Kuketz-Blog 🛡Dec 9

Deutsche Bahn zwingt mich, mein Login-Passwort zu ändern: Es hat 24 Zeichen, ist zufällig, beinhaltet Groß-/Kleinbuchstaben und Zahlen und hat eine Entropie über 110 Bit. Aber weil kein Sonderzeichen drin ist, gilt es als unsicher. Sicherheitsrichtlinien von 2005 lassen grüßen. 🙄

/kuk

#bahn #db #security #sicherheit #passwort #fail

Show threadKuketz-Blog 🛡

Würde ich die 12 Zeichen mit allen Vorgaben umsetzen, läge ich nur noch bei etwa 55 bis knapp 70 Bit Entropie. Also eindeutig schlechter – aber hey, ein Passwort ohne Sonderzeichen ist ja bekanntlich unsicher…

/kuk

Dec 9 at 8:03amWeb
Show threadJohannesDec 9

@kuketzblog das Problem habe ich auch regelmäßig mit Passwortrichtlinien. Vor der Richtlinie war mein Passwort meistens sicherer.

Am Schönsten ist es, wenn man das Passwort regelmäßig ändern muss. Dann kommt eben an passende Stelle eine Zahl, die man hochzählen kann.

Show threadpatrickyaaDec 9
@jd ein Passwort-Manager wär einfacher als hochzählen ^^
Show threadJohannesDec 9
@patrickyaa für manche Anwendungen geht das. Wenn es das Passwort für den Laptop ist, wird es schwierig.
Show threadMarcel GevelerDec 9
@jd @kuketzblog oder man fängt an das letzte Zeichen so lange zu verdoppeln bis man die Mindestlänge erreicht hat <.<
Show threadnureinusernameDec 9
@unnon89 @jd @kuketzblog auch das geht nicht immer, da das Kennwort dann eine "zu lange Folge derselben Zeichen" hat = unsicher. Und im Optimalfall wird das Kennwort ohne Begründung abgelehnt. Password-Game lässt grüßen.
Show threadPhoebe KleinDec 9

@jd
Behörde mit 18.000 Mitarbeiter*innen und monatlich neues Passwort. Viele davon benutzen wohl aktuellen Monat plus Jahr oder Jahr und aktuellen Monat als Passwort?
Warum wurde wohl das regelmäßige Ändern von Passwörtern als Sicherheitsrisiko eingestuft? Richtig, weil der Zwang psychischen Druck macht und dadurch Passwörter unsicherer werden.

@kuketzblog

Show threadkatzenbergerDec 9

@kuketzblog

Wer nörgelt, muss es künftig auch noch wöchentlich wechseln. Zur eigenen Sicherheit, natürlich.

Show threadKachelkaiserDec 9
@kuketzblog aber dort steht doch mindestens 12 Zeichen. Es dürfen doch auch mehr sein....
Show threadNorbi📷🚴‍♀️💻Dec 9
@Kachelkaiser
Das mit den "mindestens 12 Zeichen" hatte ich auch schon auf einer Webseite, aber mehr wurden auch nicht akzeptiert😕 Trotz einhalten aller Regeln.
@kuketzblog
Show threadKachelkaiserDec 9
@grauzone @kuketzblog das ist natürlich Mist. Dann sollten sie das "mindestens" rausnehmen
Show threadPhilippeDec 9
@kuketzblog Für Nerds scheinen die Vorgaben der Bahn sinnlos zu sein oder gar kontraproduktiv.
Denke ich an meine Eltern, wenn die ein Passwort vergeben oder sich ausdenken, dann ist es durchaus sinnvoll diese Vorgaben zu machen.
Show threadPhilippeDec 9
@kuketzblog Ich schätze mal, dass die meisten User der Bahn eben keine Nerds sind.
Und da schließt sich der Kreis, dass ordentliches Nutzen des Internets immer noch viel zu kompliziert ist.
Show threadnureinusernameDec 9
@Philippe @kuketzblog mir wäre da ein ordentliches rate-limit und 2fa lieber - mit der Vorgabe hängen viele einfach bestimmte Kombinationen an, und damit hat es sich dann mit der zusätzlichen Entropie gleich auch wieder...
Show threadPhilippeDec 9
@nureinusername @kuketzblog Alternative oder ergänzende Verfahren stehen außer Zweifel.
Show thread.beejayDec 9
@Philippe @kuketzblog Sehe ich genauso. Meine Mutter hat keine fucking Ahnung was Entropie ist, die will ein möglichst kurzes Passwort. Und da helfen Sonderzeichen halt.
Show threadJörg 🇩🇪🇬🇧🇪🇺Dec 9
@kuketzblog Wie errechnet man die Entropie?
Show threadu880dDec 9
@geco_de @kuketzblog
Ich denke, er bezieht sich hierbei auf die Ausgabe des PW Generators. Also vermutlich der Test zur statistischen Gleichheitswahrscheinlichkeit und keine logische Messung.
Show threadJens FinkhäuserDec 9

@u880d @geco_de @kuketzblog Exakt.

Du musst gucken, aus welchem Zeichensatz Du die Passwort-Zeichen wählst. Wenn Du a-z hast, ist Dein Zeichensatz 26 (R) gross. Dann ist die Anzahl der möglichen Passwörter der Länge N also 26^N.

Davon dann log2 nehmen, weil wir die Entropie in bits ausdrücken: log2(R^N), oder auch N * log2(R).

Daher auch der XKCD mit seinem battery horse staple wasauchimmer als besseres Passwort.

Show threadJens FinkhäuserDec 9

@u880d @geco_de @kuketzblog
Um auf eine hohe Entropie zu kommen musst Du entweder die Range R erhöhen, oder die Länge.

Bei Buchstaben hast Du grosse, kleine, Zahlen, Sonderzeichen... lass es mal 80 oder so sein. Mehr wirst Du nicht tippen können. Also kannst Du nur über die Länge die Entropie erhöhen.

Die Alternative ist, ein Wörterbuch als Range zu nehmen. Damit ist R ein paar Tausend oder Zehntausend. Davon muss man entsprechend weniger aneinanderreihen, um auf eine ähnlich hohe zu kommen.

Show threadIanDec 9

@geco_de @kuketzblog z.B. mit https://github.com/dropbox/zxcvbn

ausprobieren kann man es hier: https://lowe.github.io/tryzxcvbn/ (den Wert für guesses_log10 noch durch log(2) (logarithmus zur basis 10 von 2, also ca. 0,3) teilen)

GitHub - dropbox/zxcvbn: Low-Budget Password Strength Estimation

Low-Budget Password Strength Estimation. Contribute to dropbox/zxcvbn development by creating an account on GitHub.

GitHub
Show threadMeister Fritz 🇦🇹 ♻️ 🐧Dec 9
@kuketzblog