Ich habe vor Kurzem den mühsamen Prozess durchlaufen, alle meine Passwörter in sicherere zu ändern. Ich habe es so gemacht, wie es heutzutage allgemein empfohlen wird: Ich habe es 16 Zeichen lang gemacht, einschließlich Sonderzeichen, Zahlen, Großbuchstaben, Kleinbuchstaben usw., bis das Endprodukt mehr oder weniger wie eine zufällige Datenzeichenfolge aussah.
Und dann bin ich auf folgendes gestoßenxkcd-Comic, was mir im Wesentlichen sagt, dass es besser ist, einfach ein paar Wörter hintereinander zu verwenden, da dies 99 % der praktischen Sicherheit bietet und gleichzeitig leichter zu merken ist.
Meine Frage ist also: Wie korrekt ist dieser Comic?
Antwort1
Ja und nein. Es gab bei Security.SE viele Diskussionen zu diesem Thema. Beginnen wir mit einem Zitat voneine Antwort von Jeff Goldberg:
Was der XKCD-Comic nicht effektiv vermittelt, ist, dass die Auswahl der Wörter (einheitlich) zufällig sein muss. Wenn man Menschen auffordert, Wörter nach dem Zufallsprinzip auszuwählen, erhält man eine starke Voreingenommenheit gegenüber konkreten Substantiven. Solche Voreingenommenheiten können und werden ausgenutzt.
Dies hier ist wahrscheinlich der wichtigste einzelne Schlag gegen das XKCD-Schema. Menschen sind schrecklich darin, sich irgendetwas Zufälliges auszudenken [Quellenangabe erforderlich]. "Ich liebe meine wundervollen Hunde und Katzen über alles" ist sicherlich "lang" genug, ist aber keineswegs unvorhersehbar.
(Nebenbei weist Jeff auch darauf hin, dass das XKCD-Schema nicht wirklich von Randall Munroe stammt:
Die Idee für „XKCD-ähnliche“ Passwörter reicht mindestens bis in dieS/Key Einmalkennwörteraus den frühen 1980er Jahren.
)
Deram besten bewertete Antworterinnert uns daran, dass wir wissen müssen, wogegen wir uns verteidigen:
Einer der vielen Gründe, warum es keine einheitlichen Empfehlungen zu Passwörtern gibt, ist, dass es letztlich um ein Problem der Bedrohungsmodellierung geht. Wovor genau versuchen Sie sich zu schützen?
Beispiel: Möchten Sie sich vor einem Angreifer schützen, der es speziell auf Sie abgesehen hat und Ihr System zur Kennwortgenerierung kennt? Oder sind Sie nur einer von Millionen Benutzern in einer durchgesickerten Datenbank? Verteidigen Sie sich gegen GPU-basiertes Kennwortknacken oder nur gegen einen schwachen Webserver? Befinden Sie sich auf einem Host, der mit Malware infiziert ist?
Ich denke, Sie sollten davon ausgehen, dass der Angreifer Ihre genaue Methode zur Generierung von Passwörtern kennt und es nur auf Sie abgesehen hat. Der xkcd-Comic geht in beiden Beispielen davon aus, dass alle Details der Generierung bekannt sind.
Schauen Sie sich diese kurze Liste an. Wenn dieses Profil auf Sie zutrifft, ist das XKCD-Schema wahrscheinlich das Richtige für Sie:
1. Das Passwort wird nur an einer Stelle verwendet.
2. Ihnen ist nur wichtig, ehrliche Menschen und Scriptkiddies von Ihrem Konto und Ihren Daten fernzuhalten.
3. Nun ja... eine 3 gibt es eigentlich nicht.
Um es ganz deutlich zu sagen, es sei denn, Sie sind bereit,WürfelwareUm ein einprägsames Passwort zu generieren, sollten Sie das XKCD-Schema bei ernsthaften Problemen nicht verwenden.Troy Hunt hat dies vor einiger Zeit analysiert. Wie er gegen Ende des Beitrags sagt, besteht der „beste“ Passwort-Tipp darin, völlig zufällige Passwörter und einen Passwort-Manager zu verwenden:
Insgesamt verfolge ich also einhundertdreißig Konten. Nur sehr wenige Leute, die dies hier lesen und weniger als 30 Konten haben, werden das hier lesen, selbst wenn sie Ihnen jetzt nicht alle spontan einfallen (können Sie sich wirklich an alle Konten erinnern, die Sie jemals erstellt haben?). Seien Sie ehrlich, zählen Sie sie alle zusammen und sehen Sie, was Sie erreichen, auch die, die Sie nicht so oft verwenden. Und wenn Sie jetzt noch keine 30 Konten haben, wie lange wird es dann dauern, bis Sie welche haben? Nachdem ich kürzlich mit meinem Vater, der in den Sechzigern ist und keinen technischen Hintergrund hat, die Übung zur Passwortverwaltung durchgemacht habe, weiß ich, dass jeder normale Online-Benutzer im schlimmsten Fall mit ziemlicher Sicherheit mehr Konten hat, als er an den Fingern und Zehen abzählen kann, und definitiv mehr, als er sich merken kann.
Ich habe zwar keine 130 Konten, aber ich habe definitiv mehr als nur Finger und Zehen in meinem Passwort-Manager. Jedes Mal, wenn ich das Passwort für meinen Arbeitscomputer ändere, brauche ich etwa drei Wochen ununterbrochener Nutzung, bis ich es mir merken kann. Und das ist eines von vielleicht 2-4 Passwörtern, die ich tatsächlich von Hand eingebe! Versuchen Sie, das auf 30-100 Konten zu skalieren, und es funktioniert einfach nicht.
Antwort2
Sie möchten sichere Passwörter – nicht nur ein einziges? Verwenden Sie einen Generator und lassen Sie Ihre Passwörter so lang und kompliziert wie möglich zufällig erstellen. Edward Snowden behauptet, die NSA könne pro Sekunde etwa eine Milliarde Möglichkeiten ausprobieren. Seien Sie also besser vorbereitet :-) Verwenden Sie dann einen Passwort-Manager, um alle Ihre Passwörter im Auge zu behalten.