Wie erzeugt ihr eure Passwörter?

cyberjonny

Active member
Themenstarter
Registriert
22 Sep. 2007
Beiträge
9.720
Hi miteinander,

einfach aus reinem Interesse heraus und ggf. auch zur eigenen Inspiration:


  1. Wie erzeugt ihr eure Passwörter?
  2. Warum habt ihr euch für diese Methode entschieden?
  3. Wie verwaltet ihr eure Passwörter?

Natürlich muss hier niemand sein exaktes System verraten (reale Passwörter sowieso nicht ;)), aber die Methode auf einer abstrakten Ebene zu beschreiben, sollte ja eigentlich kein Problem sein. Im Hinblick auf die tatsächliche (mathematische) Passwortsicherheit geht man ja ohnehin davon aus, dass die Methode und ggf. andere "äußere Parameter" (z.B. verwendete Wörterbücher) dem Angreifer bekannt sind. Für ein gutes Passwort sollte das also keine Rolle spielen, auch wenn obscurity natürlich trotzdem einen gewissen zusätzlichen Sicherheitsaspekt darstellen kann.

Von meiner Seite aus darf hier gerne eine (sachliche) Diskussion stattfinden, warum welche Methode besser oder schlechter ist - in der Hoffnung, dass ich vielleicht noch was dazulerne (und der eine oder andere von euch vielleicht auch)... Würde mich freuen! :)

Gruß, Jonny
 
Debian bietet mir mit "pwgen" einen guten Passwortgenerator.
In Kombination mit KeePassX komme ich gut zurecht.

Die Lösung von gatasa finde ich auch sehr gut - hat diesen gewissen Touch.


Beispiele für pwgen:

pwgen -s -y -B
Benutzt mindestens ein Sonderzeichen im Passwort (-y)
Erzeugt äußerst sichere und zufällige Passwörter (-s)
Benutzt keine Zeichen die vom User verwechselt werden können wie l und 1 oder O und 0 (-B)

pwgen -s -y -B 12
Erzeugt äußerst sichere Passwörter, die aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehen und 12 Zeichen lang sind

pwgen -s -B 12 Erzeugt Passwörter, die aus Zahlen, Groß- und Kleinbuchstaben bestehen und 12 Zeichen lang sind
 
Zuletzt bearbeitet:
Ganz unkonventionelle Methode!

Notepad auf
Einmal mit allen Fingern wahllos auf die Tastatur gehauen, sowas kommt dann z. B. dabei raus:

ew4ung5z4o87ztbq4

Das ganze wird dann bereinigt, z. B. lösche ich die Umlaute raus und füge meist noch 1-2 Großbuchstaben und genauso viele Sonderzeichen ein.
Ab damit in KeePass und fertig.

Ich bin mein eigener Passwortgenerator! ;)
 
Momentan habe ich mehrere Standardpasswörter (je nach Wichtigkeit der Dienste), welche mehr oder weniger regelmäßig wechseln. Das sicherste davon hat etwa 10 Zeichen, besteht aus zwei zusammengewürfelten Wörtern sowie einen wahllosen Anhang. Darin kommt mindestens ein Sonderzeichen, mehrere Ziffern und mindestens ein Großbuchstabe vor. Langfristig plane ich allerdings, auf Keepass umzusteigen.
 
@ gatasa: Das hört sich ziemlich sicher, allerdings auch ziemlich aufwändig an! Handschriftlich notieren und alle drei Monate wechseln - das ziehst du echt so durch? Merken kannst du dir die so generierten Passwörter (Anfangsbuchstaben von Absätzen) ja vermutlich auch nicht, d.h. du schaust sie jedes Mal nach?
Ich muss nicht jedes Mal nachschauen, den ich weiß nicht warum, aber das ein oder andere Passwort kann ich mir leichter merken als andere. Aber sonst ziehe ich das stringent durch.
Heute wurde ich auf die 3-monatliche Wechselarie durch den PC im Büro aufmerksam gemacht, denn dort ist so ein Wechsel automatisiert vorgesehen.

Ach ja, als ich am Montag nach ca. 3 1/2 Wochen Urlaub wieder im Büro erschien, musste mich der Admin freischalten, weil ich das Kennwort für den Hauptrechner vergessen hatte.:facepalm: Das schreibe ich mir nie auf, weil der PC nach 3 Minuten Inaktivität das Passwort verlangt und ich so das Passwort mir leicht merken kann und muss. Nur war ich wohl im Urlaub so entspannt, dass das Passwort weg war. Shit happens!
 
p.s. der Computer kann keine Zufallskombinationen generieren, das ist schlicht unmöglich. Da ist der Mensch der Wahllos auf die Tastatur haut ohne hinzukucken 100 mal besser ;)
 
Interne Firmentests vermutlich (hoffentlich) schon eher, wobei das natürlich mit dem Können und dem Engagement der Admins steht und fällt (wobei ich mir ehrlich gesagt kaum vorstellen kann, welche Firma tatsächlich über mehrere Tage versucht, Mitarbeiterpasswörter zu knacken... ;)).
wenn man als dienstleister für drittfirmen mit personenbezogenen daten arbeitet,z.b. medizin, versicherungen, anwählte usw.
dazu noch isozertifizierungen anstrebt oder hat, müssen firmen von aussen kommen um die "verkaufte sicherheit" zu verifizieren.
 
p.s. der Computer kann keine Zufallskombinationen generieren, das ist schlicht unmöglich. Da ist der Mensch der Wahllos auf die Tastatur haut ohne hinzukucken 100 mal besser ;)
Umgekehrt wird das richtiger. Der Mensch haut niemals komplett zufällig auf der Tastatur rum.
Der Computer kann aber durchaus wirklich gute Zufallskombinationen erzeugen. Ich empfehle Lektüre, die erklärt, wie /dev/random unter Linux funktioniert. Windows wird es vermutlich nicht anders machen.
 
Ich veranstalte immer so eine Mischmaschmethode: Satz mit hohem Sinngehalt und gutem Erinnerungspotential ausdenken, Anfangsbuchstaben aneinanderreihen, ggf. ein längeres Wort davor oder dahinter, dazu eine gut merkbare Zahl, die ich mit gedrücktem Shift eingebe ("Sonderzeichen").

Das Aneinanderreihen von "sinnvollen" Wörtern hat den klaren Nachteil, dass jemand, der nebendran steht, vergleichsweise gute Karten hat, sie mitzulesen, auch wenn durch die Länge des Passworts eine größere Sicherheit gegen reines Bruteforce besteht.
 
Ich benutze Dinge die ich vor Augen habe.

Werbeplakate, Tageszeitungen und ähnliches. Und zwar derart das ich mir es, ohne aufzuschreiben, jederzeit reproduzieren kann.

Von irgrndwelchen markanten Sätzen, Bildunterschriften, Büchern.

Oder auch von Waren Verpackungen. Aufgeschrieben wird nur z.B. welcher Buchstabe, Zahl u.s.w.

Als Beispiel; nehmen wir Krieg & Frieden. Das es dieses Buch ist behalte ich im Kopf, dazu notiere ich mir Teile der Seitenzahl oder abstand der Buchstaben & ähnliches.
 
Kommt darauf an um was es geht...

- Passwörter, die ich täglich mehrmals selbst eingeben muss
12 bis 16 Zeichen die aus einem Satz gebildet werden
(z. B.: Heute denke ich mir für das ThinkPad-Forum ein neues Passwort aus => HdimfdTP-F1nPa)

- Passwörter, die ich selten verwende, aber die einen hohen Schutz bedürfen
Passwortgenerator (in Enpass oder mit PWGen Portable)
(z. B.: 12 bis 20 Zeichen; Großbuchstaben, Kleinbuchstaben, Sonderzeichen, Zahlen => xDfasG-92jasd_zUp3a-)

Ersteres geht so ein bissel in die Richtung von "egot42p"...

Bei zweiterem kommt es darauf an, wo ich diese verwende. Es gibt ja doch Dienste, die eine bestimmte Länge vorgeben oder die nicht überschritten werden darf. Ähnlich gibt es dann unter Umständen Restriktionen über die zu verwendeten Sonderzeichen...
 
Zuletzt bearbeitet:
Ich nutze den Passwortgenerator von Keepass.

Das Programm habe ich auf einem älteren Rechner installiert (ständig offline). Zum Schutz vor Trojaner et cetera :)
 
Umgekehrt wird das richtiger. Der Mensch haut niemals komplett zufällig auf der Tastatur rum.
Der Computer kann aber durchaus wirklich gute Zufallskombinationen erzeugen. Ich empfehle Lektüre, die erklärt, wie /dev/random unter Linux funktioniert. Windows wird es vermutlich nicht anders machen.

also glaubst du echt das ein Mensch mit geschlossenen Augen weniger zufaelluge Kombinationen rauswirft als eine Maschine di enur exakt das macht was ihr einprogrammiert word? Ich empfehle Lektüren ueber die generation von echten Zufallszahlen und nicht Pseudozufallszahlen ;)
 
also glaubst du echt das ein Mensch mit geschlossenen Augen weniger zufaelluge Kombinationen rauswirft als eine Maschine di enur exakt das macht was ihr einprogrammiert word? Ich empfehle Lektüren ueber die generation von echten Zufallszahlen und nicht Pseudozufallszahlen ;)
Ihr habt gewissermaßen beide recht. :)
Wenn du wirklich blind auf der Tastatur rumhämmerst, wirst du relativ sicher ein zufälliges Passwort hinbekommen. Allerdings hast du dann kaum Einfluss darauf, evtl. Vorgaben oder Wünsche ordentlich zu erfüllen, wie z.B. Länge, Zeichenzusammensetzung oder Lesbarkeit. In der Praxis ist es deshalb oft sinnvoll oder sogar notwendig, zufällige Passwörter zu generieren, die dabei allerdings noch bestimmte Kriterien erfüllen. Und bei einer solchen "bewussten zufälligen" Passworterzeugung versagen Menschen tatsächlich kläglich. Wir bevorzugen unbewusst bestimmte Buchstaben(kombinationen), z.B. weil sie in unserer Sprache häufiger sind, bestimmte Zahlen, z.B. weil sie in unserer Gesellschaft eine Bedeutung haben, erstellen versehentlich Zeichenketten, die für Menschen nicht erkennbare Muster enthalten, sortieren eigentlich zufällig gewählte Wörter aus, weil sie uns "nicht passen" - und einiges mehr. All das sorgt dafür, dass Menschen wirklich extrem schlecht darin sind, echten mathematischen Zufall zu erzeugen. Deshalb ist es immer ratsam, sich für sowas Hilfsmittel zu besorgen... einen Würfel, einen Computer (der viel bessere Zufallswerte erzeugen als jeder Mensch sich "ausdenken" kann) oder eine Augenbinde (quasi dein Beispiel). Somit hat cuco grundsätzlich völlig recht - und du aber auch nicht unrecht! ;)
 
Zuletzt bearbeitet:
also glaubst du echt das ein Mensch mit geschlossenen Augen weniger zufaelluge Kombinationen rauswirft als eine Maschine di enur exakt das macht was ihr einprogrammiert word?
Ja, das glaube ich. Wie cyberjonny schon schrieb, kann der Mensch schon mal keine bewusst zufälligen Dinge erzeugen. Sag einem Menschen, er soll dir 10 zufällige Zahlen zwischen 1 und 100 nennen. Dann wird er vermutlich 10 Zahlen nennen, bei denen keine doppelt vorkommt und bei denen auch keine zu nah zusammenliegen. Kaum einer wird eine Reihe von Zahlen nennen, obwohl der Zufall das möglich machen würde. Wer dann meint, dann nenne ich 1,2,3,4,5,6,7,8,9,10 erzeugt ebenfalls eine ziemlich seltene Kombination. Auch nennt keiner 3x die 22 - obwohl das natürlich möglich wäre. Klar, jeder hat da andere Vorlieben, aber die Zahlen haben am Ende weniger Entropie als echte Zufallszahlen. Dazu folgendes Zitat:

Am Beispiel eines Pseudozufallszahlengenerators, der nur die Zahlen 0 und 1 ausgeben kann (z. B. simulierter Münzwurf), kann man sich klarmachen, dass allein die gleiche Häufigkeit beider Ergebnisse nicht ausreicht, da etwa die Folge 0, 1, 0, 1, 0, 1, 0, 1, … intuitiv nicht zufällig erscheint. Es sollten möglichst auch die möglichen Paare aufeinander folgender Ergebnisse mit den erwarteten Häufigkeiten auftreten, ja möglichst auch Tripel, Quadrupel usw. Diese Überlegungen führen auf den Spektraltest.
Niemand kann gleichverteilte Zahlen mit gleichverteilten Kombinationen usw. bewusst erzeugen.

Also unbewusst erzeugen, so wie du sagst, per Blind-Tippen z.B. Aber auch dann gibt es ein Problem. Der Mensch haut dann erst im Leeren rum, bis er mal die Tastatur trifft. Ab dann wird er versuchen, bei jedem mal Zuhauen auch die Tastatur zu treffen und nicht daneben zu hauen. Dann entstehen aber unweigerlich besonders viele Kombinationen mit Buchstaben aus dem mittleren Bereich der Tastatur. ^, ´, - und < kommen dann vermutlich selten/nie vor. Großschreibung auch nicht, das müsste man ja wieder bewusst hinzufügen. rtzfghvbn werden wohl die häufigsten Buchstaben. Und schon ist es wieder nicht mehr zufällig.

Das kann ein PC besser. Aber natürlich nur, wenn man ihm nicht einfach nur Algorithmen zur Erstellung von Pseudozufallszahlen vorgibt.
Daher kann ich das hier wieder zurückgeben:
Ich empfehle Lektüren ueber die generation von echten Zufallszahlen und nicht Pseudozufallszahlen ;)
Wie gesagt, schau dir mal an wie z.B. /dev/random funktioniert.

Klar, es ist immer die Frage, was man als wirklich "echte" Zufallszahlen ansieht. Die gibt es halt irgendwie nie. Man kann nur die Güte bestimmen. Aktuell nutzt man Rauschen sowie Zerfallsvorgänge als Quellen für Zufallszahlen mit sehr hoher Güte. Viele Pseudozufallszahlengeneratoren oder auch /dev/urandom haben natürlich eine vergleichsweise niedrigere Güte. /dev/random gilt AFAIK auch nur als Pseudozufallszahlengenerator, aber nutzt wieder Rauschen z.B. von Gerätetreibern und diversen weiteren Quellen (wie lief das Hochfahren ab, was für Netzwerkpakete kommen zu welchen Zeiten rein, wann hat ein Benutzer was für Eingaben gemacht, Interrupts, ... oder optional auch z.B. von Soundkarten). Das kann halt eine sehr hohe Güte ergeben, aber auch /dev/random kann Schwächen haben und umgekehrt kann /dev/urandom schon ausreichend sicher sein.

Die Kombination aus Mensch und Technik kann oft noch bessere Ergebnisse liefern. Ein Mensch drückt irgendwelche Tasten auf der Tastatur und/oder bewegt die Maus, die Daten füttern einen sonst z.B. mit Rauschen schon gefütterten Zufallsgenerator. Dabei mögen die Tasten, die der Mensch drückt oder die Bewegungen mit der Maus nicht wirklich zufällig sein, aber z.B. in welchen Abständen und wie lange die Tasten gedrückt werden kann schon wieder ziemlich unvorhersehbar sein und mit den anderen Daten wieder Zufallszahlen hoher Güte erzeugen. TrueCrypt nutzt das ja daher auch für die Erstellung des Schlüssels. Wobei unter Linux das ganze indirekt auch so gemacht wird, da /dev/random diese Quellen alle mit nutzen kann und dann indirekt auf die gleiche Güte rauskommt.

Das Thema ist halt schon ziemlich komplex. Der Mensch alleine erzeugt aber fast nie wirklich zufällige Werte, wenn man ihm sagt: Mach mal Zufall. Egal wie er sich anstrengt, Augen verbindet oder sonst was tut.
 
Zuletzt bearbeitet:
Ein ziemlich anschauliches Beispiel wäre da wohl der Zufalls-Generator von TrueCrypt. Der nutzt auch Rauschen, das der Mensch dann durch seine Mausbewegungen nochmal weiter variiert.
 
Da haben sich mein Edit und deine Antwort wohl noch überschnitten :)
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben