Antworten

Passwort, Falsche Richtlinien, genrelle Sicherheitbedenken

Highlighted
Community Guide
Community Guide
Beitrag: 11 von 14

@ankad  schrieb:
Die Begrenzung auf 16 Zeichen ist kompletter Wahnsinn. Längere Passworte müssen erlaubt werden.

das ist der größte Schwachsinn, denn ich seit einiger Zeit gelesen habe, 

irgendeine -  zumindest wenigstens erfundene -Begründung dafür, warum dies  Wahnsinn ist oder warum es geändert werden muss?

der Durchschnittsuser ist mit 8 stelligen Passwörtern am Limit und passwörter länger als 16 Zeichen ergeben keinen erkennbaren mehrwert.

2016-10-27 14_35_59-3D Builder.pngStefan
Internet zu langsam? hier klicken
Fiber 1000 / Magenta Giga MagentaTV Plus 1xMR401/3xMR201
Router: Fritzbox 7590

5 Sterne Mitgestalter
5 Sterne Mitgestalter
Beitrag: 12 von 14

Die Möglichkeiten verschiedene Passwörter zu generieren, potenziert sich mit der zunehmenden Anzahl von Stellen. Aber es braucht nicht unbedingt 16 Stellen, damit es in Billionenbereiche geht.

 

Nehmen wir an, für eine beliebige Stelle im Passwort kann man nur lateinische Buchstaben setzen, und dabei wird nach Groß-  und Kleinschreibung unterschieden. Dann sind das schon mal 26 mal 2 Möglichkeiten = 52 Möglichkeiten, was an einer Stelle als Zeichen stehen kann. Hinzu kommen die Ziffern 0 bis 9, somit sind es dann 52 + 10 = 62 Möglichkeiten, was an einer Stelle stehen kann. Lassen wir mal die Sonderzeichen weg, welche bei manchen Passwörtern möglich sind.

 

Bei den folgenden Berechnungen berücksichtige ich somit nur den die oben genannte Zeichenauswahl:

 

Hat das Passwort nur zwei Stellen dann sind es 62 mal 62 Möglichkeiten, wie die Zeichen an den zwei Stellen kombiniert werden könnten, oder auch 2 hoch 62 = 3.844 verschiedene Passwörter möglich, wenn das Passwort nur 2 Stellen hat. Sind es drei Stellen dann gibt es 62 mal 62 mal 62 Möglichkeiten = 3 hoch 62 = 238.328 verschiedene Passwörter möglich mit nur 3 Stellen.

 

Nach dieser Vorgehensweise sind bei einem 8-stelligen Passwort so viele verschiedene Passwörter möglich: 62 mal 62 mal 62 mal 62 mal 62 mal 62 mal 62 mal 62 = 8 hoch 62 Die Zahl ist so groß, dass sie mein Taschenrechner mit 55 Stellen vor der Null angibt. Kannst dir selbst ausrechnen, wie viel es dann Möglichkeiten sind, wenn es sogar 12 oder 16 Stellen sind.

Wenn es so viele Versuche gibt zum Einloggen mit Misserfolg, dann sperrt die Telekom den Zugang zum Kundencenter vorübergehend, und zwar schon vorher, bevor es zu dieser Masse kommt.

Sporadisch erreichbar - Gruß Sherlocka

1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 13 von 14

Hey,

 

@Stefanmeint "Der BSI empfiehlt für sichere Passwörter 8 oder mehr Stellen - aber sicherlich spricht er nicht von mindestens 16 Stellen" und weiter "Ein herkömmlicher PC könnte dein Passwort innerhalb von 23 Billionen Jahren knacken".

 

Die Aussage über das BSI stimmt (https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html). Sie schreiben dort aber auch, dass zB. WLAN Passwörter gerne 20 Stellen haben dürfen. Wahrscheinlich weil es dort typischerweise keine Maßnahmen gegen wiederholte Fehlversuche gibt. Darauf weist @Stefan auch hin: "Online ist die Verzögerung zwischen zwei Versuchen so, dass es Faktor 10.000 langsamer wird, wenn die Webseite überhaupt mehr als ein paar Fehlversuchen erlaubt ohne das Konto zu sperren". Die 23 Billionen Jahre stimmen vielleicht für 16 Zeichen, aber da ich nur 12 Zeichen durchgekriegt habe und anscheinend die Sonderzeichen rausnehmen muss, sind wir eher bei 5000 Jahren (https://www.1pw.de/brute-force.php). Das mag immer noch viel klingen, aber ich habe es offensichtlich gerne sicher =)

 

@Sherlockaund @Stefan giben mir Tipps, wie ich meine Passwörter wählen sollte. Zb sollte ich Passwörter nicht für mehrere Seiten verwenden (eindeutig!), sie sollten nichts mit meinem Namen oder sonstigen Daten von mir zu tun haben (zufällig!) und aus mindestens 3 von vier Zeichengruppen Zeichen enthalten (komplex!).

 

Ich lasse meine Passwörter von KeyPass offline generieren und anschließend in einer verschlüsselten Datenbank speichern. Die Datenbank ist mit einem Masterpasswort von 25 Zeichen gesichert. Häufig kenne ich die Passwörter zu meinen Accounts selber gar nicht mehr, dafür gibt es auf 2 verschiedenen Datenträgern Backups der Passwortdatenbank. Es wäre alles fein, wenn mir die Telekom erlauben würde sichere Passwörter zu setzen.

 

Wenn es hier um einen online gaming account oder irgendein blödes Forum gehen würde, hätte ich gar kein Problem. Aber in dem Telekom Account sind mir einfach zu viele persönliche Daten gespeichert. Da würde ich gerne ein sicheres Passwort setzen... was das für mich heißt habe ich beschrieben, das Leute da anderer Meinung sind, habe ich verstanden.

 

Zurück zu meiner Ausgangsfrage: Gibt es einen Hebel? Steht irgendwo, dass man bei besonders schützenswerten Accounts gewisse Mindeststandards bei den Passwörter ermöglichen muss? Oder lesen in diesem Community Forum auch echte Mitarbeiter der Telekom mit? Fühlt sich jemand von denen jetzt vielleicht berufen sich im Unternehmen für eine stärkere Sicherheitsarchitektur einzusetzen?

Community Guide
Community Guide
Beitrag: 14 von 14

@Johannes21  schrieb:

da ich nur 12 Zeichen durchgekriegt habe und anscheinend die Sonderzeichen rausnehmen muss, sind wir eher bei 5000 Jahren (https://www.1pw.de/brute-force.php). Das mag immer noch viel klingen, aber ich habe es offensichtlich gerne sicher =)

 


nein bei einer Million Jahre, wie ich zuvor schon geschrieben habe und du ja gerne Überprüfen kannst.

Wobei es natürlich darauf ankommt was man unter einem üblichen Rechner versteht.

 

Aber immer noch hast du keinen Passworthash um überhaupt damit anzufangen und den wirst du auch nicht bekommen.

zudem gehen ja 16 Stellen mit Sonderzeichen, habe ich ja auch. Möglicherweise verwendet bei dir KEYPASS aber Sonderzeichen die nicht erlaubt sind

 

Hacker setzen den Hebel da, wo es am leichtesten ist. Keiner bei Verstand wird ein 12 oder ger 16 stelligen gesalteten Passworthash Brute Force knacken. Da ist ein Angriff auf deinen Passwortmanager mittels Keylogger oder Trojaner sehr viel wahrscheinlicher 

 

wlan Passwörter sollen deshalb 20 Stellen sein, weil das Verschlüsselungsprotokoll murks ist und auch noch per Funk übertragen wird

2016-10-27 14_35_59-3D Builder.pngStefan
Internet zu langsam? hier klicken
Fiber 1000 / Magenta Giga MagentaTV Plus 1xMR401/3xMR201
Router: Fritzbox 7590