Kuketz-Blog 🛡

IT-Security-Weisheit am Abend 🌙

Eine starke Passphrase schlägt jedes komplizierte Kauderwelsch aus Sonderzeichen und Ziffern. »K@tz3!99« ist kürzer, vorhersehbarer und schwerer zu merken als »dicker-roter-Elefant-schläft-tief«. Länge schlägt Komplexität - das ist keine Meinung, sondern Mathematik. Noch besser: Für jeden Dienst ein eigenes, zufällig generiertes Passwort - verwaltet von einem Passwortmanager wie KeePassXC. Dann muss man sich nur noch eine einzige starke Passphrase merken: Die für den Safe.

#ITSecurity #Cybersecurity #Sicherheit

May 26 at 7:00pmWeb
Show threadAndreas Bulling3d ago
@kuketzblog Ich kann pass empfehlen: https://www.passwordstore.org/
Pass: The Standard Unix Password Manager

Pass is the standard unix password manager, a lightweight password manager that uses GPG and Git for Linux, BSD, and Mac OS X.

Show threadStefan3d ago
@kuketzblog Auch genial: Vivaldi auf dem Android kann mit KeePassDX verbunden werden. Das macht es dann noch einfacher Passwörter auf Webseiten einzugeben. Schade das das nicht jeder Browser unter Android unterstützt.
Show thread*_jߍyrope3d ago
@Stefan Ja, Fennec sollte das auch können... macht's aber nicht.
Show threadscheme3d ago
@jrp @stefanjahn Bei mir bietet Fennec in Anmeldeformularen eine KeePassDX-Option an.
Show thread@leX 🤘🏻3d ago
@jrp
Fennec kann das zumindest mit Keepass2Android
Show threadHoehlenmensch3d ago
@stefanjahn Ich glaube das Plugin existiert für jeden größeren Browser.
Show threadRaoul3d ago

@kuketzblog ich erkläre immer: nehmt ganze Sätze, mindestens 14 Zeichen.
Bisher ist denjenigen, die das beherzigt haben, nichts passiert.

*Klopft auf Holz*

Show threada_siebel3d ago
@kuketzblog Ich melde Bedenken an:: Die theoretische Anzahl an Kombination von ca. 150 000^5 (geschätzte 150 000 Wörter in einem Wörterbuch werden 5 mal konkateniert) wird in dem Beispiel deutlich reduziert, wenn das Passwort ein korrekter deutscher Satz ist.
Show threadKuketz-Blog 🛡3d ago

@a_siebel Das war nur ein Beispiel. Man nutzt bspw. das Diceware-Verfahren mit 6 oder mehr Wörtern.

https://www.kuketz-blog.de/sicheres-passwort-waehlen-der-zufall-entscheidet/

/kuk

Sicheres Passwort wählen: Der Zufall entscheidet

Ein Wegweiser für den kompetenten Umgang mit sicheren Passwörtern.

Show threadgplr_3d ago
@a_siebel @kuketzblog Danke! Ging mir auch durch den Kopf. Die Wörter müssen zufällig - also ausgewürfelt (-> das dice in diceware) - sein.
Show threadᴺⁱˡᶻ 🍸3d ago

@gplr @a_siebel

Aber wer kann denn heutzutage noch korrekte deutsche Sätze bilden? 😑

(*Ba-dum-tss* und 5€ in die Boomer-Witze-Kasse)

@kuketzblog

Show threadCinux3d ago

@nilz @gplr @a_siebel @kuketzblog

Wieso ist

Jo-digger-alda-mach-ma-dat-flex-ding

kein guter deutscher Satz? 😧

Show threadᴺⁱˡᶻ 🍸3d ago

@Cinux

Türlich, türlich! Sicher, Digger.
Ey, kein Ding, Digger, das Ding hat Swing 🤙

@gplr @a_siebel @kuketzblog

Show threadPhoebe Klein2d ago

@nilz
Wörter, die in keinem Wörterbuch auftauchen oder Wörter, die von der Standard Schreibweise abweichen erhöhen ironischerweise die Sicherheit.
Ebenso wie das Mischen von Sprachen.
Wir alle love denglisch und di Lütt, di Platt schnack ock.

@Cinux @gplr @a_siebel @kuketzblog

Show threadSchimmelreiter2d ago
@PhoebeEule @kuketzblog @a_siebel @Cinux @nilz @gplr Zumal Platt auch besondere Wörter hat, auch aus dem Französischen: Klör. Oder auch aus anderen Sprachen entlehnt: breegendösig. Nutze ich auf dem Ackerschnacker. 😉
Show threadnSonic2d ago

@a_siebel @kuketzblog Beim Angriff muss man aber vorher wissen, ob es Wort-Kombinationen sind oder Kauderwelsch. Welches Trennzeichen verwendet wurde oder ob verschiedene, ansonsten war ein Bruteforce evtl. Mit 5 Wörtern schon korrekt aber man hat kein Minus sondern ein Punkt als trenner vorm letzen Wort gehabt oder ein Ausrufezeichen am Ende etc

Ganz so einfach ist das IMHO nicht zu rechnen für den Vergleich

Show threada_siebel2d ago

@nSonic @kuketzblog Man muss das nicht unbedingt wissen.

Bei einem Brute-Fore Angriffe ist es ja sinnvoll die wahrscheinlichsten Kombinationen zuerst zu prüfen, d.h. zuerst "Passwort!", Passwort1!" usw., dann ggf. kurze Passwörter, dann ganze Sätze (mit dem Bindestrich als wahrscheinlichsten Worttrenner zuerst) - Wenn man das durch hat, probiert man zufällige Wortkombinationen und zuletzt Kauderwelsch.

Show threadnSonic2d ago
@a_siebel @kuketzblog Eben. Und weil man es nicht weiß, warum der Einwand, dass die Wort-Kombi weniger sicher wäre? Also rechnerisch betrachtet? 🤔
Show threada_siebel2d ago

@nSonic @kuketzblog
Weil die wahrscheinlichsten Wortkombinationen sinnvollerweise zuerst ausprobiert werden und eine Wortkombination die einen gültigen Satz ergibt wahrscheinlicher ist, als eine die keinen Satz ergibt. (Wenn ausreichend viele User sich Merksätze bilden).

Analog bei Bank-Pins:
1172 ist wahrscheinlicher als 7398, weil es ein Geburtsdatum sein könnte; Wenn ich viele Bank-Pins von vielen Menschen mit Brute-Force probieren könnte, würde ich mich auf die Geburtsdaten konzentrieren

Show threadnSonic2d ago
@a_siebel @kuketzblog Verstehe ich alles. Dennoch ist mir unklar wie das rechnerisch unsicherer sein soll? Es gibt egal was du probierst haufenweise unbekannte. Und ja: „123456“ dürfte auf der Versuchsliste oben stehen. Aber alle nur denkbaren Sätze in wie viel Sprachen mit wieviel Kombinationen an Trenn- / Anfang- / Endezeichen in Groß/Kleinschreibung Variationen …
Gibt es Mathe/Formel die ohne Kenntnis des Ziels besagt, dass 4 Wörter unsicherer sind als (kürzeres) Kauderwelsch?
Show threada_siebel1d ago

@nSonic @kuketzblog Ich verstehe deinen Punkt nicht.

Es macht einen Unterschied, ob die verschiedenen Ereignisse gleichverteilt sind, oder ob es statistische Häufungen gibt. Sobald es die gibt, kann man mathematisch nicht mehr so rechnen, als würde jedes Passwort mit gleicher Wahrscheinlichkeit auftauchen.

Und wenn Menschen sich Sätze als Passwörter bauen (weil man die sich besser merken kann), dann entstehen eher Kollisionen, als wenn sie zufällige Wörter-Ketten wählen.

Show threadnSonic1d ago

@a_siebel @kuketzblog In 500 Zeichen weiß ich doch selbst nicht genau was ich meine 😂

12 Zeichen Kauderwelsch
Vs
20+ Zeichen (vier Wörter mit beliebigem
Trennzeichen)

Voraussetzung: Angreifer weiß nichts von inhaltlichen Logiken.

Gibt es eine Webseite die mit Mathe / Formel / Diagrammen zeigt, warum 4 Wörter schwächer sind? Wie gehen Angriffe tatsächlich vor, was ist sicherer und warum?
Ich will nicht argumentieren, ich möchte das wissen (Neugier/Interesse)

Show threada_siebel1d ago
@nSonic @kuketzblog Als Antwort auf den Ursprungsbeitrag wurde u.a. diese Seite gepostet: https://blog.syss.com/posts/passphrases/
Passphrases are easier to remember, but are they secure enough?

It is commonly believed that simply making passwords longer makes them more secure. In reality, security hinges on entropy — the true measure of unpredictability. This article compares random‐character passwords with word‐based “passphrases,” showing that although passphrases can be easier to remember, their strength depends on the size and randomness of the wordlist. Ultimately, choosing a strong password means balancing true unpredictability with human memorability. How Strong Are Passphrases Really? Passphrases are becoming more popular as they appear to be unpredictable for attackers but also easier for the user to remember. But are they secure enough? A passphrase is a “password” made of three or more random words belonging to a given dictionary. Before diving into it, let us step back and try to understand how we can measure the “quality” of a password. For simplicity, let us start considering a PIN code of four digits. The number of combinations that one has to try until they get the right one is given by $b^{\ell}$, where $b$ is the base, namely among how many digits one can pick, and $\ell$ the overall length of the password. In our example of a four-digit password, our base consists of $b=10$ digits and the length is $\ell=4$. Therefore, if a person wants to try to guess this code, they have to do at max $10^4=10000$ tries. The Longer, the Harder? Entropy Because a brute-force attack ultimately consists of binary decisions — checking each possible value one by one — we need a metric that directly reflects the number of bit-level operations required to cover the entire search space. This metric is called entropy, and it tells us how many bits of uncertainty (i.e., how many binary guesses) are needed to represent all possible combinations: [E\equiv\log_2\left(b^{\ell}\right) = \ell \dfrac{\ln(b)}{\ln2}] Here, (E) represents the number of bits a computer would need to explore all possible combinations in the worst case. The higher the entropy, the harder it is for an attacker to guess the password by brute force. We started from the definition and we re-expressed our formula so that we can compute it with normal calculators. A four-digits PIN code would have an entropy of $13.29$ bits. In this way, we have re-expressed the number of possible password combinations and therefore necessary guessing attempts for an attacker in binary form. Let us assume we need a password of at least 20 characters. If we start with just lowercase letters (26 possible characters), we can calculate the entropy of a password generated with random characters. For comparison, let’s consider a passphrase made of four or five random words. Depending on the length of each word, such a passphrase would likely result in a total length around 20 characters or more. While the exact length of a passphrase depends on the words selected, we can approximate that four or five words could yield a passphrase of a similar length to a 20-character random password. This allows us to compare the entropy of both types of passwords when they are roughly the same length. The Bigger, the Better? Passphrases vs. Passwords In order to compute the number of possible combinations that make up a passphrase, we first need to consider the size of the dictionary from which the words are drawn. In this analysis, we refer to the EFF large wordlist1, also used by tools like KeePassXC, which includes 7,776 words. This list is structured as a so-called five-dice wordlist, meaning each word can be uniquely selected by rolling five six-sided dice — yielding $6^5 = 7776$ possible outcomes at most. The size of the list becomes our base $b$, and the number of words used in the passphrase becomes the exponent $\ell$ in the total number of combinations:   Random characters Passphrase four words Passphrase five words Combination $26^{20}\approx1.99\times10^{28}$ $7776^4\approx3.65\times10^{15}$ $7776^5\approx2.84\times10^{19}$ Entropy (bits) $94.01$ $51.70$ $64.62$ A 20-character randomly generated password is significantly less predictable than a passphrase made of four or five random words. As shown in the table, it provides much higher entropy, meaning it’s mathematically much harder to guess or brute-force. One could argue that we can separate the words with a space or with a random character like + - _ & % $ @ … In this case, we need to add a new term to the entropy with a base $b_2$, the number of allowed separators2. [E\equiv\log_2\left(b^{\ell}\right)+\log_2\left(b_2\right) = \ell \dfrac{\ln(b)}{\ln2}+\dfrac{\ln(b_2)}{\ln2}] If we consider $b_2=32$ as the number of different special characters, we get:   Random characters (26) Passphrase four words Passphrase five words Combination $26^{20}\approx1.99\times10^{28}$ $32\times7776^4\approx1.17\times10^{17}$ $32\times7776^5\approx9.10\times10^{20}$ Entropy (bits) $94.01$ $56.70$ $69.62$ As expected, introducing special characters as separators between words increases the entropy by approximately 5 bits. This is because the total number of possible combinations grows with the addition of new symbols, which adds to the unpredictability of the password. The More Resources, the More Success: How Fast Can a Modern Home Computer Crack Passwords? Ever wondered how quickly a regular computer can test passwords against common hashing algorithms? We ran a benchmark using Hashcat v6.2.6 on a standard system with an Intel® Core™ Ultra 7 165U CPU and here’s what we found. Even without a dedicated GPU, this modern CPU delivers surprisingly high speeds when testing passwords, especially for older or less complex hash functions. Hash type Speed (Guesses/second) NTHash 724.8 million H/s MD5 388.8 million H/s SHA2-256 92.6 million H/s PBKDF2-SHA512 14 794 H/s bcrypt 154 H/s These results make one thing clear: Fast hashes (NTHash, MD5, SHA-256) are engineered for throughput and can be cracked at hundreds of millions of attempts per second on consumer hardware. By contrast, password-hashing KDFs (like PBKDF2 and bcrypt) intentionally burn CPU cycles — often with configurable iteration or cost parameters — to slow down brute-force attacks to a trickle. For even stronger defense, memory-hard schemes such as scrypt, Argon2, or yescrypt add memory usage to the cost model, forcing attackers to invest both time and RAM on every guess. To put this in perspective: A password with 60 bits of entropy would take around 90 years to brute-force at a 400 million guesses per second — in theory. In practice? With modern GPU clusters and optimized tools, this can be reduced to 45 days for weak hash functions like SHA1 or NTHash. A password with 128 bits of entropy remains computationally infeasible to crack, even with massive distributed systems. The Higher, the Better? Targeting 128 Bits of Entropy Let us now fix a target entropy of 128 bits, a value commonly regarded as secure for cryptographic applications and resilient even against large-scale brute-force attacks. The goal is to evaluate how long a password or passphrase must be to achieve this level of security, depending on the generation method. We consider three scenarios: A random string using all 94 printable characters (including lowercase, uppercase, digits, and special symbols) A passphrase generated from the EFF large wordlist used by tools like KeePassXC, which contains 7,776 words A generic passphrase composed of five or seven words, and we compute how large the wordlist would need to be to achieve 128 bits of entropy Entropy target Random characters (94) EFF wordlist Passphrase: five words Passphrase: seven words $E = 90$ bits 14 characters 7 words $\sim$ 260k-word list $\sim$ EFF wordlist size $E = 128$ bits 20 characters 10 words $\sim$ 50M-word list $\sim$ 320k-word list This comparison shows that a password made of 20 random characters from a 94-character set reaches 128 bits of entropy. Similarly, one would need ten words from a 7,776-word dictionary (such as the EFF large wordlist) to reach the same level. Alternatively, fewer words could be used if the dictionary were much larger. For instance, a passphrase of five words would require a dictionary of approximately 50 million entries, while seven words would only require around 320,000 words to provide equivalent security. For perspective, the vocabulary of an average-educated native English speaker ranges from 20,000 to 35,000 words, while comprehensive unabridged English dictionaries contain 200,000 to 300,000 words. This means that a seven-word passphrase drawn from a sufficiently rich and well-structured wordlist could offer the same cryptographic strength as a highly random and complex password. Although random strings remain the most compact way to achieve high entropy, passphrases offer a compelling alternative — as long as they are generated with true randomness from a well-designed, sufficiently large wordlist. Conclusions The memorability of a passphrase improves significantly with repeated use. A sequence of six or seven randomly chosen words may seem daunting at first, but if entered regularly — for example, as a disk encryption key or system login — it can become familiar over time. In such contexts, the usability advantage of passphrases becomes meaningful. That said, for credentials that are rarely typed — such as those managed by a password manager or used for API tokens — the benefits of a memorable passphrase diminish. In these cases, dense random strings offer the same level of security with less cognitive overhead. It’s also important to note that word-based passphrases must be sufficiently long to offer strong protection. A three- or four-word phrase, even if random, rarely provides the same security margin as a properly sized alphanumeric password. This trade-off highlights a key point: Passphrases are not inherently stronger — they must be long enough and truly random to compete with well-generated passwords. Ultimately, password design should reflect both entropy requirements and real-world usability. Whether it’s a dense, character-based password or a longer, word-based passphrase, the right choice depends on the specific use case and how frequently the secret is used. After all, security is only effective when it aligns with human behavior — and when it strikes the right balance between protection and practicality. https://github.com/leonklingele/passphrase/blob/master/wordlist-eff-large.txt ↩ Passphrases generators allow separators of also more than one characters but not different separators. ↩

SySS Tech Blog
Show threadnSonic1d ago
@a_siebel @kuketzblog Hatte ich nicht gesehen - Danke 🙏 lese ich nachher mal durch. Ich finde sowas spannend! Weil Mensch und Zufall/Wahrscheinlichkeit immer schwer zu vereinen sind. Das Bauchgefühl liegt dabei oft falsch
Show threadnSonic1d ago
@a_siebel @kuketzblog Ah! Verstehe jetzt besser! Angreifende wissen nicht was das Schema ist, aber sie folgen Annahmen und bekannten Mustern. Und dabei sind Wortlisten verwundbarer (vor allem da häufig bekannt). Erst deutlich mehr Wörter, Schreibweisen (groß/klein) und Trennzeichen (verschiedene und wechselnde) machen es etwas sicherer aber Entropie mit random Zeichen ist dennoch schnell größer.
Danke! Habe viel gelernt. SO mag ich SocialMedia 😄👍🎉
Show threadmarco_m_aus_f3d ago

@kuketzblog There's an xkcd for that 😁

https://xkcd.com/936/

Password Strength

xkcd
Show threadJoachim (he/him, white)3d ago

@marco_m_aus_f @kuketzblog

Same though, thanks for bringing it up already! 👍

#xkcd

Show threadSebastian Lammermann3d ago

@marco_m_aus_f @kuketzblog

https://en.wikipedia.org/wiki/File%3ADilbert-20050910.png

File:Dilbert-20050910.png - Wikipedia

Show threadDiogenes3d ago
@kuketzblog Zum Beispiel "Wie-war-das-Passwort-fuer-<Firmenname>-gleich-wieder???"
Blöd nur, daß manche Firmen wie ebay ihren Namen im Passwort verbieten, das macht das Schema kaputt.
Show threadOpa Gollum Catuvolcus DN9MS3d ago
@kuketzblog Deswegen habe ich 50 Zeichen lange Kauderwelch Passwörter im Gebrauch. Ich spiele das wie auf einem Klavier.
Show thread*_jߍyrope3d ago
@Opa Gollum Catuvolcus DN9MS Meinst Du wie auf einer Tastatur? So oder so leicht, dies herauszufinden. Sind ja wiederkehrende Muster.
Show threadOpa Gollum Catuvolcus DN9MS3d ago
@jrp Was hier mit Phrasen gesagt wird, sind bei mir Kauderwelch Stücke mit ein paar Dutzende (Teile) mit meheren Variationen hintereineander. Eine davon könnte schon als Passswort für einen Passwortmanager von den meisten Menschen genutzt werden und ich selber nutze ebenfalls den Passwortmanager mit richtig langen Kauderwelch.
Show thread*_jߍyrope3d ago
@Opa Gollum Catuvolcus DN9MS Gut :) Nebenfrage: Mehrzahl von Kauderwelsch?
Show threadOpa Gollum Catuvolcus DN9MS2d ago
@jrp Ohne Absicherung durch Germanist*innen und Linguist*innen gehe ich nicht auf die Eisfläche.
Show threadCrazy-to-Bike3d ago
@kuketzblog

Und den #Passwortsafe - insbesondere, wenn er wie bei #Bitwarden öffentlich im #Internet erreichbar ist - und am Besten jeden Zugang, bei dem das möglich ist, mit #2FA absichern.
Show threadViktoria D. Richards/Uddelhexe3d ago

@kuketzblog
Oh, das wusste ich nicht!
Ich hatte früher immer sinnlose Quatschsätze und dachte,cdie wären einfacher zu knacken.

Schön zu wissen, dass ich dazu zurückkehren kann und die tatsächlich besser sind als die Zeichenfolgen.

Show threadOch Menno3d ago
@v_d_richards @kuketzblog ja für den Menschen wären Sätze mit dem Duden einfacher als random Kram. Nur für den Rechner ist es genau andersrum. Jedes Zeichen mehr dauert länger.
Show threadflo2d ago
@OchmennoPodcast
Wie verhält es sich, wenn ich einen "logischen" Satz (nicht auf deutsch) habe, mit über 50 Zeichen, am Stück geschrieben?

Welchen Effekt haben zufällig aneinandergereiht Wörter, warum sind die schwerer zu knacken?

@v_d_richards @kuketzblog
Show threadOch Menno2d ago
@fasnix @v_d_richards @kuketzblog es ist die Länge des Passworts. Der Computer weiß ja nicht vorher ob du einen sinnvollen Satz genommen hast oder nur zufällig mit dem Kopf auf die Tastatur gehauen hast. Jede Stelle mehr macht den Rechenaufwand mehr. https://xkcd.com/936/
Password Strength

xkcd
Show threadOch Menno2d ago
@fasnix @v_d_richards @kuketzblog und da vorher ja nicht bekannt ist welchem Zeichensatz (groß klein, Sonderzeichen) muss der Angreifer fast immer den großen Zeichensatz annehmen. Jede Stelle mehr ist besser.
Show threadOch Menno2d ago
@fasnix @v_d_richards @kuketzblog mehr als 20 stellen ist halt irgendwann die Frage wie schnell du tippst.
Show threadflo2d ago
@OchmennoPodcast
Ich tippe mit "9 1/2" Fingern, da ist mir die Länge fast egal ;)
Show threadflo2d ago
@OchmennoPodcast
Das ist mir schon klar, war aber nicht meine Frage.

Meine Frage war, welchen Unterschied es macht, ob ich ein paar zufällige Wörter aneinander reihe, wie zB
Luft-Wasser-Himbeere-rennen-Ente-Einhornpups

oder ob ich einen logischen Satz am Stück schreibe, wie zB
DieserSatzkönntevielleichteingutesPasswortsein,oderauchnicht.

Das Ganze dann noch garniert mit Ziffern und Sonderzeichen an "ausgewählten" Stellen, sollte doch auch sicher sein, oder?

@v_d_richards @kuketzblog
Show threadOch Menno2d ago
@fasnix @v_d_richards @kuketzblog solange du es dir merken kannst, die Qualität der Wörter macht bei modernen Angriffen per brute force keinen Unterschied.
Show threadflo2d ago
@OchmennoPodcast
Ok, danke, das wollte ich wissen.

Merken muss ich mir nur ein solches PW, die anderen liegen im PW-Safe ;)

@v_d_richards @kuketzblog
Show threadMirko Schenk2d ago
@OchmennoPodcast @[email protected] @v_d_richards @kuketzblog
Einen kleinen schon, da "richtige" Wörter ja in Dictionaries sind und (samt "1337"-Varianten) zuerst versucht werden, oder?
Ich frage mich aber auch, ob nicht ab einer bestimmten Komplexität auch andere Brute-Force-Passwörter funktionieren, weil zufällig derselbe Hash dabei rausfällt.
Show threadOch Menno2d ago
@mort @kuketzblog @v_d_richards @fasnix das ist nur bei Algorithmen mit Kollision wieder möglich. Geht über das Thema raus
Show threadMcSteiner3d ago
@kuketzblog weiterer Tipp: die App what three words nutzen und sich mit bekannten Adressen so seine passphrase erstellen falls man keinen passwortmanager (aus welchen Gründen auch immer) nicht nutzen will.
Show threadAndreas, DJ3EI, he/him2d ago

@steiner

What3words nutzt nur rund 1/8 aller Worte einer Sprache und die Phrasen sind mit nur 3 Worten recht kurz. Statt dessen Phrasen aus fünf Worten und potentiell allen Worten einer Sprache gibt grob etwa 10 hoch 13 mal mehr Möglichkeiten.

@kuketzblog

Show threadMcSteiner1d ago
@dj3ei @kuketzblog kleiner hack: immer das linke Feld dazu nehmen schon hat man sechs Wörter
Show threadVortex3d ago
@kuketzblog Was an »dicker-roter-Elefant-schläft-tief« einfacher zu merken, als an »K@tz 3!99« = »Katz 3199« sein soll erschließt sich mir nicht. 👀
Show threadInf-NIT | SH2d ago
@V_for_Vortex @kuketzblog
Das ist sicher individuell. Die Passphrase ist bloß viel sicherer.
Show threadGegenwind 🇺🇳🖖3d ago
@kuketzblog passwortmanager sind jedoch oft selber die Schwachstelle und können gehackt werden.
Ich bevorzuge ein Basis-Passphrase mit Variation entsprechend dem Dienst. Bspw Dicker-roter-Elefant-schläft-tief-und-hört-Musik für meinen Musikstreamingdienst. Oder Dicker-roter-Elefant-schaut-zu-viele-Serien für den videostreamingdienst. Dann kann ich mir es merken und trotzem passphrases nutzen
Show threadPhoebe Klein2d ago

@Gegenwind
Dir ist aber bewußt, dass Passwort Manager verschlüsselt sind und es sehr viel Zeit braucht die Verschlüsselung zu knacken?
Also wieso sollte genau das die Schwachstelle sein?

@kuketzblog

Show threadGegenwind 🇺🇳🖖2d ago

@PhoebeEule
Ernüchterndes Ergebnis des BSI.
„Lediglich drei der zehn geprüften Produkte verschlüsseln sämtliche Daten so vollständig, dass der Anbieter technisch keinerlei Zugriff auf die Inhalte hat.“
Und vorher gabs auch Sicherheitslücken am Laufenden Band

https://winfuture.de/news,155490.html

@kuketzblog

BSI deckt viel zu viele Sicherheitslücken im Passwortmanager-Test auf

Zehn verbreitete Passwortmanager mussten sich einer tiefgehenden Sicherheitsanalyse durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterziehen. Das Resultat ist ziemlich besorgniserregend.

WinFuture.de
Show threadPhoebe Klein2d ago

@Gegenwind
Ja, das ein Passwort Manager Anforderungen erfüllen muss liegt auf der Hand.
Diese Mängel aus dem Bericht haben aber nichts mit der Verschlüsselung zu tun.

@kuketzblog

Show threadGegenwind 🇺🇳🖖2d ago

@PhoebeEule ok. Klär mich auf. Wenn nur 3 von 10 ausreichend verschlüsseln, dann dachte ich hat das grade mit der Verschlüsselung zu tun.
Naja dazu so Lücken wie bei KeyPass 2023, wo man das Master-Passwort fast vollständig im Klartext aus dem Arbeitsspeicher (RAM) ausgelesen konnte, selbst wenn die Datenbank gesperrt war. Oder das Drama um die geklauten Vaults bei LastPass.
Es ist halt ein Single Point of Failure

@kuketzblog

Show threadPhoebe Klein2d ago

@Gegenwind
Das steht da ja nicht mal, dass die nicht ausreichend verschlüsseln. Die Risiko Analyse deckt alle möglichen Dinge ab.
Was hat sich alle Welt über "Signal wurde gehackt!" aufgeregt, daran erinnern wir uns noch alle.
Und jetzt in der selben Weise sagen, 3 von 10 verschlüsseln nicht ausreichend? Das geht auch nicht.

@kuketzblog

Show threadArmin Hanisch3d ago
@kuketzblog Passphrases und Yachten haben etwas gemeinsam: Länge läuft! 😎
Show threadEineMäh3d ago
@kuketzblog
Ganz stark ist ein Satz MIT Zeichenverfremdung! Und dann noch ein Kennwortmanager. Aber bitte einer, der autark/offline betrieben wird.