Merkbare Passwörter generieren

ioe

Ensign
Registriert
Nov. 2014
Beiträge
169
Hallo Forum

Ich beschäftige mich gerade damit ob es möglich ist, sichere und merkbare Passwörter für z.B. einen Online Shop generieren zu können.
Also ein Kunde will sich anmelden und bekommt dann ein solches Passwort vorgeschlagen.

Dabei bin ich auf diese Repo gestoßen: https://github.com/davidak/wortliste welches 240.000 deutsche Wörter enthält.

Habt ihr Ideen wie man diese Wörter kombinieren und abändern kann um einen Wörterbuchangriff stand zuhalten?

Ich hätte jetzt 3 Wörter verkettet und jeweils davor eine Zahl gesetzt.
Daraus ergeben sich dann ca. 1,4*10^19
Kombinationen und im Schnitt eine Länge von 30 Zeichen. Beispiel: "9Gourmets4pures0täuscht"
Das mit Argon2 gehashed sollte eigentlich recht sicher sein.. da die Verifizierung mit Argon ja ziemlich lange benötigen sollte.

Was meint ihr dazu?

VG
 
Mach lieber so, dass man sich komfortabel per klick auf einen E-Mail Link einloggen kann. So machen das wie ich mal gehört habe sowieso viele Menschen und die wirst du durch nichts davon abbringen.
 
ioe schrieb:
Ich hätte jetzt 3 Wörter verkettet und jeweils davor eine Zahl gesetzt.
Gaaanz schlechte Idee. Das ist ein beliebtes Vorgehen und dem entsprechend zielen viele Attacken auf genau so was ab. Eine Wörterbuchattacke ist die zweit simpelste Angriffsart (nach Brute Force). Es gibt aber noch viel mehr Attacken, die die Eigenarten von Menschen ausnutzen. Menschen sind schlecht darin, sich gute und sichere Passwörter auszudenken.

Wenn es merkbar sein soll, dann empfehle ich, dem Kunden ganze Sätze vorzusetzen, wo sie von jedem Wort den ersten Buchstaben oder so fürs Passwort verwenden. Einen Satz kann man sich einfacher merken als eine wilde Zeichenkombination.
Beispiel:
Jeden Morgen um 8 gehe ich zur Arbeit. -> JMu8gizA.
Noch 20 Kilo weniger und ich sehe wie Claudia Schiffer aus. -> N20KwuiswCSa.
Gut merkbar, und sehr sicher.
 
  • Gefällt mir
Reaktionen: terrapower2
@BeBur Das ist sowieso eine zweite Option (sowie OAuth)... aber es sollte möglich sein sich ohne E-Mail Adresse anzumelden.

@madmax2010 also so wie ich das schon vorgeschlagen habe? :p

@Krik es geht ja darum, user die keinen pwd manager verwenden etwas sicheres vorzuschlagen. Deine Annahme beruht darauf, dass das erzeugen eines Hashes schnell geht, das ist aber bei Argon2 nicht der Fall.
Selbst mehr als 1 Mio Hashes pro Sekunde erzeugen kann (was bei Argon2 wirklich sehr schwierig wäre), würde es immernoch 500.000 Jahre dauern die 1,4*10^19 Kombinationen durchzuprobieren

ps: JMu8gizA ist ein schlechtes Passwort, da zu kurz ;)
 
Zuletzt bearbeitet:
ja. Random Worte kombinieren ist gegen Wörterbuchangriffe recht rebust. Wenn du noch ein wenig kapitalisierst, Sonderzeichen nutzt, Passwörter und Mailadressen nur 1x nutzt bsit du schon recht weit vorne mit dabei.
Dazu noch ein Passwortmanager
 
@|Moppel| Man darf nicht vergessen, dass der Durchschnitts-User keine Ahnung von Security hat.

@madmax2010 Stimmt.. Mit Sonderzeichen wäre es ca. 10^20 Kombinationen.. nur leidet dann wieder die Merkbarkeit.. besser wäre wenn man dann 4 Wörter verwenden würde mMn.
 
@ioe
Du hast mich missverstanden. Ein Wörterbuch durchzuprobieren ist trivial. Das macht man quasi als erstes.
Der nächste Schritt ist es dann, das Wörterbuch zu nehmen und die Wörter mit und ohne zusätzlichen Zeichen aneinanderzureihen.
Und klappt das nicht, dann nimmt man das Wörterbuch und tauscht einzelne Buchstaben aus oder verdoppelt sie, spiegelt sie, usw.
Man versucht jegliche Arten von Kombinationen und Mutationen von bekannten Wörtern. Da ist einfacher als ein Brute Force-Angriff.

Es geht nicht nur stumpf um Zeichenlänge. Welche Zeichen da drin stecken, macht einen sehr großen Unterschied. Das hast du doch bereits erkannt, weil du gegen Wörterbuchattacken gefeit sein willst. Wenn du das wirklich willst, dann darfst du keine Wörter nehmen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Piktogramm
Ich würde sehr ein Passmanager empfehlen ...
Etwa wie dieser:
 
ioe schrieb:
Dabei bin ich auf diese Repo gestoßen: https://github.com/davidak/wortliste welches 240.000 deutsche Wörter enthält.

also ca 17 bit entropie pro wort. 18 bit wenn du es optimistisch siehst

ioe schrieb:
Ich hätte jetzt 3 Wörter verkettet

3 zufällige Wörter, ca 51 bit entropie, auch ganz ohne den quatsch mit den zahlen

bei 100000 versuchen pro Sekunde bist in 714 jahren durch

für irgendwelche web accounts reicht das

solange die entropie stimmt, gibts keine wörterbuch attacke

wenns geknackt wird, hast du keine entropie gehabt, überall das gleiche passwort verwendet, oder der angreifer hat einen anderen weg genommen (social engineering, passwort rücksetzen, etc.)

das problem an der xkcd Methode ist eher, du kannst diese passwörter nicht verwenden (mind. Groß Klein Zahl Sonderzeich Seuche ist überall) und merken kann man sich das nach dem 3. solchen Passwort auch nicht mehr...

Hauptvorteil: viel einfacher abzutippen als [%N92t5n=oB_pZ@{
 
  • Gefällt mir
Reaktionen: ioe
ioe schrieb:
"9Gourmets4pures0täuscht"
Für sich alleine betrachtet ist das Password sicher. Da du aber jedem Kunden ein Password vorschlägst ist es auch nicht schwer ein Muster zu erkennen. Es sind weniger als 1,4*10^19 Möglichkeiten. Außerdem musst du mit der Zufallserzeugung aufpassen. Wenn man den Seed der Zufallsberechnung erraten kann ist das nicht sicher, echter Zufall ist schwierig zu implementieren.
 
ioe schrieb:
Das ist sowieso eine zweite Option (sowie OAuth)... aber es sollte möglich sein sich ohne E-Mail Adresse anzumelden.;)
Warum nicht einen der vielen (kostenlosen) Token via Handy o.ä. wenn nicht via Email?
 
|Moppel| schrieb:
Ich würde empfehlen den Eingangspost zu lesen.
Das ist mir wohl bekannt ...
Wenn aber mit Passwortmanager kann man auch für einen Online Shop anwenden ...
Soweit ich von Bekannten erfahren habe.
 
Ich hab mir sowas gebastelt in Python zu Unizeiten.
  • 3 oder 4 Wörter aus 3 Dictionaries
    • Insgesamt habe ich 6 verschiedene Dictionaries
      • die wieder zusammengefügt sind aus mehreren diversen Dictionaries, im Schnitt hat jedes Dictionary 250-300k Wörter, zufallsgeneriert sortiert
    • welche 3 Dictionaries gewählt werden zu begin des Programms ist zufällig
  • jedes Wort verknüpft mit nach einem immer gleichem Schema
    • wiederum habe ich 6 versch. Verknüpfungschemen, die zufällig gewählt wird
  • sowie ein Zusatz am Ende des Wortes

Generierte PW haben eine Entropie von 90 - 110 Bit laut Keepass. Reicht für meine Zwecke.
 
Zuletzt bearbeitet:
Was soll denn konkret erreicht werden? Dass die Leute sich das generierte PW merken können?

Werden sie trotz aller Bemühungen nicht. Niemand merkt sich ein von aussen aufgezwungenes Passwort. Entweder sie speichern es sich direkt wie generiert in einen Passwortmanager (braucht also nicht merkbar zu sein, nur sicher) oder aber, viel wahrscheinlicher, sie ändern es entweder sofort ab in etwas maximal unsicheres (weil "ist meins" und "das kann ich mir wenigstens merken", drum gern auch dasselbe PW, das man überall verwendet) oder nutzen beim nächsten Shopbesuch direkt wieder die "Passwort vergessen" Funktion.
 
  • Gefällt mir
Reaktionen: florian. und BeBur
ioe schrieb:
Online Shop generieren
Funktioniert nicht, der Kunde wechselt bei erster Gelegenheit auf ein eigenes Passwort oder speichert das im Browser. Wenn er nicht gleich ein eigenes wählen will.

Generiere einfach eines mit 10 Zeichen.
Wichtiger ist das sichere Speichern. Argon2ID ist gut.
 
Zurück
Oben