Puuh, Passwörter sollen lang sein, mittlerweile mindestens zehn Zeichen! Dann auch noch mit Großund Kleinbuchstaben, Ziffern und am besten noch mit irgendwelchen Sonderzeichen. PPslsmm10Z! oder so etwas in der Art. Aber bitte, wer soll sich das denn merken können? Aufschreiben ist ja auch nicht erlaubt.
In den meisten Fällen hilft eine Eselsbrücke. So könnten Sie sich zum Beispiel einen Satz merken und einfach dessen Anfangsbuchstaben nehmen. Aus dieser Kolumne zum Beispiel, der erste Satz. PPsls … »Puuh, Passwörter sollen lang sein ….«
Na, gemerkt? Ist das erst einmal geschafft, dann kommt aber schon die nächste Schwierigkeit. Ein Passwort sollte nur in einem System verwendet werden. Heutzutage hat man aber mindestens 10 oder gar noch mehr Passwörter.
Wer also die oben beschriebene Methode verwenden möchte, muss dann schon fast ein ganzes Buch auswendig lernen. Das kann es doch wohl auch nicht sein, oder? Auch hier hilft wieder ein Trick. Wer sich ein sicheres Passwort ausgedacht hat und auch merken kann, der darf das ganze gerne noch erweitern. Bauen Sie doch einfach den Anfangsoder Endbuchstaben des verwendeten Internetportals oder des Programmnamens an eine nur Ihnen bekannte Position in Ihrem Kennwort ein. Ein e für Ebay, ein m für Mail und schon wird aus PPslsmm10Z! ganz fix PePslsmm10Z! für Ebay oder PmPslsmm10Z! für den MailZugang.
Ein Tipp noch ganz zum Schluss: Probieren Sie ruhig ein paar verschiedene Sätze aus, die Sie zum Passwort umbauen. Sie werden feststellen, dass sich manche gut eintippen lassen, während man sich bei anderen die Finger verknotet. Ein Passwort soll zwar sicher sein, von unbequem war aber nie die Rede.
Hi Tobias,
was hältst du denn von der Idee „PasswordCard“? https://www.passwordcard.org/
Ist das sicher genug?
Ciao
Max
Hallo Max,
die Karte hat x*y Möglichkeiten ein Passwort zu beginnen. Die kann man auch noch ablesen, was für eine automatisierte BruteForce Attacke schon mal sehr praktisch ist. Auch wenn man theoretisch die Ableserichtung variieren kann, bleiben sogar noch deutlich weniger Möglichkeiten als bei der guten alten Vigenère-Verschlüsselung von 1640. Von dieser Seite gesehen, würde ich also keine volle Punktzahl geben.
Andererseits betrachtet gilt dies ja nur bei einem gezielten Angriff und wenn die Karte dem Angreifer vorliegt. Tut sie das nicht und man ist nur mit seinem Passwort-Hash einer von vielen Unbekannten in einer großen geklauten Datenbank, dann würde ich einen Fuffi darauf wetten, dass ein mit dieser Karte erzeugtes Passwort zu den letzten gehört, die geknackt werden.
In der Praxis wird der aufgedruckte Zeichensatz Probleme bereiten, wenn bestimmte Sonderzeichen im PW unzulässig sind oder so was. Kurz gesagt: Es wird Systeme geben, da ist das Teil total praktisch, bei anderen halt nicht.
Viele Grüße,
Tobias
Danke! An die Sonderzeichen hatte ich nicht gedacht. Und in meiner Umgebung sind auch noch oft DE und US Keyboardlayouts durcheinandergewürfel.
Was haeltst du denn von Passphrases? So was wie „alterschwedeulfundpuschlhamaberordentlichgebechert“ muesste doch gegen Bruteforce Attacken auch recht lange durchhalten? Oder reicht das gegen Wörterbuchattacken nicht?
Jetzt check ich’s erst, der Max …. :-)
Das kann man nicht globalgalaktisch beantworten, das kommt auf das System und andere Randbedingungen an und wie ich es angreifen kann.
Aber: ob ich jetzt einzelne Buchstaben oder ganze Wörter strukturiert aneinanderhänge und ausprobiere ist gehupft wie gesprungen, auch wenn es viel länger dauert, weil es deutlich mehr Worte als Buchstaben gibt.
Ich hab noch ne andere Frage, wechsele aber mal rüber auf Port 25.
RUL