Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

P@ssw0rt2014: Neue Angriffe machen komplexere Kennwörter erforderlich

Hacker haben auf einer Sicherheitskonferenz in Las Vegas ein neues Werkzeug vorgestellt, mit dem sich auch personalisierte Kennwörter relativ effizient erraten lassen. Die Software WordHound entstand auf Grundlage der in den vergangenen Monaten bekannt gewordenen Kennwort-Datenbanken großer Unternehmen wie Adobe, eBay, Electronic Arts, LinkedIn und Twitter. Hier hat sich gezeigt, dass Kennwörter mittlerweile häufig personalisiert werden - entweder durch Anhang einer Jahreszahl oder dem Ersetzen einzelner Buchstaben durch ähnliche aussehende Zahlen oder Sonderzeichen.

Diese einfache Personalisierung macht Kennwörter nicht mehr sicher, da häufig nur ein Wort oder eine einfache Wortkombination verwendet wird. Beispiele hierfür sind "P@ssw0rd1", "L0an@ w0rk!", "ghostrecon76" oder "playstationplaystationdec2014". Grundsätzlich empfiehlt es sich, Kennwörter nicht nur durch Zahlen und Sonderzeichen zu individualisieren, sondern ganze Sätze zu bilden.

Sollte es eine Limitierung der Kennwortlänge geben, muss auf einen Kennwort-Generator zurückgegriffen werden, der zufällige Zeichen kombiniert. Viele Web-Dienste aus dem Sicherheitsbereich stellen einen kostenlosen Kennwort-Generator zur Verfügung, wie beispielsweise Norton (). Das generierte Kennwort lässt sich anschließend im Browser speichern, unter dem Dienstprogramm Schlüsselbund manuell ablegen oder ganz altmodisch auf einem Blatt Papier ausdrucken.

Weiterführende Links:

Kommentare

buffi
buffi11.08.14 10:48
Das ist ja alles gut und schön.
Aber das Problem sind doch nicht Angriffe auf den einzelnen User, sondern Angriffe auf Firmendatenbanken.
Und wenn die Hacker da rein kommen ist es völlig Wurscht wie Dein Passwort aussieht.
Da macht es keinen Unterschied ob Du "12345678" oder "DtXSQYIv19KICL" genommen hast.
Can’t innovate anymore? My ass!
0
Wolfgang Duenkler11.08.14 10:58
buffi macht Mut...
0
diddom
diddom11.08.14 10:59
Richtig. Und wenn man jetzt noch bei jeder Meldung, dass wieder irgendwo die kompletten Datensätze mit Millionen Passwörtern geklaut wurden, alle benutzen Passwörter ändern soll, dann ist man demnächst jede Woche nur noch damit beschäftigt, neue Passwörter zu erstellen.
Irgendwo gibt es keine Lösung bzw keine absolute Sicherheit.
0
Waldi
Waldi11.08.14 11:00
oder ganz altmodisch auf einem Blatt Papier ausdrucken.
Man könnte es aber auch ganz einfach mit Stift auf Papier schreiben.
vanna laus amoris, pax drux bisgoris
0
DWeiers11.08.14 11:02
Waldi
oder ganz altmodisch auf einem Blatt Papier ausdrucken.
Man könnte es aber auch ganz einfach mit Stift auf Papier schreiben.

DAS wäre dann aber schon fast zu altmodisch
Ich hasse es, wenn einer mitten im Satz
0
buffi
buffi11.08.14 11:04
Vielen um mich drumrum könnte schon geholfen werden, wenn sie nicht ein und dasselbe Passwort aus Bequemlichkeit für mehrere Anmeldungen nutzen würden. Ich sehe das leider noch viel zu oft.
Can’t innovate anymore? My ass!
0
Ties-Malte
Ties-Malte11.08.14 11:08
@buffi:
Das Problem ist, dass weder „KA3S3“ noch „kaese1“ oder „1kaese“ einen wirksameren Schutz darstellen als „KAESE“, ein PW wie „XsUR-3Gl%-7u/j-“ aber schon.

Gegen Einbrüche in Firmen kannst du dich natürlich nicht schützen, da hilft nur regelmäßiges Ändern deiner PWs. Es macht den Schutz nicht absolut, ist aber deutlich mehr als „123abc“.

Das Problem sehe ich (neben mangelhaft geschützten Firmen-Datenbanken) eher in den unsicheren PWs, die man sich zwingend merken muss: Zugang zum Rechner, ohne das man nicht ans Schlüsselbund kommt, und das Master-PW der Schlüsselbünde. Die ändern User nämlich i.d.R. nicht (regelmäßig).
The early bird catches the worm, but the second mouse gets the cheese.
0
buffi
buffi11.08.14 11:16
Ties-Malte
@buffi:
Das Problem ist, dass weder „KA3S3“ noch „kaese1“ oder „1kaese“ einen wirksameren Schutz darstellt als „KAESE“, ein PW wie „XsUR-3Gl%-7u/j-“ aber schon.

Gegen Einbrüche in Firmen kannst du dich natürlich nicht schützen, da hilft nur regelmäßiges Ändern deiner PWs. Es macht den Schutz nicht absolut, ist aber deutlich mehr als „123abc“.

Das Problem sehe ich (neben mangelhaft geschützten Firmen-Datenbanken) eher in den unsicheren PWs, die man sich zwingend merken muss: Zugang zum Rechner, ohne das man nicht ans Schlüsselbund kommt, und das Master-PW der Schlüsselbünde.
Ausser, dass Du es etwas ausführlicher geschrieben hast......
Wir sind doch einer Meinung.
Der Angriff auf den einzelnen Privatmann (keine Person des öffentlichen Lebens) gehört aber nun wirklich zu den sehr seltenen Vorfällen.
Can’t innovate anymore? My ass!
0
jogoto11.08.14 11:17
Das Problem ist die undifferenzierte Berichterstattung.
Wenn jemand einen Passwortgenerator und -speicher wie zum Beispiel 1Password verwendet und dadurch nie ein Passwort zweimal verwendet und regelmäßig wichtige Passwörter wie die von E-Mail Konten oder der Bank ändert, ist es völlig egal, wie viele Firmendatenbanken geknackt werden, denn der Diebstahl eines Passwortes beschränkt sich dann immer auf nur einen, eher unwichtigen Zugang, den ich auch wieder ändern kann, wenn schon was passiert ist.
0
camaso
camaso11.08.14 11:21
Umkehrschluss: Wenn ja doch nur Firmendatenbanken ein Risiko darstellen, kann ich beruhigt weiterhin "Passwort" und "keins" benutzen…
0
herwighenseler
herwighenseler11.08.14 11:23
Aus gegebenem Anlass wie üblich: (http://xkcd.com/936/)

Nur ein langes Passwort ist ein sicheres Passwort. Sonderzeichen sind irrelevant und nerven nur bei der Eingabe.
Life is a heuristic guided depth-first search without backtracking
0
jogoto11.08.14 11:34
herwighenseler

Rein mathematisch ist der Comic ja richtig nur was bringt mir ein langer Satz aus vielen einprägsamen Wörtern? Weil ich mir den so gut merken kann aber nicht 100 von denen verwende ich mein so sicheres, langes Passwort wieder überall.
So was eignet sich, wie Ties-Malte geschrieben hat als Master-Passwort für mein Passwortprogramm oder zur Anmeldung am Rechner. Für alles andere sind maschinell generierte, kryptische und möglichst lange (da gebe ich Dir Recht) aber schnell zu ersetzende Passwörter die einzige Abhilfe.
0
buffi
buffi11.08.14 11:44
camaso
Umkehrschluss: Wenn ja doch nur Firmendatenbanken ein Risiko darstellen, kann ich beruhigt weiterhin "Passwort" und "keins" benutzen…
Keiner hier hat das Wort "nur" benutzt.
Bitte keine Schwarz/Weiß Malerei.
Es ging eigentlich nur darum, nicht hinter jeder Ecke den Privatangreifer zu vermuten und sich erst um das Wichtigere zu kümmern.
Selbstverständlich sollte man für "alle (wenn das überhaupt geht)" Möglichkeiten gesichert sein.
Can’t innovate anymore? My ass!
0
macbookjoe11.08.14 11:55
jogoto.. genau!

am wichtigsten ist eigentlich für's email (.mac/me/icloud zb) ein gutes passwort zu verwenden via zB. 1Password*... denn wenn DAS passwort geknackt ist, kann man ja all die andern (eben via email) zurücksetzen...

sowas zB. knackt man nicht mehr: d39W3CXgI8]i8`4}6C7?|F'z+9@0*( und wenn dann doch mal die Apple Datenbank genackt wurde, dann halt wieder ändern...bzw ein neues generieren lassen... wenn man unterwegs ist und nicht mehr in's email reinkommt (Ferien - alles geklaut worden - im email hat man noch ne passkopie oder in der iCloud etc. usw. - dann via reset (lieblinmgsband/strasse in der kindheit, name des lehrers etc. resetten...

eigentlich GANZ schlecht (machen wir aber alle) ist die haupt Apple ID (email ) aufem iphone angemeldet haben, und diese email als Haupt-email für alles verwenden... wenn einer nun das iPhone (ok nur wenn ungelockt) in die Hände bekommt, kann er überall unsere Passwörter resetten und hat gleich die (Haupt)email mit den links dazu...

ja schon ein leidiges Thema... man muss sich glaub echt von den personalisierten - einfach merkbaren PW verabschieden... und halt so komplexe generieren lassen via PW generator/syncer (1Password) wie viele hier jetzt schon geschrieben haben - was wiederum in der cloud gesynct ist - aber einen hohen Schutz hat - und bei entsprechendem Passwort (da wären wir wieder) eigentlich nicht knackbar ist... (ja halt nicht ABC123 verwenden...
0
Meinolf
Meinolf11.08.14 12:26
Das Problem ist nicht wer welches Passwort nutzt! Woher weiß ich als armer Anwender denn, wer mein noch so kompliziertes Passwort während der Eingabe mit liest/schreibt?!!
Das Problem ist das im 21 Jahrhundert immer noch Techniken von vor 1980 Anwendung finden. Anwender-Identifikation mit User/Passwort wird nur gemacht weil es die billigste Technik ist.
Es wird höchste Zeit einzusehen; die billigste Sicherungstechnik langfristig immer die teuerste.
In der neuesten c't ist ein schöner Artikel darüber.
Schönes nachdenken ...

Gruß
Meinolf
0
Dirk J11.08.14 13:30
buffi
Das ist ja alles gut und schön.
Aber das Problem sind doch nicht Angriffe auf den einzelnen User, sondern Angriffe auf Firmendatenbanken.
Und wenn die Hacker da rein kommen ist es völlig Wurscht wie Dein Passwort aussieht.
Da macht es keinen Unterschied ob Du "12345678" oder "DtXSQYIv19KICL" genommen hast.

Das macht schon einen Unterschied, da Passwörter in der Datenbank in der Regel verschlüsselt gespeichert sind, es sei denn da sind totale Deppen am Werk wie damals Sony oder wer das war. Also sind die erstmal nicht lesbar und müssen aufwendig geknackt werden um sie lesbar zu bekommen. Das ist mit aufwendigeren Passwörtern schwieriger und zeitaufwändiger als mit einfachen Passwörtern.
0
Meinolf
Meinolf11.08.14 13:46
... man nicht mehr: d39W3CXgI8]i8`4}6C7?|F'z+9@0*(
Genau, und noch 5 bis 15 Zeichen mehr. Toll: Ich komme morgens um 9:00h zum Kunden. Melde mich am 5 verschiedenen Systemen mit je 3 Mandanten an. Mach 15 Anmeldungen. Vertippe mich ca. jeweils 2 mal und bin dann Mittags glücklicher User?!
Jaaaaha Passwörter - sind eine Tolle Lösung.
Muss ich eigentlich bei Verdoppelung der Rechenleistung (um das Passwort zu knacken) die Anzahl der Passwort-Buchstaben ins Quadrat erheben??
Wenn ich mir dann das Schachbrettspiel mit dem Reiskorn ansehen, gute nacht.

Meinolf
0
buck
buck11.08.14 13:52
Abgesehen davon, dass man für jeden Dienst ein eigenes (komplexes) Passwort verwenden sollte gehört JEDER Firma, die PWs als Klartext speichert was an an die Backen gehauen. Wieso müssen die mein PW als Klartext haben? Wenn man nur z.B. den md5-Wert des Passwortes speichert wird das ganze schon erheblich sicherer.

Falls ich je herausbekommen sollte, dass irgendwer meine Passwörter als Klartext speichert bin ich sofort ein EX-Kunde!
0
iCode
iCode11.08.14 14:00
Aus dem Artikel:
Viele Web-Dienste aus dem Sicherheitsbereich stellen einen kostenlosen Kennwort-Generator zur Verfügung, wie beispielsweise Norton (). Das generierte Kennwort lässt sich anschließend im Browser speichern, unter dem Dienstprogramm Schlüsselbund manuell ablegen ...

Die Empfehlung ist mir (insbesondere unter OS X!) gar nicht nachvollziehbar.

Warum zum Geier sollte man zum Erzeugen eines Passwortes irgendeinen fremden Web-Dienst nutzen, anstatt den OS X internen Passwort-Generator? Der das erzeugte Passwort ja sogar gleich im Schlüsselbund speichert. Ohne Dritte im Bunde. Und ohne Übertragung durch das Netz.
0
Radetzky11.08.14 14:21
iCode
Aus dem Artikel:
Viele Web-Dienste aus dem Sicherheitsbereich stellen einen kostenlosen Kennwort-Generator zur Verfügung, wie beispielsweise Norton (). Das generierte Kennwort lässt sich anschließend im Browser speichern, unter dem Dienstprogramm Schlüsselbund manuell ablegen ...

Die Empfehlung ist mir (insbesondere unter OS X!) gar nicht nachvollziehbar.

So ist es. Im Schlüsselbund ist ein Passwortgenerator einhalten, schon seit Ewigkeiten.
Neues Kennwort, auf das Schlüsselicon klicken und den Kennwortassistenten nutzen. Alles dran, alles drin.
0
camaso
camaso11.08.14 14:56
Wenn @@macbookjoe vor mir am Bancomat steht und sein Passwort (wir erinnern uns: d39W3CXgI8]i8`4}6C7?|F'z+9@0*( ) nicht mehr weiss, dauert es bis zum dritten Mal vertippen erheblich länger, als wenn er wie alle anderen guten Bürger 12345678 verwendet hätte.

Frage daher: Wie kann man den Inhalt des Schlüsselbunds unterwegs nutzen?
0
hpet996
hpet99611.08.14 15:05
buffi
Ties-Malte
@buffi:
Das Problem ist, dass weder „KA3S3“ noch „kaese1“ oder „1kaese“ einen wirksameren Schutz darstellt als „KAESE“, ein PW wie „XsUR-3Gl%-7u/j-“ aber schon.

Gegen Einbrüche in Firmen kannst du dich natürlich nicht schützen, da hilft nur regelmäßiges Ändern deiner PWs. Es macht den Schutz nicht absolut, ist aber deutlich mehr als „123abc“.

Das Problem sehe ich (neben mangelhaft geschützten Firmen-Datenbanken) eher in den unsicheren PWs, die man sich zwingend merken muss: Zugang zum Rechner, ohne das man nicht ans Schlüsselbund kommt, und das Master-PW der Schlüsselbünde.
Ausser, dass Du es etwas ausführlicher geschrieben hast......
Wir sind doch einer Meinung.
Der Angriff auf den einzelnen Privatmann (keine Person des öffentlichen Lebens) gehört aber nun wirklich zu den sehr seltenen Vorfällen.

das Angriffe auf Privatleute selten stattfinden hat vielleicht mehr mit der Berichterstattung zu tun, denn wen interessiert es, ob die Computer von Lieschen Müller oder Otto Normalverbraucher gehackt wurden, um Kontodaten zu entwenden. Da sind Schlagzeilen zu Firmenhacks schon interessanter
0
iMäck
iMäck11.08.14 16:23
ich merke hier,
das es ein großen Bedarf an MacBooks, iMacks und auch Tastaturen mit:


gibt.

Apple sollte TouchID in allen endlich mal integrieren.

das wäre dann wohl Schwieriger zu knacken als "asdf" oder "Klaus72"

und für die ganz große Sicherheit :
TouchID + Passwort und als 3te Authentifizierung eine Sms mit Code ans Handy hinterher
0
ctismer
ctismer11.08.14 17:51
Irgendwie ist und bleibt die ganze Passwort-Geschichte ein Ärgernis. Habe das Problem seit Jahren irgendwie halbherzig gelöst (aus Sicherheitsgründen sag ich nicht wie).

Die Touch-Id in Verbindung mit anderem Schutz kann dabei in der Tat Erleichterung bringen.

Wenn ich manchen Empfehlungen aus dem Netz folge, dann soll man für jeden Service ein eigenes Passwort nehmen und das dann auch monatlich ändern.

Ich weiss nicht ob das wirklich so gut ist: wie sicher ist denn eigentlich dieser Vorgang des Passwort-Änderns? Besteht nicht dadurch eine neue Gefahr, wenn man ständig
an der Sicherheit rummacht, dass man auf gefälschte Services hereinfällt?

Es mag paranoid klingen, aber oft kommen mir diese Offenlegungen von "zig Millionen xyz-Passwörter geknackt" als eine irgendwie beabsichtigte Panikmache vor, eben damit ich schnell mal alle meine Passwörter ändere. Auf diese Weise gehen Leute an viele Dienste dran, die sie lange nicht benutzt haben. Ich denke dieser Vorgang bietet Angriffspunkte.

Wenn viele Leute viele Passwörter öfter ändern, dann machen sie doch auch viel öfter Fehler, zeigen durch Aktivität an was sie alles an Diensten haben, und vielleicht ist es ja genau das was beabsichtigt ist?

Ok, um das Maß an unpopulären Ideen voll zu machen:

Wenn ich für maximale Sicherheit lauter Random-Passwörter nehme, hat dies den Nachteil, dass ich nicht mit meinem Gehirn als Speicher auskomme, werde also von Speichermedien wie Papier, KeyChain, 1Password oder ähnlichem abhängig, und das kann man mit genügend Pech verlieren, oder man kommt gerade nicht dran.

Daher benutze ich für unwichtige Dinge wie Social Sites und Mailing-Listen mit voller Absicht ein mäßig sicheres kurzes Passwort und immer das Gleiche, sozusagen der geringen Wichtigkeit angepasst.

Bei wichtigen Dingen (Rechner-Login, Haupt-Email, PGP, SSH-Zugang, Repository-Keys) treibe ich allerdings richtig Aufwand.
0
claudiusw
claudiusw11.08.14 19:14
Ich predige schon seit Jahren gebetsmühlenartig über sichere Passwörter bei meine Bekannten und die Möglichkeiten, die es heute gibt. Fakt ist, dass 95 Prozent aller Nutzer sich über sichere Passwörter keine Gedanken machen. Es gibt heute gute Tools wie 1Password oder auch Safari selbst. Ein sicheres Passwort ist ja nur eines, dass man sich nicht leicht merken kann und das aus unlogischen Zeichenkombinationen besteht und möglichst etwas länger ist.
Wer jetzt hier Probleme mit den o.g. Tools hat, denen kann leider keiner helfen. Diese Herrschaften werden beim nächsten Hackerangriff möglicherweise dabei sein. Kann aber auch vielleicht daran liegen, dass die Meisten im Internet einfache "stupid user" sind.
You can­not cre­ate good ty­pog­ra­phy with Arial.
0
Tzunami
Tzunami12.08.14 01:26
[quote=macbookjoe]

sowas zB. knackt man nicht mehr: d39W3CXgI8]i8`4}6C7?|F'z+9@0*(

Komisch, ich haben den selben Code an meinem Koffer^^
0
mayo8112.08.14 03:01
Warum man sich nicht klassischer Merk-Hilfsmittel bei Kennwörtern bedient, verstehe ich immer noch nicht

Beispiel:
MeA,(eweMBW201),hafdKd#171.

Kann man sich gaaanz leicht merken:

Mein erstes Auto, (es war ein Mercedes Benz W201), hatte auf dem Kennzeichen die Nummer 171.
0
camaso
camaso12.08.14 08:46
Nicht zu knacken, weil – wer von den Skriptkiddies kennt schon die Kommaregeln?
0
ctismer
ctismer13.08.14 07:04
mayo81
...
MeA,(eweMBW201),hafdKd#171.

Mein erstes Auto, (es war ein Mercedes Benz W201), hatte auf dem Kennzeichen die Nummer 171.

Eigentlich perfekt, nur das 'f' verstehe ich nicht.
0
micheee01.09.14 22:53
Ich hab hier einen Kommentar zur News von sb geschrieben, da könnt ihr nachrechnen, dass ob es sich wirklich lohnt sich MeA,(eweMBW201),hafdKd#171. zu merken

Kurz: nicht unbedingt Die XKCD Methode ist sowohl in Nutzer- als auch in Sicherheitsaspekten empfehlenswert und irgendwelchen obskuren handgemachten Regeln überlegen.
Das ist ja alles gut und schön.
Aber das Problem sind doch nicht Angriffe auf den einzelnen User, sondern Angriffe auf Firmendatenbanken.
Und wenn die Hacker da rein kommen is[…]

Gute Firmen speichern dein Passwort in der Regel als gesalzenen Hash . Weil aber nicht alle Firmen gut sind, empfiehlt es sich natürlich pro Dienst ein eigenes (sicheres) Passwort zu verwenden.

Bei Passwörtern geistern leider viele Mythen durchs Internet.
Nicht dass die Mercedes Methode schlecht ist, aber die Methode 'hund mercedes loft streitaxt' ist aus kryptographischer Sicht ähnlich sicher und weitaus alltagstauglicher
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.