[[U]nixchecker]

Zitat

Noch schlimmer: Ein Webmaster kann die Passwörter im Klartext lesen. Der brauch also mal rein gar nix zu knacken. Da ist es völlig egal, wie komplex dein Passwort ist. Man sollte auch Webmastern nicht blind vertrauen

Dann ist das kein Webmaster sondern ein Pfuscher. Für Authentifizierungen speichert man keine Passwörter sondern nur Hashwerte. Also kann nachher niemand auf das Passwort schließen aber jederzeit geprüft werden ob ein eingegebenes Passwort korrekt ist, man vergleicht einfach die zwei Hashwerte(Hashwert Urprungspasswort und gerade eingegebenes Passwort).

[Gitarremann]

Zitat

nixchecker' date='05.11.2006, 18:40' post='772825']
Dann ist das kein Webmaster sondern ein Pfuscher. Für Authentifizierungen speichert man keine Passwörter sondern nur Hashwerte. Also kann nachher niemand auf das Passwort schließen aber jederzeit geprüft werden ob ein eingegebenes Passwort korrekt ist, man vergleicht einfach die zwei Hashwerte(Hashwert Urprungspasswort und gerade eingegebenes Passwort).

darum gehts doch gar nicht. es geht ja darum, dass jeder admin oder webmaster rein theoretisch die möglichkeit hat, die passwörter seiner user in erfahrung zu bringen und es damit immer mindestens zwei personen gibt, die ein passwort kennen können und da spielt es keine rollen, wie das passwort in der datenbank gespeichert ist. es geht dabei auch nicht um seriöse webmaster, sondern eben nur um die theoretische möglichkeit passwörterin erfahrung zu bringen.

[Lofote]

Zitat

Dann ist das kein Webmaster sondern ein Pfuscher. Für Authentifizierungen speichert man keine Passwörter sondern nur Hashwerte.

Ich rede nicht von Pfuscher, sondern um willentliches In-Erfahrung-Bringen von Passwörtern. Dabei ist zudem völllig egal, wie er die PWs speichert, die Daten werden über seinen Server eingegeben, vom Browser geschickt. Wer sagt denn, dass der Webmaster nicht diese Eingabe zwischenspeichert, weil er neugierig ist oder warum auch immer? Wer gibt dir die Garantie, dass er (eine völlig unbekannte Person für dich!) das nicht macht? Wie kannst du das nachkontrollieren, dass ers nicht macht? Genau: Gar nicht.

[Deeva]

ich habe aus mehreren quellen noch gelesen das die eigentliche schwachstelle immer das passwort ist ! darum verwende ich nicht mehr wie bisher nur 8 zeichen sondern jetzt 10 zeichen gemischt aus buchstaben, zahlen und sonderzeichen. warum 10 zeichen völlig ausreichen kann man hier nachlesen

http://www.metaner.d...rute-force.html

hier kann man nachlesen das der derzeitig schnellste rechner der welt *** jahre braucht um mein passwort per buteforce attake zu knacken

Beisielpasswort
hDhek191zT = ca 800 jahre

versucht jetzt einer vom BKA ohne den schnellsten rechner der welt mit seinem büro rechner das zu knacken dauert das gleich 800 000 jahren *gggg*

das da jetzt also sonderzeichen rein müssen ist quatsch. zahlen und buchstaben reichen völlig aus

ZITAT:
Ein Blick in die Tabelle verrät da schon einiges: Um ein 12-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, das aus Zahlen, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 3 393 198 Jahren. Dieser Wert dividiert durch 1.000 ergibt 3 393 und überschreitet somit bei weitem die durchschnittliche Lebensdauer eines Menschen ;-)



da ich etwa im internet und auch auf dem PC insgesammt etwa 20 passwörter brauche. werde ich einfach ein passwort benutzen, den aber zur jeweiligen software oder internetseite ergänzen

Beispiel:
hDhekwi191zT = winfuture
hDhekfl191zT = flirt webseite
hDhekdt191zT* = datenträger... der bekommt noch nen sonderzeichen weil da die sicherheit wichtig ist

so sollte jetzt auch eine Bruce Force Attacke keine chance mehr haben. zumindest nicht in den nächsten 10 jahren *lol*

die einzigste möglichkeit jetzt noch an mein passwort ranzukommen ist ein kaylogger. aber das kann ich ausschliessen. da ich einen teil des passwortes kopiere und einfüge ^^

meine abschliessende frage an euch. liege ich noch mit irgend etwas falsch oder sollte ich jetzt so gut wie auf der 99% sicheren seite sein?

lg

[Gitarremann]

Zitat (Deeva: 06.11.2006, 16:07)

ich habe aus mehreren quellen noch gelesen das die eigentliche schwachstelle immer das passwort ist ! darum verwende ich nicht mehr wie bisher nur 8 zeichen sondern jetzt 10 zeichen gemischt aus buchstaben, zahlen und sonderzeichen. warum 10 zeichen völlig ausreichen kann man hier nachlesen

http://www.metaner.d...rute-force.html

hier kann man nachlesen das der derzeitig schnellste rechner der welt *** jahre braucht um mein passwort per buteforce attake zu knacken

Beisielpasswort
hDhek191zT = ca 800 jahre

versucht jetzt einer vom BKA ohne den schnellsten rechner der welt mit seinem büro rechner das zu knacken dauert das gleich 800 000 jahren *gggg*

das da jetzt also sonderzeichen rein müssen ist quatsch. zahlen und buchstaben reichen völlig aus

ZITAT:
Ein Blick in die Tabelle verrät da schon einiges: Um ein 12-stelliges Passwort zu knacken - vorausgesetzt Sie nutzen ein Passwort, das aus Zahlen, Klein- und Großbuchstaben besteht - bräuchte man eine prognostizierte Zeit von 3 393 198 Jahren. Dieser Wert dividiert durch 1.000 ergibt 3 393 und überschreitet somit bei weitem die durchschnittliche Lebensdauer eines Menschen ;-)

da ich etwa im internet und auch auf dem PC insgesammt etwa 20 passwörter brauche. werde ich einfach ein passwort benutzen, den aber zur jeweiligen software oder internetseite ergänzen

Beispiel:
hDhekwi191zT = winfuture
hDhekfl191zT = flirt webseite
hDhekdt191zT* = datenträger... der bekommt noch nen sonderzeichen weil da die sicherheit wichtig ist

so sollte jetzt auch eine Bruce Force Attacke keine chance mehr haben. zumindest nicht in den nächsten 10 jahren *lol*

die einzigste möglichkeit jetzt noch an mein passwort ranzukommen ist ein kaylogger. aber das kann ich ausschliessen. da ich einen teil des passwortes kopiere und einfüge ^^

meine abschliessende frage an euch. liege ich noch mit irgend etwas falsch oder sollte ich jetzt so gut wie auf der 99% sicheren seite sein?

lg

wenn du das prinzip deiner passwörter aber so schön offen in die foren schreibst, dann ist nicht das passwort die schwachstelle, sondern du. das muß jetzt nur der admin der flirtseite lesen und der kennt ja dein passwort von seiner seite bzw. kann es problemlos in erfahrung bringen. dann ersetzt er das fl in dem passwort durch wi und hat dein winfuturepasswort. wahrscheinlich muss er es nur durch eb ersetzen und dann kennt er auch dein ebay-passwort. wenn du das prinzip verrätst, dann nutzen auch 100 stellen nix. auch die angaben, was die berechnungszeiten angeht sind völliger quatsch. die beziehen sich auf heute mögliche rechnerleistungen. wenn man aber nur mal die weiterentwicklung der letzten 10 jahre sieht, dann kannm man aber fast davon ausgehen, dass die technik in weiteren 10 jahren soweit ist, das etwas in 2 minuten ausgerechnet werden kann, wovon man heute denkt, dass es tausend jahre dauert.

[Deeva]

also... ich hab extra "beispiel" hingeschrieben. das es sich nicht um mein richties passwort handelt ist ja wohl klar ^^

tzzzz

ich will dich am liebsten ignorieren. du nervst mich eh

[janboe]

Zitat (Deeva: 06.11.2006, 16:07)

hier kann man nachlesen das der derzeitig schnellste rechner der welt *** jahre braucht um mein passwort per buteforce attake zu knacken

Aber nur wenn er nicht vorher zufällig darauf stößt...

[Gitarremann]

Zitat (Deeva: 06.11.2006, 17:42)

also... ich hab extra "beispiel" hingeschrieben. das es sich nicht um mein richties passwort handelt ist ja wohl klar ^^

tzzzz

ich will dich am liebsten ignorieren. du nervst mich eh

du hast es nicht verstanden. du schreibst dein beispiel hier rein

Zitat

Beispiel:
hDhekwi191zT = winfuture
hDhekfl191zT = flirt webseite
hDhekdt191zT* = datenträger... der bekommt noch nen sonderzeichen weil da die sicherheit wichtig ist

so nun guckt der admin der flirtseite, wie dein passwort bei ihm ist - das kann doch auch ganz anders heißen also meinetwegen
LkFiHflUV13 und dann ersetzt er bei diesem eben das fl durch wi. ihm reicht es doch, das prinzip zu kennen auch wenn du es hier nur mit einem beispiel erklärst.

[Elren Luthien]

Zitat (Deeva: 06.11.2006, 19:42)

ich will dich am liebsten ignorieren. du nervst mich eh

bitte nicht persönlich werden, klär das per pm.

[ph030]

Zitat

die einzigste möglichkeit jetzt noch an mein passwort ranzukommen ist ein kaylogger. aber das kann ich ausschliessen. da ich einen teil des passwortes kopiere und einfüge ^^

Ja genau, als ob das schützen würde...da sollte jemand vielleicht nochmal besser recherchieren.

EDIT:

Zitat

ich will dich am liebsten ignorieren. du nervst mich eh

Warum machst du's nicht einfach, das Forum hat schließlich die Möglichkeit dazu oder passt es dir nur nicht, wenn man etwas sagt, was du nicht verstehst, aber dennoch den Tatsachen entspricht?

Dieser Beitrag wurde von ph030 bearbeitet: 06. November 2006 - 18:22

[Graumagier]

Zitat

die einzigste möglichkeit jetzt noch an mein passwort ranzukommen ist ein kaylogger. aber das kann ich ausschliessen. da ich einen teil des passwortes kopiere und einfüge ^^

Ja, weil der Keylogger natürlich keine Möglichkeit hat, einfach den Inhalt der Datei auszulesen

[greller]

passwörter...die unendliche geschichte.
ich handhabe es folgendermaßen: 8-12 stellig z.b. A+j(&tvD
is am anfang net unbedingt leicht zu merken. aber spätestens nach ner woche hat man seine passwörter im kopf. natürlich NIEMALS ein passwort für 2 accounts nutzen.

[Mr. SwingKing]

Das sicherste Passwort nützt einem wenig wenn man, für den Fall, daß man es vergisst, beim Erstellen eine Frage und Antwort eingibt.
Tut man das, erscheint auf dem Login-Screen neben dem Login-Button (der mit dem Pfeil) nämlich afaik ein Fragezeichen und sobald man da draufklickt, wird einem das Passwort angezeigt.

[Der Kenner]

Schwieriges Thema, was?

Die meiner Meinung nach komfortabelste und praktikabelste Lösung zur Verwaltung von Passwörtern ist, eine verschlüsselte Datenbank mit KeePass von Sourceforge anzulegen und dadrin seine Passwörter zu speichern (, die man sich übrigens sogar nach bestimmten Kriterien generieren lassen kann). Dabei ist es natürlich wichtig, ein sicheres Masterpasswort für die DB zu wählen. Der Vorteil dabei ist halt, dass man beliebig sinnlose Zeichenkombinationen verwenden kann, die man sich nicht merken muss/kann. Das Ganze kann man dann auch noch schön auf nen USB-Stick kopieren oder auf ne wiederbeschreibbare CD brennen und regelmäßig aktualisieren.
Wenn der Rechner natürlich kompromittiert ist, ist's klar, dass die Integrität der PWs gefährdet ist.

Soviel dazu von meiner Seite...