ComputerBase Menü
Aktuelles

Passwortsicherheit - aber bitte ohne Sonderzeichen

G

Gullwoop

Gast
Hi.

Es ist doch irgendwie merkwürdig, oder übersehe ich da etwas: An allen Ecken und Kanten wird man aufgefordert ein sicheres Password zu verwenden ... darf dann aber oft keine Sonderzeichen verwenden. Ist das nicht irgendwie Ironie!?
Gut, Passwörter sind leider bestimmt allgemein nicht mehr so sicher wie sie es mal waren, durch ein Brute-Force DingsBums und den immer schnelleren Prozessoren dürfte es wohl auch bei etlichen Sonderzeichen nicht allzu schwer sein für jemanden der sich damit auskennt. Aber ein Password ohne Sonderzeichen macht ers ja noch leichter.

Früher, als ich bei PayPal meinen Account angelegt hatte konnte ich ohne Probleme Sonderzeichen nutzen, nun wollte ich es ändern und viele Zeichen davon sind nicht mehr zulässig. Früher habe ich in meiner FritzBox ein Password mit Sonderzeichen verwendet, nun habe ich die aktuelle Software auf einer ganz neuen FritzBox und die weigert sich Sonderzeichen zu akzeptieren. Bei einigen anderen Sachen erging es mir nun ähnlich: Früher ging es (und bei alten Accounts noch immer) aber sobald man einen neuen Acc anlegt und/oder das Password ändert wird gemeckert wenn das Passs a) zu lang ist oder b) zuviele/oder überhaupt Sonderzeichen enthält.

Ein Schelm wer da böses denkt.
 
Also ich nutze Sonderzeichen bei PayPal und auch bei einer aktuellen FritzBox. Keine Ahnung, welche Zeichen Du da nutzen willst.

Und Sonderzeichen sind für ein sichereres Passwort kein muss.

Ich kann Deine Beobachtungen nicht teilen. Ganz im Gegenteil. Je weiter man zurück geht, je eingeschränkter war man in der Passwortwahl.

Und dazu kommt noch die 2 Wege Autorisierung. Die man zB bei PayPal nutzen kann. Das war früher auch nicht möglich.
 
Zuletzt bearbeitet:
Aus eigener Erfahrung: Sonderzeichen führen nur dazu, dass der Supportaufwand wegen vergessener Passwörter sich vervielfacht. Teilweise gehts schon los, dass die User nichtmal fähig sind einen Stern über die +-Taste einzufügen, obwohl sie sich das Passwort selbst gegeben haben.
Dann hast noch das Problem mit verschiedenen Tastaturlayouts, potentieller Ausnutzung von Schwachstellen und Sicherheitslücken, wenn man dadurch Code ins System einschleust.
Die Sicherheit wird dabei in der Regel nicht erhöht.

Relativ sicher ist nur ein gutes, langes Passwort, oder eine Zwei(+)faktor-Authentifizierung. Zu zweiterem geht auch der allgemeine Trend.
 
Also ich habe hier die FritzBox 7590 mit dem FRITZ!OS: v06.92 und bekomme immer ein "ungültiges Password" wenn ich mein Pass meiner alten FritzBox übernehmen oder in veränderter Form weiterhin verwenden will. Bei PayPal darf ich 20 Zeichen nicht überschreiten und dazu auch nicht alle möglichen Sonderzeichen. Ganz im Gegensatz zu meinwem alten Pass das ich bei PayPal hatte mit weit mehr als 20 Zeichen und vielen verschiedenen Zeichen (mal ganz abgesehen jetzt von Zeichen aus anderen Schriftsrachen).

Dass Passwörter nun nicht (mehr) wirklich sicher sind leuchtet ja schon ein, wie oben geschrieben. Aber diese Beschneidung führt nun nicht grade zu einer Besserung.
Einer Zwei-Faktor-Authentifizierung ist natürlich schön ung gut (Steam & Co) aber ist ja nicht überall anwendbar.

Naja, wollte das nur mal so in die Runde werfen das Thema da es mir persönlich in den letzten Tagen vermehrt aufgefallen ist und ich dafür keinen ersichtlichen Grund sehe.
 
und das >20 Zeichen lange Passwort tippst du jedes Mal beim Login in Paypal ein? Sicherlich nicht. Du speicherst dies im Passwortmanager deines Browsers und verlässt dich blind drauf, dass das schon sicher sein wird.
Also, wenn dann musst du schon ganzheitlich denken.
 
Und das automatische einfügen, egal auch welchem Wege, funktioniert auch nicht immer. Das muss nicht am Passwort selbst liegen.
 
Bei meiner online Bank darf das Passwort nur aus zahlen bestehen und max 6 stellen haben... Und nein das ist nicht die Pin sondern das Passwort der Webseite.
 
@homer: Da wird aber der Zugang nach ein paar Versuchen gesperrt. Bruteforce somit nicht möglich. Überweisen kannst ohne den zweiten Faktor sicherlich auch nichts.
 
Und bei meiner Bank ist es maximal 5 Zeichen lang. Zum Kontologin. Ein Webseitenlogin gibt es da nicht.
 
Und wo ist dann der Unterschied zu PayPal? Bei PayPal habe ich deutlich mehr Sicherheitsabfragen...
 
homerpower schrieb:
Und wo ist dann der Unterschied zu PayPal? Bei PayPal habe ich deutlich mehr Sicherheitsabfragen...
Zum Vergrößern anklicken....

Bei PP zahlst du mit deinen Zugangsdaten. Ohne TAN oder sonstiges
 
Auch wenn mir das jetzt vielleicht nicht jeder glaubt, aber ja, ich tippe mein 20+ stelliges Pass von Hand ein. Ich habe noch nie ein Pass im Browser abgespeichert. So selten wie ich mit bei PayPal etc. anmelde kommt das auch nicht so oft vor.

Da ich grade auf der ESET-Seite bin, dort lese ich grade wieder folgendes:
"WARNUNG

Wir empfehlen dringend die Verwendung eines sicheren Passworts, das lang genug ist und Zahlen, Sonderzeichen oder Großbuchstaben enthält. Verwenden Sie eine Mischung aus verschiedenen Zeichentypen, um Angreifern das Leben zu erschweren."
http://help.eset.com/eis/11.1/de-DE/idh_page_homenetwork_protection.html

Nur wie soll man sowas machen wenn das nicht funktioniert!?

Bei meiner Bank ist das auch ein ziemlicher Witz (Kontologin): Maximal 5 Zeichen darf das Pass lang sein, Zahlen und Buchstaben. Groß/Kleinschreibung wird ignoriert (habe ich z.B. bei der Vergabe des Pass ein "N" angegeben ist es egal ob ich beim Login ein "N" oder "n" schreibe, es wird BEIDES akzeptiert. Habe meine Bank da schon vor Jahren drauf hingewiesen, geändert hat sich nie etwas. Und dass ich nur geringe Versuche habe um mich anzumelden stimmt zwar aber nur für ein paar Minuten (zumindest zuletzut wo ich es probierte vor ca. 1-2 Jahren mal).

Ich finde zumindest da werden einem doch Steine in den Weg gelegt. Auf der einen Seite wird gesagt "Nimm ein gutes und langes Pass" und dann aber gleichzeitig "nur bestimmte bzw. keine Sonderzeichen, Groß/Kleinschreibung egal und ach nur maximal 20 Zeichen".

Prost!
 
Zuletzt bearbeitet von einem Moderator:
Gullwoop schrieb:
Bei meiner Bank ist das auch ein ziemlicher Witz (Kontologin): Maximal 5 Zeichen darf das Pass lang sein, Zahlen und Buchstaben. Groß/Kleinschreibung wird ignoriert (habe ich z.B. bei der Vergabe des Pass ein "N" angegeben ist es egal ob ich beim Login ein "N" oder "n" schreibe, es wird BEIDES akzeptiert. Habe meine Bank da schon vor Jahren drauf hingewiesen, geändert hat sich nie etwas. Und dass ich nur geringe Versuche habe um mich anzumelden stimmt zwar aber nur für ein paar Minuten (zumindest zuletzut wo ich es probierte vor ca. 1-2 Jahren mal).
Zum Vergrößern anklicken....
Das ist aber sehr wahrscheinlich eine PIN (und kein richtiges Passwort), mit der du nur passiven Zugang hast. Du kannst also verschiedene Daten sehen (Kontostand, durchgeführte Transaktionen), aber nichts daran ändern, insbesondere kein Geld überweisen. Das ist z.B. bei PayPal oder anderen Diensten anders und deswegen gibt es dort Passwörter.
 
Naja, das ist das Pass zum Konto. Zum überweisen brauche ich eine Pin, klar. Spielt bei sowas wichtigem aber meiner Ansicht nach keinerlei Rolle, selbst wenn man das Konto "nur" einsehen kann als unbefugter ist dies schon ZUVIEL (wobei man auch ohne Pin dann jemanden ärgern könnte indem man Sachen/Abbuchungen zurückzieht etc.)! Das ist schlimm genug den spätestens da wo es um Geld geht sollte man das Maximum rausholen. Dann lieber ein 60-80 Zeichen Pass mit allem an Sonderzeichen und drumherum, am besten Pass + extra PIN zum anmelden.

Eben habe ich wieder versucht bei meiner FritzBox das Pass zu ändern (meines was ich bei der alten FritzBox verwendete), dann kommt immer ein:
"Das Kennwort enthält ungültige Zeichen. Bitte korrigieren Sie die Eingabe."

Früher ging das immer. Ich mag das anders sehen aber mir persönlich schmeckt diese "Vereinfachung" absolut nicht.
 
Zuletzt bearbeitet von einem Moderator:
Wenn dir das bei deiner Bank nicht passt, dann wechsle.
Was aber sicherlich nicht geht ist, was du da behauptest. Man kann auch keine Abbuchungen einfach so zurückholen. Da gibts immer eine zweite Authentifizierung mit TAN oder sonstigem.

Bei deiner Fritzbox: Who cares? Von außen ist sie nicht zugänglich und von innen kanns dir sowieso egal sein. Das Passwort ist nur ein Manipulationsschutz. Da muss der Angreifer erst mal im Netz sein und dann hast du ganz andere Probleme. Zudem macht die Fritzbox sehr schnell dicht bei Bruteforce-Attacken.
Bei solchen Logins, die der Normalkunde alle Schaltjahre mal eingibt, ist ein einfaches Passwort zig mal besser, als ein "gutes". Das wissen 95% der Kunden nicht mehr, wenn man es mal braucht. Die meisten lassen zum Glück eh gleich das ab Werk drauf (Glück für Dienstleister).
Für den professionellen Einsatz sind die Fritzboxen eh weder gedacht noch wirklich geeignet.
 
Zuletzt bearbeitet:
Naja, naja, ich seh das alles etwas weniger leicht aber da mag jeder seine eigene Meinung drüber haben. Wie gesagt finde ich grade beim Geld hört das auf und da sollte es schon besser gestaltet sein. Das mit den Abbuchungen kann gut sein, ist bei mir schon ewig her dass ich da mal etwas zurückgeholt hatte. Glaube ich (hoffe ich) gerne dass sich da inzwischen etwas geändert hat und ich falsch lag. Bin aber trotzdem der Meinung das selbst "nur" ein Einsehen des aktuellen Kontostands für unbefugte viel zuviel wäre.

FritzBox von außen nicht zu erreichen!? Ich kenne mich in Technikangelegenheiten nicht aus, gebe ich auch gerne zu. Sicher bin ich mir aber fast schon dass dies wohl möglich sein dürfte. Zumindest AVM selber dürfte Zugriff haben (Updates & Co.) und ggf. auch der Provider selber (grade wenn man die Boxen von denen hat). Aber auch das sei mal dahingestellt. Mich interessiert es jedenfalls das mit dem Pass welches stark beschnitten wurde in den Sonderzeichen. Dass die FritzBox schnell dicht macht bei BrutForce Attacken ist aber nur für mehrere Minuten der Fall, dann kann man weiter fröhlich herumprobieren.

Was der Normalkunde nun von von der Sicherheit seines Pass hält sollte da null eine Rolle spielen. Ich kann mir ja auch vorstellen wie da etliche Leute meckern würden wenn man die minimale Zeichenfolge eines Pass (z.B. dei der Bank) auf 64 Zeichen festlegen würde. Da würden bestimmt viele mit "Mimimi, warum muß ich den soviel eintippen..." ankommen. Entweder halt ganz oder gar nicht, aber nicht immer dieses "ich will Sicherheit aber mein Pass darf nur 12345678 sein - und das bitte auch bei jedem Account/Login".

Nun gut, ich seh ich gewinne hier mit meiner Meinung keinen Blumentopf ... halte aber trotzdem daran fest.
 
Zuletzt bearbeitet von einem Moderator:
Guck dir mal zxcvbn an, ein "password strength estimator inspired by password crackers". Der prüft das intelligenter als "mindestens ein Sonderzeichen". Erklärung auf GitHub.
Die beiden Passwörter aus dem xkcd-Comic aus Post #5 sind da auch getestet worden, das Ergebnis wird dir nicht gefallen.
 
AVM hat keinen Zugriff, sonst wären alle Boxen mit einem Backdoor ausgestattet, welches früher oder später offen stehen würde. Das wäre der Super-GAU. Was hätte AVM auch auf deiner Box zu suchen?
Der Provider kann auf die Box, wenn du das freigeschaltet hast. Dazu nutzt dieser aber nicht dein Passwort und deinen Zugang. Insofern ist hier das Passwort irrelevant. Anderweitig (also mit deinem Passwort) kommt man von außen nicht auf die Box.

Die "paar Minuten" reichen aus um die Box zu schützen. Rechne dir mal aus, wieviele Möglichkeiten es gibt bei gerade mal 8 Stellen. Dann multipliziere das mit den Sperrminuten, die immer länger werden. Das wwürde Jahre dauern, zudem muss der Angreifer wie gesagt dann schon in deinem Netz sein. Dann wäre eh alles zu spät.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Passwortsicherheit durch "Wiederholung" höher?
Antworten
18
Aufrufe
3.325
RalphS
R
Master Sheep
Zugriff gestohlener Repeater Passwortsicherheit
Antworten
13
Aufrufe
4.870
mensch183
mensch183
fethomm
News Google Chrome 34 erhöht Passwortsicherheit und Komfort
Antworten
15
Aufrufe
3.893
RageFace
RageFace
iKantholz
Passwortsicherheit Vor/Nachteile
Antworten
10
Aufrufe
1.742
Yuuri
Yuuri
Ro155
Frage zu Passwortsicherheit
Antworten
6
Aufrufe
1.240
Ro155
Ro155
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz