Nicht die Komplexität macht ein gutes Passwort aus sondern die Länge zu dem ist es viel zu aufwendig und keiner wird das "ESdKimeIdOA,zB:14" am iPhone ständig eingeben wollen.

Genauso sicher (wenn nicht sogar sicherer) ist so ein einfach zu merkender Satz wie Mactechnewsistdiesoolsteseitederwelt. oder meinhundhatvierbeine. oder androidnervtmichappleistbesser.

Bis das per BruteForce geknackt ist vergehen Jahrhunderte.

Möchte man für jede Seite ein eigenes Passwort so handhabe ich es so, dass ich den seitennamen reinschreibe wie z.B

dieseitemactechnewsistschongut
dieseitegolemistschongut
dieseitexxxsuperpornistschongut

etc.

Wie bei MTN gibt es Meenzer?

budspenceristmeinallerbesterlieblingsfreund

teorema67 Sogar nichts anderes

Fenvarien]
Vielleicht kannst du meinen Tipp mit aufnehmen, weil nicht alle die Beiträge lesen und es praxisrelavanter ist.


Hehe, mit einem Schmunzeln muss ich an meine Admin Zeit in einem Krankenhaus denken, dort wurden die Miitarbeiter alle 14 tage gezwungen ein neues Passwort einzugeben.
Und was machen die, weil es die immer wieder nervte, kleben einen Zettel mit dem Passwort an den Monitor. Hehe

Es sollte aber dennoch evtl. nicht immer die richtige Schreibweise verwendet werden. Diverse Passwortknacktools benutzen aus Wörterbücher zusammengesetzte Passworte, was bei richtig geschriebenen Worten auch schnell zu knacken sein könnte.

Aber die Länge ist tatsächlich der wichtigste Faktor bei Kennwörtern

Die Verwendung von Umlauten (z.b. "ä" wie in Beispiel 3) wird nicht empfohlen!

Was nützen die besten Passwörter, wenn bei den Unternehmen, ob groß oder klein, gleich Benutzernamen INCL. Passwörter gestohlen werden...!!

Der konkrete Fall bei Apple hatte allerdings zunächst nichts mit unsicheren Passwörtern zu tun. Das entscheidende Sicherheitsleck lag auf der Seite Apples

BudSpencer
Deine Sätze lassen sich mit Wörterbuch erraten.

macparc
Danke, das Beispiel wurde korrigiert.

MeinHund(Bello!)ist8Jahrealt(undfaulwieSau)!

sb
Jedes einzelne Wort im Satz lässt sich vielleicht anhand eines Wörterbuchs erraten. Die ganze Kombination dann aber wohl eher nicht mehr. Gibt dazu auch ein schönes Cartoon bei xkcd: http://xkcd.com/936/

Am besten einen Passwortmanager nutzen, der keine Passwörter speichert, sondern dynamisch aus einem Masterpassword generiert.

Welcher Passwortmanager wäre das denn zum Beispiel?

Natürlich lassen die sich erraten, genauso wie das von dir, den schliesslich stehen alle deine Buchstaben und Ziffern in einem Wörterbuch. Auf die richtige Kombination kommt es an.
Somit lautet die Frage: In welcher Zeit und zu welchen kosten kann mein Passwort geknackt werden. Ich gebe dir ein Passwort (Hash) wie
budspenceristmeinallerbesterlieblingsfreund. (inkl einem Sonderzeichen wie den Punkt am Ende)

und behaupte du knackst es nicht innerhalb eines Jahres, solltest du es schaffen, so gebe ich dir 50 Euro.

KeepassX da Multiplatform und kostenlos.

iPatrick:
http://masterpasswordapp.com/

–>BudSpencer:
ack. Passwörter muss man sich merken können oder einen Automaten nutzen (wie Master Passwort)

Und noch schwieriger wenn du noch Versalien nimmst, also zB IchGeheInDenWaldUmApfelZuSuchen

Der größte Quatsch ist den Namen der Seite dranzuhängen, also wenn jemand das Passwort für MTN klaut und sieht sbedMTN, dann weiß er doch gleich, dass bei eBay am Ende EBY steht.

BudSpencer:
Die 50 EUR kannst du gleich mal überweisen, denn dein Passwort hab ich schon gleich erraten:
budspenceristmeinallerbesterlieblingsfreund

Ein sichereres Passwort hätte an Schaden aber abgewendet - die meisten Seiten im Netz verwenden solche Techniken - wie sie bei Apple zum Großteil Standard sind - längst noch nicht.

GENAU das. Und die geklauten PW landen dann sogar in der Wörterbüchern für die brutale Methode.

Von einer Macseite hätte ich den Hinweis auf den Schlüsselbund erwartet: hier gibt es einen Passwortgenerator mit allen möglichen Optionen.

Radetzky:
Einen Mac habe ich aber nicht immer dabei.

ich hab auf jeder seite ein stamm und hänge dann entsprechende dinge an:

#iphone4ever! wäre zb der stamm (besser ein fantasiewort nutzen)

und für mactechnews kommt dann eben:

#iph0ne4ever!Mactechnews

oder google:
#iph0one4ever!go0gle

usw damit hat man keine probleme beim merken und ein erbeutetes passwort samt nutzname ist nix wert auf anderen webseiten.

mit meinem google passwort kann man dann eben nicht bei amazon rein

Jetzt werden sicher alle Ihr Passwort von 123456789 auf 12345678910111213141516171819 ändern. Oder von "passwort" auf "sicheres_passwort"

Radetzky
War schneller, den Schlüsselbund wollt ich gerade ins Feld werfen

snowman-x
Keiner würde drauf kommen, an Deinen "Stamm" alle möglichen "Erweiterungen" z.B. die top 100 Internetseiten anzuhängen (oder aus Deinen Favoriten ablesen) - niemals, das schafft kein Script

Ein Passwort bestehend aus 4 Wörtern kann man vielleicht unter großen Aufwand herausfinden (Wörter im Wörterbuch hoch 4) allerdings weiß man bei Nutzern außer Bud Spencer nicht, dass er Wörter verwendet.
Man kann also nur um sicher zu gehen auch noch versuchen zufällige Zeichenkombinationen zu knacken. Bis man aber 8 zufällige Zeichen und 4 Wörter die hintereinander stehen durchprobiert hat kann es recht lange dauern.
Vokalem wenn dann noch Rechtschreibfehler oder Sonderzeichen hinzukommen.

BudSpencer
Die Entropie ist bei deinem Verfahren geringer, als du denkst. Statt in Bits muss man hier den Wörterumfang mit der Anzahl der verwendeten Wörter potenzieren. Mit statistischer Auswertung von Tausenden gebildeten Kennwörtern nach diesem Verfahren wird man aber feststellen, dass der Wörterumfang mangels Kreativität relativ klein ausfällt.

Nahh... für 50 Euro mach ich mir nicht die Arbeit. Außerdem habe ich nicht das Equipment, dass man dazu braucht.

Aber du solltest dir mal diesen Artikel durchlesen:

Bei einem Wörterbuchangriff zählt nur die Anzahl der Wörter, nicht deren Länge!

z.B. ist

ichbinzwarkurzhababerschwr
(ich bin zwar kurz hab aber schwer - 7 Wörter)

viel schwieriger zu knacken als:

kartoffelbreiskrautsalatfischsuppeerbseneintopf
(kartoffelbrei krautsalat fischsuppe erbseneintopf - 4 Wörter)

auch wenn letzteres länger ist. Weil bei einem Wörterbuchangriff nimmt man ein deutsches Wörterbuch und probiert erst jedes einzelne Wort, dann jede Kombination aus zwei Wörtern, dann jedes aus drei Wörtern, usw. Die Wortlänge hat dabei fast keinen Einfluss, zumindest nichts im Vergleich zur gestiegenen Komplexität wenn man nur ein weiteres Wort hinzufügt.

Bei Bruteforce zählt die Anzahl der Zeichen, aber hier ist schon alle über 8 Zeichen ein Problem. Für 12 Zeichen Bruteforce brauchst du schon eine Serverfarm (oder eine Farm aus Grafikkarten) und selbst dann dauert es noch Wochen (teuer... im wahrsten Sinne des Wortes, man beachte nur die Stromkosten!) Aber Brute Force wird nur als aller letztes Mittel verwendet.

Zitat aus oben verlinkten Artikel:Wow, 12 Mio? Hab gerade mal eins mit deutschen Wörtern geholt und das hat nur 165'000. Laut Duden.de verfügt ein durchschnittlicher Deutscher über einen aktiven Wortschatz von nur 12'000 bis 16'000 Wörtern.

Für 50 Euro wohl nicht, aber für ein paar hundert würden diese Typen deine Challange annehmen und die haben das Equipment, die haben dein Passwort in unter einer Woche.

KeePass speichert Passwörter aber verschlüsselt in eine Datenbank – so wie 1Password und Co. Hingegen verfolgt

wohl ein anderes Prinzip: Die Webseiten-Passwörter werden aus dem Anwendernamen, der Webseite und dem Master-Passwort generiert.

Ein interessantes Prinzip.

Danke!

Meiner Meinung und Erfahrung nach alles BS. Einfacher geht es: 1Password oder ähnliches Programm kaufen und installieren, sich ein gutes und langes Passwort (bspw. ein kurzes Zitat oder Satz der nicht logisch ist) aussuchen. Alle anderen Passwörter dem Passwort-Generator überlassen (immer richtig schön lange Passwörter generieren lassen) und nur nicht merken. Damit fahre ich schon seit langer Zeit am Besten. Wichtig ist nur, dass das Master Passwort, wie oben beschrieben, etwas ist was man nicht leicht erraten kann.

Aber jeder muss es mit sich selbst ausmachen. Passwörter nach einem Eselsbrückensystem zu konstruieren bringt nichts, wenn man sich die Methode Brückenbildung nicht merken kann und später vergisst.