Wie sicher sind Schematische Passwörter

[Pyrukar]

Hallo zusammen,

da ja leider immer wieder Passwörter aus Website Datenbanken gestohlen werden, bin ich gerade mal wieder dabei einen Neuen Schwung Passwörter zu vergeben (Eher Tonusweise nicht weils gerade Akutell gebeached ist)

Es heist ja immer Jede Website ein Individuelles Passwort ... soweit so gut. Da ich PW Saves nicht wirklich vertraue (zumindest für PWs die mehr als nur Email und Nutzernahmen abdecken), frage ich mich, wie gut heutige Passwort Crawler geworden sind. Probieren die Stumpf aus, oder denken die inzwischen mit.
Es geht mir ehrlich gesagt nicht darum, ob ein Mensch die Passwörter erraten könnte, denn die Wahrscheinlichkeit dass es ein Mensch auf meine Passwörter abgesehen hat, halte ich für sehr gering.

Also meine Idee war, eine Relativ Sichere Passphrase ("Natürlich sicherer als das Folgende Beispiel) mit "_Website" zu versehen. also bspw. XyZ,123_Computerbase, XyZ,123_Amazon, XyZ,123_Ebay etc ... Mit einem Mindestmaß an Intelligenz könnte ein Mensch wohl problemlos von meinem CB Passwort auf mein Amazon oder Ebay Passwort schließen, aber ist das eurer Meinung nach ein Problem das Crawler bzw. Automatisierte Programme derzeit (oder in Absehbarer Zukunft) auch intelligent genug sind, das zu Verstehen.

Gruß
Pyrukar

 

[MikeLitoris]

Ich würde die Finger von schemenhaften PW lassen. Wenn das Schema einmal bekannt ist, dann gute Nacht :-(

 

[Helge01]

Wenn Passwörter aus unterschiedlichen Datenbanken gestohlen werden, erkennt man sehr schnell schemenhafte Passwörter. Würde ich nicht machen und lieber einen gut abgesicherten Passwortmanager mit zufälligen Passwörter nutzen.

 

[n1tro666]

das ist niemals sicher. das würde ich sein lassen.

 

[kieleich]

Das ist nicht viel sicherer als überall das gleiche Passwort. Man kann davon nur abraten.

Wenn es unbedingt so sein muss: benutze wenigstens unterschiedliche Stämme für Spaßprojekte (Computerbase u.a. Foren), und alles wo es ums Geld geht (Amazon, Ebay, Paypal, ...)

Alternativ gibt es "Password Hasher" als Browseraddon die machen aus XyZ,123 computerbase einen Hash (LFn4*tqn) und aus XyZ,123 amazon einen anderen Hash (BEL5"MxQ) und aus XyZ,123 ebay wieder einen anderen Hash (4zVP%LXD) damit ein eindeutiges Passwort für jede Seite und der Seitenbetreiber kann nicht sehen das du einen Hasher verwendest und welchen Stamm (XyZ,123) du dafür einsetzt.

Aber wenn wir schon bei Browser Addons sind kannst du auch gleich, ein richtigen Passwort Manager nehmen, der für jeder Seite ein echtes Zufalls Passwort mit hoher Entropie generiert.

Der Vorteil des Hashers ist lediglich das es überall funktioniert ganz ohne Passwort datenbank. Damit kommt man auch von unterwegs im Internet Cafe an seine Passwörter. Aber das war eine eigenschaft die eig. nur vor dem Smartphone Zeitalter relevant war. Heute hast du deine Passwörter immer inder Hosentasche mit dabei

Der Nachteil des Hashers ist ebenso... wenn jemand weis das du deine Passwörter so erzeugst. Und wenn dein Stamm nicht sicher ist. Dann kann damit jemand all deine Passwörter auf einen schlag knacken

 

[_anonymous0815_]

Die Entropie von Passwortmanagern oder dergleichen, wirst Du auf diesem Wege nicht erreichen und damit sind diese Passwörter eben nicht so sicher.

Prinzipiell heißt es ja auch: Passwortlänge > Komplexität.

Die Fritz!Boxen haben ein 20-stelliges, numerisches Passwort, was von EINEM normalschnellen Computer in ca. 70 Jahren geknackt würde.

Das ist nicht viel, aber ein komplexes Passwort mit z.B. 8 Zeichen 1%@h$K_L wäre laut https://www.security.org/how-secure-is-my-password/

In ACHT Stunden geknackt.

 

[Vigilant]

Je einfacher die Mustererkennung, desto.... der Satz braucht nicht ausformuliert zu werden, um zu wissen, wie er im Kontext der Frage ergänzt wird.

 

[_anonymous0815_]

Der Nachteil des Hashers ist ebenso... wenn jemand weis das du deine Passwörter so erzeugst. Und wenn dein Stamm nicht sicher ist. Dann kann damit jemand all deine Passwörter auf einen schlag knacken

Im Prinzip geht sowas schon, der Stamm muss halt entsprechend komplex sein.

Cloudflare hat z.B. eine Wand mit Lavalampen und knipst da aller paar Minuten Bilder und lässt sich davon den Hash ausgeben und nutzt das als SSL-Key.

Ergänzung (4. Februar 2024)

https://www.cloudflare.com/de-de/learning/ssl/lava-lamp-encryption/

 

[JAIRBS]

Da ich PW Saves nicht wirklich vertraue

Ich kann diese Einstellung bei Cloud-Managern ja nachvollziehen, aber was stört Dich denn an einer reinen Offline-Lösung wie Keepass?

Deine Schemen-Passwörter sind zumindest dann hinreichend sicher, wenn wo nur möglich 2FA verwendet wird.

 

[lazsniper]

nen passowrtsafe a la keepass kannst du ruhig verwenden, oder auch bitwarden.

bitwarden generiert auch passwörter und checkt, ob sie jemals bei nem leak aufgetreten sind.

2fa zusätzlich bei jedem dienst wo verfügbar.

 

[Tech-Dino]

An dieser Stelle ein kleiner Tipp zu einem (umfangreichen) Tool für die Passworterstellung:

Passwort Tech PW Generator
https://pwgen-win.sourceforge.io/

Der Programmierer Christian Thöing antwortet schnell auf Fragen oder Vorschläge.
(Habe für das Tool ein Spender Key gekauft.)

Die Funktionen des Tools übertreffen bei Weitem die Funktionen der eingebauten Generatoren der üblichen Passwortmanager. Das 77 Seiten Manual ist entsprechend umfangreich. ^^

 

[0x8100]

Wenn Passwörter aus unterschiedlichen Datenbanken gestohlen werden, erkennt man sehr schnell schemenhafte Passwörter.

prinzipiell richtig, aber keine datenbank sollte(!) passwörter im klartext gespeichert haben. leider gibt es noch solche experten, aber unter der voraussetzung, dass nur hashes gespeichert werden, wäre der ansatz sicher.

 

[Pyrukar]

Je einfacher die Mustererkennung

Das ist mir schon klar, dass das Muster supereinfach von Menschen Erkannt wird, die frage, die bisher unbeantwortetet ist: Wird eine Solche Mustererkennung schon Aktiv bei Hacker Programmen und Passwort Crawlern eingesetzt? Oder sind die immer noch Stumpf Copy Paste wird schon exakt das selbe sein.

Würde ich nicht machen und lieber einen gut abgesicherten Passwortmanager mit zufälligen Passwörter nutzen.

Heute hast du deine Passwörter immer inder Hosentasche mit dabei

Und genau da schließt ihr von euch auf mich Ich habe ein Handy Ohne Biometische Sicherheitsfeatures. Dh wenn ich ein Sicheres Passwort an meinem Handy eingeben möchte dann ist das super umständlich. Außerdem Nutze ich ein Handy dass inzwischen Keine Android Updates mehr bekommt und außerdem auf ein Googlefreies Android setzt ( Mein Appstore ist FDroid und ja auch da gibts PW Manager, das ist mir schon klar, aber Thema Passworteingabe am Handy).
Und ich bin eben sehr regelmäßig in der Situation, dass ich an Fremden Geräten ein PW eingeben muss. Deshalb möchte ich ehrlich gesagt am liebten Passwörter die ich mir Merken kann, und auf einen PW Manager verzichten!

Wie wäre es denn eurer Meinung nach mit XyZ_Cmp,123 und XyZ_Amz,123, XyZ_Pyp,123, Ich meine Anfangsbuchstabe + die ersten beiden Konsonaten ist sicherlich etwas, was ein Mensch auch erkennen kann, aber da würde sich doch schon eine Mustererkennung vermutlich die Zähne ausbeisen oder?

Edit 1: Natürlich möchte ich Statt XyZ und 123 schon noch sinnvolle Passwortteile einsetzen, aber solange die gleich bleiben ists halt wurscht solange eine Datenbank gehackt wurde.

Edit 2: Es geht mir eigentlich hauptsächlich darum, dass ich Websites ohne Relevante Persönliche Info besser schütze, denn tlw. haben die bisher eben PWs von denen ich sogar weis, dass sie gebreached sind, aber wer interessiert sich schon für Random Forenzugang xyz. Worst case mein Nutzeraccount wird übernommen ... so what, mach ich mir eben einen neuen

Edit 3: die Paar Websiten die tatsächlich Zahlungsinformationen direkt hinterlegt haben, haben sowieso 2 Faktor und ein Einzigartiges Passwort ... ich nutze hier nur Amazon und Paypal, weils halt jeder kennt

 

[kieleich]

du musst bei jeder seite von ausgehen das die das passwort im klar text haben.

wenn die seite gehackt ist kann jeder login mit gelesen werden.

ansonst reicht ein vergessenes debug log odgl aus.

desswegen ist es ja so wichtig für jede Seite ein eigenes, unabhängig zufälliges, Passwort zu haben damit Leak bei Seite A nicht auch deine allen anderen Accounts betreffen

ansonsten soweit möglich auch überall 2FA aktivieren, das arbeitet auch schlicht, mit einen Hash

 

[Evil E-Lex]

Deshalb möchte ich ehrlich gesagt am liebten Passwörter die ich mir Merken kann, und auf einen PW Manager verzichten!

Nutze Passphrases. Problem gelöst.

Ergänzung (4. Februar 2024)

Wird eine Solche Mustererkennung schon Aktiv bei Hacker Programmen und Passwort Crawlern eingesetzt? Oder sind die immer noch Stumpf Copy Paste wird schon exakt das selbe sein.

Nein, die sind alle doof und ackern die riesigen Leak-Dateien, die man im Darknet bekommt, alle per Hand durch. Sorry, aber soviel Naivität ist echt nicht gut. Das ist ein automatisierter Prozess. Und natürlich kann man in einem Datenbestand von Klartextpasswörtern nach Mustern suchen.

 

[Pyrukar]

Das ist ein automatisierter Prozess. Und natürlich kann man in einem Datenbestand von Klartextpasswörtern nach Mustern suchen.

Mir ist bewusst, dass das ein Automatisierter Prozess ist, und mir ist natürlich auch bewusst, dass das Technisch absolut Möglich ist, die Frage ist doch die: Wird der Aufwand aktiv betrieben oder werden zu 99% sowieso nur die Low hanging fruits abgeerntet?

Ich meine wie viel Milliarden Spam Emails werden täglich versendet und wie viele davon sind tatsächlich gut genug gemacht, dass der Versierte Normalbürger ernsthaft darauf reinfällt. Nur weil etwas Technisch machbar ist heist es noch lange nicht dass es aktiv ausgenutzt wird, gerade wenn der Aufwand eigentlich zu hoch für den Nutzen ist...

Wie gesagt: es geht mir nicht um Wertvolle Online Accounts sondern um Accounts die halt eigentlich keinen Wert haben, die aber dennoch Eine Email und Passwort benötigen.

 

[Evil E-Lex]

Wird der Aufwand aktiv betrieben oder werden zu 99% sowieso nur die Low hanging fruits abgeerntet?

Da man das problemlos automatisieren kann, ist es kein Aufwand.

Niemand interessiert sich für deinen Account im Hundezüchterforum.

 

[Geringverdiener]

Einfach auf die Tastatur amok schlagen

3ü409qirep5wor67g8gjw495p6ztn

und anschliessend noch Sonderzeichen einfügen und Groß/Kleinbuchstaben

3ü4W09qir'ep5wor6!7g8gBjw495p=6ztn

(Ein herkömmlicher PC könnte dein Passwort innerhalb von
795 Nonilliarden Jahren knacken.)


Dieses Passwort in einem Archiv speichern (und mehrfach absichern, auf unterschiedlichen Festpaltten, usb sticks)

 

[qiller]

Dieses Passwort in einem Archiv speichern (und mehrfach absichern, auf unterschiedlichen Festpaltten, usb sticks)

Oder man nutzt einfach Passwortmanager, die machen genau das (sogar portable möglich) und noch mehr und achten auch auf Dinge, die du als Normalo nicht im Kopf hast (z.B. temporär angelegte Dateien zu verschlüsseln, oder die Zwischenablage zu löschen). Meine Kombo ist schon seit langem

• Desktop-Rechner: Keepass + HIBP Offline Check
• Smartphone (nutze auch Fdroid mit CalyxOS): KeepassDX
• Datenbank liegt in der selbst administrierten Nextcloud

 

[Dr. McCoy]

Man kann das ganz kurz in einem Satz zusammenfassen, deine Idee, die Passwortsicherheit so zu lösen, ist für die (sicherheitstechnische) Tonne.