Microsoft: Konzept für kurze aber sichere Passwörter

Microsoft Microsofts Forschungsabteilung hat ein Konzept entwickelt, mit dem einfach zu merkende Passwörter verwendet werden können, ohne dass sich dadurch eine mögliche Gefährdung durch Angreifer aus dem Internet ergibt. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ich nutze seit Jahren mein eigenes PW-System. Ist immer das gleiche, jedoch ist daran noch ein Syntax geklemmt, der je nach Anwendungszweck anders ist. Ähnlich wie eine Eselsbrücke. Also PASSWORT.ANWENDUNG. Spätestens beim Anmelden auf die Seite fällt Dir das wieder ein, ala SHOP oder EMAIL oder PRIVAT oder FOREN... Dadurch wird das PW länger und man kann sichs trotzdem merken. Das war jetzt nur ein Beispiel, rückwärts, Abkürzungen oder gar ZAHLEN sind ja möglich. Denkt euch was aus.
 
@Schweini1: (+), obwohl ich Bedenken habe. Beispielsweise Deinem ISP ist Dein Passwort bekannt. Meiner ist so "schlau" und sendet es mir hin und wieder zusammen mit Vertragsunterlagen per Post zu. Mein Vorschlag, Sätze nehmen: Morgenstund*hat_Gold-im>Mund. Auch einfach zu merken.
 
@Michael41a: Das bringt nur scheinbare Sicherheit. Ich kenne Unternehmen, die lassen (z.B. bei Unix-Webservern) die Passwortlänge auf dem Default-Wert von 8 Zeichen. Das heißt, mit den ersten 8 Zeichen deines Satzes kann ich mich schon einloggen, egal wie lang er ist. Auch das Beispiel von Schweini bringt nur trügerische Sicherheit. Dass man sich mit dem Kennwort sicher fühlt, heißt nicht, dass man auch sicher auch ist.
 
@Schweini1: Also ich nutze immer Sätze wie: "In der 15 Woche habe ich immer Geburtstag", daraus wird dann: Id15WhiiG. Ich denk mal, sowas ist sicher, bei meinen eigentlichen noch läneren persönlichen Sätzen.
 
@Schweini1: mein persönlicher favorit bei passwörtern sind windows product keys, die haben 25 stellen plus 4 bindestriche und lassen sich trotz zahlen und buchstaben noch relativ leicht merken, zusätzlich hat man einen echten geschwindigkeitsvorteil bei neuinstallationen - das ganze kann man dann noch steigern, wenn man für einen dienst nen win2000 schlüssel, für den nächsten nen xp und für wieder einen noch nen officeschlüssel als pw nutzt - wenn man nen ausreichenden lizenzpool hat kommt man sein leben lang mit solchen passwörtern aus - gruss yergling
 
@yergling: daber nur die legalen *gg* denn den rest können einige ohne nach zu schauen: FCKGW-RHQQ2-... (ich glaub so ging der *gg*)
 
@wischi: Ohja der FCKGW-Key ist Kult :D Der hat sich eingebrannt wie die Notrufnummern.
 
@Schweini1: Ich kann mir sogar mein wlan pw merken das ist max lang und hat groß/klein und zahlen und wird ab und zu verändert :D
 
@Schweini1: Ich nutze das Programm 1Password, bindet sich in jeden Browser ein und erstellt&speichert automatisch die Passwörter. Ein klick aufs Symbol und ich bin auf der Seite angemeldet.
 
@Schweini1: Scheisse, habe das gleiche System. Hoffentlich sind wir beide die einzigen auf der Welt und die Hacker mit Wörterbuch-Angriffen noch nicht drauf gekommen sind, dass viele genau so ihre Passwörter managen... Was noch beliebt ist, ist z.B das gleiche PW zu nehmen, aber noch eine 2, oder 123 oder 32 dahinter hängen. Oder einfaches Wort einfach 2x wiederholen. Auf genau sowas sind Wörterbuch-Attacken spezialisiert. Brutforce Attacken werden außerdem oft alphabetisch gefahren, d.h. ein PW beginnend mit einem a ist genau so sicher, wie ein PW um genau dieses a gekürzt. Naja... ich könnte ja weiter machen. Außerdem erzählt MS dort blödsinn. Statistisch gesehen haben am Ende alle nutzer andere PWs, aber keiner sagt, dass der eigentlich zu hackende genau ein so simples hat, dass bereits nach kurzer Zeit es gehackt ist. Was nutzt einem, wenn ein System statistisch sicher ist, einzelnd aber Löcher haben kann (die dann durch die statistik verschleiert sind).
 
Was soll daran sicher sein?? Wenn zwei Anwender zufällig das gleiche Passwort wählen, die im gleichen Bürogebäude sitzen... Schwachsinnig! Wär es nicht einfacher, 2 Buchstaben mit 512 Bit zu verschlüsseln?? Edit: Am schluss bekommt man dann auch noch ne Userliste angezeigt. "Achtung, Benutzer1, Benutzer3 und Benutzer7 verwenden das gleiche Passwort, das sie verwenden möchten. Bitte wählen sie zu ihrer eigenen Sicherheit ein anderes"
 
@Mister-X: "Achtung, Kollege Dr. Müller hat dieses Passwort bereits zur Reaktorbrennstabsteuerung gewählt, bitte wählen Sie ein anderes Passwort"

Außerdem hatten wir die Meldung doch schon vor ein paar Tagen, oder?
 
@Mister-X: Was soll es bringen 2 Buchstaben mit 512Bit zu verschlüsseln? *kopfkratz*
 
@Binabik: Gute Frage! Das hab ich auch nicht verstanden, würde mich aber interessieren. @Mister-X: Ich glaube MS denkt da in größeren Dimensionen. In einem 10-Mann-Unternehmen macht das ganze natürlich kein Sinn. Grund der Erfindung wird wohl sein, dass der Schaden im Falle eines Angriffs eher gering bleibt. Es macht ja doch einen Unterschied ob ich an 2 oder an 10 Rechner - gefüllt mit sensiblen Daten - komme.
 
@Mister-X: 2 Buchstaben verschlüsseln? Klasse Idee, wieso hat da nur vor dir niemand dran gedacht...
 
@lawlomatic: Beide Konzepte sind Schwachsinnig. Sollte n Scherz sein - kam wohl nicht an.
 
@Mister-X: weil du den Smilie vergessen hast. Übrigens, ich wollte mal 1 Bit verschlüsseln, habe aber die Flasche nicht aufbekommen ;)
 
Die Passwörter sind deswegen trotzdem leicht zu knacken. Wer 1234 verwendet da wird dieses "sichere" System gar nichts bringen sobald man ein PW-Bot drauf ansetzt.
 
@Mudder: Nun, man kann aber ja auch das System der kürzeren Passwörter mit einem System kombinieren, das diese Standard-DAU-Kombinationen von vorneherein ausschließt.
 
@DON666: Bringt dennoch nur dann etwas, wenn man gleichzeitig unterbindet, dass Brute-Force Attacken durchgeführt werden können.
 
@Mudder: Zufälligerweise wurde ich heute auf ncrack aufmerksam gemacht und nun will Microsoft tagesgleich zu besonders kurzen und einfachen Passwörtern raten, sehr lustig das. :-)
 
Kann man nicht einfach server-seitig die Zeit zwischen zwei Login-Versuchen auf z.B. 1 sek. setzten? Oder gibts da einen Haken?
 
@>>Daniel: Was hat das mit dem Thema zu tun?
 
@Mister-X: Denke mal, er will besser gegen Wörterbuch Attacken geschützt sein.
 
@>>Daniel: meinst du "setzen"? wieso schreiben soviele immer "setzten" wenn sie "setzen" meinen...
 
@Nippelnuckler: Wenn du schon meckerst, dann mach es wenigstens richtig und ersetze nicht Fehler durch andere Fehler.
 
@>>Daniel: Natürlich kannst du das. Du kannst auch nach 5 Fehlversuchen 5-15 Minuten Zwangspause machen. Alles übliche Loginfunktionen, die auch zur Sicherheit gegen Bruteforce-Attacken helfen.
 
@XChrome: Gibt ja auch die Möglichkeit, den Account nach 3 Falscheingaben zu sperren. Finde ich persönlich noch mit die beste Methode, auch wenn mit die nervigste, wenn der Admin beim Kunden nicht erreichbar ist und einem vorher nicht über die Änderung eines Passworts informiert hat.
 
@Mister-X: Stimmt, deshalb ist mir der 15 Minuten Block lieber, das entlastet den Admin. ;) Kommt natürlich auf den Anwendungszweck an. Bei Banken könnte ich mir zB einen 24h- oder Permanent-Block vorstellen. Bei einfachen Seiten wie Facebook & Co reicht auch ein 15 Min Block.
 
@XChrome: Das wird beim Onlinebanking auch so gehandhabt... wenn ich nicht irre, wird der Zugriff nach drei Fehlversuchen dauerhaft gesperrt, und wird erst nach persönlicher Rücksprache des Kunden mit der Bank (ggf. telefonisch mit Telefon-PIN) manuell wieder freigegeben. Ähnlich wie ein EC-Automat die Karte nach dreimalige Fehleingabe des PINs verschluckt.
 
@>>Daniel: HTML-Requests sind eh so langsam dass eine Bruteforce-Attacke auch ohne besondere Sicherheitsmechanismen nahezu sinnlos sind.
 
Verstehe ich das richtig, dass ich ein Kenntwort nicht mehr setzen kann, wenn ein Kollege das vielleicht schon verwendet. Ganz toll. Dann muss ich ja nur noch alle Mitarbeiter durchgehen und irgendwann treffe ich und habe das Kennwort meines Kollegen. Ganz große Sicherheit. Bislang kann theoretisch die gesammte Belegschaft das gleiche Passwort haben, aber keiner weis das, weil keine Meldung kommt ala "Das Passwort wird schon verwendet."
 
@Memfis: Wie schon jemand vor mir sagte, denkt Microsoft da sicher in anderen Dimensionen. Hier geht's doch nicht um interne PC-Passwörter in 3-Mann-Klitschen, sondern beispielsweise um Logins bei Shops (Stichwort: Amazon etc.). Da kannste ja gerne mal alle User/Passwort-Kombinationen durchprobieren...
 
@Memfis: Außerdem wird das System da nicht sagen, "Hey das PW hat schon jemand" sondern es einfach auf die vorhanden Liste der nicht-erlaubten PW setzen (1234, qwertz, abcd) und dann sagen "Das Passwort ist zu unsicher". Man weiß also nicht ob es von vornherein schon auf der Liste stand oder vom System her hinzugefügt wurde, weil zu viele andere es schon haben.
 
Was soll daraus werden? zig Anmeldungsversuche, warscheinlich ejdes mal mit neuem CAPTCHA - "NEIN, dieses Passwort darfst du nciht" - "mehr als 6 zeichen" ist eindeutig und leicht umsetzbar - aber wie weiß man, was andere schon genutzt haben?!
 
123456 reicht mir vollkommen
 
@Smoke-2-Joints: lol, wahrscheinlich sogar der sicherste, keiner denkt das jemand so dämlich ist.
 
@coldplayer81: Nice. Und keiner kommt bestimmt auf die Idee, im Lotto auf 1-2-3-4-5-6 zu tippen... .
 
@coldplayer81: Spaceballs, Lord Helmchen:"Wie lautet die Kombination für den Erdschutzschild?" - König:"1-2-3-4-5" - Helmchen;"Was, nur ein Idiot hat so eine Kombination" - Präsident kommt rein:"Was, dieselbe Kombination hab ich auch an meinem Aktenkoffer".
 
Das Passwort für meinen Datenkontainer hat 23 Zeichen. Wie in den ersten Kommentaren bereits diskutiert, ist eigentlich ganz einfach. und lässt sich Blind eintippen trotz vielen Sonderzeichen etc.
 
@Blubb-blubb: Man bedient normalerweise eine Tastatur IMMER blind. Nennt sich 10-Finger-System.
Übung: Finde das "]" ohne hinzusehen und nur mit der rechten Hand... :-)
 
@Schweini1: Freak.
 
Noch mehr Blubber vom Microsoft. Immer wenn die von Sicherheit reden wird es mir übel. Nichts als Ablenkung, weil das Blendwerk allein nicht mehr genügt (http://winfuture.de/news,57062.html). Wenn man die Postings zu diesem Thema liest, stellt man fest, dass die Ablenkung bestens als Strategie gegen die eigene Unfähigkeit positioniert ist und hervorragend funktioniert. Es lebe das beste OS aller Zeiten! (Zitat aus diesem Forum...)
 
Ich halte das Konzept für reine Theorie. Wahrscheinlich irgendetwas mit Statistik und Wahrscheinlichkeitsrechnung. Das macht zwar bei Massendaten Sinn, aber wenn es jemand genau auf einen bestimmten Account abgesehen hat, macht das Ganze wohl keinen Sinn mehr. Das Problem ist doch eigentlich, dass viele überall das selbe Passwort verwenden! Meine Passwörter speichere ich in password safe, 12-15 Zeichen lang, funktioniert wunderbar.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles