"Wenn du kein Kunde bist, bist du idR das Produkt." « COLOSSUS Fullscreen Leftbar Close Leftbar Login now!

Passwort Management - Sinn/Unsinn & Empfehlungen

jives 01.04.2011 - 09:16 17608 258
Posts

HVG

untitled
Avatar
Registered: Jun 2000
Location: NÖ
Posts: 5594
quote:

Originally posted by JC
Das ist schon seit mehreren Jahren kein guter Rat mehr.


laut den kommentaren dazu schon

eitschpi

theyhateuscuztheyaintus
Avatar
Registered: Dec 2004
Location: vie
Posts: 3673
Ich hab die Idee quasi von xkcd. Und von einem Video über Passwortsicherheit.

wacht

pewpew
Avatar
Registered: May 2010
Location: Wien
Posts: 1493
quote:

Originally posted by JC
Das ist schon seit mehreren Jahren kein guter Rat mehr.



Der Artikel listet halt auch keine random word phrases sondern Dinge wie 'Bandgeek1234 und iloveyousomuch als Bespiele warum random words nicht gut sind... das ein gscheites Programm eher iloveyousomuch weil sprachlich sinnvoll probiert als icouchdefinitionbridgeeagle ist natuerlich klar...

Dieses Experts haben 90% encrypten koennen fusst auf einer md5 verschluesselten list - ich hab mir den spass mal gemacht nach einem EA Leak vor Jahren - man kommt in 5min auf knappe 50% nur mit den top10 der beliebtesten Passwoerter einem md5er und der search function in notepad++ ohne irgendwelchen spezialtools oder gpu-rechnereien, also net wirklich so scary wie es der Artiekl beschreibt...

mat

Administrator
Legends never die
Avatar
Registered: Aug 2003
Location: sbg
Posts: 22590
quote:

Originally posted by JC
Das ist schon seit mehreren Jahren kein guter Rat mehr.
Ich habe gestern und heute mehr über das Thema gelesen, weil ich offensichtlich eine Lücke hatte. Obwohl ich ein Fan von Bruce Schneier bin - einer seiner Algorithmen befindet sich im Kernel-Code von GPUPI -, ist dieser Ratschlag etwas unglücklich formuliert. Er baut nämlich darauf auf, dass es etwas Schlechtes ist, wenn der Angreifer weiß, wie das Passwort zustande gekommen ist. Das sollte allerdings meiner Meinung nach nicht den Maßstab für die Sicherheit eines Passworts setzen. Früher oder später wird jede verbreitete Methode nach ihren mathematischen Schwachstellen durchsucht und in einen Cracking-Algorithmus verwandelt. Die Schneier-Methode mit den Anfangsbuchstaben eines Satzes hat definitiv auch ihre Schwächen, weil englische Grammatik und gewisse Wörter, speziell Verben, auch vorhersehbar sind. Außerdem ist ein Satz aus zehn oder mehr Worten auch nicht gerade leicht zu merken.

Die XKCD-Methode ist also durchaus noch gültig, aber sie wird durch das Comic leider falsch angewandt. Die gewählten Wörter sollten nämlich nicht selbst ausgewählt werden, weil das dann alles andere als zufällig ist.

Eine gute Zusammenfassung von einem Entwickler bei AgileBits (1Password) zu diesem Thema findet man hier: http://security.stackexchange.com/a/62911

JC

Administrator
Disruptor
Avatar
Registered: Feb 2001
Location: Katratzi
Posts: 8843
Das Problem ist, dass so ein Vorgehen - wie so viele andere Dinge auch - ein gewisses Maß an Disziplin erfordert. Das kann vom Standard-User erfahrungsgemäß leider nicht erwartet werden: Convenience rules supreme. Kein Standard-User wählt vier zufällig gewählte Wörter aus einem Wörterbuch aus, wenn dabei beispielsweise "akzessorisch Übertragungsleitung Steinschütte Harmetallbohrer" herauskommt (das war gerade ein aktuelles, zufälliges Ergebnis der Random-Suche hier). Weiters lässt sich über die zufällige Auswahl streiten, die mit Sicherheit nicht zufällig ist (wie du ja auch schon richtig sagst), wenn das dem User selbst überlassen ist. Kein Standard-User will mehrere Programme verwenden oder zur Passwortwahl auf Würfel, Karten oder Münzen zurückgreifen.

Ebenfalls problematisch in Randall Munroes Comic ist die Tatsache, dass viele Passwort-Richtlinien auf einem Template basieren, dass den ersten Ansatz verfolgt, also "mindestens 8 Zeichen, mindestens zwei Ziffern, mindestens ein Sonderzeichen, mindestens zwei Großbuchstaben, etc." und dieses Passwort auch noch alle drei Monate geändert werden muss, wobei sich die Passwörter signifikant unterscheiden müssen und die letzten fünf Passwörter unterschiedlich sein müssen. Besonders toll ist es dann auch, wenn die maximale Passwortlänge auf eine niedrige Anzahl beschränkt ist.

Ich will damit weder das unglücklich benannte "Schneier scheme" loben (das sehe ich auch als Selbstbeweihräucherung), noch das Grundprinzip verurteilen; je mehr Entropie desto besser. Nur bin ich auch der Meinung, dass selbst jetzt, nach so vielen großen Leaks/Hacks und in einer Post-Snowden-Ära, das Sicherheitsbewusstsein des Normalbürgers zu wenig ausgeprägt ist, als dass das Comic allgemein umsetzbar wäre.

wacht

pewpew
Avatar
Registered: May 2010
Location: Wien
Posts: 1493
quote:

Originally posted by JC
Besonders toll ist es dann auch, wenn die maximale Passwortlänge auf eine niedrige Anzahl beschränkt ist.


Was besonders grossartig ist wenn man einen Passwortmanager verwendet und ein zu langes Passwort festlegt und das einfach gecropt wird ohne Meldung - ganz herrlich wenn dann beim Login 2Minuten spaeter das gepastete Password nicht geht

quote:

Originally posted by JC
Nur bin ich auch der Meinung, dass selbst jetzt, nach so vielen großen Leaks/Hacks und in einer Post-Snowden-Ära, das Sicherheitsbewusstsein des Normalbürgers zu wenig ausgeprägt ist, als dass das Comic allgemein umsetzbar wäre.


Wird sich auch nicht grossartig aendern, da kriegen wir noch eher ueberal Fingerprintsensoren als sinnvolle Passwoerter. Und selbst dann wird man sudern das es zuviel Arbeit is anderen Leuten guest-access oder so zu geben

eitschpi

theyhateuscuztheyaintus
Avatar
Registered: Dec 2004
Location: vie
Posts: 3673
Passwortzeichenbegrenzungen find ich jetzt nicht sooo schlimm. Ärger sind Dinge wie z.B., dass die ersten fünf Zeichen Zahlen sein müssen oder keine Sonderzeichen verwendet werden dürfen.

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: <?php
Posts: 2679
Ich hab mit fail-passwords wegen der forderungen (Großbuchstabe, zahl, länge) wieder angefangen bei einigen accounts. Zuvor hatte ich diverse zeichenketten. Aber alles ohne Großbuchstaben.

Inzwischen kommt das passwd für zb. Paypal aus dem manager. Dafür kann ich jetzt ohne manager nicht mehr rein.
Und einmal hatte mein sohn das passwd in nem chat geposted, weils vom manager noch in der zwischenablage war.

...ist halt nichts perfekt ohne disziplin

Lord Wyrm

wastelandwarrior
Avatar
Registered: Jan 2005
Location: Amstetten
Posts: 978
Keepass:
Kopierst du das PW mittels Doppelklick ausm Manager löscht er dies binnen 12 (defaultwert) wieder aus der Zwischenablage.

Das lastpass/1password (weiß nicht mehr was du zu Hause verwendest) dies nicht machen verwundert mich nun.


Bei KeePass gäbs dann auch noch das Auto Type Feature, hier definierst du einmal wie KeePass die Website/Applikation zu behandeln hat und mittels Tastendruck kopiert er dir die Credentials ins jeweilige Fenster, loggt sicht ein und man hat nichtmal den Manager geöffnet.

Rogaahl

Big d00d
Avatar
Registered: Feb 2014
Location: K
Posts: 338
Ich verwende KeePassXC welches KeePassHttp eingebaut hat. Für chromium ChromeIPass extension und das funktioniert problemlos. Dann muss auch nichts in die Zwischenablage kopiert werden und Passwörter werden automatisch bei der registration generiert und gespeichert.

Ovaron

AT LAST SIR TERRY ...
Avatar
Registered: Jan 2004
Location: Linz
Posts: 3596
quote:

Originally posted by Lord Wyrm
Keepass:
Kopierst du das PW mittels Doppelklick ausm Manager löscht er dies binnen 12 (defaultwert) wieder aus der Zwischenablage.

Das lastpass/1password (weiß nicht mehr was du zu Hause verwendest) dies nicht machen verwundert mich nun. ...



Lässt sich eh einstellen das das Passwort nach x Sekunden aus der Ablage verschwindet. (1Password Version 4.6.xxx)
click to enlarge

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: <?php
Posts: 2679
detailiert zu meinem 'vorfall': ich hab täglich in der firma mit 1password zu tun. da hatte ich noch nie probiert was passiert, wenn ich auf pw-kopieren klicke, ob es dann in der zwischenablage landet und wie lange es dort bleibt.

bei lastpass ist es nun nur aufgefallen, weil mein sohn strg+c kennt.

COLOSSUS

"Hi!"
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 10466
Was ich nicht verstehe: Warum teilen sich dein Sohn und du einen gemeinsamen Benutzer-Account? Das sollte 2017 echt nicht mehr noetig sein...

Bogus

C64 Generation
Avatar
Registered: Mar 2006
Location: <?php
Posts: 2679
wir teilen uns keinen account. ich habe für ein spiel von ihm mit paypal etwas gekauft, auf seinem pc.

XeroXs

Podcasthörer
Avatar
Registered: Nov 2000
Location: Lieboch (Stmk)
Posts: 7886
und da läuft dein 1password
< Contact Us - Forums - Über overclockers.at - Impressum - Unsere Mediadaten >