Um ein sicheres Passwort zu erhalten, greifen viele Nutzer auf einen Passwort-Generator zurück, um eine willkürliche Kombination aus Zahlen und Buchstaben zu erhalten. Sollte dann als Passwort „ji32k7au4a83“ ausgespuckt werden, würde es wohl jeder direkt für wichtige Accounts nutzen, obwohl es vermutlich unsicherer ist als „Katzenfan75“.
Cybersecurity spielt eine immer größere Rolle in der digitalen Gesellschaft und spätestens seit den jüngsten Hacks sind Seiten wie Have I been pwned? bekannt und äußerst hilfreich. Hier können Nutzer ihre E-Mail-Adresse eingeben, um prüfen zu lassen, ob der Account bei Datenleaks betroffen war. Eine weitere Möglichkeit, die die Website bietet, ist die gezielte Suche nach betroffenen Passwörtern.
Über 100 Mal geleakt
Ein einfacher Test zeigt, dass „ji32k7au4a83“ bereits 141 Mal betroffen war und somit nicht mehr genutzt werden sollte. Unser spontan überlegtes Passwort „Katzenfan75“ war hingegen noch gar nicht betroffen. Aber wie kommt das?
Aufgedeckt wurde das Ganze von Software-Ingenieur Robert Ou, der seine Twitter-Follower fragte, ob sie wüssten, warum diese scheinbar zufällige Buchstaben-Zahlen-Kombination ein so unsicheres Passwort darstellt.
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIBP, it's been seen over a hundred times. Challenge: explain why and how this happened and how this password might be guessed
— R. Ou (@rqou_) March 1, 2019
Einige von Ous Followern fanden schnell die Lösung für sein Rätsel. Das Passwort stammt aus dem sogenannten Zhuyin-Fuhao-System, einem System für die Transliteration von Mandarin. Dahinter steckt die buchstabengetreue Umsetzung eines nicht in lateinischen Buchstaben geschriebenen Wortes in lateinische Schrift. Und dann heißt „ji32k7au4a83“ nichts anderes als „My Password“.
Genutzt wird Zhuyin, auch Bopomofo genannt, vor allem in Taiwan. Daraus könnte man jetzt schließen, dass Taiwanesen sich in Sachen Passwörter nicht sonderlich viel Mühe geben, aber in Deutschland sieht es auch nicht besser aus. Am einfachsten ist es, selbst sicher aussehende Zufalls-Passwörter einmal checken zu lassen – nicht dass sie in Indien, Thailand oder Malaysia so etwas wie „Katzenfan75“ bedeuten. Obwohl das ja sicher wäre, aber das ist ein anderes Thema. Also Augen auf bei der Passwortwahl.
- Warum es gar nicht so schwer ist, sichere Passwörter zu nutzen
- Passwort-Leaks weiten sich aus: Inzwischen 2,2 Milliarden Zugangsdaten betroffen
Dieser Artikel ist nach meiner Meinung einfach nur Clickbait und unter dem Niveau von t3n.
Aber um sachlich zu bleiben:
ji32k7au4a83 hat 12 Stellen
12345 hat 5 Stellen
Zu behaupten das ein Passwort mit 12 Stellen genauso unsicher ist wie ein Passwort mit 5 Stellen ist hauptsächlich eines:
SCHWACHSINN.
Siehe https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/10-million-password-list-top-1000000.txt: das Passwort steht an Stelle 6:
123456
password
12345678
qwerty
123456789
12345
Jeder Brute Force Angriff wird mit den kürzesten Passwörtern anfangen – oder den HÄUFIGSTEN.
Beides trifft in diesem Fall auf „ji32k7au4a83“ nicht zu.
Es ist auch recht egal ob das Passwort in einer Liste vorkommt: nicht jedes Passwort in einer Liste ist automatisch „verbrannt“ nur weil es irgendwo vorkommt. Abgesehen davon: wie hoch ist die Wahrscheinlichkeit das ein Passwortgenerator genau dieses Passwort ausspuckt?
z.b bei:
12 characters : (3 uppercase letters, 4 lowercase letters, 3 special characters, 2 numbers)
94 hoch 12= 475,920,314,814,253,376,475,136
Whow. Das Risiko ist gigantisch das dieses Passwort aus einem Generator kommt!
Zu Katzenfan75: das ist ein ernsthaft bescheuertes Passwort, da es bei einer Brute-Force Dictionary Attacke sehr viel früher kommt. Abgesehen davon das es als Nutzername garantiert in zahlreichen Dictionary steht.
Also:
#1 Passwortgeneratoren benutzen und Passwort-Manager, z.b. 1Passwort
#2 Klartext-Passwörter wie „Katzenfan75“ niemals verwenden
#3 Nicht jeden Artikel für t3n schreiben lassen
Danke .. mein Gedanke .. ich habe den Artikel abgeschrieben in der Kategorie .. das scheint t3n zu brauchen, um wirtschaftlich zu sein, denn das er schwach ist haben sie sicher selbst bemerkt.
Man sollte dem Verbraucher nicht immer wieder erklären was sichere und unsichere Passwörter sind, sondern mal den Anbietern gewaltig auf die Füße treten die nicht in der Lage sind Ihre Systeme abzusichern. Was bringt mir denn ein sicheres Passwort, wenn diese am Ende unverschlüsselt in einer DB abgelegt wird.
Toll! Zeit vergeudet durch das Lesen des Artikels :-( Lange nicht mehr t3n.de gelesen und jetzt weiss ich wieder wieso…
Es ist nicht nur Clickbait, sondern auch absolut falsch. Schon allein die Überschrift „Warum das Passwort ji32k7au4a83 genauso unsicher ist wie 12345 „, dazu im Artikel:
„Ein einfacher Test zeigt, dass „ji32k7au4a83“ bereits 141 Mal betroffen war“
Diesen einfachen Test hätte t3n ja auch mal mit „12345“ machen können…. Und dieses Passwort taucht in der Datenbank über 2,3 Millionen Mal auf!! Ein Passwort mit 141 Vorkommen ist also genau so unsicher (laut Titel) wie ein Passwort welches 2,3 Millionen Mal vorkommt???
Also Augen auf bei der Wahl der Lektüre… :-(
Wer kann mir den Sinn dieses Artikels erklären?
12stellig mit 141 Teffern auf HIBP ist genauso unsicher wie 5stellig mit über 2 Mio Treffern?
Man sollte keine zufallsgenerierten Passwörter nutzen weil mit absurd geringer Wahrscheinlichkeit dabei ein unsicheres Passwort herauskommt?
Das nicht-Auftauchen eines Passworts bei HIBP ist keine Garantie für die Sicherheit dieses Passworts? Logisch. Behauptet ja auch keiner. HIBP sagt ja lediglich, dass bereits aufgetauchte Passwörter unsicher sind. Wer zieht den Umkehrschluss und behauptet, ein Passwort sei sicher, nur weil es noch nicht bei HIBP aufgetaucht ist?
Ich würde mich freuen, wenn mir jemand den Sinn des Beitrags erklären könnte, denn bisher wirkt der Text auf mich auch wie Clickbait. Man könnte es sogar für gefährlich halten, hier Unsicherheit zu schüren, denn verglichen mit der Wahrscheinlichkeit, dass ein Zufallsgenerator ein schlechtes Passwort ausspuckt ist Lotto-Spielen ne ziemlich sichere Sache.
Auch würde ich mich über einen Tipp des Autors freuen, wie man’s besser macht.
Zeitverschwendung
Und dieser Artikel hat es geschafft das ich t3n aus meinem Newsfeed gelöscht habe
Newsfeed nf = myNewsfeeds.remove(„t3n“);
nf.cancelSubscription(CancellationReason.worthlessContent);
Und falls Onlinedienste endlich die maximalen Fehleingaben für Passwörter, Account oder IP-Adresse auf z.B. 10 pro Tag begrenzen würden, zusätzlich Passwörter endlich hachen und vernünftig salten würden, wäre schön viel geholfen.
…
aber hätte hätte Fahradkette ….
Hui…
Als ich den Titel gelesen habe dachte ich „uff. Da wurde was gehackt“. Ich dachte, es würde ne Meldung vom Typ „Security alert“ kommen
Statt dessen … was ist das?
Gewinner der challenge „wer kriegt den schwachsinnigsten Text auf t3n publiziert“?
Ihr solltet euch schämen
Der Artikel hat Null Inhalt und Null qualifizierte Information. Der einzige Sinn dieses Artikel ist durch anklicken der Schlagzeile Werbeeinahmen zu generieren.
Das Passwort sowie seine Nutzungszeit unterliegt der Verantwortung des users das speichern des lselbigen in Datenbanken oder zB Webbrowsern auch er muss es erstellen, verwalten und die Software dahin gehent Konfigurieren das es die möglich kleinste Schwachstelle darstellt. So ein Mpll wie pw Generatoren zu nutzen ist schn verdrehter Blödsinn. Schaut aus euren fenster… Sehr ihr ein blaues auto mit den Nummernschild H-AS2013 dann nwhmt das eure Hausnummer dazu ein & rein und was weiß der Teufel ich bastle alle 3 Monate neues pw für die wichtigen Zugänge ändere sie und schreib sie auf echtes papier. Die Liste ist für die Familie fertig. Nur gibts auch Zugänge wo man ein fast schon vorgebenes ow nutzen muss nur 6-8 Zeichen… Die Sonderzeichen bitte nicht usw… Die freie pw Entscheidung ist wichtig und das man sie selbst verwaltet und immer wieder ändert. Ansonsten kann man eigentlich alles knacken…
Und ja: am besten man generiert mit keypass o.ä. ein starkes Passwort und gibt es im Anschluss auf irgendeiner Webseite ein um zu schauen ob es irgendwo gelistet ist.. da muss man so viel Vertrauen zum Webseitenbetreuer und deren Security-Abteilung haben..
Ist m.M. ein ganz schlechter Tipp.