Redfox· 26.05.11 · 21:55 Uhr

Spezialisten für Kryptografie werden auch hierbei gewiss noch die Köpfe schütteln; überhaupt sind Passwörter - vor allem, weil man sie so häufig braucht und dann zwangsläufig entweder immer das die gleichen Codes verwendet oder sie, allen Warnungen zum Trotz, in handlichen Listen erfasst - sicher eher noch ein Relikt aus frühen Computerzeiten.

Simply, people can no longer remember passwords good enough to reliably defend against dictionary attacks, and are much more secure if they choose a password too complicated to remember and then write it down. We're all good at securing small pieces of paper. I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet.

 jitpleecheep· 26.05.11 · 21:56 Uhr

*hust* Willkommen im 21. Jahrhundert. *hust*
Es gibt sowas wie Passwort-Manager... ;-)
z.B. KeePass oder 1Password, viele mehr.

 jitpleecheep· 26.05.11 · 22:00 Uhr

@Redfox: "I recommend that people write their passwords down on a small piece of paper, and keep it with their other valuable small pieces of paper: in their wallet. "

Super-Idee! Du meinst das Portemonnaie, das sich in der gleichen Tasche befindet wie mein Laptop?
O.o

 Redfox· 26.05.11 · 22:07 Uhr

Super-Idee! Du meinst das Portemonnaie, das sich in der gleichen Tasche befindet wie mein Laptop?

Ich habe mein Portemonnaie in meiner Hosentasche, wie geschätzt 99,9% aller anderen Menschen auch.

 jitpleecheep· 26.05.11 · 22:30 Uhr

"wie geschätzt 99,9% aller anderen Menschen auch."

Ach so. Na dann.
Ich kenne (persönlich) ca. ... hm... warte mal... ja, tatsächlich: EINE Frau die das macht...

 Dr. Webbaer· 26.05.11 · 23:38 Uhr

Mal ganz ehrlich: Wer von uns hat nicht Probleme mit Passwörtern?

Einfache Lösungen sind dem Webbaer nicht bekannt, immer mit dem selben Password zu kommen ist natürlich "klassisch" falsch, auch kann man sich mehrere Wörter oft nicht langfristig merken...

MFG
Dr. Webbaer

[1] also richtig verschlüsselt, bspw. so: http://de.wikipedia.org/wiki/TrueCrypt [i]
[i] ist natürlich ein wenig Overkill für den "Standardnutzer"

 jitpleecheep· 27.05.11 · 00:42 Uhr

m(

"Einfache Lösungen sind dem Webbaer nicht bekannt"
Man hat ja auch nichts besseres von "Dr." Trollbär erwartet.

Wer sich ein Passwort für seinen TrueCrypt Container merken kann, kann sich auch ein Passwort für seinen Passwort-Manager merken. Der erledigt dann auch gleich das Speichern neuer Daten, ganz automatisch, und ist in der Lage Anmeldeformulare auszufüllen, ganz ohne Sucherei und Copy&Paste.
"Nur mal so als Tipp."

 Wurgl· 27.05.11 · 00:45 Uhr

Listen von Passwörtern aus erfolgreichen Crackerangriffen findet man hier http://heise.de/-126608 und hier http://heise.de/-1153267

Ich selbst hab mal den guten alten Crack auf meine und auch auf fremde Passwortdateien losgelassen. Das war noch zu einer Zeit von 233 MHz ein schneller Rechner war und war nach so einem Jahr Rechenzeit bei ca. 95% erfolgreich. Meine eigenen Passworte hat der Kerl aber nicht gefunden und so verwende ich die bei einigen Diensten heute noch.

Aber schon richtig. Für den DAU sind Passworte einfach nur lästig, daher auch diese schwer zu erratenden Zeichenkombinationen wie 123456. Auf dem Gebiet wird sich noch einiges tun bis endlich mal etwas anderes und vor allem DAU-sicheres kommt.

 Dr. Webbaer· 27.05.11 · 00:53 Uhr

@jitpleecheep
Wichtig ist halt zuverlässig verschlüsselt und auf einem (externen) Datenträger, Password-Manager können Sie dafür gerne benutzen, dann können Sie sich auch Passwörter erstellen lassen, wenn Sie's so brauchen...

 Sven Türpe· 27.05.11 · 00:59 Uhr

Denn einerseits soll sie möglichst schwer zu knacken - also möglichst zufällig - sein, aber andererseits soll man sie nicht aufschreiben, was bedeutet, dass es eine Zeichensequenz sein muss, die sich unser Gedächtnis einprägen kann.

Beides ist falsch. Gegen das Aufschreiben spricht in den meisten Fällen nichts, vor allem nicht bei Passworten für Websites und andere Online-Dienste. Die werden nämlich selten von Einbrechern angegriffen, die Passwortzettel aus Wohnungen klauen. Und das Theater um die Wahl eines vermeintlich guten Passworts kann man sich oft schenken - mehr als drei Rateversuche muss es in vielen Fällen gar nicht überstehen, denn:

... überhaupt sind Passwörter (...) sicher eher noch ein Relikt aus frühen Computerzeiten.

Sie konnten sich bislang in den meisten Anwendungen gegen alle vorgeschlagenen Alternativen durchsetzen. Ein Ende der Passwort-Ära ist nicht in Sicht. Es gibt keine gleichermaßen einfache und universelle Alternative, die sich mit ähnlich geringem Aufwand einsetzen ließe.

Ein Relikt aus früheren Zeiten ist hoffentlich bald das Passwort-Genörgel. Passworte funktionieren, und sie funktionieren in der Bilanz besser als der ganze Nerdspielkram, der immer wieder als Gegenvorschlag auftaucht. Das haben wir schon einmal bei den Bezahlverfahren im Online-Handel durch: da hatten die Krypto-Nerds auch ganz irre Visionen, aber am Ende hat doch die gute alte Kreditkarte gewonnen - zu recht.

 Dr. Webbaer· 27.05.11 · 01:05 Uhr

@Türpe
Aufschreiben ja, aber bitte nicht auf (einen? :) Zettel, die man verlieren kann und gar in Kreditkartennähe hält (so richtig töfte funktionieren die Kreditkartensysteme ohnehin nicht). - Passwörter soll man sich nicht merken, sind leicht zu erstellen & funktionieren, korrekt!

MFG
Dr. Webbaer

 jitpleecheep· 27.05.11 · 01:41 Uhr

@Sven Türpe:
"Gegen das Aufschreiben spricht in den meisten Fällen nichts, vor allem nicht bei Passworten für Websites und andere Online-Dienste."

Hm?
Warum sollte ich ausgerechnet die absurd umständlichste Methode von allen wählen, wenn die anwenderfreundlichste gleichzeitig auch noch die sicherste ist?
Ich versteh's nicht. Unklar.

 Dr. Webbaer· 27.05.11 · 02:24 Uhr

Wir können ja mal versuchen die "einfachste Lösung" zu beschreiben, Vorschlag: Password-DB inklusive SW auf einem Gerät (Mobile oder anderes), das man dann bedarfsweise an Rechner anschließt oder das rechnerunabhängig bei der Erfassung des Sicherheitskontexts (Bankautomaten etc.) zur Hand geht, wenn man das Password nicht griffbereit hat. - Dazu noch eine zuverlässige Backup-Funktionialität.
Schwebte Ihnen so etwas vor, lieber unfreundlicher Kommentatorenkollege?

MFG
Dr. Webbaer

 Jürgen Schönstein· 27.05.11 · 02:32 Uhr

Das Problem bei Passwörtern ist doch, dass viele User entweder sowieso nur ein einziges Kennwort haben, das sie dann für alles benutzen (davon wird zwar auch abgeraten, aber wer hält sich schon immer an gute Ratschläge), oder sie benutzen Variationen eines Passworts. Und da wird's dann schon kitzeliger, weil das bedeutet, dass man auch von "harmlosen" Passwörtern schnell auf die delikaten und wirklich schützenswerten (fürs Bankkonto, beispielsweise) rückschließen kann. Mnemotechnik ist immer noch am sichersten, und wenn man einen Weg wie beispielsweise die Merksätze findet, dann ist diesel low-tech-Lösung gewiss nicht schlechter als alle anderen.

 Name· 27.05.11 · 02:35 Uhr

Benutze seit Jahren pwdhash. Zuhause als Erweiterung für die gängigen Browser, auf fremden Rechnern über pwdhash.com.

So muss ich mir für hunderte Seiten nur ein einziges Passwort merken.

 Dr. Webbaer· 27.05.11 · 02:54 Uhr

Mnemotechnik ist immer noch am sichersten, und wenn man einen Weg wie beispielsweise die Merksätze findet, dann ist diesel low-tech-Lösung gewiss nicht schlechter als alle anderen.

MFG
Dr. Webbaer

[1] Es sind streng genommen Zuordnungen der Art "Anbieter-Nutzername-Passwort", wobei der Nutzername manchmal wegfällt.
:(

 Ulli· 27.05.11 · 04:03 Uhr

Ich wende folgende Technik an: Für heikle Zugänge wie Bankkonto verwende ich ein spezielles natürlich nur im Kopf gespeichertes Passwort. Für mittelheikle wie Mailzugänge ein anderes leichteres Passwort. Für Zugänge, die ich als nicht wahnsinnig problematisch erachte, die die Mehrzahl ausmachen, verwende ich ein weiteres, das ich für solche Fälle immer wieder verwende. Des weiteren achte ich darauf, mich nur dann irgendwo zu registrieren, wenn ich es für nötig erachte, d.h. eher sparsam damit umzugehen. Überdies bin ich dann auch sparsam Daten preiszugeben, insbesondere persönliche, wenn es denn nicht unbedingt erforderlich ist. Bisweilen funktioniert das ziemlich gut und ich hatte auch bis jetzt nie Probleme damit.

 Redfox· 27.05.11 · 05:14 Uhr

Listen von Passwörtern aus erfolgreichen Crackerangriffen findet man hier http://heise.de/-126608 und hier http://heise.de/-1153267

Wobei einige Communitys auch sehr eigene Passwordvorlieben haben:

1. 123456 (13)
2. landser (10)
3. landser88 (8)
3. siegheil (8)
5. 14881488 (6)
5. 888888 (6)
7. skinhead (5)
7. deutsch (5)
7. 123456789 (5)
10. siegheil88 (4)

Wer sind das wohl...

 rolak· 27.05.11 · 07:04 Uhr

Während ich schlief, ging das Leben seinen Lauf:

• 21:56 mein erster Gedanke zum Text wird publiziert (der natürlich das Problem nicht beseitigt, aber immerhin seine Schwierigkeit auf '1' reduziert)
• 22:30 mein erster Gedanke zu den Kommentaren, derselbe Mensch wühlte in meinen Gedanken ;-)
• (erst) 23:38 kommt der erste mit der saublöden Idee, ein Zettel wäre dann besser, wenn er nicht aus Papier ist
• 00:45 blitzt typisches Statistik-Analphabetentum durch, "Lottozahlen,die einmal gewannen, sind wahrscheinlicher als andere", unbedacht der zeitlich bedingten Passworthärte H~1/t
• 00:59 noch so gerade in der Geisterstunde die unirdische Projektion von "wer nichts zu verbergen hat, braucht diese Unbill nicht zu fürchten" in die Welt des PWs
• 02:24 wird einem Blödsinn-Verzapfer klar, daß es schon wieder bemerkt wurde und er zieht sich wie üblich aufs Pöbeln zurück
• 02:32 Versuch eines Rückbezugs zum post, auch wenn übersehen wird, daß das eine pw nicht das überall verwendete, sondern das zum Container sein sollte
• 02:54 Reintreten reicht nicht, jetzt wird in den Fettnapf gesprungen

Schön kompakt dargestellt in weniger als zwei Dutzen Kommentaren...

Das Überwinden der technischen Distanz zwischen den zwei Bedeutungen von 'Datensicherheit' (möglichst einfacher+zuverlässiger Zugriff für den Berechtigte || möglichst schwieriger Zugriff für Nichtberechtigte) ist natürlich nur in den Fällen nötig, da es um gegenüber anderen schützenswerte Daten geht. Da unterschiedliches Behandeln á la Ulli(04:03) zu verwirrend sein kann, mit Sicherheit aber fehleranfällig ist, sollte die verwendete Methode dem kritischsten Element angemessen sein.
Egal ob nun mit einem 0815-universal-pw, mit einer verschlüsselten Liste (zip etc), mit zusätzlicher Verwaltungs-SW, oder mit unauffällig die Platte dekorierenden, verschlüsselten virtuellen Maschinen mit entsprechend eingestellten browsern (pw+proxy+*).

Auch wenn ich mit Sicherheit kein typischer surfer bin: Die Spitze des Eisbergs, also der (dekodierte & ausgepackte) Text mit der Liste der site/username/pw/*-Tupel umfaßt ~30KiB Zeichen, bei grob geschätzten 80Byte/Tupel also über 300 Elemente. Das dient allerdings in weiten Bereichen einem hier gar nicht thematisierten weiteren Sicherheitsaspekt: Möglichst wenig Rückschlußmöglichkeiten von den (Zugangs)Daten aufs RL durch datamining etc.

 Sven Türpe· 27.05.11 · 09:15 Uhr

Warum sollte ich ausgerechnet die absurd umständlichste Methode von allen wählen, wenn die anwenderfreundlichste gleichzeitig auch noch die sicherste ist?

Weil ...

1. ein Passwort-Manager ein Single Point of Failure ist.
2. ein Passwort-Manager ein Single Point of Attack ist, für Malware zum Beispiel.
3. die Sicherheit nur marginal vom Passwort-Voodoo abhängt: Standardangriffe sind heute Malware auf dem PC, Server-Hacks sowie Datenklau aus dem Back-end von Diensten.
4. wir uns Passworte sehr gut merken können, wenn wir sie nur regelmäßig benutzen.
5. Passworte den Vorteil haben, dass man sie überall dabei haben und über jeden beliebigen Kanal eingeben kann.
6. ein Passwort-Manager auf dem Händi gemessen am Gewinn bereits zu große Reibungsverluste verursacht und sich deshalb nicht lohnt.

Für wichtig halte ich lediglich ein wenig Abwechslung zwischen verschiedenen Diensten, um die Folgen eines ausgespähten Passworts einzugrenzen. Dies aber lediglich unter den Bedingungen eines Massenangriffs, der sich nicht gezielt gegen ein einzelnes Opfer richtet. Die Passwortwahl darf in diesem Fall durchaus Regeln folgen, die Abweichung zwischen den Passworten für verschiedene Dienste muss nur so groß sein, dass ein unmotivierter Angreifer mit einem bekannten Passwort und drei Rateversuchen nicht weit kommt.

Langfristig fällt die Diversifizierung als Hygienefaktor sowieso weg, weil wir irgendwann alles mit unseren Google-Accounts tun werden.

 Sven Türpe· 27.05.11 · 09:36 Uhr

Egal ob nun mit einem 0815-universal-pw, mit einer verschlüsselten Liste (zip etc), mit zusätzlicher Verwaltungs-SW, oder mit unauffällig die Platte dekorierenden, verschlüsselten virtuellen Maschinen mit entsprechend eingestellten browsern (pw+proxy+*).

Egal ist das nicht: bereits einfache Sicherheitsoptimierungen können gemessen am Risiko zu aufwändig sein. Wir dürfen nicht vergessen, dass das Thema eine ökonomische Komponente hat. Sicherheit ist kein Selbstzweck, sondern es geht darum, das Verhältnis zwischen Aufwand und Schadensrisiko zu optimieren. Da das Risiko gering ist ist die Risikoreduktion durch Optimierungen rund ums Passwort noch geringer, bleibt für besonderen Aufwand nicht viel Spielraum. Auch scheinbar geringe Aufwände fallen dabei ins Gewicht, wenn sie regelmäßig etwa bei jedem Nutzungsvorgang anfallen.

 jitpleecheep· 27.05.11 · 09:52 Uhr

@Sven Türpe:

ad 1: a) Ein Blatt Papier erst recht. b) Falsch. Ich hab meine Datenbank redundant lagern und kann per HTML drauf zugreifen.
ad 2: Ein Blatt Papier auch.
ad 3: Worauf zielt das ab? Wenn dir die Passwort-Sicherheit egal ist, dann brauchst du erst recht nicht die umständlichste Methode zu nutzen...
ad 4: Klar, ich behalte mal so eben ~100 verschiedene Passwörter (derzeit), mit hm... keine Ahnung, ~10 verschiedenen Usernamen für verschiedene Seiten. (Siehe rolaks Kommentar zum Datamining).
ad 5: Versteh ich inhaltlich nicht: Ich habe Passwörter, ich habe sie auch überall dabei. Und über welche Kanäle sollte ich sie noch eingeben wollen, ausser online?
ad 6: War auch gar keine Rede von.

"Auch scheinbar geringe Aufwände fallen dabei ins Gewicht, wenn sie regelmäßig etwa bei jedem Nutzungsvorgang anfallen."

Du meinst z.B., dass man ständig Listen suchen, darin rumkrakeln und davon abtippen muss.

 Wurgl· 27.05.11 · 10:02 Uhr

@rolak

Zwei Dinge blähen mich. Mit dem crack-Versuch so um 2000 wollte ich herausfinden, ob meine damaligen wirklich wichtigen Passwörter, nämlich die zu Hause und die am Rechner im Büro, durch eine Wörterbuchattacke zu knacken sind. Als Vergleich diente eine /etc/passwd eines Providers -- den es damals in dieser Form nicht mehr gab -- mit ca. 45.000 Einträgen. Die Antwort die ich mir selber nach ca. 2 Jahren Rechenzeit geben konnte war: ca. ~95% der Passwörter sind mittels Wörterbuch knackbar, ca. 60% der User verwendeten weiterhin das vom Provider vorgegebene Passwort. Meine eigenen Passwörter (5 Stück waren das) sind mittels Wörterbuchattacke nicht knackbar.

Der zweite Punkt ist die Halbwertszeit. Eine Halbwertszeit für ein Passwort mag tatsächlich existieren, speziell wenn man dieses irgendwem weitergibt, wenn einem Leute bei der Eingabe desselben beobachten können oder ähnliches. Speziell gilt so eine Halbwertszeit für Passwörter von (de)zentralen Servern in diversen Firmen. Die hat Anfangs der Admin, ab dessen ersten Urlaub auch sein Stellvertreter, irgendwann dessen Stellvertreter, dann einer der Entwickler und irgendwann die ganze Firma (bis auf den Chef ...). So eine Halbwertszeit bestreite ich vehement für Passwörter die nicht weitergegeben werden. Tatsächlich sind Angriffe ganz anderer Natur. Netzwerksniffer, Einbrüche in Rechner durch Unsicherheiten von Webdiensten (SQL-Injection etc.) oder Malware. Ich könnte jetzt was von Windows vs. Linux erzählen, ist ein Trollthema und bringt nix -- damals war jedenfalls '95, '98 und NT 4.0 aktuell.

Jedenfalls ist ein Passwort entweder sicher oder es ist bekannt. Ähnlich wie eine Geheimzahl bei er EC-Karte entweder geheim oder bekannt ist. Und das ist unabhängig von irgendeiner Zeit. Wenn ein Sniffer ein Passwort rausfindet oder eine Malware dieses nach Hause telefoniert sonstwie dieses geleakt wird, dann ist es schnurzpiepegal ob dieses Passwort vor 5 Minuten geändert wurde oder 10 Jahre in Verwendung ist. Ein Angriffsziel gibt es bei meinen wichtigen Passworten jedenfalls nicht: Merkzettel.

Ganz lustig finde ich übrigens Richtlinien in diversen Firmen. Ich hab mal in einer gearbeitet wo man jedes Monat das Passwort wechseln musste. Das Ergebnis waren dann Passworte wie mai98 gefolgt von juni98 und juli98 oder julia01gefolgt von julia02 und julia03. Meine Fresse! So eine kranke Richtlinie gabs auch bei einem Projekt von externen Dienstleistern auf Rechnern und in Räumlichkeiten einer großen Bundesbehörde in Wiesbaden. *doublefacepalm* Solche Richtlinien führen zu einer Sicherheit nahe Null. Entsprechend oft sind die Passwörter auch auf den berühmten PostIt Zettelchen am Bildschirm oder unter der Tastatur zu finden.

 rolak· 27.05.11 · 10:34 Uhr

Hi Wurgl, könntest Du mal kurz verdeutlichen welche beiden Dinge von dem von mir Gesagten es sind und was Dich daran bläht?

Hi jitpleecheep: {"Auch scheinbar..[eof]} hmm, da lese ich eher eine Aufforderung zum unsafest surfing heraus, weil auch verschwindend kleiner Einzelaufwand nach dieser Rechnung irgendwann einmal 'zu groß' werden kann, da der Nutzen konstant ist.

 Wurgl· 27.05.11 · 10:45 Uhr

@rolak
Na das was sich auf 0:45 bezog.

 jitpleecheep· 27.05.11 · 11:05 Uhr

@rolak:
O.o ?
Das war ein Zitat von Sven Türpe...

 Sven Türpe· 27.05.11 · 11:28 Uhr

Du meinst z.B., dass man ständig Listen suchen, darin rumkrakeln und davon abtippen muss.

Der Witz ist, dass man das eben nicht ständig tun muss. Aufgeschriebene Passworte unterstützen den fließenden Übergang zwischen der Nutzung des Hilfsmittels und der Anwendung ohne Hilfsmittel. Häufig verwendete Passworte wird man nach kurzer Zeit ohne Unterstützung aus dem Gedächtnis eintippen können. Der zusätzliche Aufwand durch die Verwendung des Hilfsmittels fällt deswegen vor allem dort an, wo er wenig ins Gewicht fällt: bei den selten verwendeten Passworten.

 rolak· 27.05.11 · 11:29 Uhr

Nun ja jitpleecheep, es ging mir um den Vergleich meiner Interpretation/Schlußfolgerung aus dem zitierten Text im Vergleich zu Deiner.

Tja, Wurgl, das von mir aus dem fast mitternächtlichen Kommentar Referenzierte war das "verwende ich die [Passworte] ... heute noch", eine je nach Umgebung katastrophale Haltung.
"sicher oder bekannt" ist keine relevante Einteilung für Passwörter, da dem Anwender die Bewertung nicht zugänglich ist. Eine Heuristik über "Wahrscheinlichkeit für <korrumpiert>" und ein Festlegen eines tolerierten Wertes ist hilfreicher, wenn es um Zugriffsbeschränkung für Außenstehende geht.
Und wenn häufiger Passwortwechsel so lustig ist, warum sind dann Einwegcodes (z.B. TAN) so sicher, wenn sauber implementiert?

 jitpleecheep· 27.05.11 · 12:02 Uhr

@rolak:
"es ging mir um den Vergleich"

Ah! Das hätte ich vielleicht einfacher verstanden, wenn du dich nicht regelmässig kryptisch ausdrücken würdest. ;-)

@Sven Türpe:
"Häufig verwendete Passworte wird man nach kurzer Zeit ohne Unterstützung aus dem Gedächtnis eintippen können."

Welchen Teil von "ad 4" hast du nicht verstanden?

Es gibt echt sinnvolleres im Leben, als sich zu merken auf welchen Seiten man welchen der x Usernamen mit welchem der xx Passwörter verwendet.

Da kann ich den Speicher besser mit Fremdsprachen bevölkern, danke.

Und du redest von Aufwand. m(

 Wurgl· 27.05.11 · 12:12 Uhr

@rolak

Ja. Die verwende ich heute noch. Und zwar das Passwort auf meinem Rechner zu Hause. Und das auf dem Rechner der Firma.

Genauso wie ich die Geheimzahl meiner EC-Karte auch noch nie geändert habe.

Passwörter werden unsicher aka wertlos wenn der Rechner kompromittiert ist, wenn die Datenübertragung abgehört werden kann, wenn via sozialen Angriff der Benutzer das Passwort beabsichtigt (z.B. Anfrage durch Fake-Support, Freund, Kollegen) oder unbeabsichtigt (z.B. Fake-Seite, DNS-Spoofing) herausgibt oder durch schier endlose Versuche und einem "Zufallstreffer" und dann gibts noch: Merkzettel gefunden und sicher noch ein paar weitere Möglichkeiten wie physischer Zugriff auf den Rechner inkl. Aufschrauben und Platte klonen. Bei einigen dieser Angriffe kommt man an den Klartext, bei anderen nur an eine verschlüsselte Form. Bei der verschlüsselten Form wollte ich damals die Hackbarkeit überprüfen, mehr nicht.

Und solange keiner dieser Fälle eingetreten ist, ist die Länge der Verwendung meiner Meinung nach vollkommen egal.

Wie gesagt: Die andere Variante ist ein regelmäßiges Ändern, aber so eine Änderung erfordert Merkzettelchen und reißt dadurch ein anderes Loch auf. Man muss für sich selber abwägen, was schwerwiegender ist.

Freche Gegenfrage lieber rolak: Wann hast Du Deine Geheimzahl der EC-Karte der EC-Karte geändert und wenn nicht: Warum nicht, wenn doch dies gilt: "unbedingt der zeitlich bedingten Passworthärte H~1/t" Oder ist das kein Passwort?

Übrigens sind TANs nicht unbedingt sicher, man lese dazu http://heise.de/-219497 Laut Artikel wurde TAN wurde durch das sicherere iTAN-Verfahren abgelöst und selbst dieses ist laut Artikel kein Problem mehr. Aber das geht zu weit. Sicherheit geht nur soweit, wie man Einzelkomponenten vertrauen kann. Bei TAN/iTAN ist mein Briefkasten der wohl unsicherste Punkt, dort kann praktisch ein jeder das Brieflein mit den Nummern rausfischen und Möglichkeiten ein verschlossenes Kuvert unbemerkt zu öffnen gibt es immer.

 martin· 27.05.11 · 12:17 Uhr

es gibt einen seh schönen trick um für
a) jede seite ein eigenes passwort zu haben
b) leicht zu merken ist
c) sicher

man nehme besagtes "MFtSiG37" und hängt den ersten und letzen buchstaben der domain samt der anzahl der buchstaben dazwischen in das das passwort herein.
z.b.:
googlemail.com->g8l-> MFtSig8lG37
amazon.de-> a4n -> MFtSia4nG37
web.de->w1b-> MFtSiw1bG37

-ist so leicht zu merken wie der satz
-mann kann es für jede domain im kopf erstellen (ohne es einem programm anzuvertrauen)
-es ist für jede domain einzigartig ohne das es auffällt selbst wenn es jemand im klartext liest.

 rolak· 27.05.11 · 12:24 Uhr

touché

Zur Gegenfrage, Wurgl: Vor wenigen Jahren, es gibt mindestens zwei ganz simple Verfahren dafür. Ansonsten bitte nicht den Kontext ignorieren, in diesem Falle "je nach Umgebung" bzw "sauber implementiert".

 jitpleecheep· 27.05.11 · 12:25 Uhr

@Wurgl:

Bin nicht rolak, aber: "Wann hast Du Deine Geheimzahl der EC-Karte der EC-Karte geändert und wenn nicht: Warum nicht"

- Die Geheimzahl meiner EC-Karten ändert sich jedesmal, wenn ich eine neue kriege.
- Ich wüsste nicht, dass man die für eine Karte überhaupt ändern könnte.
- Die Anzahl der Betrugsfälle pro Jahr deutet darauf hin, dass das System nicht so wirklich gut funktioniert.

 jitpleecheep· 27.05.11 · 13:07 Uhr

Nochmal EC-Karten:

In diesem Fall würde regelmässiges Wechseln übrigens auch nichts bringen.

Der Passworthärte sind andere Mechanismen entgegengestellt, z. B. die Sperrung nach drei Fehlversuchen.

Die Kompromittierung ist in diesem Fall ja ein Ausspähen der PIN inkl. des Zeitraums bis zum Schadensfall (Konto leer).

Da dieser Zeitraum in der Regel sehr kurz ist (24 Std., maximal) würde sich ein Wechsel der PIN nur dann lohnen, wenn er in wesentlich kürzeren Zeiträumen erfolgt, im Prinzip also stündlich.

Das ist wohl weder vertret- noch machbar, also kann man auch ganz darauf verzichten.

 Sven Türpe· 27.05.11 · 13:10 Uhr

Welchen Teil von "ad 4" hast du nicht verstanden?

Den Teil mit den 100 verschiedenen Passwörtern.

 Dr. Webbaer· 27.05.11 · 13:29 Uhr

@Türpe
Was halten Sie denn von diesem "altmodischen" Ansatz? Also zwei verschlüsselte USB-Sticks als "Zettel"?

MFG
Dr. Webbaer

 Dr. Webbaer· 27.05.11 · 13:32 Uhr

Nachtrag:

wir uns Passworte sehr gut merken können, wenn wir sie nur regelmäßig benutzen

 Dr. Webbaer· 27.05.11 · 13:45 Uhr

@Wurgl

Ganz lustig finde ich übrigens Richtlinien in diversen Firmen. Ich hab mal in einer gearbeitet wo man jedes Monat das Passwort wechseln musste.

MFG
Dr. Webbaer

 jitpleecheep· 27.05.11 · 14:53 Uhr

@Sven Türpe:
"Den Teil mit den 100 verschiedenen Passwörtern."

Hast du für alle Anmeldungen ein und dasselbe Passwort?

@rolak:
"Vor wenigen Jahren, es gibt mindestens zwei ganz simple Verfahren dafür."

Echt? Welche?
Selbst meine Banken können nicht meine PINs ändern.

 rolak· 27.05.11 · 15:26 Uhr

Natürlich funktioniert die Antwort nur dank der Ambiguität der Sprache, jitpleecheep, und eine dritte Möglichkeit (die ich nicht mit unter 'einfach' einsortieren mochte) hast Du auch schon genannt bzgl der Änderung der PIN der Karte, die Du benutzt. Was eben nicht die sein muß, zu der die alte PIN gehörte. Genauso wie es mir bei gewissen accounts nicht auf den Erhalt des username ankommt und so das gesamte Paar un/pw getauscht werden kann, auch wenn nur ein Teil evtl kompromittiert ist.
Die dank Behalt der Kontonr einfacheren Lösungen sind das explizite Anfrage nach einer neuen Karte (ging bei mir/meiner Bank) bzw die dazu passende Nebenlösung: Die Behauptung des Zustandes 'gestohlen'.

 JD· 27.05.11 · 17:45 Uhr

@martin

es gibt einen seh schönen trick um für
a) jede seite ein eigenes passwort zu haben
b) leicht zu merken ist
c) sicher
man nehme besagtes "MFtSiG37" und hängt den ersten und letzen buchstaben der domain samt der anzahl der buchstaben dazwischen in das das passwort herein.
z.b.:
googlemail.com->g8l-> MFtSig8lG37
amazon.de-> a4n -> MFtSia4nG37
web.de->w1b-> MFtSiw1bG37
-ist so leicht zu merken wie der satz
-mann kann es für jede domain im kopf erstellen (ohne es einem programm anzuvertrauen)
-es ist für jede domain einzigartig ohne das es auffällt selbst wenn es jemand im klartext liest.

Ich nutze ein sehr ähnliches System!

 Andreas P.· 27.05.11 · 20:41 Uhr

So lange die Leute keine Ahnung haben was sie tun, sich mit alten Browsern unbedarft durchs Web klickern, jedes Email Attachement aufmachen und glauben das ein halbwegs aktueller Virenscanner alle Probleme löst, hilft das "gute" Passwort nicht weit. Sicherheit ist ein Prozess, kein Zustand.

 a+· 27.05.11 · 20:51 Uhr

Das haben wir schon einmal bei den Bezahlverfahren im Online-Handel durch: da hatten die Krypto-Nerds auch ganz irre Visionen, aber am Ende hat doch die gute alte Kreditkarte gewonnen - zu recht.

Laut Artikel wurde TAN wurde durch das sicherere iTAN-Verfahren abgelöst und selbst dieses ist laut Artikel kein Problem mehr. [...] Bei TAN/iTAN ist mein Briefkasten der wohl unsicherste Punkt, [...]

m(

Deswegen schaffen die Banken jetzt gerade die iTANs ab? Wegen den Briefkästen, die so unsicher sind? Und ich dachte schon, weil immer noch irgendwelche Leute ihre ganze TAN-Liste abtippen, wenn sie ein Popup dazu auffordert! Gut, daß wir das geklärt haben! Oh, und welche Möglichkeiten bieten die Banken alternativ? RICHTIG! Man kann ein Gerät kaufen (das man übrigens nicht in auf das Format einer Briefmarke falten kann...) oder sich den Kram per SMS schicken lassen. Per SMS. Da kann ich mir die Nummer gleich auf die Stirn schreiben.

 Stefan W.· 27.05.11 · 22:33 Uhr

@JD, @martin: Das Verfahren skaliert aber nicht.

Der Admin von Google, der MFtSig8lG37 abgreifen kann, und schon mal von dem Verfahren gehört hat, kann leicht 100 Mio. Passwörter nach g8l abscannen (und nach ähnlichen Mustern in JDs Sinne). Dabei wird er vielleicht 25% oder 75% falsche Treffer haben, wo die Leute aus anderen Gründen g8l im Passwort haben.

Jedenfalls wird er mit der Liste Username : Prefix + g8l + Postfix zu Amazon gehen, und da haben zwar nur 10% der g8l-Verwender überhaupt einen Account, oder 2%? Egal. Falls man in der Liste ist, und einen Amazonaccount hat, dann ist man durch derartige Verfahren sehr angreifbar durch Admins auf Abwegen.

Mit der Bestätigung, dass das Muster nicht nur bei Google, sondern auch bei Amazon verwendet wird, benötigt man jetzt noch soziale Daten wie Google-Suchanfragen ("Playstation", "Postbank Bochum") oder Amazon-Rezensionen, um weitere Accounts auszuspähen, die sich missbrauchen lassen.

 jitpleecheep· 27.05.11 · 23:07 Uhr

@Stefan W.:
Das Szenario ist schon recht unwahrscheinlich, ausserdem weiss der Admin anhand eines Passwortes ja nicht, was Pre- und was Postfix ist.
Problematisch wird's, wenn man damit Accounts bei verschiedenen Seiten hat, die eigtl aber zum gleichen Anbieter gehören. In dem Fall hätte derjenige beim gegebenen Beispiel nur noch ein dreistelliges Passwort vor sich.

Das Verfahren skaliert aber auch aus anderen Gründen schlecht: Ich muss mir für jede Seite eine neue Eselsbrücke merken. Den Schluß von Googlemail auf g8l versteh ich noch nicht mal.

 Jürgen Schönstein· 27.05.11 · 23:29 Uhr

@jitpleecheep

Das Verfahren skaliert aber auch aus anderen Gründen schlecht: Ich muss mir für jede Seite eine neue Eselsbrücke merken. Den Schluß von Googlemail auf g8l versteh ich noch nicht mal.

 Stefan W.· 27.05.11 · 23:58 Uhr

Bei Passwörtern gibt es zig Einsatzgebiete und zig Angriffsvektoren. Daraus folgt, dass man eine gemischte Sicherheitsstrategie benötigt.

Ein Einbrecher würde sich theoretisch vielleicht für meinen Banking- und den Ebayaccount interessieren, aber praktisch ist er wohl doch zu spezialisiert auf greifbares. In meinem Namen Kommentare auf Scienceblog hinterlassen interessiert aber sicher allenfalls spontane Spaßvögel, die weder Zeit, noch Geld in einen Angriff investieren würden.

Passwortwechselzwänge sind nur von sehr beschränktem Nutzen. Wenn jemand eine Passwortdatei mit ungesalzenen Hashes abgreift, und für eine brute-force-Attacke im Schnitt 1 Jahr benötigt, dann erhöht ein monatlicher Wechsel die Sicherheit. Dauert die brute-force-Attacke 10 Jahre, dann sind monatliche Wechsel etwas paranoid. Dauert die Attacke nur einen Monat im Mittel, dann ist ein monatlicher Wechsel wohl oft zuwenig. Es kommt aber immer auch darauf an, was ein unbefugter mit dem Passwort tut. Räumt er einmalig alle Informationen ab, die er dann zu was-weiß-ich verwendet, oder benutzt er einen Zugang heimlich und wiederholt, solange das Passwort gültig ist? In letzterem Fall wirkt ein Wechsel dann schadensbegrenzend.

Nur, wer weiß schon, ob der Angreifer nicht 10 oder 100 Rechner auf das Problem ansetzt, oder ein, zwei Clouds?

Es gibt aber auch den Fall, dass Uschi Probleme mit ihrem Rechner hat, und Frank aus der gl. Abteilung um HIlfe bittet. Dazu braucht er ihr Passwort, und jetzt will Uschi, wo Frank doch so nett hilft, keine Anstalten machen, und gibt ihr Passwort preis. Frank, da in der gl. Abt., hat sowieso Zugriff auf die gl. Daten - was soll also daran schon falsch sein?
Jetzt verläßt Frank die Firma aus Gründen, die wir nicht näher beleuchten wollen 3 Monate später. Wie schön wäre es, wenn Uschi längst ein anderes Passwort hätte, während Franks Account stillgelegt wird, ohne dass Uschi dran denken muss auch ihr Passwort zu ändern.

Nur ist es so wie oben beschrieben, dass sich häufige Passwortwechsel dem Anwender als Zumutung gegenüberstellen, als Behinderung bei der Arbeit, als Feind, und Tricks, wie Mai-Prefixe sich rasend schnell rumsprechen. Die Belegschaft verbündet sich fröhlich zum Menschsein zwischen den Maschinen, Automaten und Prozessen, und klammert sich an symbolische Gegenwehr.

 Dr. Webbaer· 28.05.11 · 00:07 Uhr

Es ist heute auch oft so, dass die Erfassung des Sicherheitskontextes nicht beliebig oft möglich ist. Beispielsweise muss ein Nutzer nach dreimaliger Fehleingabe 15 Minuten warten oder das Konto wird sofort gesperrt. - "Bruten" sollte heutzutage eigentlich nicht mehr gehen...

Zum Uschi-Problem noch, also das scheint ein soziales zu sein, Achtung, schlauer Spruch, IT ist nicht dafür da soziale Probleme zu lösen. [1]

MFG
Dr. Webbaer

[1] Nicht von Dr. W, kA von wem das war, gemeint ist natürlich, dass im sozialen nicht lösbare Probleme nicht nachgebaut in IT lösbar werden - bei der Bearbeitung sozialer Herausforderungen ist IT natürlich das Mittel der Wahl. :)

 Stefan W.· 30.05.11 · 01:05 Uhr

Zum Uschi-Problem noch, also das scheint ein soziales zu sein,