Dieser Beitrag wurde vor mehr als 11 Jahren veröffentlicht. Daher kann es sein, dass sein Inhalt oder ein Teil davon nicht mehr aktuell ist.
Was ist wichtiger im Internet als Passwörter? Genau sichere Passwörter. Sich solche einfallen zu lassen, ist aber immer so eine Sache, in den meisten Fällen sind sie schlichtweg zu persönlich und ein Passwort á la »nr/FoÄooYaVEjP9h« ist einfach für einen Normalnutzer nicht leicht genug zu merken. Doch was wäre das Internet, wenn es nicht auch dafür einen leicht zu handhabenden Generator geben würde? Mit dem einzigartigen Namen »Passwort Generator« sticht folgendes Tool aus der Masse… Oder ist zumindest praktisch.
Sieht auf dem ersten Blick vielleicht kompliziert aus, auf den zweiten Blick, sieht man aber oben die voreingestellten Profile, von denen es gleich mal einige gibt. Wem das nicht reicht, der kann sich eben unter »Benutzerdefiniert« sein Traumpasswort zusammenklicken. Nichts arg Besonderes, aber etwas durchaus praktisches, was ich euch einfach mal empfehlen wollte, vielleicht seid ihr ja gerade zufällig auf der Suche nach einem guten Passwort-Generator. Kann man ja schließlich immer gebrauchen.
Sinn ergibt es übrigens dennoch auch diese Passwörter zu individualisieren. Nehmen wir aus dem Screenshot mal eben das Passwort »inevunala728« bis auf die 3 Ziffern hinten leicht zu merken, aber sicherer geht immer. Denn es fehlen Sonderzeichen und Großbuchstaben. Greifen wir zur L33tspeak, haben wir kurzerhand ein sicheres und merkbares Passwort á la »1N3vun4!A728«. Einige Buchstaben geben Zahlen ausgetauscht einige groß geschrieben und das L gegen ein Ausrufezeichen getauscht. Schwupp, sicher für einen selbst leicht zu merken und wenn es jemand kurz sehen sollte, bleibt es nicht bei ihm im Kopf.
Naja, Kennwörter merken?
Wofür?
Merkbare Kennwörter können in aller Regel auch einigermassen leicht erraten werden. Leicht erratbare Kennwörter will man nicht.
Und *ich* kann mir so ein Kennwort wie z.B. "efihinavu922" nicht merken. Zumindest nicht 832 verschiedene. Ergo muss ich auf ein Kennworttool zurückgreifen (LastPass in meinem Fall).
Da in LastPass die Kennwörter stehen, können da auch direkt gute, schwer merkbare Kennwörter wie sn2y6yog7ujqgw oder o!da^63kxc*upx stehen, denn LastPass hat keine Probleme sich sowas zu merken ;)
Hallo Alex,
ich persönlich vertraue auf solchen Käse wie LastPass nicht. Mag ja seine Vorteile haben, allerdings halte ich von solchen Diensten nichts, ist wohl immer wieder Geschmackssache. Und ein Passwort, was ich mir leicht merken kann, muss nicht leicht erratbar sein. Siehe das Beispiel oben.
Warum kann man sich das nicht merken? Es ist aussprechbar und somit leichter in Erinnerung zu Rufen als 76tg6f87u%&(ujk3 und genau so sicher ist es dennoch. Sicherer als wenn ich es mit LastPass sichere, denn meinen Kopf kann niemand knacken, LastPass schon, denn auch das braucht ein Passwort und wenn man nach deiner Logik geht, dann müsste man das Passwort leicht zu erraten sein, denn man muss es sich ja schließlich merken.
Ich persönlich vertraue lieber auf meinen Kopf, als auf ein Programm.
Tja, ich habe wirklich Probleme, mir für die zwei-und-umfzig^3 verschiedenen Sites komplizierte Kennwörter zu merken. Dafür gibt es einfach VIEL ZU VIELE Systeme. Bei Systemen die man häufig besucht, kann man's sich vlt. noch merken, ja.
Aber nicht bei Systemen, die man längere Zeit nicht mehr bentutzt hat.
Ergo muss man leichte Kennwörter verwenden, denn die kann man sich merken. Ergo muss man schlechte Kennwörter verwenden, denn die kann man sichmekren.
Hingegen finde auch ich es nicht schwer, sich EIN schweres Kennwort zu merken. Dadurch ist ein System sicherer, das auf LastPass (oder Keepass oder 1 Password oder …) basiert, als eines, das darauf basiert, das man sich Kennwörter merken muss.
Ich persönlich vertraue lieber einem Programm, als auf meinen Kopf, denn in meinem Kopf ist genug anderer Kram, der wichtiger ist, als eine Passworttabelle.
Hallo Alex,
jeder hat seine Vorlieben. Bei mir hält sich die Anzahl an Seiten, in denen ich angemeldet bin sowieso in Grenzen. Zudem nutze ich für unwichtige Dinge ein einfaches 12-Stelliges Passwort aus Buchstaben, Zahlen und Sonderzeichen. Selbst wenn du mich studieren würdest, würdest du nie auf das Passwort kommen.
Sprich es fallen nur wenige wichtige Passwörter an, die dann 13-18 Stellen haben, aber dennoch leicht gemerkt werden können, eben weil sie gesprochen werden können. Wann ich wie welchen Buchstaben gegen eine Zahl oder ein Sonderzeichen austausche, weiß nur mein Kopf.
Und nur weil ich es mir merken kann, heißt es nicht, dass man es erraten kann. Wie sollte man zum Beispiel auf etwas wie otunovame kommen? Und dann noch in L33tspeak?
Es wäre ein unverhältnismäßiger Aufwand zu versuchen ein solches Passwort zu knacken. Wenn man LastPass nutzt, gibt es eines. Ein großes. Das zu knacken bringt mir Zugang zu deinem kompletten Onlineleben.
Das Du für unwichtige Dinge ein einfaces 12-char PW verwendest, zeigt aber schon, dass die Methode "Kennwörter merken" "nicht skaliert". Denn von allen Seiten hört man ja, das man möglichst für jede Site ein anderes PW verwenden solle, aus Sicherheitsgründen.
otunovame verwendet z.B. nur Kleinbuchstaben. Und es müssen Vokale vorkommen, denn sonst ist's nicht aussprechbar. Das z.B. aus o -> 0 wird oder aus t -> 7, ist nicht schwer. Zumal nicht für Computerprogramme.
Bei LastPass & Co. gibt's nur ein PW, das stimmt. Das kann (und sollte!) dann aber eben auch kompliziert und vor allem Lang sein. Bei 13-18 Stellen ist's dann so lang, das es faktisch nicht brute-force-bar ist.
Ich halte ein System/Methode "Merke Dir die Kennwörter – IM KOPF!" für höchst unsicher. Führt entweder dazu, das man keine guten Kennwörter verwendet oder aber Kennwörter auf mehreren Seiten einsetzt. Beides ist schlecht.
Hallo Alex,
natürlich hört man das von allen Seiten. Man hört auch von allen Seiten das Internet sei generell unsicher oder ein rechtsfreier Raum. Die Frage ist, ob man sich etwas einreden lässt oder selbst für sich entscheiden möchte.
Um mit der Info etwas anzufangen, dass ich bei einigen Diensten das gleiche Passwort nutze, müsstest du wissen welche das sind. Welcher Benutzername oder welche E-Mail-Adresse. Natürlich bräuchtest du auch noch das Passwort, damit du mit dem Wissen überhaupt etwas Anfangen kannst und das wirst du weder erraten können noch in einer realistischen zeit Bruteforcen können.
otunovame war ein Blankobeispiel. Im Beitrag ist ein Weiteres. Aus otunovame kann man schnell was Sicheres machen, je nachdem wie sicher man es haben möchte.
0TuNov4m3 wäre nur eine Möglichkeit. Noch leicht zu knacken aber für ein Umfrageportal (nur billiges Beispiel) sicher genug. Sicherer wäre eine Abwandlich á la ()tUn0//-m3$ oder ähnlich. Das bleibt den eigenen Vorlieben überlassen. Merkbar ist es nach wie vor, aber weder erratbar noch in realistischer Zeit knackbar.
Bei vernünftigen Systemen können dann noch untypische Sonderzeichen wie ♥☺☻ oder auch ½¼ und ¾ verwendet werden.
Es steht dir frei meine Passwörter zu knacken, wenn du meinst es ist so unsicher. Ich kann dir versichern, dass kein Passwort so unsicher ist, dass es erratbar ist und selbst mit einem modernen Rechner sind sie nicht bruteforcebar, dennoch sind sie alle in meinem Kopf.
Du glaubst, 0TuNov4m3 ist sicherer als otunovame? Wieso? Da hast Du nur übliche Umsetzungen vorgenommen.
Und wenn Du "Sonderzeichen" wie "♥☺☻" zulässt – oft genug hat man, z.B. auf dem Handy, Probleme solche Zeichen einzugeben. Ergo muss man mit Copy'n'Paste (o.ä,) arbeiten.
Hier kommt dann wieder LastPass ins Spiel, das einem die Felder "vorausfüllt".
Und, ja, natürlich ist otunovame merkbar. Aber 250 Kennwörter wie otunovame sind schlicht nicht merkbar. Zumindest nicht für mich – und da würde ich durchaus mich verallgemeiner wollen, wenn man nur mal in Betracht zieht, wie trivial einfache Kennwörter die Leute so verwenden.
Da kann ein guter Ratschlag nur lauten: Leutet, verwendet eine Kennwortdatenbank wie KeePass, LastPass & Co. und verwendet da dann sichere Kennwörter a la "()tUn0//-m3$", und zwar für jede Seite ein anderes Kennwort.
Wenn man paranoid ist, lässt man sich aber seine Passwörter weder von einer Website noch von einer Closed Source Software generieren :-D
Wer außer mir hat noch mal darüber nachgedacht, warum man nicht ganze Sätze als Passwort verwendet (heißt ja oft sogar "Passphrase")? Könnten unter Umständen sogar leichter zu merken sein, sind durch die Länge sicher gegen konventionelle Attacken und durch die mögliche Vielfalt auch gegen spezielle Wörterbuch-Attacken auf Sätze.
LastPass würde ich nie verwenden, weils Closed Source ist (bei manchen Dingen hab ich da kein Problem mit, aber bei Passwortmanagern schon). KeePass ist schon besser. In der Realität hab ich aber meine ~8 Passwörter, die ich immer wieder verwende, in unterschiedlichen Sicherheitsstufen. Und natürlich Google 2-factor-Auth.
Ich sage ja auch nicht, man muss es nutzen, wie Alex es scheinbar denkt. Es war ein Tipp. Und es scheint gut von einigen Leuten gebraucht zu werden, also warum nicht? Das Ding kann nicht auf meinen Browser zugreifen und sehen wie ich mich wo wann anmelde, also habe ich da weniger Bedenken.
Solange die Sätze nicht sonderlich sinnvoll sind, geht es sicherlich. Sowas wie »Ich bin jetzt auf Google« eignet sich weniger als Google-Passphrase als »Gelbe Raupen drehen sich auf pinker Pizza« ;)
Ich handhabe es da ähnlich wie du. Ich sehe nicht ein für jedes Pupsforum ein anderen Passwort zu nutzen. Wozu? Es sind unwichtige Dinge. Wichtigere Foren bekommt halt sicherere Passwörter.
Ja, Wishu, es war ein Tipp. Allerdings eben ein schlechter Tipp, darum ja mein Einwand, denn Dein Tipp läuft im Endeffekt darauf hinaus, das man doch unsichere (=merkbare) Kennwörter verwenden soll. Und dann auch noch dazu zu raten, das gleiche Kennwort mehrfach zu verwenden, ist nun wirklich ein sehr schlechter Einwand. Aus diesem Grunde eben der Einwand.
Zumal es ja auch gar keinen Grund für so schlechte Tipps gibt – einfach einen Passwortmanager verwenden und da für jede Site komplexe, unterschiedliche Kennwörter verwenden. Ein Passwortmanager hat eben keine Probleme damit, sich unmerkbare Kennwörter zu merken. Ja, im Endeffekt muss man dann ja noch nicht mals mehr die Kennwörter selber kennen – wozu auch?
Das LastPass schlecht ist, weil's in der Cloud läuft und weil's Closed Source ist: Ja, das kann man in der Tat so sehen. Dem widerspreche ich nicht. Ich "hoffe", das die schon wissen, wie man sicher mit Daten umgeht, da das deren Geschäftsmodell ist. Und andererseits ist deren Software halt extrem praktisch. Aber, wie gesagt, ich kann verstehen, wenn jemand eine Abneigung gegen LastPass hat.
Weil Menschen so kreativ sind wie Glasplatten, empfehle ich ein Werkzeug, was sie ein wenig unterstützt. Damit sie eben keine unsicheren Passwörter nehmen, die mit einer einfachen Rainbow-Table ausgehebelt werden. Wenn du es nicht nutzen willst, dann lass es, aber verurteile Menschen nicht dafür, dass sie ihre wichtigsten Kennwörter nicht in die Cloud auslagern.
Wer sagte, das ich dazu rate, Kennwörter in die Cloud zu packen?
Genau genommen sagte ich, das ich Verständnis dafür habe, wenn Leute eben das nicht tun wollen wegen "Cloud" und "Closed Source". Dies schireb ich schon. Mehrfach.
Die Kritik bezieht sich darauf, dazu zu raten, merkbare Kennwörter zu verwenden und auch noch auf mehreren Seiten mehrfach das gleiche Kennwort.
Das ist einfach ein schlechter Rat.
In jedem deiner Antworten schreibst du, dass LastPass das einzig Wahre ist. Also such dir eine Stelle aus, wo du das sagst.
Du darfst mir aber gerne sagen, wo genau im Beitrag steht, dass man Passwörter mehrfach verwenden soll. Ich finde es nicht. Wenn es doch irgendwo stehen sollte, dann sag mir das bitte, dann kann ich das beheben. Haltlose Anschuldigungen passen hier aber nicht her.
Ich sagte nicht , das LastPass das einzig wahre ist. Ich verweise nur immer wieder auf LastPass, weil es das ist, was ich verwende. Ich sagte aber weiter, das ich verstehen kann, wenn man LastPass wg. Cloud + Closed Source nicht verwenden will.
Das mit der Paranoia war auch nicht todernst gemeint. ;-)
*neuen-openid-server-ausprobier*
Auf jeden Fall ein Schritt in die richtige Richtung: Sichere Passwörter verwenden. Teile die Ansicht von kiwiKaiser, man muss dem durchschnittlichen Nutzer so etwas an die Hand geben, das es immernoch zu viele der oben beschriebenen einachen Passwörter à la „1234“ gibt. Bestes Passwort ever: „sicher“! :)
Spaß beiseite. Wer etwas mehr als ein PW-Generator braucht dem kann ich keePass absolut empfehlen. Schade, dass ich es nicht früher entdeckt habe…damit schaffe ich es endlich all meine PWs zu tracken und werde sogar bei der Eingabe unterstützt.