Wozu Limits bei Passwörtern?

[thepawelification]

Hallo Leute,

seit längerem beschäftigt mich ein Gedanke. Immer weider sieht man bei verschiedenen Online-Diensten, dass die Wahl eines Passworts beschränkt ist. Beispielsweise darf man nur Buchstaben und Ziffern wählen oder das Passwort darf nicht länger als 6 Zeichen lang sein. Wieso machen manche das? Das kann ich ehrlich gesagt nicht nachvollziehen.

Wer etwas Ahnung hat weißt, dass je länger und komplizierter ein Passwort ist, desto mehr Sicherheit bietet es.

Wenn Webmaster / Dienstbetreiber es aber beschränken, dann machen sie ja im Grunde eigene Communities unsicherer.

...oder liege ich mit meinen Gedanken irgendwo falsch?

Grüße

 

[ad86]

AW: Wozu Limits bei Passwörtern?

Hi,

ich schätze mal:

Passwörter müssen gespeichert werden. Je größer Sie sind, umso mehr Speicherplatz brauchen Sie. Will man (das Unternehmen, was den Dienst anbietet) dafür nicht so viel zahlen, kürzt man das Passwort.

Beispiel hat man nur 1000 KB Platz. Wenn man 10 KB für ein Passwort nimmt , kann man 100 User speichern. Gibt man nur 1 KB, reicht es schon für 1000 User.
[Anmerkung, die Zahlen sind Beispielzahlen]

MFG ad86

 

[thepawelification]

AW: Wozu Limits bei Passwörtern?

Hey,
also ich denke, bei der heutigen Technik wo unzählige Gigabyte ein paar kleine Euros kosten, dürfte dieses Bisschen Speicherplatz keine allzu große Rolle spielen. ...naja und Einstellungen einer mysql-Tabelle, wo Passwörter meistens gespeichert werden, kann man mit 2 Klicks ändern.

Jetzt genauer zu meinen Beobachtungen: Das Paradebeispiel ist meiner Meinung nach ICQ. Nicht mal Sonderzeichen sind erlaubt. Wirklich nur halt das absolute Minimum. Leider bedeutet dies auch: Minimum an Sicherheit . Das sieht man auch bei diversen Presseportalen, Bookmarkingdiensten usw.

 

[Quaszi]

AW: Wozu Limits bei Passwörtern?

Zu finden ist es auch bei der Sparkasse beim Onlinebanking. Gerade mal ein 5-stelliges PW darf man sich einrichten und alles ohne Sonderzeichen. Hab mich schon des öfteren beschwert, aber das hat nichts gebracht.

 

[MegaAdi]

AW: Wozu Limits bei Passwörtern?

5 Zeichen (A-Z, a-z, 0-9) das ist aber nicht wirklich Sicher... vor allem für eine BANK...

Das würde ja heißen: ( 62*61*60*59*58 )/5! = 6471002 Kombinationsmöglichkeiten (wenn jedes Zeichen nur einmal vorkommt.)
Da aber jedes Zeichen mehrfach vorkommt ist hier die Kombinationsmöglichkeit viel Größer.
Also in meinen Augen reicht das

Gruß Adrian

 

[Kleiner_Kobold]

AW: Wozu Limits bei Passwörtern?

Was den Speicherbedarf eines Passworts angeht:
Viele Online-Scripte (u.a. Foren) nutzen doch meines Wissens ein md5 codiertes System.
Soll heißen, dass das User-Passwort vor dem Speichern in die Datenbank mit md5() verschlüsselt wird, und dann währe es ohne bedeutung wie lang das eingegebene Passwort des Nutzers ist, da ein md5 String immer eine Länge von 32 Zeichen hat.

 

[Micha8583]

AW: Wozu Limits bei Passwörtern?

Speicherplatzmangel scheidet definitiv aus, entweder man will Rechnerleistung sparen, weil die Daten live codiert bzw. dekodiert werden müssen; oder (ICQ) hat Auflagen vom CIA bekommen, daß man denen das Mitlesen doch einfacher gestalten soll, oder, last but not least, die Jungs (und Mädels) vom Support ham einfach kein Bock mehr, die ganzen supergeheimen 1024bit- Passwörter finden zu helfen. Bei ICQ reicht m. E. Tante Ernas Mädchenname aus.

 

[fakerer]

AW: Wozu Limits bei Passwörtern?

Könnte mir bei Diensten wie ICQ auch vorstellen, das dies wegen downkompatibilität oder andren systemen die komatibel bleiben sollen so ist. Und früher einfach wo datentypen verwendet worden sind die einfach mit längeren Zeichenketten nix anfangen könnten.

 

[SpaceGirl]

AW: Wozu Limits bei Passwörtern?

Ich meine mich zu erinnern, dass Windows Passwörter zu je 8 Zeichen abspeichert, längere Passwörter also in mehrere Blöcke. Wenn man dann ein C R A C K - Programm auf das System ansetzt, kann man beide Blöcke "in einem Rutsch" austesten. Von daher soll es nicht sehr sinnvoll sein, mehr als 8 Zeichen zu benutzen... Mmmh...

Aber das ist so mit den Erinnerungen... und vielleicht ist das ja bei den neueren Windows-Versionen anders?

Irgendwelche Technik-Freaks im Forum unterwegs, die es besser wissen?

Gruß SpaceGirl

 

[Wastl83]

AW: Wozu Limits bei Passwörtern?

also bei meiner Sparkasse geht alles. Buchstaben, Zahlen, Sonderzeichen und die Länge spielt auch keine Rolle. Kann da wenn ich will auch einen ganzen Satz eingeben...

 

[konishkichen]

AW: Wozu Limits bei Passwörtern?

5 Zeichen (A-Z, a-z, 0-9) das ist aber nicht wirklich Sicher... vor allem für eine BANK...

Das würde ja heißen: ( 62*61*60*59*58 )/5! = 6471002 Kombinationsmöglichkeiten (wenn jedes Zeichen nur einmal vorkommt.)
Da aber jedes Zeichen mehrfach vorkommt ist hier die Kombinationsmöglichkeit viel Größer.
Also in meinen Augen reicht das

Gruß Adrian

Sorry, aber das ist der größte Schmarrn. Weißt du wie lang ein einfacher PC für ein fünfstelliges Passwort nur bestehend aus Zahlen bräuchte? Nicht mal eine Sekunde! Bei Bankgeschichten muss man einwenden, dass man in der Regel nur drei Versuche hat, aber für alles andere wäre es einfach nur hirnrissig. Da kann man sich das Passwort auch sparen...

 

[MegaAdi]

AW: Wozu Limits bei Passwörtern?

Natülrich braucht ein PC für 6 Millionen berechnungen nicht allzulange...
Allerdings ist es warscheinlicher 6 richtige aus 49 zu haben als 5 richtige aus 6471002. Und man weiß ja: beim Lotto liegt die Warscheinlichkeit bei 0.0000001%. Ich spreche hier auch nur aus mathematischer Sicht. Reiner Menschenverstand sagt: 5 zeichen sind zu wenig und dem stimme ich auch zu. Meine Bank schreibt mir z.B. vor ich muss min. 8 Zeichen verwenden. Das ist in meinen Augen auch in Gut so! Denn: Jeh mehr Zeichen ich zur Verfügung habe - evtl. auch mit Sonderzeichen - desto sicherer ist ja das Passwort!

Es kommt aber ja auch noch der von dir erwähnte Sicherheits-Faktor hinzu (3-10) Versuche sind im Normall-Fall erlaubt. Macht es ja auch wieder Sicherer... (wobei ja eine IP recht schnell geändert ist).


Gruß Adrian

 

[kleinerVampir]

AW: Wozu Limits bei Passwörtern?

Ich spreche hier auch nur aus mathematischer Sicht.

Dann solltest du nochmal bei Null anfangen. Denn deine ganze Rechnung ist absoluter Quatsch !

5 Zeichen (A-Z, a-z, 0-9) das ist aber nicht wirklich Sicher... vor allem für eine BANK...

Das würde ja heißen: ( 62*61*60*59*58 )/5! = 6471002 Kombinationsmöglichkeiten (wenn jedes Zeichen nur einmal vorkommt.)

Wie kommst du bitte auf so eine Rechnung ?

Realistisch gesehen sieht es doch so aus

A-Z = 26 Zeichen
a-z = 26 Zeichen
0-9 = 10 Zeichen

Also alles in allem 62 Zeichen
Da ich 5 Stellen habe und jedes Zeichen an jeder Stelle vorkommen kann habe ich

62*62*62*62*62 = 916132832 Kombinationen

Ein aktueller Rechner schafft locker 800000000 Kombinationen pro Sekunde. Damit würde das berechnen eines 5 stelligen Passwortes mit den Vorgaben keine 2 Sekunden dauern. Knacken ist dann nochmal die andere Frage, da ja jedesmal der Login gesendet werden muss, was Zeit in Anspruch nimmt...

Allerdings ist es warscheinlicher 6 richtige aus 49 zu haben als 5 richtige aus 6471002. Und man weiß ja: beim Lotto liegt die Warscheinlichkeit bei 0.0000001%.

Falsch ! Es ist wahrscheinlicher das ich jedes 5 Stellige Passwort raus bekomme, denn das erledigt der PC für mich. Die Lottozahlen kann mir der PC nicht voraus sagen. Von daher ist der Vergleich wohl mehr wie dürftig.




Den Login bei Banken kann man doch hier jetzt garnicht mit berücksichtigen, wenn man über die Passwortsicherheit diskutiert. Denn bei Banken loggst du dich ja nicht nur mit dem Passwort ein, sondern musst zusätzlich ja noch Fillialnummer, Kontonummer und bei manchen sogar eine TAN mit angeben. Dazu kommt dann noch das eigentliche Passwort. Also hast du bei Banken wenn man es genau nehmen will mindestens 3 Passwörter (Filialnummer/Kontonummer/Passwort) die in Kombination übereinstimmen müssen. Wenn das ganze noch an einem TAN Login hängt hast du sogar 4 Passwörter. Somit ist die Sache dann schon sicher genug.



Ob ein 5 stelliges Passwort für "normale" Dienste ausreicht das sei mal dahin gestellt. Außerdem wird sich kein normaler Mensch die Mühe machen und ein privates Konto hacken. Dazu ist das viel zu uninteressant. Und wer es wirklich auf Benutzerdaten abgesehen hat, wird sich Zugriff auf die entsprechende MySQL Datenbank verschaffen und sich die Daten dort holen.

Außerdem ist es egal wie lang Passwörter sein dürfen. Letztendlich ist der Faktor Mensch immernoch die größte Schwachstelle. Denn der sucht die Passwörter aus. Und das meist nach ein und dem selben Schema. Geburtsdatum, Name von Personen mit denen man zu tun hat, Haustier, Wohnort, Automarke, Kosenamen, Hobbys etc. Oder noch schlimmer es werden zusammenhängende Tastenfolgen wie qwertz, 12345 oder ähnliches benutzt.

Von daher ist das größte Problem wohl im Social Hacking zu suchen. Denn wenn man es darauf anlegen wollte, dann würde man versuchen alles mögliche über PersonX herauszufinden, was Dank Facebook Twitter und Co. ja keine Hürde mehr darstellt. Es soll ja Leute geben die sogar ihren letzten Toilettenbesuch inkl. Konsestenz und Farbe twittern müssen, weil sie sich sonst nicht beachtet fühlen.

 

[MegaAdi]

AW: Wozu Limits bei Passwörtern?

Ich schrieb ja auch dazu dass meine Rechnung nur dann gilt, wenn jedes Zeichen "nur einmal" vorkommt...
Ich will hier aber auch nicht weiter diskutieren da die Rechnungen OT sind
Im Großen und ganzen gebe ich dir natürlich Recht!

Gruß Adrian