Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Warum ist ein Passwort nur aus Zahlen nicht sicher?
Laut der Seite datenschutz.org ist ein Passwort nur aus Zahlen und 10 Stellen in einer Minute zu knacken. Besteht es aber aus 10 Stellen und dazu kleinen oder großen Buchstaben dauert es 18 Jahre. Stimmt dies wirklich so? Ich hab bisher nur Zahlen verwendet im Handy, weil es angenehmer war. Sollte ich also lieber ein Mix aus Buchstaben und Zahlen verwenden?
Nicht nur Zahlen und Buchstaben (große & kleine), auch Sonderzeichen kannste einfügen. Je komplexer das Passwort, desto schwieriger zu knacken. Wenn du nur Zahlen nimmst, muss ja nur eine gewisse Zahlenmenge abgeklappert werden, das geht dann schnell.
hä?
Steht doch direkt darunter, dass sich das "dezent" ändert.
Und natürlich macht es einen Unterschied bei der Vorgehensweise, falls man es Bruteforcen will. Die Option, dass es nur Zahlen sind, checkt man doch mal eben ab je nach Rechenkapazität weit über 10 Stellen. Das ist quasi das Eis, was man mal nebenbei in der Eisdiele kauft.
Sobald man nur ein Sonderzeichen reinpackt, erhöht sich die Sicherheit immens gegen das Vorgehen, weil ja keiner weiß welches Sonderzeichen es ist. ! und ? sind übrigens nicht so optimal, weil das jeder macht
Dazu müsste der Angreifer aber wissen, dass nur Zahlen verwendet wurden.
Falls die Passworteingabe ausschließlich Zahlen zulassen würde stimmt Deine Aussage für das o.g. Beispiel eines 10-stelligen Passworts, gibt halt nur zehn verschiedene Eingaben. Je mehr Zeichen für die Eingabe zur Verfügung stehen, umso länger dauert das "knacken". Das gilt natürlich auch, wenn die Passwortlänge deutlich größer würde.
Das Zauberwort heist Kombinatorik und es gibt ganz bestimmt ettliche Videos auf YT die das super erklären.
also die kurz version ist: nehmen wir mal an ein Computer kann eine 1.000.000 Kombinationen pro sekunde ausprobieren.
wenn du ein 10 Zeichen Kennwort nur aus Zahlen hast: dann muss er über BruteForce 10^10=10.000.000 kombinationen ausprobieren. Ergo unser hypothetischer PC bräuchte etwa 10 sekunden dafür.
wenn du ein 10 Zeichen Kennwort aus Zahlen und Buchstaben hast: dann muss er über BruteForce (10+27)^10= ca. 4.800.000.000.000.000 kombinationen ausprobieren. Ergo unser hypothetischer PC bräuchte etwa 4.800.000.000 sekunden bzw 55.655 Tage aka 152 Jahre dafür. bitte korrigiert mich wenn ich mich irgendwo verrechnet habe (und ja ich habe groß und Kleinschreibung ignoriert, dadurch wären die Zahlen noch viel weiter explodiert)
BruteForce ist aber idR nichtmehr der Angriffvektor der auf einzelne Passwörter angewendet wird. IdR ist es einfacher die Datenbank in der die Passwörter gespeichert sind zu knacken ... allzuviele Datenbankbetreiber sehen es nicht für nötig ihre Datenbanken zu verschlüsseln, wodurch dort die Passwörter regelmäßig in die Falschen hände gerät
Falls es ein Passwort für eine Offline eingabe ist (Entsperren des Handys z.B.) dann reichen einige Zahlen vollkommen falls du nicht gerade im Hochsicherheitsbereich arbeitest und die Wahrscheinlichkeit besteht dass sich ein professioneller Hacker mit deinem Handy beschäftigt
Der Punkt ist, wenn der Brute-Force-Abgreifer weiß, dass nur Zahlen genutzt werden stimmt das. Wenn die aber alle Symbole ausprobiert werden und das Passwort nur aus Zahlen besteht, dann kann es länger dauern, je nach dem welche Symbole die angreifende Software als erstes wählt. Wenn sie direkt mit Zahlen anfängt, Pech gehabt. Wenn die erst alle Buchstaben und dann Zahlen usprobiert dauert es länger. Da man das als Opfer nie weiß sollte man am besten komplexe und lange Passwörter mit Sonderzeichen (und noch immer nur das beliebte „$“!), Zahlen und Buchstaben benutzen. Jedes zusätzliche Zeichen potenziert die Sicherheit.
Also Zahlenpasswörter sind eventuell etwas sicherer als gerne dargestellt, wenn bei dem Login grundsätzlich auch andere Zeichen genutzt werden können, aber nicht zu empfehlen.
Es kann auch dumm kommen und beim 736268. Versuch ein 27 Zeichen PW zu knacken hat man Erfolg. Die ganzen Hochrechnungen sind eher als maximal Werte zu betrachten, bis es auf jedenfalls vom Computer erraten wurde. Viele Logins bieten Bruteforce Schutz, wenn optional unbedingt aktivieren. Dazu zählen Multifaktorauthentifizierung, Accountsperre / IP-Sperre nach x Versuchen nach Zeit Y. Interation der Wartezeit bis zum nächsten Login.
ich würde mal sagen das sollte selbsterklärend sein wie die Vorredner bereits gut erklärt haben, am Ende muss jeder für sich abwägen zwischen Komfort und Sicherheit.
Dann kommt ja noch "brutforce schutz" dazu, sprich, nach jeder falschen Eingabe erhöht sich die Zeit usw ... dafür gibt es ja solche Mechanismen.
@Pyrukar Gibt Groß- und Kleinschreibung + üäö und noch den Sonderfall ß, den es nur als Kleinschreibweise gibt
Und wenn ich mich gerade nicht vertue, ist ja noch früh oder spät, müsste die Stellenzahl unten stehen und die Optionen im Exponenten stehen. Aber bin auch nicht ganz fit im Moment, muss das jedes Mal überlegen
Hau einfach ein paar grosse und kleine Buchstaben und wenigstens ein Sonderzeichen rein ins Passwort. Wenn du Angst hast dein Passwort zu vergessen, dann gibt es Techniken sich sowas merken zu können oder aber du arbeitest mit nem Passwort-Manager (was Sinn macht, wenn du mehrere Passwörter hast). Wenn du noch sichererer gehen willst, dann ändere deine Passwörter auch hier und da...
Und wenn ich mich gerade nicht vertue, ist ja noch früh oder spät, müsste die Stellenzahl unten stehen und die Optionen im Exponenten stehen. Aber bin auch nicht ganz fit im Moment, muss das jedes Mal überlegen
@Cardhu ja groß und kleinschreibung + sonderzeichen habe ich ignoriert, ist mir auch aufgefallen aber schon diese Zahl wurde mir als exponentialschreibweise im Taschenrechner angezeigt korrekterweise müsste es bei alphanumerisch mit sonderzeichen eher so lauten: (10"zahlen"+27"kleinbuchstaben"+27"großbuchstaben"+15"sonderzeichen")^10"länge des PW"= 79^10=9,468*10^18 (also eine 18 stellige Zahl mit 9 vorne )
Also falls die das mit BF gemacht haben, stell halt ein, dass sich dein Handy löschen soll nach X Eingaben.
War die Tage bei nem Privatkunden, dessen Firmenhandy sich dachte, ich setz mich jetzt zurück mit dem neuen Access Point xD Multimilliarden-Unternehmen, das wohl nicht so drauf geachtet hat die Kontakte mitzusichern
Zum Glück ist es aber ganz einfach, sich ein unknackbares Passwort auszudenken und zu merken. Folgen Sie nur diesen Regeln:
‣ Überlegen Sie sich einen einfachen Satz. Es bietet sich ein Merksatz an, der mit dem Thema IT-Sicherheit zu tun hat. Etwa dieser: »Privates alsbald sehr sicher wegschließen oder richtig draufzahlen.«
‣ Denken Sie nun an eine Person. Auf keinen Fall an sich selbst (zu naheliegend), besser an einen prominenten, aber nicht allzu prominenten Menschen, etwa einen Künstler. Nehmen wir zum Beispiel Jim Sharman, den Regisseur der »Rocky Horror Picture Show«, der am 12. März 45 geboren wurde.
‣ Kombinieren Sie nun die Anfangsbuchstaben des Merksatzes mit dem Geburtsdatum der gemerkten Person. Fertig ist Ihr neuer persönlicher Zugangscode! Er ist leicht zu merken, unerratbar und passt dabei nicht nur für Ihren, sondern praktischerweise auch noch für mutmaßlich Tausende weitere Accounts: Password12345.
Ergänzung ()
Einen haben wir noch:
Dass „ji32k7au4a83“ ein sicheres Passwort ist, würden die meisten wohl direkt unterschreiben. Doch der Schein trügt. Das Passwort stammt aus dem sogenannten Zhuyin-Fuhao-System.
Um ein sicheres Passwort zu erhalten, greifen viele Nutzer auf einen Passwort-Generator zurück, um eine willkürliche Kombination aus Zahlen und Buchstaben zu erhalten. Sollte dann als Passwort „ji32k7au4a83“ ausgespuckt werden, würde es wohl jeder direkt für wichtige Accounts nutzen, obwohl es vermutlich unsicherer ist als „Katzenfan75“.
Cybersecurity spielt eine immer größere Rolle in der digitalen Gesellschaft, und spätestens seit den jüngsten Hacks sind Seiten wie Have I been pwned? bekannt und äußerst hilfreich.
Hier können Nutzer ihre E-Mail-Adresse eingeben, um prüfen zu lassen, ob der Account bei Datenleaks betroffen war. Eine weitere Möglichkeit, die die Website bietet, ist die gezielte Suche nach betroffenen Passwörtern.
Das Passwort „ji32k7au4a83“ über 100 Mal geleakt
Ein einfacher Test zeigt, dass „ji32k7au4a83“ bereits 141 Mal betroffen war und somit nicht mehr genutzt werden sollte. Das spontan überlegte Passwort „Katzenfan75“ war hingegen noch gar nicht betroffen. Aber wie kommt das?
Aufgedeckt wurde das Ganze von Software-Ingenieur Robert Ou, der seine Twitter-Follower fragte, ob sie wüssten, warum diese scheinbar zufällige Buchstaben-Zahlen-Kombination ein so unsicheres Passwort darstellt.
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— Robert Ou (@rqou_) March 1, 2019
Passwort aus dem Zhuyin-Fuhao-System
Einige von Ous Followern fanden schnell die Lösung für sein Rätsel. Das Passwort stammt aus dem sogenannten Zhuyin-Fuhao-System, einem System für die Transliteration von Mandarin.
Dahinter steckt die buchstabengetreue Umsetzung eines nicht in lateinischen Buchstaben geschriebenen Wortes in lateinische Schrift. Und dann heißt „ji32k7au4a83“ nichts anderes als „My Password“.
Genutzt wird Zhuyin, auch Bopomofo genannt, vor allem in Taiwan. Daraus könnte man jetzt schließen, dass Taiwanesen sich in Sachen Passwörter nicht sonderlich viel Mühe geben, aber in Deutschland sieht es auch nicht besser aus.
Am einfachsten ist es, selbst sicher aussehende Zufalls-Passwörter einmal checken zu lassen – nicht, dass sie in Indien, Thailand oder Malaysia so etwas wie „Katzenfan75“ bedeuten. Obwohl das ja vielleicht sicher wäre, aber das ist ein anderes Thema. Also Augen auf bei der Passwortwahl.
In einem anderen Thread gab es eine schöne Übersicht, wie lange es dauert, ein Passwort zu knacken. Ich meine @bender_ hatte es verlinkt. Ich finde den Beitrag jetzt nicht, aber vllt erinnert er sich ja.
Auf jeden Fall dauerte es mehrere Millionen Jahre für ein Passwort mit 16 Zeichen unterschiedlicher Art.
