Frage:
Wie viele Passwörter sind sicherheitsrelevant?
CykaBlyat
2017-11-18 03:46:19 UTC
view on stackexchange narkive permalink

Ich frage mich also, wie viele Passwörter ausreichen, um meine Daten sicher zu halten, da ich derzeit 1 festes Passwort für die Bank-&-Mail (> 10 Zeichen + Zahlen usw.) und 1 mittleres Passwort für Spiele und 1 für schattige Websites habe . Ich behalte sie alle auswendig und nicht auf Papier / in einem Dokument. Ist das genug?

Ich denke, keepassx sollte in Ordnung sein, um sich viele anspruchsvolle Passwörter auf vielen Websites zu merken.
Nein, das ist natürlich bei weitem nicht genug
`Funktion genugPasswörter (numAccounts, numPasswords) {return numAccounts === numPasswords);`
@corsiKa `ausreichendPasswörter (10, 42)`
@mb21 uhhhh `ProperPasswords (Konten) {valid = [];Accounts.forEach (a => {if (! valid.includes (a.pass) && entropyBits (a.pass)> 40) valid.push (a.pass);});return valid.length === accounts.length;} `: doctorPERFECT:
@mb21 das würde bedeuten, dass Sie mehrere Passwörter für ein Konto haben müssen, was möglicherweise keine gute Sache ist.
Passwörter sind nicht genug, egal wie viele Sie haben.Verwenden Sie 2fa.
Sieben antworten:
Anders
2017-11-18 03:50:36 UTC
view on stackexchange narkive permalink

Nein, das reicht nicht. Es ist eine schlechte Idee, für Ihre E-Mail und Ihre Bank dasselbe Passwort zu verwenden. Wenn Ihr E-Mail-Anbieter kompromittiert ist, bedeutet dies, dass der Angreifer Zugriff auf Ihr Bankkonto erhält und umgekehrt. Das wollen Sie nicht.

Verwenden Sie ein festes Passwort pro Site. Sie werden sich all das nicht merken können, aber machen Sie sich keine Sorgen. Dafür sind Passwort-Manager gedacht.

Wenn Sie dies in einem Video mit einem animierten Oktupus erklären möchten, hat die Electronic Frontier Foundation Sie abgedeckt.

Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/69029/discussion-on-answer-by-anders-how-many-passwords-is-good-for-security).
Joe
2017-11-18 03:53:43 UTC
view on stackexchange narkive permalink

Ein Passwort für Bank und Mail.

Ein mittleres Passwort für Spiel s .

Eins für schattige Site s .

Verwenden Sie Passwörter nicht wieder!

Dies ist eine sehr schlechte Praxis - wenn jemand Wenn Sie eines Ihrer Passwörter herausfinden, haben diese Zugriff auf viele Ihrer anderen Konten. Dies ist besonders schlimm, wenn Passwörter zwischen E-Mail- und Bankkonten wiederverwendet werden, wie der Kommentar von @ Jeutnarg zeigt.

Weniger als 10 Zeichen sind zu niedrig. Wählen Sie etwas Höheres, mindestens> 15.

Verwenden Sie für jedes Konto ein eindeutiges, sicheres Kennwort und einen Kennwortmanager wie Dashlane oder LastPass So vergessen Sie nie Ihre Passwörter. Ihr Hauptkennwort für diese Kennwortmanager sollte sehr sicher sein. Wenn dieses Hauptkennwort erkannt wird, sind alle Ihre Kennwörter bekannt.

Ich kann LastPass empfehlen, die kostenlosen Konten sind mit Funktionen geladen und die mobilen Apps sind großartig
Wenn Sie speziell über Bank und Post sprechen, sollten Sie unbedingt vermeiden, dass ein einziges Passwort eine Bestätigung und einen Zugriff gewährt.Wie in einigen Diensten (zum Beispiel Banken) werden E-Mails mit Sanitätsprüfungen gesendet, wenn sie eine Anmeldung von einer unbekannten Adresse oder wesentliche Änderungen an Konten feststellen.Wenn Sie dasselbe Kennwort für E-Mails und diesen Dienst verwenden, können Sie diesen Schutz / diese Benachrichtigung opfern.
Und wenn Sie schon dabei sind, sollten Sie die Zwei-Faktor-Authentifizierung auf Websites aktivieren, die dies unterstützen * insbesondere *, wenn Sie Kennwörter wiederverwenden.
Ich würde dringend davon abraten, dasselbe Passwort für E-Mail- und Bankkonten zu verwenden.
David Foerster
2017-11-18 20:49:32 UTC
view on stackexchange narkive permalink

ist die richtige Anzahl von Passwörtern. Idealerweise kennt das Authentifizierungssystem Ihre Identität einfach , ohne einen aktiven Beweis von Ihrer Seite, um ein Zugriffstoken abzuleiten. (In der Berechnungstheorie wird diese hypothetische Art von System als oracle bezeichnet.)

Leider hat noch niemand eine solche Authentifizierungsmethode entwickelt, sodass wir die nächstbeste Anzahl von Passwörtern verwenden : ein . Sie verwenden ein einziges Kennwort, um alle Ihre Zugriffstoken zu entsperren, bei denen es sich häufig, aber nicht unbedingt um Kennwörter handelt (denken Sie beispielsweise an Schlüsseldateien). Im Allgemeinen möchten Sie nicht für alle Authentifizierungssysteme dasselbe Zugriffstoken verwenden, falls eines davon gestohlen und missbraucht wird, um sich in den Augen anderer Systeme als Sie auszugeben. Aus diesem Grund generieren Sie für jedes unabhängige Authentifizierungssystem ein anderes Zugriffstoken (z. B. ein Kennwort).

Das System, das andere Zugriffstoken basierend auf Ihrem einzigen verwaltet und entsperrt Passwort wird als Schlüsselkette mit dem beliebten Sonderfall eines Passwortspeichers bezeichnet, bei dem es sich um eine Schlüsselkette für eine einzelne Art von Zugriffstoken handelt, nämlich Passwörter. Es gibt einige gute Kennwortspeicheranwendungen, die Sie einrichten und verwenden können. In den anderen Antworten finden Sie einige Beispiele.

tim
2017-11-18 05:27:47 UTC
view on stackexchange narkive permalink

Wie andere Antworten gezeigt haben, ist die Wiederverwendung von Kennwörtern schlecht, da jedes Konto, das ein wiederverwendetes Kennwort verwendet, gefährdet sein kann.

Abgesehen davon kann es akzeptabel sein, dass Sie Kennwörter für bestimmte Dienste wiederverwenden. Insbesondere kann es in Ordnung sein, Kennwörter für schattige Websites oder Wegwerfkonten wiederzuverwenden, die Sie überhaupt nicht interessieren, solange Sie wissen, dass sie kompromittiert werden.

Für eine sichere Einrichtung müssen Sie sich mindestens die folgenden Kennwörter merken:

  • Systemkennwort: Das Kennwort für Ihren lokalen Root-Benutzer.
  • Passwort-Manager: Das Passwort für Ihren Passwort-Manager. Dies kann sich dann um alle Kennwörter kümmern, die Sie für Webdienste verwenden.
  • Verschlüsselungskennwort: Das Kennwort, mit dem Ihre Festplatte verschlüsselt wird (dies sollte definitiv nicht mit dem Kennwort des System- oder Kennwortmanagers übereinstimmen).

Idealerweise ist das alles, was Sie brauchen. In der Praxis möchten Sie möglicherweise auf Dienste auf anderen Computern zugreifen, und Sie möchten diesen Computern möglicherweise nicht vertrauen, dass sie ein USB-Laufwerk verarbeiten, das Ihre Kennwortmanagerdaten oder das Kennwort für Ihren webbasierten Kennwortmanager enthält.

Hier müssen Sie die Benutzerfreundlichkeit und die Sicherheit persönlich abwägen.

Müssen Sie von nicht vertrauenswürdigen Computern aus auf Ihre E-Mails zugreifen? Und wenn ja, ist Ihre E-Mail mit wichtigen Konten verknüpft (in diesem Fall entspricht der Zugriff auf Ihr E-Mail-Konto wahrscheinlich dem Zugriff auf diese wichtigen Konten)? In diesem Fall benötigen Sie möglicherweise ein zusätzliches Kennwort, das Sie für Ihr E-Mail-Konto speichern müssen (und Sie möchten möglicherweise ein zweites E-Mail-Konto erstellen, um Bedenken zu trennen).

Wenn Sie von nicht vertrauenswürdigen Computern aus auf Spiele zugreifen müssen, Möglicherweise möchten Sie auch ein separates Passwort dafür. Je nachdem, wie wichtig diese Konten für Sie sind, muss das Kennwort mehr oder weniger komplex sein.

Gleiches gilt für alle anderen Kennwörter, die Sie möglicherweise in einen nicht vertrauenswürdigen Computer eingeben müssen, auf dem Sie nicht die Möglichkeit haben, einen Kennwortmanager sicher zu verwenden. Sie können versuchen, diese Konten nach ihrer Kritikalität zu klassifizieren und bei Bedarf Kennwörter für Konten wiederzuverwenden, bei denen es Ihnen nichts ausmacht, das Konto zu stark zu gefährden.

Ich habe keine Passwort-Manager verwendet, aber sollte es nicht möglich sein, nur ein bestimmtes Passwort zu exportieren?Sie können also nur die Kennwortmanager-Datendateien für die Kennwörter, die Sie an anderer Stelle verwenden müssen, auf Ihr USB-Laufwerk kopieren und die anderen zu Hause lassen?
@MichealJohnson Ja, Sie könnten einige Passwörter in einen kleineren Schlüsselring exportieren.
Damon
2017-11-18 16:26:26 UTC
view on stackexchange narkive permalink

Das Teilen von Passwörtern funktioniert, bis eine Site kompromittiert wird oder bis Sie erfolgreich phishing sind. Zu diesem Zeitpunkt sind Sie in Schwierigkeiten.

Der Angreifer kennt jetzt Ihren Benutzernamen, den Sie wahrscheinlich auch auf einer anderen Site verwenden werden und (ein gesalzener Hash von? Hoffentlich!?). ) Ihr Passwort. Mit etwas Glück schaffen sie es, das tatsächliche Passwort aus dem Hash herauszufinden. Jetzt sind Sie wirklich in Schwierigkeiten, da dasselbe Passwort auf vielen Websites funktioniert. Selbst wenn es ihnen nicht gelingt, eine andere Site zu finden, auf der Sie sie verwendet haben, wird das Kennwort in das Wörterbuch der bekannten Kennwörter aufgenommen. Wenn nichts anderes, wird die Brute-Force-Suche beim nächsten Mal etwas weniger Brute-Force-Suche durchführen.
Wenn Sie erfolgreich phishing-fähig sind, haben Sie nicht ein Konto auf dem Spiel, sondern viele.

Das Schreiben von Passwörtern auf Papier ist schlecht (obwohl ich zugeben muss, dass ich das seit einigen Jahrzehnten mache). Das Auswendiglernen ist sicherer, funktioniert aber nicht so gut. Ich vergesse sogar regelmäßig die 4-stellige PIN auf meiner Bankkarte, weil ich sie nur einmal pro Jahr brauche. Stellen Sie fest, wie gut Sie sich an eine relativ zufällige Zeichenfolge mit 12 Zeichen erinnern können.

Solange ein Computer beteiligt ist, kostet es Sie nichts, die Dinge richtig zu machen. Zum Beispiel generiert KeePass zusammen mit der Kee-Web-Erweiterung (funktioniert in mehreren hochkarätigen Browsern) ausreichend sichere Passwörter für jede einzelne Site - und merkt sich diese. Und innerhalb eines Browsers ist diese Kombination ein "Just Works" -Setup. Mach dir nie wieder Sorgen, verschwende nie wieder Gedanken über dieses Problem. Es funktioniert auch für andere (Nicht-Browser-) Programme, nur etwas weniger komfortabel (Kopieren, Einfügen, kein automatisches Ausfüllen).

Die generierten Passwörter sind von viel besserer Qualität als jedes Passwort, das Sie selbst generieren oder an das Sie sich möglicherweise erfolgreich erinnern. Dies löst nicht nur das Problem der Freigabe, sondern macht es auch unmöglich, Ihr Passwort brutal zu erzwingen. Es sei denn natürlich, der CIO eines bestimmten Standorts ist ein kompletter Idiot, wie dies z. das Portal meiner Krankenversicherung (Axa). Während sie aus Gründen der zusätzlichen Sicherheit auf einer postalischen Identifizierung bestehen, lehnen sie ein zufälliges 256-Bit-Zufallskennwort ab, bestehen auf albernen Regeln und haben einen Parser, der immer noch einige Kennwörter ablehnt, die ihren dummen Regeln entsprechen. Sie haben also erraten, dass 50% der Benutzer Fuckyou! 1 wählen. Was, wie Sie richtig erraten haben, ihren dummen Regeln entspricht.

Aber leider gibt es Dinge, die Sie nicht ändern können. Sie sollten sich jedoch an den isseus wenden, den Sie ändern können.

Ein Passwort auf ein Blatt Papier zu schreiben ist nicht das Schlimmste, was Sie tun können.Ich mache es, wenn ich ein Passwort ändere, für das ich keinen Passwort-Manager verwenden kann, bis ich das neue Passwort gelernt habe.(Liebe erzwang regelmäßige Passwortänderungen.) Natürlich behalte ich das Blatt Papier im Auge.Wenn Sie ein viel einfacheres Passwort auswählen, damit Sie sich daran erinnern können, ist es wahrscheinlich schlimmer.
Ich weiß genau, wo mein Blatt Papier ist.2000 Meilen entfernt.
PePePlusPlus
2017-11-20 03:15:16 UTC
view on stackexchange narkive permalink

Es geht nicht um die Anzahl der Passwörter. Ich habe ein Basiskennwort, etwas sehr schwer zu knackendes wie "Y3DYFR34", das ich einfach auswendig lerne, und ein Suffix, das ich der Basis hinzufüge. Mein Passwort für den Stackoverflow wäre also "Y3DYFR34_stackoverflow" und mein Passwort für die E-Mail wäre "Y3DYFR34_email".

  • Schützt vor Passwort-Dumps
  • Leicht zu merken
Bitte registrieren Sie sich auf dieser [kostenlosen Website von geringer Qualität] (https://www.itisatrap.org/firefox/its-a-trap.html), da ich wirklich nicht versuchen werde, das Suffix des von Ihnen angegebenen Passworts in "stackoverflow "und versuchen Sie, sich in Ihrem Konto anzumelden ... _ (noch wird eine der Hunderten von Websites, auf denen Sie sich registrieren, jemals kompromittiert, um die eingegebenen Passwörter zu stehlen, noch wird das Passwort tatsächlich im Klartext gespeichert) _
Um zu verdeutlichen, was Ángel geschrieben hat: Dies schützt Sie nicht vor Passwort-Dumps.Das ist eine sehr schlechte Idee.Sie bekommen das Schlimmste aus beiden Welten: Jemand, der eines Ihrer Passwörter knackt, knackt sie alle, aber Sie haben nicht die Bequemlichkeit, dasselbe Passwort auf verschiedenen Websites verwenden zu können.
Wenn in einem Kennwortspeicherauszug eines Ihrer Konten diesen Kennwortstil verwendet (z. B. das Stapelüberlauf-Konto), hindert nichts jemanden daran, herauszufinden, was Sie tun, und das Kennwort überall auszuprobieren und den Website-Namen für jede Website zu ersetzenSie möchten Ihre wiederverwendeten Passwörter wirklich auf verschiedenen Websites differenzieren (im Ernst, verwenden Sie keine wiederverwendeten Passwörter), dann zumindest eine eindeutige Abkürzung oder Synonymmethode finden und diese verwenden (z. B. Sover, Eletters), aber das sollten Sie nicht tun müssen.
"Y3DYFR34" ist nicht schwer zu knacken, meine Maschine würde das in ungefähr 5 Minuten tun.
@ Ángel ist der Link tatsächlich eine Phishing-Seite oder stammt er tatsächlich von Mozilla?Firefox blockiert es, aber einige Links darin scheinen echt zu sein
@Ooker Es handelt sich um eine generische Test-Phishing-Site, die von Mozilla ausgeführt wird.Es informiert Sie nur über die Gefahren von Phishing und stiehlt Ihre Daten nicht.Firefox wurde höchstwahrscheinlich entwickelt, um es zu blockieren, damit Sie sehen können, ob der Phishing-Schutz des Browsers ordnungsgemäß funktioniert.In Ihrem Fall hat es funktioniert.
Woah ... Lassen Sie einige Dinge klären, denn es schien mir wirklich eine sehr gute Idee zu sein. Das Suffix "stackoverflow" ist zwar dumm, aber ich habe es als Beispiel verwendet, um meine Methode besser zu erklären. Natürlich sollten eindeutige Abkürzungen oder Synonyme verwendet werden.Und wer würde alle Daten analysieren, wenn ein Passwort-Dump auftritt? Ich dachte, dass der Prozess des Konto-Diebstahls ziemlich automatisiert war. "Y3DYFR34" ist zwar zu einfach, aber ich habe nicht gesagt, dass Sie keine härtere Basis wie "_B86FvXCn7eP? W + m" verwenden können.
@PePePlusPlus die niedrig hängende Frucht sind in der Tat Leute, die genau das gleiche Passwort verwenden (obwohl es für einen automatisierten Angriff trivial wäre, "stackoverflow" durch "gmail" zu ersetzen).Angreifer können es sich aber auch ansehen.Würden Sie darauf vertrauen, dass diese Abkürzung widerstandsfähig genug ist?Es gibt Systeme, die dies automatisch mit einem Hash oder hmac tun._Das_ ist sicher (es basiert auf dem Hash-Preimage-Widerstand), aber Ihr Schema ist es wahrscheinlich nicht.
@Gilles ist nicht nur jemand, der eine legitime Site kompromittiert und deren Passwörter knackt, sondern Sie müssen auch Sites mit böswilliger Absicht berücksichtigen!https://www.xkcd.com/792/
Abhinaw Anand
2017-11-18 18:10:06 UTC
view on stackexchange narkive permalink

Wenn Sie für alle Ihre Websites dasselbe Kennwort verwenden, kann dies gefährdet sein. Sie sollten auch Großbuchstaben, alphanumerische Zeichen und Sonderzeichen verwenden, die größer als 15 Stellen sein müssen.

Sie können beliebige Kombinationsarten für Kennwörter erstellen.

Ich kann sehen, was Sie hier vorhaben, aber es beantwortet die Frage nicht.Die Antwort schlägt nur wirklich Richtlinien für ein gutes Passwort vor und wiederholt das, was bereits in anderen Antworten erklärt wurde.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...