So lange braucht ein Hacker, um dein Passwort zu knacken

    • Official Post

    Quelle: https://www.sir-apfelot.de/so-…asswort-zu-knacken-34019/

  • Wobei man natürlich, ehe hier nun jeder sein Passwort ändert, und wir nächste Woche niemanden hier mehr haben, weil keiner mehr in seinen Rechner kommt ;), bedenken muss, dass die genannten Werte aus der Tabelle rein theoretisch sind.

    Viele Systeme haben heutzutage Vorrichtungen, die eine Brute Force Attacke so ausbremsen, dass sie nicht mehr funktioniert. Von einer numerischen Begrenzung der Eingaben (z.B. 3 Mal bei der Telefonkartenpin, 10 Mal beim iPhone wenn das entsprechend eingestellt ist, etc) verzögern viele Systeme auch die wiederholte Eingabe so, dass es immer etwas länger dauert, bis die nächste Eingabe erfolgen kann.

    Darüber hinaus muss man sich auch immer überlegen, dass die Verhältnismäßigkeit nicht verloren gehen darf.

    Einen Firmenserver mit Milliardenschweren Betriebsgeheimnissen wird man anders sichern wollen, als den eigenen Rechner mit maximal ein paar privaten Fotos, oder den Kontoauszügen der letzten 10 Jahre (wenn man da nichts verbergen will :whistling:).

    Ein Passwort, dass man sich selber zudem nicht merken kann, bringt einem überhaupt nichts, dann sind die Daten zwar vor einem selber sicher, aber eben auch nicht mehr zugänglich.

    Ich selber z.B. nutze grundsätzlich verschiedenen, für die jeweilige Anwendung individuelle Passwörter. Die setzen sich bei mir immer aus drei Teilen zusammen, einem ersten Teil mit Buchstaben (Groß und Klein) dazu Zahlen und je nach Wichtigkeit Sonderzeichen. Dann ein Sonderzeichen als Trennung, und dann nochmal einen Teil der für die jeweilige Anwendung speziell ist, und normalerweise aus einem festen Teil (z.B. 2+5 Buchstabe) des Namens der Anwendung besteht.

    Den ersten Teil habe ich je nach Teilbereich (Internet, eigener Rechner, Firmenrechner, sonstige Anwendungen) immer gleich, das trennenden Sonderzeichen richtet sich nach dem Teilbereich, und der dritte Teil richtet sich nach einem festen Muster nach der Anwendung.

    Der erste Teil wird dann alle paar Monate mal sukzessive mal ausgetauscht.

    Das klingt erstmal kompliziert, mit diesem System ist es aber möglich, eigene Passwörter für jede Anwendung zu nutzen, ohne sich diese nicht mehr merken zu können, und daher auf "1-Passwort-für-alles" zurück zu fallen.

    Das sieht dann z.B. so aus AA-cd145$S- (Autokennzeichen als fester Teil, Sonderzeichen, 1+4 Zeichen von "Sir-Apfelot").

    Bei Apple könnte das dann so aussehen: AA-cd145$Al

    Das ist selbstverständlich nur ein Beispiel, und hier sollte jeder etwas für sich individuelles finden, um ein solches Passwortsystem zu erstellen, wenn er es den so nutzen möchte!

    Initialen (vielleicht auch vom Partner oder Kindern, oder besonderen Freunden o.ä.), Autokennzeichen, Geburtsdaten (auch von anderen!), (alte) Telefonnummern und ähnliches eignet sich dabei meiner Meinung nach ganz hervorragend für den ersten Teil, da dieser leicht zu merken sein sollte.


    Hat man ein solches System erst einmal für sich etabliert, dann hilft es übrigens auch dabei das "Digitale Erbe" zu bewahren, ohne ständig irgendwelche Listen mit Passwörtern aktualisieren zu müssen, oder das Passwort unter der Schreibtischunterlage zu notieren (was viele immer noch für einen sicheren Platz halten?!)


    Ich selber nutze darüber hinaus natürlich den Passwortspeicher von Apple, aber grundsätzlich niemals das von diesem vorgeschlagene Passwort.

    Das ist sicher, keine Frage, aber ich komme einfach immer wieder in die Situation mal ein Passwort zu benötigen, ohne dass auf dem Rechner mein Schlüsselbund installiert wäre. Dann kann ich mir das Passwort zwar aus dem Schlüsselbund im Telefon holen, aber bis ich das korrekt abgetippt habe, ist es mir meistens schon zu dumm geworden.

    Ein variables Passwort, nach einem festen System wie dem obigen, kann sich stattdessen praktisch jeder merken, und es dann Anwendungspezifisch wieder herstellen, ohne sich tatsächlich alle Passwörter merken zu müssen.


    Wer eine Internetadresse sein eigen nennt, kann darüber hinaus auch noch individuelle Mailadressen für die verschiedenen Anwendungen und Websites im Internet nutzen (z.B. Websitename@eigeneAdresse.de) und hat damit einen zusätzlichen Faktor gegen Datendiebstahl und Spam.

    Die Mails auf diese Adressen kann man dann vom Mailsystem (beim Provider einrichten!) über eine Catch-All-Adresse einfangen. Apple Mail bietet darüber hinaus die Möglichkeit die Adresse dann als "Antwortadresse" in Mails zu nutzen.

    • Official Post

    Ich nutze auch den Schlüsselbund von Apple, aber habe mir noch Dashlane dazu geholt. Vorher hatte ich 1Password im Einsatz, aber die haben ja irgendwann auf ein teures Abo umgestellt und dann habe ich komplett neu gesucht.


    Aber ich mache es im Grund auch so, dass ich die Passwörter nach einem System zusammenstricke. Ich denke, wenn jemand sich irgendwo einhacken will, dann ist der einfachste Weg vermutlich, indem man seine Mail-Adresse hackt und dann "Passwort anfordern" bei dem Service wählt. Darum sollte das PW seiner Mail-Adresse besonders gut gehütet sein, denke ich…

  • Naja, Dashlane ist auch ein teures Abo!

    Und worin siehst Du den Vorteil eines solchen Programmes, zumindest für Appleianer, wenn man all diese Funktionen auch kostenlos, bzw. ohne Zusatzkosten, von Apple bekommen kann?


    Das Problem mit der Passwortanforderung umgeht man übrigens auch praktisch völlig, wenn man als Mailadressen solche im Internet benutzt, die es physikalisch gar nicht gibt... ;)

    • Official Post

    Der iCloud Schlüsselbund ist schön und gut, aber ich habe es bei meiner Frau gesehen: Er ist nicht "stabil". Sie hatte Probleme mit ihrem iCloud-Account und irgendwann kam eine Fehlermeldung von der Keychain und er wollte eine neue Keychain anfangen. Wir haben dann Tage versucht, das Ganze irgendwie zu reparieren, aber es war nicht möglich, die alte Keychain wieder zum Laufen zu bekommen.


    Die Folge: Alle Passworte und Logins waren futsch. Und das Backup war schon recht alt…


    Aus dem Grund bin ich bei Dashlane gelandet, da ich damit eine Datenbank habe, die nicht über die Wupper geht, wenn es irgendwo in der iCloud knirscht.


    Der Preis ist im Vergleich zu den anderen kostenpflichtigen Tools mit das Günstigste gewesen. Klar gibt es auch kostenlose Alternativen, aber da mache ich mir immer Sorgen, dass sich die Entwickler nur hobbymäßig drum kümmern. Aus dem Grund investiere ich da gerne ein paar Euros…

  • Ich weiß gerade nicht genau, was Du mit "Keychain" in dem Zusammenhang meinst?

    Keychain ist nur der englische Begriff für den Schlüsselbund, das ist keine Blockchain oder sowas!

    Der geht in der iCloud auch nicht verloren, es sei den man deaktiviert ihn auf allen Geräte, und löscht ihn gleichzeitig lokal dabei.

    Das hat dann aber nichts mit der "Stabilität" des Schlüsselbundes zu tun, sondern ist schlicht ein Bedienerfehler, und der kann Dir bei allen Passwortmanagern passieren.

    Dazu kommt, dass Du dort ein Masterpasswort Dir merken musst.

    Vergisst Du dieses, sind ebenfalls alle Daten, zumindest laut der Anbieter, rettungslos verloren!

    Die Wahrscheinlichkeit dass Du ein Passwort vergisst, noch dazu eines dass sicher genug ist, um ihm alle Deine anderen Passwörter etc. anzuvertrauen, ist aber statistisch wesentlich höher, als das Risiko dass Du auf allen Geräten den Schlüsselbund deaktivierst, und zusätzlich die lokalen Daten löschst!


    Externe Anbieter, sei es Dashlane, 1Passwort oder auch die vielen anderen, stellen immer ein zusätzliches Risiko für die Daten dar, wenn diese dort gestohlen werden. Und die Mehrzahl der "Hackerangriffe" kommt nunmal von Insidern. Da hilft es aus meiner Sicht, sich auf einen zuverlässigen Anbieter (hier in meinem Fall Apple) einzulassen, und das Risiko nicht zu multiplizieren, indem ich die Daten an verschiedenen Stellen speichere, und damit die Zahl der möglichen Täter potenziere.


    Ein weiterer großer Nachteil (zumindest wenn man auf die Sicherheit achten möchte) ist, dass ich diese Programme auf jedem Rechner installieren kann, und mit Deinem Masterpasswort da dann grenzenlosen Zugang bekomme.

    Der iCloud Schlüsselbund ist hingegen an Deine eigenen Apple-Devices gebunden. Klar könnte ich mich auch mit Deinem Apple-Account anmelden, aber dies würde durch entsprechende Meldungen auf den anderen Geräten schon sehr schnell auffallen, und vor allem zunächst blockiert(!), während man solche Meldungen von den oben genannten Programmen, wenn sie den überhaupt eingerichtet wurden, entsprechend auch "abfangen" kann.


    Klar sind 40-50 € im Jahr für viele nicht viel Geld, aber wenn ich mir damit auch noch ein zusätzliches Risiko ins Haus hole, wäre es mir persönlich das nicht Wert!

    • Official Post

    Hallo Ulli! Ne, das war kein Bedienfehler… wir sind ja nicht doof und klicken auf Keychain löschen. :D

    Ich glaube, die Datei hatte eine Macke und die wurde auch in die iCloud übertragen. Der Schlüsselbund/Keychain war defekt und ließ sich nicht mehr retten.


    Und ich persönlich gehe lieber ein höheres (sicher nicht riesiges) Risiko ein und lasse meine Daten zusätzlich bei Dashlane, wenn ich dafür mehr Sicherheit habe, dass sie nicht verloren gehen. Aber das kann ja jeder handhaben, wie er mag.


    Ich muss fairerweise sagen, dass mir persönlich in all den Jahren mit meinen Macs noch nie passiert ist, was meiner Frau passiert. Sie zieht solche Probleme irgendwie an. 😂

  • Nein, da gibt es auch kein Feld „Keychain löschen“, sondern einen Schalter in den iCloud Einstellungen, und eine kleine Abfrage, ob man die lokalen Daten behalten möchte!

    Und ich will niemandem zu nahe treten aber, wenn ich im Bezug auf Computer von jemandem:

    Ne, das war kein Bedienfehler… wir sind ja nicht doof und klicken auf Keychain löschen. :D

    höre, dann bin ich in den allermeisten Fällen bereit fast alles zu setzen, wenn drauf gewettet werden soll, das genau das eben doch passiert ist!🙄

    Und der iCloud Schlüsselbund ist keine einzelne Datei, die lokal beschädigt und dann dieser Schaden übertragen werden könnte. Ein bisschen Aufwendiger geht Apple hier schon vor...😉


    Was meinst Du im Übrigen mit „zusätzlich“?

    Normalerweise nutzt man entweder das eine, oder das andere Programm!

    Wie speichert man den Passwörter in beiden gleichzeitig, oder tippst Du das manuell ab?

Recent Activities

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!