Diskussion:Passwort/Archiv

Man kann sein Passwort auch mithilfe von Zeichen sicherer machen, die es gar nicht auf der Tastatur gibt, z.B. „®,¤,©“, zum Eintippen verwendet man unter Windows dann [Alt] + [0174], [Alt] + [0164] und [Alt] + [0169], wobei die Zahlen bei eingeschaltetem NumLock mit dem Numblock getippt werden müssen. Diese Zeichen werden meist bei BruteForce Angriffen außer acht gelassen. Soll man das in den Artikel einfließen lassen? --«awo» 19:25, 4. Dez 2005 (CET)

Ja! Ich habs rein geschrieben. Wimmerm 15:12, 21. Apr 2006 (CEST)

Man sollte noch erwähnen dass diese Passwörter unter Umständen nicht mehr ASCII-Konform sind und von einigen Systemen möglicherweise nicht akzeptiert werden. Onkel_Hedwig 09:50, 06. Mai 2006 (CEST)

Das ist etwas ungünstig. Oben wurde von Sonderzeichen abgeraten, die auf ausländischen Tastaturen nicht erreichbar sind. Hier wird zu Sonderzeichen geraten, die auf der Tastatur nicht vorhanden sind und von Betriebssystem, Zeichensatz und Applikation abhängen können. Bei unterschiedlichen Interfaces der gleichen Anwendung könnte sich der nutzer selbst aussperren. --(nicht signierter Beitrag von 141.26.93.148 (Diskussion) 08:16, 29. Okt. 2008 (UTC))

egal... muss man eben vorher wissen, wo man das passwort eingeben wird... --Heimschützenverein 11:48, 31. Okt. 2008 (CET)

mit Sonderzeichen kann man sich immer ganz tolle Probleme einhandeln. Es ist fraglich ob mögliche Vorteile das wert sind. --Itu 14:39, 31. Aug. 2009 (CEST)

Kommt drauf an. Als "Schummelpasswort", bestehend aus einem Zeichen, sollte man sie nicht verwenden, auch hier ist dann die Menge z.B. aller ASCII-Symbole schlichtweg zu gering. Zudem hängt es davon ab, mit welchen Authentifizierungsmechanismus man arbeitet - innerhalb einer reinen Windows-Umgebung ist Unicode kein Problem. Die eine oder andere Branchensoftware, die keine zentrale Authentifizierungs benutzen kann, ist aber nicht in der Lage, mit mehr als dem lateinischen Alphabet umzugehen. Eine (schrecklich nicht-wissenschaftliche) Untersuchung mit russischsprachigen Anwendern (Moskowitern) hat gezeigt, dass inbesondere jüngere Mitarbeiter an das Umschalten von Tastaturlayouts gut gewöhnt sind, insbesondere, wenn sie Texte sowohl im lateinischen Alphabet als auch kyrillisch (z.B. für Behörden) schreiben müssen. Diese Gruppe tendierte auch eher zu kyrillischen Buchstaben in ihren Passworten, weil sie bereits mit Windows-Systemen "aufgewachsen" sind, für die dies kein Problem darstellt. D.h. sie haben sich schlichtweg nichts dabei gedacht, ein solches Symbol zu verwenden. Grobe, ähnliche Muster gibt es bei jungen deutschprachigen Leuten, die deutsche Umlaute in Passworten verwenden, weil sie die Systeme, die dazu nicht in der Lage waren, nicht mehr kennen. Das betrifft aber Firmenumfeld, in denen der neue Mitarbeiter z.B. an ein XP gesetzt wird/wurde. --92.74.199.123 09:58, 4. Mai 2010 (CEST)

Sollte hier "Bei Erzeugung durch Zufallsgeneratoren ist zu beachten, dass Computer keinen „echten“ Zufall mit maximaler Entropie generieren können." auf das Stichwort Entropie nicht lieber auf http://de.wikipedia.org/wiki/Entropie_%28Informationstheorie%29 verlinkt werden anstatt http://de.wikipedia.org/wiki/Entropie ?

PS: Ich finde es ein Unding, dass ich hier nicht mehr über den T-Online Proxy schreiben kann, so wie bisher auch immer. Gerade in Zeiten der Vorratsdatenspeicherung sollte dies möglich sein. Ich bereue es an Wikipedia etwas gespendet zu haben.

--(nicht signierter Beitrag von 87.175.158.185 (Diskussion) 09:54, 12. Apr. 2008 (UTC))

zur hauptsache: find ich auch... zum ps: dürfte wohl bezüglich Vorratsdatenspeicherung gehupft wie gesprungen sein, da ja alle daten betroffen wären... --Heimschützenverein 16:04, 9. Mai 2008 (CEST)

Steht hier irgendwo schon wie die Paßwortabfrage funktioniert? Das Paßwort ist ja nicht in Klartextform auf dem Rechner gespeichert, sondern in verschlüsselter nicht-umkehrbarer Form. Hieraus resultiert, daß vergessene Paßwörter nicht wiederhergestellt sondern nur neue vergeben werden können. --Skraemer 22:08, 28. Sep. 2008 (CEST)

das mit dem verschlüsseln kann man so machen (muss man aber nicht... z. b. wenn man das passwort im notfall eben doch gern wüsste und keine lust auf verfahren mit 2 passwörtern hat)... das fällt dann unter "Die Aufbewahrung des Kennwortes auf der Seite des Authentisierers sollte auch verschlüsselt erfolgen [...]" (Kennwort#Sicherheitsfaktoren, Hash-Funktion)... --Heimschützenverein 00:07, 29. Sep. 2008 (CEST)

Diese beiden Möglichkeiten müssen im Artikel deutlicher herausgestellt werden. Insbesondere bei der PIN von Geldkarten oder Logins auf Mehrbenutzer-Systemen ist dies wesentlich. Das Verschlüsseln von Paßwörtern darf gegenüber der sicheren Paßwortwahl (dies dominiert im Artikel bislang) keine untergeordnete Rolle spielen, sondern ist gleichrangig. --Skraemer 01:07, 29. Sep. 2008 (CEST)

nö, muss nich deutlicher... denn: wer passwörter verschlüsselt befürchtet, dass der Authentisierer überfallen wird... aber: wenn der Authentisierer überfallen wird, könnte der angreifer dabei auch einen "trojaner" installieren, was viel besser wäre und nicht viel mehr aufwand bedeutet (kopieren einer datei)... das verschlüsseln der passwörter auf der seite des Authentisierers ist also eine hilflose maßnahme, die man sich sparen kann (bei FreeBSD etwa können normale benutzer die benutzer-passwort-datei nicht einsehen...)... -Heimschützenverein 07:32, 29. Sep. 2008 (CEST)

Bietet es denn wirklich mehr Schutz ein Passwort durch ein zweites Passwort zu schützen? Die weiter oben in den Raum geworfene Entropie kann dadurch nur abnehmen, da dem Angreifer nun zwei Angriffspunkte zur Wahl stehen. Das Passwort-Passwort muss schließlich auch irgendwo gespeichert werden. Wie soll eine Authentisierung über den Hash-Code leichter sein (jetzt mal dahingestellt, ob man ihn der Kryptographie zuordnen sollte)? Im Gegensatz zur Kryptographie sind Hashcodes nicht eindeutig, Passwörter sollen aber GENAU und nicht nur in etwa stimmen! In Bezug auf Zertifikate spielen Hash-Codes zwar mit ein, sind aber kein Teil des Passworts. --(nicht signierter Beitrag von 141.26.93.148 (Diskussion) 08:40, 29. Okt. 2008 (UTC))

zur frage: gestellt und beantwortet... zitat: "nö"...

und der rest: ein Passwort-Passwort muss es ja nich geben, wenn man es nicht mag...

zum Hashcode: darf auch eindeutig sein und auch ohne eindeutigkeit braucht man ja nur die forderung, dass die abbildung hinreichend viele werte produziert (dann hat man eben 16 passwörter gleichzeitig, was ja bei billiarden von möglichkeiten egal ist... blöd wäre es, wenn die meisten passwörter auf denselben hashcode abgebildet wird...)... --Heimschützenverein 11:47, 31. Okt. 2008 (CET)

"Da die Sicherheit eines Kennwort-basierten Konzeptes allein von der Geheimhaltung des Kennwortes abhängt, können solche Konzepte zu schweren Verbrechen wie Erpressung führen, insbesondere wenn biometrische Merkmale eine Rolle spielen."

Die Aussage über Biometrie halte ich für falsch. Warum sollte ein System, bei dem ich meinen Fingerabdruck als Passwort verwenden kann, leichter für Erpressung anfällig sein? --Deomas 09:50, 29. Okt. 2008 (CET)

das "insbesondere" bezieht sich na klar auf die Schwere der durch das Verfahren produzierten Verbrechen... --Heimschützenverein 11:50, 31. Okt. 2008 (CET)

Ob man eine tatsächliche Risikoanalyse aufstellen kann, wonach Biometrie zu mehr "abgeschnittenen Fingern" und Erpressung führt? Der Vorteil von Passwort-Missbrauch ist ja, das man völlig legitimiert an einem System arbeiten kann ohne das es auffällt. Wenn man davon ausgeht, dass der Täter vor Ort ist, warum sollte er dann jemanden erpressen, wenn er einfach z.B. die Festplatte seines Opfers ausbauen und kopieren kann? In welchen Fällen sind die gewonnenen Informationen die Erpressung, die ja auch mit Risiken einhergeht, wert? Ausserdem: Wenn man jemanden schon erpresst, kann man ihn/sie ja gleich nach den gewünschten Informationen fragen. Zudem haben biometrische Systeme immer noch zahlreiche Probleme, so dass eine Erpressung i.d.R. nicht nötig ist. --92.74.199.123 10:08, 4. Mai 2010 (CEST)

"Speziell gegen Phishing im Internet empfiehlt es sich, das Kennwort als Hashwert aus einem Kennwort, welches sich der Benutzer aussucht, sowie der Domäne der Webseite zu bilden. Dies führt einerseits dazu, dass jede Webseite automatisch ein anderes Kennwort bekommt, selbst wenn der Benutzer immer das gleiche Kennwort eingeben sollte. Phishing kann auf diese Weise ausgeschlossen werden. Gegen Keylogger hilft dies jedoch nur bedingt."

Auch hier verringert sich die Entropie, da der Hashwert im Gegensatz zum Passwort nicht eindeutig ist. Schlimmer noch: ist dem Angreifer die Hash-Funktion bekannt (die ist i.A. ja nicht geheim) kann er über Kryptoanalyse Rückschlüsse auf das Passwort ziehen. Das einzig geheime bleibt das vom "Benutzer" gewählte Kennwort. --Deomas 09:56, 29. Okt. 2008 (CET)

das kryptographisch-sichere hash-verfahren lässt eben nicht zu, Rückschlüsse auf das Passwort zu ziehen... und dass der hash-code eben einer kleineren menge entstammt, als die passwörter, spielt wegen der billiarden von möglichkeiten keine rolle... --Heimschützenverein 11:56, 31. Okt. 2008 (CET)

"Die Übertragung des Kennwortes vom Benutzer zum System sollte sicher sein, z. B. durch Verwendung von verschlüsselten Kanälen zur Übertragung (siehe auch SSL). Dadurch wird es bei sicherer Implementierung und ausreichender Stärke der Verschlüsselung für den Angreifer nahezu unmöglich, das Kennwort in Erfahrung zu bringen, da die Rechenkapazität heutiger Rechner bei weitem nicht ausreicht, um SSL-Verschlüsselungen in angemessener Zeit zu knacken."

Schon wieder wird ein Kennwort durch ein anderes Kennwort gesichert. Warum wird denn dann nicht gleich der SSL-Schlüssel verwendet, gleich SSL verwendet oder ein Kennwort mit Diffie-Helmann ausgehandelt? Vielleicht sollte man den ganzen Artikel ab "Sicherheitsfaktoren" entfernen. --Deomas 10:00, 29. Okt. 2008 (CET)

die granularität von SSL ist recht hoch, da immer nur eine gruppe von benutzern vor man-in-the-middle-Attacken geschützt wird, weil son SSL Zertifikat so teuer/kompliziert zu bekommen ist... es müsste also jeder benutzer einen SSL schlüssel haben... hinzukommt, dass dann der benutzer einen HTTPS dienst oder ähnliches anbieten müsste (bei dem dann der, der die authentisierung verlangt, sich wiederum unauthentisiert bemühen müsste...), was wohl die meisten überfordert... SSL ist also mehr nur geeignet, um eine große Website zu authentisieren und deren Datenverkehr zu verschlüsseln/signieren... Unter "Sicherheitsfaktoren" steht ja auch schon soetwas als Hinweis: "Da der Einsatz eines Kennwortes bereits impliziert, dass die physikalische Sicherheit des beteiligten Gesamtsystems nicht gegeben ist und dass somit Man-in-the-middle-Angriffe möglich sind, ist der Einsatz von Kennwörtern fragwürdig. Signierte und verschlüsselte Botschaften zwischen einem mit Sicherheit persönlichen Terminal und dem vermeintlich gewünschten System sind daher vorzuziehen."... --Heimschützenverein 12:39, 29. Okt. 2008 (CET)

"Da der Einsatz eines Kennwortes bereits impliziert, dass die physikalische Sicherheit des beteiligten Gesamtsystems nicht gegeben ist ..., ist der Einsatz von Kennwörtern fragwürdig."

Impliziert der Einsatz eines Zahlencodes an einem Tresor, dass das Gesamtsystem nicht sicher ist?

"Signierte und verschlüsselte Botschaften zwischen einem mit Sicherheit persönlichen Terminal und dem vermeintlich gewünschten System sind daher vorzuziehen."

Was außer Kennworten gewährleistet, dass die verlinkten Personal Digital Assistants mit Sicherheit persönliche Terminals sind?

"Da die Sicherheit eines Kennwort-basierten Konzeptes allein von der Geheimhaltung des Kennwortes abhängt, können solche Konzepte zu schweren Verbrechen wie Erpressung führen, insbesondere wenn biometrische Merkmale eine Rolle spielen."

Warum können andere Konzepte nicht zu schweren Verbrechen wie Erpressung führen?

--85.179.244.135 12:22, 24. Apr. 2009 (CEST)

1. ja, kennwort/zahlencode implizieren, dass unbefugte physikalischen zugang zu dem computer/tresor haben können... nun ist es jedoch bei einem computer leichter möglich zu manipulieren: (z. b. festplatte ausbauen + mit viren/würmern verseuchen + wieder einbauen) (z. b. ne spezial tastatur einbauen, die die zeichen per funk übermittelt)... das geht bei nem tresor nicht so einfach... aber im prinzip isses das gleiche (z. b. ne scharfe web cam irgendwo verstecken...)...
2. dass der assistant persönlich ist, kann z. b. durch festbinden an dem nutzungsberechtigten sichergestellt werden (hilft besonders bei vergesslichkeit/senilität) (man sieht das manchmal bei firmenausweisen/schlüsseln, die am gürtel festgebunden sind mit soner rollo (Sonnenschutz)-artigen schnur)... gegen Diebstahl/Verlust schützt das alles na klar nich wirklich... aber passwörter selbst sind auch nich vor diebstahl sicher (im gegenteil...)...
3. weil die nicht auf den gedächtnisinhalt des nutzungsberechtigten angewiesen sind... es ist keine mensch-mensch interaktion nötig, sondern nur z. b. ne schere (obwohl mir die schere eigentlich auch schonwieder zu gefährlich ist) um das sicherungsseil zu durchtrennen...

--Heimschützenzentrum talk 14:56, 24. Apr. 2009 (CEST)

Danke für deine Antwort.

1. Warum das Kennwort fürs E-Mail-Konto beim Provider impliziert, dass Unbefugte den Computer umbauen können, versteh ich nicht.
2. Man kann PDAs an Menschen festbinden. Wird das auch praktiziert?
3. Seit wann wird niemand mehr erpresst, zusammengeschlagen oder umgebracht, um an sein Eigentum zu kommen?

Ich sehe das Risiko von Manipulationen an der Hardware, die Sinnhaltigkeit von persönlichen Terminals, Verschlüsselung und Signaturen sowie Risiken, die sich aus Kennworten ergeben können. Aber nicht, dass das Kennworte fragwürdig, ersetzbar oder vergleichsweise gefährlich macht. Und so kommt es rüber.

--85.179.254.202 18:52, 24. Apr. 2009 (CEST)

also ich melde mich bei meinem email-provider nur alle 2 wochen an und verstehe auch das nicht als sicherheitsmaßnahme... wie gesagt: bei senilen vllt... um eine sache wegzunehmen, sind weniger eingriffe gegen einen menschen nötig, als wenn man das gedächtnis eines menschen anzapfen will... so wie es rüberkommt isses auch gemeint... gut aufgemerkt! :-) --Heimschützenzentrum talk 20:11, 24. Apr. 2009 (CEST)

Bitte Belege, dass es keine Theoriefindungen, sondern in Fachkreisen etablierte Standpunkte sind.

--85.179.247.78 11:02, 26. Apr. 2009 (CEST)

da es sich um einfache schlussfolgerungen handelt, halte ich spezielle belege für unnötig... man überlege sich einfach, was jemand, der ein falsches passwort eingeben könnte, sonst noch anstellen könnte (festplatte ausbauen/vertauschen/verseuchen)... das war es dann... es gibt keinen grund dem benutzer einzureden, er sei schuld, wenn es zu sicherheitsverstößen kommt, oder gar den benutzer zu gefährden... --Heimschützenzentrum talk 11:10, 26. Apr. 2009 (CEST)

Die von dir angegebenen Quellen belegen nur ein Risiko durch Biometrie. Die zweite belegt sogar, dass zusätzliche Kennworte dieses Risiko vermeiden können.

--85.179.255.243 16:07, 24. Mai 2009 (CEST)

mag sein... aber zweifellos sind gerade moderne computer besonders leicht zu öffnen (screw-less case) und somit zu manipulieren... oder ist festplatten-verschlüsselung schon üblich? :-) *hüstl* --Heimschützenzentrum talk 16:25, 24. Mai 2009 (CEST)

Festplattenverschlüsselungen bauen meist ebenfalls auf ein Kennwort und sind auch dann angreifbar, wenn sie dies nicht tun. Bei physischem Zugang sogar leichter. Dafür, dass gerade moderne Computer (anders als alte Computer und andere Geräte) besonders leicht zu „öffnen“ und zu manipulieren sind und dass es daran liegt, dass Kennwörter verwendet werden, gibt es hoffentlich auch Belege.

--85.179.255.243 21:45, 24. Mai 2009 (CEST)

festplatten-verschlüsselung wie ich sie mir vorstellte, gibt es wohl noch gar nicht, weil derzeit kein BIOS soetwas unterstützt (man kann also stets die boot-prozedur mit schad-programmen "verhunzen"...)... diese spötteleien über die "screw-less case"-idee halte ich hier für unangebracht... es ist zweifelos wahr, dass solche gehäuse ohne werkzeug (also mit bloßen händen) zu öffnen sind, und dass es die gibt (ich habe seit 2003 sowas privat...)... genauso ist es wahr, dass sogar ungeschulte personen eine festplatte ausbauen und mit würmern und viren verseuchen können (ob mit oder ohne schraubenzieher)... ob es hierzu vernünftige arbeiten gibt, weiß ich nicht (wohl eher nicht...)... wenn man schon unbedingt quellen fordert, dann sollte man doch gleich in der einleitung anfangen: wieso dient ein passwort primär der authentifizierung? warum nicht überwiegend der verhöhnung und schikanierung des nutzers? quelle? --Heimschützenzentrum talk 23:57, 24. Mai 2009 (CEST)

Die Aussage Die Bezeichnung Wort wird hier nicht für den sprachwissenschaftlichen Begriff Wort verwendet, sondern für den informationstechnischen Begriff (siehe Wort (Theoretische Informatik). bedarf keiner Quellenangabe, denn sie besagt nur das, was später im Artikel ausgeführt wird, beispielsweise im Abschnitt PIN. -- Brudersohn 22:29, 24. Jun. 2009 (CEST)

Aber das Kennwort war ja im ursprünglichen Sinne keine Informationstechnische Bedeutung. Siehe Geschichte. Daher müsste das m.E. schon mit Quellen nachgewiesen werden.

-- Suhadi Sadono^DÜP 22:55, 24. Jun. 2009 (CEST)

der unterschied zwischen beiden begriffen ist im artikel zu unwichtig... irgendwie ist ja das sprachwissenschaftliche wort auch ne art informationstechnisches wort und umgekehrt (dem passwort als neologismus könnte man ja eine gewisse bedeutung zusprechen (z. b. "ich, frau/herr XY, bin es wirklich"))... hinzukommt, dass es historisch gesehen, sich bei passworten tatsächlich um wörter aus einer natürlichen sprache handelte... --Heimschützenzentrum (?) 23:50, 24. Jun. 2009 (CEST)

Tja, so ist es: Wenn man die Begriffe nicht genau definiert und eindeutig bezeichnet, ist alles etwas ungenau, aber es reicht für die alltägliche Kommunikation. Allerdings sollte man in einer Enzyklopädie für Klarheit und Eindeutigkeit sorgen und weiche Schwammigkeit vermeiden. Aber nicht jeder mag das. -- Brudersohn 22:29, 26. Jun. 2009 (CEST)

die darstellung, das passwort habe keine semantik sondern sei eine bloße aneinanderreihung von symbolen, ist nicht zutreffend... die änderung führt also nicht zu besserer exaktheit/Klarheit/Eindeutigkeit... im übrigen kann man nicht einzelne buchstaben ("w-o-r-t") eines begriffes ("kennwort") herauslösen und denen dann eine spezielle bedeutung zuweisen... man muss den begriff als ganzes in seiner speziellen bedeutung verstehen/definieren, was in der einleitung recht gut gelingt... --Heimschützenzentrum (?) 10:05, 30. Jun. 2009 (CEST)

Bin nur zufällig über die VM hierher gekommen: Der von Itu gelöschte Abschnitt war tatsächlich grober Unfug. Auch auf einem physikalisch abgeschotteten System ohne jegliche Netzwerkanbindung System kann ich z.B. zur Authentifizierung verschiedener User ein Kennwortsystem verwenden, eine Man-in-the-middle-Attacke ist hier natürlich nicht möglich. Die Spekulationen bzgl. möglicher oder tatsächlicher Verbrechen sind natürlich denkmöglich, haben aber nur rudimentärst mit dem Lemma zu tun und haben hier wirklich nichts verloren. --Peter Putzer 21:52, 31. Aug. 2009 (CEST)

Empfand ich ebenso. Die Gefahren und die Grenzen der Sicherheit müssen differenzierter dargestellt werden. Aber nicht unbedingt in diesem Artikel. --Suricata 22:01, 31. Aug. 2009 (CEST)

der hinweis auf Man-in-the-middle-Attacken trägt doch gerade zur differenzierung bei... oder was sollte das jetzt heißen? und wo sollte man die "Grenzen der Sicherheit" eines kennwort-basierten konzeptes "darstellen", wenn nicht im artikel, wo der arme kennwort-user sich über das konzept hinter den kennworten informieren will... --Heimschützenzentrum (?) 22:06, 31. Aug. 2009 (CEST)

ehm? wenn die "Authentifizierung verschiedener User" über kennworte erfolgen soll, unterstellt dies, dass zumindest einer der "verschiedene[n] user" unehrlich ist (also z b Man-in-the-middle-Attacken verüben könnte)... bitte zuende denken... wenn also wirklich das selbe objekt von "verschiedene[n] user"n nachvollziehbar verwendet werden soll, reicht es also, ein einfaches token (wie bei herr der Fliegen) zu verwenden, während man sich mit den unehrlichen anders auseinander setzt... dazu gibt es weiter oben übrigens auch noch einen abschnitt, glaub ich... --Heimschützenzentrum (?) 22:01, 31. Aug. 2009 (CEST)

Ich glaube Du hast das Wesen einer man-in-the-middle attack falsch verstanden. Die Lord-of-the-Flies-Metapher find ich zwar etwas deplaciert, aber von mir aus: Bei der Benutzerauthentifizierung handelt es sich nicht um einen Ressourcenkonflikt (der ein mittels Token zu lösendes Problem wäre).

--Peter Putzer 22:11, 31. Aug. 2009 (CEST)

ich meinte token mehr in dem sinn, dass nur die, die über ein spezielles dingsbums verfügen, zugang erhalten können, wobei allein der besitz ausreicht (also das vorzeigen/hochhalten)... --Heimschützenzentrum (?) 22:22, 31. Aug. 2009 (CEST)

Na das kann dann natürlich zu schweren Verbrechen wie Raub führen - sollte man wohl besser auch nicht implementieren ;-)

--Peter Putzer 22:43, 31. Aug. 2009 (CEST)

hm? steht oben schon: die unerlaubte wegnahme von sachen ist weniger gefährlich als das erpressen des kennwortes... noch ein detail: das bankpersonal ist gehalten, auf erpressungen einzugehen... --Heimschützenzentrum (?) 22:50, 31. Aug. 2009 (CEST)

Hier der bemängelte Absatz: Da der Einsatz eines Kennwortes bereits impliziert, dass die physikalische Sicherheit des beteiligten Gesamtsystems nicht gegeben ist und dass somit Man-in-the-middle-Angriffe möglich sind, ist der Einsatz von Kennwörtern fragwürdig.[2][3][4] Signierte und verschlüsselte Botschaften zwischen einem mit Sicherheit persönlichen Terminal und dem vermeintlich gewünschten System sind daher vorzuziehen. Da die Sicherheit eines Kennwort-basierten Konzeptes allein von der Geheimhaltung des Kennwortes abhängt, können solche Konzepte zu schweren Verbrechen wie Erpressung führen, insbesondere wenn biometrische Merkmale eine Rolle spielen.[5][6]

Der Absatz ist absolut unverständlich. Warum benötigt man auf physikalisch sicheren Systemen keine Kennwörter? --Suricata 22:14, 31. Aug. 2009 (CEST)

wenn etwas "physikalisch sicher" ist, bedeutet das gemeinhin, das nur trustees/vertrauenswürdige zugang erhalten, so dass kein passwort mehr nötig ist... ist da noch was "absolut unverständlich"? --Heimschützenzentrum (?) 22:22, 31. Aug. 2009 (CEST)

Von welcher Ebene sprichst Du? Beim Bankautomat wird ein Kennwort (PIN) verwendet, auch wenn der physikalisch sicher ist. --Suricata 22:39, 31. Aug. 2009 (CEST)

der ist NICHT physikalisch sicher... steht doch in den quellen... ich könnte nicht sagen, ob son automat echt ist oder nicht... --Heimschützenzentrum (?) 22:50, 31. Aug. 2009 (CEST)

für mich ist jetzt EOD, da hier keiner so diskutiert, wie ich es gern hätte... byebye! :-> --Heimschützenzentrum (?) 22:50, 31. Aug. 2009 (CEST)

Das scheint mir das Problem zu sein: Daß die Welt nicht so ist, wie Du sie Dir hier zurechtzimmerst. Physische (bzw., auch wenn ich's selbst oben verwendet hab, IMHO falsch übersetzt "physikalische") Sicherheit des Systems heißt erst einmal, daß man nicht einfach hingehen und z.B. die Festplatte ausbauen oder von einer Floppy booten kann. Im wesentlichen: Daß man nur über die dafür vorgesehen IO-Schnittstellen mit dem System kommunizieren kann.

Wie weit Erpressung zu schwereren Folgen für eine Person führen kann, als Raub ... hat eigentlich nichts mit dem Lemma zu tun und sollte nur darlegen, wie absurd dieses Argument eigentlich ist. Solche Überlegungen haben nichts in diesem Artikel verloren.

--Peter Putzer 23:05, 31. Aug. 2009 (CEST) 

WP:KPA... ich habe "physikalische Sicherheit" immer als "ein haufen muskulöser knuffel, die mich erstmal gründlich untersuchen, bevor sie mich reinlassen" verstanden/gemeint... und nur so macht es ja sinn, da man bekanntlich jeden computer nachäffen kann (z b: wer merkt schon, ob der bankautomat 3 cm weiter vorne steht als beim letzten mal? besonders wenn es das erste mal ist...)... dass man sich erpressbar macht, und dass direkte interaktion dabei notwendig ist, ist ganz klar ein sicherheitsfaktor... ich vermisse übrigens noch die quelle, die belegt, dass das Kennwort "zur Authentifizierung und eindeutigen Identifizierung [dient]"... :-) --Heimschützenzentrum (?) 00:01, 1. Sep. 2009 (CEST)

Wo siehst Du in meinem Eintrag einen PA? Im übrigen darf ich Dich als geneigten Leser an Authentifizierung weiterreichen, langsam wird mir das Erklären einfachster Tatsachen und Begriffe der IT echt zu fad. Schönen Abend noch!

--Peter Putzer 00:09, 1. Sep. 2009 (CEST)

deine PAe? z b: "Daß die Welt nicht so ist, wie Du sie Dir hier zurechtzimmerst." & "das Erklären einfachster Tatsachen"... dazu: von dir nehm ich sicher keine erklärungen an, da du zunächst wohl kaum eine lehrberechtigung hast, und da du zumindest so tust, als mangele es dir an fachwissen... im übrigen wurde in "Authentifizierung" auch der MITMA nicht angesprochen, bis ich es tat (stattdessen wurden bzgl MITMA untaugliche schutzverfahren angesprochen)... es scheint wohl eher so zu sein, dass ein bundesbeamter hier seine politisch-korrekten sichtweisen einbringen will (als die ersten detsche-bundespost-BTX-kunden meinten, sie seien zu unrecht belastet worden, wollten die staatsdiener auch lieber behaupten, dass BTX sicher ist, bis der CCC etliche passwortlisten durch bestimmte tricks unbefugt abrufen konnten... bei wegfahrsperren wieder das gleiche lied... *gähn*)... das werd ich alles bei der nächsten psychiatrischen begutachtung als krankmachende einflüsse durch das publikum anbringen... "danke"... und tschüß... :-) --Heimschützenzentrum (?) 00:56, 1. Sep. 2009 (CEST)

Whatever.

--Peter Putzer 01:03, 1. Sep. 2009 (CEST) 

LoL. --Arcy 09:47, 4. Sep. 2009 (CEST)

Nach Meinung verschiedener Sicherheitsexperten ([Bruce Schneier beispielsweise) ist es heutzutage besser, wenn Benutzer komplexe, allerdings schwierig zu merkende Passwörter aufschreiben und in der Geldbörse mit sich herumtragen, als wenn sie einfache, leicht zu erratende Passwörter benutzen, die zudem noch für jede Webseite gleich ist.

Das liegt daran, dass eine konventionelle Wörterbuchattacke es erlaubt, hunderttausende von möglichen Passwörten pro Sekunde durchzuprobieren, und so auch relativ lange Schlüssel geknackt werden können. Passwörter mit einer Länge von z.B. acht Zeichen reichen heutzutage für Funktionen, mit denen auch materieller Schaden entstehen kann (Online-Aktionen, Onlineshops, Banking, Geschäftskontakte, Zusenden verlorener Amazon-Passwörter an die EMail-Adresse, etc), nicht mehr aus. Längere Passwörter kann man sich nicht gut merken.

Das aufschreiben von Passwörtern war früher verpönt, das kommt aber auch daher, dass Rechnerzugänge ursprünglich oft im militärischen Bereich entstanden, wo es inakzeptabel gewesen wäre, wenn jemand ein Passwort aufgeschrieben mit sich herumtrüge. Das Bedrohungsszenario für den durchschnittlischen Internetnutzer ist heute jedoch ein völlig anderes: Es gibt Strukturen der organisierten Kriminalität, die gezielt z.B. durch Phishing Daten z.B. für Online-Banking erschleichen und Transaktionen zu ihren Gunsten veranlassen. Dies geschieht mit Hilfe von Keyloggern und Software, die dem Nutzer während einer Internetverbindung vortäuscht, mit seiner Bank verbunden zu sein. Dass viele Nutzer heute eine Vielzahl von Konten haben, vergrößert das Problem, weil jedes Sicherheitssystem nur so stark ist wie seine schwächste Stelle und Passwörter oft mehrfach benutzt werden. Die Sicherheit von Passwörtern für Webdienste reduziert sich damit darauf auf die des am schwächsten abgesicherten Webdienstes.

(Allgemeinverständlich formuliert: Es nutzt nichts wenn meine Familie über meine finanziellen Probleme schweigt wie ein Grab, wenn meine Nachbarin eine Klatschtante ist....) Um diese kriminellen Gewinne zu erzielen, werden zehntausende von Nutzern gleichzeitig angegriffen. Dass ein Überfall auf jemanden verübt wird, um an ein Password in einer Geldbörse zu kommen, dürfte die absolute Ausnahme sein.

Deswegen ist es heute für durchschnittliche Benutzer mit vielen Benutzerkonten zeitgemäß, sich lange, starke Passwörter zu überlegen (mit 12 Zeichen Länge oder mehr) und diese aufzuschreiben und bei sich in der Geldbörse zu tragen. Will man, dass das aufgeschriebene Password allein nicht nutzbar ist, kann man z.B. eine 12 Ziffern lange Zahl verwenden, die man sich merkt, und erzeugt ein Password für eine bestimmte Webseite, indem man eine weitere 12 Ziffern lange Zahl dazu addiert, die man sich aufschreibt. Der Zeichenvorrat lässt sich z.B. durch Benutzung des Hexadezimalsystems vergrössern. Die genauen Details sind egal, aber man kann ebenso eine praktikable Mischlösung aus geheimen (gemerkten) und niedergeschriebenem Code verwenden.

Quelle: http://en.wikipedia.org/wiki/Password_strength#Handling_passwords http://en.wikipedia.org/wiki/Password_strength#Protecting_passwords

--82.113.106.91 23:24, 9. Okt. 2009 (CEST)

Nachtrag: Ein alphanumerisches Passwort aus ASCII Zeichen kann theoretisch 8 Bit Schlüssellänge pro Zeichen haben. In der Praxis werden aber eher Schlüssellängen von ca. 5 bis 6 Bit pro Zeichen erreicht, da viele zeichen nicht auf der Tastatur sind und extravagante Zeichen auf fremden tastaturen leicht zu Problemen führen. Somit hat ein gewöhnliches 8 Zeichen langes Password eine efffektive Schlüssellänge von ca. 40 Bit. Demgegen über konnten nichtstaatliche Organisationen schon vor Jahren mit einem gewissen Aufwand Passwörter mit 56 Bit Länge mit einer Brute Force Atacke knacken. Um ein einen sicheren Bereich von etwa 70 bit zu kommen muss man Passwörter aus 15 zufälligen Zeichen bilden. In dem Maße, in dem Online-Computernutzer zunehmend Aktivitäten der organisierten Kriminalität ausgesetzt werden, ist damit zu rechnen, dass sich Angreifer auch Zugang zu serverseitig verschlüsselten Passwörtern verschaffen und unternehmen, diese mit Brute-Force Methoden zu brechen. Für einen hohen Prozentsatz von üblicherweise verwendeten Passwörtern ist dies ohne weiteres möglich. --82.113.106.99 12:10, 10. Okt. 2009 (CEST)

hm - verstehe ich nicht, wie man millionen von erfolglosen versuchen bei einem online-banking oder webmail provider hinbekommen soll... es ist wohl eher so, dass die mitarbeiter des providers absichtlich oder versehentlich oder der eigene computer was falsch macht, bis man denkt man hätte voll ne faust reingekriegt... --Heimschützenzentrum (?) 16:01, 10. Okt. 2009 (CEST)

Hallo, ich habe den Artikel nach Passwort verschoben, da Kennwort weniger geläufig und veraltet ist. "Kennwort" hat HK 16, "Passwort" HK 14. [1] MfG, --R.Schuster 15:53, 18. Jan. 2010 (CET)

• Hallo R.Schuster, grundsätzlich habe ich nichts gegen die von dir durchgeführte Verschiebung von "Kennwort" nach "Passwort". Allerdings kann ich deine Begründung, der Begriff "Passwort" sei geläufiger als "Kennwort" nicht nachvollziehen. Habe den von dir angegebenen Link einmal mit "Passwort" und einmal mit "Kennwort" benutzt. Bei "Passwort" werden 105 Vorkomnisse angegeben und bei "Kennwort" hingegen sogar 477. Demnach ist "Kennwort" mehr als vier Mal so häufig wie "Passwort" und konsequenterweise sollte das Lemma dann besser "Kennwort" heißen. Was sagst du dazu? --OS 13:31, 16. Feb. 2010 (CET)

War kurz davor Passwort nach Kennwort zu verschieben, bevor ich das hier sah. "Passwort" findet man häufiger, aber deswegen ist "Kennwort" nicht veraltet. Im Gegenteil - wenn man den Graph auf genannter Seite betrachtet, dann erkennt man das "Kennwort" sehr viel geläufiger ist (zumindest in der IT-Welt). Microsoft setzt z.B. ausschließlich auf "Kennwort". Auf jeden Fall sollte der Artikel in seiner Wortwahl eindeutiger gestaltet werden - "Kennwort" und "Passwort" werden ganz kunterbunt gemischt.

-- Florian Sening 18:17, 25. Mär. 2010 (CET)

Hallo! Sorry OS für die späte Antwort, habe den Beitrag irgendwie übersehen. Ich habe soeben nocheinmal im Wortschatzlexikon nachgesehen, da hat sich seit Januar nichts verändert. "Kennwort" erreicht mit 77 Referenzen HK 16[2], "Passwort" mit 286 Referenzen HK 14[3]. Entsprechende google-Suchen (Einschränkung auf "Deutsch" -wikipedia) bestätigen dieses Bild [4][5].

@Florian Sening: Gerade in der IT-Welt ist Passwort geläufiger. Die Nennungen im Artikel habe ich nun vereinheitlicht. MfG, --R.Schuster 19:20, 25. Mär. 2010 (CET)

@OS: Man muss bei der Uni Leipzig unterscheiden zwischen Wörterbuch (auf das du verlinkst) und Wortschatz (auf den sich R.Schuster bezieht). Maßgeblich ist die Häufigkeit, deren Maßzahl, die Häufigkeitsklasse (HK), sich im Wortschatz findet. Je niedriger die HK, desto häufiger das Wort. Deshalb ist die Verschiebung berechtigt. Da es aber eine Weiterleitung gibt, findet der Benutzer die Information so oder so. Gruß, --w-alter ∇ 15:33, 18. Apr. 2010 (CEST)

• Danke für die Info und Gruß von --OS 08:58, 19. Apr. 2010 (CEST)

Hallo, wir betreiben das Informationsportal "Verbraucher sicher online" (durch das BMELV gefördertes Projekt der Technischen Universität Berlin). Ich habe einen Link zu unserer Themenseite "Passwörter" eingefügt. Für Kritik, Anmerkungen etc. immer dankbar. --Kei Ishii 12:09, 4. Okt. 2010 (CEST)

Was steht auf der Seite, was im Artikel nicht auch steht. Ich sehe keinen Mehrwert. ..Darah Dan Doa^.suhadi 12:35, 4. Okt. 2010 (CEST)

Berechtigtes Argument. Der Mehrwert (IMHO) liegt eher in der Auswahl/Präsentation. Während hier ein enzyklopätischer Zugang gewählt wird, erstellen wir die Texte in der Weise, dass auch Menschen ohne einen großen Technikhintergrund in kurzer Zeit die wesentlichen Punkte erfahren können. In dem Sinne ein alternativer Zugang zu diesem umfassenden Wikipedia-Artikel. --Kei Ishii 12:48, 4. Okt. 2010 (CEST) 

Dann wäre es sinnvoller den Artikel verständlicher zu schreiben als einen Weblink anzufügen. ..Darah Dan Doa^.suhadi 14:29, 4. Okt. 2010 (CEST)

Das bedeutete, dass es für einen Inhalt nur genau eine Repräsentationsform gibt (also den Wikipedia-Artikel)? Dies würde ich so nicht sehen. Wir haben in unserem Themenbereich einen Artikel, eine Checkliste und Bildfolgen (Passwort ändern in WinXP, Mac, Ubuntu) für verschiedene Aspekte von Passwörtern. Das alles in den Wikipedia-Artikel einzuarbeiten ist meines Erachtens nicht sinnvoll. --Kei Ishii 15:08, 4. Okt. 2010 (CEST) 

Wieso nicht? ..Darah Dan Doa^.suhadi 15:12, 4. Okt. 2010 (CEST)

Wieso? Es ist bei uns abrufbar, wir pflegen diesen Bestand. Doppelhaltung nicht sinnvoll, wenn es ein Link auch tut. --Kei Ishii 15:33, 4. Okt. 2010 (CEST) 

hm - ich find, der neue weblink ist noch blauäugiger als der artikel: da nicht sichergestellt ist, dass der computer, an dem das passwort eingegeben wird, _und_ das netzwerk resp. die verschlüsselung sicher sind, gilt im allgemeinen nicht, dass passwörter „[verhindern] unberechtigte Zugriffe“ verhindern... aber wegen der staatlichen förderung darf das da wohl nicht stehen... immer schön den ball oder am besten möglichst viele „verschiedene“ bälle flachhalten (aber gaaaanz flach, sonst merkt es noch einer)... :-) --Heimschützenzentrum (?) 15:54, 4. Okt. 2010 (CEST)

Hmm, wir sind aufgeschlossen für jede sachliche Kritik an unseren Inhalten. Dem hier ausgedrückte Einwand, dass Passwörter nur eines der Mittel gegen unberechtigte Zugriffe darstellt, kann ich folgen, und habe den Passus in unserem Anrißtext abgeändert. Danke dafür. Zu den darüber hinaus geäußerten Vorwürfen kann ich leider keine sachlich weiterführende Antwort geben. --Kei Ishii 16:24, 4. Okt. 2010 (CEST)

ist schon ok... für mich isses eben n irreführendes mittel, das den bürger in trügerischer sicherheit wiegen soll (s. o.)... z B stelle ich mir das geldabheben am automaten passwort-los wie folgt vor: ich geh mit meinem Perso in die nähe des geldautomaten und tippe auf der tastatur des persos *kicher* "gib mir 100€" ein... daraufhin meldet sich der perso bei dem automaten, der widerum die signatur erkennt, dann gibt mir der automat 100€ und die übergabe wird gefilmt... wenn mir einer den perso klaut, isses so, als ob mir einer die EC Karte wegnimmt und zusätzlich noch die herausgabe der PIN erpresst (das ist dann ja auch nur ne kleinigkeit)... im internet isses genauso: da hab ich eben einen vertrauenswürdigen rechner (z B n handy), der sich in meinem namen irgendwo als mein "unterhändler" vorstellt (meinetwegen mit hilfe meines persos oder mit hilfe eines einmalig auf sicherem wege (post *kicher*) übermittelten geheimnisses, das die verbindung zwischen mir und meinem computer nachweist...) und dann meine bankanweisungen rechtswirksam übermittelt... kiosk-PCs und herkömmliche geldautomaten und sowas wären dann eben nicht geeignet für wichtige sachen... bargeld find ich übrigens auch blöd wegen der mangelhaften revertierbarkeit von bargeld transaktionen... --Heimschützenzentrum (?) 17:22, 4. Okt. 2010 (CEST)

Es ist sicher zweckmäßiger ein Bild eines Login mit deutschen Bezeichnern für username und password zu verwenden. (nicht signierter Beitrag von 87.185.83.253 (Diskussion) 23:40, 28. Feb. 2011 (CET))

kannst ja gern eins machen und einbauen... --Heimschützenzentrum (?) 08:31, 1. Mär. 2011 (CET)

Done. //⚖^.suhadi 13:45, 1. Mär. 2011 (CET)

jupdidi... :-) --Heimschützenzentrum (?) 23:27, 1. Mär. 2011 (CET)

Hier wird nur die Bedeutung von Codewort als eine andere Bezeichnung von Passwort benutzt. Allerdings gibt es auch eine andere Bedeutung von Codewort in der Kodierungstheorie. Wenn ein Datenwort durch ein Kodeverfahren verändert wird entsteht nämlich ein Codewort daraus, das dann wieder dekodiert werden muss um das ursprüngliche Datenwort wieder zu erhalten:

Kodierung(Datenwort) = Codewort

Es muss also sowas wie eine Begriffserklärungsseite oder einen Link von Passwort zur alternativen Bedeutung von Codewort geben und eventuell ein neuer Artikel für den Begriff erstellt werden. Eigentlich müsste es dann aber von dem Codewort-Artikel einen Link zu Passwort geben, da ich denke, dass die kodierungstheoretische Bedeutung von Codewort die eigentliche Bedeutung ist. --212.37.49.101 10:40, 6. Mai 2011 (CEST)

ich hab es mal geändert: Codewort... --Heimschützenzentrum (?) 11:03, 6. Mai 2011 (CEST)

die weblinks sollten nur vom feinsten sein (vgl. WP:WEB) und nicht zur eingabe von realen passwörtern oder benutzung bestimmter passwörter auffordern... --Heimschützenzentrum (?) 02:21, 6. Aug. 2009 (CEST)

warum werden seiten wie http://www.passwordmeter.com/ nicht gelöscht aber http://www.pwsecurity.de/ schon? (nicht signierter Beitrag von Locke2010 (Diskussion | Beiträge) 17:39, 27. Mai 2011 (CEST))

weil ichs übersehn hab... z B... --Heimschützenzentrum (?) 20:06, 27. Mai 2011 (CEST)

finde es zwar schade das solche Seiten raus genommen werden aber wenn das die regeln sind ist das natürlich ok! (nicht signierter Beitrag von Locke2010 (Diskussion | Beiträge) 10:57, 28. Mai 2011 (CEST))

also ob das den regeln entspricht weiß ich na klar nich sicher, aber passwörter sind nun mal geheim und soviele weblinks sollen wir eh nich... WP:WEB... --Heimschützenzentrum (?) 15:56, 28. Mai 2011 (CEST)

Hallo B-greift, danke für dein Interesse am Thema und die Mitarbeit am Artikel! Aus meiner Sicht ist es formal unschön, dass der neu erzeugte (relativ kurze) Abschnitt in drei (noch viel kürzere) Unterabschnitte gegliedert ist. Das wirkt unruhig und macht auch das Inhaltsverzeichnis des Artikels unnötig fein. Auch stört die Wahl von englischsprachigen Unterkapitelüberschriften. Schlage deshalb vor, dass du „dein“ Kapitel Verfahren entsprechend umgestaltest und die Zwischenüberschriften entfallen lässt. Gruß von --OS 06:42, 28. Jun. 2011 (CEST)

Wollte etwas an der Strukturierung arbeiten. Ja, vielleicht kann man auf die Zwischenüberschriften verzichten. Formal unschön finde ich aber besonders die Abschnitte "Sicherheitsfaktoren" und "Ungünstige Passworte" mit den geschachtelten Listen. --B-greift 12:31, 28. Jun. 2011 (CEST)

Ja, da gebe ich dir recht! Wenn du mit deinem Kapitel fertig bist, kann man auch diese Abschnitte verbessern. Gruß von --OS 07:27, 29. Jun. 2011 (CEST)

Der erste Einzelnachweis führt auf eine Website, die seit gestern von Google blockiert wird, weil sie Malware installieren wollte. Auch wenn das nicht von ihrem Eigentümer veranlasst ist, wirft es doch erhebliche Zweifel an der Kompetenz in Sicherheitsfragen auf.

Der Angriff ist ein gutes Beispiel, dass jedwede vermeintliche Hilfestellung zu Passwörtern ein lohnender Ansatz für Social Engineering ist, was natürlich auch für kostenlose Software und insbesondere für proprietäre Software gilt.

Dieser Artikel berührt legitimes Sicherheitsbedürfnis der Leser und muss lückenlos mit Belegen höchster Reputation gestützt werden.

--84.157.207.253 10:12, 6. Okt. 2012 (CEST)

der defekte weblink wurde 1h zuvor von der IP aus dem artikel entfernt. --Sophia 16:56, 27. Dez. 2012 (CET)

Die Linkweiterleitung (und auch der Verweis) "Passphrase" ist falsch - da es sich nicht um eine Kennung zur Identifikation sondern um einen Key zur Verschlüsselung eines Inhalt (z.B. zum Verschlüsseln eines privaten Schlüssels handelt)! --Ulfb (Diskussion) 21:28, 29. Jan. 2013 (CET)

Ich sehe das anders. Ein "Paßwort" ist ein "Wort", während "Passphrase" einen entsprechenden Satz bezeichnet. Beide dienen als Zugangskennung für was auch immer, zum Beispiel das, was du als "Key" bezeichnest. Das Wort oder der Satz berechtigen dich, den Schlüssel zu benutzen, der dann auf die Daten los gelassen wird. Ob das dann zu einem Login auf einer Website führt oder beispielsweise mit PGP irgend was verschlüsselt, ist dem Wort bzw. dem Satz erst mal egal.

Ob dies dann z.B. als Bitfolge in eine tatsächliche Verschlüsselung irgend welcher folgenden Daten einfließt oder nur "Hallo!" bedeutet, tut nicht wirklich was dazu... --Jabo (Diskussion) 17:53, 24. Feb. 2013 (CET)

Ganz unrecht hast Du nicht => die direkte Übersetzung deutet auf einen längeren Satz hin. Aber der Hintergrund ist wirklich, dass ein Passwort abgesehen von der Dauer bis zu einer Brute Force Entschlüsselung, um eine eindeutige Zuordnung einer Berechtigung (Vergleich eines Hashes) dient. Ein Passwort sollte mindestens 8 besser 10 bis 12 Zeichen lang sein. Eine Passphrase dient aber fast immer zur Entschlüsselung eines Key's - und muss deshalb mindesten 20 Zeichen enthalten. Für beide gilt dann wieder, dass Sie groß und Kleinschrift sowie Sonderzeichen enthalten müssen um eine Wörterbuchattacke standhalten zu können. --Ulfb (Diskussion) 22:19, 24. Feb. 2013 (CET)

Der Unterschied ist ziemlich konstruiert, letztendlich dient beides der Zugangsberechtigung. Und zum letzten Satz verweise ich (mal wieder) auf xkcd: Sonderzeichen und komplizierte Schreibweise sind weitaus ineffektiver als ein netter gut merk- und eingebbarer Satz. --Sepp (Diskussion) 10:15, 25. Feb. 2013 (CET)

Zum einen ist der Unterschied nicht konstruiert. Beim einen handelt es sich um eine Zugangsberechtigung, beim anderen um eine Entschlüsselung. Zum anderen ist dein Link keine Wissenschaftliche Quelle. Dieses ist zwar auch keine Wissenschaftliche Ausarbeitung, ich würde dem BSI aber dennoch mehr Vertrauen schenken als irgend einer X-Beliebigen Internetquelle. Entscheidend ist, dass heute Wörterbuchattacken sehr schnell laufen können (z.B. auf einer guten Grafikkarte). Damit ist dann ein Satz in wenigen Stunden geknackt => wenn es eine Passphrase ist sind die Verschlüsselten Daten dann zugreifbar. Bei einem Passwort besteht lediglich Zugang zu einem (ansonsten ungeschützten) System. --Ulfb (Diskussion) 22:06, 25. Feb. 2013 (CET)

Ich sehe es leider immer noch anders. Für eine Verschlüsselungssoftware wie nur zum Beispiel PGP ist es völlig wurscht, ob der Zugang zum Key aus einem oder mehreren Wörtern besteht. Das Paßwort an sich verschlüsselt erst mal überhaupt nichts, obwohl man es im Prinzip als Bitfolge in den Algorithmus zur Erstellung eines Keys einbinden kann. Das ist dann aber eine Eigenschaft der Software, die die Authentifizierung an nimmt, aber nicht eine Eigenschaft des Wortes oder Satzes. Insofern ist und bleibt eine "passphrase" nichts weiter als eine Zeichenkette, die man eingibt, *bevor* irgend eine wie auch immer geartete Software was dann auch immer damit tut. --Jabo (Diskussion) 03:06, 26. Feb. 2013 (CET)

Ich führe mal die Diskussion hinsichtlich Sonderzeichen oben weiter. Hinsichtlich der (Nicht-)Unterscheidung zwischen Passphrase und Passwort bin ich ganz bei Jabo. --Sepp (Diskussion) 09:04, 26. Feb. 2013 (CET)

OK - Überredet. Wir lassen es wie es ist. --Ulfb (Diskussion) 23:25, 26. Feb. 2013 (CET)

Man nimmt einen beliebigen Satz und denkt sich dazu einen einfachen Ersetzungsschlüssel aus. zum Beispiel Dies ist ein Kommentar auf der Diskussionsseite der deutschsprachigen Wikipedia zum Thema "Kennwort"., und als Schlüssel e/E=3, t/T=7, a/A=4. Um daraus nun ein relativ sicheres, aber dennoch einfach zu merkendes Kennwort zu erstellen, entfernt man bis auf den ersten und den letzten Buchstaben der Wörter, sowie Sonderzeichen alle Zeichen aus dem Satz

DsitenKrafdrDedrdnWazmTa"Kt".

und wendet auf das, was übrig bleibt, den Ersetzungsschlüssel an.

Dsi73nKr4fdrD3drdnW4zm74"K7".

Somit hat man mit einfachen Mitteln ein relativ "schwieriges" Kennwort mit gor/kleinschreibung und Sonderzeichen erstellt, das man sich selbst aber dennoch recht einfach merken, bzw. herleiten kann. Man muss sich nur einen Satz merken (und das geht einfacher, als eine wilde Zeichenkette, zur not kann man den Satz auch ganz unverfänglich und unauffällig notieren.), sowie den Ersetzungsschlüssel im kopf haben (in diesem Fall einfachstes Leet).

Vielleicht könnte man das irgendwie in den Artikel einfließen lassen? :)

--^icewind^ 16:53, 21. Mär. 2007 (CET)

Übliche Ersetzungen bringen annähernd keinen Mehrwert hinsichtlich der Passwortsicherheit. --Sepp (Diskussion) 10:05, 11. Mär. 2013 (CET)

[6] kennt jmd sowas auch auf deutsch? -- Cherubino 18:45, 28. Mai 2007 (CEST)

Sowas will ich nicht auf deutsch kennen.

ab ins Archiv --Sepp (Diskussion) 11:58, 12. Mär. 2013 (CET)

Schlechter Artikel. Ich nenne den Grund: Die bisherigen Vorschläge ein Passwort zu generieren bzw. sich zu merken.

Es gibt bisher nur eine wirklich sinnvolle Methode die alle Vorteile in sich vereint und keine Nachteile hat. Diese nennt sich Kennwortsatz oder Passwortsatz.

1. Man suche sich einen beliebigen (möglichst langen) Satz aus einem beliebigen Buch oder Zeitschrift (Kann auch eine Ikea Bedienungsanleitung sein oder Goethes Faust oder ein Mathe-Schulbuch oder eine eingravierte Schrift auf einem Denkmal oder eine Doktorarbeit oder ähnliches).

2. Selbstgewählter Satz aus Buch: "Faust ging 1862 entlang einer großen Mauer und sah über sich einen Vogel"

3. Passwort aus allen ersten Buchstaben: "Fg1eegMusüseV"

4. Passwort aus allen zweiten Buchstaben: "ai8niranabiio" usw. usw.

5. Da der gesamte Passwortsatz öffentlich immer einsehbar ist, aber niemand Wissen kann welchen ich mir aus welchem Buch od. ä. ausgesucht habe, kann ich den Passwortsatz grundsätzlich nie vergessen oder verlieren, muss ihn mir nicht aufschreiben und habe trotzdem mehrere sehr lange zufällige Buchstaben/Zahlen/kombinationen die ich daraus erzeugen kann, auch diese muss ich nicht notieren und es besteht keine Gefahr sie zu vergessen. Letztlich muss ich mir nur eine einzige Sache merken: Der Ort an dem der Passwortsatz steht.

gruß Stephan G.

--188.104.118.200 00:05, 4. Mär. 2013 (CET)

Hinsichtlich der Qualität des Artikels stimme ich Dir zu, zum Thema „einzig wirklich sinnvolle Methode“ ohne Nachteile wurde die letzten Tage schon viel diskutiert, nur mal kurz die gravierendsten Nachteile: Schwierige Eingabe, kompliziert zu merken – ich könnte jedenfalls nicht ohne weiteres die zweiten Buchstaben zusammenstellen (erhöht Wiederbenutzungswahrscheinlichkeit), geringe Entropie (wenig Sonderzeichen und Zahlen, Struktur vorhersagbar). Die ersten beiden Punkte sind die Wichtigsten: Wieviele solcher Satzfragmente merkt man sich denn? --Sepp (Diskussion) 10:43, 4. Mär. 2013 (CET)

Also, ich finde merken kann man sich sowas gerade besonders gut, man könnte beispielsweise einige Sätze notieren, wenn man schon was aufschreiben will. Dann betrachtet man die als "Loop", also nach dem letzten Wort geht der Satz von vorne los, wodurch sich Wortumstellungen ergeben. Was man sich dann merkt, ist nur"Webseite, Satznummer, Startbuchstabe", also sowas wie "Ebay,2,4" oder "Wiki,1,5"...

Das ist natürlich für Menschen schwer nachvollziehbar, aber einem Rechner ist das ziemlich egal, weil das für den alles sowieso nur Zeichenketten / Bitfolgen sind, deren Sinn keine funktionale Bedeutung hat, sondern nur als Eselsbrücke für den Anwender dient.

Was mich vielmehr um treibt: In der Regel werden Paßwörter ja einweg-verschlüsselt gespeichert, was bedeutet, daß es immer mehrere Zeichensequenzen geben muß, die ein und denselben Schlüssel erzeugen. Daher muß eine Angriffstabelle gar nicht alle (schon gar nicht sinnvolle) Sequenzen abarbeiten, sondern "lediglich" irgendwelche, die sich nicht wiederholen und davon so viele, wie Schlüssel möglich sind. Dazu muß man den Algorithmus kennen, den die Zielseite verwendet - oder wenigstens Tabellen für die gängigsten haben. Angreifen tut man dann verteilt. Das ist ja soweit bekannt, aber wenn dem so ist: Wozu überhaupt die Debatte um Paßwortwahl abgesehen davon, es Mitmenschen schwerer zu machen? --Jabo (Diskussion) 17:27, 4. Mär. 2013 (CET)

Hinsichtlich der Qualität des Artikels stimme ich Dir zu, zum Thema „einzig wirklich sinnvolle Methode“ ohne Nachteile wurde die letzten Tage schon viel diskutiert, nur mal kurz die gravierendsten Nachteile: Schwierige Eingabe, kompliziert zu merken – ich könnte jedenfalls nicht ohne weiteres die zweiten Buchstaben zusammenstellen (erhöht Wiederbenutzungswahrscheinlichkeit), geringe Entropie (wenig Sonderzeichen und Zahlen, Struktur vorhersagbar). Die ersten beiden Punkte sind die Wichtigsten: Wieviele solcher Satzfragmente merkt man sich denn? --Sepp (Diskussion) 10:43, 4. Mär. 2013 (CET)

Hallo Sepp, ich glaube du hast die Methode noch nicht verstanden. Deine Einwände passen nämlich nicht dazu.

Zum "Merken": Es ist ja gerade der Vorteil der Methode sich die Passwörter (und den Passwortsatz) NICHT merken zu müssen (obwohl die Passwörter auch lang und kompliziert sein können, liegt halt am ausgewählten Satz). Beispiel: Schau aus dem Fenster. Dann siehst du von links nach rechts bestimmte größere Dinge. Da kommt dann ein Satz wie: "Baum Haus Parkplatz Zaun Schornstein"

und nun bildest du wieder die Passwörter: 1.Buchstabe "BHPZS" 2.Buchstabe "aaaac" 3.Buchstabe "uuruh" usw. usw. (klar sind die zu kurz aber das ist ja nur ein Beispiel)

Und wie du siehst, muss du dir weder die Passwörter merken noch den Satz! Du guckst einfach aus dem Fenster.

d.h. deine Argumente - schwierige Eingabe, kompliziert zu merken, Satzfragmente merken, zweite Buchstaben zusammenstellen und merken - sind nicht korrekt. Wie gesagt man muss sich im Prinzip fast gar nichts merken und kann sich mehrere lange und komplizierte Paswörter generieren, aus einem Satz.

--88.64.113.25 17:56, 4. Mär. 2013 (CET)

Ich plädiere ja auch für das Merken von Sätzen, nur halte ich von irgendwelchen Buchstaben-Methoden nichts. Erstens ist das Passwort sicherer, wenn man gleich den ganzen Satz eingibt und es gibt sich in der Regel auch einfacher ein. Nur als Test: Versuch doch mal: „Vögel lieben Butterkekse zum Frühstück.“ komplett und dann nur die dritten Buchstaben einzutippen. Was geht schneller? --Sepp (Diskussion) 09:43, 11. Mär. 2013 (CET)

@sepp: dein passwort: "VögelliebenButterkeksezumFrühstück" ist aber eine Kombination von Wörtern aus dem Duden etc. die prinzipiell durch einen Wörterbuchangriff (der Wörter kombiniert) entschlüsselbar wäre. Und mit 1 Satz hättest du nur 1 Passwort. Wobei ich zugeben muss das die Idee auch was hat. Hast du eine brauchbare Quelle oder Link? Mein obiger Vorschlag kommt direkt von der Bundesamt für Sicherheit in der Informationstechnik Seite.

ok, hier kommen dein tipp und mein tipp drin vor: spiegel online: http://www.spiegel.de/netzwelt/web/sichere-passwoerter-sindsieschongeknackt-a-790936.html

--88.64.114.100 10:37, 11. Mär. 2013 (CET)

Ich verweise mal auf diesen Teil der Diskussion, dann brauche ich nicht alles neu schreiben. Da schreibe ich auch was zum mathematischen Hintergrund. Entropieannahmen fußen auf vermuteten 100000 Wörtern. --Sepp (Diskussion) 22:28, 11. Mär. 2013 (CET)

Liebe IP, aber Paßwörter werden nicht nur einfach nach von Menschen lesbaren Wörterbüchern gecheckt, sondern wie erwähnt müssen die nicht mal linguistischen Sinn ergeben. Sie müßen nur eine total beliebige Zeichenkette darstellen, deren Umwandlung nach einem bestimmten Algorithmus auf dem Zielsystem zu einem gültigen Schlüssel führt, den das Originalpaßwort auch ergeben hätte. Diese Schlüssel sind in der Regel aber nicht von der Länge des Wortes / Satzes oder den in beliebiger Sprache verwendeten Zeichen abhängig - sie wären sonst an die Zeichenkette gebunden, nachvollziehbar und keine Einweg-Verschlüsselung mehr.

Für einen vernetzten Angriff ist es dann doch wurscht, was *du* eingetippt hast, also geht es dabei nur und einzig darum, dein menschliches Umfeld zu verwirren, wenn es um die Konstruktion der einzugebenden Zeichenkette geht. Denn die Schlüssel hängen nicht einmalig daran, es gibt weniger Schlüssel als mögliche Zeichenketten. Die Schlüssel öffnen aber am Zielsystem den Zugang, nicht das Paßwort selber. Oder verstehe ich das falsch?

P.S.: Diese Diskussion läuft glaube ich schon seit 30 Jahren, es gibt unterschiedliche Credos dazu. Falls das der Grund für den Beleg-Baustein ist, wäre ich für entfernen desselben... --Jabo (Diskussion) 14:24, 12. Mär. 2013 (CET)

Der Abschnitt zu Sicherheitsfaktoren gehört gründlich überarbeitet. Wie xkcd schon vor einiger Zeit gut darlegte, bringt es weit mehr, ein paar mehr Worte aneinander zu reihen, als sich irgendeine wahnsinnig komplizierte Zeichenkette zu merken. Zwölf Kleinbuchstaben haben bereits eine deutlich größere Entrophie als 8 Zeichen inklusive aller Sonderzeichen. Das Verwenden von Sonderzeichen war früher einmal populär und ist bei begrenzter Passwortlänge sicherlich nach wie vor sinnvoll, wenn aber längere Zeichenketten möglich sind, verursacht das nur unnötigen Aufwand und schafft ein falsches Gefühl der Sicherheit kurzer Kennwörter. Nachtrag: Mal zur Verdeutlichung: Angenommen, für den Satz stehen 100.000 Wörter zur Verfügung (real dürften es eher eine bis zehn Millionen sein), dann ergibt sich schon bei vier Wörtern ungefähr die gleiche Sicherheit, wie bei zehn völlig zufälligen Sonderzeichen, die vier Wörter dürften aber weitaus besser zu merken sein. --Sepp (Diskussion) 14:26, 13. Apr. 2012 (CEST)

Die von Dir zitierte Seite enthält keinerlei wissenschaftlich haltbare belege für die Behauptung. Ein einfacher selbstversuch it einem Passwortknacker wird dir Zeigen, dass diese Behauptung schlicht nicht haltbar ist. Heutige gute Passwortkanncker arbeiten mit wörterbüchern, wodurch einfache Aneinanderreihung von Wörten mit einem Satzzeichen am ende sehr schnell geknackt werden können. Das BSI empfiehlt deshalb mit guten Grund Sonderzeichen zu verwenden! Hier vertraue ich in diesem Fall mal dem BSI. Leider habe ich auf die Schnelle keine (deutsche) Studie zu dem Thema gefunden - um dieses wirklich wissenschaftlich zu belegen. Da die Behauptung schlicht nicht belegt ist, habe ich Deine Änderung rückgängig gemacht. Bitte verwende zumindest Links auf vertrauenswürdige Quellen. --Ulfb (Diskussion) 22:16, 25. Feb. 2013 (CET)

Nachtrag - Passwortempfehlung von Heise Security welche als etablierte Fachzeitschrift mit qualitativ hochwertigen und gut Recherchierten Artikeln bekannt ist. --Ulfb (Diskussion) 22:55, 25. Feb. 2013 (CET)

Hab den Erledigt-Baustein mal entfernt. Dann eben nicht xkcd, sondern diese Quelle. Dort wird das, was auch bei xkcd beschrieben ist, noch mal etwas ausführlicher erläutert. Das BSI und heise sagen dazu gar nichts (und im Zweifel würde ich der Expertise von xkcd auf jeden Fall mehr vertrauen, als dem BSI). Wörterbuchattacken funktionieren eben nur gut, wenn es sich um genau ein Wort handelt, schon bei zweien quadriert sich mal eben die Zahl der Möglichkeiten, ab drei bis vier Wörtern besteht praktisch kaum noch eine Chance. Ich bin etwas entsetzt, das heise solche Passworttipps gibt. Wesentliche Probleme der Sonderzeichenpasswörter bleiben dort völlig unbeachtet: Das Passwort wird sehr oft wiederverwendet – wieviele Sonderzeichen-Passwörter kann man sich schon merken (ok, darauf gehen sie ein wenig ein) – oder wahlweise auf einem Klebezettel nahe dem Computer notiert. Ach ja, ein Aspekt, der bei Sonderzeichen-Passwörtern oft vergessen wird: Ich habe nur sehr selten ein Sonderzeichenpasswort gesehen, was nur zum größten Teil aus Sonderzeichen und Zahlen besteht, tatsächlich dominieren Buchstaben. Um tatsächlich die Entropie zu haben, die mit der Berechnungstabelle unten suggeriert wird, müsste jedes Sonderzeichen so wahrscheinlich sein wie ein Buchstabe oder eine Zahl. und das ist schon mal bei dieser seltsamen Satzbildungsvariante überhaupt nicht mehr der Fall. Ich will hier keinen Edit-War lostreten, wäre aber sehr dafür, diese Bearbeitung rückgängig zu machen. Als Quelle würde ich zusätzlich zu xkcd (die ist so schön anschaulich und bringt es auf den Punkt) noch die andere Seite angeben. Meinetwegen setze ich auch noch einen Absatz dahinter, wo auf die BSI-Empfehlungen eingegangen wird, würde aber dort auch die Probleme der Merkbarkeit, Eingebbarkeit, Tendenz zur Wiederverwendung und zum Notieren einfließen lassen, die Sonderzeichenpasswörter mit sich bringen. --Sepp (Diskussion) 09:23, 26. Feb. 2013 (CET)

Bei dem erwähnten Link handelt es sich um Analysen einfacher Natur, da die Wörterbücher mittlerweile recht groß sind, kann das recht lange dauern bis alle Variationen durchgespielt wurden. Aber schon bei hinreichend langen Passwörtern und gut sortierten Wörterbüchern kommen andere Ergebnisse. Aber es muss sich um einen Fehler bei der Implementierung handeln, denn mit einer Brute Force attacke - hast Du immer mehr Variationen bei gleicher Länge. Eine etwas bessere aber noch nicht komplette Ausarbeitung habe ich TU-Darmstadt gefunden. Leider finde ich keine wirklich Tiefgreifende Analyse der beiden Verfahren. Dein Vorschlag beide Varianten darzulegen ist sicher die beste Idee. Ob man sich nun lange Sätze oder aber komplexe Passwörter mit Sonderzeichen besser merken kann, hängt zum einen von Persönlichen Begabungen ab und evtl. an der Wahl der richtigen Eselsbrücke. Ich würde zumindest wie im Artikel in einer der letzten c't Ausgaben zumindest Zahlen und groß und Kleinschreibung mit einfordern (evtl. zwei Sätze mit Interpunktion). --Ulfb (Diskussion) 23:24, 26. Feb. 2013 (CET)

Die Seminararbeit aus Darmstadt passt nicht wirklich zur Diskussion hier, ich finde sie auch deutlich schlechter als den Blogpost, sie geht schließlich nur auf fixe Längen von maximal 10 Buchstaben ein. Dass bei so kurzen Passwörtern die Satzmethode besser ist, als Wörter, ist nicht zu bestreiten, aber bei vier Wörtern wirst Du in der Regel schon bei 20 bis 25 Zeichen sein. Zeige mir mal einen Wörterbuch-Knacker, der einen Vier-Wort-Satz in akzeptabler Zeit geknackt bekommt! Ja, xkcd und der Blogeintrag kommen nicht wissenschaftlich daher, aber ich habe in der ganzen Diskussion noch kein Argument gehört, dass sich mit der Entropie und Mathematik, die den Beiträgen zugrunde liegt, kritisch auseinandersetzt. Deshalb noch mal die die Frage, ob Du den Comic von xkcd inhaltlich verstanden hast, also wofür all die kleinen Vierecke stehen? Ach ja und zum Thema Merkbarkeit und Eingabeleichtigkeit: Willst Du ernsthaft behaupten, dass sich für irgendjemand „Vögel lieben Butterkekse zum Frühstück.“ (Entropie: 10^25) schlechter eingeben und merken lässt als „Fg1eegMusüseV“ (aus „Faust ging 1862 entlang einer großen Mauer und sah über sich einen Vogel“, Entropie 10^24) oder gar „D/v*}3tbAlr#“ (völlig zufällig, Entropie 10^23)? --Sepp (Diskussion) 10:11, 11. Mär. 2013 (CET)

Hallo zusammen, darf ich mal einen Vermittlungsversuch starten? Bei dem Umfang der laufenden Diskussion ist zumindest mir nicht mehr klar, was konkret im Artikeltext verbessert werden sollte - das eigentliche Ziel von WP-Diskussionen. Könnt Ihr das hier nochmal klar posten?

Ich habe aber auch eine praktische Frage: In der Diskussion um sichere Passwörter wird immer wieder erwähnt, dass man mit bestimmten Methoden Passwörter 'herausfinden' kann. Dabei scheint es mir so, dass dazu Millionen von Versuchen gestartet werden, die je nach Rechnerausstattung in vertretbarer Zeit zum Ergebnis führen. Da aber jeder einzelne Versuch zu einem Authentifizierungsdialog führen müsste, scheint mir das Ganze insofern theoretisch, als doch wohl die allermeisten passwortgeschützten Applikationen nach einer nur geringen Anzahl von Fehlversuchen 'dicht machen' (wie auch immer das gehen kann), zumindest für eine bestimmte Zeit. Warum es trotzdem praktisch zu PW-Missbräuchen kommen sollte, würde ich im Artikel gerne finden. Zum Beispiel auch mit statistischen Aussagen über die Häufigkeit derartiger, erfolgreicher Enttarnungen - oder ist das nur eine Spielerei von Codierungsfreaks. --VÖRBY (Diskussion) 17:28, 11. Mär. 2013 (CET)

Zur Diskussion: Es geht im Wesentlichen hierum. Ich bin absolut dagegen, hier Methoden wie „Anfangsbuchstaben eines Satzes“, „Sonderzeichen einstreuen“ (am Besten noch übliche 3r53t2|_|n93n), „Phantasiewörtern“ etc. unter einer Überschrift „Wahl sicherere Passwörter“ unterzubringen. Diese Sachen sind einfach kontraproduktiv.
Zu Deiner Frage etwas vereinfacht: Oft werden Passwörter über nicht-verschlüsselte Kanäle als Hash gesendet (also das Passwort ist verschlüsselt, aber man kann das Verschlüsselte abhören). Wenn man da ran kommt, kann man auf eigenem Rechner versuchen, das Passwort zu knacken und hat keine Limitierungen mehr. Wie realistisch ein solcher Angriff ist, hängt ziemlich davon ab, wie „interessant“ das ist, was Du machst. --Sepp (Diskussion) 22:25, 11. Mär. 2013 (CET)

Zur Diskussion: Zu weit ausschweifende Beschreibungen gehören nicht in eine Enzyklopädie. Da sollte man das Wesentliche kurz beschreiben, möglichst mit Quellen. Die von dir genannten Beispiele (als kurze Anregungen!) halte ich für nicht problematisch, man findet sowas als Tipps 'überall'. Im Übrigen können 'Weblinks' oder 'Literatur' auf weitere Details verweisen.

Was heißt 'zu knacken'? Die Versuchsergebnisse muss man ja schließlich mio-fach zur Validierung bringen - und da sollte es doch wohl 'Limitierungen' beim Zielsystem geben. Habe ich recht, wenn die Gefahr nur dann besteht, wenn Systeme betroffen sind, die unlimitiert solche Versuche zulassen? Danke für die Antwort. --VÖRBY (Diskussion) 09:25, 12. Mär. 2013 (CET)

nebenbei noch: System machen meist auf Grund vieler fehlerhafter Loginversuche "dicht", indem sie die IP aussperren. Manche tun dies jedoch nicht so gerne, weil dadurch alle User eines gesamten dahinter stehenden Netzes abgeklemmt werden würden, was denen gegenüber sogar u.U. eine Vertragsverletzung darstellen könnte. Außerdem ist das eine beliebte Aufgabe für umfangreiche Botnets, die sich die Tabellen teilen, keiner mehr als X Versuche unternimmt und dann Ruhe geben, bis alle dran waren. Und das können abertausende verteilte IPs sein, von denen das ausgeht, bevor die erste sich wiederholt. --Jabo (Diskussion) 18:30, 12. Mär. 2013 (CET)

Noch mal zur Klarstellung: Mit kontraproduktiv meinte ich, dass die genannten Beispiele zu keiner Erhöhung der Sicherheit führen, sondern im Gegenteil potentiell die Sicherheit verringern und deshalb bin ich dagegen sie aufzunehmen. Zum Thema „findet man so oder ähnlich auch anderswo“: Das ist eben das Problem hier und läuft so ähnlich wie bei dem falschen Vornamen von Guttenberg: Jeder hat schon mal irgendwo gehört, wie ein sicheres Passwort aussehen soll, aber wirklich von allen Seiten betrachtet und ordentlich analysiert wird es nur recht selten. Deshalb die ganze Diskussion zu dem verlinkten Versionsunterschied. --Sepp (Diskussion) 11:56, 12. Mär. 2013 (CET)

Danke für deine Meinung. WENN es verschiedene Empfehlungen zur Gestaltung von Passwörtern gibt (ja, aus 'validen' Quellen!), dann spielt es keine Rolle, ob jemand die eine oder die andere für gut oder weniger gut hält. Was nicht gerade exotisch ist, passt m.E. in den Artikel, und zwar in Kurzfassung, ohne ausführliche Kommentierungen. Ein Zusatz wie "Die Wirksamkeit der einzelnen Maßnahmen wird - siehe <Quelle> - unterschiedlich beurteilt" sollte vielleicht die Mega-Diskussion hier (die ja auch in anderen Abschnitten ähnlich geführt wird) beenden können. Nur meine Meinung. Gruß von --VÖRBY (Diskussion) 17:57, 12. Mär. 2013 (CET)

Hm, ich sehe, das meine Position hier nicht mehrheitsfähig zu sein scheint. Ich finde es etwas schade, dass sich die Diskussion hier auch fast nur darum dreht, dass eine Aussage irgendwo zu finden ist und nicht um den tatsächlichen Inhalt (objektive Sicherheit, Eignung für Benutzer). Sei es drum, wie wäre es denn mit folgendem Kompromissvorschlag: Die verschiedenen Vorschläge werden tabellarisch aufgelistet und dann wird für verschiedene Sicherheitsniveaus je ein Beispiel gegeben.

Die Passwörter in einer Zeile einer Tabelle haben jeweils das gleiche Sicherheitsniveau. Dann kann jeder für sich entscheiden, welche Variante bei gleicher Sicherheit den persönlichen Präferenzen eher entspricht.

Die Tabelle ist noch nicht ausgefüllt, insbesondere die Zeile „Anzahl verfügbarer Zeichen/Wörter“ würde ich noch umfangreicher erläutern, nur ganz grob schon mal: Wörter basieren auf den Häufigkeitsklassen (15/21) der Uni Leipzig, bei üblichen Ersetzungen wurde diese Anzahl noch mit 3^7 multipliziert, da jeder Buchstabe durchschnittlich auf 3 Arten geschrieben werden kann (klein, groß, spezial). Der Passwortsatz ist in der Endform „Ich hoffe, Du kommst zu mir mit drei Hunden und bringst viel Schokolade mit, damit wir Spaß haben.“

Die Sache mit den Kombinationen sollte auch noch etwas OMA-tauglicher ausgeführt werden. Vorteile, Nachteile und Hinweise hätte ich auch gerne noch untergebracht, aber das hätte die Tabelle wohl etwas überladen.

Hallo Sepp, du hast dir viel Arbeit gemacht. Meine Meinung: In dieser Tabelle stecken - für eine Enzyklopädie - zu viele Detailinformationen. Ich (und sicher auch meine OMA!) verstehe darin eigentlich nur 'Bahnhof'. Kann man nicht einfach verschiedene Empfehlungen (aus validen Quellen) nur verbal (zB je 1 Zeile) und allgemeinverständlich auflisten? Denn diese Ausführungen zu Wahrscheinlichkeiten und Passwortlängen und anderen quantitativen Angaben sind ja (zumindest sehe ich das so) nur einer von vielen Blickwinkeln auf 'Passwortsicherheit' - abgesehen von persönlichen 'Geschmäckern'. Ein Kompromiss könnte auch sein, dieses Thema in einen eigenen Artikel auszulagern; zu breite Ausführungen halte ich in 'Passwort' für unangebracht.

PS: Ich bin kein PW-Crypto-Spezialist, sondern möchte den Artikel legiglich 'allgemeintauglich' halten. --VÖRBY (Diskussion) 10:56, 13. Mär. 2013 (CET)

Ich denke, man könnte die Spalten „nur Kleinbuchstaben“ und „zentraler Wortschatz“ (oder erweiterter Wortschatz) auch rauslassen, bzw. bei zweiterem einen Mittelweg finden. Habe schon mal ein paar Sachen vereinfacht. Welche Aspekte der Tabelle sind für Dich denn unverständlich, vielleicht lässt sich das ja etwas präzisieren?
Ich bin eher dagegen, dass nur kurz die Methoden beschrieben werden, denn damit ist es meiner Meinung nach nicht möglich, die Information, dass „{a3X#2nVb_v=*3sB43§€“ „Ih,Dkzmm3HubvSm,dwSh.“ und „\/!eLe a$C#f4hL3 pF3RdE 9rAseN“ die gleiche Sicherheit bieten wie „Ich vertraue fahlen Hexern nicht immer.“ rüberzubringen.
Die Tabelle sollte natürlich nicht allein stehen, sondern dem sollten kurze Abschnitte vorausgehen oder folgen, die die einzelnen Methoden kurz erläutern.
Damit könnte man die Kapitel „Wahl sicherer Passwörter“, „Sicherheitsfaktoren“, „Ungünstige Passwörter“ und „Passwort-Formeln“ zusammenbringen, momentan sind eine Reihe wichtiger Informationen über alle Abschnitte verteilt. Der Abschnitt „Sicherheitsfaktoren“ ist momentan ziemlich unübersichtlich, die Tabelle auch nicht einfacher als meine und einzelne Aussagen sind nicht ganz richtig. --Sepp (Diskussion) 12:35, 13. Mär. 2013 (CET)

Die Tabelle befasst sich nur mit dem Aspekt, wie lange es dauert, eine bestimmte Ausprägung von Passwort per Algorithmus zu berechnen. (Mit welchem Rechner eigentlich??? Meine Frage zur Login-Sperre gehört da auch noch mit rein.) Ich halte diese Informationen, vor allem in dieser Breite, HIER für interessant, eine beispielhafte Aussage würde genügen. Demgegenüber fehlen zur Überschrift 'PW-Sicherheit' viele andere Empfehlungen. Als erstes von Tausenden an Google-Beispielen fand ich BSI [7]. Also: Zu wenig "Breite" (andere Aspekte), zu viel "Tiefe" (die evtl. besser in ein eigenes Lemma passen würde). --VÖRBY (Diskussion) 13:06, 13. Mär. 2013 (CET)

Zur Frage des Rechners: Siehe Einzelnachweis. Zum Thema Login-Sperre: Das gehört eigentlich gar nicht in Passwort sondern eher hierher, das hat schließlich erstmal gar nichts mit Passwörtern zu tun sondern ist eher für potentielle Administratoren interessant. Zur BSI-Seite: So ziemlich alles, was dort im ersten langen Abschnitt beschrieben ist, ist auch Bestandteil der Verfahren (die zusätzlich zur Tabelle zu beschreiben wären). Ansonsten möchte ich noch darauf hinweisen, dass das BSI immer nur von einem einzigen Wort ausgeht, nicht aber von einer Aneinanderreihung von Wörtern, dies wird überhaupt gar nicht behandelt. Zum Thema „nur ein Aspekt“: Nein, es geht nicht nur um die Berechnungsdauer, sondern eben insbesondere um den Vergleich der Verfahren die hier seitenlang diskutiert werden. --Sepp (Diskussion) 14:59, 13. Mär. 2013 (CET)

Hallo Sepp. Eigentlich wollte ich nur eine kontroverse Diskussion schlichten helfen, bin aber jetzt wohl selbst reingerutscht. Ich sage nochmal: Mir erscheint diese Art von Informationen (Zeiten etc.) HIER im Artikel einfach zu detailliert und auch zu theoretisch. Ein 'normaler' WP-Leser will hier lexikonähnliche Informationen finden und keine Details, die einfach "zu weit" vom Lemma entfernt sind. Man muss doch hier im Artikel das Teilthema 'Passswortsicherheit' mit einem Fließtext von - sagen wir mal - 20-30 Zeilen und ggf. zusätzlich einer Auflistung von dazu gehörenden Einzelaspekten/Empfehlungen beschreiben können. Dabei sind immer auch Belege von Interesse, und möglichst keine persönlichen Wertungen (TF!).

Wieso das Login-Sperren nicht hierhin gehört, erschließt sich mir nicht. Wenn man schon den Aspekt 'Passwort-Finden' hier behandelt (dazu noch so breit), ist es doch aus der Gesamtsicht entscheidend, dass diese 'Numbercruncherei' nicht alles ist, sondern nur unter bestimmten Voraussetzungen erfolgreich ist. Nur das Berechnen alleine zu betrachten, erscheint mir zu abstrakt - und gehört so nicht ins Lemma 'Passwort'. Aber das hatten wir alles schon.

Ich würde mich insofern gerne wieder aus der Diskussion ausblenden. Meine Meinung habe ich mehrfach kundgetan. Mach's gut und denke daran, was Wikipedia-Nutzer HIER im Lemma finden wollen. --VÖRBY (Diskussion) 15:32, 13. Mär. 2013 (CET)

Übersicht über verschiedene Methoden und Beispielpasswörter – Einträge in einer Zeile haben jeweils gleiches Sicherheitsniveau

Methode	Zeichen		Anfangsbuchstaben eines Satzes	ganze Wörter und Sätze
	nur Kleinbuchstaben	Buchstaben, Zahlen, Sonderzeichen		korrekte Schreibweise	Buchstabenersetzungen
Sicherheit	30 Zeichen	ca. 100 Zeichen	ca. 80 Zeichen	ca. 500000 Wörter	ca. 1,1 Mrd Zeichenketten
sehr gering	axcz	{a3	Ih.	Kakadu	\/3r9nÜgT
gering	axczbvx	{a3X#	Ih,Dk.	schlauer Kadadu	\/3r9nÜgT3s pF3R|)
mittel	axczbvxltd	{a3X#2nV	Ih,Dkzm.	Schlaue Kakadus lesen.
hoch	axczbvxltdudar	{a3X#2nVb_	Ih,Dkzmm3H.	Schlaue Kakadus lesen brav.	\/3r9nÜgT3 pF3RdE 9rAseN
sehr hoch	axczbvxltdudarrvnztv	{a3X#2nVb_v=*3s	Ih,Dkzmm3HubvSm.	Schlaue Kakadus lesen brav bunte Blätter.	v!3Le \/3r9nÜgT3 pF3RdE 9rAseN

Liege ich technisch so falsch mit der hier bisher nicht aufgenommenen Annahme, daß Sites niemals die Paßwörter speichern, sondern algorithmisch daraus generierte Schlüssel, die ihrerseits aus einem begrenzten Zeichenvorrat bei determinierter Länge bestehen, so daß es bei einem tabellarischen Angriff sch....egal ist, ob man das *richtige* Paßwort errät, sondern irgend eine sinnlose Zeichenkette reicht, die einen passenden Schlüssel erzeugt?

Das würde nämlich die ganze Diskussion hier ad absurdum führen, weil niemand 50 Millarden Jahre ein Wort sucht, wenn mit einer viel früher treffenden Sequenz die Tür auf geht.

Schlechtes Beispiel (weil MD5 nicht adäquat, aber hier kurz genug ist):

Vogel -> 045333533b66628262afb02375350d41

Früher Vogel fängt den Wurm -> 84010e2088fafc01e279c4539d3670ce

Beide Schlüssel sind gleich lang trotz unterschiedlicher Länge der Zeichenkette und bestehen aus ihrerseits beschränktem Zeichenumfang. Beide Schlüssel sind durch unterschiedliche "Paßwörter" zu erzeugen. Gilt das denn nicht auch so für komplexere Einweg-Verschlüsselung? Es gibt doch immer nur eine begrenzte Zahl von Schlüsseln. Wozu das richtige erraten, wenn man für jeden irgend eines hat? --Jabo (Diskussion) 17:57, 14. Mär. 2013 (CET)

Deine Annahme ist erstmal richtig. Das von Dir beschriebene Problem wird auch als Kollisionen bezeichnet. Gerade MD5 ist ein schönes Beispiel, das sollte halt für solche Sachen nicht mehr verwendet werden, da es leicht knackbar ist, siehe entsprechenden Artikel. Das ist auch der Grund, warum SHA-3 initiert wurde, damit eben ein Verfahren existiert, bei dem es nicht „so leicht“ möglich ist, einen passenden Schlüssel zu erzeugen. Vielleicht sollte die erste Spalte einfach nur verbal die Sicherheit umschreiben, also von „sehr niedrig“ bis „sehr hoch“. Aber noch mal: Ich würde die Tabelle deshalb gerne im Artikel unterbringen, weil sich damit verschiedene Verfahren zum Erzeugen von Passwörtern gut miteinander vergleichen lassen. ::--Sepp (Diskussion) 10:21, 15. Mär. 2013 (CET)

Hallo Sepp, ich melde mich nochmal: Der Artikel enthält ja bereits eine Auflistung von allgemeinen Empfehlungen zur Passwortsicherheit; in Details wären lediglich noch Belege wünschenswert. Die bisher dort enthaltene Tabelle zu den Brute-Force-Berechnungen habe ich in einen eigenen Abschnitt ausgelagert; dort könnte man evtl. deine Tabelle einfügen. Meine Meinung zu 'eigener Artikel' bleibt aber unverändert - wobei es ja das Lemma Brute-Force-Methode bereits gibt; evtl. könntest du dorthin integrieren. Mein 'Anliegen' ist lediglich, dass HIER im Lemma Passwort

• die 'Empfehlungen' möglichst alle Aspekte beschreiben (was bereits so ist - möglicherweise verbesserungsfähig)
• und dass der Spezialaspekt 'Knacken von Passwörtern' in 'Passwort' nicht unangemessen breit ausfällt.

Gruß von --VÖRBY (Diskussion) 11:07, 15. Mär. 2013 (CET)

So langsam fühle ich mich ignoriert. Noch mal: Es geht mir in der Tabelle nicht primär darum, irgendwelche Berechnungen zu Brute-Force-Attacken dem Leser nahezubringen, sondern zu zeigen, wie gleich starke Passwörter nach den verschiedenen Verfahren aussehen. Habe die erste Spalte noch mal etwas vereinfacht. --Sepp (Diskussion) 12:41, 15. Mär. 2013 (CET)

Die Aussagen in der (nun anders aussehenden) Tabelle lassen sich ungefähr so zusammenfassen: Je vielfältiger die im Passwort verwendeten Einzelzeichen sind und je länger das Passwort ist, desto 'sicherer' ist es - wohl hinsichtlich der Möglichkeit, es maschinell zu 'knacken'. Zumindest ich bräuchte für diese (triviale) Erkenntnis keine derartige Tabelle. Wenn du aber meinst, sie sei wichtig, dann baue sie ein. Die verbalen Aussagen im Artikel erscheinen mir nützlicher. Auch fällt mir praktisch dazu ein, dass in vielen Apps Passwörter wie in der Tabelle verwendet (Komma, Länge, Leerzeichen ...) nicht definiert werden können. Das ist aber nur meine Meinung. --VÖRBY (Diskussion) 15:59, 15. Mär. 2013 (CET)

Könnte bitte jemand real existierende (also historische) Beispiele für praktische Relevanz angeben, wenigstens ein paar? Es ist hier wie in den Medienberichten viel zu theoretisch. Z.B.: Im Jahre 2006 wurde das Konto von Gerlinde Kapulske (Jahrgang 1902) bei der MV-Bank in Hastdunichtgesehn um 20.000 Mark erleichtert. Die Täter hatten ihr Passwort "bank1902" erraten. Oder sowas: Max Beinlich wurde 2010 als Vorstand seines MDAX Unternehmens gefeuert, nachdem bei seinem facebook-Konto beleidigende Darstellungen über den Hauptaktionaer gefunden wurden. Das Facebook-Account war von einer Verbecherbande mittels Woerterbuchangriff geknackt worden, das Passwort "Aktionaers-Gelumpe" hatte sich als zu schwach erwiesen.

"Ein Nachteil dieses Verfahrens ist es, dass bei einem Passwort-Verrat, alle Beteiligten gleichermaßen verdächtigt werden müssen, nicht vertraulich mit den Passwort umgegangen zu sein."

Das mittlere Komma muß weg. (nicht signierter Beitrag von 92.224.157.161 (Diskussion) 19:28, 14. Dez. 2013 (CET))

Geändert, danke --mfb (Diskussion) 21:00, 14. Dez. 2013 (CET)

Dieser Abschnitt ist superschlecht!! Hab mal das Allerschlimmste berichtigt. (Haustiernamen/Geburtsdaten sind sicher?? Lächerlich. Und diese ominösen "Wörterbücher" sind keine von Duden oder so. Das sind spezielle Sammlungen von gern verwendeten Passwörtern/Passphrases. Es sind also quasi Angriffswörterbücher. Gibts im Internet kostenlos.) 100% richtig ist der Abschnitt jetzt immernoch nicht. Mir ist aber die Lust vergangen. *schauder* Zumal ich mit Reverts der Leute rechne, die diesen Unfug verzapft haben. Also bitte nochmal jemand (mit Ahnung!!) drüberschauen. Danke. 84.182.192.103 12:57, 18. Mai 2006 (CEST)

Fände es sinnvoll Sicherheitsfaktoren, Wahl sicherer Passwörter und Ausprobieren von Passwörternzusammenzufassen und kräftig redundanzen zu steichen. Einwände, anregungen? --Fabiwanne (Diskussion) 01:05, 5. Jan. 2014 (CET)

ich glaube der Artikel verdient sich eine Eintragung auf irgendeiner Qualitätssicherungsseite --Itu 14:59, 31. Aug. 2009 (CEST)

Warum der Artikel schlecht ist, liegt daran, dass er weitverbreitete Irrtümer über gute Passwörter wiederholt. Was ich damit mein wird hier erläutert, mit illustrierenden Comic, 1. Antwort, Stichwort "The human aspect"

http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase

--Amtiss, SNAFU ? 17:22, 3. Feb. 2014 (CET)

Da bin ich zu einhundert Prozent bei Dir. Nach einer langen ermüdenden Diskussion habe ich es seinerzeit aufgegeben, die xkcd-Methode als deutlich sinnvolleren Ansatz in den Artikel unterzubringen, ich wünsche Dir aber sehr viel Erfolg dabei! Die Diskussion ist dort ist lang, aber ich habe seinerzeit noch ein paar Quellen zusammen gesucht und eine meiner Meinung nach recht sinnvolle Tabelle zusammengestellt. Vielleicht schaffst Du es ja das unterzubringen. Falls ich bei Gelegenheit mal ein paar Forschungsgelder übrig habe und Zeit für ein Studie finde, mache ich auch mal ne Untersuchung mit Probanden dazu, aber auf absehbare Zeit wird das wohl eher nichts... --Sepp (Diskussion) 22:42, 3. Feb. 2014 (CET)

Hmm, eure Diskussion und der Heise-Artikel haben mich nachdenklich gemacht. Vielleicht sollte die Darstellung dieses Thema, das ziemlich komplex ist, eher anders strukturiert sein. Methoden ein sicheres Passwort zu generieren gibt es viele und nur XKCD zu vertrauen (ohne das Verfahren verstanden zu haben oder die Wiederverwendung und anderes zu bedenken) ist genauso problematisch, wie ein zufallsgeneriertes Passwort aufzuschreiben oder zu speichern. Als Struktur-Vorschlag: der Artikel beschreibt

• die Gefahren bei der Verwendung/Speicherung/etc.
  • Unterscheidung wertvolle/wichtige Passwörter und unwichtige
• gleichberechtigt verschiedene Methoden der Generierung
• benennt Mensch-/Psychologie-bezogene Aspekte (ein Hinweis darauf, dass Sicherheit und Komfort (z.B. sein Gedächtnis nicht zu benutzen) ein Widerspruch sind, wäre super, leider bräuchte es dafür noch eine Quelle... vielleicht was beim CCC+Umkreis findbar?)
  • Merktricks/Methoden (die Heisemethode Passwörter oft einzugeben ist super :), meine Browsergame-Passwörter haben sich eingefressen, weil ich die so oft eingetippt hab :)
• Hinweis (sozusagen wie das Medizin- und Rechtsthemen-Bapperl): wähle weise und beachte die im Artikel beschriebene Priorität

Eine andere Variante wäre auf eine ausgewogen beschreibende Quelle zu verweisen. Wikipedia ist ja nur bedingt als Ratgeber, dafür mehr als beschriebendes, quellenbasiertes Werk zu verstehen. Ohne Quelle, da hat Ulfb schon recht, ist eine noch so sinnvolle Beschreibung fragwürdig. -- Amtiss, SNAFU ? 16:03, 4. Feb. 2014 (CET)

Bzgl. dieser [8] von mir rückgängig gemachten Ergänzung:

Weiterhin besteht der Nachteil, dass im Prinzip beide Seiten das Passwort verraten können. Obwohl die passwortprüfende Seite das Passwort vom Verfahren her nicht speichern soll, wird es ihr bei jeder Authentifizierung temporär zur Prüfung übermittelt.

@B-greift: So wie ich deinen Satz verstehe, gehst du davon aus, dass das Passwort an die Authentifizierungsstelle übertragen wird und dort der Hash berechnet und mit dem gespeicherten verglichen wird. Wie du richtig beschreibst, würde das allerdings den Sinn des Verfahrens komplett aushebeln, denn dann würde der Nutzer sein (eigentlich geheimes) Passwort ja nach außen geben. Es mag unsichere Systeme geben (zB. Web-Mailer), die das ggf. so handhaben, die Idee dieses Verfahrens ist allerdings, den Hash bereits auf Nutzer-Seite zu berechnen und anschließend nur den Hash zur Authentifizierungsstelle zu übertragen.
Natürlich könnte man nun argumentieren, dass dann eben der Passwort-Hash abgefangen werden könnte, aber das ist eine andere Geschichte. Der mE. wichtige Punkt an dem Verfahren ist, dass der Nutzer sein eigentliches Passwort nicht nach "draußen" gibt und ein potentieller Angreifer auch mithilfe des Hashs nur schwer auf mögliche Passwörter schließen kann.--Plankton314 (Diskussion) 11:44, 11. Jul. 2014 (CEST)

Dass das Passwort an die Authentifizierungsstelle übertragen und dort gehasht wird, ist doch das übliche Verfahren. Schon weil dem Nutzer das konkrete Verfahren, Rundenzahl, Salt etc. normalerweise nicht bekannt sind. -- Widar23 (Diskussion) 11:57, 11. Jul. 2014 (CEST)

Man sollte zumindest hoffen können, dass nicht Security-by-Obscurity angewandt wird Vorlage:Smiley/Wartung/:) --Plankton314 (Diskussion) 12:44, 11. Jul. 2014 (CEST)

Du meinst so, wie Adobe es vor nicht allzu langer Zeit geschafft hat? Und von XKCD köstlich veräppelt wurde? -- Widar23 (Diskussion) 12:57, 11. Jul. 2014 (CEST)

Dieses "bewährte" Konzept wird wohl niemals aussterben.--Plankton314 (Diskussion) 13:02, 11. Jul. 2014 (CEST)

wenn der benutzer den hash des passwortes senden wuerde, dann koennte man das hashen auch weglassen und gleich das passwort senden. die idee beim speichern des hashs ist ja, dass ein angreifer, der vom server eine liste der gehashten passwoerter stiehlt, zuerst die passwoerter raten muss. wenn der hash zum authentifizieren ausreichen wuerde, koennte der angreifer sich direkt mit den gestohlenen hashwerten anmelden. insofern hat B-greift recht. ich wuerde den abschnitt trotzdem nicht aufnehmen, weil er das problem nicht motiviert. warum sollte ein dienst mein passwort weitergeben? --Mario d 12:01, 11. Jul. 2014 (CEST)

Die Frage wer solche Vorberechnungen durchführen soll ist immer wieder strittig, ebenso die Frage, was passiert, wenn die Kommunikation abgehört wird. Du hast recht, dass es dann im Falle dieses einen Systems keinen Unterschied gäbe, ob man nun das PW plain oder gehasht überträgt. Dennoch bietet das Übertragen des Hashes zumindest den Mehrwert, dass der abgefangene Hash nicht einfach verwendet werden kann um ggf. auf Konten des Nutzers bei anderen Systemen zuzugreifen (zumal viele (die meisten?) Benutzer ein und dasselbe Passwort für praktisch alle Logins verwenden).

Geht es nur um den Schutz davor, dass jemand die Passwortlisten stiehlt, dann sind gehashte PWs eine Möglichkeit. Nimmt man allerdings an, dass der Dienst grundsätzlich kompromittiert ist, stimmt die Aussage dann wiederum doch, denn bei jeder Abfrage, könnte man das gesendete PW speichern/weitergeben (allerdings könnte man das bereits beim Festlegen des PWs).

Alles in allem ist das kein grundsätzliches Problem eines Passworts, sondern konkreter Authentifizierungsverfahren. Darum mE. hier in jedem Fall zu allgemein formuliert und zu spezifisch für das allgemeine Thema Passwort.--Plankton314 (Diskussion) 12:44, 11. Jul. 2014 (CEST)

Ich stimme zu, dass das über das Thema hinausgeht, trotzdem ist es inhaltlich nicht falsch. Auf der Client-Seite zu hashen und den Hash unverschlüsselt zu übertragen ist nahezu sinnlos.

Der abgefangene Hash kann ja auch bei jedem anderen Dienst (bei gleichem Passwort) verwendet werden, außer du setzt voraus, dass jeder Dienst ein eigenes Hashverfahren verwendet. -- Widar23 (Diskussion) 12:54, 11. Jul. 2014 (CEST)

Da gibt es auch noch Salz.

Außerdem ist die Aussage, die "Erde ist rund" inhaltlich auch nicht falsch. Aber das ist noch kein Grund, sie hier aufzunehmen.--Plankton314 (Diskussion) 12:59, 11. Jul. 2014 (CEST)

Das bedeutet dann, dass du Hashalgorithmus, Rundenzahl und Salt an den User übermittelst und einen passenden Hash zurückhaben möchtest. Gegen Abgreifen änderst du diese Parameter am Besten jedes mal. Hat nur zwei Mankos: Der Dienst muss das PW im Klartext speichern und du bist über die Frage, ob Hash oder PW übertragen werden sollte weit hinaus. Du hast dir dann nämlich praktisch ein Challenge-Handshake-Verfahren geschaffen. -- Widar23 (Diskussion) 13:16, 11. Jul. 2014 (CEST)

Ja, wir haben jetzt alle festgestellt, dass die Aussage über das einfache Thema Passwort hinausgeht und auch die Motivation nicht klar wird.

Weitere neue Verfahren können wir ja auf der entsprechenden Artikel-DS oder im BNR entwickeln.--Plankton314 (Diskussion) 13:21, 11. Jul. 2014 (CEST)

Zunächst geht es in diesem Abschnitt darum, ein Verfahren zu erläutern. Ein möglicher Angriff oder eine Schwachstelle des Verfahrens kann von mir aus an einer anderen Stelle thematisiert werden. Offenbar scheint aber Unklarheit über das Verfahren zu bestehen. Es sollte klar sein, dass wir hier kein Verfahren erfinden wollen. Ich denke es geht um das Verfahren, dass das Passwort (hoffentlich verschlüsselt) der Gegenstelle übermittelt wird, aber dort im Klartext vorliegt. Der Grund warum es dort dann gegen ein Hash geprüft wird, besteht darin, dass man das Klartextpasswort nicht gespeichert herum liegen lassen will. Der Client weiss nichts von diesem Hash. Ich würde sagen, das ist das Verfahren, das heute fast überall verwendet wird. --B-greift (Diskussion) 16:26, 11. Jul. 2014 (CEST)

Primär geht es beim PW-Hashing darum, dass die authentifizierende Stelle das PW nicht im Klartext abspeichert. Wo und durch wen auf dem Weg vom Benutzer zum Dienst nun das Passwort möglicherweise abgegriffen werden kann, ist eine Frage, die in Artikeln zu sicheren Verbindungen u.ä. diskutiert werden kann. Mit dem Thema Passwort hat es erst einmal wenig zu tun.--Plankton314 (Diskussion) 17:23, 11. Jul. 2014 (CEST)

Es muss aber deutlich werden, ob das Passwort auf der Authentifizierungsseite im Klartext ankommt oder nicht. Das gehört zum Verfahren und kann nicht offen gelassen werden. Ein Verfahren, bei dem das Hash schon auf der Client-Seite gebildet wird, ist ein anderes Verfahren. --B-greift (Diskussion) 17:32, 11. Jul. 2014 (CEST)

Was umseitig angesprochen wird ist nicht ein exaktes Verfahren im Sinne eines wohldefinierten Protokolls, sondern nur eine allgemeine Technik, um ein Passwort nicht als Klartext zu speichern. Wie ein Client sich nun über ein womöglich offenes Netzwerk bei einem Dienst authentifiziert, der ein solches Verfahren zu Speicherung (!) von Passwörtern nutzt, ist ein vollkommen anderes Thema.--Plankton314 (Diskussion) 18:06, 11. Jul. 2014 (CEST)

Es geht darum, was wir beschreiben wollen. Ob wir es Verfahren, Protokoll oder Technik nennen, ist nicht so wichtig. Nicht so wichtig (an dieser Stelle) ist auch, ob die Datenübertragung bei der Autentifizierung verschlüsselt abläuft oder nicht. Wichtig ist, was übertragen wird. Ich gehe davon aus, das wir ein Verfahren (Protokoll, Technik) beschreiben wollen, bei dem das Passwort übertragen wird. Wenn Du ein anderes Verfahren (Protokoll, Technik) im Kopf hast, kannst Du es ja auch beschreiben. Das muss doch nicht mit Gewalt als ein einziges Verfahren zusammengebracht werden.--B-greift (Diskussion) 22:19, 11. Jul. 2014 (CEST)

Eigentlich kann man nicht von einer Passwort-Authentifizierung sprechen, wenn das Passwort nicht als solches übertragen wird. Die von mir gemachte Ergänzung (die zurückgemommen wurde) hat also nichts mit dem Hash-Verfahren zu tun. Es ist ein grundsätzliches Problem der Passwortwortauthentifizierung, dass durch das Hash-Verfahren nicht beseitigt wird. --B-greift (Diskussion) 15:30, 14. Jul. 2014 (CEST)

Nun, wenn man mal nur das reine PW-Hashing betrachtet (und diesem Denkfehler bin ich anfangs auch aufgesessen), dann ist es ein reines Speicher- bzw. Kodierverfahren. Eine Übertragung findet dabei überhaupt nicht statt.

Wie oben angesprochen, ist das Problem (zB. bei Übertragung über ein öffentliches Netz) ein Authentifizierungs- oder Kommunikationsproblem, das davon losgelöst besteht.--Plankton314 (Diskussion) 19:56, 14. Jul. 2014 (CEST)

der Abschnitt ist einerseits veraltet -- Stand 2011 -- das müsste schon irgendwie aktualisiert werden, z.B. gehen die Datenschützer in der Schweiz schon von 2 Milliarden Versuchen pro Sekunde aus, aber es ist auch unwahrscheinlich, dass jemand heute so eine brute force Angriff mit nur einem Rechner versucht, wenn er schon mal an die entsprechenden Daten gekommen ist. -- Thomas Österheld (Diskussion) 23:56, 9. Nov. 2014 (CET)

die tabelle ist auf einen wert von 1 mrd versuche pro sekunde ausgelegt. dass es bei doppelt so viel versuchen pro sekunde doppelt so schnell geht, dürfte jedem klar sein. das ist aber gar nicht der punkt, es geht eher darum darzustellen, wie sich passwortlänge und alphabetgrösse auf die passwortstärke auswirken. einen konkreten angreifer anzugeben ist mMn sinnlos. --Mario d 13:13, 16. Nov. 2014 (CET)

Im Artikel zum Ausprobieren der Passwörtern steht das mit herkömmlichen Geräten bis 1 Mrd. Key pro sekunde ausgerechnet werden sollen. Wie kann das funktionieren wenn diese Grafikkarte nur 1.36 TFlops hat?

http://www.gpureview.com/Radeon-HD-6770-card-658.html (nicht signierter Beitrag von 80.219.185.8 (Diskussion) 00:15, 19. Mai 2015 (CEST))

laut https://en.bitcoin.it/wiki/Non-specialized_hardware_comparison schafft man mit einer 6770 bis zu 235 Mhash/s, wobei double hashes gemeint sind. das wären 0,47 GHash/s, also ca. einen faktor 2 entfernt von der behauptung, die zudem mit "ungefähr" qualifiziert wurde. das klingt für mich ok. --Mario d 18:15, 19. Mai 2015 (CEST)

• "hallo" ist meistgenutztes deutsches Passwort – auf Platz zehn steht "ficken". In: heise Security. 22. Dezember 2016; abgerufen im 1. Januar 1. : Das Hasso-Plattner-Institut (HPI) gab am Mittwoch eine Liste der zehn meistverwendeten Passwörter auf Websites mit .de-Domains heraus.
• HPI-Wissenschaftler ermitteln die zehn meistgenutzten deutschsprachigen Passwörter. 22. Dezember 2016; abgerufen im 1. Januar 1. : Ohne die auch in Deutschland beliebten Zahlenkombinationen ergibt sich die folgende "Top Ten" der beliebtesten deutschsprachigen Passwörter:

"Top Ten" deutscher Passwörter:

1. hallo

2. passwort

3. hallo123

4. schalke04

5. passwort1

6. qwertz

7. arschloch

8. schatz

9. hallo1

10. ficken

Insgesamt haben HPI-Wissenschaftler rund eine Milliarde Nutzerkonten analysiert und ausgewertet. Die Informationen stammen aus 31 im Internet frei verfügbaren Datenlecks. Die "Top Ten" wurde aus rund 30 Millionen Nutzerkonten ermittelt, die als .de-Domain registriert sind. Zahlenkombinationen wurden nicht berücksichtigt. (...) "123456" ist laut der HPI-Studie in Deutschland sowie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks.

--Atlasowa (Diskussion) 22:21, 25. Dez. 2016 (CET)

Die Liste ist plausibel, nur schalke04 passt nicht rein. Warum sollte dies eines der meistgebrauchsten Passwörter sein?

Hier die 5 meisten Passwörter auf Schweizer Domains:

Quelle: Auch HPI.

1. soleil

2. hallo

3. juventus

4. qwertz

5. Passwort

--JustLeaks (Diskussion) 00:54, 29. Dez. 2016 (CET)

Schalke 04 wundert mich gar nicht (naheliegender als Juventus...). Aber, JustLeaks: Soleil??? --Atlasowa (Diskussion) 22:09, 29. Dez. 2016 (CET)

Atlasowa: Soleil ist auch verwunderlich. Ok es gibt die Westschweiz, die französisch spricht, aber die ist in der Minderheit. Ich denke die erbeuteten Daten sind französisch-lastig, sprich mehr Westschweizer Leaks betroffen. --JustLeaks (Diskussion) 23:14, 29. Dez. 2016 (CET)

Ich habe mal die Passwortsicherheit gegengecheckt bei https://passwortcheck.pcfeuerwehr.de/passwort-check.php:

"Top Ten" der beliebtesten deutschen Passwörter (HPI, 2016)

Rang	Passwort	Passwortsicherheit (Gesamtpunktzahl)[9]
1.	hallo	unsicher (-20)
2.	passwort	unsicher (-5)
3.	hallo123	unsicher (-10)
4.	schalke04	unsicher (+35)
5.	passwort1	unsicher (+35)
6.	qwertz	unsicher (-35)
7.	arschloch	unsicher (+15)
8.	schatz	unsicher (0)
9.	hallo1	unsicher (+20)
10.	ficken	unsicher (0)

"Top Five" der beliebtesten Schweizer Passwörter (HPI, 2016)

Rang	Passwort	Passwortsicherheit (Gesamtpunktzahl)[10]
1.	soleil	unsicher (0)
2.	hallo	unsicher (-20)
3.	juventus	unsicher (-5)
4.	qwertz	unsicher (-35)
5.	Passwort	unsicher (+15)

Just for fun. Andere passwort-checker? --Atlasowa (Diskussion) 23:05, 30. Dez. 2016 (CET)

• http://www.pwsecurity.de/?page=check

--Atlasowa (Diskussion) 23:17, 30. Dez. 2016 (CET)

Nun, das Resultat ist nicht überraschend. Sind ja alles simple Wörter oder bekannte Buchstabenreihen auf der Tastatur.

Passwortchecker selber sind nicht sehr gut. Sie unterschätzen zum Beispiel diese Passphrase, ein sehr starkes Passwort, obwohl es aus 6 Wörtern besteht: sibilant dapper meddle appellee asteroid affix. Hier ein Passphrase-Checker mit dem berühmten Erklär-Comic. --JustLeaks (Diskussion) 01:53, 31. Dez. 2016 (CET)

Könnte bitte jemand real existierende (also historische) Beispiele für praktische Relevanz angeben, wenigstens ein paar? Es ist hier wie in den üblichen Medienberichten viel zu theoretisch. Kombinatorik hin, statistische Betrachtung her. In der Praxis werden doch gar keine erfolgreichen Brute-Force-Angriffe auf Bank-Konten oder amazon-Konten berichtet, oder? Es muesste schon jemand in mein Haus einbrechen und seine Brute-Force-Maschine oder seine Woerterbuch-Festplatte an meinen Rechner anstoepseln, sonst kann man wegen begrenzter Netzgeschwindigkeit sowas doch gar nicht machen, oder? 1 Mio Kombinationen pro sec? bei DSL6000-Anschluss? Ich meine mich zu erinnern, dass ein Passwort-tipp so ging: Jedes halb-triviale Passwort ist immer noch besser als "12345" oder "abcde" oder "qwerty". Was ich meine ist z.B.: Belegbare Presseberichte wie "Im Jahre 2006 wurde das Konto von Gerlinde Kapulske (Jahrgang 1902) bei der MV-Bank in Hastdunichtgesehn um 20.000 Mark erleichtert. Die Täter hatten ihr Passwort "bank1902" erraten." Oder sowas: "Max Beinlich wurde 2010 als Vorstand seines MDAX Unternehmens gefeuert, nachdem bei seinem facebook-Konto beleidigende Darstellungen über den Hauptaktionaer gefunden wurden. Das Facebook-Account war von einer Verbecherbande mittels Woerterbuchangriff geknackt worden, das Passwort "Aktionaers-Gelumpe" hatte sich als zu schwach erwiesen." Cheers.

--Bashir001 (Diskussion) 15:26, 16. Apr. 2014 (CEST)

Das Problem ist, dass die Einbruchsmethoden nur extrem selten öffentlich werden. Viele Angriffe werden erst gar nicht bemerkt und noch seltener der Angriffsweg. Ob das Passwort erfished oder gebrutforced wurde ist im Zweifelsfall praktisch nicht herauszubkommen. (Bei unseren Mail-Nutzern müssen wir alle Nase lange einem das Passwort ändern, weil offensichtlich Schmu über den Account getrieben wird. (So viele dass wir den Vorgang automatisieren mussten. Wo wir die eigentlich ganz gerne persönlich eingeladen hätten.) Ob da die Passwörter gebrutforced, gefished weitergegeben oder vom Ex geklaut wurden – für uns dann auch nicht mehr nachvollziehbar.) Bei den anderen wird garantiert nicht veröffentlicht wie der Angreifer rein kam. Ich könnte auf Anhieb 3 Einbrüche nennen, wo schlechte Passwörter eine Rolle gespielt haben. Würde aber massiv ärger bekommen, wenn ich die jetzt hier veröffentlichen würde. Über eine DSL-6000 Leitung lief aber natürlich keine von denen. Die Sache ist, dass dann oft "mehrstufige" Angriffe sind: Zuerst verschaffst du dir eine gute (meist illegitime) Möglichkeit schneller zu brutfrocen (meist Zugang zu Hashes oder einen direkten lokalen Zugang mit weniger Rechten) und dann wird gebrutforced.

Daneben bin ich Admin (sowohl beruflich wie auch hobbymäßig) und kann sagen, dass es auf mehrere Tausend Fehlversuche typischerweise einige wenige Logins gibt. Dass sich die Leute so oft vertippen ist natürlich quatsch. Der Trick ist, von extrem vielen Anschlüssen extrem viele Ziele anzugreifen. Für jeden einzelnen ist die Wahrscheinlichkeit extrem gering (sowohl auf Angreifer- wie auf Seit des Angegriffenen) Aber wenn du mit ein paar Zehntausend Anschlüssen einige tausend Seiten mit ein paar hundert Accounts angreifst kann schon mal das ein oder andere Passwort rausfallen.

Die schiere Anzahl der Leute, die das versuchen spricht glaube ich massiv dafür, dass die auch hin und wieder erfolgreich sind. --Fabiwanne (Diskussion) 14:41, 17. Apr. 2017 (CEST)

Oft wird mir ein Passwort mitgeteilt und später als Kennwort abgefragt. Ist diese Verwechslung Absicht oder Böswilligkeit oder Nachlässigkeit? Wen will man damit verwirren? Ähnlich wird mir eine Benutzer-ID zugeteilt und als Benutzername abgefragt. Warum diese Verwirrung? Soll das ein Schutz vor Hackerangriffen sein? --Dr. Hartwig Raeder (Diskussion) 07:07, 11. Apr. 2017 (CEST)

Wohin zielt dieser Vorwurf? Dass Kennwort ein Synonym für Passwort ist, wird schon im ersten Satz erwähnt. --B-greift (Diskussion) 22:41, 13. Apr. 2017 (CEST)

Kein Vorwurf. Sondern die Frage nach dem Sinn solcher Verwirrungen. --Dr. Hartwig Raeder (Diskussion) 05:14, 14. Apr. 2017 (CEST)

Solche Diskussionen sind hier fehl am Platz. Versuche es vielleicht mal im WP:Cafe. Diese Diskussionsseite dient ausschließlich dazu, Verbesserungen am Artikel Passwort zu besprechen. Steht auch schon oben in der Infobox. --TheRandomIP (Diskussion) 10:52, 14. Apr. 2017 (CEST)

Nein. Dieser verwirrende Sprachgebrauch muss hier beim Stichwort Passwort thematisiert werden. Zwei Begriffe sind niemals zu 100 Prozent synonym. Warum werden Passwörter vergeben, wenn nie wieder explizit nach ihnen gefragt wird? Warum werden Kennwörter abgefragt, die man nie unter dieser Bezeichnung bekommen hat? --Dr. Hartwig Raeder (Diskussion) 11:51, 14. Apr. 2017 (CEST)

Wenn du meinst. Änderungen am Artikel können aber nur auf der Basis von Quellen vorgenommen werden. WP:KTF ist in diesem Falle zu beachten. Die mir bisher bekannten Quellen sagen, Passwort und Kennwort hätten dieselbe Bedeutung. (siehe Duden) --TheRandomIP (Diskussion) 12:33, 14. Apr. 2017 (CEST)

Das ist ja unstrittig. Mich wundert nur die häufige beschriebene Parallelverwendung beider Begriffe ohne erkennbaren Grund. --Dr. Hartwig Raeder (Diskussion) 13:23, 14. Apr. 2017 (CEST)

Eben gerade wieder wurde nach der Kennung gefragt, mir wurde jedoch vorher der Benutzer mitgeteilt. Woher soll ich die Synonymität kennen? --Dr. Hartwig Raeder (Diskussion) 20:52, 14. Mai 2017 (CEST)

Sorry, sehr befremdliche Frage resp. noch befremdlichere Diskussion. Vorweg: es ist zwar schon so, daß "Passwort" und "Kennwort" nicht 100% dasselbe sind (da sie ja anders heißen); in der Praxis läuft das jedoch auf 100% dasselbe hinaus. Ein Blick auf die Wortbildung selbst zeigt das: ein Passwort wird benötigt, um eine Sperre passieren zu können (wie das Wort schon sagt). Ein Kennwort wird benötigt, um an einer Sperre erkannt zu werden (damit sie bei korrekter Erkennung dann passiert werden kann). Etymologisch leicht anders gelagert, aber faktisch resp. in der Anwendung somit 100% dasselbe. Beim Benutzernamen resp. der Benutzer-ID ist es haargenau dasselbe: ein Benutzer muß dem System bekannt sein, also wird ihm ein Name gegeben, unter dem er identifiziert werden kann. Wenn beim Benutzernamen das Augenmerk auf der Tatsache beruht, daß der Benutzer einen Namen erhält, wird bei der Benutzer-ID das Augenmerk darauf gelegt, daß der Benutzer (aufgrund seines Namens) erkannt und (als gültiger Benutzer) identiifiziert werden kann. Auch hier in der Anwendung 100% dasselbe: zum einloggen wird a) eine Benutzerbezeichnung benötigt, unter der ein Benutzer als zulässig im System eingetragen wird, und es wird b) ein "Schlüssel" verlangt, mit dem sich der Benutzer ausweisen kann. Ob die Bezeichnung dessen, womit sich der Benutzer zu erkennen gibt, nun als "Benutzername" oder "Benutzer-Identifikation" lautet, ist haargenau dasselbe; ebenso, ob der Schlüssel nun als "Kennwort" oder als "Passwort" bezeichnet wird. --ProloSozz (Diskussion) 10:48, 1. Sep. 2017 (CEST)

Vielen Dank für die erschöpfende Antwort. 1.) Ich bin Benutzer; mein Name ist mein Benutzername. 2.) Meine Benutzeridentifikation entspricht aber nicht meinem Namen. 3.) Kennwort und Passwort sind Synonyme. - Es gibt also drei verschiedene Antworten auf geschätzt zehn verschiedene Fragen. Ganz schlimm wird es, wenn mir ein Kennwort mitgeteilt wird, in Zukunft aber nach meinem Passwort gefragt wird. So kommt es zu Verwechslungen zwischen Passwort und Benutzer-ID. Das sollte nicht sein. --Dr. Hartwig Raeder (Diskussion) 11:34, 1. Sep. 2017 (CEST)

Bitte ... :) ... wobei die Antwort doch noch nicht ganz erschöpfend ist: 1.) ein Benutzername gilt für jenes System, für den dieser Benutzername angelegt wird. Dieser kann i.d.R. beliebig gewählt werden; d.h. er muß keinerlei Zusammenhang mit dem (im Reisepass stehenden) Real-Namen der anmeldenden resp. nutzenden Person haben. Der reale Name einer Person und ein Benutzername, unter dem diese Person sich an einem System registriert*, sind zwei verschiedene Dinge, die sich in Übereinstimmung bringen lassen können (sofern die Person das will und bereit ist, seine Pseudonymität aufzugeben), aber nicht müssen (es sei denn, der Dienstanbieter schreibt dies vor (was außer bei Sozialen Netzwerken mit offensichtlichem Bezug zu den Realpersonen) eher unüblich ist. In Webforen oder Portalen (wie hier die Wikipedia) kennt man seine Pappenheimer schon nur am Stil und muß die Realpersonen dahinter nicht kennen, um kommunizieren zu können. 2). a) eine "Benutzeridentifikation" muß nicht unbedingt dem Realnamen entsprechen (je nach Dienst ist das aber erlaubt oder gar gefordert). b) mit "Benutzerkennung" können zwei Dinge gemeint sein: i) der Benutzername (allein); damit ist zwar festgelegt, welcher Benutzer gemeint ist, aber noch nicht geprüft, ob sich da nicht jemand als ein anderer Benutzer ausgibt, als seinem Konto zugeordnet ist, und ii) Benutzername zusammen mit dem Passwort; damit sich der Benutzer "ausweisen" kann (um einzuloggen), muß er die "Prüfung" bestehen, daß er es wirklich ist. Es ist wie mit einem Ausweisdokument: da gehört ja auch dazu, daß nicht nur der Paß angeschaut wird, sondern auch abgeglichen wird, ob der Paß auch zum Träger paßt. Nur letzteres weist die Person wirklich als jene aus, die sie wirklich ist. Das gehört ja in einem gewissen Sinne zusammen: es braucht beides, um sich einzuloggen. Ein Kennwort/Passwort soll aber nie im Klartext durchgegeben werden, sonst ist es kompromittiert. 3.) Kennwort vs. Passwort: ich will mal nicht ausschließen, daß "Kennwort" eher germanophil ist und "Passwort" eher latinophil (wie auch anglophil – selbst ja auch latinophil). --ProloSozz (Diskussion) 09:56, 2. Sep. 2017 (CEST)

Im Artikel kommt das nicht richtig raus, bzw. die Begriffe sind etwas vermischt. Ist damit tatsächlich das gleiche gemeint? Ein Passwort kann ja oft unterschiedliche Längen haben, während der Schlüssel eine vorgegebene Breite (z.B. 128bit) hat, je nach Verschlüsselungsalgorithmus. Man könnte noch ergänzen, wie aus einem Passwort ein Schlüssel mit fester Breite entsteht, z.B. mit systematischem Auffüllen von Nullen oder anderen Werten, durch zwischengeschaltete Algorithmen etc. Ich kenn mich damit nicht aus. --Goldwaage (Diskussion) 12:40, 30. Jan. 2019 (CET)

Im Artikel wird nicht behauptet, ein Passwort sei das gleiche wie ein kryptographischer Schlüssel. Wo hast du das rausgelesen? --TheRandomIP (Diskussion) 18:41, 30. Jan. 2019 (CET)

Stimmt, steht nicht drin. Hier drei Abschnitte, aus denen ich den Eindruck gewonnen habe. Vielleicht kann man den kryptographischen Schlüssel an prominenter Stelle erwähnen und das Passwort für eine Verschlüsselung gegenüber dem Passwort als Zugangskontrolle abgrenzen. Im ersteren Fall dann noch, wie man vom Passwort auf den Schlüssel kommt. M.E. ist das für die IT-Sicherheit eine wichtige Fragestellung, die auch nicht ein reines Fachthema ist. 1. "Moderne Verschlüsselungsverfahren sind technisch so weit fortgeschritten, dass sie in der Praxis außer durch das Austesten aller möglichen Schlüssel – der Brute-Force-Methode – meist nur durch einen Wörterbuchangriff gebrochen werden können." 2. "Anstatt Passwörter manuell eingeben zu lassen, können Schlüssel auch in einer Schlüsseldatei abgelegt werden." 3. "Die folgende Tabelle gibt die maximal benötigte Rechenzeit eines Brute-Force-Angriffs auf verschiedene Passwörter wieder. In diesem Beispiel wird eine Rechenleistung von 1 Milliarde Schlüsseln angenommen, die der Angreifer pro Sekunde durchprobieren kann." Hier wird dagegen eigentlich deutlich unterschieden: "Damit ein Passwort nicht unsicherer ist als die eigentliche Verschlüsselung (viele gängige Verfahren nutzen 128-Bit-Schlüssel), ist für dieses theoretisch eine Folge von etwa 20 zufälligen alphanumerischen Zeichen erforderlich."

Ich würde in der Einleitung vor dem Absatz "Eine Persönliche Identifikationsnummer (PIN) ist [...]" folgenden Satz einfügen: "Ein Passwort kann einen kryptographischen Schlüssel bilden, mit dem Daten ver- und entschlüsselt werden." Außerdem würde ich ein neues Kapitel einfügen, das könnte folgendermaßen aussehen (Allerdings bin ich in diesen Dingen nicht so bewandert): "Schlüssel in der Kryptographie" "In der Kryptographie spricht man von Schlüsseln, mit Hilfe derer durch Berechnungsalgorithmen Daten so umgerechnet werden, dass sie ihren Inhalt verbergen. Mit dem gleichen oder einem anderen Schlüssel, je nach Verschlüsselungsverfahren, können die Daten wieder entschlüsselt werden. Kryptographische Schlüssel haben in der Regel feste Breiten (z.B. 128bit). Ein Passwort kann direkt einen Schlüssel darstellen, oder erst durch Umrechnung, bspw. auf eine festgelegte Schlüsselbreite. Das kann durch Anhängen von Nullen (oder festen Werten) geschehen, durch die Bildung von Hash-Summen, o.ä. Entschlüsselungsalgorithmen arbeiten prinzipiell auch mit falschen Schlüsseln, wobei die Daten dann weiterhin nutzlos sind, d.h. ihren Inhalt weiterhin verbergen. Um diesen Fall, eine falsche Dekodierung, abzufangen, wird in der IT häufig eine Authentifizierung vor das Entschlüsseln vorgeschaltet, die das Passwort auf Richtigkeit überprüft. Gängige PDF-Reader bspw. führen die Entschlüsselung einer geschützten PDF-Datei nur dann durch, wenn das Passwort auch tatsächlich stimmt. Dem Passwort kommt dabei eine Doppelrolle zu."Goldwaage (Diskussion) 13:55, 31. Jan. 2019 (CET)

Ich würde das unter "Einsatz von Passwörtern" kurz beschreiben. Den Artikel Schlüssel (Kryptologie) gibt es schon, also brauchst du das hier nicht nochmal als Kapitel hinzufügen. --TheRandomIP (Diskussion) 22:12, 1. Feb. 2019 (CET)

Es stimmt nicht, dass bei AES längere Passwörter als welche mit mehr als 32 Zeichen nicht funktionieren. Bei den meisten AES-Anwendungen kann man durchaus wesentlich längere Passwörter eingeben. Passwörter, die länger als 32 Zeichen lang sind, bringen nur halt bei AES keinen Sichehreitsgewinn gegenüber Passwörtern mit "nur" 32 Zeichen. Ab einer Passwortlänge von 32 Zeichen ist die Passwortlänge 256 Bit. Daher habe ich die Klammer des Satzes "Da die Länge der Kennwörter, die zur Verschlüsselung verwendet werden können, softwareseitig oft begrenzt ist (zum Beispiel 32 Zeichen bei AES), sollte man immer..." in folgende Klammer geändert: "...(- zum Beispiel bringen längere Passwörter als welche mit 32 Zeichen bei AES keinerlei Sicherheitsgewinn)...".

Wenn man Plain AES-265-ECB benutzen würde bräuchte man tatsächlich exakt 265Bit. So lange sind z.B. 32 ASCII zeichen. Da die aber z.B. alle mit 0 anfangen ist das garantiert nicht sinnvoll da ein 1:1 mapping zu machen. Alle gängigen Verschlüsslungsverfahren erzeugen ihre Keys für die eigentliche Verschlüsslung deswegen anders. Oft kommt eine hash-Funktion zum Einsatz, die entsprechend beliebig lange Passwörter akzeptiert. Dadurch würde einen Brute-Force-Angriff dann auch durch längere passwörter erheblich verlängert werden. (Entropie in der dt. Sprache sind z.B. < 2Bit/Zeichen) Da aber auch nach optimistischten schätzungen in den nächtsten 50 Jahren kein Supercomputerclaster auch nur in die nähe davon kommt auch nur 110Bit durch Bruteforce zu knacken ist diese Rechnerei total sinnlos. Ob ein Angriff jetzt 200Jahre oder 2Mio. jahre geht ist wurst. Diesen Angriff wird keiner machen. Habe den absatz deswegen und wegen anderen Mängeln mal vollständig entfernt. Die Infos sind so oder so nochmal im Absatz drüber und im Abscnitt drunter enthalten. --Fabiwanne (Diskussion) (19:09, 19. Okt. 2013 (CEST), Datum/Uhrzeit nachträglich eingefügt, siehe Hilfe:Signatur)

Weder das Wort "AES" noch "32" tauchen im Artikel noch auf. Ich habe zudem im Artikel deutlich darauf hingewiesen, dass es nicht auf die Länge ankommt. Damit sollte dieser Kritikpunkt erledigt sein. Falls nicht, gerne im Artikel ergänzen und korrigieren.

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Der abschnitt ist extrem einseitig. Während oben noch von den verschiedenen Einsatzgebieten die Rede ist, werden unten nur noch Logins betrachtet. (Und z.B. Verschlüsslung, die ein weiteres Großes Anwendungsgebiet sind völlig außen vor gelassen.) Werde den Abschnit mal überarbeiten. Währe toll, wenn man hier ein paar anmerkungen einfügt vor weiteren edits. --Fabiwanne (Diskussion) 06:16, 17. Dez. 2013 (CET)

Sei mutig, bearbeite den Artikel einfach, große vorherige Diskussion ist nicht nötig

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Ich beziehe mich auf den vorherigen Diskussionsabschnitt. Doch weil wir jetzt vielleicht einen Schritt weiter sind, lege ich einen neuen Diskussionsabschnitt an. Das Ergegnis der bisherigen Disskussion ist, dass es eigentlich keine klar abgrenzbaren Verfahren gibt. Stattdessen versuchen verschiedene Techniken verschienden Probleme der Passwort-Authentifizierung zu kompensieren und diese Techniken können kombiniert werden. Mein Vorschag ist daher, den Artikelabschnitt "Verfahren" aufzugeben und stattdessen einen Abschnitt "Probleme bei der Passwort-Autentifizierung" zu konzipieren. Der Abschnitt kann aber auch anders heißen. Mir fallen einige mögliche "Probleme" ein, die man nennen kann und zu denen man Lösungsmöglichkeiten nennen kann. Zum Teil Überschneidet sich das dann mit dem Abschnitte "Sicherheitsfaktoren". Das muss man berüksichtigen und entsprechend umarbeiten.

• Ausspähen des Passwortes beim Eingeben. (auch Stichwort Keylogger)
• Ausspähen des Passwortes auf dem Übertragungsweg (Stichwort verschlüsselte Komunikation)
• Merken und Speichern des Passwortes von einem Menschen (beinflusst die Wahl des Passwortes, aufschreiben?)
• Merken und Speichern des Passwortes von einer Maschine, einem System (hier kann man das Hash-Verfahren nennen)
• Erraten und ausprobieren von Passworten. (Brute-Force, Nutzer sperren, wenn zu häufig falsches Passwort)
• Passwort-Phishing (https, ssh, Nutzer muss prüfen ob mit dem richtigen Server verbunden)
• Verrat des Passwortes durch den Clienten (verschenken von Berechtigungen, deligieren von Aufgaben durch Weitergabe des Passwortes)
• Verrat des Passwortes durch die Service-Seite (Grundsätzlich gibt es keine Beweisbarkeit wer sich authentifiziert hat. Auch die Service-Seite könnte das Passwort verraten. Bei jeder Authentenfizierung wird das Passwort der Service-Seite zumindest temporär bekanntgegeben. Verweis auf den Abschnitt Alternativen)

Ich glaube, das sind z.Z. aktuelle Themen in allen Rechenzentren. --B-greift (Diskussion) 23:18, 14. Jul. 2014 (CEST)

Ich habe die Anregungen weitestgehend in den Artikel eingearbeitet. Falls noch was fehlt, ergänz es gerne.

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

(Vorab: Dass von brute-force-Methoden ignorierte Zeichen die Sicherheit drastisch erhöhen ist klar!) Aber warum muss ein gutes Passwort Groß- und Kleinbuchstaben und Ziffern und möglichst Sonderzeichen verwenden? Wenn ich vorab von einem System oder Nutzer weiß, dass es, sie, oder er solch eine Einschränkung hat: ist klar. Dies ist aber in der Regel nicht der Fall. Benutzer a hat spjfiorjef74330ksdjm, Benutzer b spjfiorjefAZKRMksdjm, Benutzer c spjfiorjef,&$:<ksdjm. Die sture Forderung von Systemen unbedingt mindestens Groß-, Kleinbuchstaben und Ziffern zu nehmen ist m.E. nicht logischer, als eine Forderung, dass "spjFIORjef,&$:<72046" unbedingt die Buchstaben [v..z, V..Z] verwenden muss. --Vigilius (Diskussion) 00:52, 22. Dez. 2015 (CET)

Habe ich in den Artikel eingearbeitet, Stichwort "Entropie". Das ist mir auch schon lange ein Dorn im Auge.

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Was spricht prinzipiell dagegen, Computersysteme so zu gestalten, daß nach jeder mißlungenen Paßworteingabe immer erst eine gewisse Zeit vergehen muß, bevor wieder ein neuer Einlogversuch möglich ist? Da der Mensch nicht beliebig schnell tippen kann, reicht es doch aus, daß in einer Sekunde nur eine Passworteingabe möglich ist. Wo liegen die Probleme?

Hier ist nicht die WP:Auskunft. Inwiefern soll das zur Artikelverbesserung beitragen? --TheRandomIP (Diskussion) 20:41, 30. Jun. 2017 (CEST)

Der Artikel geht auf diese Frage bereits ein, Stichwort "Einmalpasswort".

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Die Beispiel mit facebook und Wikipedia mit "wenn jemand zu Zugriff auf die Passworte hat" sind irreführend, da die Passworte hier nicht im Klartext gespeichert sind.
Desweiteren habe ich den Teil mit "Zugänge sollten nicht nach einigen Fehlversuchen gesperrt werden". Wo auch immer diese "sollte nicht" definiert sein soll, dies ist nicht nur realitätsfern (das wird von diversen Betriebssystem als Standard definiert, wie Windows, Linux, zOS...) sondern stellt auch eine Sicherheitslücke dar.--Mideal (Diskussion) 15:40, 18. Okt. 2017 (CEST)

So irreführend ist das gar nicht.

Die Passwörter werden im Idealfall auf Serverseite nicht im Klartext gespeichert, aber zum Beispiel im Browser. Wenn ich nun die Passwörter im Browser kenne, kann ich dadurch auch versuchen, das Schema auf andere Passwörter anzuwenden. Stichwort Spyware.

Systeme, die den Zugang nach mehreren Fehlversuchen sperren, sind anfällig für Denial-of-Service-Angriffe. Hier ist also immer ein Kompromiss nötig.

Änder gerne den Artikel selbst, hier ist noch genug zu tun, bis das ein exzellenter Artikel wird.

--RolandIllig (Diskussion) 18:34, 11. Jun. 2020 (CEST)

"Ein Passwort, Kennwort, auch Passphrase, Schlüsselwort,[1] Codewort (auch Kodewort), Losung, Losungswort oder Parole (von italienisch la parola ‚das Wort‘) genannt, dient zur Authentifizierung. Hierzu wird eine Zeichenfolge vereinbart und benutzt, durch die sich jemand, meist eine Person, ausweist und dadurch die eigene Identität bestätigt."

- Ein Passwort dient nicht der Authentifizierung sondern der Authentisierung. Die Unterscheidung ist in dem Verlinkten Artikel Authentifizierung so auch plausibel erläutert. Das Passwort ist somit ein Geheimnis (Faktor Wissen), dass bei der Authentisierung durch den Benutzer eingegeben wird und im Zuge dessen durch das System authentifiziert, d.h. geprüft wird.

- Die Zeichenfolge wird nicht "vereinbart" sondern bei der Registrierung festgesetzt.

- "Eine Zeichenfolge, durch die sich jemand ausweist" - Auch dies ist falsch. Es können alle Entitäten sein, nicht nur Personen, sondern auch Systeme. oder Gruppen aus diesen. Ein Passwort wird auch nicht zum "ausweisen" benutzt. Wenn man dem verlinkten Ariutkel folgt, wird dies schnell klar. Ausweisen bedeutet die Beteiligung eines Artefaktes aus dem Faktor "Besitz". Das Passwort ist aber "Wissen".

- "dadurch die Identität bestätigt" - Auch hier wieder falsch. Die Identität, wie im verlinkten Artikel erläutert, kann nicht durch ein Geheimnis bestätigt werden. Siehe auch Identitätsfeststellung. (nicht signierter Beitrag von 91.221.59.205 (Diskussion) 14:21, 8. Jun. 2020 (CEST))

- "Neben der Aufgabe Identifizieren von Personen werden Passwörter auch dazu verwendet, um bestimmte Berechtigungen nachzuweisen: Wer das Passwort (den richtigen Code) kennt, gilt als berechtigt." - Auch hier wieder arg falsch. Passwort wird bei der Authentisierung verwendet (d.h. Zugang zum System). Berechtigungen werden bei der Autorisierung verarbeitet (d.h. Zugriff zum System). (nicht signierter Beitrag von 91.221.59.205 (Diskussion) 14:25, 8. Jun. 2020 (CEST))

Ich habe die Einleitung stark überarbeitet. Schau mal, ob es so besser ist. Nächstes Mal darfst du gerne mutig sein und selbst den Artikel ändern. Korrigieren und präzisieren können ihn andere immer noch.

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Hallo Lesegemeinde,

den Link "Passwortrichtlinien und -angriffe" habe ich aus folgenden Gründen eingetragen:

• 1.) Im Bereich "Sichere Kennwörter für die Verschlüsselung" wird das Brute-Forcing angesprochen. Der verlinkte Artikel beschreibt sowohl die akive als auch die passive Variante.
• 2.) Der sehr wichtige Aspekt "Passwortrichtlinien" wird in dem Wikipediaartikel nicht angesprochen. Dies gehört zwar nicht in das Grundwissensspektrum bezüglich der Kennwörter, der Leser kann sein Wissen jedoch bei Bedarf über den verlinkten Artikel ergänzen.

16.06.2006

Das Thema "Passwortrichtlinien" wird mittlerweile im Artikel behandelt.

Archivierung dieses Abschnittes wurde gewünscht von: RolandIllig (Diskussion) 18:40, 11. Jun. 2020 (CEST)

Kann archiviert werden. Jetzt aber wirklich. --RolandIllig (Diskussion) (ohne (gültigen) Zeitstempel signierter Beitrag von RolandIllig (Diskussion | Beiträge) 20:22, 19. Nov. 2023 (CET))

Neben Verstößen gegen die Empfehlung im Artikel Passwortrichtlinien wie „muss mindestens 1 Sonderzeichen enthalten“ oder „muss Ziffern, Klein- und Großbuchstaben enthalten“ sollen nicht verwendet werden existiert auch noch die Unsitte, dass als Zweiteingabe eine sogenannte "Passwort-Bestätigung" verlangt wird.
Um sich bei einem bekannten Versandgeschäft zu registrieren, ist auch die zweimalige Eingabe der Mail-Adresse als Benutzername norwendig; während die Eingabe in das erste Feld mittels Kopieren möglich ist, sind die Bestätigungsfelder gegen Kopieren gesperrt - hier müsste die Eingabe manuell Zeichen für Zeichen erfolgen!
Obwohl es sich um eine unkritische Anwendung ohne besondere Berechtigung handelt, werden übertriebene Sicherheitsstandards angewandt.
Für das Passwort gilt dieser Wust an Einschränkungen

• Mindestens 10 Zeichen lang
• Mindestens 1 Kleinbuchstabe
• Mindestens 1 Großbuchstabe
• Mindestens 1 Zahl
• Mindestens 1 Sonderzeichen

Anstatt es also dem Anwender zu überlassen, wie sicher er sein Passwort für unkritische Anwendungen gestalten möchte, werden ihm Zeichenfolgen vorgeschrieben, die er sich sicherlich nicht mehr merken kann. Wer die lästige (und vollkommen sinnlose!) Doppeleingabe, noch dazu kopiergesperrt, als Unfreundlichkeit gegen Kaufwillige und solche rigorose Bevormundung bei der Passwortgestaltung ablehnt, muss auf die Inanspruchnahme dieses Händlers verzichten. -- sarang♥사랑 12:32, 8. Okt. 2022 (CEST)

Persönliche Betrachtungen zum Thema gehören nicht hierher. – in neutraler, unemotionaler Formulierung würde eine Abhandlung über Sinn und Unsinn von Passwortregeln dem Artikel guttun. --RolandIllig (Diskussion) 20:37, 19. Nov. 2023 (CET)