Wie erzeugt ihr eure Passwörter?

cyberjonny

Active member
Themenstarter
Registriert
22 Sep. 2007
Beiträge
9.720
Hi miteinander,

einfach aus reinem Interesse heraus und ggf. auch zur eigenen Inspiration:


  1. Wie erzeugt ihr eure Passwörter?
  2. Warum habt ihr euch für diese Methode entschieden?
  3. Wie verwaltet ihr eure Passwörter?

Natürlich muss hier niemand sein exaktes System verraten (reale Passwörter sowieso nicht ;)), aber die Methode auf einer abstrakten Ebene zu beschreiben, sollte ja eigentlich kein Problem sein. Im Hinblick auf die tatsächliche (mathematische) Passwortsicherheit geht man ja ohnehin davon aus, dass die Methode und ggf. andere "äußere Parameter" (z.B. verwendete Wörterbücher) dem Angreifer bekannt sind. Für ein gutes Passwort sollte das also keine Rolle spielen, auch wenn obscurity natürlich trotzdem einen gewissen zusätzlichen Sicherheitsaspekt darstellen kann.

Von meiner Seite aus darf hier gerne eine (sachliche) Diskussion stattfinden, warum welche Methode besser oder schlechter ist - in der Hoffnung, dass ich vielleicht noch was dazulerne (und der eine oder andere von euch vielleicht auch)... Würde mich freuen! :)

Gruß, Jonny
 
Ich nutze den Passwortgenerator in KeePass - da ich KeePass zur Speicherung meiner Passwörter verwende, war das die komfortabelste Möglichkeit.
 
Und was für ein PW nutzt du für KeePass? Oder deinen Rechner? ;)
 
Für KeePass nutze ich ein aus mehreren mittels http://www.gaijin.at/olspwgen.php generierten Passwörtern zusammengesetztes Passwort, für meinen Rechner bzw. meinen Microsoft-Account ging ich früher ähnlich vor, inzwischen habe ich auch hier ein mittels KeePass verwendetes Passwort im Einsatz, das ich mir aber natürlich merke ;)
 
1) Völlig zufällige Zahlen-/ Buchstaben- und Sonderzeichenkombination....selbst ausgedacht...
2) Eigenes ist immer noch besser als anderes...
3) Aufgeschrieben in einem Büchlein, also nix auf dem Laptop oder Rechner an sich...
 
@ fb: Alles klar! Bei solchen Online-Generatoren bin ich ja grundsätzlich immer etwas misstrauisch. Aber in Kombination mit der Zusammensetzung aus mehreren Teilen sollte das natürlich wieder kein Problem sein.

@ PT: "Völlig zufällig" ist grundsätzlich natürlich gut, allerdings sind - nach allem, was ich bisher gelesen habe - (ohne Hilfsmittel) selbst ausgedachte Passwörter eigentlich nie wirklich zufällig. Der "menschliche Zufall" ist meistens einfach kein Zufall im mathematischen Sinne. Von daher würde ich deine 2. Antwort "Eigenes ist immer noch besser als anderes..." so nicht unbedingt unterschreiben. Am Rechner zufällig generierte Passwörter dürften (auf einer hohen Ebene) vermutlich noch sicherer sein, als selbst erzeugte. Aufgeschrieben ist - sofern das Büchlein sicher aufbewahrt wird - natürlich grundsätzlich sehr sicher, allerdings eben leider auch sehr unkomfortabel...

@ gestern: Also vermutlich ein System à la "Standard-PW + spezifisches Anhängsel" oder sowas in der Art. Da habe ich erst vor Kurzem einen Artikel gelesen, dass PW-Cracker mittlerweile selbst relativ komplexe Systeme in ihre Cracking-Software implementiert haben. Das steht und fällt natürlich mit der Komplexität des jeweiligen Systems, aber wenn die gegeben ist, würde ich das grundsätzlich auch als ziemlich sicher einstufen...
 
Zuletzt bearbeitet:
@ Michael: Wie gesagt... "selbst erfinden" ist von einem mathematischen Standpunkt aus betrachtet *oftmals* (eher meistens) relativ unsicher. Aber das hängt natürlich letztendlich von deinen tatsächlichen Resultaten ab. :)
 
kommt drauf an: für Seiten, die ich nur zu Hause nutze: Keepass-PW-Erstellung und dort auch gespeichert.

Für Seiten, die ich viel unterwegs nutze oder die ein höheres Sicherheitsbedürfnis haben: Den XKCD-Ansatz.

Denn: Der Gedanke, dass Zufallsbuchstaben sicherer sind, ist nur bedingt richtig. Die Länge und die Anzahl der verschiedenen verwendeten Symbole ist viel ausschlaggebender:
password_strength.png
 
@ cyberjonny bei mir werden bei den "passwortanzeigen-sicherheit" immer die zweit höchste oder höchse stufe angezeigt.
war auch schon in firmen bei der die interne passwortvergabe getestet wurde und meines wurde selbst nach tagen nicht geknackt.
ascii code sei dank ,... funktioniert aber nicht überall.
PS nein keine standart PW sondern eine zusamensetzung aus login ACC und zusatztzeichen die in sich noch variabel sind.
das heisst natürlich bei PW die ich selten brauche kann es schon mal vorkommen das ich selbst 4 -5 anläufe brauche. ;-)
 
Hallo!

-Bei Paßwörtern, die ich mir nicht selbst aussuchen kann (Firmennetz), merke ich sie mir, indem ich aus dem Buchstaben Worte mache und dann analog zur Methode oben memoriere. Aus Symbolen mache ich verwandte Buchstaben, also z.B. ein "o" aus der Null. Klappt nach einer Weile ganz gut, aber ich brauche immer ein bißchen, bis ich sie mir merke. In der Zeit liegen sie auf einem Zettel im Schließfach.

-Bei Paßwörtern, die ich mir aussuchen kann, mehme ich einen Liedtext, die irgendwie zum Thema paßt und auf die ich daher sofort komme. Hätte ich also beispielsweise ein Online-Dating-Profil, würde ich mir eine Strophe aus meinem Lieblings-Liebeskummer-Lied aus der Jugend aussuchen. Das kann ich auswendig und werde es auch nie vergessen. Von dieser Strophe (oder auch nur eines Teils davon, wenn sie länger ist) nehme ich dann die ersten Buchstaben jedes Wortes und ersetze einige davon "merkbar-erratisch" durch passende Zahlen oder Sonderzeichen.
Solange die NSA keine Datenbank eher lausigen Deutschrocks vergangener Zeiten pflegt, hoffe ich, daß sie nicht drauf kommen ...



Gruß

Quichote
 
@ Koile: Das mittlerweile sehr bekannte und viel diskutierte xkcd-Schema hat aber auch seine Schwächen. Mit Abstand die allergrößte (und vielleicht die einzige "richtige"): Der Mensch darf sich nicht n Wörter "aussuchen" (auch nicht "zufällig wählen"), sondern muss das mit Hilfsmitteln tun, also z.B. am Rechner oder mit Diceware etc. Dann ist xkcd wirklich sehr sicher. Allerdings auch nicht sicherer als andere Ansätze. Viel mehr geht es dabei darum, dass Menschen sich Wörter respektive (zufällige) Wortfolgen besser merken können als (zufällige) Folgen aus Buchstaben und Zahlen. Das beste Passwort nützt nichts, wenn ich es a) nicht zur Hand habe, wenn ich es brauche, oder b) als Post-it am Bildschirm pappt. Da hilft der xkcd-Ansatz natürlich. Wenn ich ein gutes Gedächtnis (oder System) habe und mir ein vernünftig langes PW aus zufälligen Buchstaben und Zahlen merken kann (ein System ist ja nichts anderes, um sich ein "zufällig wirkendes" PW besser merken zu können, ist aber aus genau diesem Grund auch angreifbar), dann ist das grundsätzlich genauso sicher. Was für einen besser ist, hängt also letztendlich davon ab, wie gut das Gedächtnis ist, wie oft man das PW wechseln muss, welche Richtlinien man dabei ggf. erfüllen muss und wie gut/schnell man tippen kann...

@ gestern: Die "PW-Sicherheit-Anzeigen" sind oft genug völlig unbrauchbar. Daran würde ich mich nicht orientieren, das sagt nichts aus. Interne Firmentests vermutlich (hoffentlich) schon eher, wobei das natürlich mit dem Können und dem Engagement der Admins steht und fällt (wobei ich mir ehrlich gesagt kaum vorstellen kann, welche Firma tatsächlich über mehrere Tage versucht, Mitarbeiterpasswörter zu knacken... ;)). Exotische ASCI-Zeichen sind natürlich nicht verkehrt, allerdings oft unkomfortabel bei der Eingabe oder oft genug werden sie gar nicht akzeptiert... 4-5 Anläufe deutet zumindest auf eine gewisse Komplexität hin... :D
 
Also, kurz ein Nachtrag....meine sind immerzu völlig wild durcheinandergewürftelte Kombinationen aus Buchstaben, Zahlen und Sonderzeichen in so 18 oder 20 Zeichen Länge.
 
Zum sammeln & nicht tauschen nehme ich Keepass X, da für Windows und Linux vorhanden. Bei den Passwörtern selbst habe ich auch eine Aufteilung: Zugänge mit niedrigen Sicherheitsbedürfniss (z.B Foren, "WegwerfEMailportale", etc) bekommen im normalfall eine zwei Worte + Zahl Kombination, Zugänge mit mittlerem Sicherheitsbedürfnis (z.b. einfach Nutzerkonten auf dem Desktop) bekommen eines, wie es im bereits zitierten xkcd Comic aufgezeigt wird, Passwörter mit hohem Sicherheitsbedürfniss (z.B. root, (sql) admins, WLAN, Keepass X) bekommen ein ca. 20 Zeichen langes Passwort aus Zahlen, Buchstaben und Sonderzeichen - mal abgesehen vom Keepass X -Passwort merke ich mir aber im Regelfall keines davon.
 
Mache es ähnlich wie @thatgui, indem ich die eher unwichtigen von den eher wichtigen und den ganz wichtigen Kennwörtern trenne. Nur dass ich mir alle Kennwörter in einem kleinen Taschenbuch notiere.
Und ich mir wirklich die Mühe mache, die Kennwörter alle drei Monate auswechsel (wie ich es im Büro gewohnt bin).

Einen Passwort-Generator nutze ich nicht, dafür nehme ich mir einen Text aus einem Buch und nehme vom Absatz x alle Anfangsbuchstaben, bis ich auf eine bestimmte Anzahl von Ziffern, Satzzeichen und Buchstaben komme.
 
bei wichtigen sachen ein kleines accountbezogenes leichtes PW wo auf knopfdruck von meinem yubikey noch 38 zufällig gnerierte zeichen als statischer teil angehängt werden... nachteil ist, man braucht ein gerät welches damit auch zurecht kommt (usb) ^^

und da wo geht, nutz ich die 2faktor funktion (fido) des yubikey (google und so)
 
@ gatasa: Das hört sich ziemlich sicher, allerdings auch ziemlich aufwändig an! Handschriftlich notieren und alle drei Monate wechseln - das ziehst du echt so durch? Merken kannst du dir die so generierten Passwörter (Anfangsbuchstaben von Absätzen) ja vermutlich auch nicht, d.h. du schaust sie jedes Mal nach?

@ Lpz3sn: Yubikey bzw. 2FA generell sind vermutlich sehr sicher. Wie gut funktioniert der Yubikey denn im Alltag? Geht der mit allen Diensten oder muss er speziell unterstützt werden? Gibts aus deiner Sicht Nachteile?
 
man kann es so machen, dass beim antippen eine zeichenkette ausgibt (wie ein normales keyboard) inkl tab... man könnte somit das komplette login hinterlegen...
oder halt zufällige zeichenkette als teil des passwords um einfach mehr länge zu erhalten... das geht mit jedem login... also login und ersten teil vom passwort eingeben, dann den key antippen und der hängt noch 20 zeichen an um am ende ein starkes passwort zu haben. wäre somit "wissen" und "haben" für jedes login und ohne treiber an jedem rechner
nachteil, clients ohne usb sind halt außen vor

oder wie bei google zB entweder einmalPW am smartphone generieren (mit dem nfc yubi, dran halten und der spuckt für alle anwendunen einmalPINs aus) oder halt fifo mit antippen... wahlweise für jeden login oder nur für neue geräte... dropdox unterstützt die auch

funktioniert ganz gut...
 
Zuletzt bearbeitet:
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben