Zum Inhalt springen
Schinzilord

Passwortstärke - kurze Frage dazu

Empfohlene Beiträge

Mr. Jones

Ich denke, dass dank Hash-Algorithmen eine einfache pass phrase ein schwer zu merkendes password schlägt,

wie in der Grafik aus dem ersten posting beschrieben.

 

Dazu einen Password-Safe wie Keepass benutzen und der Schutz sollte für "normale" Bedürfnisse schon recht gut sein.

Das Problem ist, dass Wörterbücher mit allen erdenklichen Begriffen existieren und dass die Passwortknacker eine Funktionalität haben, diese in Combinator-Attacks zu verwenden. Begriffe werden einfach in wechselnder Reihenfolge hintereinander geschrieben und ausprobiert.

 

<snip>

battery

horse

staple

correct

<snap>

 

batteryhorsestaplecorrect

horsebatterycorrectstaple

correcthorsebatterystaple <- BING

Diesen Beitrag teilen


Link zum Beitrag
Mythoughts

Genau. Sicher ist das Aneinanderreihen von Wörterbuchwörtern nicht. Aus dem Comic sollte man mitnehmen, dass Länge wichtiger ist als Komplexität. Allerdings nicht, dass genau diese Vorgehensweise sicher ist. Wenn man sie selbst für sich noch ein wenig anpasst, kommts wieder hin...

 

Ich habe nie verstanden, warum viele Seiten oder Programme eine maximale Passwortlänge vorgeben,

 

Ich auch nicht, inbesondere weil es keinen technischen Grund dafür gibt. Passwörter sollen nicht im Klartext, sondern als Hashes in der Datenbank gespeichert werden. Und der Hash ist immer gleich lang, völlig egal, ob das eingegebene Passwort zwei Zeichen oder zweihundert Zeichen hat. Beschränkungen der Passwortlänge auf Webseiten liegen dann entweder daran, dass es sich um ein sehr altes System im Hintergrund handelt, dessen Umstellung nicht ganz einfach ist (anders könnte ich mir die Beschränkung auf Bankseiten auf 5-6 Zeichen oft nicht erklären). Oder es sind Leute am Werk, die von Sicherheit nicht viel verstehen.

Leider wird's meistens der zweite Grund sein, die wenigsten Seiten werden ein 20 Jahre lang gewachsenes System im Hintergrund mit Altlasten haben...

Diesen Beitrag teilen


Link zum Beitrag
el_patron

Das Problem ist, dass Wörterbücher mit allen erdenklichen Begriffen existieren und dass die Passwortknacker eine Funktionalität haben, diese in Combinator-Attacks zu verwenden. Begriffe werden einfach in wechselnder Reihenfolge hintereinander geschrieben und ausprobiert.

 

<snip>

battery

horse

staple

correct

<snap>

 

batteryhorsestaplecorrect

horsebatterycorrectstaple

correcthorsebatterystaple <- BING

 

Dazu muss man diese fünf Wörter aber erst mal kennen. Bei einem Passwort, das aus einem Alphabet mit fünf verschiedenen Symbolen und der Einschränkung, dass jedes Zeichen genau einmal vorkommt, ist das Problem trivial. (5! = 5*4*3*2*1 = 120)

 

Per Brute-Force auf eine Kombination aus einer Menge mit hunderten Millionen Wörter (unterschiedliche Sprachen), unbekannter Länge und vielleicht auch noch Zahlen zu kommen, halte ich für praktisch unmöglich.

 

Beispiele:

"Meine Postleitzahl endet mit den Ziffern 42"

"Das erste Wort, dass ich auf Französisch lernte, war bonjours"

"Boah ey! ich ich bin bin ein ein Echo"

 

Oder übersehe ich hier etwas?

Diesen Beitrag teilen


Link zum Beitrag
Mr. Jones

Das mit der Anzahl der Permutationen ist richtig, aaaaber: Willst du diesen Blödsinn jeden Morgen am PC eingeben, wo es auch ein Passwort (max. 10 Stellen) aus Zeichen, Buchstaben und Symbolen (ohne menschliche Muster) getan hätte?

Diesen Beitrag teilen


Link zum Beitrag
el_patron

Das mit der Anzahl der Permutationen ist richtig, aaaaber: Willst du diesen Blödsinn jeden Morgen am PC eingeben, wo es auch ein Passwort (max. 10 Stellen) aus Zeichen, Buchstaben und Symbolen (ohne menschliche Muster) getan hätte?

 

Ehrlich gesagt ja, weil

1. ein Passwort wie "d$@1f-k3T3" kann ich mir fast nicht merken

1a. der Frust ist alle drei Monate vorprogrammiert, wenn das System einen Passwortwechsel erzwingt

 

2. Die Sonderzeichen brauchen Shift- und Alt-Gr-Tasten, was eventuell länger dauert als viele einfache Zeichen

 

Als positiven Zusatznutzen könnte man ja echte Merksätze wählen, die man nicht vergessen will

(Geschichtsdaten, irgendwelche Konstanten mit Erklärung, meinetwegen ISINs mit Firmenname, Fälligkeitsdatum und Zinssatz (um nicht völlig Offtopic zu bleiben ;-) ) )

Diesen Beitrag teilen


Link zum Beitrag
Mr. Jones

Touché, aber trotzdem macht ihr euch zu viele Sorgen. Ihr lasst euch von den "Knack"-Raten und -Zeiten des Artikels beeindrucken, vergesst aber, dass hier ungesalzene MD5-Hashes gebrochen wurden. Mit PBKDF2, bcryypt etc. wäre das niemals so schnell zu machen, weil heruntergebremst auf wenige tausend Cracks pro Sekunde.

 

Obiges Beispiel und kleine Rechenaufgabe: Passwort neun Stellen (Zahlen, Buchstaben, Ziffern).

 

95^9 Möglichkeiten = 630.249.409.724.609.375 mögliche Passwörter. Algorithmus bcrypt 3231 c/s. Wie lange dauert es bis das Passwort gefunden ist?

 

Man könnte noch argumentieren, dass das Passwort nach n/2 - Versuchen gefunden wird...

 

Passwort-Knacker, die euch ausrauben wollen (Paypal) greifen zuerst nach den low-hanging fruit.

Länger als eine eine vllt. zwei Wochen (max!) crackt niemand...

 

PS: Für Paranoiker: 59.873.693.923.837.890.625 Möglichkeiten für ein 10-stelliges Passwort.

Diesen Beitrag teilen


Link zum Beitrag
Malvolio

Lieber Mr. Jones, ich verstehe schon, was du meinst.

Ich habe aber keine Lust, dass z.B. paypal ihre Datenbank gehackt bekommt und sie erst 2 Monate später davon erfahren, in der Zwischenzeit aber mein Account gehackt wurde, weil ich NUR 8 Stellen genommen habe.

Da ich mich auch nicht in 2 Jahren wieder damit beschäftigen will (sondern erst in 6 Jahren), nehme ich einfach jetzt 15 Zeichen her...die 5 mal im Jahr, wo ich mit Paypal einkaufe, investiere ich die 1.3s, die ich länger brauche um 5 zusätzliche Zeichen einzugeben.

 

Und wenn mir jemand so nahe kommt, dass er mir die Kniescheiben zertrümmern kann, wird er kaum nach meinem paypal Passwort fragen...

 

Meine Kreditkartendaten wurden schon einmal gehackt, weil irgendein Dödel auf einer (für mich unbekannten, ich kann es nur einschränken, es war ein großes deutsches Shoppingportal) Einkaufswebsite bei seiner Datenbank gepfuscht hat.

Auf meine Kreditkarte ist dann ein Flug nach Buenos Aires für 1200$ und irgendwas in London eingekauft worden. Immerhin hat VISA dank ihrem Algorithmus die Karte gleich gesperrt (und mir den Schaden sofort ersetzt, bzw. ich wurde nie belastet).

 

Mal ne blöde Frage. Wenn die paypal Datenbank gehackt wird .... können dann nicht eh die Passwörter gestohlen werden? In diesem Fall ist es doch eigentlich wurscht, wie gut oder schlecht das Passwort ist, oder? Ich glaube bei Sony ist sowas doch neulich mal passiert.

Diesen Beitrag teilen


Link zum Beitrag
Mr. Jones

Die haben aber nur die Hashes, nicht die Passwörter im Klartext.

 

Na ja, manchmal leider schon bei dummen Admins. Ist dein Passwort - mit Verlaub - sch*****, dann reißt John the Ripper oder Hashcat dein Passwort in wenigen Sekunden in Tausend Stücke.

Diesen Beitrag teilen


Link zum Beitrag
el_patron

Guter Einwand, Mr. Jones; ich denke auch, dass jedes einigermaßen ungewöhnliche Passwort bei "consumer"-Accounts hinreichend sicher ist.

 

Bei Datenbanken mit Tausenden von Einträgen, sei es bei PayPal, dem WPF, E-Mail-Hostern oder Shops,

wird man genügend Dödel dabei haben, die die beliebtesten Passwörter verwenden:

Password

123456

Vornamen der Ehefrau/Freundin

Name der Katze

etc.

 

Da lohnt es sich schlicht nicht, mehr als vielleicht eine Minute zu rechnen, die Fangquote wird ziemlich gut sein.

 

Wenn man aus irgendeinem Grund allerdings exponiert ist (Z.B. im Fall von "Ich bin Angela Merkel"), sieht die Sache evtl.

etwas weniger entspannt aus.

Diesen Beitrag teilen


Link zum Beitrag
Mr. Jones

Tja, um das Ganze zu einem Abschluss zu bringen blushing.gif

 

die Hashes zu den reputation.com / LinkedIn.com / Stratfor - Hacks kann man ja aus dem Internet herunterladen. Die Passwörter für die Real-Accounts wurden ja schon lange geändert, also keine Gefahr. Für Linuxer gibt es John The Ripper meistens in den Repositories (yum install john / apt-get install john) und oclHashcat kann man so aus dem Internet laden und gpu-beschleunigt loslegen.

Wäre mal interessant den Artikel entsprechend nachzustellen und sich selbst an den Hashes zu versuchen.

Diesen Beitrag teilen


Link zum Beitrag
Schinzilord

Es gibt ja Passwortlisten mit 1.5 Milliarden Wörtern (in allen Sprachen inkl. Klingonisch) kostenlos zum Download.. Und viele Websites haben ja z.B. eine 12 Zeichen Beschränkung, da lassen sich sogar die Wörter mit einem Sonderzeichen am Ende noch durchprobieren.

 

Den Einwand von Mr.Jones, doch bitte bcrypt statt MD5 zu verwenden, ist zwar löblich, allerdings habe ich da nix davon, wenn der Admin des Onlineshops ein naiver Dödel ist und auf überholte Hashfunktionen setzt...

deswegen gilt für mich: lieber gscheit und zufallsgenerierte Passwörter (je nach Potentiellen Auswirkungen mit 10(Email) - 15 (paypal) Stellen).

Diesen Beitrag teilen


Link zum Beitrag
etherial
· bearbeitet von etherial

Dazu muss man diese fünf Wörter aber erst mal kennen. Bei einem Passwort, das aus einem Alphabet mit fünf verschiedenen Symbolen und der Einschränkung, dass jedes Zeichen genau einmal vorkommt, ist das Problem trivial. (5! = 5*4*3*2*1 = 120)

 

Per Brute-Force auf eine Kombination aus einer Menge mit hunderten Millionen Wörter (unterschiedliche Sprachen), unbekannter Länge und vielleicht auch noch Zahlen zu kommen, halte ich für praktisch unmöglich.

 

Das Problem mit 5 aus 100 Millionen Wörtern ist genauso komplex

- wie ein Problem mit 5 Buchstaben aus einem 100 Millionen-Buchstaben-Alphabet

- wie ein Problem mit 10 Buchstaben aus einem 10.000-Buchstaben-Alphabet

- wie ein Problem mit 20 Buchstaben aus einem 100-Buchstaben-Alphabet

 

D.h. wenn man 20 zufällige Buchstaben (eines 100-Buchstaben-Alphabets, etwas mehr als Buchstaben, Umlaute, Zahlen, Sonderzeichen) aneinander reiht wäre es genauso komplex wie 5 aus 100 Millionen Wörtern.

 

Bei einer mittleren Wortlänge von 6 Buchstaben würde ich 30 Buchstaben erwarten. Demnach kann man durch völlige Zufälligkeit nur 10 Stellen einsparen? Scheint mir ziemlich wenig. Möglicherweise ist aber auch mein Rechenansatz falsch?

 

Es gibt ja Passwortlisten mit 1.5 Milliarden Wörtern (in allen Sprachen inkl. Klingonisch) kostenlos zum Download.

 

Sind das nun Einzelworte oder Passphrasen? Im ersteren Fall gehe ich mal von einem Denkfehler meinerseits aus ...

 

 

Außerdem war der Ansatz ja, dass man leicht zu merkende Wörter aneinander reiht, d.h.

- gleiche Sprache aller 5 Wörter

- idealerweise Muttersprache oder zumindest eine bekannte Sprache (Englisch)

- bekannte Worte

 

Wer mit solchen Heuristiken crackt kann aus meiner Sicht die Anzahl der Kombinationen deutlich reduzieren.

Diesen Beitrag teilen


Link zum Beitrag
Schinzilord
.

 

Sind das nun Einzelworte oder Passphrasen? Im ersteren Fall gehe ich mal von einem Denkfehler meinerseits aus ...

 

 

 

Einzelwörter und bekannte / häufige Passwörter. (212121, passwort@, icu12345, etc.)

Die kann man dann sicher intelligent kombinieren beim knacken bzw. Z.B. Bekannte Wörter mit ein oder zwei Zahlen/Sonderzeichen kombinieren.

 

Zu deiner ersten Frage:

Theoretisch hast du mit der Berechnung recht, jedoch kennst du keine 100Millionen Wörter, aus denen du wählen kannst.

Die dt. Sprache hat ca. 30000 Wörtern die Englische doppelt so viele. Dann setzt es bei mir schon aus.

Diesen Beitrag teilen


Link zum Beitrag
Mythoughts
(je nach Potentiellen Auswirkungen mit 10(Email) - 15 (paypal) Stellen).

 

E-Mail ist wichtiger, als du denkst: damit kann man meist die Passwörter der anderen Seiten neu setzen (Passwort-Vergessen-Funktion).

Gleiches gilt blöderweise für Facebook/Google/Amazon: viele andere Seiten ermöglichen es, mit diesen Userdaten einzuloggen, selbst wenn man noch nie vorher auf dieser Seite war.

Diesen Beitrag teilen


Link zum Beitrag
Schinzilord

Guter Punkt! Also doch mind. 12 Stellen...

Diesen Beitrag teilen


Link zum Beitrag
wertpapiertiger
· bearbeitet von wertpapiertiger

Wenn's um Festplattenverschlüsselung mit Truecrypt geht: Einfach 20 zufällige Zeichen und gut ist (also a-z, A-Z, 0-9) - das knackt keiner. Vorteil der Verteidiger: der Angreifer weiß auch nicht, welche Zeichen bei dir vorkommen. Er kennt das Schema und die Länge nicht.

Wer steht hinter Truecrypt? Kann man der Software vertrauen?

 

 

es tut sich was in der Community. Ein Anfang ist gemacht :-)

 

https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

 

weitere Diskussion und Kommentare dazu

 

Steh wieder mal vor der Frage unter Windoof TC weiterzunutzen oder mal Diskcryptor eine Chance zu geben.

Irgendwelche Erfahrungen damit ?

 

grüsse

Diesen Beitrag teilen


Link zum Beitrag
vogel

Zur Festplattenverschlüsselung mit Truecrypt:

Wir hatten vor kurzem einen Lenovotechniker im Hause, der ein Mainboard ausgetauscht hat. Der hatte einen "Magic-Stick".

USB Stick rein, Notebook bootet normal ins Windows. USB Stick raus, Trucrypt Boot-Loader erscheint...

 

Seitdem bin ich desillusioniert.

Truecrypt hilft wohl, um Urlaubsbilder vor Laptopdieben zu schützen - für die ist der Aufwand viel zu groß alles zu entschlüsseln. Die tauschen einfach die Platte aus.

Um wichtige Daten vor den Sicherheitsbehörden zu schützen, gibt es wohl keine Möglichkeit. Außer: Laptop nicht verlieren und niemals online gehen :D

Diesen Beitrag teilen


Link zum Beitrag
xolgo

Zur Festplattenverschlüsselung mit Truecrypt:

Wir hatten vor kurzem einen Lenovotechniker im Hause, der ein Mainboard ausgetauscht hat. Der hatte einen "Magic-Stick".

USB Stick rein, Notebook bootet normal ins Windows. USB Stick raus, Trucrypt Boot-Loader erscheint...

 

Das klingt soweit nach einem USB-Stick mit Windows drauf. Das ist nicht ungewöhnlich. Ungewöhnlich wäre, wenn er damit auf Deine Daten zugreifen kann, die auf einer Partition liegen, die Du verschlüsselt hast. (Falls dem so sein sollte, musst Du wohl mal überprüfen, ob Du Truecrypt richtig einsetzt.)

Diesen Beitrag teilen


Link zum Beitrag
dertrader
· bearbeitet von dertrader

Wenn man sich mal anschaut, was es im Bereich ASIC Bitcoin Miner so gibt und zu welchem Preis, (dagegen sind heutige Grafikkarten garnichts) sehe ich wenig Probleme für Geheimdienste jegliche Verschlüsselung entweder zu knacken oder per Bruteforce Angriff das Passwort innerhalb kürzester Zeit zu bekommen.

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund

Wenn man sich mal anschaut, was es im Bereich ASIC Bitcoin Miner so gibt und zu welchem Preis, (dagegen sind heutige Grafikkarten garnichts) sehe ich wenig Probleme für Geheimdienste jegliche Verschlüsselung entweder zu knacken oder per Bruteforce Angriff das Passwort innerhalb kürzester Zeit zu bekommen.

 

Wenn Du da wenig Probleme siehst, dann heißt das vor allem, dass Du wenig Ahnung hast.

Diesen Beitrag teilen


Link zum Beitrag
dertrader

Wenn Du da wenig Probleme siehst, dann heißt das vor allem, dass Du wenig Ahnung hast.

 

Damit kann ich problemlos leben thumbsup.gif

Diesen Beitrag teilen


Link zum Beitrag
Staatenverbund

Wenn Du da wenig Probleme siehst, dann heißt das vor allem, dass Du wenig Ahnung hast.

 

Damit kann ich problemlos leben thumbsup.gif

 

Ich würde Dich nur bitten, dann nicht solche Behauptungen aufzustellen, da andere Leute, die auch keine Ahnung haben, das für nützliche Information halten könnten.

 

Ich hatte nun heute Morgen nicht die Zeit, weiter auszuholen, das will ich hier nachholen - aber ich halte diesen Mythos, dass "jede Verschlüsselung sowieso geknackt werden kann" für gefährlich, da Kryptographie wahrscheinlich das Einzige ist, was auf Dauer unsere Gesellschaft vor sonst technisch möglicher Tyrannei schützen können wird (also, aus technischer Sicht, ohne gesellschaftlichen Willen wird Kryptographie alleine das natürlich auch nicht richten), daher reagiere ich ein wenig allergisch, wenn jemand diesen Mythos verbreitet.

 

Eine kleine Beispielrechnung, um zu demonstrieren, wie falsch Du mit Deiner Vermutung liegst:

 

Das untere Ende für die Schlüsselgröße bei symmetrischer Verschlüsselung sind heute 128 bit, das macht einen Schlüsselraum von 2^128 möglichen Schlüsseln.

 

Wenn wir jetzt mal den Preis des derzeit günstigsten ASIC-Miners (3 USD pro Gigahash/s) als Basis nehmen und davon ausgehen, dass man zum gleichen Preis ein ASIC bauen könnte, das mit der gleichen Rate AES-Schlüssel durchprobiert (also 3 USD pro eine Milliarde Schlüssel pro Sekunde), weiter annehmen, dass wir das Bruttoweltprodukt eines Jahres (90 Billionen USD) zur Verfügung haben, um damit solche Miner zu kaufen, und dass der Betrieb all dieser Miner keine Kosten verursacht, dann hätten wir eine Probierrate von 9*10^13/3*10^9 = 3*10^22 Versuchen pro Sekunde zur Verfügung, entspricht 3*10^22*60*60*24*365 = 9.5*10^29 Versuchen pro Jahr. Das heisst, dass wir pro Jahr (9.5*10^29)/2^128 = 0.00000028 % des Schlüsselraumes durchsuchen könnten bzw. dass wir ca. 2^128/(9.5*10^29) = 3.58*10^8 = 358 Millionen Jahre bräuchten, um den Schlüsselraum komplett zu durchsuchen.

 

Ich hoffe, das gibt ein bisschen Perspektive - und wem das zu unsicher ist, der kann ja einen größeren Schlüssel nehmen. Es sollte natürlich klar sein, dass die konkrete Zahl relativ bedeutungslos ist, da wir kaum den technischen, wissenschaftlichen und mathematischen Fortschritt ueber 350 Mio. Jahre abschätzen können, aber es sollte genauso klar sein, dass mit Brute-Force-Angriffen mit absehbar zu erwartender Technik im Zeitrahmen von Menschenleben nichts zu gewinnen ist, wenn man ordentliche Schlüssel und Passwörter benutzt.

 

Dass Dein Bauchgefühl Dir etwas anderes sagt, ist wahrscheinlich die gute alte menschliche Unfähigkeit, mit exponentiellem Wachsum intuitiv umzugehen, sei es nun bei Zinseszinsen oder bei Schlüsselraumgrößen. ASICs sind pro Preis inzwischen so etwa Faktor 1000 schneller als Grafikkarten, und das ist sicher beeindruckend, aber im Vergleich zu 2^128 = grob 100000000000000000000000000000000000000 ist es immernoch ein Witz. Und im Vergleich zu 2^256 = grob 100000000000000000000000000000000000000000000000000000000000000000000000000000 erst recht.

Diesen Beitrag teilen


Link zum Beitrag
Malvolio

Was haltet ihr von password managern wie z.B. KeePass Portable. Wenn man sich viele komplizierte Passwörter merken will, sind solche Programme natürlich sehr hilfreich, wenn nicht fast unverzichtbar. Anderseits sind solche Lösungen ja auch wieder angreifbar und erfordern ein gewisses Vertrauen in die Autoren der Software.

Diesen Beitrag teilen


Link zum Beitrag
xolgo

Was haltet ihr von password managern wie z.B. KeePass Portable. Wenn man sich viele komplizierte Passwörter merken will, sind solche Programme natürlich sehr hilfreich, wenn nicht fast unverzichtbar. Anderseits sind solche Lösungen ja auch wieder angreifbar und erfordern ein gewisses Vertrauen in die Autoren der Software.

 

Das schöne an Open Source ist doch, dass man dem Autor nicht vertrauen muss. Entweder vertraut man dann der eigenen Quellcode-Prüfung oder der Prüfung durch Dritte.

Diesen Beitrag teilen


Link zum Beitrag
wertpapiertiger

Zur Festplattenverschlüsselung mit Truecrypt:

Wir hatten vor kurzem einen Lenovotechniker im Hause, der ein Mainboard ausgetauscht hat. Der hatte einen "Magic-Stick".

USB Stick rein, Notebook bootet normal ins Windows. USB Stick raus, Trucrypt Boot-Loader erscheint...

 

Seitdem bin ich desillusioniert.

Truecrypt hilft wohl, um Urlaubsbilder vor Laptopdieben zu schützen - für die ist der Aufwand viel zu groß alles zu entschlüsseln. Die tauschen einfach die Platte aus.

Um wichtige Daten vor den Sicherheitsbehörden zu schützen, gibt es wohl keine Möglichkeit. Außer: Laptop nicht verlieren und niemals online gehen :D

 

Sorry aber ich glaube Du hast keine Ahnung was der Typ eigentlich gemacht hast und verwechselst da was.

 

Zur Festplattenverschlüsselung mit Truecrypt:

Wir hatten vor kurzem einen Lenovotechniker im Hause, der ein Mainboard ausgetauscht hat. Der hatte einen "Magic-Stick".

USB Stick rein, Notebook bootet normal ins Windows. USB Stick raus, Trucrypt Boot-Loader erscheint...

 

Das klingt soweit nach einem USB-Stick mit Windows drauf. Das ist nicht ungewöhnlich. Ungewöhnlich wäre, wenn er damit auf Deine Daten zugreifen kann, die auf einer Partition liegen, die Du verschlüsselt hast. (Falls dem so sein sollte, musst Du wohl mal überprüfen, ob Du Truecrypt richtig einsetzt.)

 

Genau

 

Was haltet ihr von password managern wie z.B. KeePass Portable. Wenn man sich viele komplizierte Passwörter merken will, sind solche Programme natürlich sehr hilfreich, wenn nicht fast unverzichtbar. Anderseits sind solche Lösungen ja auch wieder angreifbar und erfordern ein gewisses Vertrauen in die Autoren der Software.

 

Bin den Managern gegenüber skeptisch und setze daher lieber keine ein. Kombiniert mit einer 2 Faktor Authentifikation halte ich das jedoch für einigermassen sicher,

Hab mal ein aktuelles Researchpaper von iSec angehängt. password_managers.pdf

 

Wie haltet Ihr es mit Passwortspeichern im Browser ? Wenn ich sowas lese vergeht mir die Lust..... überhaupt was zu speichern, bis auf die Passwörtern zu denen noch über einen anderen Kanal (z.b. Smartphone, oder Dongle (ebay, Paypal)

ein weiteres Passwort abgefragt wird

 

Grüsse

Diesen Beitrag teilen


Link zum Beitrag

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×
×
  • Neu erstellen...