Verschlüsselung & sichere PWs

@Windwusel: "Tatsachen sprechen für sich" vs "Könnte gefälscht sein, ist zwar open source und wurde unabhängig von mehreren bestätigt und ich könnte es auch selbst machen, aber nee könnte gefälscht sein" widerspricht sich etwas. Wenn mehrere Unabhängige die Sicherheit bestätigen + du selbst Einblick hast (Stichwort: Transparenz), ist es auch egal, wie viele Airbags du hast, es gibt keinen Dritten, der einen Unfall verursachen könnte, sondern nur du selbst. Denn lustigerweise sind deine Airbags genau dafür da - um Unfälle durch Dritte zu vermeiden und nicht deine eigenen.
Tl;dl: Dein Beispiel ist Quatsch.

Ich zerstöre nur ungerne eure Träume von einem sicheren Pc... Aber nachdem ich programmierer von Siemens und Datev kenne, kann ich euch versichern, das euch eure "Absicherungen" gar nichts bringen. Durch den schnellen Fortschritt in Technik und Wisschenschaft, werden jedes Jahr schnellere und bessere Supercomputer gebaut die immer schneller und besser große und komplexe Passwörter knacken können, in kurzer Zeit.
Wer wirklich die nächsten Jahrzehnte seine Daten 100% sicher verwalten will, sollte auf den Pluto ziehen. Kein Internet und auch kein anderer Mensch dort... Pure isolation ist die wahre Sicherheit!

Und ganz nebenbei, solange ihr nicht Handel mit Drogen/ Waffen/ Menschen/ Staatsgeheimnisse in sechs bis zehn Stelligen Bereich über euren Pc handelt. Reicht auch ein guter Virenschutz und ein normales Windowspasswort... Solange ihr nur Pornos/Musik/Filme und Serien runterladet und verteilt, seit ihr uninteressant für den Geheimdienst.
Und der Geheimdienst ist in Sachen Pc- Sicherheit euer einzigstes Bedenken, eigentlich nur die Geheimdienste der USA, Russland und China. Der BND ist ein Witz! Vor dem braucht ihr keine Angst haben >.< Die verzweifeln ja schon an einem Passwortgeschützen Windows XP!

Also mein Tipp für einen sicheren Pc für Menschen die sich hier tummeln: Windowspasswort rein mit Zahlen/ Buchstaben ( groß und klein), einen bezahl Virenschutz wie z.B Kaspersky, Vermeidet Kreditkarten banking, möglichst viel mit Paypal, bzw am besten mit Paysafe, keine Weitergabe von Addressen und Telefonnummern über Social Media oder Messenger, Anti google analytics und einen Werbeblocker und blocker für Cookies etc., Fake Namen und nicht eindeutig Identifizierbare Profilbilder von euch (Am besten Gruppenbilder wo ihr schwer zu identifizieren seit), verwendung eines VPN für illigale Aktivitäten.
Das sollte reichen alle, die illigal Urheberrechtlich geschützes Material beziehen und verteilen, sowie für alle die sich Waffen und Drogen im Dark Net bestellen.

Aber der beste Schutz ist immernoch eine Thermit bombe im Pc Gehäuse die bei Polizeilichen besuch leicht zu zünden ist und eure Datenträger vernichtet!
Naja, eigentlich alles vergebene Liebesmüh, der Staat besorgt sich bis 2020 eh die Biometrischen Daten eines jeden hier in diesem Land. Personalausweis mit RFID die auf 1000m zu orten sind. Also dann doch auf den Pluto ziehen...

Die Supercomputer kann ja auch jeder bezahlen, zB das FBI, welches Apple nicht mal unter Druck zur Kooperation erzwingen konnte.
Oh halt, das konnte sich das FBI doch nicht leisten, dafür eine fast Millionen schwere Lücke.

Seit den angriffen auf die USA durch Snowden usw und jetzt zuletzt TSB verlieren die US Institute an macht während andere ausländische dazu gewinnen, just saying. Und mit dem Bundes Trojaner wird dem BND ein extrem mächtiges Werkzeug in die Hand gelegt..

Warum ist ein bezahlter, ausländischer Dienst, sei es PayPal oder ein AV (wie kapersky) deiner Meinung nach aus dem sicherheitstechnischen Aspekt sicher?

Die US Geheimdienste können sich durchaus solche Computer leisten, bzw bereits vorhandene ausleihen um damit zu arbeiten. Die USA haben einen bekanntlicherweise, nicht gerade kleinen Etat für ihre Geheimdienste und Militär, und das sind nur die offiziellen Zahlen.
Es ist auch ganz nebenbei bekannt, das z.B das FBI durchaus an etlichen Drogenringen beteiligt ist. So wie der BND an Rechten und Linken Terrorzellen die durch V- Männer finanziert werden.
Und Apple kooperiert mit dem FBI, das was sie offiziel rausblasen ist nicht die Wahrheit. Apple ist ein US Konzern und an dessen Gesetze gebunden, die kooperieren!

Das mit Snowden war kein Angriff, den er hat ja keine Wirkung gezeigt. Das Pentagon hat die Fäden gezogen und der Bundestag ist auf die Knie gegangen :) Diese Leaks sind für das FBI, NSA, Homeland Security etc unangenehm, aber es gibt keine Konsequenzen...
Demensprechend stehen die Geheimdienste genauso gut dar, wie darvor. Aber du hast auch Recht, andere Länder holen kräftig auf, so wie die Engländer. Die bauen sich gerade einen Wunderbaren Abhörapperat auf... Die wissen bald mehr über einen, als man selbst!

PayPal ist gut, Paysafe ist besser. Aber das habe ich ja schon geschrieben. PayPal liefert einen gewissen Schutz für das eigene Konto vor Verbrechern, aber die Banken und der Staat können dich trotzdem nachverfolgen. Außer du legst mit einer Fake Identität ein Konto etc. an.
Und Kaspersky ist ein sehr guter Virenschutz der das sicheres Internetbanking und Surfen ermöglicht. Ich habe kein Problem mit dem "Bundestrojaner", sie wie Nutzer anderer Virenscanner ;)

Aus gegebenem Anlass möchte ich hier noch mal Passwörter aufgreifen.

Die Vorgabe lautet ja, eine möglichst lange Zeichenkette mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen als Passwort zu verwenden. Schön und gut, aber das ist Maschinenlogik und im Alltag sehr unpraktisch, weil man sich das Passwort auch merken muss - und gerade wer größte Sicherheit möchte, der wird mehr seinem Gehirn als einem Programm von Drittanbietern vertrauen (wollen).

Einer der zahlreichen Technikblogger (ich weiß leider nicht mehr, wer) hatte deshalb schon vor Jahren einen Tipp für den Alltag: Kurze, prägnante und persönliche ganze Sätze verwenden. Erstens wird man damit so ziemlich alle Vorgaben erfüllen, auch die Sonderzeichen (das Leerzeichen ist nämlich ebenfalls eins und wird stark unterschätzt), zweitens merkt man sich das viel leichter als einen Zeichensalat und drittens kann man den Satz so persönlich wählen, dass man ihn wirklich nicht erraten kann, sondern nur wissen muss ("Ich will Kaffee mit 3 Löffeln Zucker.")

Und siehe da - es funktioniert:


Ein einfacher Kinderreim, den jeder kennt - und MEGA interpretiert ihn als Passwort der höchsten Sicherheitsstufe. Ihr könnt es auch selbst ausprobieren, gerne auch mit anderen Sätzen.

Ein sicheres Passwort sieht so aus, dass man es sich nicht merken kann. Damit wäre dann auch die glaubwürdige Abstreitbarkeit erfüllt. Neulingen empfehle ich meistens Merksätze - die sich am Thema der Seite orientieren - deren Anfgangsbuchstaben man sich zum Passwort macht. Das kann ein Zitat eines Philosophen, ein blöder Anmachspruch oder ein Refrain sein - scheißegal!

Bsp. für eine Flirt-Seite:
Weißt du, ob die Liebesschaukel frei ist? = Wd,odLfi?

Kombinationen die beispielsweise euer Geburtsjahr, den Namen eurer Haustiere oder Stars enthalten, sind per se schlecht, da man die Passwörter mit modifizierten Wörterbuch-Attacken leicht herausfindet. Ein Fehler, der immer wieder gemacht wird, ist in der natürlichen Sprache begründet und führt dazu, dass viele Passwörter mit Großbuchstaben anfangen und mit Zahlen enden. Ein denkbar einfacher Fehler, der einem Angreifer aber einges an Zeit spart.

Verschlüsselte Platten nutzen mir eher, wenn das Gerät verloren geht.
Ferner gibt es keinen Grund mir die Tür einzutreten.

btw. Ich benutze Debian GNU/LInux und Arch Linux zum Arbeiten.

@Agent 47 Also ich persönlich würde mittlerweile von Menschen gemachten Passwörtern abraten.

Es gibt quelloffene Passwortmanager welche dir beim Passwort generieren einfach beliebig zufällige Zeichen zusammenwürfeln. Ich persönlich empfinde das als sicherer da sich so wirklich keiner das Passwort auch nur annähernd herleiten kann.

KeePass2 beispielsweise läuft sowohl unter Windows (Windows 10) als auch unter Linux (Arch Linux) und unter Android wunderbar.

@llll Ich finde nicht das die Passwortsicherheit nur durch die Anzahl der Zeichen gewährleistet wird. Klar gilt: Desdo mehr Zeichen desdo besser. Gerade beim Online Banking finde ich z.B. das 5 Zeichen Limit einfach nur ein Witz (ist zumindest bei der Sparkasse so).

Das Passwort "H7q@5#t8" ist meiner Meinung um einiges sicherer als das Passwort "hallo123". Letzteres kommt beispielsweise garantiert in jeder Passwortliste vor.

Gruß
Joel

@llll Okay. Ich gebe es zu ... an dem Inhalt der Seite ist selbstverständlich etwas dran. Klar gilt "desdo länger das PW desdo länger brauchen Algorithmen um es zu knacken".

Mein Beispiel von vorhin galt auch eher den Brute Force Attacken wo eine Passwortliste zum Einsatz kommt.

In jeder Passwortliste steht sicherlich das Passwort "hallo123" oder ähnliche Schnaps Passwörter. Das "H7q@5#t8" in einer Passwortliste steht ist jedoch deutlich geringer bzw. sehr unwarscheinlich.

Klar kann man darauf natürlich nicht mehr bauen wenn man Algorithmen zum knacken einsetzt. Dann gilt desdo mehr Zeichen desdo besser.

Gruß
Joel

Bei Passwörtern zählt primär die Länge und das es nicht in einer Liste steht. Auch nicht Teile davon. Und wer Probleme mit dem Geheimdienst kriegt, kann sich seine Passwörter sonst wo hinschieben, weil die einfach bei dir hinkommen, deine Tastatur mit einem kleinen Extra versehen und danach sämtliche Passwörter von dir haben.

Zum Thema kurze Passwörter bei Banken: Fand ich am Anfang auch seltsam, aber dann viel mir ein das es das Pin Konzept ist. Ein kurzes Passwort bei der Bank ist wie die Pin der Karte: Du hast drei Versuche und das wars. Und ein fünf stelliges Passwort in drei Versuchen zu bruteforcen, kann man direkt vergessen.

Es zählt bei weitem nicht nur die Länge von Passwörterung und vor allem kommt es darauf an, wo das Passwort genutzt wird. Bei einem Dienst im Internet sollte der Anbieter ohnehin einen Schutz gegen Brute-Force Versuche eingerichtet haben. Dann ist es auch egal, ob ein Passwort 16 oder 32 Stellen hat. Da ist es wichtiger, dass man das Passwort nicht erraten kann (ergo nicht dem Usernamen zuordnen kann). Effektiv gesehen ist es dann auch egal, wenn das Passwort in einer Passworliste steht, solang es nicht dem Login/E-Mail oder ähnlich zugeordnet werden kann. Natürlich ist es aber sinnvoller ein Passwort einzusetzen, welches in keiner Liste steht.

Bei einem Login, welcher nicht gegen Brute-Force geschützt ist, sieht das schon anders aus. Beispiele sind hier Verschlüsselte Dateien oder offline Passwortspeicher. Hier können endlos Passwörter ausprobiert werden und hier werden in der Regel Passwortlisten durchlaufen lassen. Ein Passwort, welches dann in einer Liste steht, ist dann immer schwach.

Nochmal dazu, dass es nicht nur auf die Länge ankommt: Die Entropie ist hier genauso wichtig. Ein 10-stelliges Passwort nur aus kleinen Buchstaben kann beispielsweise schwächer sein, als ein 8 stelliges mit Zahlen, groß und kleinbuchstaben und Sonderzeichen. Genauso ist ein Passwort aus 3 zufälligen Wörtern aus einem Wörterbuch genauso sicher, wie ein 10 stelliges Passwort als Groß- und Kleinbuchsten und Zahlen, da die Möglichen Werte für ein Wort sehr groß sind.

3 Zufällige deutsche Wörter: ~ 421 Billionen Möglichkeiten
10 Stellen (groß- & Kleinbuchsten & Zahlen): ~420 Billionen Möglichkeiten
8 Stellen (groß- & Kleinbuchsten & Zahlen & Umlaute & Sonderzeichen): ~1677 Billionen Möglichkeiten

Nichts für ungut @Glutamat aber mMn. ich das nicht ganz korrekt. Natürlich gibt es mehrere Meinungen, ganz nach dem Motte 2 Anwälte - 3 Meinungen. Allerdings gibt es einige Tatsacken dich ich klarstellen möchte.

Glutamat schrieb:

Es zählt bei weitem nicht nur die Länge [...] egal, ob ein Passwort 16 oder 32 Stellen hat. Da ist es wichtiger, dass man das Passwort nicht erraten kann. [...] Effektiv gesehen ist es dann auch egal, wenn das Passwort in einer Passworliste steht, solang es nicht dem Login/E-Mail oder ähnlich zugeordnet werden kann.

Zum Vergrößern anklicken....

Ich glaube du meinst das richtige, drückst es aber falsch aus (sofern du das nciht alles stark vereinfacht hast). Im grossen und ganzen kann mal zwischen 2 Varianten bei einer Brute-Force Attacke unterscheiden wobei in der Login (eigentlich) gegeben ist. Zum einen hat man dann eine Passwortliste, die mal von einer Datenbank stammen, und zum anderen geht man alle Buchstaben, Zahlen & Sonderzeuchen nacheinander durch. Die 2. Methode ist wesentlich langsamer als die 1. allerdings in manchen (nicht allen) Fällen auch Effektiver.

Glutamat schrieb:

Ein 10-stelliges Passwort nur aus kleinen Buchstaben kann beispielsweise schwächer sein, als ein 8 stelliges mit Zahlen, groß und kleinbuchstaben und Sonderzeichen.

Zum Vergrößern anklicken....

Da gebe ich dir zwar recht, allerdings können Cracker das nicht wissen, also werden sie an die Limitation der Website halten. Wenn also nur [A-Z][a-z][0-9] im Passwort erlaubt ist, dann wird er sich vermutlich auch in diesem Rahmen bewegen und nicht nur Kleinbuchstaben testen. Zudem kann man davon ausgehen, dass man zur heutigen Zeit mindestens ein 8 Stelliges Passwort vergeben muss, schwächere werden meistens nicht akzeptiert. Man könnte jetzt auch nach Statistiken gehen welche Passwortlänge am meisten vertreten ist, aber das wirde zu sehr ins Detail gehen.

Glutamat schrieb:

10 Stellen (groß- & Kleinbuchsten & Zahlen): ~420 Billionen Möglichkeiten

Zum Vergrößern anklicken....

Ka wo du die Zahlen her hast ^^ aber ich komme auf andere Ergebnisse, man möge mich korrigieren wenn ich falsch liege aber:

26 [a-z] + 26[A-Z] + 10 [0-9] = 62
62*62*62*62*62*62*62*62*62*62 = 62^10 = 839.299.365.868.340.200 (~ 8,4*10¹⁷)
lt. Wikipedia wären das ~840 Billiarde.

Glutamat schrieb:

8 Stellen (groß- & Kleinbuchsten & Zahlen & Umlaute & Sonderzeichen): ~1677 Billionen Möglichkeiten

Zum Vergrößern anklicken....

26 [a-z] + 26 [A-Z] + 10 [0-9] + 6 [öÖäÄüÜ] + 32* [_#*] = 100 versch. Zeichen
10*10*10*10*10*10*10*10*10*10 = 100^8 = 10.000.000.000.000.000 (= 1*10¹⁶)
10 Billiarde

*(126-32)-52-10=32


Davon gibt es zwar hunterte, allerdings könnte der Link für dein ein oder anderen nützulich sein.: https://web.archive.org/web/20180412051235/http://www.lockdown.co.uk/?pg=combi&s=articles#classF

Um hier mal etwas einzubringen das praktischer Natur ist.
Passwörter und dessen Länge, sowie Komplexität ist unbestreitbar ein relevanter Punkt bei der Sicherheit. Häufig hapert es aber nicht mal daran. Wie viele von euch müssen gestehen, das sie bei zwei unterschiedlichen Webseiten, das gleiche Passwort nutzten? Selbst ich mit einem Passwortcontainer von über 1000+ Einträgen muss Einräumen das dies leider der Fall ist.
Nun nehmen wir mal an das alles Vorbildlich war, Passwort ist über 40 Zeichen Lang, hat von A-Z,a-z,0-9 und diverse Sonderzeichen alles enthalten.
Bring uns alles nur leider nicht viel, wenn der Webseitenbetreiber das im schlimmsten Fall im Klartext in der DB gespeichert hat und die mal aufgemacht wurde. Alternative hat er eine schlechte Crypto im Einsatz.
Viele dieser Berechnungszeiten Vergleiche gehen bspw. davon aus das MD5 gebrochen werden muss. Wenn der Betreiber einer Seite aber noch SHA1 nutzt, ist das Brechen des Hashes meist schon auf einem Privat gerät kein Problem mehr.

Eines der Wichtigsten Dinge die man also in Hinsicht auf die Sicherheit machen kann, ist zuverlässig verschiedene Passwörter zu nutzten. Da auch ich mir nicht mal 20+ Passwörter merken könnte, ist klar ein Passwortcontainer zu Empfehlen.
Ich kann hier KeePassXC Empfehlen. Die ganze Entwicklung um Keepass, Keepass2, usw. ist etwas Verwirrend und ganz kriege ich die jetzt auch nicht mehr auf die Kette. KeePassXC kann aber mit euren Keepass Datenbanken umgehen und wird Aktive weiter Entwickelt. Zudem hat es inzwischen eine Report Funktion und kann euch Sagen welche Passwörter ihr mehr mal benutzt habt oder welche bspw. durch Hacks schon offen gelegt wurden.
Da es auch hierfür ein Brower Plugin für FireFox und Chrome gibt, lässt sich zudem sehr Komfortable damit arbeiten.

Ansonsten ist für Dinge wie E-Mail bis heute GPG/PGP das mittel der Wahl und als sicheren Aufbewahrungsort kann man Hardware-Safes wie NitroKeys nehmen.