Eine neue Studie von Messente kommt zum Schluss, dass sich 85,6 % aller gängigen Passwörter in weniger als zehn 10 Sekunden per KI knacken lassen. Aber es gibt einige Strategien dagegen, mit denen man seine Kennwörter auch in Zeiten von AI absichern kann.
In einer Mitteilung, die mir zugegangen ist, schreibt Messente, dass man 14,2 Millionen echte Passwörter mit Tools wie PassGAN und GPU-basierten Simulationen analysiert habe. Dabei wurde getestet, wie schnell KI diese Kennwörter knacken kann und was Nutzer tun können, um sich zu schützen. Hier die Kern-Erkenntnisse der Studie:
- 85,6 % der Passwörter werden in weniger als 10 Sekunden geknackt, 88 % in weniger als einem Monat.
- Kurze Passwörter (≤ 8 Zeichen) werden unabhängig von ihrer Komplexität sofort geknackt.
- Passwörter mit mehr als 16 Zeichen und gemischten Zeichen benötigen Billionen von Jahren, um geknackt zu werden.
Länge schlägt Komplexität: Ein gemischtes Passwort mit 12 Zeichen hält 1.000 Jahre, ein Passwort mit 10 Zeichen, das nur aus Buchstaben besteht, wird in 3 Wochen geknackt. Laut dem Report How Quick can AI Crack Your Passwords benötigen KI-gestützte Tools wie PassGAN (Password Generative Adversarial Network) keine einfachen Brute-Force-Angriffe mehr. Stattdessen lernen sie aus echten geleakten Passwortdatenbanken – wie dem riesigen RockYou-Datensatz – und erkennen, wie Menschen tatsächlich Passwörter erstellen.
Sie erkennen Gewohnheiten wie die Großschreibung des ersten Buchstabens, das Ersetzen von „o" durch „0" oder das Hinzufügen von „!" am Ende. Dadurch kann die KI wahrscheinlichere Passwörter vorhersagen und Millionen von zufälligen Vermutungen überspringen. In Kombination mit modernen GPUs, die Milliarden von Berechnungen pro Sekunde ausführen können, kann die KI schwache Passwörter fast sofort knacken.
Die Strategie gegen einen AI-gestützten Passwort-Hack besteht darin, keine gleichen Passwörter für mehrere Konten zu nutzen und lange, als Zeichen, Sonderzeichen und Ziffern bestehende Passwörter zu verwenden. Auch wird die Verwendung von Passwort-Managern empfohlen. Die beste Absicherung gegen einen Passwort-gestützten Passwort-Hack besteht in der Verwendung der Zwei-Faktor-Authentifizierung (2FA).
MVP: 2013 – 2016
Erstaunlich wieviele Passwörter immernoch so einfach sind. Über 85 Prozent finde ich ganz schön hoch, wenn man bedenkt, wie lange immer wieder gesagt wird, wie man es am besten macht. Beruhigend ist aber, das ich wohl nicht auf dem falschen Weg bin. Passwortmanager, für jeden Dienst seperate Passwörter aus Zahlen, Sonderzeichen und Klein- wie Großbuchstaben, die oft über 20 Zeichen lang sind… So mach ich das gefühlt schon seit 20 Jahren.
Aber Strategien gibts eben viele. Ein Grundpasswort mit zusätzlichen Zeichen o. Ä. – wichtig ist nur, das man eben mal darüber nachdenkt und nicht überall das gleiche Passwort nutzt. Dann ist schon viel gewonnen.
Vielen Leuten ist die Sicherheit egal.
Die wollen möglichst gar kein Passwort, weil das ja viel bequemer ist, als ein lästiges Passwort eintippen zu müssen.
Das sieht man häufiger z.B. daran, das Leute fragen, wie man denn bei Windows die passwortlose Anmeldung einrichtet.
Und Microsoft tut da auch nichts, sonst wäre diese Möglichkeit aus Windows schon lange entfernt worden und die Passwort-Policy standardmäßig aktiv (per Default verlangt die u.a. mindestens 14 Stellen beim Passwort).
Ich habe da grundsätzlich alles mit entsprechend langen und komplizierten Passwörtern passwortgeschützt und auch bei jedem Dienst ein anderes Passwort und i.d.R. sogar einen anderen Benutzernamen.
Und bei Sonderzeichen verwende ich auch unübliche Zeichen und nicht nur z.B. das ! oder %. Die Bruteforce-Angriffe versuchen i.d.R. nur die Sonderzeichen, die man direkt über eine englische Tastatur erreichen kann.
Aber schon so etwas wie ein € anstelle eines ! erhöht die Sicherheit, da das € meist bei Bruteforce-Angriffen nicht genutzt wird.
Auch landestypische Zeichen sind gut. Im Deutschen wären das die Umlaute und das ß. Oder Buchstaben mit Akzent wie im Französischen.
Erhöht die Sicherheit und hatte ich auch schon einmal im Einsatz.
Wenn Du aber dann im administrativen Bereich an virtuelle Tastaturen nur mit englischem Layout kommst, dann hatte mich das schon mehrere Stunden gekostet, wieder ins System zu kommen.
Genauso hatte ich einmal in einer Anwendung den Fall der Fehlspeicherung von Passwörtern. Wenn Du einmal ausserhalb der "normalen" Tasten ein PW vergeben hattest, dann wurde dieses falsch verschlüsselt gespeichert und du bist nie wieder ins Programm gekommen.
Daher empfehle ich den Usern aktuell leider immer noch die Verwendung aus den Sonderzeichen von 1-?
Lieber dafür die Komplexität höherschrauben.
+
Die Komplexität sollte eh immer das Maximum sein, d.h.:
– Groß-Kleinschreibung
– Ziffern
– Sonderzeichen
– Mindestens 14, besser 16 Stellen
Na, dem widerspricht doch oben erwähnte Erkenntnis, dass Länge Komplexität "schlägt", oder?
Soweit naturgegeben für den Menschen möglich orientiert sich eben die Kombination beider Methoden am Optimum.
Umlaute zu verwenden ist eine ganz schlechte Idee. Hatte ich mal und wollte mich bei einem Bekannte über einen Apple anmelden. Bis ich heraus fand, dass der Apple nicht ein ä erzeugte sondern ein dieses aus einem a und den Punkten kombinierte. Hab das ä dann aus einem unter Windows erzeugten Dateinamen kopiert. Damit ging´s.
Anmeldung ohne Passwort:
diese Technik wird benötigt, für Maschinensteuerungen, Überwachungssysteme, div Geräte mit reduzierter Oberfläche, ohne Tastatur etc.
14 Zeichen sind nicht der Default, nach Neuinstallation eines AD/DC sind es immer noch 7 :-(. die 14 Zeichen kommen aus der Security Baseline
Passwort Regeln ändern ist in Firmen ein Großprojekt. leider
Wenn in diversen Scenarien die passwortlose Anmeldung gebraucht wird, dann kann man das ja exklusiv nur bei Windows IoT einbauen.
Denn diese Scenarien nutzen ja i.d.R. Windows IoT.
In allen anderen Windows-Versionen deaktivieren und nicht aktivierbar machen.
Bei SMB hat Microsoft ja schon die passwortlose Verbindung abgeschaltet.
Was manchmal ganz simpel die Nutzung in der Praxis unterbindet und damit als Nutzszenario disqualifiziert, weshalb dann bspw. auf das Sicherheitselement verzichtet oder umgangen wird.
Das könnte Microsoft tun, aber der Aufwand Anzahl "x" Excludes in den diversen SKUs inkl. Schnittmengen zu leben und zu regeln ist schlicht zuviel Aufwand.
Du kannst es nutzen oder nicht. Du kannst es per GPO im Unternehmensumfeld steuern, denn nur dort ist es relevant (MSS: (AutoAdminLogon) Enable Automatic Logon).
Sollte wenn Programmierer ihre Arbeit richtig machen kein Problem darstellen… KI kann das zwar knacken, aber auch nicht mit einem einzigen Versuch. Nach 3 fehlerhaften PW die Eingabe erstmal einige Zeit sperren, mit jeder falschen PW weitere Zeit… da kann dann auch ne KI nix machen!
Zusätzlich 2FA und gut ist!
@WLAN Hexe @R.S. weshalb sollte ich für nen einmal Besuch; unwichtige Foren etc. meine hochkomplexen PW verbrennen? (Denn das tut man siehe nächster Absatz) Da tut es auch 123456! Wenn dahinter keine wichtige Daten liegen.
Fakt ist auch: ich habe seit über 40 Jaren mit Computern zu tun, dabei ist mir noch nie ein PW oder Daten abhanden gekommen (Also bei mir) Betroffen bin ich trotzdem ein paar mal! Wieso? Weil Drecksfirmen ihre Systeme nicht im Griff hatten und sich die Daten stehlen haben lassen (teilweise sogar im Klartext abgelegt!) #hust Sony; #hust Adobe; #hust VISA; #hust LastFM
Kenne aber einige Freunde die glaubten mit PW Manager sicher zu sein, weil die ja komplex unknackbare PW generieren… tja nur halt dumm genug waren sich phishen zu lassen… MasterPW weg alle Accounts weg.
Ich bevorzuge folgenden Weg: ich habe genau 1 komplexes PW (welches ich mir merken muss) und trotzdem für jeden Dienst einzelne PW, da ich an mein komplexes PW den Dienstnamen anhänge und daran noch den Dienstnamen verschlüsselt.
Sicher PW für jeden Dienst mit nur zwei Merkmalen die ich mir merken muss: das komplexe PW + die Verschlüsselung… ist so auch nirgends auf einem Endgerät abgespeichert, so das auch keine Malware; Trojaner dies abgreifen kann! Zusätzlich überall wo möglich 2FA (wenn möglich mit nem HW Key Titan Yubi).
Das ist rein theoretisch richtig – aber wenn komplette Hashdatenbanken in die Hände der bösen Jungs geraten (und das ist eigentlich der Regelfall), dann machen die halt in 2 Tagen aus einer Hashdatenbank eine Klartext-Datenbank.
Und damit braucht's genau einen Login…
Und schon mit 2 Hashdatenbanken kann eine KI die dienstspezifischen Postfixe erkennen und nachahmen…
Wenn nach wenigen Fehleingaben des Passworts der Account für einige Minuten gesperrt wird, dann ist nix mit 10 Sekunden zum Knacken…das muss allerdings eingerichtet sein (was es zumindest bei Firmen meistens ist).
Desweiteren sind komplexe und vor allem lange Passwörter immer gut und wie im Bericht erwähnt, auch nur in fast unendlicher Zeit zu knacken. Zusätzlich noch ein Passwortmanager für viele verschiedene Passwörter ist auch extrem hilfreich. Die Krönung ist dann die 2FA, aber die gibt's halt nicht überall und ist wegen des zusätzlichen Aufwands unbeliebt.
Wenn allerdings das System, auf dem der Passwortmanager läuft gehakt wird, tja….100%ige Sicherheit gibt es eben nicht.
Solche Angriffe gehen immer von vorliegenden (gestohlenen) Passworthashes aus, die werden dann per Bruteforce gehackt, da gibts dann keine Verzögerungen zwischen Fehlversuchen.
Ein Problem bei den Hashes kommt noch hinzu:
Viele Systeme verwenden noch unsichere Hash-Algorithmen wie z.B. MD5 oder SHA-1 anstatt SHA-2 oder SHA-3.
SHA-1 kann mit einem Standard-PC mit separater GPU in 100 Jahren geknackt werden, egal, wie lang das gehashte Passwort ist.
Mit entsprechden KI-Rechnern geht das in Sekunden.
Genauso sieht es mit MD5 aus.
Wenn MD5 oder SHA-1 zum Einsatz kommt, helfen also auch keine langen und komplexen Passwörter.
Und schon vor 10 Jahren wurde von der Verwendung von MD5 und SHA-1 abgeraten.
Ui. SHA-1 per brute force 100a, mit KI in Sekunden.
Wie genau macht die "KI" das, wenn man fragen darf?
Da gibt es diverse Angriffsmethoden.
Ganz schlimm ist SHA-0.
Schon 2008 konnten Forscher SHA-0 in nur 1 Stunde mit einem Standard-PC knacken.
Dann ist es doch gut, dass ich das ! immer an den Anfang mache ;-)
Ich bin vor einiger Zeit auf "&" umgestiegen. Für besonders wertvolle Passwörter sogar "!&!"
Vollkommen überflüssig, Mb2.r5oHf-0t ist doch das sicherste Passwort. Und, hat das ein !&!? Nein! Sollte aber ein ;) haben…
"https://www.der-postillon.com/2014/04/sicherstes-passwort.html"
Was meint ihr, ist das ein gutes Passwort?
Abends-Weihnachten-Zentralbank-Spektrum
https://gute-passwoerter.de/#
Dass die Nullen statt O und das ! am Ende nicht viel bringt, sollte eigentlich klar sein.
Meiner Erfahrung nach ist
Name-des-KindesGeburtsjahr!
ein gänginger Standard.
Ähm, auch wenn hier der Faktor Länge durchaus ausreichend sein kann, würd' bspw. ich das eher nicht empfehlen, weil da eben dann doch der Faktor Komplexität praktisch völlig außen vor bleibt – den Trennstrich kann man ja nicht wirklich als für Komplexität sorgendes Element definieren.
Das kannst du einfacher haben
wa-we-wi-wo-wu
für etwas mehr Sicherheit noch ein paar Zahlen dazwischen
wa-we-4589-wo-wu
(vielleicht nicht der Bankkartenpin)
https://www.passwortcheck.ch/
meint mehrere Millionen Jahre
Anstelle 4 Wörter nimm nur 2 und pappe bei jedem Wort ein "-" dazwischen.
Bei 2 Wörtern geteilt in mind. je 2-3 Zeichen und zwei Zahlen dazwischen ist das Passwort einfach merkbar und relativ sicher. Vor dem Grossbuchstaben mache ich einen Punkt der Logik wegen. Ein langes Wort kann auch abgekürzt werden. Also z.B.
gel-bes-23.Ber-ama
für gelbes Bergpanorama
schw-zer-94.Sch-lug
für schwarzer Schneepflug
Einmal wird die Zahl gewechselt und ein andermal eines der zweit Worte.
Und das neue kann man sich irgendwo aufschreiben als Ganzes auf eine Kribbelseite ohne gross die Sicherheit zu tangieren, wenn die Lücken nicht auch mitdrin sind.
Ja, diese Prüfung geht nur nach Länge und verwendeten Zeichen.
Ich habe da mal
Mein-Standard-Passwort-1!
als Test eingegeben.
Dabei kommt als Rechenzeit auch mehrere Millionen Jahre heraus.
Aber eine KI hat so ein Passwort in kurzer Zeit geknackt, weil da einfach normale Worte drin vorkommen und dann zusätzlich ein Wörterbuchangriff mithilft, das Passwort zu knacken.
Ein Wörterbuch hat aber ca. 100.000 – 200.000 Einträge
Also 200.000 hoch 4
Dazu kommt natürlich noch dass die Bruteforce Engine erstmal damit rechnen muss, dass das Passwort in diesem Format vorliegt. Sie könnte ja genau so annehmen dass es ein normales 10-stelliges wäre.
Ich denke in der Praxis ist das ziemlich sicher.
Ähm, aber schon gelesen, dass die KI-basierten Tools wohl überwiegend kaum mehr die (einfache) Bruteforce-Methode benutzen, oder?
Die kanonische Antwort auf die Frage "gutes Passwort" ist "correct horse battery staple", siehe https://xkcd.com/936/.
Daumen hoch – hatte ich auch gerade gesucht – und gefunden :)
Aber ich lasse mir die Passwörter gerne generieren, da unverständlicher Weise bei vielen Passwort-Eingabemasken die Länge (immer noch!) limitiert ist.
@Luzifer
Als alter Sack komme ich zwar nur auf 37 Jahre Erfahrung, aber: mit der Empfehlung der Passwortsperre/Verzögerung nach 3 Eingaben hast Du zwar recht, aber nicht verstanden, dass es auch um das Knacken von ausgelesenen Hashes geht. Und da greift eine Passwortsperre nicht!
Auch ich war vom Adobehack betroffen, das hat mir allerdings keine Probleme bereitet.
Dass Programmierer auch als DAP = Dümmster anzunehmender Programmierer agieren, habe ich vor Jahren mit einem 3G-Router erlebt: Langes Admin-Passwort vergeben, um dann zufällig festzustellen, dass bei der Eingabe nur die ersten 8 Stellen ausgewertet wurden! Keine Frage, dass die (renommierte) Firma danach für mich gestorben war.
Dir ist schon klar, dass die Methode: Z.B. 8 Stellen, die immer gleich bleiben und danach z.B. noch 8 Stellen, in denen codiert etwa der Dienstname erscheint nur ein 8-stelliges Passwort sind, wenn durch einen dummen Zufall (Trojaner im System) das offene Passwort von einem intelligenten Hacker angeschaut werden kann?
Schon richtig wenn der Angreifer aber Hash und Salt hat, hat der Dienst versagt und dann ist es scheißegal was für ein sicheres PW du hast!
Hier wird aber auch wieder auf User mit ihren PW rumgeritten, obwohl die gar nicht wirklich das Problem sind!
Wie gesagt mir sind bei mir im System in 40 Jahren noch nie PW abhanden gekommen… wenn die verloren gingen passierte das immer bei den Diensten! Also muss man denen auf die Hände klopfen!
Nein, es geht nicht darum, dass Angreifer Hash UND Salt erbeuten. Es geht darum, dass ein Hash abhanden kommt. Und das passiert ja millionenfach (siehe haveibeenpwnd).
"Wie gesagt mir sind bei mir im System in 40 Jahren noch nie PW abhanden gekommen… "
Das ist eine Annahme. Beweisen kannst du das nicht. Ich gehe auch davon aus, dass mir noch nie etwas auf dem Computer verloren gegangen ist, aber falls ich mal einen Trojaner hatte, habe ich das nicht bemerkt. Und du sicher auch nicht.
"wenn die verloren gingen passierte das immer bei den Diensten! Also muss man denen auf die Hände klopfen!"
Viel Spaß dabei. Aber interessieren tut mich schon: wie genau machst du das? Und was hat dir Adobe geantwortet?
****************************************
Wie gesagt mir sind bei mir im System in 40 Jahren noch nie PW abhanden gekommen… "
Das ist eine Annahme. Beweisen kannst du das nicht. Ich gehe auch davon aus, dass mir noch nie etwas auf dem Computer verloren gegangen ist, aber falls ich mal einen Trojaner hatte, habe ich das nicht bemerkt. Und du sicher auch nicht.
****************************************
Nen Trojaner agiert nicht auf Dauer unbemerkt und auch ein übernommener Acount bemerkt man! Vielleicht nicht sofort aber man bemerkt es!
Zumal ich auch ne Hardwarefirewall nutze und ganz genau weis was da raus geht und was nicht und wohin. Da geht kein Bit raus das ich nicht rauslasse. Zero Thrust!
Als die Firmen sich die Daten klauen liessen hab ich das auch sehr schnell bemerkt und natürlich den Fehler erstmal auf meinen Systemen gesucht um dann letztendlich festzustellen das die geschlampt haben!
In der Theorie gibt es so viele kluge und sichere Wege ein Passwort zu erstellen, das man sich merken kann und trotzdem für verschiedene Dienste unterschiedlich ist.
Ich hatte auch den Gedanken, Passwörter nach gewissen Schemen für unterschiedliche Dienste abzuändern. Man merkt sich das System und muss sich dann nicht die Passwörter merken.
Allerdings ist das Theorie. In der Praxis bin ich leidvoll gescheitert. Der eine Onlineshop erlaubte keine langen Passwörter (>10 Zeichen). Der andere konnte nicht mit deutschen Sonderzeichen umgehen. Ein anderer Dienst (das ist allerdings schon sehr lange her) konnte gar keine Sonderzeichen. Einen Dienst (auch schon länger her) konnte man lange Passwörter angeben, aber er hat es abgeschnitten, d.h. egal was nach Zeichen 8 kam, es war immer richtig.
Solche individuellen Kriterien, machen es schier unmöglich ein System zu entwerfen, das sicher erscheint und für alle gleich ist. Wandelt man es dann ab, dann muss man sich merken, welche Seite/Dienst war anders als die anderen.
Es wird immer auf die User geschimpft, die keine guten Passwörter vergeben. Die Anbieterdienste sollten einmal in die Pflicht genommen werden, die Komplexität bei Passwörter anbieten zu müssen, die heutzutage notwendig ist.
Der andere Weg, man verwendet einen Zugangsdienst, der für andere einloggt. Gibts ja von Google/MS und vielen anderen. Wird als die Lösung dargestellt, sehr sicher – mit einem Passwort kommt man überall hinein. -> Nur was ist hier dann der Unterschied dazu, dass ich bei unterschiedlichen Diensten das selbe Passwort verwende. (Nur das Vertrauen zu dem einen Anbieter.. das mag höher sein – als bei einem kleinen Onlineshop, aber unendlich groß sicher auch nicht)
Passwortmanager wurden hier schon viel genannt. Im Endeffekt – ich habe ein Passwort für alle Dienste. Wo habe ich den Mgr dann liegen? Auf meinen Stamm PC? Was mach ich wenn ich woanders bin – komme ich dann nicht mehr in meine Dienste. Am Smartphone? Traue ich meinem Smartphone um alle Passwörter darauf zu speichern? Bei einem Passwort Onlinedienst? Wieder das Vertrauen an einen Anbieter.. mag groß sein, aber so groß?
Beim speichern meiner Passwörter in einen Mgr hätte ich Angst diese alle auf einen Schlag zu verlieren. Natürlich man kann Backups machen – sollte das auch, aber hat man dann ohne Passwort Mgr Zugriff auf diese Backup? (Ja wenn es eine Papier Liste ist, Nein wenn es in einer Cloud mit Pwd steckt und mit einem anderen Pwd verschlüsselt ist)
2F ist sicher etwas gutes, aber ich habe echt Panik davor wenn mal mit meinem Handy etwas sein sollte. Dann komme ich trotz Passwörter kaum mehr wo hinein…
Tipp: Lass dein vorheriges Smartphone am Ladegerät und halte dir dort nochmal alles vor, was du brauchst, Keepass, Authenticator-App, Photo-Tan, usw. Wenn es geht, Passwörter regelmäßig überall exportieren und in Keepass importieren, das hat recht fexible Importfilter, mit denen man alle CSV reinholen kann, und diese Keepass regelmäßig irgendwo unabhängig sichern, z.B. auf einem robusten USB-Stick, irgendwo gut auf den eigenen Quadratemetern versteckt. Solche Sticks können aber auch durch rumliegen kaputt gehen, daher niemals alleine darauf verlassen. CDs halten mindestens 10 Jahre, also länger als viele USB-Sticks, und fallen zwischen anderen CDs auch nicht sonderlich auf.
Leider lassen sich auf dem "vorherigen Smartphone" (in meinem Fall ein iPhone 6) die allermeisten Apps, die man heutzutage, ob man will oder nicht, braucht, nicht mehr installieren.
Android nehmen, .apk nutzen.
Was noch ein Problem ist an „Sicheres Basispasswort+Dienst Anteil (wie auch immer)" ist, dass es nur das erste Mal klappt. Zwingt der Dienst nach einer Weile den User das Passwort zu ändern (oder man möchte es selbst ändern), dann muss man vom Schema abweichen. Wenn die Passwortrichtlinie gut ist, muss man einen Großteil des Passworts ändern…
Ich gehe langsam dazu alles im KeePass aufm Smartphone + im iOS Passwort Manager zu speichern. Ohne ein System. Lange Sätze, Camel case und ein Paar Zahlen dazwischen. Kein Kauderwelsch, falls man das Passwort abtippen muss.
Wie „Heute ist ein schoener 482?Tag"
Just my 50 ct.
Grundsätzlich +1.
Ich habe mir — schon bevor es das Wort überhaupt gab — meinen eigenen Passwort-Manager in Form eines Veracrypt-Containers gebaut. Der liegt dann wenigstens nur dort herum, wo ich ihn haben will, hat aber natürlich auch genau die Nachteile, die Du erwähnst.
Ich bin immer noch unschlüssig, ob ich das Master-Passwort nicht doch besser irgendwo schriftlich hinterlegen sollte. Andererseits — wenn ich in eine Situation käme, dass ich das Master-Passwort vergesse, würde ich mich dann noch daran erinnern, wo ich es schriftlich hinterlegt habe? Wie man's macht, macht man's halt falsch…
Und was das Handy angeht: Ja, eigentlich müsste man heute immer ein Ersatz-Handy haben. Aber auch da: Manche Anbieter, die auf einer App als zusätzliche Sicherheit bestehen, erlauben es nicht, diese App gleichzeitig auf zwei Geräten aktiv zu haben… Als kleine Hilfe für den Fall der Fälle pflege ich eine Liste (die sich auch in meinem "Passwort-Manager" befindet), in der vermerkt ist, wofür überall das Handy als zweiter Faktor dient.
Sehr hübsch sind auch Dienste, die ein Passwort scheinbar akzeptieren, bei der Eingabe aber verweigern. ISt mir vor ein paar Jahren mit Amazon passiert. Vor kurzem wurde eine SSD unbrauchbar, weil das System im Bios das Verschlüsselungspasswort akzeptiert hat, aber nachher nicht damit klar kam.
Hmm…
Mir fällt dazu immer nur meine an anderer Stelle verwendete Signatur
"…Sicherheit?
Ach, du meinst wohl dieses aufgrund von globalen Naturgesetzen utopische und daher völlig überschätzte sowie falsch evaluierte, aber dennoch überall forciert suggerierte Virtualkonstrukt?!"
ein! 🤪
Dementsprechend nutze ich seit Anbeginn meiner Passwort-erfordernden "IT"-Zeit – Mitte 90er mit dem ersten E-Mail-Konto – in den Bedingungsvorgaben des jeweiligen Dienstes/Portals folgend ganz dezenter Abwandlung ein szs. "Stamm-Passwort" in merkbar relativ kurzer Kombination aller Komplexitätselemente (10-12 Zeichen), welche natürlich trotzdem als jeweilige Hardcopy "gesichert" sind. Und entgegen aller Wahrscheinlichkeitsrechnungen mag man's nicht glauben, aber mir ist, unter Berücksichtigung der weiter vor von @FriedeFreudeEierkuchen (https://www.borncity.com/blog/2025/11/24/ki-kann-85-der-passwoerter-in-weniger-als-10-sekunden-knacken/#comment-238264) erwähnten Unwissenheit über ein mögliches selbst verursachtes sowie unbemerktes Abhandenkommen von Zugangsdaten, daraus bis dato noch keine unberechtigte Übernahme oder gar sich mir nachteilig auswirkende Konsequenz entstanden.
Mag ein risikobehaftetes Spiel mit dem Feuer sein, aber wenn, dann verbrenn' ja nur ich mir meine Finger! 🤷♂️
Einzig, wie bereits von @Luzifer ebenso schon mehrfach erwähnt, eine von i-einem Dienst(leister) abhanden gekommen gelassene E-Mail-Adresse ist mal arg bespammt worden, aber nach einer mehrmonatigen Pseudo-"Stilllegung" ist die heutzutage wieder sauber. 😉
Was für ein Blödsinn. In dem Text von Messente wird weder Methode noch Datenbasis benannt. Es wird lediglich darauf abgehoben, dass es offenbar statistisch signifikante Häufungen bei der Generierung von Passwörtern zu geben scheint. Nothing new.
Wenn die Entropie verkleinert wird, dann klappts natürlich schneller mit dem bruteforce. Jetzt ist auch das nix neues und eigentlich total langweilig, weil längst gängige Methode.
Der Text oben hat recht. Der Spaß klappt sowieso nur, wenn man eh die Hashes und den Salt dazu schon hat. Das darau dann einfache PW einfach ableitbar sind … meine Güte, echt jetzt? Oder wenn ein Passwort Login keine weiteren Schutzmaßnahmen implementiert. Aber wer ist schon so strunz verblödet?
Sehe ich auch so, viel Lärm um nichts seitens Messente, primär um eine "KI" Pressemeldung zu platzieren zwecks Medienreichweite…
Wenn die PW Eingabe auf Applikationsseite nur einen Versuch je Sekunde zulassen würde dann hebelt das jeden BruteForce und auch jede KI aus.
Nö, denn der Hash wurde ja geklaut und die KI knackt den dann offline per Bruteforce.
Die Anmeldung erfolgt dann nur mit 1 Versuch mit dem aus dem offline geknackten Hash ermittelten Passwort.
und scheitert dann am 2FA ;-P
Sofern der Dienst denn überhaupt 2FA anbietet.
Das gibts bei vielen Diensten bis heute nicht.
Das Schlimme ist ja aber – nicht auf jeder Website oder Service kann man ein sicheres Passwort nach seiner Wahl eingeben, weil bestimmte Sonderzeichen oder gar ein popeliges Leerzeichen nicht unterstützt wird. Da frage ich mich immer wo da die Sicherheit bleibt, wenn solche banalen Sachen nicht erlaubt sind, das ist einfach eine Fehlprogrammierung :(
Njein – der jeweilige Programmierer hat halt eine eigene ganz persönliche von Subjektivität geprägte Vorstellung des Sicherheitsmechanismusses, wogegen allerdings überwiegend die Mehrheit der Nutzer den (leider) nicht adaptieren kann.
Ja, leider ist der Horizont vieler Programmierer auf das amerikanische Alphabet beschränkt. „Sonderzeichen" sind da noch $ oder %, aber schon mit § kann man auflaufen. Ganz zu schweigen von £ « æ oder ‰ – und das sind alles Zeichen aus dem Windows-Western-Standardzeichensatz! Wenn gar Unicode-Zeichen wie ῷ oder ﻬ in Passwörtern erlaubt wären, hätte jede KI länger zu kauen …wie steht das überhaupt mit Ländern, in denen solche Schriftzeichen üblich sind?
Da reicht bspw. schon das Caret- bzw. Zirkumflex-Zeichen (^). 😉
Der Fehler liegt auf Anbieterseite.
Jede Fehleingabe mit Strafminuten(Sekunden) bestrafen … und bei mehr als 3 Fehleingaben den Benutzer informieren!
Mehr als 10 Fehleingaben …mind. 24h Sperre oder der Anwender führt eine alternative Passwortwiederherstellung durch ( PW wird automatisch zurück gesetzt, alte PW werden nicht als neues akzeptiert )
Man kann das schon sehr viel sicher gestalten …wenn man wollte.
Na ja, ist halt mit Ressourcenaufwand belegt, und den wollen die wenigsten Privatnutzer aus einem leider durch ein von der Werbung mißbräuchlich eingesetztes "Geiz-ist-geil"-Indoktrinierungsmotto völlig fehlgeleitetem Anspruchsverhalten bezahlen.
Die Überschrift "KI kann 85% der Passwörter in weniger als 10 Sekunden knacken." und der folgende Satz "Eine neue Studie von Messente kommt zum Schluss, dass sich 85,6 % aller gängigen Passwörter in weniger als zehn 10 Sekunden per KI knacken lassen." geben nicht die gleichen Inhalte wieder. Es ist ein himmelweiter Unterschied zwischen "85% der Passwörter" und "85,6% aller GÄNGIGEN Passwörter".
Aus dem folgenden Text wird dann ersichtlich, dass es ganz korrekt eigentlich "85,6% der getesteten echten Passwörter" heißen müsste.
Man muß den Originaltext lesen.
Die Testmethode ist zweifelhaft, da die bei den getesteten Passwörtern Whitespaces und Bindestriche entfernt haben und wohl auch die Buchstaben normalisiert haben. D.H. aus einem ä ein a, aus einem ß ein ss, aus einem é ein e, etc. gemacht haben.
Aber auch diese Zeichen gehören zum Passwort!
Denn es ist ein Unterschied, ob in einem Passwort ein é steht oder ein e oder ein ä oder ein a.
Bei mir hat ein Kennwort mindestens 25 Zeichen und besteht aus Groß- und Kleinbuchstaben sowie Sonderzeichen. Allein mein WLAN Schlüssel hat über 50 Zeichen. Und da,wo es möglich ist, bevorzuge ich die MFA. Wer heute noch mit 12345678 unterwegs ist, hat meiner Meinung in der Digitalwelt nichts zu suchen.