Passwörter: Sicherheit & Verwaltung (with engl. transla

[Lanzi]

in der ct 3/2013 wird speziell auf Passwörter und die Sicherheit der gewählten Passwörter eingegangen.
Kurz zusammengefasst wird gesagt, dass sie 6 Millionen Passörter, die bei einer Plattform (klinkt wie Link*** möchte ich hier nicht nennen) entwendet wurden zeigen, dass mittlerweile jedes Passswort, was Menschen sich ausdenken knackbar ist, nicht durch brute force, sondern durch heuristische Regeln und auch probieren von Kombinationen. Selbst Passworte mit mehr als 30 Buchstaben wurden geknackt.
Ältere Tipps zu diesem Thema müssen also widerrufen werden!

Die ct rät dazu ein Passwortgenerator zu verwenden und ein mindestens 8 stelliges Passwort zu erzeugen und dieses dann in Variationen anzuwenden.

Weiterhin wird auf sogenannte Passworttresore eingegangen, die nicht verteufelt werden sollten.

Zwei Fragen:
1. Welches Programm unter Linux erzeugt zufällige Passworte aus Buchstaben (groß und klein), Zahlen und SOnderzeichen?

2. ist die digitale Brieftasche von KDE ein vertrauenswürdiger Passwortsafe? Gibt es unter Linux / KDE sicherere Lösungen? Weiß da jemand genaueres?


----

Brief abstract in English:
German computer-magazine ct spoke about passwordsecurity last week. The said in brief, that every password men can create, is not safe enough. Older opinions on this have to revised!
Even long combinations of more than 30 leters have been cracked (Link***-hack) using heuristics and brains!
So the only solution would be using completly random passwords (letters, numbers ecc) and make varriations of these.

So my two questions:
1. what programm can create random passwords under linux
2. is the kde-wallet safe as a passwordmanager? Are there better options?

[michaa7]

...
Zwei Fragen:
1. Welches Programm unter Linux erzeugt zufällige Passworte aus Buchstaben (groß und klein), Zahlen und SOnderzeichen?

# apt-cache search create password

otp - Generator for One Time Pads or Passwords
passwordmaker-cli - creates unique, secure passwords - CLI version
php-text-password - a PEAR module for creating passwords with PHP

[gypsy56]

In iceweasel verwende ich das Addon 'LastPass'. Das kann das Geforderte und noch viel mehr.

[bluelupo]

Hi Lanzi,
ich habe den Artikel (noch) nicht gelesen in der C'T, aber sind davon auch Passwörter betroffen die keine Kombinationen aus Wörterbüchern sind, sondern sogenannte Passphrase-Sätze.

Beispiel:
Passphrase-Satz: Ich bin ein guter Passwort-Ersteller, die meiner eigenen Sicherheit dienen!
Passwort (jeweils erster Buchstabe vom Wort, ggf. durch Zahlen ersetzen): Ib1gP-E,dmeSd!

Ich kann mir nicht vorstellen das dies (momentan) knackbar ist.

EDIT:
Alternativen zu kwallet wären keepass2 siehe http://keepass.info/ oder  keepassx http://www.keepassx.org/, beide sind als Debianpakete verfügbar.

[agaida]

http://howsecureismypassword.net/ und vor allem http://xkcd.com/936/ sollten Anhaltspunkte liefern

[bluelupo]

Hi agaida,
hmmm, die Informationen zum letzten Link verstehe ich nicht :-((

[agaida]

Eigentlich kann man das gesamte Thema runterbrechen auf die Passwortlänge. Entropie erreichst Du nur durch Länge. Da meist nicht per Brutforce gehackt wird, sondern über Wortlisten und Permutationen der Wortlisten ist so ein Quatsch wie das Ersetzen von Vokalen durch Zahlen sinnlos, "Willi ist ein dummer Hund" dürfte also ein wesentlich sicheres Passwort als f!a445@§#/() sein. Besser merkbar ist es auch noch.

EDIT: Obwohl der Unterschied zwischen 2 billion years und 151 octillion years ein wenig weit hergeholt ist. Ich würde vermuten, dass mir selbst bei einem Faktor von .001 die Sicherheit noch ausreichen würde.

[Lanzi]

@Bluelupo. Lies mal den Artikel dazu. Im Grunde gelten auch solche Passworter als nicht mehr sicher.

AN alle anderen Danke für die Tipps. Werde mal forschen :-)

[Lanzi]

@Agaida: Auch Willis Hund ist kompromitiert ;-)

[agaida]

das glaub ich nun weniger. und wenn das stimmen sollte, dann hat ist harry auch blöd etc.pp

Aber ich kann da nicht mitreden, ich hab die ct nicht und werde sie wegen diesem Artikel auch nicht kaufen. Dazu ist mir das Geld zu schade.

[cryptosteve]

Ich verzichte in Passwörtern bisweilen auf Sonderzeichen, weil ich speziell in Foren immer wieder mal Schwierigkeiten damit habe.

Die Sicherheit erhöhe ich mit einer entsprechenden Passwortlänge und - wichtig - unterschiedlichen Passwörtern für jeden(!) einzelnen Dienst.

Passworte selbst erzeuge ich via apg:

Code Select Expand

#!/bin/sh

PW=`apg -m $1 -x $1 -M NCL -n 1`
echo " "
echo "Passwort-Generator"
echo "------------------"
echo " "
echo "Passwort lautet: $PW"

Das Skript ist asbach uralt und potthässlich, aber es tut, was es soll.

[absolut]

Lanzi, hier mal mein Senf zu Deinen Fragen:

wer zum Aufbewahren aller möglicher Passwörter das Programm keepassx/keepass2 (oder ähnliche?) verwendet, kann auf den dort eingebauten Passwort-Generator zurück greifen. So lässt sich das Generieren und Abspeichern des Passworts in einem Rutsch (in einem Prog) erledigen.

[Lanzi]

@Cryptosteve:
Wenn ich Dein Script starte, habe ich keine Ausgabe:

root@Siduction:/usr/local/scripte# ./passwortgenerator.sh
checkopt: wrong option format

Passwort-Generator
------------------

Passwort lautet:
root@Siduction:/usr/local/scripte#

@michaaa7: otp kann nur kleine oder große Buchstaben oder Nummern, aber nie alles vermischt. sowie es aussieht. Sonderzeichen tauchen nicht auf.
Die anderen teste ich noch.

[hefee]

Heise hat nun eine kurzen Artikel darüber veröffentlicht:  http://www.heise.de/newsticker/meldung/Passwoerter-machen-sicher-mit-Grammatik-chaotischer-1793873.html

Im Groben geht es darum, dass wenn Passwortknacker Grammatik verwenden um Passwörter zu raten, dann kommen sie halt deutlich schneller ans Ziel, wenn das Passwort aus einem grammatikalisch richtigen Satz abgeleitet wurde. Das ist ja voll die ÜBERRASCHUNG.

Captain obvious macht gleich weiter:
Wenn mensch die Grammatik mit absicht putt macht dann tut das auch nicht mehr.