Merkbare Passwörter generieren

[Alexander2]

Also ein Kunde will sich anmelden und bekommt dann ein solches Passwort vorgeschlagen.

Würde ich niemals annehmen vom Shop :-)

Am ende ist es auch einfacher für alle die wirklich sichere Passwörter wollen, den Passwortmanager ihres Vertrauens eines generieren zu lassen per klick und das dann anzugeben.

 

[foofoobar]

$ openssl rand -base64 48
foVGRpTlqZ7RfAN8VSi0MLaqZh8PSGx4tLdSFubXvUWc2jYAOs/TCMOHiVGG1QZJ
$ openssl rand -base64 48
qHfOtCgjE9jas8JqECqFyxVog/YfmIdNJ0drxjUBfwLBTcG3IqPhP19Aa155R3MU
$

 

[xammu]

toll @foofoobar zwei Passwörter sinnlos verpulvert

 

[foofoobar]

Das mit Argon2 gehashed sollte eigentlich recht sicher sein.. da die Verifizierung mit Argon ja ziemlich lange benötigen sollte.

Das salzen nicht vergessen.

 

[xammu]

salzen

Hängt von der Sprache ab, PHP salzt bei Argon2 automatisch. Ich glaube sogar generell beim hashen.

 

[Alexander2]

Wichtiger für jedwede abzusichernde Website finde ich generell, das alles mögliche an Zeichen für Passwörter möglich ist. ich hatte es schon ein paar mal erlebt, das die Längenbeschränkung einfach in meinen Augen zu kurz ist, und das selbst trotz Angabe der möglichen Zeichen sogar eben jene nicht akzeptiert wurden.

Und wenn ich SOnderzeichen meine, dann gerne auch alles mögliche woran auch gerne keienr Denkt →ĸ ̣ł #*~’<>|·…µ¬{[]¹²³¼½¬{
nur mal so Beispielhaft so reingedengelt hier.
Mit nem Passwortmanager dem man komplett freie Hand geben kann bei der Zeichenauswahl wird es um so mehr um so sicherer.

 

[foofoobar]

toll @foofoobar zwei Passwörter sinnlos verpulvert

Sind ja noch 39402006196394479212279040100143613805079739270465446667948293404245721771497210611414266254884915640806627990306814 Passwörter übrig.

 

[ioe]

@kieleich wie kann ich die Entropie ausrechnen? Alles über einer Entropie von 50 Bits sollte ja ausreichend sein

@Bully49 ich implementiere den Shop. Ein Pwd manager ist bei mir Standard

@XamBonX das hört sich sehr solide an. Hast du ein Link zu den Wörterbüchern?

@xammu: Leider muss man eine Passwort Richtlinie aufzwingen, da die meisten kunden einfach richtig schlechte Passwörter haben... Der Passwort Generator soll nur den Frust bei der Passwortsuche lindern

@Sykehouse Ja, das problem kenne ich.. Nur wenn der Kunde auf Passwort vergessen klickt, dann sind viele nicht fähig das Passwort korrekt abzuschreiben und einzugeben (ja es gibt User die nicht wissen was Copy/Paste ist) und dann bekommt man ein E-Mail dass der Login nicht funktioniert.. Daher ist es mir wichtig, Passwörter zu generieren, die man nur schwer Falsch schreiben kann. Hatte heute erst wieder ein Fall wo ein kunde 0 und O verwechselte

Hab mal meinen Ansatz implementiert. Hier ein paar beispiele:

1Bedeutung4Starensemble-widerspiegelte7
1VerdrängerPflichten#Weihnachtsmelodie+
4NichtabstiegsplatzKlebmittel-Tycoon0

@Alexander2 auf jedenfall. man unterschätzt wie stark ein Passwort wird wenn man zeichen verwendet, die nicht auf der Tastatur sind.. auch schon die Umlaute auf deutschen keyboards machen brute force angriffe sehr schwer...

 

[KnolleJupp]

Sagen wir mal so, würde mir ein Online-Shop (oder irgendeine andere Webseite mit einem Kunden/Benutzer-Login)
ein Passwort vorgeben, ich würde das sowieso sofort ändern.
Weil, wäre mir zu unsicher. Immerhin "kennt" diese Webseite dann mein Passwort, weil es mir im Klartext übermittelt wurde.
Das wäre eine Instanz mehr als nötig.
Oder zumindest wäre das Passwort auf irgendein dort hinterlegtes Script zurückführbar.

In meinen Augen ist ein Passwort dann sicher, wenn ich keine Bestandteile in Wörterbüchern finde und das Passwort nichts mit mir als Person zu tun hat.
Natürlich kann man jetzt noch vorgeben das man bitte Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen nutzen soll und das Passwort mindestens X Zeichen lang sein muss.

Ich muss aber auch zugeben das ich nicht überall ein anderes Passwort nutze, so wie man es machen sollte.

 

[Alexander2]

die nicht auf der Tastatur sind..

Oh, die hab ich grad alle mit der Tastatur gedrückt :-) aber ja.. dann wirds noch sicherer.

 

[xammu]

schlechte Passwörter

Dann bringe den Kunden bitte bei, das sie ihre Passwörter nicht ändern können.

 

[BeBur]

@XamBonX das hört sich sehr solide an. Hast du ein Link zu den Wörterbüchern?

Das ist eine Spielerei, sowas sollte man nicht produktiv einsetzen. Nimm etablierte Verfahren, aber im absoluten Notfall nimm etwas möglichst simples.

 

[Alexander2]

wie kann ich die Entropie ausrechnen?

Das müsste man doch im Code von Keepass zum Beispiel in Erfahrung bringen können, ich meine da sist open source. da kann man dann auch mit etwas Einarbeitung die Stelle finden, an der diese Anzeige den Überprüfungscode laufen lässt.

 

[kieleich]

Die Entropie wirklich halbweg zuverlässig, angeben kann nur der Passwort Generator selbst. Genauso wie du bei einem Kuchen immer den Bäcker nach dem Rezept fragen musst... andere Programme denen du ein beliebes Passwort vorlegst, können nur "schätzen", wenn sie den Algorithmus zur Erzeugung nicht kennen. Und diese Ergebnisse sind dann wild verkehrt

Der XKCD Ansatz ist einfach, 2048 Wörter, 11 Bit pro Wort. Große Wörterbücher haben ja auch den Nachteil das dann sicher Schimpfwörter und leicht verwechselbare mit darin sind.

Vorschläge für deutsche Wörterlisten (2048) gibts bei Bitcoin Bip 0039, Deutsch ist da allerdings nie offiziell aufgenommen worden.

Beispiel https://raw.githubusercontent.com/S...b54b1f5ee893f1704f34a088f/bip-0039/german.txt

 

[ioe]

Ok ich denke dieser Thread driftet von meiner ursprünglichen Frage ab.

Also nochmal Recap: Es geht darum technisch nicht versierten Benutzern ein Passwort anzubieten, welches sie leicht lesen, merken und schreiben können. Ja, es wäre besser mit Pwd Manager, OAuth usw.. aber darum geht es nicht.

Somit ist die Idee deutsche Wörter so miteinender zu kombinieren, dass ein möglichst sicher Passwort entsteht.

Nehmen wir an Herbert hat keine Ahnung von Computern und will sich beim Shop anmelden.
Dafür will er sein Standardpasswort verwenden das "herbert" ist.

Da das zu unsicher wäre gibt es eine Richtlinie die das verhindert. Damit Herbert jetzt nicht 10 min trail and error ein Passwort zusammenschuster das er nach 10 sek wieder vergisst, wird vom Shop eins generiert und vorgeschlagen.

Wie zb. 8ermessen5niederdeutsch!Torstange1

Die Frage ist nun, wie man ein "sicheres" Passwort aus einer 240.000 Wörter langen Wortliste erstellt

Edit: es sollte natürlich auch noch sicher sein, wenn der Angreifer die Generierungsmethode des Passwortes kennt

 

[XamBonX]

@XamBonX das hört sich sehr solide an. Hast du ein Link zu den Wörterbüchern?

Wörterbücher gibt es wie Sand am Meer im Netz, je schwerer man drankommt, oder je obskurer die Wörterbücher und Wörter, desto sicherer das PW. So oder so, mit genügend Zeit kommt man an jedes Wort ran.

Wie einer schon sagte, ist Spielerei. Reicht für meinen Gebrauch. Produktiv mit Kunden wurde ich es nicht nutzen. Es gibt etablierte Verfahren die für deinen Einsatz sicherer und besser sind.

 

[kieleich]

Die Frage ist nun, wie man ein "sicheres" Passwort aus einer 240.000 Wörter langen Wortliste erstellt

Sicherheit entsteht eben nicht durch möglichst obskure Wörter oder Einstreuen von Zahlen oder Sonderzeichen

Wenn dir 4 Wörter nicht sicher genug sind dann nimmst halt 5 oder 6. Aber sonst ist kein Quatsch notwendig.

Auch 44 Bits (vorschlag von XKCD) sind schon plenty für den Alltag und übersteigen bei weitem das was die meisten Leute von sich aus verwenden

Ansonsten lieber auch noch 2FA (TOTP) anbieten

(Problem mit den Wörtern wird dann sein das die Kunden von sich aus "unsicher" schreien weil seit Jahrzehnten auf Sonderzeichen trainiert)

 

[Alexander2]

Ich verstehen schon was du willst, für solche Leute einen Vorschlag zu bieten ist ja durchaus Legit.

Wie wäre ne Idee mit einer Wortliste basiert auf einen Zufallsartikel aus dem wiki + Weitere Wortlsiten? um etwas mehr random reinzubringen, jedenfalls Potenziell? Nur ne fixe Idee gerade.

 

[KnolleJupp]

Wenn sich Herbert nur "herbert" als Passwort merken kann, wird er sich sicher nicht

8ermessen5niederdeutsch!Torstange1

merken können! Oder soll er sich das Passwort aufschreiben? Das wäre doch wieder eine weitere Unsicherheit, die du dadurch provozieren würdest.

Was halte ich für sichere Passwörter?
Beispiele:
3n*Fy~3-=4e
8yP/P#}v%Kg
phv^G{pHa3A
q:*W4??_:n2
(U&x/%#h8#s
Usw.

Beispiel aus der Praxis.
Einem guten Freund von mir wurde vor vielen Jahren mal bei irgendeiner Webseite ein Passwort vorgeschlagen das ungefähr so aufgebaut war:
z394718

Und seit dem verwendet er dieses Passwort - natürlich immer mit leichten Abwandlungen - so gut wie überall.
Merken kann man sich das problemlos.

 

[ioe]

@KnolleJupp nein, merken nicht.. aber er kann's zumindest richtig aufschreiben.
Das ist ja nicht das ziel.. es geht ja darum Passwörter zu erstellen die einfacher zu merken oder aufschreiben sind als jd7nKA8izWYqti

Ich kenne genug Leute die ein Kleines Passwort buch besitzen... Man kann sagen was man will, aber so unsicher sind die Dinger nicht. Papier kann man nicht hacken

Ja die Passwörter sind gut.. aber wenn dann 1Il0O hintereinander stehen.. dann kommen wieder die E-Mails dass der Login nicht funktioniert. Wie gesagt... wir gehen hier vom DAU aus