«Administrator» als Username?

Der Artikel Schreiber wie auch der Typ von MS haben beide recht. Nur handelt es sich nicht bei beidem um das gleiche. Beim PCtipp Artikel gehts darum Passwörter zu cracken. Beim anderen Artikel darum gecrackte Passwörter einzusetzen. Wenn ich 1234 als PW nehme, ist logisch dass mein Account schneller gecrackt wird als wenn ich ajE456DBhcu422CHQNcxk nehme. Dass wenn das PW rausgefunden wurde, dies zu ersetzen nicht mehr viel bringt, ist auch logisch. Ich klaue auch nicht heute ein Auto um es irgendwann in ein paar Jahren mal zu fahren. Kurzum, Passwörter sollten so kompliziert wie mögich sein damit sie nicht sofort erraten werden. Und sie sollten in unregelmässigen Abständen gewechselt werden. Und wer es sich nicht merken kann, kann sie sich ja aufschreiben. Ich habe hier auch einen kleinen Notizblock wo meine wichtigsten Passwörter stehen. Auch ich kann meine vermutlich über 100 Passwörter und PIN Nummern nicht merken.

Wenn ich 1234 als PW nehme, ist logisch dass mein Account schneller gecrackt wird als wenn ich ajE456DBhcu422CHQNcxk nehme. Das ist es ja gerade: Es ist doch sch***-egal, ob dein PW langsam oder schnell gehackt wird. Es kann und wird gehackt werden, wenn... Und es liegt eben an diesem "wenn", und nicht am PW bzw. dessen Komplexität. Der Tagi-Artikel spielt auf "man in the middle"-Attacken an. Ob du da ein 100-stelliges PW hast oder nicht, ist wirklich völlig egal.

Das stimmt so eben nicht. Ein komplexes Passwort braucht wesentlich länger bis es geknackt wurde als ein einfaches 1234 Sonst wäre WEP noch immer sicher und man müsste nicht auf WPA2 (hat das 256Bit Verschlüsselung?) umsteigen. Die länge und komplexität des Passwortes verhindert ein schnelles knacken. Selbst mit einer einfachen logischen überlegung stellt man fest dass es länger braucht. Oder was brauchst du länger zum eingeben? 1234 oder ja4556asFGAWEN0465awHasdn4560 Versuchs mal aus. Da es mehr Zeichen hat, braucht es auch beim cracken länger und da es ein komplexes Passwort ist, kann man es nicht einfach erraten, so wie es im Artikel steht. Als ich noch sowas zum Spass machte, habe ich auch Datum, Namen von Verwandten, Geburtstage, Namen von Haustieren usw. versucht. Sehr oft kam ich rein. Mit dem komplexen hätte ich mir so die Zähne dran ausgebissen. Klar, wenn das Passwort mal geknackt wurde, dann ist es egal wie es lautet, da man es ja hat. Daher sage ich ja, beide Artikel sprechen über was ganz anderes.

Also nochmal, für dich: 1. Bei einer Brute-Force-Attacke ist es egal, wie dein PW lautet. Ob der Angreifer 10 Stunden oder nur 1 Stunde hat, um zum Erfolg zu kommen, ist auch egal, denn nach 10 Stunden ist er drin. Du wirst nicht genau in den 9 Stunden, die er länger hat für dein komplizierteres PW, dein PW ändern. Und wenn es drei Tage sind, dann spielt es immer noch keine Rolle. Allerdings gaukelt ein kompliziertes PW dem User eine Sicherheit vor, die so nicht existiert. 2. Wenn die Anwendung Brute-Force-Attacken nicht zulässt, dann ist es auch egal, ob dein PW etwas schwer zu raten oder wahnsinnig extrem schwer zu raten ist: Die Anwendung unterbindet zuverlässig Rateversuche jeder Art. 3. Wenn es sich um einen man-in-the-middle-Angriff handelt, dann ist absolut völlig egal, wie dein PW lautet, denn der Angreifer liest deine PW-Eingabe einfach mit. Fazit: Es ist dumm, ein PW wie "Admin" zu haben oder "1234", aber auch ein PW wie "za89uakxcvHOln3" bietet nur rudimentären Schutz, nämlich den vor Script-Kiddies oder Leuten wie dir, die als Hobby mal eben Nachbars Zugang knacken wollen. Wenn du dir einen Keylogger einfängst, dann schreibt der nämlich zuverlässig auch dein ja4556asFGAWEN0465awHasdn4560 mit und du wirst erstaunt feststellen müssen, dass dir dein so schön kompliziertes PW grad eben gar nix genutzt hat.

Ein Passwort ist auch nur eine weitere, aber wichtige Hürde in einem grundsätzlichen Sicherheitskonzept, welches in der heutigen Zeit notwendig ist. Je mehr Hürden es gibt, umso uninteressanter wird ein System, da es zulange dauert es zu knacken. Mit einer Brutforace Attacke knacke ich komplexere Passwörter nicht wirklich schnell und ein einigermassen sinnvolles Sicherheitskonzept blockiert weitere Versuche nach einigen falschen Eingaben. Nun daraus zu schliessen Passwörter seinen überflüssig, muss ich als grob fahrlässig ansehen und es geht hier nur noch uim Bequemlichkeit. Sicherheit ist immer unbequem! Wenn ich mir die ssh Attacken auf meinen Server anschaue, die in den letzten Monaten gelaufen sind.... Da wurden zwar tausende Versuche gemacht, bisher zum Glück erfolglos. Ein paar FW Rules helfen natürlich auch noch. Klar ist im Grundsatz jedes System knachbar. Aber der Aufwand für den Angreifer kann enorm gesteigert werden, so dass es sich für Ihn nicht mehr lohnt. komplexe und wechselnde Passwörter sind ein Teil davon, aber nicht der einzige. Was wäre den für Euch ein brauchbare Alternative zu Pw's? Gruss Daniel

Sicherheit ist immer unbequem! Ja. Jetzt stellt sich die Frage, wie unbequem es noch sein kann, damit man sich als Normal-User damit zurechtfindet. Ein Passwort muss man sich merken können, es ist sowohl unpraktisch oder gar nicht möglich wie z.T. auch schlicht unsicher es aufzuschreiben. Passwörter sind Teil des Sicherheitskonzepts, korrekt. Aber sie sind nicht _das_ Sicherheitskonzept. Und eine 6-stellige PIN ist nicht wirklich unsicherer wie ein aue312sSD423xa oder was auch immer. Darum geht es mir hier.

Ein gutes Passwort muss sein das ist klar, nicht zu einfach aber auch nicht zu kompliziert. Hinter komplizierten Passwörter könnte ja was sein das sich zu knacken lohnt. Vor 20 Jahren habe ich in meinem Ferienhaus eine Alarmanlage installiert mit Horn oben am Giebel - im ersten Winter wurde 2 mal eingebrochen. Mein Nachbar sagte: nimm die Anlage weg und du hast Ruhe. Habe ich gemacht und nun seit 19 Jahren kein Einbruch mehr. Versteht ihr was ich mit diesem Vergleich meine?