Zugangsdaten Facebook-Account gehackt

[Michaleo]

einem Satz den ich mir merken kann in ein Passwort zu verwandeln.
Bisher ist mir aber noch kein passender Spruch eingefallen.

hmm, das ist ein guter Satz.
Dein Passwort ist also: BimankpSe

[phimax]

hmm, das ist ein guter Satz.
Dein Passwort ist also: BimankpSe

Könnte ich mir nicht merken und es fehlt noch eine Zahl und ein Sonderzeichen

Hat sich ja mittlerweile herumgesprochen: Je Länger, desto sicherer.
Je nach erlaubter/möglicher Länge könnte er auch PasswortefindeichimJahr2020Doov! nehmen.
Sicher wäre es auch:

screenshot_377.jpg (42.13 KiB) 1606 mal betrachtet

[Michaleo]

OK.
Ein Wort, dass jeder anglophoner Musikliebhaber über 60 auswendig kann ist :

DaveDeeDozy$BickyMickandTitch9.

oder, für die angepassten, braven:

supercalifragilis$ticexpialidocious9

[ZH-thai-fun]

Ich glaube, und weiss, Passwörter sind IQ, Bildung und Charaktersache.

Schon 1982 als ich im Sicherheitsdienst (MSE Geldtransportfirma) angefangen habe, hatten wir einen internen- Sicherheitsbeauftragten. Als ich den mal fragte was so seine Stärke seien. Sage er zu mir z. B. Als er in unserer Firma angefangen habe, bekam er unverhofft in der Probezeit zum Test die Aufgabe, in der Garderobe möglichst viele Hängeschlösser, von damals 60 Mitarbeitern, anhand deren Bewerbungen, Handschriftproben und Persönlichem kennen zu öffnen. Die Schösser waren von der Firma und alle gleich. er konnte scheinbar 17 Schlösser innert 1 std öffnen".

[Sanukshg]

Mir hat mal jemand gesagt es gibt kein sicheres Passwort, wenn der Hacker genügend Zeit hat, nur lohnt sich wohl diese lange Zeit nicht für uns kleine Leute.
Ich weiß es nicht ihm habe ich das aber geglaubt, mein Passwort hatte er in knapp 1 Minute raus.

[grunder9]

Vorgestern war ein Techniker von 3bb hier um ein neues Kabel zum Haus zu ziehen und einen neuen Router zu installieren. Ich musste ihm dann ein Passwort mit 8 Zahlen für den Router aufschreiben. Als er es sah, hat er anerkennend genickt und gesagt, dass die meisten Leute die Zahlen von 1-8 aufschreiben. Die Superschlauen würden sie in umgekehrter Reihenfolge wählen

Freundliche Grüsse
grunder

[Andia]

Ich weiß es nicht ihm habe ich das aber geglaubt, mein Passwort hatte er in knapp 1 Minute raus.

Hat er es mit einem Generator am PC gemacht oder Dir tief in die Augen und dann auf die Adresse geschaut? Ja wie heißt denn das Hündchen?
Okay Zahlenfolgen von 1 bis 8 usw. sind schon grob fahrlässig, ich habe Tastenfolgen auf der PC Tastutur die ich tippe ohne schauen zu müssen was ich tippe wie z.B. qwertzui.
Sonderzeichen sind gut aber beachtet die DACH und englische Tastatur. Hab schon oft vor der englischen Tastatur gesessen und und mich gefragt
wo ist + # und ß.
Wenn natürlich das Passwort über eine unverschlüsselte Verbindung läuft ist es für Hacker kein Problem darum immer auf das S in der Browserzeile bzw. das Schloss achten.

[Sanukshg]

Andia nein er war nur an seinem Tablett.
Natürlich kennt er meine Frau und Kinder und weiß natürlich dadurch auch ihre Geburtstage, ich glaube viele nehmen aus diesem Bereich auch Zahlen.

[thedi]

Ja wie heißt denn das Hündchen?
...ich habe Tastenfolgen auf der PC Tastutur ... z.B. qwertzui.

Als ich noch an der ETH arbeitete, war ich dort in der Gruppe für die Benutzervalidationen aller Studenten und Angestellten tätig. Von dort hatte ich Einblick in die Praxis von Passwortsicherheit.

Der Name des Hündchens ist besser als eine Tastenfolge. Tastenfolgen verwenden viele, es gibt in Hackerkreisen Listen von oft verwendeten Passworten - Tastenfolgen sind dort dabei. Der Name des Hündchens aber wohl eher nicht.

Passwort-Knacker gehen nur bei Promis gezielt vor. Der Aufwand ist gewaltig: heraus finden wann er geboren wurde, wann er heiratete, wie seinen erste Freundin hiess usw. usf. ist zwar nicht unmöglich, aber aufwändig und kann vor allem nicht automatisiert werden.

Fischen ist einfacher.

Immer wieder werden Logindaten auf Servern geklaut. Dort ist das Passwort zwar Einweg-verschlüsselt gespeichert - d.h. man kann das plain text Passwort nicht aufgrund der Einweg-verschlüsselten Daten rekonstruieren. Aber man kann versuchen mit dem gleichen Verschlüsselungsverfahren eine Liste von oft verwendeten Passwörter ausprobieren - wenn man auf dasselbe verschlüsselte Passwort kommt, ist man am Ziel. Das kann parallel auf einem Botnet geschehen. Damit steht eine gewaltige Rechenpower zur Verfügung, was die erstaunlich kurzen Knackzeiten erklärt.


Brute force wird höchstens für lohnende Ziele angewandt. Dabei werden systematisch alle möglichen Buchstabenfolgen ausprobiert. Natürlich hat ein Passwortknacker auch hier nur eine Chance, wenn er wenigstens ein verschlüsseltes Passwort hat. Ein brute force Angriff auf ein Produktionssystem würde innert Kürze von einem System-Manager entdeckt, weil ein Fehler-Log überlaufen würde. Je länger das Passwort - und vor allem: je grösser der verwendete Zeichensatz - desto länger hat eine brute force Attacke bis sie zum Ziel kommt.

Der langen Rede kurzer Sinn: verwende ein Passwort das in keinem Lexikon und in keiner Häufig-verwendete-Passwort-Liste enthalten ist. Der Name des Hündchens wäre gar nicht so schlecht - allenfalls mit irgend einer sinnigen Zahl kombiniert. Und verwende dieses Passwort nur für eBanking oder andere sichere Applikationen - nicht für Foren Login. Dort reicht ein Trivialpasswort. Denn Foren laufen auf Servern, die oft nicht professionell gewartet werden. Dort können Login-Daten am ehesten geklaut werden.


Mit freundlichen Grüssen

Thedi

[tom]

Denn Foren laufen auf Servern, die oft nicht professionell gewartet werden.

Dies gilt aber nicht für unseren Webhosting-Provider. Wir bezahlen da lieber etwas mehr und dafür erhalten wir eine gute, sichere Sache.

Um vielleicht nochmals zum Eingangsposting zurück zu kommen: meiner Kollegin wurde das Passwort tatsächlich wie von @Thedi beschrieben auf einer Internetseite gehackt. Und wie sie auf dieser Seite feststellen konnte

https://haveibeenpwned.com/

passierte dies nicht nur auf einer Seite, sondern auf deren 3. Und sie hat immer das selbe Passwort benutzt - ihrer Meinung nach war es genügend stark.

Gruss Tom