Bin gerade dabei meinen wichtigen Accounts per KeePass gute Passwörter zu vergeben.
Ich frage mich aber, ob das auch wirklich Sinn macht. Denn wenn der Server (nicht meiner) des Accounts gehackt wurde, liegen u.U. die Passwörter der ganzen User ja offen da, oder?

da kann man nur hoffen, dass die Passwortdaten verschlüsselt auf dem Server liegen :)

Denn wenn der Server (nicht meiner) des Accounts gehackt wurde, liegen u.U. die Passwörter der ganzen User ja offen da, oder?

Deshalb sollten Passwörter als Hash-Werte vorliegen und nicht im Klartext.

Deshalb sollten Passwörter als Hash-Werte vorliegen und nicht im Klartext.
Jeder der es anders macht gehört geprügelt. :mad:

Deshalb sollten Passwörter als Hash-Werte vorliegen und nicht im Klartext.
Darauf hab ich ja keinen Einfluss.
Wie ist das denn bei 3DC?

Da das 3D Center Forum auf vBulletin aufbaut, ist damit zu rechnen, dass die Passwörter doppelt MD5 "verhasht" in der Datenbank vorliegen.

Hash reicht nicht, per Rainbowtabelle und/oder Brutforce ist auch das kein Schutz, da muss noch Salt in den Hash.

Sollte bei VBulletin so sein.

Hash reicht nicht, per Rainbowtabelle und/oder Brutforce ist auch das kein Schutz, da muss noch Salt in den Hash.
Gegen Rainbowtable&Bruteforce bietet doch aber gerade ein längeres/komplexeres Passwort einen gewissen Schutz, oder?

Was ist in euren Augen länger und komplex?

Ein Beispiel, was ich so benutze...
E5-J0uSW/EpC2+ocfqik8B;S/B="Du.bxoL8#DbW=1idR

Ich würds ja gerne noch mit höheren ANSI-Zeichen versehen. Problem ist aber, dass nicht jeder Server das unterstützt.
(Manche nicht mal Sonderzeichen oder nur "kleinstellig")


edit:
Wo wir gerade dabei sind...
Auf dem iPhone und iPad benutze ich "MiniKeePass"...
Leider ist damit nicht möglich Safari damit zu "vernetzen", wie es bei Firefox mit Keyfox möglich ist.
So bleibt mir nur Copy&Paste...

Gehe ich richtig in der Annahme, dass Copy&Paste "sicherer" ist als eine manuelle Eingabe? (wegen eventuellem Keylogger und so)

Keylogger auf einem iOS-Gerät?
Auf jeden Fall ist es schneller und komfortabler.

http://abload.de/img/password_strength-6804rc84.png

Wo wir gerade dabei sind...
Auf dem iPhone und iPad benutze ich "MiniKeePass"...
Leider ist damit nicht möglich Safari damit zu "vernetzen", wie es bei Firefox mit Keyfox möglich ist.
So bleibt mir nur Copy&Paste...

Gehe ich richtig in der Annahme, dass Copy&Paste "sicherer" ist als eine manuelle Eingabe? (wegen eventuellem Keylogger und so)

Sicherer in bezug auf welches Angriffszenario? Geht es um Deinen Heimrechner? Reden wir darüber, daß man in Deine Wohnung einbricht und Deinen Rechner verwanzt?

Snoopy69: Ein Keylogger kommt selten allein.
Wieso sollte jemand einen Keylogger schreiben, der nicht einmal die Zwischenablage auslesen kann?
@BlueI: Welche Zeichen du nutzt, ist total egal. Warum? Der, der dein Passwort knacken will, weiß nicht, welche Zeichen du benutzt hast - er muss also eh alle einbeziehen. Die Länge ist damit der entscheidende Faktor.

Wobei die Regel gilt:
Je schwerer die Passwörter zu knacken sind, desto mehr nimmt Pishing zu. Denn was ist leichter als wenn einem die Passwörter direkt in die Datenbank geschrieben werden?

@BlueI: Welche Zeichen du nutzt, ist total egal. Warum? Der, der dein Passwort knacken will, weiß nicht, welche Zeichen du benutzt hast
muss er nicht. ein semi-intelligenter bruteforcer wird zuerst die häufigeren zeichen durchgehen und die suche nach und nach ausweiten - quasi eine breitensuche statt einer tiefensuche. dazu kommen dann noch statistische angriffe (häufigere buchstabenkombinationen zuerst), dictionary-angriffe usw.

CorrectHorseBatteryStaple ist allerdings trotzdem eine der sichersten varianten, ganz einfach deswegen weil man alle nachteile ohne probleme mit extremen passwortlängen erschlagen kann.

Denn wenn der Server (nicht meiner) des Accounts gehackt wurde, liegen u.U. die Passwörter der ganzen User ja offen da, oder?
nur wenn die betreiber absolute idioten (*hust* sony *hust*) sind. ein passwort wird gesalzen, gehasht und dann in der datenbank abgelegt. damit fängt ein angreifer dann eigentlich nix sinnvolles an. ein kompromittiertes system hat allerdings noch andere angriffspunte. z.B. könnte dein passwort mitgeloggt werden wenn du es das nächste mal selbst eingibst.

Sind lange, komplizierte Passwörter u.U. sinnlos?

Jein, imho wichtig ist:
- nirgendwo identische Passwörter verwenden
- keine Passwörter nutzen, die anfällig für Wörterbuchangriffe sind
- mind. 10-12 Zeichen, optimaler Weise zufällig generiert
- wenn man der Bequemlichkeit wegen Online-PW-Tresore verwendet -> dort keine Passwörter für Accounts mit verknüpften Zahlungsdaten verwenden...

Das einzige, was zählt ist überall unterschiedliche Passwörter zu verwenden. Dann reichen selbst 5-Stellige Passwörter (alphanumerisch) völlig aus. Jede Webseite sollte wohl ausreichend gegen Bruteforce geschützt sein, dass 30 mio Logins auffallen und langsam ist Bruteforce übers web eh.
Und wenn die Datenbank abhanden kommt: mir doch egal, ob die Passwörter geschützt sind oder im Klartext vorliegen. Ich verwende das PW ja nicht ein zweites mal, daher hat der Angreifer auch nichts von dem Passwort.
Dennoch, mit Passwortmanager ist es ja wurscht, wie lang die PWs sind. Daher nutze ich meist 22 Stellen Groß, Klein und Zahlen. Das hat 131 Bit Entropie, das reicht gegen Bruteforce und Rainbowtables auch mit MD5 und ohne Salt.

Und wenn dein Passwortsafe geknackt wird liegen auch alle Passwörter offen. Diesen abzusichern ist also eigentlich noch wichtiger.

Sicherheit kann also an jedem Ende und sogar mittendrin gefährdet werden...

Deshalb benutze ich keinen Passwortmanager. Wobei ich sowas durchaus für sinnvoll halte.

Meine Passwörter sind meist zwischen 10 und 30 Zeichen lang, dabei achte ich meist darauf, dass ich sie mir merken kann, jedoch Sonderzeichen, Zahlen und Buchstaben verwendet werden, sowie das Passwort als gesamtes auf keinen Fall über eine Suchmaschine irgendwo gefunden werden kann. Für die meisten Dienste verwende ich unterschiedliche Passwörter, wobei eine kleine Änderung ausreichen kann.

Ich denke, dass Problem heute ist lange nicht, dass die Passwörter zu kurz wären und damit leicht zu knacken oder zu erraten wären. Sondern eher die Implementation der verwendeten Verschlüsselung. Das beste Türschloss hilft nicht, wenn der Einbrecher über den offenen Balkon einsteigen kann.

Sicherer in bezug auf welches Angriffszenario? Geht es um Deinen Heimrechner? Reden wir darüber, daß man in Deine Wohnung einbricht und Deinen Rechner verwanzt?
Wenn jemand einbricht hätte ich ein noch größeres Problem. Einbruch war aber nicht gemeint




Wobei die Regel gilt:
Je schwerer die Passwörter zu knacken sind, desto mehr nimmt Pishing zu. Denn was ist leichter als wenn einem die Passwörter direkt in die Datenbank geschrieben werden?
Etwa, dass der Hacker, der es auf meinen Account abgesehen hat, mir mehr und fiesere Phishing-Links schickt?

Manche Links sehen täuschend echt aus. Wären da nicht diese dummen Rechtschreibfehler :ulol:


BTW:
An die Zwischenablage hab ich gerade nicht gedacht. Das ist natürlich auch eine große Schwachstelle.

Ich habe für jeden Account an anderes, zufälliges Passowrt über keypass erstellt.
Ich stelle aber fest, das viele Seiten meine Passwörter gar nicht annehmen. Mindestens 12 Zeichen, Sonderzeichen, Klammern, Groß und Klein, Zahlen..
Tja solche Systeme wirken nicht gerade seriös ^^

Ich habe für jeden Account an anderes, zufälliges Passowrt über keypass erstellt.
Ich stelle aber fest, das viele Seiten meine Passwörter gar nicht annehmen. Mindestens 12 Zeichen, Sonderzeichen, Klammern, Groß und Klein, Zahlen..
Tja solche Systeme wirken nicht gerade seriös ^^
Deine Passwörter oder die Voraussetzung der Seiten?

Und meinst du Keypass oder Keepass?

Deine Passwörter oder die Voraussetzung der Seiten?
Natürlich seine Passwörter, keine Seite hat solche Anforderungen. Wäre auch bescheuert.

Versuche mal ein sicheres Passwort für das Telekom Mediencenter zu erstellen.http://mediencenter.telekom.de/

Nahezu unmöglich, scheint verbuggt zu sein.
Wenn man nur Groß-, Kleinbuchstaben und Zahlen verwendet, heißt es das Passwort sei zu unsicher.
Fügt man Sonderzeichen hinzu, wird das Passwort gar nicht erst angenommen, weil angeblich unzulässige Zeichen enthalten sind. Egal ob man die "genehmigten" Zeichen wie !$§ etc. oder andere verwendet.
Ziemlich sinnfrei das ganze.

Habs mit unterschiedlichen Generatoren und per Hand versucht. Aber mein Ursprungspasswort kann ich ums Verrecken nicht ändern.

Deine Passwörter oder die Voraussetzung der Seiten?

Und meinst du Keypass oder Keepass?

Ach ich meine Keepass hab mich verschrieben.
Und natürlich meine Kennwörter welche ich mir vom Gen erstellen lasse.
Wenn so die Anforderungen wären, würde sich dort keine Sau reggen ;D

Ach ich hab meine Passwörter als Strichcode auf einen Blatt was neben dem PC liegt.
Da muss ich garnix mehr tippen :-)
Ist für mich bequem und sicher - einfach einscannen.
Kein vertippen mehr, egal wie kompliziert oder lang die Passwörter sind.

Natürlich seine Passwörter, keine Seite hat solche Anforderungen. Wäre auch bescheuert.
Doch, die gibts (nur Groß/Kleinbuchstaben und Ziffern erlaubt)... :wink:


Versuche mal ein sicheres Passwort für das Telekom Mediencenter zu erstellen.http://mediencenter.telekom.de/

Nahezu unmöglich, scheint verbuggt zu sein.
Wenn man nur Groß-, Kleinbuchstaben und Zahlen verwendet, heißt es das Passwort sei zu unsicher.
Fügt man Sonderzeichen hinzu, wird das Passwort gar nicht erst angenommen, weil angeblich unzulässige Zeichen enthalten sind. Egal ob man die "genehmigten" Zeichen wie !$§ etc. oder andere verwendet.
Ziemlich sinnfrei das ganze.

Habs mit unterschiedlichen Generatoren und per Hand versucht. Aber mein Ursprungspasswort kann ich ums Verrecken nicht ändern.
Wem sagst du das? Hab dort 3 Konten (wegen der schönen großen Cloud)...
Ich kenne dieses Problem, aber bei mir hat er das PW gefressen, wie ich angegeben hatte.

Aber es stimmt schon, manchmal kommt eine Meldung, dass irgendeine Bedingung (angeblich fehlende Ziffer) nicht erfüllt wäre. Habs ignoriert...
So hab ich nun Groß/Kleinbuchstaben, Ziffern und Sonderzeichen drin. Probiers nochmal...


Ach ich hab meine Passwörter als Strichcode auf einen Blatt was neben dem PC liegt.
Da muss ich garnix mehr tippen :-)
Ist für mich bequem und sicher - einfach einscannen.
Kein vertippen mehr, egal wie kompliziert oder lang die Passwörter sind.
Du hast ein leeres PW-Feld, scannst deinen Strichcode (QR-Code oder was auch immer) ein und das wird dann eingetragen? Wüsste nicht, das Windows das kann.
Aber egal was für einen Code du da hast, da kannst du die PWs auch gleich normal schreiben. Sicher ist keins von beiden, wenn bei dir jemand einsteigen würde.


Btw:
Ist zwar ein anderes Thema, aber verschlüsselt ihr auch eure Laufwerke?
Wenn ja, mit was? (Truecrypt, Bitlocker etc.). Können gerne im passenden Thread weiterschreiben...

Wem sagst du das? Hab dort 3 Konten (wegen der schönen großen Cloud)...
Ich kenne dieses Problem, aber bei mir hat er das PW gefressen, wie ich angegeben hatte.

Aber es stimmt schon, manchmal kommt eine Meldung, dass irgendeine Bedingung (angeblich fehlende Ziffer) nicht erfüllt wäre. Habs ignoriert...
So hab ich nun Groß/Kleinbuchstaben, Ziffern und Sonderzeichen drin. Probiers nochmal...


Ja, werde ich mir bei Gelegenheit noch mal antun :wink:
Jetzt wartet aber erst mal eine komplette Neuinstallation von Windows auf mich :frown:


Btw:
Ist zwar ein anderes Thema, aber verschlüsselt ihr auch eure Laufwerke?
Wenn ja, mit was? (Truecrypt, Bitlocker etc.). Können gerne im passenden Thread weiterschreiben...

Ich verschlüssele lediglich wichtige Dokumente die auf der Festplatte herumliegen mit AxCrypt (http://www.axantum.com/axcrypt/).
Um die komplette(n) Platte(n) zu verschlüsseln, müsste ich erst wieder alle Daten herumschieben und kopieren, das ist mir ehrlich gesagt momentan zu aufwendig.
Und immer wenn ich eine neue HDD kaufe, vergesse ich natürlich erst mal wieder die zu verschlüsseln und dann habe ich wieder das gleiche Problem.

Ich verschlüssele lediglich wichtige Dokumente die auf der Festplatte herumliegen mit AxCrypt (http://www.axantum.com/axcrypt/).
Um die komplette(n) Platte(n) zu verschlüsseln, müsste ich erst wieder alle Daten herumschieben und kopieren, das ist mir ehrlich gesagt momentan zu aufwendig.
Und immer wenn ich eine neue HDD kaufe, vergesse ich natürlich erst mal wieder die zu verschlüsseln und dann habe ich wieder das gleiche Problem.

Du kannst die Systemplatte mit TrueCrypt auch im laufenden Betrieb verschlüsseln.

BTW:
An die Zwischenablage hab ich gerade nicht gedacht. Das ist natürlich auch eine große Schwachstelle.
Siehe zB https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Preference_reference/dom.event.clipboardevents.enabled
Steht standardmäßig natürlich auf "Erlauben".

Ich meine mal gelesen zu haben, dass Bitlocker irgendwelche Vorteile gegenüber Truecrypt hat (und umgekehrt).
Da, wo ich arbeite wurden tausende Rechner mit Bitlocker verschlüsselt. Also kann das ja garnicht schlecht sein, oder?

Möchte nochmals auf seine Aussage zurückkommen...

Wobei die Regel gilt:
Je schwerer die Passwörter zu knacken sind, desto mehr nimmt Pishing zu. Denn was ist leichter als wenn einem die Passwörter direkt in die Datenbank geschrieben werden?
Wie war das genau gemeint?


Siehe zB https://developer.mozilla.org/en-US/docs/Mozilla/Preferences/Preference_reference/dom.event.clipboardevents.enabled
Steht standardmäßig natürlich auf "Erlauben".
Hängt das nicht auch von der Seite selbst ab?
Habe letztens meinem Paypal-Konto ein neues PW vergeben.
Copy/Paste beim PW-Eingabefeld funktionierte um´s verrecken nicht.
Musste das komplizierte PW von Hand eingeben (sogar zweimal zum Verifizieren) :mad:

Doch, die gibts (nur Groß/Kleinbuchstaben und Ziffern erlaubt)... :wink:

Du hast mich falsch verstanden. Meine Aussage zielte auf die Kombination von allen seinen Bedingungen - wenn man anfängt, Sonderzeichen zu verlangen oder lange Passwörter, nimmt die Anzahl derer zu, die ihr Passwort vergessen, bzw. sich ganz aus ihrem Account ausperren = mehr Arbeit für den Support = unrentabel
Möchte nochmals auf seine Aussage zurückkommen...

Wie war das genau gemeint?
Die Aussage "Je schwerer die Passwörter zu knacken sind, desto mehr nimmt Pishing zu." hat einen einfachen Hintergrund:
Wenn die Passwörter leicht zu knacken sind, ist der Aufwand für gutes Pishing unrentabel. Sind die Passwörter aber schwer zu knacken (und das kommt eben durch viele lange und komplexe Passwörter), lohnt es sich, einen gehörigen Aufwand für Pishing zu investieren, damit einem die Leute die Zugangsdaten direkt nennen und man sich die Zeit für die Entschlüsslung spart. Als Nutzer kannst du dafür oder dagegen aber wenig machen. :D

Die Aussage "Je schwerer die Passwörter zu knacken sind, desto mehr nimmt Pishing zu." hat einen einfachen Hintergrund:
Wenn die Passwörter leicht zu knacken sind, ist der Aufwand für gutes Pishing unrentabel. Sind die Passwörter aber schwer zu knacken (und das kommt eben durch viele lange und komplexe Passwörter), lohnt es sich, einen gehörigen Aufwand für Pishing zu investieren, damit einem die Leute die Zugangsdaten direkt nennen und man sich die Zeit für die Entschlüsslung spart. Als Nutzer kannst du dafür oder dagegen aber wenig machen. :D

Doch - besser in deutsch sein (Rechtschreibfehler und so :freak:

Du hast ein leeres PW-Feld, scannst deinen Strichcode (QR-Code oder was auch immer) ein und das wird dann eingetragen? Wüsste nicht, das Windows das kann.
Selbstverständlich. Solange der verwendete Scanner sich im System als Tastatur meldet, gar kein Thema...

Ok, aber trotzdem nicht sicher, wenn jemand einsteigen würde. Ich hätte zumindest noch den Masterkey, den der Einbrecher knacken müsste.

die Länge des Passwortes ist irrelevant - wichtig ist die Entropie

die Länge des Passwortes ist irrelevant - wichtig ist die Entropie

Was genau meinst du damit?

Er meint, dass Programme wie KeePass keine echten, zufällige PW generieren.
Solche Programme wären evtl. angreifbar, wenn der interne Generator ein knackbares Muster aufweist.

Die Aussage von Pest ist so falsch/missverständlich.

Richtig ist, dass Entropie und nicht Länge das eigentliche Sicherheitskriterium ist.
Trotzdem setzt sich die Entropie nunmal aus Länge und Zahl der möglichen Symbole zusammen.
Und genau deshalb heißt mehr Stellen auch mehr Entropie.

Selbst wenn man jedes mögliche Unicode Zeichen im Passwort nutzen könnte, würde man mit nur einer Stelle nicht über 21 bit Entropie hinaus kommen - etwa so viel wie eine siebenstellige Dezimalzahl.

Habe gerade in Lastpass meine Passwörter überprüfen lassen und folgende Meldung erhalten:

LastPass : LastPass Sentry Alert

Hello,

Hackers claim to have hacked the site adobe.com on 2013-11-25 and we've detected that your email address was included in the data published as part of the leak. The full description of the leak is as follows:
Adobe Systems announced on October 3rd of 2013 that hackers broke into Adobe network and stole source code for a range of products, including ColdFusion and Acrobat family of products. The breach also affected what was at that time estimated to be 2.9 million users but later was revised to include at least 38 million users. Adobe said hackers had stolen nearly 3 million encrypted customer credit card records, as well as login data for an undetermined number of Adobe user accounts. The breach happened in early October but the stolen accounts were not published on the web until early November. The published data includes 10s of millions of accounts with IDs, email addresses, encrypted passwords and more. NOTE: This part of the breach includes those accounts for which there was no password found in the breach data. Even though a password was not present in the published data we cannot confirm that the hacker(s) might have simply omitted it from the data dump.


Please update the password for your adobe.com account immediately. The LastPass Security Challenge, located in the Tools menu of the LastPass addon, will help find any other accounts using the same password as the leaked account.



Ich habe das Passwort jetzt natürlich gleich mal geändert.
Das alte Kenntwort war nicht sehr komplex, soweit ich mich erinnere.
Ein paar Zahlen und Groß-/Kleinbuchstaben, Länge etwa 13 Zeichen.

Normalerweise werden solche Passwortleaks doch immer in den Medien erwähnt, vor allem wenn es sich um so bekannte Firmen wie Adobe handelt.
Hatte davon gar nichts mitbekommen, ihr etwa?

Normalerweise werden solche Passwortleaks doch immer in den Medien erwähnt, vor allem wenn es sich um so bekannte Firmen wie Adobe handelt.
Hatte davon gar nichts mitbekommen, ihr etwa?
War eigentlich schwer zu übersehen...
https://www.google.de/#q=adobe+passw%C3%B6rter
http://xkcd.com/1286/

Vielleicht habe ich es auch nur vergessen :D
Oder mir war nicht (mehr) bewusst, dass ich selbst auch einen Adobe-Account besitze.

Dachte mir schon, dass das in den Medien sehr präsent gewesen sein muss.

Aber sollte in so einem Fall nicht Adobe die betroffenen Nutzer anschreiben und ihnen mitteilen, dass ihr Account eventuell korrumpiert wurde?

Nun ist genau der Fall eingetreten, den ich anfangs befürchtet hatte.
Allerdings hab ich noch nicht meine Accounts gecheckt.

http://www.abload.de/img/ypfs3.jpg