ifun.de — Apple News seit 2001. 26 922 Artikel
Passwort-Karte für die Brieftasche

Ändere-dein-Passwort-Tag: Kryptonizer selber machen

43 Kommentare 43

Wie schlecht es, trotzt massiver Nutzerdaten-Leaks, noch immer um die Passwort-Sicherheit des durchschnittlichen Anwenders bestellt ist, wisst ihr bereits.

Betroffener Dienst

Aus Anlass des heutigen Ändere-dein-Passwort-Tages erinnern wir aber gerne noch mal daran, dass ihr eure Kennwörter in regelmäßigen Abständen ändern solltet – auch wenn die üblichen Verdächtigen inzwischen selbst dagegen wettern.

Mit Hilfe des Identity Leak Checkers, ein haveibeenpwned-Äquivalent des Hasso-Plattner-Instituts, könnt ihr im Vorfeld zudem prüfen, ob eure Zugangsdaten bekannt bzw. bereits im Umlauf sind.

Nach Eingabe eurer E-Mail-Adresse sendet euch das Sicherheits-Portal eine Liste mit Online-Diensten bei denen ihr eure Zugangsdaten umgehend ändern solltet.

Wie sich dies auch ohne gesonderten Passwort-Manager bewerkstelligen lässt, zeigt der Kryptonizer. Das auf Großkunden abzielende Werbegeschenk auf das uns ifun.de-Leser Hugo aufmerksam gemacht hat, veranschaulicht einen schon länger bekannten Trick zum einfachen Erstellen komplexer Passwörter nachvollziehbar und motiviert euch vielleicht dazu eine eigene Kryptonizer-Karte zu erstellen.

Freitag, 01. Feb 2019, 12:20 Uhr — Nicolas
43 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Christian Harten

    Was bringt das sicherste Passwort wenn die Seite gehackt wird und je nachdem tausende Login Daten entwendet werden?
    In dem Fall ist es egal ob mein Passwort 20 Stellig mit Sonderzeichen ist, oder ein einfaches HelloWorld

    • Nein, es ist nicht egal. Wird eine Seite von nur halbwegs vernünftigen Entwickler umgesetzt, sind die Passwörter nicht im Klartext sondern lediglich als Hash-Wert abgespeichert. Daraus das richtige Passwort herauszufinden (Brute Force), ist mit einfachen Standardpasswörtern (123456, passwort, …) wesentlich schneller erreicht, als mit einem 50 stelligen Passwort.

      • Dazu kommt, dass bei grundsätzlich verschiedenen Passwörtern nur eine Seite kompromittiert ist, aber keine größere Gefahr für andere besteht.

      • ein standard Bruteforce ist aber schon leicht auszuhebeln wenn man die Wartezeiten nach jedem Loginversuch einfach länger macht und dann kA nach dem 10x die IP blockt.
        somit wäre ein schon ein zweistelliges PW das nicht gerade 01 oder 10 (null-eins oder zehn) ist schon sicherer als so manches „supertolles“ Passwort. Sofern die Bruteforce mit den Zahlen anfängt und nicht mit Buchstaben. Wobei wir wieder beim Absichern an der Loginseite und nicht beim User sind. Wenn ich mir überlege das ich mal ein excel PW mit einer alten GTX680 geknackt hab. die hat einfach mal 2,5mio Passwörter pro Sekunde durch die Bruteforce Attacke gejagt. Ja klar lokal geht das schneller als im Web aber vom Prinzip her muss auf Seiten des Logins was gemacht werden. Mit Logiken wie schnell jemand sein PW eingibt(ob das menschlichen Ursprungs sein kann), Alarmemails an den Account Besitzer nach dem kA 5. falschen Login, von der üblichen Geolocation abweichende Logins usw…

      • Es geht hier um hashwerte…nicht um eine Brute-Force attacke auf eine WebSeite…in diesem Falle sind die Hacker bereits in Besitz der Passwort-Datenbank…und haben quasi die verschlüsselten Passwörter….dort ist ein Brute-Force deutlich schneller erledigt…naja…im Vergleich zum „anfrage an Webseite stellen“.

    • Wenn man davon ausgeht, dass dieses gehackte Passwort nicht überall das gleiche ist, schränkt man es zumindest ein.
      Ein langes Passwort bringt im Fall einer gehackten Plattform nichts, richtig.

    • Es geht darum auf jeder einzelne Seite ein andere, individuelles starkes Passwort zu verwenden und diese regelmäßig zu ändern.

      Der Hack einer Seite ist so völlig ungefährlich, da nur ein altes Passwort geklaut werden kann, das auch auf keiner anderen Seite verwendet werden kann.

      Das ist doch wirklich kein Hexenwerk.

  • Nun ja – besonders sicher ist dieses Verfahren mit der Kryptonizer-Karte ja nicht wirklich…

    • Grund? Oder einfach nur mal wieder gemeckert

      • Die Erklärung ist einfach:
        Problem 1: die ersten vier Zeichen sind schonmal für jedes Passwort die gleichen. Das reduziert die Anzahl der möglichen Passworte schonmal erheblich.
        Problem 2: Es wird für immer drei Buchstaben ein Zielwert codiert. Nehmen wir an, wie bauen uns ein Passwort aus Buchstaben und Zahlen. Damit kann jedes Zeichen deines Passwortes potentiell aus der Grundgesamtheit von 26 Buchstaben + 10 Zahlen – also 36 Werten bestehen. 62, wenn du Groß- und Kleinbuchstaben verwendest. Wenn du gegen so ein Passwort eine Brute-Force-Attacke durchführst, ist die Zahl der Möglichkeiten also 36 (62) hoch [Passwortlänge].
        Der „Codierer“ reduziert jetzt aber die Anzahl der verwendeten Zeichen ganz erheblich, da er für drei Buchstaben deines Quellwortes immer einen Zielbuchstaben verwendet. Macht Brute-Force theoretisch viel einfacher, da die Menge der Buchstaben jetzt 26/3 bzw. 52/2 ist. Entsprechend schneller laufen Berechnungen ab.

        Nichts desto trotz: sicherer als „123456“ ist ein so erzeugtes Passwort allemal. Kann sich ohne Passwort-Manager nur keiner merken. Und wenn ich eh einen Passwort-Manager zur Verwaltung einsetze, kann ich auch gleich „richtige“ Passwörter nehmen…

      • „52/2“ hätte eigentlich 52/3 heißen sollen. Nur falls das jemanden irritiert ;-)

      • Ich habe nicht gesagt, es ist KOMPLETT UNSICHER.
        Allerdings sind Passwörter, die immer nach einem fixen Verfahren (und zumal sehr simplen) Verfahren verschlüsselt werden nicht wirklich besonders sicher.
        Zumal noch der Faktor „Mensch“ kommt, welcher in Folge dieser simplen Verschlüsselung simple Passwörter verwendet. (z.B.Name der Website, nur mit der Karte „verschlüsselt“)

        Ein Passwortmanager, der einfach 24 Buchstaben Zahlen Zeichen generiert, ist deutlich sicherer.

      • @Phi: Deine Berechnungen in allen Ehren – ich habe sie nicht überprüft, aber kann Dir da folgen – wo war doch gleich noch mal der Punkt, an dem der Hacker weiß, welche Grundlage zur Generierung des Passwortes ich genutzt habe? Insofern können diese Erleichterungen doch gar nicht in Anspruch genommen werden…

      • Der Punkt ist dort, wo deine Mailadresse mehrmals mit verschiedenen, aber gleich beginnenden Passwörtern auftaucht. Oder wenn sich längere Passwörter in der DB befinden, die gleiche Sequenzen haben. Da kann ein Algorithmus schnell Zusammenhänge erkennen und aussortieren. Verknüpft mit anderen Datenbanken, in denen auch nur 1 gleiches PW oder 1 gleiche Mailadresse befindet, können zudem auch Rückschlüsse auf alte PWs gezogen werden. Sind dann noch die Domains bekannt, von denen die Daten stammen, können weitere Zusammenhänge gezogen werden und diese auf möglichen Domains getestet werden. Das können PCs per Skripte schnell und einfach testen.

  • Reduziere ich mit der Karte nicht sogar die Anzahl der möglichen Zeichen mit dem Faktor 3-4 (je nach Buchstabengruppe) und macht es das somit weniger komplex?

  • Ich wollte auch noch mal kurz nörgeln

  • Als ich bei Enpass endlich alle meine Logins gespeichert hatte, hat mir die App zu meinem Erschrecken angezeigt , dass ich einige Passwörter mehrfach benutzt habe. Teilweise sogar die gleiche Kombination aus Benutzer und Passwort.
    Das konnte ich dann mit Hilfe von Safaris automatische Passwort Vergabe Gottseidank ändern.

    • Check ich nicht, wird mit der automatischen tatsächlich das Passwort bei dem Betreiber geändert? Oder ist das eine Enpass Funktion die ich nich nicht kenne?

      • Nein nein, vielleicht etwas mißverständlich ausgedrückt. Meine alten Passwörter hatte ich „manuell“ erstellt. Mittlerweile bin ich dazu übergegangen, die Passwort-Erstellung von Safari zu benutzen. Habe aber nochmal alle in Enpass eingegeben (falls ich mal das Betriebssystem wechsel ;-)) Und Enpass zeigt mir mehrfach vergebene und/oder zu einfache Passwörter an. Das machen sicher andere Passwort-Manager auch.
        Daraufhin habe ich diese Fehler korrigiert. Wenn man im Safari bei einer Webseite ein Passwort ändern will, gibt es doch immer ein Vorschlag für ein automatisch generiertes sicheres Passwort.

        Ich hoffe, dieser Text ist klarer.

      • infokalypse –

        In den Einstellungen unter iOS („Passwörter & Accounts“) wird ebenfalls ein Symbol mit Ausrufezeichen angezeigt, wenn ein Passwort mit Login mehrfach genutzt wird/vergeben wurde.

  • Passworte regelmäßig zu ändern ist unnützer Humbug, denn dadurch wird die Sicherheit nicht höher, sofern das bisherige Passwort nicht gerade völlig dämlich gewählt war.
    Ich verstehe nicht, warum immer noch dazu aufgerufen wird. Die Sicherheit SINKT oft, wenn Menschen regelmäßig Passwörter ändern müssen, da sie sie dann weniger komplex wählen oder doch nur ne Zahl am Ende hochzählen.

    Vielmehr sollten wir zwei einfache Regeln verinnerlichen:
    1) verwende für jeden (!!) Dienst ein individuelles Passwort (–> kein Problem bei Leaks, nur das betroffene muss geändert werden).
    2) verwende ein möglichst langes (>12) , komplexes Passwort (–> Wahrscheinlichkeit für erfolgreiche Brute-force-Angriffe sinkt)

    Und, Bonusregel: Wirklich deutlich unterschiedliche Passwörter verwenden. „[immergleiche-Phrase_X]+Name-des-genutzten-Dienstes“ ist leicht erratbar, wenn ich irgendwoher [immergleiche-Prase_X] bekomme.

    Die zwei Artikel bei Heise von heute bringen das ganz gut auf den Punkt:
    https://www.heise.de/newsticker/meldung/Kommentar-Der-Aendere-dein-Passwort-Tag-ist-gut-gemeinter-Unsinn-4293393.html
    https://www.heise.de/newsticker/meldung/Kommentar-Steckt-Euch-Euren-Aendere-dein-Passwort-Tag-sonstwohin-4291584.html

  • Was wäre denn ein vernünftiger Grund, warum man seine Passwörter regelmäßig ändern sollte?

    Viel wichtiger ist doch lange Passwörter zu verwenden und für jeden Account ein anderes und das Ganze dann in einen Passwort-Manager.

    Ändern sollte man nur, wenn ein Account kompromittiert wurde. Alles andere macht es aufwändig und unpraktikabel und bietet keinerlei Mehrwert.

    Aus meiner Sicht ist der „Ändere-dein-Passwort-Tag“ Unsinn.
    my two cents

    • Es geht einfach darum ein Bewusstsein für das Problem zu schaffen. Natürlich ist es besser einen Passwortmanager mit 50-stelligen, verschiedenen Passwörter für jeden Login zu nutzen. Nur das macht kaum jemand.

      Der Großteil der Nutzer verwendet immer und überall dieselben Daten. Sein Passwort wenigstens einmal im Jahr zu ändern ist dann nicht die perfekte Lösung, aber zumindest ein Anfang.

      • Nein, das ist kein Anfang, sondern vermittelt falsche Sicherheit.

        Was hilft es dem Nutzer, wenn einen Tag nachdem er sein Passwort geändert hat, einer seiner Accounts gehackt wird? Inwiefern bietet es ein Mehr an Sicherheit, wenn er dann ein Jahr später wieder sein Passwort ändert?

        Die Nutzer sollten dafür sensibilisiert werden lange und einzigartige Passwörter zu verwenden. Wer überall das selbe Passwort verwendet und dieses ÜBERALL?! alle 3 Monate ändert, gewinnt keinerlei Sicherheit und dazu ist dieses Vorgehen noch völlig praxisfern!

    • Nur, wann weiss ich, wenn mein Email-Account kompromittiert wurde?
      Für ein „regelmässiges“ Ändern spricht: Ist das Passwort für einen Email Account bekannt, kann für die gesamt Zeit, für die das Passwort nicht geändert wurde, die Email Kommunikation mitgelesen werden.
      Ändere ich „regelmässig“ das Passwort für den Mail-Account reduziere ich die Mitlese-Zeit.
      Also: Es macht Sinn, bestimmte Passwörter immer wieder Mal zu ändern.

      • 1. E-Mail Accounts sollten, wenn möglich, immer per 2FA gesichert sein.
        2. Sollte jemand deinen E-Mail-Account kompromittieren, ohne dass der Dienstanbieter oder Du es bemerken, dann kannst du dein Passwort ändern so oft du willst, er wird wieder Zugriff darauf bekommen, da der Angriffsvektor vermutlich noch verfügbar ist.
        3. Wenn ein Angreifer deinen E-Mail-Account übernimmt, dann ist „mitlesen“ sicher deine geringste Sorge. Er wird dich aus deinem Account aussperren und bei allen verknüpften Accounts die „Passwort vergessen“ Funktion auslösen. Allenfalls du wärst eine PEP, dann würde ein Angreifer evtl. versuchen möglichst lange unbemerkt zu bleiben. Das betrifft hier aber wohl die allerwenigsten.

        Passwörter regelmässig zu ändern führt bei der Mehrheit der Nutzer zu simplen Passwörtern die oft um eine fortlaufende Nummer ergänzt werden, damit man sie sich überhaupt noch merken kann. Ergo: Weniger sichere Passwörter und daher eine schlechte Empfehlung.

  • Die Provider sollen für die Sicherheit sorgen.

  • Die verschiedenen Security Checker Seiten sind ja schön und gut, wenn Sie mir sagen, dass meine E-Mailadresse in einem Leak enthalten ist. Aber was bringt mir das?

    OK, wenn ich bei jeder Seite dasselbe Passwort mit dieser Adresse verwende muss ich überall mein Passwort ändern. Aber was, wenn ich überall ein anderes Passwort nutze? Dann wüsste ich doch gerne welches Passwort oder welche Seite betroffen ist.

    Klar, dass die Checker Seiten zu einer E-Mailadresse nicht einfach das zugehörige Passwort im Klartext ausspucken können. Aber Sie könnten den Passwort-Hash und das Hash-Verfahren mitteilen. Dann könnte man für seine Passwörter selbst prüfen welches betroffen ist.

    • Die Seiten vom HPI zeigen an, aus welchem Leak die Daten kommen. Dann weißt du wenigstens, wo du ggf. Passworte ändern musst (sofern du das gleiche nicht bei X Diensten verwendet hast – in dem Fall wären alle diese zu ändern). Du musst nicht alle Passworte bei den Diensten ändern, bei denen du den gleichen Benutzernamen (-> Mailadresse) verwendet hast. Problematisch wird’s erst, wenn du dort auch das gleiche Passwort verwendet hast.

      Mit dem Passwort-Hash könntest du nur bedingt was anfangen. Zumindest dann, wenn die Betreiber der Seite klug waren und ein Salt, idealer Weise zusammen mit Pepper verwendet haben (–> Wikipedia).
      So lange du diese beiden zusätzlichen Werte nicht kennst, bringt dir der Hash nicht viel, weil weder selbst berechnete Hash-Werte noch ein Suchen in Rainbow-Tables was bringen würden.

  • Nehmen wir an, ich lese, dass Firma XYZ jetzt herausfindet, dass ihre Datenbank im Jahr 2017 kompromittiert wurde. Ich bin Kunde dieser Firma und hab mein Password im Jahr 2018 geändert. Also bin ich tendenziell auf der sicheren Seite. Ein klarer Vorteil wenn man sein password ändert.
    Warum Heise.de und auch hier einige gegen das Ändern von Passwörtern meckern ist mir deshalb unverständlich.
    Ist schon klar, dass ich einen Password Manager verwende und für jeden Dienst ein anderes, zufälliges pwd vergebe.
    Und noch ein Grund, pwd regelmäßig zu ändern: Vor Jahren konnte man oft nur maximal 8 Stellen benutzen, jetzt nehme ich gerne 30 oder 60 Stellen, dem Password Manager ist das ja egal.
    Wenn ich mein noch so gutes (kurzes) pwd von vor Jahren nie ändere dann ist es bei steigender Rechenleistung mit brute force irgendwann schnell zu knacken.
    Außerdem bin ich bestimmt nicht der einzige, der mal irgendwo ein „Wohnort+Jahr“ pwd benutzt hat. Zum Glück hab ich sowas mittlerweile geändert.
    Jeder der etwas mit IT Sicherheit zu tun hat weiß, dass das Thema nie beendet sein wird. Regelmäßige Überprüfung aller Maßnahmen ist absolut notwendig. Dazu gehört auch die Anpassung aller Passwörter, Verwendung von Password Manager, 2FA, etc.
    Stillstand bedeutet Rückschritt.
    Jaja, hallo2018 in hallo2019 zu ändern bringt nichts, das ist mir schon klar, darum geht es nicht.

  • Servus,
    Ne frage hab ich, was ist denn mit dem Passwort Generator wenn ich mich irgendwo am anderen gerät einloggen will? Habe aber dann mein Handy nicht bei, da weiß ich doch nichts vom Dupree generiertem Passwort mehr?

    Also gehts nur wenn ich an meinen Geräten bin oder diese mit habe oder?

  • Hallo!
    Kann mir jemand etwas zu Passwörtern sagen, die dasselbe Muster haben?

    Nehmen wir an mein Passwort ist: T1nTsfacebook.com
    Das wäre mein Passwort für Facebook. Für google ersetze ich natürlich das facebook mit google.
    Das ist auch jetzt ein übertriebenes Beispiel und so würde ich das nicht machen, aber sind solche Passwörter gefährlich?
    Eigentlich doch nur, wenn sie im Klartext verfügbar sind oder?

    Danke im Voraus!

  • Neben der Diskussion, die Ihr hier oben führt, geht es im Speziellen um den Kryptonizer. Dessen Konzept greift unabhängig von der Sinnhaftigkeit, ob 3-4 Buchstaben den gleichen Zielwert ergeben und damit die Komplexität reduzieren oder nicht, an der fehlenden Merkbarkeit des zur Verschlüsselung selbst zu wählendem noch nicht verkrypteten Ausgangspasswort. Wenn man 100 Passworte per Kryptonizer verschlüsseln wollte, bräuchte man 100 verschiedene Kryptonizer oder 100 zu einem einzigen verwendeten Kryptonizer (einer am Schlüsselbund) verschiedene Ausgangs-Einfachpassworte. Das Konzept ist ohne Passwortmanager UNSINN und leider nichts weiter als ein Marketinggag.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 26922 Artikel in den vergangenen 6603 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2019 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven