Anonym im Netz Schütze Deine Identität
  • facebook

Da es mir gerade unter gekommen ist:
Wie ermittelt man ZUVERLÄSSIG die Sicherheit eines Passworts?
Habe das vermeintliche Password von Sean Spicer (n9y25ah7) mal durch 3-4 Seiten geschickt, und kriege doch sehr unterschiedliche Aussagen:
http://www.wiesicheristmeinpasswort.de/ – 4 Monate
https://checkdeinpasswort.de/ – 12 Minuten
https://password.kaspersky.com/de/ – 12 Tage
https://www.passwortcheck.ch/passwortcheck/passwortcheck – 9 Minuten

Zwischen Minuten und Monaten ist doch ein sehr großer Unterschied. Müssten die Aussagen nicht verlässlicher sein?


status

Da es mir gerade unter gekommen ist: Wie ermittelt man ZUVER
Bewerten Sie diesen Beitrag

Comments (14)

  1. Florian said on 08-01-2018

    Letztendlich stammen die Unterschiede wohl hauptsächlich davon, mit welcher Testrate die Dienste arbeiten. Bei https://checkdeinpasswort.de/ wird das z. B. angezeigt, wenn man auf das Zahnrad-Symbol klickt. Die möglichen Kombinationen sind dann das relevante Merkmal, wenn man es mit komplexen Passwörtern zu tun hat.

  2. Alexander Steinhoff said on 03-03-2017

    Noch ein weitere Aspekt dazu: Sofern Sean Spicer das Passwort für Twitter benutzt hat, ist es um einiges sicherer, weil Twitter sicher nicht tausende Login-Versuche pro Sekunde akzeptiert sondern nach einer Reihe von Fehlversuchen die Häufigkeit der Versuche zumindest drosseln sollte.

  3. Ralf Dingeldey said on 03-03-2017

    Was Du mal versuchen könntest wäre den Support von Kaspersky zu fragen wie das zustande kommt. Ich könnte mir durchaus vorstellen dass die antworten. Vielleicht haben die auch ne FB Seite. Bei den anderen “Anbietern” glaube ich nicht dass sie antworten.

  4. Alexander Steinhoff said on 03-03-2017

    Verstehe ich auch nicht als trollen, ich sage nur, die Forderung, genau einen Dienst zu haben, der die Passwortstärke auf wenige Tage genau beziffert ist unsinnig. Wenn überhaupt sollte die Stärke in Dollar angegeben werden, denn damit kaufe ich Rechenleistung und nicht nur mit Zeit. Die Angriffe sind hochparallelisierbar, so dass ich mit 10fachem Geld auch nur ein zehntel der Zeit brauche. Es ist in etwa so, wie eine genau Angabe zu fordern, wie lange es dauert, um einen 15 Meter hohen Haufen Sand abzutragen. Es fehlen einfach zu viele Paramter, um eine genaue Aussage zu treffen.

  5. Hans Preckel said on 03-03-2017

    Um es einmal klar zu stellen: Es geht nicht um ein trollen oder ähnliches.
    Es geht um eine ernsthafte Auseinandersetzung mit der Aussage “Das Password kann erst in X %Zeitspanne% geknackt werden”.
    Bei 4 Seiten bekomme ich 3 sehr unterschiedliche Aussagen.
    Erhöhe ich die Passwordlänge werden die Aussagen noch diffuser. Und nehme ich die üblichen Tabellen hinzu, wird es noch absurder.
    Und ein Verweis auf XKDC ist in dem Falle nicht wirklich hilfreich in dem Bereich. 😉

    Das Beispiel der PC Welt zeigt, wie es eigentlich sein müsste. Das gewählte Password hat die und die Lücken.
    Auch Passwordcheck.ch macht es sinnvoller. Eine Anzeige, ob ein Teil des Passwortes in einer Sprache oder einer Rainbowtable verwendet wird.

    Wenn wir über Sicherheit reden, dann sollten wir solche Aussagen halt auch Mal auf den Prüfstein stellen. So, wie wir es aktuell mit den Virenscannern auch tun.

  6. Alexander Steinhoff said on 03-03-2017

    Die Sicherheit eines Passworts “zuverlässig” zu ermitteln, ist wohl nicht wirklich möglich, da sie von verschiedenen Faktoren abhängt und die Art des Angriffs eine Rolle spielt. Wie man ein gutes Passwort wählt, das auch noch leicht zu merken ist, wird hier ganz gut beschrieben: https://xkcd.com/936/

  7. Jaroslaw Zolkiewski said on 02-03-2017

    Ich denke mal, wenn man das passwort einmal auf so einer test-seite eintipp, dann sinkt die sicherheit automatisch auf 0.

  8. Klaus Meier said on 02-03-2017

    bei der Berechnung muss man nicht nur Zeichen, Zahlen, Sonderzeichen und Länge berücksichtigen, sondern auch Methodik. Wirt einfach nur die Brechstange genutzt ( Brute-Force-Methode) oder Wörterbuch-Angriffe genutzt u.s.w. Die Sicherheit von Passwörter ist nun mal nur eine Zeitangabe wie lange es dauert es herauszubekommen und da es mehr als einen Weg gibt, gibt es auch mehr als eine Zeitangabe.

  9. Hans Preckel said on 02-03-2017

    Übrigens, obwohl PC-Welt ein guter Test für Passwörter, der die Probleme gut analysiert:
    http://www.browsercheck.pcwelt.de/passwortstarke-messen

  10. Fenja Wolff said on 02-03-2017

    Moin Hans,
    wenn du nen genauen Wert auf die Minute haben willst muss ich dich enttäuschen. Das funktioniert nicht, weil jeder dieser Werte auf einer “Guesses per Minute” Annahme beruht.
    Das ist ein Wert der unheimlichen Schwankungen unterliegt.

    Ich hab dazu hier vor einigen Wochen mal was geschrieben:
    https://www.facebook.com/notes/127683083962347/%5BBasic%5D%20Passwortsicherheit/1320145118049465/

  11. Ralf Dingeldey said on 02-03-2017

    Ich habe hier bei Wikipedia noch eine Tabelle gefunden. Die erklärt aber auch nicht die Unterschiede der verschiedenen Webseiten.
    https://de.wikipedia.org/wiki/Passwort#Ausprobieren_von_Passw.C3.B6rtern

  12. Ralf Dingeldey said on 02-03-2017

    PS: Benutze einen Passwortgenerator bzw. Passwortsafe. Ich benutze KeePassX für Windows gibts KeePass. Dann musst Du Dir nur ein Maskerpasswort merken und kannst das Ganze auch noch mit einer Schlüsseldatei absichern.

  13. Ralf Dingeldey said on 02-03-2017

    Hab grad mal auf der Kasperskyseite ein 20 Stelliges Passwort getestet, das 20 Zeichen lang ist (h0QMcP35KGuc9MoCoYwk) Da steht 10000+Jahrhunderte. Es sind auch nir Zahlen und Buchstaben, weil z.B. nicht alle Webseiten Sonderzeichen akzeptieren. Aber Du siehst was die Länge des Passwortes ausmacht.

  14. Ralf Dingeldey said on 02-03-2017

    Ich kann zwar Deine Frage nicht beantworten, aber nach allem was ich weiß sollte ein Passwort heute länger als 16 Zeichen sein und aus Zahlen, Buchstaben und (wenn möglich) Sonderzeichen bestehen. Man kann also sagen, egal ob 4 Monate oder 9 Minuten, das Passwort ist nicht sicher.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.