Druckversion des Themas

Geschrieben von: StormRider 25.10.2007, 20:32

Zu dem Thema mit den sicheren Paßwörtern könnte vielleicht eine kleine Umfrage interessant sein. Leider kann ich die nicht so aufbauen, wie professionelle Leute das machen, mir fehlt dazu Erfahrung und die Forensoftware läßt nur eine bestimmte Anzahl an Fragen zu. Bestimmt habe ich jetzt viele Dinge vergessen; betrachtet die Umfrage daher bitte etwas locker und als Übungsobjekt. Ihr könnt auch mehrere zutreffende Antworten geben.

Zusätzliche Antworten oder Anmerkungen kann man ja dann auch noch per Text nachschieben.

mfg
StormRider

Geschrieben von: Manu 25.10.2007, 22:28

"gar nicht; es ist leicht zu merken" bedeutet in meinem Fall: "gar nicht; nach ständigem Eintippen weiß ich's halt".

Geschrieben von: rock 26.10.2007, 08:27

done!

Geschrieben von: MyThinkTank 26.10.2007, 11:39

Hallo,

ein Problem bezüglich korrekter Antwort ist, dass es ja z. T. unterschiedliche Anforderungen an das Passwort gibt. Meine Online-Bank lässt nur relativ kurze Passphrasen zu (max. 10 Zeichen), die ich dafür regelmäßig wechseln muss.

Meine Gebrauchspassphrasen (z. B. Foren o. ä.) sind eher kurz, aber zufällig aufgebaut (z. B.: ah3k1nn8). Dort, wo es um sicherheitsrelevante Bereiche geht (und keine anderlautenden Vorgaben bestehen), verwende ich Passphrasen zwischen 15 und 20 Zeichen Länge, die das erlaubte Spektrum an Zeichen auch ausnutzen (idR sind keine Sonderzeichen erlaubt).
Im Bereich der Verschlüsselung nutze ich den Vorgaberahmen möglichst vollständig aus (PGP, WPA2, Truecrypt).

Ein Tip für alle: mehrsprachige Passphrasen kann man sich gut merken, sind aber gegen brute-force-Attacken relativ sicher, weil sie letztlich zufällig sind.

MyThinkTank

Geschrieben von: Denny 26.10.2007, 12:16

Mir fehlt die Auswahl oben "Was gehen dich bitte meine Passwörter an?" *bin mal weg* :-x *gg*

Hab mal mit abgestimmt.

Geschrieben von: StormRider 26.10.2007, 21:26

Nachdem jetzt einige Antorten vorliegen (wo sind die restlichen 120 User?), wage ich mal ein Resümee aus der Sicht eines Laien. Die Profis, welche sich jetzt gleich die Haare raufen ob meiner Naivität, würde ich ebenfalls um eine kurze Einschätzung bitten, denn vielleicht liest das hier mal jemand und fängt an, nachzudenken.

Die Umfrage bietet nur eine stark verkürzte Sicht, denn wir alle haben sicher mehr als ein Passwort. Und so ist abzuwägen, wo man schluddern darf, und wo absolute Sicherheit gefordert wird. Einen Feld- und Wiesenaccount eines Freemailers wird man wohl nicht mit einer 50-stelligen Passphrase absichern, und den Zugang zu einem Server verbarrikardiert man bestimmt mit mehr als 3 Zeichen.

Stand: 26.10.2007, 21.°° Uhr

In der Umfrage meinen 10 Leute, ihr PW wäre sicher. Das sind 50 %. Etwas wenig für Leser eines Security-Forums. Die 3 Leute, welche bekennen, dass sie einfache PW verwenden, müssen sich des Risikos bewußt sein - vielleicht sind die dahinterliegenden Anwendungen aber auch nicht so kritisch. Man sollte sich hier seine Gedanken darüber machen. Der 1 User, der es nicht so recht wußte, geht auf meine Kappe.

Die Sicherheit hängt von der Länge der PW zusammen mit deren Komplexität ab. Leider kann man oft nur eine beschränkte Zeichenmenge verwenden, andererseits sind lange und komplizierte PW unhandlich. Selbst verwende ich mancherorts nur sehr kurze PW, wo es m.E. nicht so sehr drauf ankommt, jedoch ist die Passphrase meines GPG-Schlüssels ca. 40 Zeichen lang, und der WPA-Schlüssel umfasst gar 63 alphanumerische Zeichen. 9 Leute geben an, mindest 10 Zeichen zu verwenden; das ist doch schonmal gut. Das niemand einfachsten Text verwendet, ist sogar noch besser. Den Hut zücke ich vor den 5 Usern, welche einen von mir als chaotisch bezeichneten Code verwenden - hier dürften Brut force Attacken ins leere laufen, wenn die PW lang genug sind.

Mit gemischten Gefühlen betrachte ich die Tatsache, dass 60 % der User das gleiche PW bei ähnlichen Aufgaben verwenden. Wer z.B. ein Mail-PW herausfindet, hat bei weiteren Mailaccounts dann gleich einen guten Ansatz, auch dort einzubrechen. Wer immer unterschiedliche PW verwendet, ist auf sicherer Seite. Ob das verwenden einer Liste mit rollierenden PW bedenklich ist, kann ich jetzt nicht einschätzen.

Die Leute, welche leicht zu merkende PW haben, beneide ich. Mir fällt nie was brauchbares ein, wenn ein neues PW benötigt wird, welches lang und sicher sein soll. Helfen könnte man sich mit einem Trick: man denke sich einen unlogischen Satz aus, z.B. Mein Hund taucht 15 Meter hoch. Entfernt die Selbstlaute und ersetzt sie z.B. durch fortlaufende Zahlen und füge anstelle der Leerzeichen ein Sonderzeichen ein: M12n#H3nd#t45cht#15#M6t7r#h8ch. Dieses richtig einzutippen, artet aber schon in Arbeit aus. PW im Browser zu speichern, könnte bei mangelhafter Programmierung gefährlich sein - ich liebe solche Gefahr . Es gibt Software, die sich auf das Verwalten von PW spezialisiert hat - bei Linux ist das häufig mit an Bord. Keine Ahnung, wie sicher das ist. Alles in ein spezielles Speichergerät zu packen, wo man dann nur noch 1 PW für alles braucht, ist m.E. gefährlich: die PW sind nur so sicher, wie der verwendete Universalschlüssel, und verliert man das Ding oder geht es kaputt, steht man u.U. vor einem Desaster. PW von einer bestimmten Stelle eines Buches zu verwenden, macht offensichtlich keiner - anscheind sind Bücher nicht mehr en vogue. Bei meiner Umfrage habe ich wohl was wichtiges vergessen, denn 5 Leute sichern ihre PW sonstwie - nun rätsel ich rum, was das wohl sein könnte.

Soweit jetzt mal meine unbedeutende Einschätzung, welche durchaus fehlerhaft sein kann. Vielleicht mag jemand Tips, Empfehlungen und Meinungen zum Thema Passwörter beisteuern, denn ich habe auch schon PW in der Form 123456 gesehen, und das als Zugangscode für Server.

mfg
StormRider, der irgendwie ahnte, dass ihn das Board während des Verfassens dieses Sermons rauswirft (Vorschau anklicken) und vorsorglich den Text mal kopiert hat, bevor er das nochmals tippen darf 

Geschrieben von: MyThinkTank 26.10.2007, 21:46

Einer von den Fünfen bin ich. Einige meiner Passworte sind kompliziert und ich habe sie schlicht auswendig gelernt. Sie sind also nicht leicht zu merken oder gar zu erraten. Ein solcher Punkt fehlte in Deiner Auflistung.
Hilfreich sind übrigens aus verfremdete Lied- oder Gedichtzeilen: "WeerreiitetsoospätduurchNachtuundWind"; jeder zweite Vokal ist doppelt.

Man kann natürlich auch eine Zeile aus http://www.lyricsdir.com/loituma-ievan-polkka-lyrics.html nehmen. (http://www.youtube.com/watch?v=vjvVBCNcL_A kann man sich das im Original anhören. )

MyThinkTank