ComputerBase Menü
Aktuelles

Ab wann ist ein KeePass 2 Passwort wirklich sicher?

T

Thukydides

Lt. Commander
Registriert
Apr. 2016
Beiträge
1.727
Hallo,

ich habe neulich gelesen das Passwörter von LinkedIn mit bis zu 16 stelligen Passwörtern leicht geknackt werden konnten. Seitdem grübel ich darüber, welche Länge eines Passworts bei KeePass es wirklich sicher macht.

Ich nutze aktuell ein 16 stelliges Passwort mit zufälligen Zahlen, Buchstaben und Sonderzeichen. Bloß ist dies wirklich sicher? Oder kann man es mit entsprechender Hardwarepower leicht in ein paar Tagen oder Wochen knacken?

Ich denke deshalb darüber nach alle meine Passwörter zu ändern und bei KeePass ein 32 stelliges Passwort zu nutzen. Wäre dies ausreichend? Und sollte ich diese Zusatzdatei auf jedenfall nutzen? Wie steht ihr zu dem Thema. Ich möchte hier wirklich sicher sein das man mein Passwort nicht knacken kann!

Gruß
Thukydides
 
Alles ab 10 Stellen ist eigentlich nicht knackbar. Selbst mit 8 Stellen steht man schon super da.

Ich vermute mal stark, dass die meisten Passwörter nicht durch Bruteforce geknackt werden, sondern durch Sicherheitslücken, "Hacks" oder ähnlichem. Dann könnte man auch ein 100 stelliges Passwort haben - das wäre hier egal.
 
Wirklich sicher ist nichts.
Du kannst aber zusätzlich eine Schlüsseldatei auf einem portablen Medium verwenden. Dann braucht man auch nicht unbedingt 16 stellige Schlüssel.
 
Sehe ich genauso, Passwörter knacken ist was für Anfänger. Heutzutage nutzt man Sicherheitslücken, Malware oder die Menschen selbst aus. Ist wesentlich einfacher und schneller als das Passwort zu knacken
 
Meinst du das Passwort deiner Keepass Datenbank? Das ist auch schon mit weniger Zeichen sehr sicher da zum Entschlüsseln sehr viele Runden nötig sind und daher selbst mit Brute-Force nicht viele Passwörter pro Sekunde durchprobiert werden können.

Bei Linked-In waren die Passwörter als ungesalzene MD5 hashes gespeichert die sich sehr schnell berechnen lassen. Daher fallen hier auch längere Kennwörter schnell.
 
Suche Dir vier (oder mehr) möglichst zufällige Worte mit jeweils mehr als vier Buchstaben, deren Reihenfolge Du Dir gut merken kannst. Vielleicht, weil es durch eine gewisse Absurdität lustig für Dich ist.

Diese reihst Du hintereinander, durch Leerzeichen getrennt, als Passwort zusammen.
Anstatt die Eingabefähigkeit (gerade bezüglich mobiler Plattformen) und Merkbarkeit durch Sonderzeichen und Zahlen zu vermindern, lieber ein längeres wählen, das man dafür "gern" eingibt.

„Zukünftig Präsident Regen Himmlisch.“
 
Aktueller Stand meines Wissens: 12 Zeichen. Für bis zu 8-stellige Passwörter gibt es wohl fertig berechnete Hash-Tabellen (Rainbowtables) im Netz, d.h. Brutforce ist damit einfach und schnell machbar. Eine anständige Anmeldung/Passwortabfrage baut aber zusätzliche Hürden ein, wie z.B. Sperren nach 5 Versuchen oder Zeitverzögerung für die erneute Eingabe, die sich immer weiter verdoppelt,..etc
 
Zuletzt bearbeitet:
Heise schreibt aktuell in einem Artikel, dass Passwörter bis 6 Zeichen leicht zu knacken sind mit gezieltem Brutforce auf dafür angepasster Hardware.

Ab 8 Zeichen beginnt eine erhöhte Sicherheit. 10-12 Stellen sind praktisch mit aktueller Rechenleistung nicht zu machen. Voraussetzung das Passwort liegt in der Anwendung nicht als Klartext oder ungesalzener Hash vor.

Gilt alles für kryptische Passwörter ohne Wortbezug und mit Sonderzeichen & Zahlen
 
Mir ist nicht ganz klar ob du vom Masterpasswort oder den einzelnen Passwoertern redest aber ich will die Frage mal trotzdem beantworten.

Benutze auch einen Passwortmanager und nehme dort fuer die generierten Passwoerter 32 zufaellige Zeichen, das ist natuerlich masslos uebertrieben.
Aber: das muss ich ja sowieso nie abtippen, wieso sollte ich mich da beschraenken?

Als Masterpasswort reichen deine 16 Stellen locker aus, das wird ja sowieso auf keinem Server oder sonst etwas gespeichert.
 
Manche Anbieter beschränken die Maximal-Zeichenanzahl für Passwörter. Hab schonmal max. 8 Zeichen gesehen... Oo
Uplay, EA und Blizzard beschränken auf 15 oder 16 Zeichen, Steam lässt da deutlich mehr zu.
 
Jeder der hier eine Anzahl an Zeichen schreibt hat das Prinzip leider nicht verstanden.

Es ist massiv davon abhängig wie gehashed wird. Ungesalzene MD5 hashes sind selbst mit 16 Zeichen keine Hürde. Mit bcrypt und 1 Mio Runden sind selbst Kennwörter mit acht Zeichen in diesem Leben nicht mehr zu erraten.

Beim Anlegen der Keepass Datenbank kannst du festlegen wie viele Runden beim Verschlüsseln verwendet werden um die Zeit zum Knacken massiv zu erhöhen.
 
Ja ich habe als Masterpasswort 16 Stellen, dass meinte ich.

Für andere Sachen verwende ich in der Regel 64 stellige Passwörter mit Sonderzeichen und allem was geht. Wie du schon sagtest, die muss man sich ja nicht merken, also warum nicht lang machen. Da überlege ich sogar auf 128 Stellen zu gehen, aber viele Seiten können nur maximal 60-64 Stellen.

Also beim Masterpasswort bin ich sicher? Es geht jetzt nicht darum ob ich gefoltert werde oder dergleichen, klar dann würde ich es wohl sagen. Es geht mir nur darum ob, wenn es jetzt ein Geheimdienst oder die Polzei oder ein Hacker in die Finger bekommt, knackbar ist mit aktuellen Methoden.

Wenn ja, dann werde ich das Passwort auf 32 Stellen ausweiten. Ich habe wirklich völlig zufällige Zahlen, Buchstaben und Sonderzeichen gewählt. Diese habe ich auf einen Zettel geschrieben und immer wieder abgetippt. Nach 20 Versuchen konnte ich es auswendig und dann habe ich den Zettel verbrannt.

Edit: Wo kann ich den solche Sachen mit hash Werten einstellen? Bei KeePass kann ich nur ein Master Passwort und eine Schlüsseldatei auswählen. Das ganze wird dann Standard mit AES verschlüsselt.
 
Zuletzt bearbeitet:
Nunja, ich halte es zwar für übertrieben, aber naja.

Bedenke, daß der Umgang mit deinem Paßwort eine wichtige Rolle spielt. Dazu gehört auch, wie oft das Paßwort abgefragt wird. Im Idealfall bei jeder Paßwortabfrage eines Dienstes.
 
Ich verstehe leider nicht so ganz was du meinst miac.

Bei Verschlüsslungsrunden ist Standardmässig 6000 eingestellt. Reicht das aus? Ich könnte ja mal auf 1 Mio erhöhen. Eine Verzögerung bis zu 10 Sekunden fände ich in Ordnung.
 
Zuletzt bearbeitet:
Wenn Du auf Nummer Sicher gehen willst schalte die Mehrfaktor-Identifizierung ein. Da kannst Du neben einem Passwort noch ZUSÄTZLICH eine Schlüsseldatei mit einbeziehen (z.B. auf einem USB-Stick) und den Windows-Account (SID-gebunden - also nur auf diesem Rechner/dieser Domäne gültig). Sollte also einer Deine Keepassdatei erbeuten, muss er drei Hürden überwinden - No Chance). So gesicherte Zugänge sind am Besten. z.B. kannst Du PayPal, Ebay und auch Amazon neben dem Passwort noch mit einem Zufallsschlüssel einer App auf dem Handy absichern (z.B. Verisign), da hilft es gar nichts, wenn ein Angreifer Dein Passwort hat, solange er nicht auch Dein Handy dazubekommt (welches ja auch noch meist mit einer PIN gesichert ist).
 
Ich meine damit, daß Du nicht nur einmal das KeePass Paßwort bei der ersten Verwendung eingibst, sondern KeePass so schnell wie möglich wieder gesperrt wird.

Sonst kann z.B. ein Dritter bei kurzer Abwesenheit deine Paßwörter verwenden/auslesen.

Zur Verknüpfung mit deinem Windows User:
Davon würde ich abraten. Wenn Du das System neu aufsetzt oder der Benutzer unzugänglich wird (korrupt), sind deine Paßwörter verloren.
 
Richtig - bei der Verknüpfung mit dem Windows-User muss man aufpassen (steht bei Keepass auch schön dabei), aber man kann ja ein Backup der Kennung machen, bzw. innerhalb einer Domäne sehe ich keine Probleme (ich habe meine Kennung hier auf Arbeit inzwischen seit Windows NT ca. 1996/1997, die SID hat sogar die Migration in eine große Windows2000-Domäne überstanden...
 
In Ordnung. Ja das mit dem sperren ist auf jedenfall ein wichtiger Punkt! Das habe ich auch manchmal vergessen wenn ich mal kurz aus dem Zimmer gegangen bin. Was ich jetzt verbessern werde:

1. Master Passwort auf 32 Stellen eröhen mit vollständig neuem Passwort
2. Die Anzahl der Runden auf etwa 50.000 erhöhen
3. Eine spezielle Key Datei erstellen
4. Alle Passwörter der verschiedenen Seiten/Programme einmal ändern

Das ist jetzt mein Plan. Dann werde ich das mal bald angehen :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

theFASTone
Sind meine Accounts jetzt wirklich sicher? Keepass workflow
Antworten
12
Aufrufe
3.307
Der-Orden-Xar
Der-Orden-Xar
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz