1Password - Intelligentes Passwort gleiches Muster und Länge

[obama]

Hallo
Ich nutze seit kurzem den Passwort-Manager 1Password. Hier sehe ich bei Windows 10 und Firefox im Browser-Add-on beim Passwortgenerator die Option, die auch standardmäßig aktiv ist, Intelligentes Passwort. Dazu eben die Zusatzinfo, dass 1Password ein Passwort vorschlägt, das den Anforderungen der Seite entspricht. Ist eigentlich eine echt tolle Funktion, die ich auch bisher bei allen Seiten (wo es eben möglich war), benutzt habe.

Allerdings fiel mir gestern Abend auf, dass diese Passwörter alle die gleiche Länge von 19 Stellen haben und dem gleichen Muster folgen:

bke5YVR*pjb3nmz7duf
mwb@djr.MVN4cjh9wda
GBX4kbe3mvw.cnf9akh

3 Buchstaben, eine Zahl/Sonderzeichen, 3 Buchstaben, eine Zahl/Sonderzeichen usw.

Und da ich mal gelesen habe, das gerade Zufall sehr wichtig bei Passwörtern ist und die Entropie auch hoch sein muss, frage ich mich ernsthaft, inwieweit diese intelligenten Passwörter wirklich sicher sind. Immerhin widerspricht sich in meinem Kopf Muster und Zufall/Entropie. Aber ich bin auch ein Laie. Kann aber schwer glauben, dass eine die Firma hinter 1Password schlechter und unsichere Passwörter empfehlen würde.

Ist das hier schon jemanden aufgefallen und was sagt ihr dazu?
Wie sicher sind diese Passwörter?
Sollte ich sie in zufällige Passwörter mit mehr Stellen ändern (diese Option bietet der hauseigene Passwortgenerator von 1Password auch an)?

 

[Smily]

Selbst wenn man weiß, 3 Buchstaben, eine Zahl/Sonderzeichen, 3 Buchstaben, eine Zahl/Sonderzeichen, ist es immer noch unmöglich das Passwort in einer sinnvollen Zeit zu erraten.
Wenn es dir damit besser geht, erhöhe ruhig die Anzahl. Schaden kann es auf keinen Fall, so lange die Seite das mit macht. Zum Merken sind die Passwörter ja eh ungeeignet.

 

[Eletron]

Ich verwende Keepass XC und kann dem PW Generator auch vorgeben, wie die PW erstellt werden sollen. Sie ähneln sich somit alle in gewisser Form. Dennoch wurden sie alle per Zufall generiert und umfassen Sonderzeichen etc. Die Chance derartige PW zu erraten oder zu knacken ist durch die Komplexität und Länge ohnehin aufgrund der Vielzahl der Möglichkeiten nahezu unmöglich.

Ich sehe damit kein Problem!

 

[blackbirdone]

Narürlich nimmt dir ein Muster Sicherheit. Bei 19 Stellen ist das aber eh Wurst.

Allein die Buchstaben reichen für Jahre aus. Plus Sonderzeichen plus Zahlen. Selbst mit Muster bekommste das nur in ter Theorie geknackt

 

[Bartmensch]

Du kannst Deine Passwörter ja mal hier checken:
https://checkdeinpasswort.de/

Zum ersten PW steht da beispielsweise:
Ein herkömmlicher PC könnte dein Passwort innerhalb von
119 Trillionen Jahren knacken.

Es sollte also sicher sein. Je länger desto besser.
Absolute Sicherheit wird es nie geben.
Wichtig ist die Kombinatiton aus Zahlen+Buchstaben+Sonderzeichen+Groß und Kleinschreibung.
Habe ich jedoch einen Datenträger und kann das PW extrahieren, arbeite ich mit Hash Werten.
Wenn ein Vergleichshashwert vorhanden ist, geht es schneller...

 

[madmax2010]

Dennoch wurden sie alle per Zufall generiert

Pseudozufall bitte
@obama der könnte dich interessieren: https://it-talents.de/it-wissen/zufallszahlen-in-der-informationstechnologie/
Da hast du dann auch gleich die größte Schwachstelle in der Kryptographie. Wenn der Seed sich deterministisch verhält, erlaubt das rückschlüsse auf damit generierte Schl¨ssel / Passwörter zu ziehen. Das wäre deutlich kritischer, als wenn passwörter nach einem festen Schema generiert werden.

Du kannst Deine Passwörter ja mal hier checken:
https://checkdeinpasswort.de/

passwörter die du auf so websites "getestet" hast, bitte das entsprechende Passwort nirgendwo verwenden.

 

[Falc410]

Eine sehr berechtigte Frage, da bei Konkurrenzprodukten die Passwörter eben auch nicht so zufällig sind wie sie sein sollten: https://donjon.ledger.com/kaspersky-password-manager/

Hier die Zusammenfassung aus dem Artikel:

We will first see an example of a good password generation method, to explain after why the method used by Kaspersky was flawed, and how we exploited it. As we will see, passwords generated by this tool can be bruteforced in seconds.

Kann mir gut vorstellen, dass so etwas bei 1Password auch möglich ist wenn die Passwörter wirklich alle dem gleichen Schema entsprechen. Hat halt vielleicht nur noch niemand untersucht.

Ich persönlich setze ja auf Supergen Pass, ist halt eine HashFunktion, hat aber den Vorteil, dass ich das Passwort auch ohne Passwort Manager rekonstruieren kann (wenn ich mal an einem anderen Gerät arbeiten muss).

 

[TorenAltair]

Ein Passwort muss nicht möglichst kryptisch oder "unmerkbar" sein, wie Du selbst gesagt hast ist Entropie das Entscheidende. Beispielsweise wäre "IchbinobamaundfahreeinenHondamit4Rädern" "bombensicher".

 

[PHuV]

Beispielsweise wäre "IchbinobamaundfahreeinenHondamit4Rädern" "bombensicher".

Nö. 😄 Sicher ja, Bomensicher nein. Du hast hier zuwenig Zufall mit Wörten, was man aus einem Wörterbuch generieren könnte. Das hier wäre bombensicher: ·¦øïÞJ£÷aUY'*zýú{îâÏ3§gyÚhz;Û[Ás

 

[Bartmensch]

passwörter die du auf so websites "getestet" hast, bitte das entsprechende Passwort nirgendwo verwenden.

Bist Du mal meinem Link gefolgt auf die Seite?
Da steht es sogar geschrieben: Bitte keine echten Passwörter verwenden...
Also mach Dir keine Sorgen

 

[thornhill]

Hi,

die Länge des Passwortes ist mächtiger als irgendwelche Sonderzeichen etc.

Ihr müsst weg von der Denkweise: da sitzt einer vor dem Rechner und errät das Passwort, das macht ja ein Algorithmus und der wird mit jeder Stelle schwächer bzw. die Anzahl Kombinationen steigt.

Daher ist die Aussage von TorenAltair richtig. Länge schlägt Sonderzeichen um Faktoren!

Gruß
thornhill

 

[calippo]

Beispielsweise wäre "IchbinobamaundfahreeinenHondamit4Rädern" "bombensicher".

Mit einer Wörterbuchattacke vielleicht schon nicht mehr so sicher und da man ja meist viele passwörter nutzt, sind sich diese Passwortphrasen vielleicht auch ähnlich: "ichbintrumpundfahreeinenaudimit4Rädern"

Im privaten Einsatz zur Sicherung von Onlineaccounts sollte aber dieser Länge aber erst Mal kein zu hohes Sicherheitsrisiko entstehen. Ich sehe aber bei der automatischen Generierung gar keinen so großen Mehrwert, so oft kommt das ja nicht vor und da kann ich die Regeln (länge und Sonderzeichen) im Generator ja selbst einstellen und dann sollte es eigentlich zufällig sein (bzw. so zufällig es auf Computern halt geht)

 

[thealex]

Die meisten privaten Accounts werden doch "gehacked", weil Passwörter von Anno Dazumal verwendet wurden, und am besten noch das gleiche Passwort bei allen Portalen. Sprich: Die Passwörter standen auf einer der vielen existierenden Passwortlisten.

Daher sollte ein 12-16 Zeichen langes Passwort, generiert von einem x-beliebigen Passwortmanager i.d.R. vollkommen ausreichen. Die wichtigen Accounts dazu noch mit 2FA absichern und man ist weitestgehend safe (Faktor Mensch mal außen vor gelassen, das größte aller Risiken)

 

[Madman1209]

Hi,

man sollte aber schon anmerken, dass die Zeit, ein solches Passwort zu knacken, um etliche Größenordnungen geringer ist als ein "normales" Passwort gleicher Länge und Komplexität, wenn die Faktoren "Länge", sowie auch noch "Muster" und "mögliche Zeichen an Stelle xy" so klar sind.

Fixe 19 Stellen: alles darunter und darüber kann man vernachlässigen.
Stelle 1-3 nur Buchstaben: sämtliche Zahlen und Sonderzeichen fallen raus.
Stelle 4 nur Zahl/Sonderzeichen: sämtliche Buchstaben fallen raus.

Und so weiter und sofort. Das ist kryptografisch gesehen schon massiv schlechter als ein Passwort beliebiger Länge und ohne Muster.

Seiten wie "checkdeinpasswort" errechnen die "Knackdauer" eben unter der Annahme, dass alle Stellen zufällig sind und keine Muster oder dergleichen vorliegen.

"Schnell mal knackbar" ist es deswegen nicht. Aber "unsicherer" definitiv.

VG,
Mad

 

[Conqi]

Die meisten privaten Accounts werden doch "gehacked", weil Passwörter von Anno Dazumal verwendet wurden, und am besten noch das gleiche Passwort bei allen Portalen.

Dies, dies und nochmal dies. Klar kann man darüber diskutieren, ob 16 Zeichen, 20 Zeichen oder 100 Zeichen ausreichenden Schutz bieten, aber am Ende ist das mit Abstand Wichtigste, dass man überall ein anderes Passwort hat. Bruteforce-Angriffe sind bei Online-Diensten schon mal nur möglich, wenn die Angreifer die Datenbank haben und lange Passwörter dauern dann immer noch ewig. Es sind fast immer gestohlene Passwörter das Problem.

@Madman1209 hat aber durchaus Recht, dass die Passwörter mit diesem Muster deutlich einfacher zu erraten sind als wirklich zufällige. Mich wundert es daher, dass 1Password hier so vorgeht. Ich hab leider gerade keine Zeit, das mal nachzuprüfen, ob es vielleicht ein Fehler der Konfiguration ist oder wirklich der Software.
Ich würde mich mal an den Support oder das Forum der Herstellers wenden. Gewollt kann dieses Verhalten kaum sein. Vielleicht ist es ja wirklich ein Bug.

 

[TorenAltair]

Bei gleicher Länge ist das korrekt, aber man kann mein simples Beispiel ja variieren. Nicht ohne Grund werden immer mehr Online-Accounts mit Wortfolgen geschützt. Eine minimale Variation wäre beispielsweise "IchbinobamaundfahreeinenTondaPKWmit4Rädern". (Der "Schreibfehler" ist Absicht). Es sind soviel verschiedene Wörter, da kannst Du lange mit Wörterbuchattacken rumprobieren. Sehr lange. Vorteil dabei, man kann sich die Passphrasen problemlos merken, und auch deutlich längere Zeichenlängen als wild durcheinandergewürfelt..Das erzeugt die Sicherheit. Nicht immer besteht Zugriff auf seinen Passwortmanager.
Beispielsweise auch gut geeignet, wenn man in den Urlaub fährt und dort nur ein Internetcafe hat. Vergibt man vor der Reise eben eine neue Phrase und ist damit "sicher".

 

[madmax2010]

@Bartmensch Tatsächlich nicht. Aber das macht die Seite ein bisschen sympatisch . Zu oft fehlt der Hinweis und man kann es auch echt nicht oft genug sagen.

Was die Länge angeht lasse ich mal den hier
https://xkcd.com/936/
https://xkpasswd.net/s/

 

[thornhill]

Hi,

das wollte ich auch eben verlinken. Darf man das Bild hier so einfügen?

mfg
thornhill

 

[madmax2010]

Jetzt wirds entgültig OT :/
@thornhill Das Ist Creative Commons-BY-NC -> Also quelle nennen und nicht kommerziell nutzen. Eine der angenehmsten Lizenzen für kreative Werke.
So lange Upload filter noch nicht aktiv sind (yay)

 

[Conqi]

Vorteil dabei, man kann sich die Passphrasen problemlos merken

Und wie viele? Ich habe gerade mal nachgesehen und 115 Einträge in meinem Passwortmanager. Ich bin vermutlich auch nicht der Durchschnitt, aber 30 bis 40 Dienste dürfte vermutlich jeder locker hinkriegen. Sich das zuverlässig zu merken ist zumindest ambitioniert und führt am Ende nur dazu, dass man für viele Dienste dann halt doch ein Standardpasswort wählt.

Beispielsweise auch gut geeignet, wenn man in den Urlaub fährt und dort nur ein Internetcafe hat.

Wer fährt denn heutzutage noch ohne Smartphone in den Urlaub? Und wozu brauche ich dann was im Internetcafé? Ohne MFA-Authentifizierung komme ich zum Beispiel gar nicht an meine E-Mails oder ins Onlinebanking oder was auch immer so als Notfall im Urlaub auftreten kann.