Fragen zur Sicherheit von PW (notwendiger Grad der Individuallisierung)

[Captain.P]

Hi,
ich verwende mittlerweile recht lange PW. Diese sind Kombinationen aus Zahlen, Sonderzeichen und Wörtern die in keinem Zusammenhang stehen.
Meine Frage bezieht sich nicht auf die Sicherheit der Zusammenstellung meiner PW sondern auf folgendes:
Da es recht schnell passiert bei selten genutzten Diensten die Passwörter zu vergessen, wie sicher ist es wenn man z.B. die ersten 8 Stellen bei allen PW gleich hat und erst danach individualisiert. Ich stecke nicht so tief im Thema aber soweit ich dass verstanden habe ist bei einem guten Dienstleister das PW auf Serverseite unter einem Hash Wert gespeichert. Ähneln sich die Hash Werte wenn man z.B. die ersten 8 Stellen gleich lässt? Es geht mir um etwas Grundverständnis wie Individuell PW sein müssen, um nicht aus einem gehackten Account, dem erbeuteten Hash Wert, Rückschlüsse auf die anderen zu bekommen.


Gruß

 

[fax668]

Da es recht schnell passiert bei selten genutzten Diensten die Passwörter zu vergessen, wie sicher ist es wenn man z.B. die ersten 8 Stellen bei allen PW gleich hat und erst danach individualisiert.

Das sollte ziemlich sicher sein, vorausgesetzt dein Passwort hat insgesamt 16 oder mehr Zeichen. Hauptsache lang. Theoretisch ist es natürlich unerfreulich, wenn zwei deiner Passwörter irgendwie abgefangen würden (Trojaner, nicht gehashter Passwortspeicher, etc.) und der Angreifer dann die restlichen Passwörter leichter raten könnte. Praktisch dürfte das aber irrelevant sein, weil Onlinekriminelle dazu mehr als ein Passwort von dir brauchen und normalerweise Passwörter nicht vergleichen.

Ähneln sich die Hash Werte wenn man z.B. die ersten 8 Stellen gleich lässt?

Nein, bei jeder kryptographisch tauglichen Hashfunktion musst du nur ein einziges Bit ändern, damit ein komplett anderer verschlüsselter Code rauskommt.

Mir persönlich wäre dein Vorgehen zu kompliziert. Ich verwalte alle meine Passwörter mit KeePass und brauche mir nur ein langes Passwort merken, um da ranzukommen. KeePass kann auch mit dem Browser Passwörter austauschen und die Datenbank lässt sich auf Android, iOS, etc. syncen.

 

[Captain.P]

Ok danke! Meine Vermutung war einfach dass, je nachdem wie gut der Algorithmus für den Hash war, man evtl. bei ähnlichen Passwörtern diese schneller raten kann.
Passwort Manager habe ich bis jetzt noch nicht verwendet. Ich schau mir KeePass mal an.

 

[passat3233]

Naja, bei Passwortmanagern sinkt aber IMHO die Sicherheit erheblich.
Denn ich muß nur das Passwort des Passwortmanagers knacken und bekommen dann Zugriff auf alle darin gespeicherten Passwörter.

 

[eXTA]

deswegen sollte dieses PW auch "sicher" sein.

Knacken ist da nicht mal eben drin.
Ich hab da eher immer bedenken, dass meine Datenbankdatei irgendwie mal abhanden kommt..

 

[fax668]

Meine liegt im Backup, auf dem Fon und in der Dropbox. Bei einem hinreichend langen Passwort dauert das Knacken länger, als es Atome im Weltall gibt. Wer wirklich an die Passwörter ran will, knackt nicht die Datenbank sondern schmuggelt einen Trojaner auf den Rechner.

 

[Captain.P]

Scheint recht komplex zu sein das Keepass mit der Möglichkeit von zig Plugins. Bin immer etwas skeptisch bei Lösungen die die Eierlegendewolllmilchsau sein wollen.
Die meisten Passwörter kann ich mir merken. Nur selten genutzte da wäre so etwas vielleicht sinnvoll.
Mein Lösungsansatz ist bis jetzt bei selten genutzten Diensten ich nehme ein "Wegwerfpasswort" und wenn ich den Dienst erneut brauche nutze ich "Password vergessen". So brauche ich nur von der eingetragenen Emailadresse das Password zu behalten. Etwas umständlich da stimme ich schon zu aber besser als "123456Password" oder dergleichen.

 

[eXTA]

KeePass an sich ist relativ simpel.
Plugins braucht man auch nicht zwingend, erleichtert natürlich einiges.
Ich komme bis jetzt ohne Plugins aus

 

[fax668]

Ich benutze das HTTP Plugin für Integration mit dem Browser und das war's auch. Ansonsten legt man halt für jedes Passwort bzw. Konto einen Eintrag an und kann diese hierarchisch in Verzeichnissen verwalten. Die Suchfunktion ist aber auch so gut, dass man beim Organisieren nicht übertreiben muss.