staging.inyokaproject.org

Der Thread wird nicht mit dem Wiki-Artikel umbenamt. Gibt also viele Threads, die nicht so heißen wie der Wiki-Artikel. Dafür haben wir ja die Verlinkung 😉

Hallo,

ich überlege, ob wir den Abschnitt Passwortmanager nicht ganz nach oben nach der Risikobewertung einfügen und erst darunter die ganzen Kriterien. Dann haben wir zuerst die Lösung und dann die Details. Momentan ist das eher "dramaturgisch" aufgebaut mit der Lösung am Ende - bei der Artikellänge nicht gerade hilfreich.

Was meint ihr?

Gruß BillMaier

hab das mal so umgesetzt. Außerdem habe ich den Abschnitt zur Festplattenverschlüsselung entfernt, der hat hier IMHO nichts verloren. Wenn er wieder eingefügt werden soll, dann bitte hier melden - ggf. gibt es gekürzt und an besseren Stelle einen Platz.

Gruß BillMaier

noch was: Manche Anleitungen unterscheiden zwischen Passphrase und Passwort. Das könnte noch in diesen Grundlagenartikel. Verlinkt werden könnte dann auch: https://www.spoc-web.com/deutsch/security-training-1/passphrasen/

Hallo,

bin gerade über https://gute-passwoerter.de/ gestolpert. Kennt das jemand oder kann was über die Vertrauenswürdigkeit sagen? Dann könnten wir das hier ggf. noch verlinken.

Gruß BillMaier

BillMaier schrieb:

Hallo,

bin gerade über https://gute-passwoerter.de/ gestolpert. [...]

Sehr gut können die nicht sein... Sind ja nicht mal Sonderzeichen drin.

https://wiki.ubuntuusers.de/Sicherheits-Einmaleins/Passw%C3%B6rter/#Diceware-Passwortsatz-wuerfeln

hast du mal gelesen?

BillMaier schrieb:

[…] bin gerade über https://gute-passwoerter.de/ gestolpert. Kennt das jemand oder kann was über die Vertrauenswürdigkeit sagen?

Einen Passwortgenerator im Internet, also einen fremden Dienst zur Erzeugung seines vertraulichen Passworts zu verwenden, ist wohl die dümmste Idee zu diesem Thema!

Dann könnten wir das hier ggf. noch verlinken.

Bitte nicht!

Hallo,

ich würde das auch nicht als "sicher" (im Sinne von "gut") bezeichnen. Das ist ja einfach ein Aneinanderreihung von Nomen... Erinnert mich eher an What3Words als Passwörter. IMHO kommt man mit einem so generierten Passwort nicht weit, weil inzwischen viele Seiten ein Passwort verlangen, in dem mindestens eine Ziffer vorkommt. Kann die Seite nicht. Außerdem werden Passwörter generiert, die deutsche Umlaute enthalten. Schonmal denkbar ungünstig, falls man sich irgendwie irgendwo an einem Rechner einloggen muss, der kein äöü auf der Tastatur hat.

Zum Verlinken halt ich die Seite für unbrauchbar.

Gruß, noisefloor

Ich hab früher mal Passwortknacken mit Masken getestet. Die hier generierten Passwörter entsprechen einem Muster: a-b-c-d, jeder Buchstabe ein Wort, drum können Attacken, speziell wenn die Hashes lokal vorliegen, entsprechend optimiert ablaufen. Der Vorteil, dass man bei wirklich randomisierten Passwörtern wirklich jede Kombination möglicher Zeichen durchprobieren müsste, entfällt. Mindestens dem Seitenbetreibenden Menschen ist der Inhalt der Wörterlisten bekannt. Theoretisch kann eine systematische Schwäche beim "Generieren" implementiert sein. Drum sehe ich das auch nicht als sicher an. Ich habe mir aber nicht den Source der Seite angesehen.

Ok. Danke für eure Hinweise.

karzer schrieb:

Sehr gut können die nicht sein... Sind ja nicht mal Sonderzeichen drin.

Die Qualität eines Passworts hängt nicht vom verwendeteten Zeichensatz sondern von seiner Entropie ab. Die folgenden Passwörter sind ungefähr gleich stark

[.k.^ATnw*3@'=m<-!q\

R1i1gjXzGZn3Tzu92lPR2v

483294983571002612188839572792470982392

01110010010100101111001111000001100101000111010010011010010001011110101101010011111000010100100101111011001001001111111000101001

launder stillness unwashed whacky degrease junkman poking deskwork unrelated opossum

verdooft schrieb:

Ich hab früher mal Passwortknacken mit Masken getestet. Die hier generierten Passwörter entsprechen einem Muster: a-b-c-d, jeder Buchstabe ein Wort, drum können Attacken, speziell wenn die Hashes lokal vorliegen, entsprechend optimiert ablaufen. Der Vorteil, dass man bei wirklich randomisierten Passwörtern wirklich jede Kombination möglicher Zeichen durchprobieren müsste, entfällt. Mindestens dem Seitenbetreibenden Menschen ist der Inhalt der Wörterlisten bekannt.

Die hier generierten Passwörter funktionieren offensichtlich nach dem "Diceware" System, allerdings gibt es keine Information über den Umfang der Wortliste wodurch man die Entropie pro Wort nicht bestimmen kann. Ich kann nur dringend vom Gebrauch von Onlinediensten zur Passwortgenerierung abraten. Gegen Passphrasen an sich gibt es keine Einwände, warum sollte eine zufällige Passphrase aus 10 von 7776 Wörtern leichter zu knacken sein als ein Passwort das aus 20 von 95 ASCII-Zeichen besteht? Es spielt keine Rolle, ob Du die Wortliste kennst, die ASCII-Zeichen sind ja auch allgemein bekannt. Natürlich ist die Passphrase deutlich länger, im Beispiel oben 84 Zeichen. Deshalb sind Passphrasen als Kennwörter für Online-Dienste ungeeignet, weil die maximale Passwörtlänge für sichere Passphrasen einfach nicht ausreichend ist. Passphrasen sind ideale Masterpasswörter für Passwortmanager wie KeePassXC oder für verschlüsselte Festplatten weil man sie sich relativ einfach merken kann, sie aber ausreichend komplex, und durch ihre Länge gegen Brute Force Angriffe resistent sind.