was ist sicherer ein passwort oder ein passsatz?
was ist sicherer ein passwort oder ein passsatz?
5 Antworten
Ich werde das Gefühl nicht los, dass solche Fragen oft falsch gestellt sind und stets in Bezug auf einen einzelnen, spezifischen Account gestellt werden.
Man sollte sich die Frage jedoch aus der eigenen Perspektive stellen und die hat nun mal zur Folge, dass es nicht um einen einzelnen, spezifischen Account, sondern um eine Vielzahl an Accounts geht. In diesem Sinne ist die Frage nicht, ob ein Passwort oder ein Passsatz besser ist. Sowohl ein Passwort als auch ein Passsatz ist ganz großer Mist, wenn es sich tatsächlich um ein einziges Merkmal für alle Accounts handeln sollte.
Ansonsten: Passsätze benutze ich nicht und Passwörter sind bei mir mindestens 16 Zeichen lang (sofern das möglich ist) und die kennt in der Regel nur mein Passwort Manager.
Ich nutze meist meinen Passwortmanager, Bitwarden. Diesen habe ich zum Schutz meiner Daten als Docker Container (Vaultwarden) selbst auf meinem Server gehostet. Bitwarden kann dir je nach Bedürfnis sichere Passwörter generieren. Dies wäre meine grundsätzliche Empfehlung.
Um dir nun trotzdem auf die Frage einfach zu antworten. Früher habe ich einen speziellen Algorithmus in meinem Kopf mir gemerkt und danach Passwörter erstellt. Erstmal habe ich dazu mir einen Satz ausgedacht, z.B:
Dies ist eine Antwort auf Gutefrage
Dies ist dein Satz, den du dir merken kannst. Nun habe ich die ersten zwei Anfangsbuchstaben jedes Wortes genommen:
Di is de An au Gu
Dann habe ich die leetcode Schrift verwendet um Buchstaben in zahlen zu ändern.
D1 1s d3 An au Gu
Das dann zusammengefügt und am Ende ein Sonderzeichen, entweder ! Oder einen *
Das fertige Passwort wäre dann quasi:
D11sd3AnauGu!
Wenn du dir also den Satz merkst, kannst du aus diesem immer das Passwort selbst herleiten, allerdings nur wenn du den Algorithmus kennst. Kannst ja zum Beispiel auch die letzten zwei Buchstaben nehmen etc.
In beiden Fällen hängt die Sicherheit von der Passwortkomplexität ab, aber das gilt nur, wenn es zufällig generiert ist.
In einem Fall wird jedes Zeichen zufällig ausgewählt, und die Komplexität hängt von der Anzahl der möglichen Zeichen und der Länge ab. Im anderen Fall wird jedes Wort zufällig aus einer Wortliste ausgewählt, und die Komplexität hängt von der Anzahl der Wörter in der Liste und der Anzahl der verwendeten Wörter ab.
Die Sicherheit hängt in beiden Fällen von der Anzahl der möglichen Kombinationen ab. Je mehr, umso besser.
Passphrasen können einfacher zu merken sein als Passwörter:
Dieses Passwort hier ist nicht zufällig, sondern wurde nach einem häufig verwendeten Schema erstellt (Wort, Zahl und Sonderzeichen, und dann ein paar Buchstaben ersetzen). Deshalb ist die Entropie niedriger als bei einem zufälligen Passwort.
Bei den Wörtern steht "four random common words". Da könnten 2048 schon gut hin kommen.
Ich denke, die konkreten Werte sollte man nicht zu genau nehmen. Es geht viel mehr um die Erkenntnis, dass man mit einer einfach zu merkenden Passphrase eine bessere Sicherheit erzielen kann als mit einem schwer zu merkenden Passwort.
Ja, schon klar. Mir Nerd kamen die Zahlen halt zu niedrig vor und ich musste nachrechnen *g*
Passwort ist sicherer, wenn du es richtig gut machst. Ein Passsatz wie "Mein Haustiert ist ein Hund" oder so ist zumindest für Menschen nicht besonders schwer zu erraten. Auch von Computern beim Bruteforce kann ein Passsatz recht schnell gehackt werden.
Aber eigentlich hat sowieso niemand daran Interesse, z.B. deinen privaten Insta-Account zu hacken, wenn dann ist das ein Hack auf die Server von Meta, da kann dein Passwort noch so sicher sein, das macht keinen Unterschied.
Deshalb: Für Unternehmen, bzw. Arbeit auf jeden Fall ein sicheres Passwort, für Privates was keiner hohen Sicherheit wie das E-Banking bedarf, tut es auch ein Passsatz.
Lg
Aber eigentlich hat sowieso niemand daran Interesse, z.B. deinen privaten Insta-Account zu hacken, wenn dann ist das ein Hack auf die Server von Meta, da kann dein Passwort noch so sicher sein, das macht keinen Unterschied.
Solche Daten stammen in der Regel so oder so eher aus Data-Breaches, deren Inhalt auf dem Schwarzmarkt verkauft wird, auf die man als Nutzer eh keinen Einfluss hat - Komplexität des Passworts hin oder her.
Genau, das meinte ich mit dem Hack auf deren Server. Deshalb macht es sowieso keinen Unterschied
ein siches passwort könnte sein (jetzt nicht mehr, weil es hier steht): bnWp-ywiMnLrj-zUsqUJxecV66MvDB
nen passphrase ist sicher desto länger zB hundeAutoEssenIchmagEisSchuheDachPolizei<noch kA paar mehr random wörter>
Ich finde das Prinzip mit den Passphrase gut, aber irgendwie kommt es mit vor, als ob xkcd sich da bei der Komplexität des Passwortes verrechnet hat.
Ca. 100 Zeichen sind auf der Tastatur erreichbar, ein elf Zeichen langes zufälliges Passwort hat 100^11 sind 1E22 Möglichkeiten, sind irgendwas um 73 Bit. Das Problem dabei ist, das ein Passwort (außer es kommt vom Passwortmanager) nicht zufällig ist. Evtl. haben die dies irgendwie mit berücksichtigt.
4 Wörter (mit 500000 Wörtern pro Sprache, was für deutsch viel ist und im Englischen etwa passen sollte) sind ca. 500000^4 Möglichkeiten, sind 6,25E22, ca. 75 Bit. Wenn ich da von den 44 Bit zurückrechne, komme ich auf einen Wortschatz von 2048 Worten in der Sprache, das kommt irgendwie nicht hin. Oder ich habe mich verrechnet ;)