Hallo liebes Forum,
ich habe hier eine Mögichkeit gefunden, wie man die Sicherheit des PW überprüfen kann, man bekommt hier angezeigt, wie lange es dauern würde, Euer PW zu knacken. Ich hab mal mein altes Email PW eingegeben, das gehackt wurde, und erschrak richtig, dass es nach nur 7 Monaten geknackt werden könnte. Was ja dann auch so war. Manchmal reicht nur ein einziges Zeichen mehr, um die Sicherheit deutlich zu erhöhen. Ihr könnt das ja jetzt hier mal austesten.

https://www.security.org/how-secure-is-my-password/

Das Passwort
password123456
kann laut deiner Seite erst in 4 thousand years geknackt werden
Fataler Irrtum, da noch andere Kriterien relevant sind
lieber mal auf https://haveibeenpwned.com/Passwords prüfen und auch die Mail Adresse auf https://haveibeenpwned.com/

okay super danke.

Zitat:

Zitat von Gingy

Ich hab mal mein altes Email PW eingegeben, das gehackt wurde, und erschrak richtig, dass es nach nur 7 Monaten geknackt werden könnte.

Dieser Dienst scheint nicht alle Kriterien signifikant zu gewichten. Somit kann es durchaus sein, dass Dein altes Passwort noch viel einfacher zur knacken gewesen wäre als dort angegeben.

Ich gebe nur MontagDienstag ein, und er sagt mir:

Zitat:

It would take a computer about

8 hundred thousand years

to crack your password

Das ist natürlich nicht zu stützen, da über ergänzende sogenannte Wörterbuch-Attacken das Passwort sehr schnell ermittelt wäre.
-> https://de.wikipedia.org/wiki/W%C3%B6rterbuchangriff

Hinzu kommt, dass durch spezielle Hardware solche Dinge noch beschleunigt werden können.

Zitat:

Was ja dann auch so war. Manchmal reicht nur ein einziges Zeichen mehr, um die Sicherheit deutlich zu erhöhen.

Es kommt dabei neben der Zeichenanzahl auch auf die Zusammensetzung, also eine "zufällige Mischung", den Verzicht auf geläufige Wörter oder Zahlenkombinationen bzw. Zeichen- und Zahlenabfolgen, sowie einen möglichst breiten Pool möglicher Zeichen (Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) an.

Allein das reicht aber immer noch nicht aus, wenn man ein noch so sicheres Passwort z.B. für verschiedene Logins gleichermaßen verwenden würde, wenn man während des Loginvorgangs z.B. keine SSL-verschlüsselten Verbindungen verwendet, wenn der E-Mail-Account in die Hände Dritter gelangt und darüber dann mittels "Passwort zurücksetzen" unbefugter Zugriff auf viele andere Logins möglich wird, wenn man auf einer Phishing-Website oder über eine Phishing-Mail ein Passwort einträgt, oder wenn Malware lokal auf dem System Daten ausliest -- um mal ein paar Beispiele zu nennen, ohne damit vollständig zu sein.

800.000 Jahre um "MontagDienstag" zu knacken
Was für Deppen haben denn das entwickelt? Von Entropie haben die wohl noch nix gehört.

Zu deren Verteidigung muss man allerdings sagen, sie weisen darauf hin bei diesem Passwort MontagDienstag

Zitat:

Your password looks like it could be a dictionary word or a name. If it's a name with personal significance it might be easy to guess. If it's a dictionary word it could be cracked very quickly.

hängt man ein &1 an
also MontagDienstag&1 scheint alles ok. Ist es aber bei weitem nicht. Solche Seiten sind halt auch nur begrenzt nutzbar.
mmk hat dazu ja schon viele gute Ergänzungen geschrieben.

Nun ja, aber der Laie gibt halt, wenn "MontagDienstag" zu vermeintlichen 800.000 Jahren führte, nicht noch andere Kombinationen ein, sondern denkt sich: "Super, 800.000 Jahre reichen mir, ich kann das Passwort so lassen", verschwindet von der Seite, und das war's.

Und wer weiß, welche anderen sehr unsicheren eingetragenen "Passwörter" noch zu solchen Fehlauskünften führen. Dieser Prüfdienst ist von daher, so wie derzeit realisiert, nicht tauglich hinsichtlich einer verlässlichen Qualitätseinschätzung für Passwörter.

Diese Seite liefert wesentlich realistischere Ergebnisse:

https://apps.cygnius.net/passtest/

Zitat:

SalamiWeisswurst1

Zitat:

password: SalamiWeisswurst1
entropy: 45.002
composition: ok
acceptable: yes

Ich sage: Acceptable: No!

Ich bin negativ überrascht!

Ja, also ich denke meinen Link kann man dann am besten wohl in die Taverne verschieben

Zitat:

Zitat von Xynthetic

Diese Seite liefert wesentlich realistischere Ergebnisse:

https://apps.cygnius.net/passtest/

ja. Weisst du, was da mit pattern: brutforce gemeint ist? Dicitonary ist ja klar.

Zitat:

Zitat von Gingy

ja. Weisst du, was da mit pattern: brutforce gemeint ist?

Das ist, wenn man das Passwort, grob gesagt, mittels Ausprobierens ermitteln wollen würde.
-> https://de.wikipedia.org/wiki/Brute-Force-Methode

Sie wird oft mit Wörterbuchangriffen kombiniert. Dadurch sind besonders einfache und wenig komplexe Passwörter auch schneller geknackt. Man muss halt an beides denken. Besonders gut finde ich daher komplexe Passwörter, gebildet aus Merksätzen, hier nur mal ein fiktives Beispiel:

Zitat:

Am 1. Februar herrschten in der Nacht machenorts in Deutschlands Temperaturen um -15°, Skipisten waren coronabedingt gesperrt.

Daraus wird als Passwort:

Zitat:

A1.FhidN8miDTu-15°,Swc#.

Dabei nimmt man die Anfangsbuchstaben, Zahlen und Sonderzeichen mit, und kann auch noch aus Wörtern, die phonetisch Zahlen enthalten oder als Symbole für ein Wort dienen können, als Zahlen und Sonderzeichen mit einbringen, wie hier bei der Nacht, aus der N8 wird, und die Sperre, für die man das Symbol der Raute # verwendet.

ich habe lediglich 5 Passwörter in meinem Kopf. Alles andere erledige ich via Passwortmanager (KeepassXC), der erstellt mir ein sicheres Passwort, das guck ich mir mittlerweile gar nicht mal mehr an.

Zitat:

Zitat von mmk

Ich sage: Acceptable: No!

Da fällt mir wieder da gute alte xkcd ein, die hatten damals wohl auch noch nicht Wörterbuchangriffe auf dem Schirm.