News „123456“ ist schlechtestes Passwort des Jahres

[Niyu]

Manche Passwörter werden überbewertet. Bei jedem Shop/Blog/etc. soll man sich anmelden und dafür irgendwelche tollen Passwörter verwenden.

Was soll mir denn passieren wenn jemand mein Forenpasswort hackt? Damit das irgendeinen Sinn ergibt müsste derjenige dann versuchen irgendwas zu verkaufen. Werbung zu machen oder sowas. Das ist recht leicht durchschaubar. Meinetwegen könnte man auch einfach als "Gast" kommentieren. ich lege keinen gesteigerten Wert auf diese "Identität".

Nun sind aber manche Sites soweit, dass Sie einem vorschreiben das man X lange Passwörter nutzen muss mit Groß- und Kleinschreibung und mindestens einer zahl und einem Sonderzeichen.

In dem Moment beschließe ich dann, dass ich mich eben nicht anmelde. Am schlimmsten dürfte das für Shops sein. Die verlieren damit einen Kunden. Dabei gibt es doch mehr als genug Shops die es erlauben als "Gast" einzukaufen.

 

[TrueAzrael]

Bevor ich 123456 nehme, geh ich zu !"§$%& über, bei Brute-Force vermutlich kein Unterschied, aber zumindest der Nachbar erratet es nicht gleich.

 

[Magellan]

Nun sind aber manche Sites soweit, dass Sie einem vorschreiben das man X lange Passwörter nutzen muss mit Groß- und Kleinschreibung und mindestens einer zahl und einem Sonderzeichen.

Das nervt wirklich total zumal es keinen Standard gibt an den sich alle halten würden.

Beim einen darf man nur ein paar Stellen nehmen (Sky 4 Zahlen, DKB 5 Stellen...)
beim nächsten braucht man einen großbuchstaben darf aber keine Sonderzeichen drin haben
beim nächsten braucht man eine Zahl und ein Sonderzeichen
beim nächsten sind nur bestimmte Sonderzeichen zulässig und man braucht 8 Stellen
...
Und das problem ist eben dass dies oft völlig unwichtige Sites sind deren Login man jetzt wirklich nicht mit einem Safe verwalten müsste.

Ich frag mich aber echt warum die Leute sich nicht einfach ein Satz ausdenken. Als Bsp.:

„Franz jagt im komplett verwahrlosten Taxi quer durch Bayern“

FjikvTqdB2014!

Das Passwort ist extrem sicher. Auf die schnelle berechnet dürfte das PW mehrere Jahre gegen Brutforce angriffe abgesichert sein.

Das ist nicht (mehr) die komplette Wahrheit. Bruteforce ist längst nicht mehr die Methode der Wahl beim knacken von passwörtern, vielmehr kommen extrem komplexe kombinierte Algorithmen zum Einsatz. Diese verwenden Wörterbücher, bereits geknackte Passwörter, ahmen menschliches Verhalten beim generieren von passwörtern nach (wie zb 2014 und ein Sonderzeichen anhängen oder Anfangsbuchstaben eines Satzes zu verwenden...) und kombinieren das dann mit Bruteforce - intelligentes Bruteforce sozusagen.
Ich habe da letztes jahr einen sehr ausführlichen Artikel dazu gelesen in dem genau erläutert wurde wie das State of the Art Passwortknacken aussieht.
Das Fazit war eigentlich dass jedes Passwort welches man sich merken kann da es irgend einen Sinn ergibt oder irgend ein Muster verfolgt auch eine gewisse Unsicherheit darstellt da dies alles von Algorithmen nachgestellt werden kann.

Als beispiel wurde dabei auch eine Liste echter von einem Server gestohlener und geknackter Hashes herangezogen da war eines mit 26!! Stellen dabei das auf den ersten Blick willkürlich wirkte aber Anfangsbuchstaben von Wörtern einer Bibelstelle darstellte und daher geknackt wurde, oder viele mit 8+ Stellen, Groß, Klein, Sonderzeichen, Zahl die ich bis dahin als sehr gute Passwörter angesehen hätte aber die folgten eben menschlicher Logik beim Erstellen eines Passworts und wurden geknackt.

Wirklich gute Passwörter sind also nur völlig zufällig zusammengewürfelte Abfolgen die man sich gar nicht oder nur durch stures auswendig lernen merken kann. Und wenn man so eines hat darf man es natürlich immer nur für einen Dienst und nicht überall verwenden.

 

[Elcrian]

@NoD.sunrise: Gibt es den Artikel online?

Mein Adobe-Passwort war (genau wie das von anderen Zwangs-Diensten) übrigens aus in der News genannten Gründen ebenfalls "123456" + trash-mail.com.

 

[Cool Master]

@NoD.sunrise

Klar, man sollte sich halt ein Satz ausdenken den man nur selber kennt und der nicht in Büchern etc. vor kommt. Mein Beispiel ist auch nicht 100% super da er eben auf einem bekannten Satz beruht. Ich habe mich mit dem Thema auch lange beschäftigt hab sogar einige von dir beschriebene Algorithmen selber programmiert für ein kleines Experiment. Trotzdem würde ich nur so ein PW verwenden statt eins mit unter 10 Stellen. Meine PW's haben idR 12 oder mehr Zeichen. Für die HDD Verschlüsselung sind es sogar 256 Alle durch Sätze gebildet, die nicht im Internet vorkommen da Sie Situationen aus meinem Leben sind.

 

[AleXtreme]

Früher war es mal "penis" aber das ist nun meist zu kurz

 

[nissl]

Wenn man so einen Nachnamen wie ich hat, ist dieser allein schon sicher und sieht wie Kopf-über-Tastatur-gerollt aus. Dazu noch ne Zahl und nen Sonderzeichen und gut.

Nach dem beitrag von NoD.sunrise muss ich aber auch über mein WLAN Key nachdenken: EgkGaAuMisP + diverse Zahlen

Es gibt keinen Gott ausser Allah und Muhammed ist sein Prophet

 

[Magellan]

Hab grad nachgeschaut, war ein ct Artikel http://www.heise.de/ct/artikel/Die-Passwortknacker-1779840.html
Ist aber nur ein kurzer Einführungstext online der richtige Artikel ist 10 Seiten lang.

Mal ein paar Zitate:

Dann kommen fortgeschrittene Angriffstechniken zum Einsatz. Der persönliche Favourit des Hashcat-Autors ist die Hybrid-Attacke. Sie kombiniert alle Wörterbucheinträge mit einem Brute-Force Teil, den man etwa auf vier Zeichen einschränkt. So findet es auf Basis von "Adam" auch "Adam+Eva" oder "Adam1973", "Adam3\/4" aber auch den zufällig gewählten Anhang "Adam%2;E".
Selbstverständlich wandert dann jeder Treffer wieder direkt ins Wörterbuch, so dass beim nächsten Durchlauf auch dessen Erweiterungen gefunden werden.

Das spannende daran ist, dass die beiden letzten Verfahren auch Muster erfassen, die Menschen gar nicht bewusst wahrnehmen. Viele Jahre empfahlen die Ratgeber zur Passwortsicherheit auch hier in c't, dass Anwender ihre Passwörter mit genau solchen Mustern und Regeln erstellen. Und jetzt stellt sich heraus, dass Computer viel besser darin sind, die zu knacken als man es sich vorstellen konnte.

Krass sind auch die "Markov-Angriffe" die prinzipiell wie Brute-Force ablaufen aber Wahrscheinlichkeiten für Zeichenabfolgen berücksichtigen - einfachster Fall: nach einem q wird besonders häufig ein u verwendet aber die Modelle sind da noch viel komplexer und berücksichtigen auch andere vorangegange Zeichen usw. Selbst wenn wir versuchen uns ein zufälliges Passwort zu überlegen gehen wir unbewusst nach Mustern vor die wir für schön oder zufällig halten - und genau das verwenden die Angriffsalgorithmen gegen uns.

http://hashcat.net/oclhashcat/

 

[highks]

Aber man sollte die menschliche Psyche nicht überschätzen. Manchmal sind die simpelsten und naheliegendsten Dinge die besten, weil die anderen denken " so ein primitives PW nimmt ja eh keiner

Ein Wörterbuch-Angriff auf eine Datenbank wird aber nicht von einer menschlichen Psyche ausgeführt, sondern von einer eiskalt berechnenden Maschine mit einer laaaangen Liste von solchen simplen Passwörtern (dem "Wörterbuch" eben)

Naja, die Ablehn-Mechanismen, die mir begegnet sind, sind alle eher nervig als hilfreich. Da wird ein Passwort abgelehnt, weil es nur Buchstaben und weder Zahlen noch Sonderzeichen enthält, dafür aber alles andere als ein Klarname ist, ein schnell geknacktes M4us!1990 wird aber zugelassen, weil es ein Sonderzeichen und ein paar Ziffern enthält - sowas ist doch lächerlich.

Das habe ich auch schon ähnlich bei Paypal erlebt. Es wird dort akzeptiert Tez-vmd9 (durchaus okay, aber heutzutage mit 8 Zeichen einfach zu kurz!). Dann denkt man sich: das padde ich einfach auf 28 Zeichen hoch, also z.B.:

..........Tez-vmd9//////////

Das ist jetzt zwar nicht so sicher, wie 28 verschiedene Zeichen, aber trotzdem massiv sicherer, als die vorigen 8 Zeichen.

Akzeptiert Paypal aber nicht, weil "maximal 3 Wiederholungen von Zeichen erlaubt" sind. Auf meine Nachfrage, wie das lange Passwort denn jetzt plötzlich "unsicher" sein könnte, bekam ich die Antwort "ist halt so" ...


Den Vogel schießt aber immer noch die DKB Bank ab, bei denen liegt die maximale Länge des Passworts bei fünf (ich wiederhole: fünf!) Zeichen. Standardmäßig ist der Username die Kontonummer.

Auf meine Beschwerde wurde mir versichert, dass das Ganze sehr sicher sei, weil ja alle Zahlen und Sonderzeichen erlaubt seien. Ich hoffe mal, dass sie dort wenigstens von Finanzen mehr Ahnung haben, als von Krypto...

 

[Cool Master]

Das ist jetzt zwar nicht so sicher, wie 28 verschiedene Zeichen, aber trotzdem massiv sicherer, als die vorigen 8 Zeichen.

Kommt darauf an wie das PW geprüft wird. Wenn in dem Muster 4 Bit geprüft wird, wie es z.B. im WLAN ist ist das PW extrem unsicher. Da würde geprüft werden .... .... ..Te z-vm d9// //// ////

Deswegen dürfte bei PP auch nicht mehr als 3 Wiederholungen vorkommen

 

[Helmpflicht]

Was ist eigentlich mit diesen - ich glaube - single Sign-In Diensten?
Da reicht doch einmal ein sicheres Passwort aus. Wie sind die zu Bewerten?

Es gibt keinen Gott

Krass, so beginnt auch eins meiner Passwörter.

 

[AMDprayer]

qwerty

Ha, mit deutschen Tastaturen lebt man sicherer, wer würde schon auf "qwertz" kommen
Ich hab übrigends auch sofort an Spaceballs gedacht

 

[Haudrauff]

Den Vogel schießt aber immer noch die DKB Bank ab, bei denen liegt die maximale Länge des Passworts bei fünf (ich wiederhole: fünf!) Zeichen. Standardmäßig ist der Username die Kontonummer.

Nee, ist bei der Sparkasse auch so.
Das hat mich schon vor Jahren bei der Kontoeröffnung geärgert und ärgert mich nach dieser Diskussion hier noch mehr.
Bei 5 Stellen brauch ich keine Bruteforceattacke oder komplizierte Algoryhtmen.
Bei so wenigen Stellen kann ich schon raten.

Der einzigse Trost bei der Sache ist, dass man bei einem Hack immer noch ohne TAN nigs anfangen kann.

 

[xammu]

Nee, ist bei der Sparkasse auch so.
Das hat mich schon vor Jahren bei der Kontoeröffnung geärgert und ärgert mich nach dieser Diskussion hier noch mehr.
Bei 5 Stellen brauch ich keine Bruteforceattacke oder komplizierte Algoryhtmen.
Bei so wenigen Stellen kann ich schon raten.

Der einzigse Trost bei der Sache ist, dass man bei einem Hack immer noch ohne TAN nigs anfangen kann.

Die Sparkasse sperrt nach 3 Fehleingaben den Zugang und man muss sich am Schalter melden, daher stört mich das bei ihr recht wenig. Wird bei der DKB vermutlich das gleiche sein.

 

[Paszcza]

toll, warum Passwort wählen wenn es hier im Forum veröffentlicht wird... (-; auf eine Art Datenmissbrauch weil es keinem angeht wer und wie oft so ein Passwort wählt. Wocher weis es die Quelle? Warum veröffentlicht die Quelle solche Sachen? Haram

 

[Helmpflicht]

Das hat mich schon vor Jahren bei der Kontoeröffnung geärgert und ärgert mich nach dieser Diskussion hier noch mehr. Bei 5 Stellen brauch ich keine Bruteforceattacke oder komplizierte Algoryhtmen.

Stell dir vor, der PIN-Code der meisten EC-Karten ist sogar nur 4 Stellen lang. Da kann man noch besser raten.

Halt warte, die Karte wird ja genau wie das Online Konto nach drei Fehlversuchen gesperrt. Man kann auch Probleme sehen, wo keine sind...

Ergänzung (21. Januar 2014)

@Pascza
WTF?

 

[Towelie]

Schade ja, dass 1337 wegen der Länge nicht dabei ist, dabei könnte man mit !33T/L§§7 sogar SZ + Buchstabe einbauen. ^^
!_eE³/³ hingegen wäre machbar und wird wohl fast überall akzeptiert.

Weil sich einige über max. Länge beschweren bzw. minimale auf 10+ empfehlen: Je nach Sicherheit der Webseite gibt es auch mehr als genug davon, wo du nur 3 Versuche hast und dann 15 Minuten warten darfst (bereits exl. Banken, da du hier ja schon gesperrt wirst). Machst du das 3 mal, (also 9 Versuche - zumeist aus mind 6 Zeichen inkl. Zahl/Klein/Groß/SZ,) wird das Konto gesperrt und ist nur aufwendig zu entsperren. Ich würde sowas schon als sicher sehen, und verlangt gar nicht nach extremer/n Anzahl und Mustern, nur Standardmethoden darf man nicht verwenden.

Aber das gilt auch nur, wenn die Webseite "vertrauenswürdig" ist, und damit meine ich das ein Hack des Servers nur mit gewaltigen Mitteln zu bewerkstillen wäre und selbst in dem Fall mit Daten daraus nichts anzufangen wäre (Zertifikate, ausreichende Hashes etc. etc.).

 

[Masamune2]

Es spielt keine Rolle das die Webseite nach drei Fehlversuchen den Zugang sperrt oder eine Wartezeit einbaut. In der Regel werden Kennwörter ja geknackt nachdem jemand die Hashes aus der dahinterliegenden Datenbank geklaut hat. Dann kann man so viel durchprobieren wie man will.
Am "lebenden Objekt" macht keiner Bruteforceangriffe.

 

[Q-Marine]

Das schlechteste Passwort ist das, das man auf der Gerät draufgeschrieben hat.

Es kommt total oft vor, dass ich Notebooks sehe, bei denen sich der Besitzer einen Zettel mit dem Windowskennwort auf die Notebooktastatur geklebt hat.
Oder den PIN der SIM-Karte auf die Rückseite des Handys.

 

[Magellan]

Schade ja, dass 1337 wegen der Länge nicht dabei ist, dabei könnte man mit !33T/L§§7 sogar SZ + Buchstabe einbauen. ^^

Leet Schrift bringt rein gar nichts weil das die Angriffsalgorithmen auch beherrschen, siehe Post #88.

Aber das gilt auch nur, wenn die Webseite "vertrauenswürdig" ist, und damit meine ich das ein Hack des Servers nur mit gewaltigen Mitteln zu bewerkstillen wäre und selbst in dem Fall mit Daten daraus nichts anzufangen wäre (Zertifikate, ausreichende Hashes etc. etc.).

Sind in den letzten 1-2 Jahren nicht genug Server gehackt worden die man vermutlich als vertrauenswürdig angesehen hätte? Zertifikate haben schon mal gar nichts mit der Speicherung der Passwortdaten zu tun und Hashes sind auch mit Salt nicht sicher vor den heutigen Angriffsmethoden.