Mozilla visualisiert Passwörter
Password. Admin. Passwort123. 123456. NamederFreundin. Na, klingelt es? Jau, viele von uns sind faul. Die gleichen Passwörter. Immer und überall. Zum Glück gibt es bei Google so etwas wie die doppelte Anmeldesicherheit – aber ansonsten? Wir wechseln selten Passwörter. Wir verwenden zu häufig identische Passwörter. Und zumindest Firefox-Nutzer können sich mit dem aktuellen Projekt aus den Mozilla-Labs vor Augen führen, wie uralt die Passwörter sind.
Password Age Visualizer heisst der Spaß und was die Erweiterung macht, sollte der Screenshot ganz gut visualisieren. Bleibt die Frage: können Passwörter altersbedingt unsicherer sein? Oder ist es unsicherer, überall den gleichen Satz Passwörter zu nutzen?
Oh man 😀 ich wechsel meine Passwörter, indem ich mir nen neuen Account mache 😀
Im Gegensatz zur Meinung leider auch vieler Administratoren und Sicherheitsbevollmächtigten verliert ein gutes Passwort altersbedingt nicht einfach so an Sicherheit. Im Gegenteil ist das regelmäßige Wechseln von Passwörtern kontraproduktiv. In manchen Betrieben wird ja per Sicherheitsrichtlinie durchgesetzt, sein Passwort alle 1-3 Monate zu wechseln. Da gibt es Studien, dass die Leute dann besonders einfach zu merkende Passwörter nehmen, alte Passwörter leicht verändern oder sich ganz einfach die Passwörter doch entgegen der Sicherheitsbestimmungen doch aufschreiben.
Ganz klar sollte man bei unterschiedlichen Diensten verschiedene Passwörter verwenden. Vor allem sollte auf keinen Fall das Passwort des eigenen E-Mail-Accounts irgendwo anders verwendet werden. Verwendet man es nämlich bei Dienst X und wird dort die Kundendatenbank gehackt und alle Passwörter und E-Mail-Adressen der Nutzer ins Netz gestellt (wie ja letztes Jahr mehrfach geschehen), hat die ganze Welt potentiell Zugriff auf das eigene Postfach.
Würde ja voraussetzen, dass Hacker sich 200+ Tage an meinem Passwort probieren, was ich eher nicht glaube.
http://xkcd.com/936/
Da brauchts doch eine extra Software, um viele Passwörter regelmäßig zu wechseln – das ist doch ein Riesenaufwand.
Und wenn DIE Software mal spinnt, dann sind die Reaktionen wegen „Das Passwort von Windows 7…“ garnix dagegen…
Grad mal ausprobiert, also die Angaben sind bei mir definitiv falsch, warum? Keine Ahnung… Aber es sind Passwörter dabei, welche ich vor 2-3 Wochen erstellt habe und diese werden dort mit 300+ Tagen eingetragen…
Ich denke, wenn man selbst ein vernünftig langes Passwort wählt und es, der Seite entsprechend, mit einem Salt versieht, man sich keine großen Sorgen mehr machen braucht.
Ich finde auch die „Sie müssen Zahlen und Sonderzeichen benutzen“-Mentalität nicht gut. Bei 26 Buchstaben im Alphabet ergibt sich folgender Schlüssel:
Kleinbuchstaben: 26 hoch AnzahlBuchstaben
Klein- und Großbuchstaben: 52 hoch AnzahlBuchstaben
Sonderzeichen erhöhen hier die Basis, aber eine einzige Zeichenfolge erhöht den Exponenten, was wesentlich sicherer ist, als die Basis unnötig groß zu machen.
Beispiel Koffer mit 3 Rädchen, Zahlen 0 bis 5: 6^3 = 216
Beispiel Koffer mit 3 Rädchen, Zahlen 0 bis 9: 10^3 = 1000
Beispiel Koffer mit 4 Rädchen, Zahlen 0 bis 5: 6^4 = 1296
Also selbst, wenn ich 3 Ziffern hinzufüge, fahre ich mit einer Stelle mehr im Passwort, immernoch besser.
Jo wir haben auch so tolle PW-Richtlinien, alle 2 Monate PW ändern… die PW der Kollegen sind hauptsächlich BeliebigeStadt1 nächstes Mal BeliebigeStadt2 etc…
Bei uns im Lager klebt ein PostIt hinterm Monitor mit dem aktuellen PW weil mehrere dran müssen und weil sich das alle 2 Monate ändert -> PostIt m(
Ich hab die Richtlinie bei mir deaktiviert, weil ich mein PW eh nicht rausgebe mit den Admin-Rechten und mein PW recht komplex mit Sonderzeichen ist 😉
Also ich benutze überall qwertz… upsss….
Keepass und Generator > 8 Zeichen (ggf. mit -_ wenn belibt Sonderzeichen) und der Drops ist gelutscht. Da braucht man dann auch nicht alle furz lang die Passwörter ändern. Sind ja eh alle einzigartig.Wenig aufwand mit hoher Sicherheit. Das ganze in die Dropbox geworfen und man hat überall Zugriff. Man sollte dann allerdings das PW für Dropbox behalten oder sein Handy nicht verlieren. Naja Sicherheit forderte schon immer Komfort. Aber alles ist besser als „susi123“- oder Post-It am Monitor…
Ich kann das addon nicht benutzen, weil ich mein master kennwort für firefox vergessen habe. was eine ironie.
wahrscheinlich haben wir uns in wirklichkeit gerade einen passwortsniffer installiert. 😀
Aus meiner Sicht können Passwörter eigentlich nicht veralten. Eine gute Kombination aus Buchstaben, Zahlen und Schreibweise, warum sollte das veralten?
Sicher habe auch ich Passwörter schon ab und an abgeändert aber regelmäßig oder in kurzen Intervallen, sicher nicht.
Ich nutze auch keine Software dafür, sondern stricke die mir selber und mit dem merken habe ich auch noch keine Probleme. Das könnte höchstens passieren wenn ich die alle Monate tauschen würde.
Bsp. auch EC Karten Pin und dergleichen, die wechselt man ja auch nicht ständig.
@Haf
Sehe ich genauso. Statt alle naselang das PW zu wechseln, sollte man in Betrieben eher darauf bedacht sein, dass die User ein sicheres (min 10 Zeichen lang und wenns geht mit Sonderzeichen) Passwort benutzen und dieses weder notieren noch rausgeben; bzw wenn Sie dies tun, es zu wechseln haben .
Wie schon erwähnt führt das dauernde Gewechsel nur dazu, dass sich die User ihre Passwörter notieren (es ist ja nur für die Arbeit) oder irgendein pillefitz pw nehmen.
Wie schon von „Dustin Klein“ erwähnt ist die Länge und auch die Unbekanntheit der Länge massgeblich für die Sicherheit eines Passworts. Ausserdem spielt die Unbekanntheit des benutzten Alphabets eine grosse Rolle.
Ich erinnere mich in diesem Zusammenhang an den jüngst durch die Medien gegangenen Fall des „Maskenmanns“, derern Festplatte zu entschlüsseln für die Kripo ein unmögliches Vorhaben stellte.
Passwortlänge: unbekannt
Passwortalphabet: unbekannt
Es ist als von mindestens 5 Zeichen und einem WorstcaseAlphabet von
52+Zahlen+22(Sonderzeichen)=84
auszugehen, was im ersten Anlauf dann
84^5 = 4.182.119.424
Bei (in den Medien genannt) 130.000 Versuchen pro Sekunde wären das insgesamt etwa 9 Stunden für den ersten Durchlauf
Wir rechnen weiter (ich liebe sowas 😉
84^6 = 351298031616 = 4065949,44 Tage => 31 Tage
84^7 =2,950903466×10¹³ => 7 Jahre
84^8 =2,478758911×10¹⁵ => 604 Jahre
Ab hier bin ich etwas Grosszügiger mit den Versuchen pro Sekunde: 10 Mio/s
84^9 =2,082157485×10¹⁷ => 660 Jahre
84^10 = 1,749012288×10¹⁹ => 55.000 Jahre
84^11 => 4.658.708
usw.
Wie also schon bekannt potentiert sich mit der Länge des PWs auch die Sicherheit. Ein doppelt so langes PW ist also weit mehr als doppelt so gut, sofern es natürlich auch geheim ist 😉
PS.
Ein 11 stelliges PW wäre also nach etwa 2 Mio Jahren veraltet; sofern es geheim bleibt . Mir reicht das
Also meine Passwörter sind sehr komplex meist 20 bis 300 Zeichen mit Sonderzeichen usw. aber nur bei denn Sensiblen Accounts….
Bei unwichtigen dingen nehme ich welche die etwas einfacher zu merken sind!!!
Ich nutze pwdhash für Webseiten: http://demaya.de/wp/2010/04/mit-pwdhash-onetimekennworter-pro-webseite-generieren/
Macht Sinn, man muss sich nur ein PW merken, die Erweiterung für die Browser verhasht das mit der URL und die Webseite bekommt nur ein für sich gültiges PW. Das kapern von PWs über Leaks von Webseiten ist daher etwas unwahrscheinlicher.
Dennoch machts Sinn das PW ab und zu zu ändern 😉
@Christoph: Danke So sehe ich es auch.
Ich nutze KeePass. Dort lagern alle Passwörter (15-20 Zeichen), wenn es mal ne Webseite gibt die max 8 Zwichen erlaubt ist das mist, aber dann geht das nicht anders.
Natürlich ist dann noch die Schwachstelle der Masterkey vom Tool. Der ist zwar auch lang, aber eben „leichter“ zu merken. Schließlich muss ich ich es eben auch merken (steht sonst nirgends).
Daher sage ich ebenfalls. Es nervt einfach im Büro alle paar Monate nen Passwort zu ändern, denn dort sehe ich es ebenfalls so: Es muss ein langes aber sicheres PW sein, was ich mir merke. Bedeutet: Kaum Sonderzeichen und so. Denn nach 2 Monaten brauche ich nen neues..
Um das ganze noch bescheuerter zu machen, haben einige Firmen sogar eine PW höchstlänge (die berüchtigte 8); in einigen Fällen sogar die fixe Länge. Das zieht ein PW ad absurdum.
Ich hatte einer BEkannten mal, nachdem ich ein PW von ihr mitbekommen hab, gesagt, sie könne sich ganz leicht sichere Passwörter erstellen, indem Sie sich einen Satz ausdenkt und die Leerzeichen mit Sonderzeichen füllt.
Beispiel: „Der.Hund.bellt“ => 14 stelliges relativ sicheres Passwort.
Auch lassen sich so merkbare alternativen bilden
Anstatt „christoph78“ wäre es bspw der Satz
„Christoph.ist.1978.geboren“ <- das kann man eigentlich nicht erraten.
Wenn natürlich irgendwo eine Passworthöchstlängen- bzw eine FixLängenpolitik getrieben wird, sollte man eher da ansetzen, anstatt alle Nase lang die User zu zwingen Passwörter zu ändern.
PS.
Ein auch schönes BEispiel, das ich mal gesehen hab, war das der User alle paar Monate ein neues PW vorgegeben bekommen hat, Das war dann eines der Sorte „Wilde Zeichenfolge, erst merkbar nach 50 manuellen Eingaben“. Bei dem Hinweis „Merken oder notieren Sie sich ihr neues Passwort jetzt an einem sicheren Ort“ kam mir ein leichtes schmunzeln 😉