HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 114.149
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Lieber länger, als unnötig kompliziert.Neben Groß- und Kleinbuchstaben ist es zu empfehlen Zahlen und Sonderzeichen zu verwenden. Je mehr Zeichen desto besser.
Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Lieber länger, als unnötig kompliziert stimmt nach wie vor, auch bei deinem Beispiel. Zumal deine Wörterbuchattacke bei correctbatteryhorsestable nicht so ohne weiteres funktioniert. Du kennst weder Anzahl noch Länge der verwendeten Wörter, auch nicht die Sprache. Deine 1000^4 sind daher falsch.Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Ein zehnstelliges Passwort mit Sonderzeichen liegt bei 33^10 =~ 1.5e15.
Gut für Account Passwörtern die man bräuchte um Daten von Servern abzugreifen ist das alles irrelevant, denn Bruteforce blockt der Server ab. Aber für Containerverschlüsselung sollte man dran denken und besser doch ein paar Zahlen und Ersetzungen in die Worte einbauen...
ja um sie dann im Browser zu speichern wodurch die dann bei Benutztung unverschlüsselt im RAM liegen...
Irgendwie erschließt sich mir der Zusammenhang gerade nicht.
Selbst wenn man sie im Browser speichert und z.B. mit Masterpasswort sichert, was hat das der Passwortkomplexität zu tun? Zum "Diebstahl" bräuchte man Schadsoftware auf der Kiste und dann ist so oder so alles gelaufen. Leichter zu merkende Passwörter sind da ja zudem noch deutlich im Vorteil, denn wenn man die auswendig kann, muss man nichts speichern.
Wobei ich gerade etwas irritiert bin, dass dich das stört, aber du Authy erwähnst, welches deine Token in die Cloud schiebt und closed source ist.
Sollte mein Smartphone mal den Geist aufgeben, schiebe ich meine token von Hand aufs neue Telefon.
Das ist erstmal korrekt, allerdings ist letztendlich egal ob dein PW nun Sonderzeichen nutzt oder nicht, solange der Angreifer glaubt bzw. annimmt das Sonderzeichen drin sind. Und wenn das der Fall ist, dann gilt eben länger = besser. Völlig egal ob nur normale Zeichen drin sind oder nicht.Jein, die Anzahl der Worte die einem spontan für so ein Passwort einfallen sind auf ein paar Hundert begrenzt. Sagen wir 1000. Es gibt wörterbücher für sowas! Das ergibt 1000^4 bei vier Worten. 1e12 Kombinationen.
Ein zehnstelliges Passwort mit Sonderzeichen liegt bei 33^10 =~ 1.5e15.
Wären und sind sie nie/nicht. 2FA ist ein zusätzlicher Schutz, niemals ein alleiniger. So zu denken ist gefährlich. Nur all zu oft wurde schon über PW zurücksetzen und Fehler in der Implementierung 2FA ausgehebelt.Das ist mit diesem Fido Schlüssel einfach echt mega, da kann man sagen und meinen was man will, das wäre so am sichersten, dann wären Passwörter an sich auch ziemlich schietegal, aber eben auch nur dann
Wenn man doch gelegentlich das Selbe Passwort in verschiedenen Diensten verwendet, erhöht ein Passwortwechsel durchaus die Sicherheit, denn geknackte Datenbanken werden geteilt und jemand könnte später die Kombination bei einem anderen Dienst probieren.Und, um Himmels willen: NICHT unreflektiert auf das hören was das BSI dazu sagt - die haben bis vor kurzem empfohlen das Passwort regelmässig ändern die Sicherheit erhöhen würde.
Also die Länge der Wörter spielt ja keine Rolle wenn es insgesamt nur 1000 sind, und ich behaupte mal wenn ich mir eine Wortfolge spontan ausdenken muss, dann werden es Worte sein die in solchen Wörterbüchern vorkommen :/Lieber länger, als unnötig kompliziert stimmt nach wie vor, auch bei deinem Beispiel. Zumal deine Wörterbuchattacke bei correctbatteryhorsestable nicht so ohne weiteres funktioniert. Du kennst weder Anzahl noch Länge der verwendeten Wörter, auch nicht die Sprache. Deine 1000^4 sind daher falsch.
Dann hält man sich nicht an die Grundregeln und alles was danach kommt ist Security by Compliance - kann man machen, ist dann halt scheiße. Und die Konzerne machen diese Regelungen genau deshalb: Weil es der Compliance entspricht. Nicht weil es sicherer ist. Das hat dann irgendein CSO entschieden, weil er es im BSI gelesen hat. Oder weil es seine Kollegen von anderen Konzernen empfehlen. Und auch da gilt dann: Kann man machen, ist halt scheiße.Wenn man doch gelegentlich das Selbe Passwort in verschiedenen Diensten verwendet
Genau das war ja auf Steam passiert, weil man eben 2FA mässig nicht nochmal eine Mail rausgehauen hat seitens Steam, von wegen Mailadresse ändern.Wären und sind sie nie/nicht. 2FA ist ein zusätzlicher Schutz, niemals ein alleiniger. So zu denken ist gefährlich. Nur all zu oft wurde schon über PW zurücksetzen und Fehler in der Implementierung 2FA ausgehebelt.
Man sollte es natürlich nutzen, aber sich niemals allein darauf verlassen.
Unter 2FA verstehe eine Nachfrage über Google auf dem Smartphone wo du auf Ja tippen musst zum Login, oder der USB-Schlüssel dazu von Fido den Google/-Account unterstützt.Ja, leider. Aber immerhin gehts zusätzlich einer App. Ich hab auf Steam übrigens kein 2FA aktiv, aber eine spezielle Email mit gesondertem Passwort. Die verwende ich sonst nirgends. Damit sollte es quasi halb so schlimm sein kein 2FA zu nutzen.
Bei uns haben gelegentlich Leute diesen Spruch auf ihren Laptops kleben... Leider gibt es eine auffällige Übereinstimmung mit der Gruppe von Menschen die Nervensägen und Projektbremsen sind...Kann man machen, ist halt scheiße.
gibt es noch lokale empfehlenswerte?Passwortmanager
Klar. Die Standardempfehlung ist Keepass oder ein Fork davon. Das erstellt eine mittels Masterpasswort verschlüsselte Datenbank. Wo du die lagerst ist dann deine Sache, bei mir liegt sie in der Cloud und synct so zwischen meinen Geräten. Auf iOS nutze ich die App Keepassium und im Browser (Firefox) das Plugin "Kee - Password Manager". Das kann Autovervollständigung, wenn man in Keepass die entsprechende URL mit hinterlegt.gibt es noch lokale empfehlenswerte?
Hey, hey, wie kann man dich denn wieder einfangen?Die Stiftung Warentest versteht von der Bewertung von Software bezüglich IT-Sicherheit ungefähr soviel wie ein Eichelhäher.
Warum nicht den integrierten PasswortManager?Auf iOS nutze ich die App Keepassium
evtl weil man etwas möchte, was auch außerhalb vom Apfelbaum funktioniert, ggf im ganzen Garten?Warum nicht den integrierten PasswortManager?
Du bist herzlich eingeladen mich auf deine Ignorelist zu packen. Tu das oder lass es, ist mir schnuppe. Aber nur weil dir meine Meinung und wie ich sie äußere nicht gefällt werde ich nichts daran ändern wie und das ich sie kund tue. Denn das läuft nunmal so in einem Forum. Du kannst nicht andere Menschen ändern, nur dich selber.Hey, hey, wie kann man dich denn wieder einfangen?
Ich habe nach einer bewährten Software gefragt und nur als Ergänzung angegeben, dass ich möglicherweise dort zuletzt ... und eigentlich kostenpflichtige Cloudsoftware meiden mag.
Wenn du schimpfen magst, gerne mit adäquater Kritik und Verbesserungsvorschlägen an die entsprechende Adresse, die da zuhört und ggf Einfluss drauf hat.
Alles andere ist hier inhaltlich wie funktional fehl am Platz, weil ohne Wirkung.
Dass Vieles schlecht läuft und man über manche Sachen nur mit dem Kopf schüttelt, so etwas habe ich schon im Job.
Das brauche ich das nicht noch im Forum meiner Freizeitbeschäftigung. Dankeschön
Kennst du eine gute Möglichkeit um den Apple Schlüsselbund auf Win10 und im Firefox zu nutzen? Falls ja, dann steige ich gerne um...Warum nicht den integrierten PasswortManager?
Bei deinem letzten Beitrag dann aber bitte auch an die eigene Nase fassen Denn nett, höflich und sachlich ist die Tonart sicherlich nicht.Höflichkeit und Benehmen fordern aber selber keins bringen - kann man machen.
Meister, von mir aus kannst du deine Meinung immer äußern. Ich werde dich deswegen nicht auf ignore packen. Ich kann und werde es dir nicht verbieten, ich will dich auch nicht ändern oder so. Aber es ist sinnlos, wenn du etwas kritisierst in einer Ecke, wo es nichts bewirken kann. Das ist wie Stammtischparolen brüllen, aber nicht wählen gehen. Es hört keiner, es wird keiner deswegen sein Handeln überdenken und es wird sich deswegen nichts ändern. Du kannst Dich im HWL hier mit deiner Meinung zur Stiftung Warentest austoben, aber es bringt niemanden weiter, wenn du es nicht dort anbringst, in konstruktiver Form natürlich.Du bist herzlich eingeladen mich auf deine Ignorelist zu packen. Tu das oder lass es, ist mir schnuppe. Aber nur weil dir meine Meinung und wie ich sie äußere nicht gefällt werde ich nichts daran ändern wie und das ich sie kund tue. Denn das läuft nunmal so in einem Forum. Du kannst nicht andere Menschen ändern, nur dich selber.