Schlagwort-Archive: Passwort

Irgendwo über 20 habe ich aufgehört zu zählen, wie viele IPs hier gestern wegen wiederholter Zugriffsversuche mit falschen Credentials gesperrt wurden. Spannend ist, dass die Versuche nicht auf den üblicherweise vielversprechenderen „admin“-Account zielten, sondern mit einem Nutzername versucht wurden, den ich zwar andernorts im Netz nutze, der hier aber nirgends erwähnt ist.

Da ich für normale Webdienste etc. dann auch eine entsprechende Freemail-Adresse angebe, kann es sich bei der Quelle nur um ein „seriöses“ Unternehmen handeln, das meine Daten ohnehin hat und einen abweichenden Nutzername für das Support-Forum oder sowas erlaubt. Denn nur in solchen Datenbanken ist firma@svenbuechler.de mit dem betreffenden Nutzernamen verknüpft.

Wer da nicht auf meine Daten aufgepasst hat, werde ich wohl nicht erfahren. Die Sache zeigt aber, wie wichtig es ist, überall unterschiedliche Passwörter zu verwenden. Denn vielleicht ist das ja auch nicht mehr geheim.

Ich würde ja zu gerne mal wissen, wie oft der Link zu Randall Munroes xkcd: Password Strength alleine am Change-Your-Password-Day in der letzten Woche geteilt wurde. Was dort jedoch nicht erläutert wird, aber vielleicht nicht für jeden selbstverständlich ist – die ersten vier Worte, die mir in den Sinn kommen, sind keine „four random common words“. In sowas sind wir Menschen nämlich richtige Nieten. Und da man ja immer mal ein Passwort braucht und ich keinen deutschen xkcd-Passwort-Generator gefunden habe, habe ich mich mal daran probiert. Klingt ja nicht unbedingt nach Rocket Science. Lange Wortliste, Zufallsgenerator – fertisch!

Das mit der Wortliste gestaltete sich dann allerdings schwieriger als gedacht. Die Wörter sollen einprägsam und gebräuchlich sein, und Munroe geht in seinem Beispiel von 2048 aus. Duden online nennt leider nur die 100 häufigsten Wörter, und bei der Suche nach dem Grundwortschatz bin ich auch nicht über 500 hinausgekommen. Die 10.000 der Uni Leipzig schienen mir auf den ersten Blick auch nicht so vielversprechend, weil mir direkt die ersten Doppler in Groß- und Kleinschreibung entgegensprangen.

Letztlich bin ich auf die unter GNU-Lizenz stehende deutsche Diceware-Liste von Benjamin Tenne gestoßen. Und da Diceware letztlich xkcd mit Würfeln ist – und vermutlich auch Ideengeber für Munroe war – schien das ideal. Die Liste hatte ursprünglich 7.776 Einträge, von denen nach Löschung von allerlei nicht jugendfreiem Unsinn, meiner Meinung nach schwierigen Wörtern und finiten Verbformen rund 3.900 übrig geblieben sind.

Da das Ganze im Browser laufen soll und Javascript einen Zufallsgenerator mitbringt, habe ich den erst einmal genommen. Mir ist aber bewusst – und ihr hiermit gewarnt – , dass man den für solche Unternehmungen normalerweise nicht nimmt. Wie zufällig dessen Zufall nämlich ist, weiß keiner. Da sollte ich also noch mal ran. Wenn Ihr Euch aber keine Three-Letter-Agency zum Feind gemacht habt, sollte es auch erst einmal so reichen. Außerdem gibt es ja noch den Würfel. Hier geht es mit Klick auf den Button los.

correct horse battery staple

Hinweise auf Wörter, die noch aus der Liste gelöscht werden sollten, bitte in die Kommentare.

Auch Google hat sich was Neues einfallen lassen. Allerdings glaube ich nicht, dass mir das gefällt. Google will nämlich Passwörter überflüssig machen und die Identität der Nutzer ganz anders verifizieren. Ihr ahnt es vielleicht:

Statt den Anwender zur Identifikation nach einem Passwort zu fragen, analysieren sie sein Verhalten. In einem Beispiel wurde gezeigt, wie zwei Forscher an einem per Vault geschützten Smartphone abwechselnd denselben Satz eintippten. Anhand der typischen Bewegungsmuster beim Tippen konnte das System entscheiden, wer von beiden der rechtmäßige Nutzer des Handys war.
Auf ähnliche Weise könnte Vault auch andere Sensoren benutzen, etwa die Kamera und das Mikrofon, um den Anwender zu erkennen.

Gruselige Vorstellung.

Russische Hacker sollen 1,2 Milliarden (!) Nutzernamen und Passwörter zusammengetragen haben, darunter alleine Zugangsdaten für 500 Millionen Postfächer. Das wäre eine beachtlliche Samlung bei geschätzten 2,5 Milliarden Internetnutzern weltweit – allerdings scheint mir auch eine gewisse Skepsis nicht unangebracht:

Einzelnen Nutzern will die Firma in den kommenden 60 Tagen einen „Identity Protection Service“ anbieten. Wer eine Voranmeldung für den Dienst ausfüllt, soll auch mitgeteilt bekommen, ob er von dem Diebstahl betroffen ist. Die Voranmeldung sei „kostenlos“ und „ohne Verpflichtung“, heißt es. Man darf davon ausgehen, dass der künftige „Service“ kostenpflichtig wird.

Den „Breach Notification Service“ für Seitenbetreiber gibt es hingegen jetzt schon, und zwar für schlanke 120 Dollar monatlich. Leicht verdientes Geld:

Please note that it is not intended to be a proactive monitoring service (also available); and notifications will only be sent if we come across relevant information in our regular research process.

Sichere Passwörter mit gemischter Groß- und Kleinschreibung, Zahlen und Sonderzeichen lassen sich bei angemessener Länge nur schwer merken. Um sie trotzdem zu nutzen, helfen diverse Programme oder PasswordCard. Hier kann man sich eine klasse Merkhilfe generieren lassen und fortan jede Menge sicherer Passwörter im Kreditkartenformat mit sich führen.

(via)

, mit der man im Kreditkartenformat jede Menge sicherer Passwörter mit sich führen kann.