Jüngere Menschen wählen unsicherere Kennwörter

Ein britischer Wissenschaftler und Forscher hat sich das Ziel gesetzt, nähere Erkenntnisse über die Passwortsicherheit von Internetnutzern in Erfahrung zu bringen. Das Ergebnis dieser Studie wurde nun veröffentlicht. mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Zitat einer Freundin: wieso sollte ich ein schwieriges Passwort nehmen, von mir will doch eh keiner was ... -.-
 
@CvH: Je jünger, desto naiver. Die wissen nicht, was man alles mit ihren privaten E-Mail-Adressen alles anstellen kann! Irgendwann passiert es dann und dann wird erst drüber nachgedacht.
 
@ThorIsHere: Ich glaube, dass der Witz in diesem Kommentar ein anderer ist und das PW s*x,ANYONE? heißt. ;D
 
bei diablo 3 braucht man gewiss auch wenige versuche ein passwort zu erraten, dort werden case sensitive passwörter ja mal geflissentlich ignoriert :)
 
@LoD14: Ich muss jetzt mal fragen, was mir schon LANGE auf der Seele brennt. Von privaten WoW Servern weiß ich, dass dort unter anderem die Passwörter als Hash gespeichert werden; Allerdings wird der Hash nur von dem Kennwort als Großbuchstaben:Nutzername erzeugt.
Ist das auf den Produktivmaschinen auch so?!
 
@Blackspeed: bei diablo 3 ist es egal, ob ich buchstaben groß oder klein schreibe, solange die reihenfolge der buchstaben stimmt, ist die groß/kleinschreibung egal. auf den offiziellen blizzard servern wohlgemerkt.
 
@LoD14: Bei WoW auch ... Früher hattens auf Gross und Kleinschreibung geachtet. Das Problem war dann, das der Support sehr langsam war, weil jeder Idiot angerufen hat um dann herauszufinden das man doch Capslock ausschalten sollte...
 
@LoD14: Danke für die Info. Also ich sehe das als Fatal an; kann es echt nicht glauben. Das ist ja schon (fast) lachhaft diese verwendete Technik; und sich dann wundern, dass andauernd Konten gehackt werden. Also das Wissen hält mich jetzt erst einmal von dem System fern.
 
@Blackspeed: Wenn ich bei meinem Passwort auch nur einen Buchstaben groß statt klein schreibe gehts jedenfalls nicht mehr.
 
Seit ich KeePass nutze, brauche ich mir darum keine Gedanken mehr zu machen, Sehr nützliches Tool! Die kdbx Datei hab ich auf meinen Router gepackt, auf den ich im Lan wie auch per ftp von außen erreichen kann.
 
@Skidrow: Per FTP... Einem vollkommen unsicheren, abhörbaren Protokoll. Sehr sinnvoll.
 
@LostSoul: Die Datenbank ist per AES verschlüsselt, denke das sollte ausreichen.
 
@LostSoul: Ich kann dir meine kdbx Datei gerne per Mail zukommen lassen, kannst mir ja am Ende der Zeitrechnung bescheid geben, ob du jetzt meine Passwörter kennst ^^
 
@Draco2007: Crossfire-Support!?
 
@bLu3t0oth: Grade nochmal nachgeschaut. Die Datenbank ist mit AES verschlüsselt, mit nem 256 Bit Schlüssel. Da wird auch nen GPU-Cluster nicht reichen...Gut, vllt wirds dann doch noch bissl vor Ende der Zeitrechnung, aber lang genug :p
 
@Draco2007: Du das ist auch abhängig von der Datenmenge und sone kleine Datei mit n paar PWs braucht da sicher keine riesen Cluster.
 
@bLu3t0oth: Das musst du mir mal bitte etwas ausführlicher erklären. Irgendwie wiederspricht das meinen Kenntnissen der Krypographie. Ob die Datei jetzt 100KB oder 100GB hat, ohne den Schlüssel mit dem die Datenbank verschlüsselt wurde, kommst du an kein einziges echtes Bit. Und der Schlüssel hat nunmal 256 Bit.
 
http://bit.ly/MqDYCC Seite 25 der Abschnitt über 2.6... Abhängig von Schlüssellänge, Speicherplatzbedarf und Datenkomplexität
 
@Draco2007: Ich kann natürlich auch daneben liegen, dennoch würde ich trotzdem niemand meine ganze verschlüsselte DB geben egal wie überzeugt ich von der Sicherheit der DB bin.
 
@bLu3t0oth: Würd ich auch nicht, war nur eine kleine Provokation :p
 
@bLu3t0oth: Demnach ist es unsicherer wenig Daten zu verschlüsseln als viele?
 
@[Elite-|-Killer]: so hab ich es zumindest verstanden... beim decodieren musste den Datenhaufen ja dann aufblähen... wenn du viel zum aufblähen hast, ballerst du also deinen RAM zu. (So mein Verständnis)
 
@LostSoul: Die kdbx-Datei kannst Du, wenn sie mit einem hinreichend komplexen Passwort geschützt ist, getrost auch bei einem Clouddienst hinterlegen. Die Idee ist ja gerade, dass diese Datei einen "Safe" darstellt, in den sehr schwer einzubrechen ist - selbst wenn man sie in Händen hält. Dass Draco2007 sie aber nicht mutwillig an Hinz und Kunz verteilt ist auch verständlich, würde ich mit meiner auch nicht tun :)
 
"Joseph Bonneau arbeitet an der Universität von Cambridge und hat im Rahmen seiner Tätigkeit einen genauen Blick auf gut 70 Millionen gewählte Passwörter von Yahoo-Nutzern geworfen. Einen direkten Zugriff auf die Kennwörter im Klartext hatte der Forscher nicht. Er beurteilte die Passwortsicherheit anhand des ihm vorliegenden Hash-Wertes. "

Wie kommt er an die Hashes? Das ist doch eine Frechheit schlechthin. Aber ja: "Unwissenheit" ist beim PW-Vergeben bei jungen/unerfahrenen Usern das Manko no. 1
 
Soso, Yahoo speichert also die Passwörter ungesalzen. Na das ist doch super, da kann ja gar nichts schiefgehen!
 
@Mino: Die verwendeten Passwortdaten kommen direkt von Yahoo.
 
@Lastwebpage: Was hat das eine mit dem anderen zu tun?
 
Frage 1. Wie kommt der an die Hashes.
Frage 2. Um anhand des Hashes zu prüfen wie sicher das PW ist muss ich es ohnehin per RainbowTables oder BruteForce in Klartext wandeln (Kollision finden).
Also gibts 2 Möglichkeiten: 1. Der Herr redet Müll, oder 2. Es ist da was kräftig illegales Abgelaufen.
"Sicherheitsstufe von zehn Bits"?
Also im durchschnitt 2^10 versuche, bei einem passwort mit nur buchstaben würde dies eine durchschnittliche pw-länge bei bruteforce von log_basis26(2^10) = 2.127... Zeichen im Durchschnitt (und das bei einer Mindestzeichenlänge von 6-8) das ist doch wohl grosser schwachsinn.
 
@wischi: Und wer redet von (stupidem) Brute-Force?
 
@[Elite-|-Killer]: aber wenn er keine weiteren infos über das pw hat außer den hash dann ist alles andere reine spekulation. Damit andere Attacken greiffen muss ich wissen ob passwörter einem muster entsprechen oder wörter sind. Die Aussage "Sicherheitsstufe von zehn Bits" selbst ist schon maximaler Unsinn.
 
@wischi: Sie Studientext, die Daten kommen von Yahoo selber.
 
teletubby generation ?! °-°" die merken sich wohl nichts das länger als nen durchschnittlichey youpr0n video is ...so um die 2 minuten
 
@DerTürke: Na da kennt sich ja jemand gut aus bei einschlägigen Portalen ...
 
@Drachen: japp o.O und?
 
Um meine Vorredner aus o4 und o6 zu unterstützen, ein Hash ist egal wie lang/groß der Ursprung ist immer gleich lang. Und ich hoffe mal das die auf SHA-256 oder SHA-512 gesetzt haben. Und ohne Rainbowtables und BruteForce kann der gar nicht erkennen wie sicher die Kennwörter sind...
 
@Knerd: Doch, man kann sehr erfolgreich raten.
 
@[Elite-|-Killer]: und wie willst raten.
779a258d6ef4afebfaa6259d52f0fa54. Rat mal :-) Scherz beiseite. Bruteforce ist systematisches Raten aller Möglichkeiten daher (je nach Zeitaufwand) IMMER zielführend. Andere sind das nicht. Wenn er einen durchschnitt rechnen will MUSS er alle Kollisionen gefunden haben und wenn mindestens einer ein PW hat welches kein Wort ist oder in keines seiner Muster fällt MUSS er BruteForcen. Deine 5 Wort Sätze haben genau keine Argumente. Nenn mal Gründe oder Methoden welche er verwendet haben könnte oder welche du meinst? Nur "doch, geht" ist kein Argument.
 
@wischi: Wieso könnte? Das Paper ist doch oben verlinkt, man könnte es einfach lesen.
 
@[Elite-|-Killer]: Wo du gerade aufs Paper hinweist.. der Artikelschreiber hätte sich das eventuell auch mal durchlesen sollen :)
 
ich nicht
 
Was ist denn an dem Passwort: "NaomiHaze" falsch? :P
 
@DerMitDemWolfTanzt: Es fehlen Sonderzeichen und Ziffen, desweiteren könnte es noch um mindestens 2 Stellen länger sein. Der Wahnsinn wäre es, wenn die Person wirklich Naomi Haze heisst!!!!
 
Das wirklich Skandalöse daran ist, dass bei Yahoo die Hash-Werte Rückschlüsse auf gewählte Passworte zulassen. So was sollte eigentlich vermieden werden. Salted Hash, Blowfish anstatt MD5, das wären schon mal Ansätze.
 
@Feuerpferd: Blowfish ist ein Algorithmus zur symmetrischen Verschlüsselung, MD5 ein kryptographischer Hash-Algorithmus. Ferner: "Our experimental data collection
was performed by a proxy server situated in front of live
login servers. This is required as long-term password storage
should include account-specific salting and iterated hashing
which prevent constructing a histogram of common choices,
just as they mitigate pre-computed dictionary attacks."
 
@[Elite-|-Killer]: CRYPT_BLOWFISH: http://de3.php.net/crypt
 
@Feuerpferd: Die kryptographische Hash-Funktion die sich von der symmetrischen Blockchiffre Blowfish ableitet heisst bcrypt. Macht auch Sinn diese so dann so zu benennen, da man dann die Verschlüsselung vom Hashing unterscheiden kann, und ein Passwort mit Blowfish zu verschlüsseln macht eher wenig Sinn.
 
@[Elite-|-Killer]: Das sehe ich anders, so etwas unsicheres wie MD5 benutzen muss nicht sein, wenn es sich doch vermeiden lässt. MD5 ist seit einigen Jahren geknackt. Nicht umsonst gibt es schon seit Jahren den Ratschlag an Software-Entwickler, Zertifizierungsstellen, Website-Betreiber und Anwender den Einsatz von MD5 in jeder Hinsicht zu vermeiden.
 
@Feuerpferd: Nein, das siehst du denke ich genau so wie ich - zumal ich ja von MD5 nie was geschrieben habe, ausser dass es im Gegensatz zur Verschlüsslung Blowfish eine Hash-Funktion ist. bcrypt ist das ja ebenso und basiert auf Blowfish. In der PHP Dokumentation wirft man da 2 Sachen in einen Topf die nicht in den selben Topf gehören. Nichtmal Wikipedia geht so salopp mit den Begrifflichkeiten um, selbst da wird fein säuberlich zwischen bcrypt und Blowfish unterschieden, und um das ging es mir, nicht um MD5.
 
@[Elite-|-Killer]: crypt benutzt die auf dem Betriebssystem zur Verfügung stehenden Algorithmen. Erst mit Version 5.3.0 kam eine PHP eigene Implementation der Algorithmen DES, MD5 und Blowfish hinzu, die genutzt werden können, wenn das Betriebssystem sie nicht selbst zur Verfügung stellen kann.
 
@Feuerpferd: Danke. Ich kann lesen.
 
Im Ernst: Wen interessiert sowas?
 
Und wenn ich mir dann so Password Policies von z. B. PayPal (oder eBay) anschaue: Mindestens 8 aber höchstens 20 Zeichen, keine Leerzeichen und keine "Offensichtlichen Zahlenkombinationen". Da wird mir schlecht. Und sowas unsicheres bei PayPal!
 
@BajK511: Sonderzeichen sind ja erlaubt, also kann man sich problemlos was "unknackbares" zusammenschustern. Mein PayPal-Passwort ist auch ellenlang und mit Sonderzeichen gespickt, ich fühle mich also sehr sicher. Mein Hotmail-Passwort ist sogar noch unmöglicher.
 
@3-R4Z0R: Aber was genau macht dein Passwort jetzt sicherer als ein Passwort welches 20 Zeichen lang ist aber nur aus Buchstaben besteht? Für einen Computer ist es völlig egal welche Zeichen du verwendest. Bei den üblichen Attacken muss er eh davon ausgehen das du den kompletten ZeichenSatz benutzt.
 
@BajK511: UNSICHER? Was erzählst du da? Mit 20 Zeichen OHNE Leerzeichen liege ich bei ca 115 Bit, bei 8 Zeichen immerhin noch bei ca 50 Bit. Letzteres wären bei 1 Mio Versuchen pro Sekunde immer noch im Schnitt 18 Jahre und ersteres länger als das Universum bereits existiert (6,5x10^20, das Universum ist aber grade mal 4,8x10^10 Jahre alt). Also ich sehe da keine Unsicherheit, es sei den du nimmst Worte und Zahlenfolgen, die durch nen Dictionary geknackt werden können. Ein zufälliges Passwort, dass effektiv nur per Bute-Force geknackt werden kann, ist mit maximal 20 Stellen in meinen Augen sicher genug.
 
@Draco2007: Und wer kann sich so ein Passwort wie 238()"§$§"/§RZ(/G"F§F"() merken? Mit 40 Stellen kannst Du dir ein für dich einfach zu merkendes, aber dennoch sicheres Passwort ausdenken.
 
@BajK511: KeePass...und ein einfach zu merkendes Passwort ist NIEMALS sicher. Wenn du bei 40 Zeichen, dann eben 5-6 Worte benutzt um dir nen Satz zu merken, kommst du über ein Dictionary so einfach an das Passwort. Nur mal als Beispiel. Nimmst du 6 deutsche Wörter, zufällig ausgewählt, hast du effektiv 1,7 * 10^29 Möglichkeiten. Was ca 97 Bit wären. Also wärst du mit 40 Stellen nicht viel sicherer als mit einem zufälligen 8 Stelligen. (EDIT: Sorry Denkfehler in der Rechnung ist doch nicht ganz soooo schlimm). Ist nur die Frage ob du wirklich 6 zufällige Worte nimmst, oder ob der Satz nicht sogar irgendeine Gesetzmässigkeit hat, was die Anzahl der Möglichkeiten massiv einschränken würde. Deshalb mein Tip: KeePass und die Stellen und Möglichkeiten voll ausschöpfen.
 
@Draco2007: Selbst wenn die Worte einen für dich logischen Zusammenhang bilden würden wäre das eben für das Tool nicht nachvollziehbar es sei denn darin werkelt eine KI mit einer noch nie dagewesenen Intelligenz :) Siehe "CorrectHorseBatteryStaple". http://xkcd.com/936/
 
@hezekiah: Jo den Comic kenne ich. Aber das ist eine andere Rangehensweise. xkcd nimmt sich 4 zufällige Worte und versucht sich die mit irgendeiner Story zu merken (je dämlicher umso leichter kann man sie sich merken :p). Ich meine eher wenn du wirklich nen echten Satz nimmst. Selbst wenn der keinen Sinn ergibt, wenn er irgendwelche Regeln hat (Subjekt Prädikat Objekt, zb) dann kann mit deren Hilfe die Möglichkeiten einschränken.
 
@Draco2007: benutze "Worte", die es so nicht gibt, also Quatschworte mit einem persönlichen Bezug, die es nur in deinem Kopf gibt und die du niemals je ausgesprochen hast. So kommst du auch locker auf 50 Zeichen oder mehr, wenn aus diesen Worten ein Satz gebildet ist.
 
@Druidialkonsulvenz: Klar, nur brauch ich dann keine 40 Zeichen Passwörter. Weil das "Quatschwort" grob gesehen genauso "sicher" ist wie ein generiertes mit gleichen Stellen.
 
@Draco2007: Ah ok. Ja gut.. Einfach einen Satz nehmen wird sicherlich einfacher zu knacken sein als 4 Wörter die nur in meinem Kopf einen Zusammenhang bilden. @Druidialkonsulvenz: Quatschworte lassen sich dann aber auch wieder schwerer merken :)
 
KeyPass löst das Problem ein für alle male... (http://keepass.info/)
 
Mal an falsche Angaben bei der Anmeldung gedacht? und an kurzzeitig genutzte Adressen?!

Irgendwie traue ich dem Ergebnis der Studie nicht ganz (btw: 2^10 sind 1024, nicht 1000 versuche)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles