hallo u guten Abend

viele sagen e i n sicheres PASSWORT ist notwendig lang - okay soweit so gut.
nun ich hab passworte die sind 30 Zeichen lang.

Die merk ich mir nicht - sondern lass mir durch den Browser helfen.

FRAGE - ist das dann jetzt sicherer - oder nicht.
Vertraut Ihr der Unterstützung durch den Browser denn!?

Oder verwendet Ihr Passwoerter die dann so kurz sind dass ihr die jedes mal tippen koennt - und niemand und nix sie kennt als ihr allllleine....!?

by the way: hab auch noch von den Systemen gehoert.

kpasswd - es ist ein opensource - tool und
dann gibt es da noch einen Online-Dienst

Freue mich von Euch zu hoeren.

VG

Es gibt keine Passwörter, nur Spasswörter.
Punkt.

Ich crossposte mal meine Antwort von gerade eben aus dem www.trojaner-board.de
Ich glaube, ich habe gerade eine ganz gute Methode gefunden, wie man relativ sichere und dabei relativ leicht merkbare Passwörter erstellen kann, wenn man keinen Passwortmanager benutzen möchte. Und diese Methode kann man sogar weitererzählen, ohne einem potenziellen Cracker zusätzliche Infos an die Hand zu geben.

1. Man lasse sich ein relativ kurzes "sicheres Passwort" mit einem Passwortgenerator generieren.
2. Man ERGÄNZE dieses Passwort so, dass es leichter merkbar wird. Ich denke, dabei braucht man nur die Top100 Passwörter oder so zu meiden, jede sonstige Regenbogentabelle ist länger als die ASCII-Tabelle. Also wenn man ein Zeichen durch ein Wort oder zu einem Wort ergänzt, wird das Passwort sicherer, auch wenn es nicht so sicher ist, wie ein GLEICH LANGES Zufallspasswort wäre.

z.B.

j(*y-Geb wird zu julia(to*you)-Gebrtstg
LsNtf6u& wrid zu LsstsichNullteilen?f(6u)=&
yA[WmZ.7 wird zu yeah!Austria[Weltmstr]Zeit0.7

Also da muss ich zum Teil widersprechen es gibt Passwörter bzw. Codes die entsprechend verwendet werden, Addison Wesley bietet der sehr angenehme Lektüre.

Zum Thema Browser, denn würde ich nicht vertrauen, leider ist die Zwischenablage auch nicht wirklich besser und ohne geht es kaum, schließlich kann man viele Zeichen nicht einfach so eingeben, weiterhin ist mir aufgefallen, dass viele Dienst mit langen Passworten, oder gar welchen mit ungewöhnlichen Zeichen, nicht klar kommen - Beispiel: Õ[KsMæýåJ®ÂÊXõMt¶~ÊKNY¥ÝyÊx²èâc«--49ÔØ`gx3Íg+5ò(åDØÖùÎÖ¶h»ÚQóé`P
Jedenfalls kommen viele Web-Dienst mit solchen Passworten nicht klar, will man denen trauen - wobei Banken ja vier Zahlen für ok befinden; wtf

Davon ab verwenden tue ich KeePass + KeyChallenge Plugin + Yubikey, da gibt es inzwischen wohl komfortablere Lösungen, jedenfalls traue ich keinem Browser, daher kriegen die auch nur Passworte wo ich drauf verzichten kann. Als weiter Methode bietet sich sowas wie eine Passwortkarte (https://www.ines-datenschutz.de/datenschutz-ines-ag/info-seite-3/) an. Am Ende sind mir Passworte mit Zeichen die man nicht einfach so auf der Tastatur eingeben kann irgendwie sympatisch...

[edit]Passworte oder Passwörter, setzt halt das richtige ein, ich kann mir die Regelung da einfach nicht merken ;)

,,,Passworte oder Passwörter, setzt halt das richtige ein, ich kann mir die Regelung da einfach nicht merken...Leichte Merkregel: Dichter sagen große Worte. Der Pöbel viele Wörter.
Es heißt also Passwörter. Es sind ja keine unsterblich großen Worte.

Bei den Beiträgen fragt man sich, diskutiert hier auch jemand, der sich mit Passwörtern auskennt?

Ich lese Rainbowtable (welcome to 2016)
Passwörter-Hilfe mit dem Browser? Was ist das?
Banken sehen 4 Zahlen als Passwort als sicher an? Bitte wie?

Könnte man bitte vor dem "Meinung haben" erst einmal etwas Ahnung haben?

Passwortenkarten werden jedes Jahr aufs neue von der Fachwelt propagiert.
Browser können Passwörter speichern und in der Vergangenheit wurde schon öfter gezeigt, dass deren Passwortverwaltung nicht so toll ist.
Banken stehen auf den Standpunkt, das eine vierstellige Zahl für alle möglichen Karten sicher ist, ändern oder gar verlängern geht praktisch nicht (wenigstens bei meiner Bank des "Vertrauens").

Ich habe da schon eine Meinung, mit der Ahnung tja Kryptologie ist hart und da bin ich kein Experte drin. Wie auch immer Passwort sind kein Spaß, dank des neuen Ausweises schon gar nicht mehr. Man sollte schon abwägen welches einem wie viel Wert ist.

[edit]Zwischenablage hatte ich ja auch genannt, flash sei dank, kann da jede Web-Seite dran, wobei flash inzwischen durch dritte gesichert wird, aber gerade diese Zwischenablage kann man da noch befummeln und es gibt Firmen die das sogar wollen und Angst oder so vor dem ECMA Dialog haben, Komfortverlust und so...

Das Konzept der Spasswörter ist systemimmanent unsicher.
Alles andere ist Augenwischerei.

Macht man sie lange und damit kryptographisch etwas schwerer zu knacken,
kann man sie sich nicht merken.
Sie werden selten geändert, und selbst wenn,
müssen ihre Hashes immer noch gespeichert werden.

Angriffsvektoren ohne Ende.

Und würde das von jemanden tatsächlich nach allen Regeln der Kunst unter ständiger Mühe sorgfältig gehandelt werden,
guckt man halt einfach unter die Schreibtischauflage.
Oder, wie bei einem Broadcaster auf die für die Kameras sichtbare Pinnwand.

Es sind Spasswörter. Sonst nichts.

Lustig... Da kommen sie schon wieder vor, die alten Kamellen...

(1) Häufiges Ändern von Passwörtern erhöht nicht die Sicherheit
(2) Gespeicherte Hashes? Na und? Es gibt kein System, welches nicht irgendwelche Informationen lokal speichern müsste.

Das einzige, was Passwörter unsicher macht ist der falsche Umgang mit ihnen.

Das ändert nichts an der Tatsache, dass Spasswörter nicht sicher sind, es niemals waren und auch niemals sein werden.
Wenn einem das Gefühl von Sicherheit reicht, bitte. Aber man nenne es nicht "Sicherheit".

Und es gibt sehr wohl moderne Verfahren, die zumindest bislang kaum knackbar, deren Chiffrate auch mit dem Einsatz aller lokal gespeicherten Informationen nicht dechiffriert werden können.
Kann man machen, ist halt mühsamer, als Spasswörter "korrekt" zu verwenden.

Es ist nach Passwörtern gefragt (und das auch noch ohne Kontext) - von dem her ist es sinnbefreit, hier über die bessere Sicherheit von nicht-Passwort-basierten Auth-Methoden zu philosophieren. Weil - um die geht es nicht. Daß es die gibt wissen wir.

Damit gilt weiterhin: Es gibt Passwörter, die sicher sind, es waren und sein werden. Weil sie kyptografisch nicht brechtbar sind.
... und es gilt auch weiterhin: Die Sicherheit von Passwörtern ergibt sich aus dem verantwortungsvollen Umgang mit ihnen.

Aus Post #1:
FRAGE - ist das dann jetzt sicherer - oder nicht.
Vertraut Ihr der Unterstützung durch den Browser denn!?
@marce Die Eingrenzung stammt von dir. Ich interpretiere die Frage anders. Mit ebensoviel Berechtigung.

Zu behaupten, dass bei vernünftigen Umgang Spasswörtern sicher wären,
halte ich für grob fahrlässig.
Wenn man nicht auf die verschiedenen dafür verwendeten Algorithmen eingeht.
Seit Jahren fallen die einer nach dem anderen.
Und kaum eine Website setzt durchgehend anständige Algorithmen (bcrypt z.B.) ein. Es finden sich sogar noch viele schlichte MD5 oder SHA Hashes als "Sicherheit".

Passwörter sind Spasswörter.

Insbesondere auch deshalb, weil der User gar nicht weiß, wie das gespeichert wird und welche Algos dahinterstecken.
Einfluss hat er erst recht nicht.

(1) Häufiges Ändern von Passwörtern erhöht nicht die Sicherheit

Das ist jetzt aber eine enorme Verallgemeinerung. Es gibt da gewisse Methoden, z. B. wenn einem der Passworthash in die Hände fällt, mit dem man mit einigem an Rechenaufwand das Passwort durch BruteForce erraten kann. Je nach Komplexität dauert das. Wird das Passwort regelmässig geändert, muss man immer wieder von vorne anfangen bzw. hat verloren, wenn der lesende Zugriff auf den Hash nicht mehr gegeben ist.

Nebenkommentar

Natürlich gibt es da auch Neuentwicklungen, bei denen die Berechnung eines Hashes bewusst sehr resourcen-intensiv gestaltet wird, was bei einen oder mehreren Hashberechnungen für einen Loginvorgang relativ unbedeutend ist, aber beim Brute-Force-berechnen von Millionen und mehr Kombinationen die Geschwindigkeit so stark absinken lassen, dass BruteForce sich faktisch erledigt hat. Ich glaube fefe hat da den einen oder anderen Artikel zu geschrieben. Letztlich wird es aber immer Altsysteme geben oder geschlossene Systeme die für BruteForce anfällig sind.


Desweiteren ist ja vielleicht nicht unbedingt die Möglichkeit gegeben, auch wenn es üblicherweise sehr wahrscheinlich ist, dass bei Zugriff zusätzliche Hintertüren eingebaut werden. In dem Fall wäre der unberechtigte Zugriff nach Änderung des Passwortes beendet.

Begriffe zum googlen: Kryptologie Hashing Salt Pepper Garlic

Die Sicherheit eines (Gesamt-)Systems wird für dieses immer neu betrachtet und festgelegt. Was für die privaten ja immer "die Öffentlichkeit" und die Hersteller vorgeben wollen (manchmal auch nicht). Sicherheit liegt eben im Auge des Betrachters und der Situation. Wenn ich mein Passwort regelmäßig ändere und die Komplexität entsprechend groß ist, dass man 5 Mio Jahre braucht um dies zu berechnen kann man dies durchaus als sicher bezeichnen. Die besten Hashverfahren nützen auch nichts, wenn das Passwort 1234 ist. Kollisionen sind das eine, Brute Force das andere. Wer genug Rechenpower hat um dein SHA-256 Passwort zu knacken, der hat für gewöhnlich auch die Mittel sich mit 0-Days und wie fork schon sagt mit Backdoors etc. weiter zu helfen. Eventuell ist da auch ein Einbruch wahrscheinlicher. Kollisionen müssten auch für die Passworteingabe sinnvoll sein. Wenn der erzeugte Wert z. B. kein ASCII oder Unicode Zeichen erzeugt, sondern Binärcode-Crap wird das im Web-Login-Formular nicht zum Erfolg führen. Das Passwort sichert mich also in der "ersten Phase" eines Angriffs ab und lässt mir etwas Zeit zum Erkennen und Handeln. Es sichert mich auch vor Script-Kiddies mit automatisierten Tools und dem üblichen Rauschen von Botnets ab. Also nach meiner persönlichen Meinung erhögen "zeitgemäße" Passwörter die Sicherheit. Erhöhen bedeutet ja nicht, dass sie auf 100% erhöht wird. Die größte Lücke in dem Bereich sind Default-Passwörter, einfache (nicht komplexe) Passwörter und Spasswörter.

Banken betrachten diesen Zahlencode als sicher, da ein Sperrverfahren mit eingebaut ist und im Übrigen kann ich meine PIN online ändern. Beim Banking-Login habe ich komplexe Kennwörter und keine Zahlen. Wem seine 4 Zahlen zu unsicher sind kann doch die Bank wechseln. [emoji6]

Nebenbei werfe ich die Vermutung in den Raum, dass es sich hier um einen schlecht implementierten Verwandten von Alexa handelt [emoji1]

Ich halte es mit meinem YubiKey folgend. Ich habe einge Passwoerter die ich mir gut merken kann, mit ca. 8-10 Zeichen, diese ergaenze ich mit dem statischen Output meines Yubikeys

- tolltolltollwjncl03v5nt9ybv52[gt9y785[q9w3[
- nichtsotollwjncl03v5nt9ybv52[gt9y785[q9w3[
- 33875693645wjncl03v5nt9ybv52[gt9y785[q9w3[

so bekommt man leicht zu merken sehr lange Passwoerter. Das ist zwar nicht state of the Art Sience, aber immerhin ausreichend lang.

- tolltolltollwjncl03v5nt9ybv52[gt9y785[q9w3[
- nichtsotollwjncl03v5nt9ybv52[gt9y785[q9w3[
- 33875693645wjncl03v5nt9ybv52[gt9y785[q9w3[



:eek: leicht zu merken :eek:



so bekommt man leicht zu merken sehr lange Passwoerter. .



Eine Gans legt 6 Eier auf einen großen Haufen Misst, um sie vor Wind und Regen zu schützen.

Passwort.
EiGale6EiaueigrHaMi,umsivoWiunRezusc.



Wenn möglich lange Sätze mit vielen Zahlen und Sonderzeichen, langen Wörtern und dann die ersten oder letzten zwei drei Stellen so wählen, dass es keine Silben oder ein Muster bildet. Oder die zwei drei nächsten Buchstaben ab einer bestimmten Stelle. Der Satz ist einfach zu merken + die Passwortfunktion.

Passwort.
EiGale6EiaueigrHaMi,umsivoWiunRezusc.

[/Code]

Wenn möglich lange Sätze mit vielen Zahlen und Sonderzeichen, langen Wörtern und dann die ersten oder letzten zwei drei Stellen so wählen, dass es keine Silben oder ein Muster bildet. Oder die zwei drei nächsten Buchstaben ab einer bestimmten Stelle. Der Satz ist einfach zu merken + die Passwortfunktion.

Erster Gedanke: Machst Du eigentlich noch was anderes an Deinen Linux-Servern ausser Passwörter eingeben und ändern? :p

Da finde ich doch die Passwortmethode von hht wesentlich einfacher zu merken, aber auch die wäre mir zu nervig.

Ne vierstellige PIN finde ich bei 3 Versuchen bis zur Sperrung gar nicht mal so unsicher. Solange keiner einen Weg hat um mehr Versuche und diese schneller durchzuführen, ist doch alles Paletti. Würde aber vermuten dass es davon aber bereits ein paar bekannte Möglichkeiten gibt.

In den Supermärkten(z. B. Lidl) haben Sie teilweise nur 3stellige numerische Codes für das entsperren der Kassensysteme. Die kann man sich schon vom zuschauen merken :).


Vertraut Ihr der Unterstützung durch den Browser denn!?

Vertrauen? *Achselzuck* Nutzen? JA - Besser als nix.

Man kann auch kurze Sätze nehmen [emoji12]

Mein Passwort ist irgendwo zwischen dem und 12 Zeichen mit eingebauten Specials [emoji1] Das rattert in Sekunden durch die Finger [emoji12]

Aber es gäbe aber noch SSO für schreibfaule [emoji13]

Ich halte es mit meinem YubiKey folgend. Ich habe einge Passwoerter die ich mir gut merken kann, mit ca. 8-10 Zeichen, diese ergaenze ich mit dem statischen Output meines Yubikeys

- tolltolltollwjncl03v5nt9ybv52[gt9y785[q9w3[
- nichtsotollwjncl03v5nt9ybv52[gt9y785[q9w3[
- 33875693645wjncl03v5nt9ybv52[gt9y785[q9w3[

so bekommt man leicht zu merken sehr lange Passwoerter. Das ist zwar nicht state of the Art Sience, aber immerhin ausreichend lang.

Ok, ich meinte man muss sich die Passphrasen

- tolltolltoll
- nichtsotoll
- 33875693645

merken. Der Rest wird ueber den Yubi Key erweitert um dann Passworter wie dei genannten zu bekommen

Wie merkt sich der YubiKey das dann? Ist der System/Service unabhängig?

Ja, ein Yubikey ist eine USB-Tastatur mit zwei Tasten (also eine die zwischen kurzem und langem drücken unterscheidet), was bei einem Tastendruck ausgegeben wird, kann man selber einstellen, die für das Einstellen notwendige Software gibt es für alle Betriebssysteme, man kann ihn auch anders einsetzen für Details siehe auch https://www.yubico.com/start/

Die Produktvideos hab ich schon mal gesehen und die Seite hab ich schon mal überflogen. Die waren nur nicht sehr aussagekräftig und auf den ersten Blick ist das Verfahren nicht ganz ersichtlich gewesen. Irgendwo hab ich dann noch was von nem Service gelesen, der auf dem Rechner laufen muss. Daher wollte ich "den Nutzer" mal nach seiner Meinung fragen. Wenn das mit ner Software verwendet oder konfiguriert werden muss ist mir die Service- und Plattformunabhängigkeit nicht soo klar.

Davon abgesehen... wie sieht das mit ner Recovery Möglichkeit aus, wenn der Stick mal defekt ist? Oder muss man sich den Code dann notieren?

Den Service braucht man nur, wenn man sich mit dem Stick Anmelden will, afaik gibt es den auch nur für Windows (ohne Domain).

Für meine Anwendung brauche ich den lediglich als zweiter Faktor für Keepass, da ich mehrere Rechner habe verwende ich das SHA1-HMAC Challange Response Mode für den Yubikey und KeyChallange (http://brush701.github.io/keechallenge/) Plugin für Keypass, den "zweiten Knopf" habe ich nicht belegt.

Recovery: Du erhälst einen HEX Code 64 Zeichen (meine ich kann es gerade nicht prüfen), mit diesem Code kannst du die Keypass-DB auch ohne Yubikey öffnen (den anderen Factor brauchst du aber immer noch), alternativ kannst du die Einstellungen vom Yubikey speichern (geht nur beim Erstellen, also nicht rückwirkend!) und damit beliebig viele neue Yubikeys einstellen. Alles im Allen eins der vollständigeren Produkte in diesem Bereich, finde ich jedenfalls.

kling interessant... vielleicht gönn ich mir mal einen...

Der Yubikey merkt sich Tastatursignale, die sich wiederum bei verschiedenen Tastaurlayouts aendern koennen, das muss man im Hinterkopf haben.

Also die Passphrase
- qwerty
wuerde auf einem deutschen Layout
- qwertz

aussehen. daher verwende ich nur Zeichen die auf den von mir verwendeten Layouts vorkommen (DE / GB / US).

Der reiz des YUBI keys macht eigentlich aus, dass er freiprogrammmierbar ist, heisst du kannst eins beliebige statische Phrase hinterlegen, bzw. dass man mit dem Ding auch richtig tolle Sachen machen kann, wenn man den Nerv hat.

Es gibt auch ein NFC Modell, aber gerade NFC mit Android ist so eine Sache.

Der Vorteil fuer mich, ich merke mir einfache Passwoerter und er paranoide Admin ist gluecklich, dass ich regelmaessig die Passwoerter aendere und diese auch sehr lang sind.

Gruss Stefan

Habt ihr da eigentlich auch einen Vergleich zu anderen Herstellern oder seit ihr von Anfang an Yubikey Nutzer?
Wenn ich bei Amadings mal schaue gibts die ja schon wesentlich günstiger für ~7 EUR.

Gut möglich, dass es da inzwischen was billigeres gibt, aber damals (3-5 Jahre, ich kein es leider nicht genauer einsortieren) nicht, mal im Ernst <= 10€ == wo ist das Problem? ;)

Ja ne unter 10 EUR is ja kein Problem. Wollt jetzt nur mal wissen ob "DER Yubikey" das A und O ist.

Der yubikey hat einige durchdarchte Features, ist - im Gegensatz zu manch anderen Tool - zu s ogut wie jedem System kompatibel, das ein wenig besser Dokumentiert ist als eine Fussmatte und wird auch seitens div. Systeme "aktiv unterstützt".

hmm naja ich hab mir jetzt mal einen billigen bestellt :D