Universalpasswort

DelphiKing schrieb:
2% der User hatten ihrern Username als Passwort
0.8% der User hatten "123456" als Passwort
über 40x das Passwort "ficken" :ugly:
usw ...

Alles in allem also relativ erschreckend ...
Zum Vergrößern anklicken....

"ficken" ist mein ICQ-Passwort, weiß nicht, wie man das ändern kann (geht auf er Internetseite wohl nicht):ugly:.

Ich habe sehr häufig das selbe PW genutzt - ist halt einfacher, aber seit ich einen ordentlichen Passwortmanager habe, habe ich nur noch Kombinationen. Die macht das Programm dann für mich.
Der Nachteil: Ich kenne nur ein (weiteres) Passwort auswendig.

Man kann die PWs zwar mit dem iPhone syncen, jedoch muss mir dafür jemand eins schenken:pray:.
 
Wenn man ein bisschen krank im Kopf ist, so wie ich, dann kann man ein fast unknackbares System verwenden:
Ein Masterpasswort nur im Kopf haben, das ist das wichtigste, nirgends notieren
Den Seitennamen nehmen und ihn mit Vigenere und dem Masterpasswort verschlüsseln.
Dann noch an jede zweite Stelle ein Sonderzeichen eingefügt, auch diese Reihenfolge hat man im Kopf und schon hat man ein Passwort, das nichts über alle anderen Passwörter aussagt.

Wie gesagt, man muss ein bisschen krank im Kopf sein.:ugly:
 
hfkb schrieb:
Möchtest du damit jetzt in irgendeiner Weise andeuten, dass ich damit ein Problem haben könnte?
Zum Vergrößern anklicken....

Würde ich es jemals wagen? 8O
Ich nehme eher an, dass du die Beschreibung gesehen hast, ganz viele Zahlen und Buchstaben, und dann dachtest "wtf wtf, das ist ja furchtbar, das tu ich mir jetzt nicht an. Der Tag war anstrengend genug, da muss das jetzt nicht auch noch sein ... ich werde lieber weiter ein bisschen im Forum rumsurfen und chillen ... außerdem habe ich ja KeePass, ernsthaft muss ich mich ja sowieso nicht mit irgendsoeinem komplexen System auseinandersetzen, da kann ich mein Gehirnschmalz sinnvoller einsetzen. Hm, ich könnte was essen gehen.".
Was ja auch völlig verständlich und legitim ist, hätte ich genauso gemacht - nur musste ich mich zwangsläufig wegen der theoretischen Informatik letztes Semester damit beschäftigen...
 
DelphiKing schrieb:
Ich hatte mal ne Webseite mit mehreren zehntausend Usern ... und bevor ich da Gegenmaßnahmen ergriffen habe (Passwortänderung bei allen unsicheren Passwörtern) sah es so aus:

2% der User hatten ihrern Username als Passwort
0.8% der User hatten "123456" als Passwort
über 40x das Passwort "ficken" :ugly:
usw ...

Alles in allem also relativ erschreckend ...
Zum Vergrößern anklicken....

Naja einige dieser PWs wurden aber bestimmt auch absichtlich gewählt. Ich bin bei massig Seiten angemeldet, wo mir der Acc vollkommen egal ist. Soll ihn wer klauen, ist eh nur Fake. Und warum sollte ich auf ein sicheres PW achten. Einfach "f1cken" oder ähnliches und gut ist.
Wird mir der Acc gerippt hol ich mir eben nen neuen....np.

Für mich gilt das bei z.B. Flirtseiten, Foren, Browsergames, Emailaddys, etc...
 
DelphiKing, ich finde es eher erschreckend, das du die Passwörter anderer Benutzer auslesen kannst. Ist es nicht sicherer, nur den Hash zu speichern?
Auch gegenüber Hackern, die sich in deine Datenbank einhacken?
 
FischVolk schrieb:
Verdammt. Hat nicht jemand ein System für Normalsterbliche?
Zum Vergrößern anklicken....

Hab gestern zufällig was entdeckt

Leicht zu merken sind sichere Passwörter z.B. mit folgendem Trick:
Man bildet einen Satz der optimalerweise auch Zahlen enthält. Nun nimmt man den Anfangsbuchstaben jedes Wortes sowie die Zahl(en) und bildet daraus ein neues Wort.
Beispiel: "Thomas wurde im Mai 74 geboren" Passwort: "TwiM74g"
Zum Vergrößern anklicken....
[Quelle]
 
bick-fm schrieb:
DelphiKing, ich finde es eher erschreckend, das du die Passwörter anderer Benutzer auslesen kannst. Ist es nicht sicherer, nur den Hash zu speichern?
Auch gegenüber Hackern, die sich in deine Datenbank einhacken?
Zum Vergrößern anklicken....

Selbst wenn der Passworthash gesalzen ist (und damit ein sicheres Passwort praktisch nicht mehr aus dem Hash auslesbar ist), kann man mit Datenbankzugriff sehr leicht herausfinden, wieviele User ein bestimmtes Passwort haben - genau so habe ich es auch gemacht.

Einfaches Beispiel:
SELECT * FROM user WHERE password=MD5(username)​

Würde mir alle Accounts liefern, deren Passwort gleich dem Benutzername ist.

Alleine schon aus dem Grund sollte man als User wenigstens eine kleine Modifikation einbauen (ala "DelphiKing" -> "D3lphiKing"), da dann soeine Attacke (die natürlich ein Hacker auch durchführen kann) fehlschlägt.
 
Eckieck schrieb:
Natürlich bekommt jeder User sein eigenes Salz ;)
Zum Vergrößern anklicken....

Entschuldige, aber im Zuge einer heutigen rücksichtsvollen Berücksichtigung von Diabethikern und Nieren-Geschädigten möchte ich bitte auch um den Einsatz von gepfefferten Passwort-Hashes bitten.

Schliesslich ist bei Eingabe von gesalzenen Passwörtern die Gefahr groß, das sich der User danach die Finger leckt und so das Salz in den Kreislauf kommt!

Auch ist eine Verwendung weiterer Geschmacksverbesserer / -verstärker durchaus in Erwägung zu ziehen!

Gruß,

jiw
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben