Passwörter sind total (un)sicher!

[fork]

Nachdem wir vor kurzem darüber diskutiert haben, ob Passwörter eigentlich überhaupt noch sicher sind, noch mal ein paar Fakten zum Thema:

• SSH-Honeypot Ich habe jetzt seit etwas über einen Monat einen SSH-Honeypot auf meinem Server laufen. Die Anzahl der probierten unterschiedlichen Root-Passwörter liegt bei sage und schreibe 360. Und alles kein Brute-Force sondern Pille-Palle-Wortlisten. Hier ist das Live-Log
• Lange Passwörter unknackbar Ein super simples Passwort wie ichgehmalbierholen (18 Zeichen, nur Kleinbuchstaben) braucht bei Annahme eines Core-i7 auf einem Core mit der höchsten Rategeschwindigkeit des schlechtesten Algorithmus(MySQL-Fast von http://calc.opensecurityresearch.com mit 43K Tests/Sekunde) im schlechtesten Fall bis zu 23 Billionen Jahre bis der Komplette Passwortraum geraten wurde. Gehe ich mal von einer 10-fachen Rechnerleistung aus mit je 16 Kernen pro Rechner und 1000 Rechnern, dann bleiben immer noch 140.000 Jahre für einen Brute-Force-Angriff übrig.
• SSH-Brute-Force SSH-Brute Force ist um Welten langsamer als lokales BruteForce, bei dem man Zugriff auf die Hashes hat. IMHO Niemals knackbar ohne eine zusätzliche Sicherheitslücke.

Ich würde sagen, Brute-Force ist total irrelevant, weil der Aufwand gigantisch hoch ist und jedes halbwegs gut verwuerfelte Wortspiel aus Kleinbuchstaben mit mehr als 14 Zeichen in keiner realistischen Zeit per Brute Force knackbar ist.

Was natürlich übel sein könnte, ist die Verwundbarkeit von einigen Hash-Algorithmen - wovon ich keine Ahnung habe - so dass durch schlaue Köpfe auf alten Systemen Passwörter einfach abgefischt werden könnten. Weiss da jemand etwas genaueres dazu zu sagen?

Was auch noch übel ist, sind irgendwelche Passwörter die in irgendwelchen Configdateien im Klartext rumliegen und Standardpasswörter, die weit verbreitet im Einsatz sind.

Auch übel wenn irgendwelche Default-Passwörter auf unsicheren Geräten eingesetzt werden. Im vergangenen Jahr gab es da z. B. mal wieder eine Sicherheitslücke, mit der man sich vom IPMI(Server-Management) das Passwort per Browser im Klartext anzeigen lassen konnte, wenn man sich nur auf den richtigen Port (weiss gerade nicht mehr welcher das war irgendwas >50000) von dem Gerät verbindet. Einen APC Stromverteiler mit LAN-Schnittstelle habe ich hier noch rumliegen, der hat ne Backdoor drin, über die sich jeder das Passwort selber neu setzen kann, btw. das bestehende per Memory-Dump anzeigen.

Eine Ursache von sicherheitstechnischen Katastrophen entstehen meiner Ansicht nach durch Verkettung von mehreren Sicherheitsschwachstellen, die alle jeweils eine einzelne Reduktion der Sicherheit zu Folge haben und in Gänze dann die Zugriffshürde auf einen Zaun von 20 cm Höhe zusammenschrumpfen lassen. Deswegen finde ich einen gewissen Sicherheitspuffer auch wünschenswert. Wenn dass dann im Hinblick auf BruteForce die 1000 Jahre sind um ein Passwort zu knacken, die durch die ganzen dummen Zufälle dann auf 50 Jahre zusammenschrumpfen, dann ist man froh so viel Puffer gehabt zu haben.

[nopes]

Ich schätze, dass Angriffe inzwischen deutlich "komplexer"** sind, so Keulen wie ein Bruteforce Angriff sind nicht mehr zeitgemäß*. Ich würde außerdem sagen, dass der Tenor damals war, "Passwörter" == "dumm" - vermutlich irgendwelche "Key-Files" == "super töfte"

*Ich könnte mir gut vorstellen, dass das durch die "IOT-Flut" noch mal was anderes wird, denn da hat man relativ viele Adressen zur Verfügung - entdecke die Möglichkeiten Es bleibt aber zu plump, wenn ich da an so Meldungen wie die hier denke - entdecke die Möglichkeiten 2.0

Ansonsten gilt wohl, weg von den "Defaults" und sich auf dem laufenden halten.

[edit]**da geht es inzwischen, von zu spät bis da ist irgendwie noch Grau, so oder so, die "Waffen" sind vorhanden, eine effektive Verteidigung ist schwierig bis unmöglich

[edit2]denn sein wir mal ehrlich, viele sensible Daten (Bank, Krankenkasse & Co lässt grüßen) unterliegen ja nicht mehr unserer Kontrolle...

[BetterWorld]

Das größte Sicherheitsloch klafft schon in der Annahme, dass ein Bruteforce auf ein "halbwegs gutes Passwort" vernachlässigbar sei.
Ein solcher Angriff kann auch schon beim ersten Versuche ein Volltreffer ein.
Solche Aussagen reden vom statistischen Mittel bis wann ein Angriff halbwegs Erfolg haben wird.
Über die Realität ist damit genau nichts gesagt.
Kombiniert man diese Methode mit ein wenig sozialem Geschnüffel, so hat man schon ziemlich gute Karten.

Womit auch im Klartext rumliegende Passwörter egal sind.
Wer drin ist, ist drin.

Passwörter sind Spasswörter.
Sonst nichts.

Die Betrachtung eines Hashalgos alleine ist auch nicht sonderlich sinnvoll.
Moderne Kryptoalgos kombinieren diverse Verfahren.
Bei einem SSH- Server kannst du zum Beispiel angeben, welche Verschlüsselungskombinationen zulässig sind.
Dann könnte der Client wählen, welche er verwenden will.
Das wird gemacht, um möglichst vielen Clients eine Verbindungsmöglichkeit zu geben.
Je mehr davon zulässig, desto höher das Risiko.

Ich schreibe absichtlich Verschlüsselungskombinationen, weil es genau das ist.
Oft wird beim Verbindungsaufbau eine Blockchiffre zu Verschlüsselung verwendet. Davon werden dann Hashes abgeleitet, die für die tatsächliche Streamchiffre verwendet werden. Die kann sich nun wiederrum von Paket zu Paket ändern, oder auch nicht. Sie kann "rückrechenbar" sein, oder halt nicht. Ersteres ist gang und gäbe, zweiteres nennt sich PFS (PerfectForwardSecrecy; aus einem später geknackten Paket lässt sich kein Schlüssel für frühere Pakete konstruieren). Und PFS hält erst langsam Einzug.

Es kann sogar sein (und einige Server machen das so; viele Mailserver z.B.), dass der längst geknackte Hashalgorithmus MD5 bei der Negotiation der Verschlüsselungsverbindung eingesetzt wird. Das ist deshalb sicher, weil die paar Millisekunden, die der frisch erzeugte Hash gültig ist, nicht geknackt werden kann.

Will man zu diesem Thema fundiert alle Möglichkeiten auch nur kurz anreißen, hätte man hier eine Hackersite, die künftig als Referenz gelten könnte.
Da ist das Thema einfach zu komplex und es gibt viel zu viele Kombinationen solcher Chiffren und Methoden des "Verschlüsselungsaufbaus".

Und es gibt noch viel schlimmere Lücken, die jeder PC hat, wenn du anfängst von UPSs zu sprechen.
Guck mal nach SMI. Das hat jedes Serverboard.
Ne Konsole dran, und du bist Cheffe.

[florian0285]

Ich finde Passwörter als Spasswörter zu bezeichnen sendet die falsche Botschaft es ist die erste und oft auch einzige Hürde. Egal wie die persönliche Einschätzung der Sicherheit ist sollte man hier die best mögliche Variante wählen. Immerhin gibt es keine allumfassende kompatible Lösungsalternative zum Passwort.

@fork du müsstest auch berücksichtigen, dass die Brute-Force-Kiste Eingrenzungen unterliegen kann und nicht die komplette Pallette an Kombinationen durchnudelt. Auf der anderen Seite kann man auch deine Auswertung ranziehen und feststellen, dass kein Pw über 12 Zeichen probiert wurde und dadurch Passwörter ab 13 Zeichen als vermeintlich sicher einstufen. Das ganze ist immer ein Kompromis zwischen Risikoeinschätzung, Sicherheitsempfindung und "Usability". Unknackbar ist ein Begriff, den ich nicht verwenden würde. "Es sollte nichts passieren" triffts eher.

Brute-Force ist auch eher ein Beiläufer, um ggf den Glückstreffer nicht zu verpassen. Also versuchen kann mans.
Wenn du dagegen deinen Hash in Rainbowtables wiederfindest brauchst du für deine 12 Stellen u.U. auch nur wenige Minuten.

Die Verwundbarkeit der Hashalgos kann man als Admin hingegen "vernachlässigen".
Never implement crypto by yourself. Also nutzt du das, was die Software mit bringt. Ist ein Algo unsicher macht das schnell die Runde und du musst wenn möglich nur ne Alternative wählen, auf Updates warten oder das Ding vom Netz nehmen. Also du reagierst nur.

Standardpasswörter sind ein großes Problem, vorallem wenn man sie nicht ändern kann, wie bei den tollen China Cams. Standardpasswörtern gehen oft mit Testinstallationen einher. Mal schnell dieses neue CMS in die VM geknallt admin:admin damit alle Admins leicht drauf kommen und dann sollen sich als Test die User und auch mal die Admins da registrieren... mit dem regulären Passwort natürlich, weil man will nicht noch eins im Kopf haben. Das ist aber eher ein Konfigurationsproblem und kein Passwortproblem.

Technische hürden zu schaffen find ich schon richtig, man muss da nur zwangsweise den User einbinden. Bleibt man allein beim Passwort hat man bei gewissen Regeln dann "Martilda0216+" dann "...0316+" usw. und hat dann durch SE noch unsichere Passwörter als gewollt.

Die schwer zu beantwortende Frage. Wieviel benutzen überall das gleiche Passwort? Dann noch privat und beruflich das gleiche?

Rumliegende Klartextpasswörter sind immer schlecht. Die füttern die Wordlist und wer drin ist is drin... auf einem System... der Weg zu anderen ist ggf. geebnet..

[fork]

du müsstest auch berücksichtigen, dass die Brute-Force-Kiste Eingrenzungen unterliegen kann und nicht die komplette Pallette an Kombinationen durchnudelt.

Das meine ich, wenn ich von Sicherheitspuffer spreche. Die oben erwähnten Zeiträume bezeichnen ja auch die maximalen Zeit, die es braucht um den kompletten Passwortraum durchzutesten. Sicherheitshalber würde ich da auf 1% runtergehen und mich dabei wohlfühlen. Und natürlich ist das immer ein Kompromiss. Wie hoch man das jeweilige Sicherheitslevel festlegt, kommt natürlich auch immer auf die spezielle Situation an.

Brute-Force ist auch eher ein Beiläufer, um ggf den Glückstreffer nicht zu verpassen. Also versuchen kann mans.

Ich denke BruteForce ergibt dann einen Sinn, wenn man viel Rechenkapazität einsetzt, mit hoher Geschwindigkeit ausprobieren kann und die Hashes lokal hat.

Wenn du dagegen deinen Hash in Rainbowtables wiederfindest brauchst du für deine 12 Stellen u.U. auch nur wenige Minuten.

Ja, bei einer sehr grossen Menge an Adressen, hast Du da keine Chance mehr.

Rumliegende Klartextpasswörter sind immer schlecht.

Abgesehen davon, dass Klartextpasswörter nicht für mehrere System bentutzt werden sollten, wie vermeidet man sie?

Ich habe Anwendungen, die wollen auf eine DB zugreifen, also brauch ich mal Benutzername Passwort. Und das gleiche, was auf die wiederverwendung von Passwörtern zutrifft, gilt auch für Universal-Keyfiles. Sobald die geklaut wurden ist Polen offen. Wie kann man so etwas besser/sicherer gestalten?

Guck mal nach SMI. Das hat jedes Serverboard. Ne Konsole dran, und du bist Cheffe.

Also mein Schwerpunkt sind jetzt schon eher die Sicherheitsthematik, die ohne physischen Zugriff zum Gerät ausnutzbar sind. An der Sache mit dem Stromverteiler war mir wichtig zu sagen, dass Geräte in dieser Klasse "Scheunentor" so löchrig sind, das man Passwörter im Klartext auslesen kann und damit - bei Mehrfachverwendung - Zugriff zu weiteren Systemen erlangen kann; Ganz im Gegensatz zu dem fast schon erwarteten Problem, dass solche Geräte bei Erreichbarkeit via Internet dann direkt mal gekapert werden und jemand seinen Spass damit hat, stundenlang ON/OFF-Spielchen zu spielen.

[BetterWorld]

Von Rainbow- Tabellen zu reden ist schon wieder ein Sicherheitsloch in sich selbst.
Das ist schon seit Jahren kalter Kaffe. Die nutzen nur, wenn die Hashes nicht gesaltet sind.
Das macht mittlerweile sogar der billigste Standardsetup.

Weil das nun von den aktuellen Bedrohungen nur sinnlos ablenkt, ist es selbst ein Loch.

Ich bleibe dabei: Passwörter sind Spasswörter.

Man kann sehr wohl moderne Cryptographie mit PFS einsetzen.
BitMessage tut das einfach auf p2p Basis.
Nichts und niemand hindert einen das für alle anderen Zugänge umzusetzen.

Selbst bei einem Webserver kann ich einen solche (derzeit) sichere Authentifizierung einsetzen.
Ich muss nur den Besuchern zumuten, das auch zu akzeptieren.
Und es halt -leider- heute selbst implementieren.

[nopes]

...
Wie kann man so etwas besser/sicherer gestalten?
...

Den aktuell besten Stand verwenden - vernünftige Anwendungen bieten entsprechende Optionen; Beispiel: https://www.postgresql.org/docs/9.0/...h-methods.html
Ansonsten sieht es für mich stark nach Richtung "Key-File" aus, das dann kombiniert mit irgendwelchen "Forwardings/Bindings" - es macht halt Sinn, wenn man vorhandenes verwendet, aktuell halt openssl

[florian0285]

Ja dein Puffergedanke ist durchaus sinnvoll, wenn man sich nicht darauf ausruht.

Klartextpasswörter kannst du nie gänzlich vermeiden. Es gibt immer irgendwo einen User/Admin mit der Passwort.xls. Das ist schon fast wie das Post-It unter der Tastatur. Bei Software bist du auf die Entwickler angewiesen. Wenn die das nicht implementieren hast du auch nur geringe Chancen. Selbst implementieren ist bei Open Source ne Mögkichkeit, setzt aber voraus dich damit auszukennen. Und dann bist du die inkompatible Insellösung, die ggf bei Updates rumfrickeln muss?

Es wäre dann auch unschön zu sehen, wenn die Eigenimplementierung mit einer anderen Eigenimplementierung gekoppelt werden muss. Wegen Inkompatibilität eine Schnittstelle geschaffen werden muss, die die Verschlüsselung aufhebt/umwandelt und dadurch neue Angriffsvektoren geschaffen werden.

@BW warum ist denn das Reden darüber ein Sicherheitsloch. Ok meine Erfahrung betrachtest du nicht. Aber selbst Altlasten in Unternehmen haben nicht gesalzene Hashes. Der LM-Hash z. B. ist nicht ausgestorben. Es gibt noch Systeme von Win98 bis Win7 und die tolle Abwärtskompatibilität. Je nach Statistik dümpelt XP mit einer Verbreitung von 10% - 20% rum. Südamerika war doch der Win98 Kontinent? Außerdem sind derzeitige Erkenntnisse keine Garantie für richtig implementierte Software. Vorallem bei Eigenentwicklungen machen frisch geformte Entwickler, die selben Fehler aus der Vergangenheit. Und vorallem warum soll man sich bei Spasswörtern noch die Mühe machen mit Salz rumzubasteln? Rainbowtables sind kein alter Hut. Es gibt lediglich nur Gegenmaßnahmen, die nicht zwangsweise genutzt werden.

Wieso lenkt das ab? Passwörter sind gerade das Thema!

"Ich muss nur dem Benutzer zumuten" Zumutung trifft meist auf Ablehnung und gefärdet das Vorhaben. Solange das im Web Shop von Maria`s Honigwelt nicht verfügbar ist und Maria das durch "Haken" "klick" implementieren kann wird das keine Verbreitung finden. Der User will einfach und er nutzt auch einfach. Wenns ihm zu kompliziert wird macht er dicht. Was für uns leicht aussieht ist für manche schon eine Tagesaufgabe. Das beginnt schon mal beim Einschalten des Rechners.

Irgendein Token rumschleppen ist schon zu viel Aufwand und Inkompatibel. Wenn da nicht mal ein RFID Implantat kommt bleibts wohl beim Passwort.

[Opa2]

Ich merke, ihr wisst eine ganze Menge über Passwörter und vermutlich auch über einiges mehr Bescheid. Bei den Ausführungen der Überlegungen sollte aber immer differenziert werden, ob man über die private Nutzung eines PC spricht, damit von einer privaten Administration, oder über die PC-Nutzung in einer Firma, mit eingekauften Administratoren. Im letzten Fall muss man sich als User nach den Vorgaben des Administrators richten, der auch auf die Passwortwahl der User Einfluss nehmen sollte oder die Passwörter vorgibt. Diesbezügliche Hinweise verpuffen somit in ihrer Wichtigkeit, weil der User darauf keinen Einfluss hat. Darum sollten solche Hinweise, die eher an einen Firmen-Admin gerichtet sind, als solche gekennzeichnet sein, um die privaten User nicht abzuschrecken.
Für die private Nutzung der PCs spielt dann immer noch das eigene Verständnis des Users eine Rolle. Wie wichtig schätzt er die Daten ein, die sich auf seinem PC oder Telefon befinden? Dem privaten Nutzer bleibt eigentlich nur die kostengünstige Möglichkeit der Sicherung seines Computers mit einem Passwort. Tolle Begriffe oder Schlagwörter über die Geschichte der Passwörter sind da keine Hilfe. Beispiele, die aufzeigen, was es für gefährdete Daten im privaten Bereich gibt, könnten die User veranlassen sich doch kniffligere und doch leicht zu merkende Passwörter zu merken, oder ihr System besser zu schützen. Dazu gehört ebenfalls eine Anleitung, für so eine Passwortwahl. Man sollte ebenfalls darauf hinweisen, bevor man von einem sicheren Passwort spricht, sollten die Bedingungen auf dem PC oder Handy so eingerichtet werden, dass man sich mit so einem Passwort auch wirklich schützen kann.
Unter Windows 7 und früher konnte man das noch selbst beeinflussen. Mit Windows 10 übergibt man all diese Möglichkeiten an Microsoft und ist denen dann mit dem Microsoft-Konto ausgeliefert. Die verwalten dann den privaten Zugriff auf den Computer und die Email-Adresse mit nur einem Passwort, wie es sich der amerikanische Geheimdienst nur wünschen kann. In wie weit andere Firmen über diesen Weg an die privaten Daten und das Nutzerverhalten heran kommen, steht in dem umfangreichen Kleingedruckten, dass alle einfach nur abhaken. Damit wird deutlich, vor wen man sich denn eigentlich mit einem Passwort schützen will, wenn man sich diese Frage stellt.
Vor einigen Jahren hatte ich einmal mit einem sich selbst sehr klug darstellenden Angestellten unterhalten, der vorgab, sich mit der Administration von Computer auszukennen. Der bewegte sich nur mit einem Administrator-Konto im Internet. Der wunderte sich, dass ich auf meinem Computer ständig angegriffen wurde, den ich damals versuchte sehr gut abgesichert zu betreiben. Er konnte keine Angriffe bemerken, weil er den Angreifern keine Widerstände in den Weg legte, mit seinem Verhalten. Darauf sollte eigentlich immer wieder hingewiesen werden. Man sollte sich dessen bewusst sein, vor wen man sich eigentlich schützen will und was das für einen jeweiligen Aufwand entspricht. Meine Angreifer kamen damals aus einer Region, die ich falsch einschätzte, denen ich aber ein gutes halbes Jahr wiederstehen konnte. Sie kamen in Win-XP über eine „Helfer-Hintertür“, die ich soweit verschließen konnte, dass sie nur noch leserechte hatten. Das hat mich eine interne und eine externe Festplatte gekostet. Jetzt darf ich keine Boot-CD mehr betreiben, weil sich dann der Monitor nicht zuschaltet, seit 2012. Den eigentlichen Hintergrund kannte ich damals nicht, der ist mir erst ab 2014 Stück für Stück bewusst geworden und ist hier nicht das Thema. Ich will damit nur sagen, man muss wissen, vor wen man sich schützen will. Somit kommt Win-10 für mich nicht in Frage. Die vorinstallierte Version habe ich auf dem neuen PC gleich nach der Anmeldung, nachdem mir klar war, was die wollen, komplett, mitsamt der angegebenen Email-Adresse, gelöscht. Vor einiger Zeit hatte ich eine PC-Zeitschrift darauf aufmerksam gemacht, dass die Bundeskanzlerin mit ihrer nachlässigen Stellungnahme dem amerikanischen Geheimdienst eine ungeahnte Möglichkeit der Wirtschaftsspionage ermöglicht. Daraufhin hatte der Computer-Chaos-Club die Bundeskanzlerin angezeigt. Ich bin der Meinung, wer Windows 10 benutzt öffnet dem amerikanischen Geheimdienst alle Möglichkeiten.
Das sichere Linux (ich rede von Ubuntu) hat nur ein Problem. Es muss in relativ kurzer Zeit, jedenfalls viel schneller als Windows-XP oder Windows-7, wenigstens alle zwei Jahre immer wieder neu installiert werden, um sicher zu laufen. Welche Firma will sich darauf einlassen. Als ich mich umhörte, bekam ich die Empfehlung, nicht updaten, sondern neu installieren, dann laufen alle Anwendungen darauf problemlos. So etwas kann sich keine kleine und keine mittlere Firma mit mehreren Computerarbeitsplätzen leisten.
Bei Windows habe ich das bisher so gehandhabt, nach jedem Update, oder immer wenn eine Software nach dem Admin-Passwort gefragt hat, habe ich es nach der Benutzung wieder geändert. Das wurde mir für die Linux-Benutzung abgeraten, weil es unter Linux (Ubuntu) eine Begrenzung für die Anzahl von Passwörtern geben würde. Bisher blieb mir keine andere Wahl, als unter Windows zu arbeiten. Wenn Windows 7 demnächst ausläuft muss ich, und andere ebenfalls, eine saubere Lösung gefunden haben. Das Thema Passwort erstreckt sich somit sehr weit und berücksichtigt sehr viel mehr, wenn man weiß, vor wen man sich schützen will. Das sollte als erstes geklärt werden. Dann der Aufwand für die Einteilung des Systems und dann ergibt sich automatisch die Einsicht für den Aufwand des Passworts. Das sollte alles im Zusammenhang gesehen werden. Sonst kommt der Eindruck, was wollen die immer nur mit dem Passwort.

[marce]

Ohne auf alles einzugehen, aber

IDas sichere Linux (ich rede von Ubuntu) hat nur ein Problem. Es muss in relativ kurzer Zeit, jedenfalls viel schneller als Windows-XP oder Windows-7, wenigstens alle zwei Jahre immer wieder neu installiert werden, um sicher zu laufen. Welche Firma will sich darauf einlassen. Als ich mich umhörte, bekam ich die Empfehlung, nicht updaten, sondern neu installieren, dann laufen alle Anwendungen darauf problemlos. So etwas kann sich keine kleine und keine mittlere Firma mit mehreren Computerarbeitsplätzen leisten.

Diese Aussgagen sind falsch.

Das wurde mir für die Linux-Benutzung abgeraten, weil es unter Linux (Ubuntu) eine Begrenzung für die Anzahl von Passwörtern geben würde.

Diese Aussage ist falsch.

[florian0285]

Gerade zufällig bei Heise aufgeplopt.

http://heise.de/newsticker/meldung/h...n-3579567.html

Top Ten der Passwörter auf .de-Domains

1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. fi*ken

----

Dann waren die Passwörter auch noch in einem Format abgespeichert, aus dem sie sich einfach rekonstruieren – vulgo "knacken" ließen.

---

Es geht weiter damit, dass eigentlich fast alle Webseiten unbegrenzt viele Passworteingaben erlauben.

---

Nur sehr wenig Sites bestrafen Fehleingaben mit immer längeren Wartezeiten, um Brute-Force-Angriffe zu verhindern.

[florian0285]

Dazu gehört ebenfalls eine Anleitung, für so eine Passwortwahl.

Gibts doch wie Sand am Meer:

http://www.linuxforen.de/forums/show...=1#post1840717

Auch in der billigsten Computerzeitschrift gibts Tips zu Passwörtern.

Das Thema ist für private oder berufliche Anwendung eigentlich gleich, wenn man sich rein auf das Passwort konzentriert. Der Nutzer wählt sein Passwort immer selbst und das so komplex wie möglich und nur so einfach wie nötig. Kein Admin gibt Passwörter vor. Höchstens Initialpasswörter. Die Komplexität kann durch Richtlinien vorgegeben werden.

Jeder Mensch benötigt unterschiedliche Eselsbrücken um sich Kombinationen zu merken. Daher gibts keine Pauschale Formel dafür.

[ThorstenHirsch]

...vor wem man sich schützen will. Das sollte als erstes geklärt werden.

Warum eigentlich? Ist es nicht egal, ob Dich die Russen, die Amis oder die Chinesen aushorchen?

[BetterWorld]

Genau!

Versteht doch eh keiner.
Russen, NSA und Chinesen kein fränkisch.
Und wir nix von Verschlüsselung.



scnr.

[Opa2]

Ihr denkt nicht zu ende.

Jede Art von Sicherungsmaßnahme wird irgendwo auf dem Computer oder im Netz zum Abgleichen gespeichert sein. Da macht es keinen Sinn über Passwörter zu streiten. Die Form dieser mehr oder weniger gut versteckten Ablage trifft für alle Sicherungsmaßnahmen, Fingerprint, Netzhautscan, Gesichtscan, Passwort und sonstiges zu.
Das Passwort an sich ist die preisgünstigste Version, was nur eine Tastatureingabemöglichkeit benötigt. Das Passwort kann man entsprechend der Sicherungsabsicht wählen. Wenn ich allein im Büro, ohne Mitarbeiter bin, genügt mir ein sehr sicheres Passwort für das Admin-Konto und für mein eingeschränktes Benutzerkonto benötige ich dann eigentlich kein Passwort, denke ich. Dafür habe ich für alle anderen Konten, wie das für meine Emails je ein eigenes Passwort, welche nie in einem Passwortcontainer abgelegt werden dürfen, was Windos-10 mit dem Microsoft-Konto von sich aus tut. Darauf solltet ihr hinweisen.

In wie weit sich jeder User vor seinen Arbeitskollegen mit einem Passwort schützen muss, dass muss jeder selbst wissen. Ich hatte im Internet von „Arbeitskollegen“ und „Freunden“ gehört, die haben anderen die Buchstaben auf der Tastatur ausgewechselt/verschoben. Mit solchen Typen möchte ich nie zusammen arbeiten. Dort wo ich arbeite, schützen die Passwörter nur vor Angriffen aus dem Internet. Somit kann ich Arbeiten am Computer des Lehrlings korrigieren und er kann bei Bedarf Arbeiten an meinem Computer beenden, wenn es Not tut. Das aber nur, indem man sich mit dem Passwort des anderen, an dessen Computer im eingeschränkten Arbeits-Konto einloggt.
Damit sind wir im Internet. Ich glaube nicht, dass die Russen und Chinesen ein Interesse haben, an die Informationen von jedem ausgewählten privaten Computer zu gelangen. Das wollen nur amerikanische Geheimdienste, weil sie Anspruch auf eine internationale Polizeigewalt stellen. Das ist die politisch orientierte Gruppe im Internet.

Dann gibt es die allgemeinen Angreifer, die aus jedem Land heraus agieren können, ohne unbedingt politische Ziele zu verfolgen. Die wollen im schlimmsten Fall den angegriffenen Computer für sich nutzen. Deren mögliche Angriffe sollten eigentlich der Grund sein, den eigenen Computer zu schützen und dafür sollte ein gutes Admin-Passwort genügen, welches man nur selten beansprucht. Mir ist nur nicht klar, welchen Sinn das Passwort für ein eingeschränktes Konto macht. Kann das jemand erklären??

Der letzte Punkt hat aber nicht unbedingt etwas mit Geheimdienste zu tun. Die kamen damals in XP über eine Hintertür mit Admin-Rechten auf meine Computer, ohne sich um meine Passwörter zu kümmern. Damit habe ich mich abgefunden. Wenn ich die Zeit finde, werde ich das einmal in einem Buch zusammen fassen, um zu zeigen was es 2008 bis 2014 bereits für umfangreiche Überwachungsmöglichkeiten gab. Damit musste ich damals ganz allein klar kommen.

Opa