Passwörter, Fluch und segen?
Hallo, heute auf Arbeit ist an allen Programmen das jeweilige Passwort abgelaufen gewesen. Also ging Zeit drauf für jedes Programm nach individuellen Vorgaben neue zu erstellen. Das kostet Zeit und Nerven. UND alles im Kopf behalten. Am Besten.............. Ist das eigentlich noch zeitgemäß in unserer technologisch versierten Gegenwart? Nervt es dich auch so dermaßen? Oder ist ein Leben ohne Passwörter nicht lebenswert für dich?
Das Ergebnis basiert auf 13 Abstimmungen
11 Antworten
Mal wieder viel Qautsch hier zu lesen, wie üblich.
Passwörter haben eine gewisse Berechtigung, aber für die generelle Authentifizierung haben sie viele Nachteile. Das Problem heutzutage ist, dass sich Menschen zu viele Passwörter merken müssen. Es ist einfach ein widerspruch, dass ein Passwort möglichst kompliziert und daher auch schwer zu merken sein sollte, aber du dann bei hunderten Diensten ein eigenes Passwort brauchst.
Probleme von PasswörternDas Ergebnis ist, Menschen nutzen entweder schlechte Passwörter oder überall 1-2 gute. Beides ist schlecht. Je häufiger ein Passwort genutzt wird, desto wahrscheinlicher, dass dieses Geheimnis irgendwo Dritten bekannt wird. Und wenn man schlechte Passwörter nutzt, dann macht es das genau so wahrscheinlicher, dass es Dritten bekannt wird (liegt daran wie man Passwörter speichert und angreift).
Aus technischer Sicht haben Passwörter genau so Probleme, du hast ein symmetrisches Geheimnis, du musst einem Dienst der dein Passwort verifizieren will dein Passwort übertragen (ohne zu sehr ins Detail gehen zu wollen gibt es da teilweise etwas abhilfe, aber weitgehend ist das irrelevant.). Ein Dienst der Passwörter nutzt ist angreifbar, auch wenn es viele effektive best practices gibt wie man mit Passwörtern umgeht, und muss mit diesen Geheimnissen verantwortungsbewusst umgehen. Das liegt aber außer der Kontrolle des Nutzers.
Bessere AlternativenEine Lösung sind zufällige Passwörter zu verwenden, die über Software gemanaged werden, nennt man Passwort Manager. Haben quasi alle Browser integriert, es gibt kostenlose und bezahlte Programme dafür. Der Nachteil, theoretisch könnten die Daten genau so irgendwie an Dritte kommen da sie ja alle irgendwo zentral gespeichert sind, wenn auch verschlüsselt, in der Praxis ist hier aber allgemein das Risiko welches durch die schlechte Verwendung von Passwörtern entsteht kritischer.
Mit die beste Lösung ist aber asymmetrische Kryptografie. Da muss dann eben nicht mehr ein Geheimnis symmetrisch übertragen werden, das Geheimnis kann relativ sicher auf SEs gespeichert werden, für den Nutzer ist es einfacher und geht schneller. Asymmetrische Kryptografie wird schon ewig für Authentifizierung eingesetzt, nur eben seltener im Web und bei Endkunden. Hier gibt es für das Web die FIDO Standards, die jetzt auch von Google und Apple mit erweitert und gepusht werden, mit "Passkeys".
Am Ende haben Passwörter bzw. Passphrasen aber in Verbindung mit Key Derivation Functions natürlich trotzdem viele valide Einsatzzwecke und können ja eben auch ein zusätzlicher Faktor sein statt der einzig wahre.
Hallo, heute auf Arbeit ist an allen Programmen das jeweilige Passwort abgelaufen gewesen. Also ging Zeit drauf für jedes Programm nach individuellen Vorgaben neue zu erstellen. Das kostet Zeit und Nerven. UND alles im Kopf behalten
Ihr seid einfach nicht organisiert "auf Arbeit" und auf der Höhe der Zeit, was die unsinnige "Passwort-alle-90-Tage ändern"-Policy (oder ähnlich) und die Verwaltung persönlicher Passwörter betrifft. Wenn jemand von "alles im Kopf behalten" spricht, weiß ich, welche Grundeinstellung da zum Thema IT-Security herrscht. Es möge Euch nicht so ergehen wie bereits vielen Städten und Kreisen in den vergangenen Jahren.
Wenn ich deine Antwort lese, will ich dich in unserer IT haben. Danke und schönes WE!!
Regelmäßige anlasslose Passwortänderungen werden schon lange nicht mehr empfohlen - selbst das BSI ist schon vor Jahren davon abgerückt. Wer das als ITler noch nicht mitbekommen hat, muss die letzten Jahre unter einem Stein geschlafen haben.
https://www.heise.de/news/Aendere-dein-Passwort-Tag-Lass-es-doch-einfach-bleiben-3956127.html
https://www.heise.de/news/Aendere-Dein-Passwort-Tag-Schon-wieder-5035145.html
https://www.heise.de/news/Aendere-dein-Passwort-Tag-Besser-Aktiviere-2FA-6343549.html
https://www.kuketz-blog.de/passwort-wechseltag-lasst-es-einfach/
Wir setzen in der Firma aktuell noch überwiegend auf Passwörter - aber letztlich wird der Weg auch hier in Richtung MFA und Passwortlose Authentifizierung gehen. Passwörter werden maximal ein Teil des Schutzkonzeptes sein, aber nicht mehr die Hauptauthentifizierungsmethode.
Und für die Verwaltung gibt es Passwortmanager wie KeePassXC oder Bitwarden.
Inzwischen sind die Computer so schnell das man mit Brute-Force-Angriffen innerhalb von Stunden Passwörter raus bekommt.
Vor Professionellen angriffen sollten Passwörter daher nicht mehr wirklich gut schützen.
Aber vor jedem der sich einredet eine Hacker zu sein weil er im Deep Web ein Tool herunter geladen hat (was vermutlich 100-1.000 mal mehr Leute sind als echte Hacker) schützen sie gut. Daher sind sie noch nicht veraltet aber ja der Sinn von Passwörtern auch "sicheren Passwörtern" wird ständig geringer.
"Vor Professionellen angriffen sollten Passwörter daher nicht mehr wirklich gut schützen."
Das ist einfach falsch.
https://www.dr-datenschutz.de/brute-force-angriffe-einfach-erklaert-sowie-schutzmassnahmen/
- 8-stelliges Passwort: 33,9 Minuten
- 9-stelliges Passwort: 40,7 Stunden
Stimmt aber der Unterschied von 40,7h (9 Stellen) zu 122 Tagen (10 Stellen) ist eben genau der Faktor 72:
>>> 40.7*72/24
122.10000000000001
Also rechnen wir mal was 12-stellen ausmachen:
>>> 122.1*72*72/365
1734.154520547945
Da bist du bei 1734 Jahren noch recht sicher. Eine RTX4090 ist aber auch deutlich schneller als eine 1080 und da wärst du dann schon im Bereich einiger Jahre und nicht bei fast 2 Jahrtausenden...
Allerdings ist es auch schon quasi grob fahrlässig von Webseiten noch MD5 zu nutzen. Andere Algorithmen sind langsamer und treiben die benötigte Zeit hoch.
IT-Sicherheit ist nun mal ein Wettrüsten und das sieht man hier schön. Vor einigen Jahren waren 8-stellige Passwörter noch sicher! Heute sollte man eher 12-16 Stellen nehmen. Wobei ich mit den 72 Zeichen auch nicht ganz einverstanden bin - da gibt die Tastatur mehr her...
Inzwischen sind die Computer so schnell das man mit Brute-Force-Angriffen innerhalb von Stunden Passwörter raus bekommt.
Sorry aber das ist völliger Quatsch. Es kommt auf die Länge und Komplexität an! 8-stellige Passwörter bekommst du schon mit diversen Grafikkarten in einer Annehmbaren Zeit geknackt aber je länger / komplexer das PW umso aufwendiger ist das Knacken.
Vor Professionellen angriffen sollten Passwörter daher nicht mehr wirklich gut schützen.
Nein! Ein entsprechend sicheres Passwort schützt und MFA schützt falls das Passwort doch irgendwie verloren geht (Phishing, aus dem Browser gestohlen, usw.)
Aber vor jedem der sich einredet eine Hacker zu sein weil er im Deep Web ein Tool herunter geladen hat (was vermutlich 100-1.000 mal mehr Leute sind als echte Hacker) schützen sie gut.
Auch völliger Unfug. Ich arbeite als Pentester ebenfalls mit den gleichen Tools wie diverse Scriptkiddies. Der Unterschied ist eher, dass ich die Hintergründe verstehe und mit bei Problemen auch helfen kann. Ein Scriptkiddy turnst einfach diverse Anleitungen nach ohne zu verstehen was genau da vor sich geht und passiert...
Wenn mich ein Kunde für 10 Tage für einen Pentest bucht will er nicht, dass ich 8 Tage davon verbrate um 2, 3 oder 4 Programme nachzubauen. Das maximum was ich programmiere sind kleine Scripts um diverse Dinge zu automatisieren aber auch das nur in einigen Fällen.
Daher sind sie noch nicht veraltet aber ja der Sinn von Passwörtern auch "sicheren Passwörtern" wird ständig geringer.
Nein - ein Passwort hat einen entscheidenden Vorteil - ist es geleakt worden, kann man es ändern. Würde der Scan deines Fingerabdrucks gestohlen kannst du dir nicht mal eben einen neuen Finger transplantieren lassen oder deinen Fingerabdruck ändern!
Nutze Keypass, dann braucht du dir nur ein Passwort zu merken...
Ich nutze es nicht, sondern habe meine Passwörter auf einer 6 Seitigen Passwortliste aufgeschrieben - die in Keypass zu übertragen, ist mir viel zu aufwändig...
Wo die gespeichert ist, wird nicht verraten...
Wenn das Passwort "1234" lautet, stimmt die Aussage.
Aber ein vernünftiges Passwort knackst Du nicht in ein paar Stunden, das dauert so lange, dass der Versuch irrational ist. Und dann gibt's noch mehr Vorkehrungen, um Accounts zu schützen.