Erweiterung für die Browser verhasht das mit der URL und die Webseite bekommt nur ein für sich gültiges PW. Das kapern von PWs über Leaks von Webseiten ist daher etwas unwahrscheinlicher.

Dennoch machts Sinn das PW ab und zu zu ändern ;-)

Sebastian 15. März 2012 um 11:17 Uhr

@Christoph: Danke So sehe ich es auch.
Ich nutze KeePass. Dort lagern alle Passwörter (15-20 Zeichen), wenn es mal ne Webseite gibt die max 8 Zwichen erlaubt ist das mist, aber dann geht das nicht anders.
Natürlich ist dann noch die Schwachstelle der Masterkey vom Tool. Der ist zwar auch lang, aber eben “leichter” zu merken. Schließlich muss ich ich es eben auch merken (steht sonst nirgends).
Daher sage ich ebenfalls. Es nervt einfach im Büro alle paar Monate nen Passwort zu ändern, denn dort sehe ich es ebenfalls so: Es muss ein langes aber sicheres PW sein, was ich mir merke. Bedeutet: Kaum Sonderzeichen und so. Denn nach 2 Monaten brauche ich nen neues..

Christoph 15. März 2012 um 12:41 Uhr

Um das ganze noch bescheuerter zu machen, haben einige Firmen sogar eine PW höchstlänge (die berüchtigte 8); in einigen Fällen sogar die fixe Länge. Das zieht ein PW ad absurdum.

Ich hatte einer BEkannten mal, nachdem ich ein PW von ihr mitbekommen hab, gesagt, sie könne sich ganz leicht sichere Passwörter erstellen, indem Sie sich einen Satz ausdenkt und die Leerzeichen mit Sonderzeichen füllt.
Beispiel: “Der.Hund.bellt” => 14 stelliges relativ sicheres Passwort.
Auch lassen sich so merkbare alternativen bilden
Anstatt “christoph78″ wäre es bspw der Satz
“Christoph.ist.1978.geboren” <- das kann man eigentlich nicht erraten.

Wenn natürlich irgendwo eine Passworthöchstlängen- bzw eine FixLängenpolitik getrieben wird, sollte man eher da ansetzen, anstatt alle Nase lang die User zu zwingen Passwörter zu ändern.

PS.
Ein auch schönes BEispiel, das ich mal gesehen hab, war das der User alle paar Monate ein neues PW vorgegeben bekommen hat, Das war dann eines der Sorte “Wilde Zeichenfolge, erst merkbar nach 50 manuellen Eingaben”. Bei dem Hinweis “Merken oder notieren Sie sich ihr neues Passwort jetzt an einem sicheren Ort” kam mir ein leichtes schmunzeln ;)


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.