Anonym im Netz Schütze Deine Identität
  • facebook

Dass Passwörter lang und krytpisch sein, also möglichst viele Variation and Gross/Kleinschreibung, Sonderzeichen und Ziffern enthalten sollen, hat sich inzwischen überall im Netz herumgesprochen. Doch gerade solche guten Passwörter können zur Identifizierung im Netz beitragen.Ein gutes Passwort lässt sich nämlich nicht zufällig erraten. Somit ist es eindeutig und es ist sehr unwahrscheinlich, dass eine zweite Person genau das gleiche Passwort verwendet. (Also das Passwort „geheim“ gibt es sicherlich zig Mal in jeder Community. „XkEd134.!!ew“ oder aehnliches gibt es aber meist nur einmal.)

Da solche Passwörter allerdings auch recht schwierig zu merken sind, tendiert man dazu sich meist nur ein einziges solches sicheres Passwort zu merken und auf verschiedenen Webseiten einzusetzen. Und genau hierrüber lassen sich verschiedene Identitäten im Netz verbinden. Verwendet man das Passwort auch noch für einen Account mit seiner echten Identität, so kann diese und alle Pseudoidentitäten schnell auffliegen.

Zwar speichern die meisten Webseiten, sofern man ihnen glaubt, die Passwörter nicht im Klartext. Sie können also nicht die Frage beantworten „Welcher Passwort hat Benutzer xy?“. Auch wenn die Datenbank eines Dienstes gehackt wird, sind die Passwörter normalerweise nur als MD5 Hash verfügbar und somit sicher, sofern sie sich nicht über eine Wortliste erraten lassen.

Aber diese Frage können die Betreiber einer Seite sehr wohl beantworten: „Welcher Benutzer hat Passwort ‚XkEd134.!!ew‘ ?“

Somit kann z.B. eine Behörde zu einem bekannten Passwort sämtliche Accounts rausfinden, in denen es benutzt wird. Schlecht, wenn z.B. das echte eigene Facebook Profil dabei ist…

Dein Passwort verrät Dich!
5 (100%) 1 vote

Comments (8)

  1. Ann O. Nyma said on 21-01-2015

    Was spricht eigentlich gegen eine *Offline(!)*-Passwort-Database wie KeyPass und überall verschiedene starke Passworte?
    Ist doch nur Copy&Paste, Peanuts.

  2. Ann O. Nyma said on 21-01-2015

    „Aber diese Frage können die Betreiber einer Seite sehr wohl beantworten: “Welcher Benutzer hat Passwort ‘XkEd134.!!ew’ ?”“
    Das stimmt (so) idR nicht. Bestenfalls (kein salt im Hash oder überall gleicher salt) können sie die Frage beantworten: “Welchen Benutzers Passwort hat den Hash ‘[…]X3xMkguQTqxKwVdRz1[….]’ ?”.
    Bei Kenntnis des salts kann man mit den entsprechenden Rainbow tables (rieesengross, und es braucht eine pro salt!) auch auf *ein* Passwort (das diesen hash ergibt) ‚zurückübersetzen‘.

    „Somit kann z.B. eine Behörde zu einem bekannten Passwort sämtliche Accounts rausfinden, in denen es benutzt wird. Schlecht, wenn z.B. das echte eigene Facebook Profil dabei ist…“
    Das stimmt nur, wenn alle gar keinen oder denselben salt verwenden.

    • admin said on 21-01-2015

      Andersrum, das Passwort können die Betreiber als richtig oder falsch identifizieren, einfach indem Sie es durch die Passwortvergleichsfunktion Ihrer Seite laufen lassen. Die muss das ja eh bei jedem Login machen. Somit brauchen sie einen Versuch pro User. Mit dem Hash kann der Betreiber nur etwas anfangen, wenn er ungesalzen ist. Genau das wurde übrigens bereits gemacht, also z.B. Facebook kooperiert da.

      • Ann O. Nyma said on 21-01-2015

        Nee, eben nicht (bzw. das Original-Zitat ist falsch):
        Für die Frage „Welcher User hat das Passwort „xyz“ müsste der Betreiber (für Dein Modell/Deine Antwort) eine BruteForce gegen seine DB laufen lassen (hier mit Passwort als Konstante und Username heraufzählend nach UserID)

        • admin said on 21-01-2015

          Genau, der lässt einfach sämtliche User durchlaufen. Das ist O(n) bei n Usern. Ziemlich einfacher Brute-Force, selbst bei Facebook in Kürze durch.

          • Ann O. Nyma said on 21-01-2015

            OK, mein Fehler (da ist man *ein*Mal* nicht paranoid!). Wenn der Anbieter kooperiert ist es ein Kinderspiel.

  3. […] Wichtig ist aber das verschleiern der IP und zwar beim Anlegen des Accounts und bei jeder Nutzung, denn die IP ist die einzige Information die der Serverbetreiber hat. Und für die Wahl des Passwortes gilt natürlich, dass es einzigartig sein sollte. (Dein Passwort verrät Dich!) […]

  4. Siegfried Stauffen said on 29-03-2013

    Aber auch hier kommt es nicht auf die Länge an (wie so oft) ^^ Und zwar wurde bei SemperVideo mal ein Test gemacht wo Passwörter mit verschiedenen Längen ausprobiert wurden. Kenne leider nicht mehr genau das Video aber könnt euch ja mal umschauen

    http://www.youtube.com/user/SemperVideo/videos

    Jedenfalls wurden die Passwörter danach versucht zu hacken mittels einer bekannten Software dazu (Live Boot CD – gibt ne nette Auswahl im Netz). Ansonsten wenn man ne Tastatur hat wo es andere Zeichen gibt als im englischen also internationaler Sprache dann UNBEDINGT mit dazu packen. In DE z.B. die Zeichen ö ä ü ß. Ansonsten ist bei jedem Leerzeichen, Klammern, Plus, Minus, Komma, Fragezeichen, Route usw. möglich.

    Und bei Sicherheitsfragen zum Passwort gebt einfach nicht die richtige Antwort an. Oder z.B. alles zusammengeschrieben und auf einer Fremdsprache. Wenn die Frage also z.B. lautet „Welches Auto fahren Sie“ dann nicht wahrheitsgemäß antworten weil man das leicht erraten kann sondern lieber sowas schreiben wie „nixAuto“ oder „donthavealicense“

    Grundregel gilt allgemein so wenig Daten wie möglich hinterlassen und wenn dann so viele wie möglich die falsch sind. Mehrere e-mail Adressen wären sinnvoll für verschiedene Zwecke. Gerne auch aus dem Ausland damit die Behörden es schwer(er) haben bei Ermittlungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.