Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Berechnung der Enropie eines Passwortes
1,431 views
Skip to first unread message
vevi_91
Apr 16, 2016, 11:35:31 PM4/16/16
to
Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
Marc Stibane
Apr 17, 2016, 2:38:58 AM4/17/16
to
http://explainxkcd.com/936
--
In a world without walls and fences,
who needs windows and gates?
Beloumi
Apr 17, 2016, 4:19:27 AM4/17/16
to
Am 17.04.2016 um 08:38 schrieb Marc Stibane:
> vevi_91 <g.stu...@gmail.com> wrote:
>
>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>
>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>> damit es eine Entropie von n Bit besitzt.
>
>
> http://xkcd.com/936
>
> http://explainxkcd.com/936
>
>
Zeichenraum hoch Zeichenanzahl.
> vevi_91 <g.stu...@gmail.com> wrote:
>
>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>
>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>> damit es eine Entropie von n Bit besitzt.
>
>
> http://xkcd.com/936
>
> http://explainxkcd.com/936
>
>
Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
lässt sich nicht zuverlässig einschätzen.
Karl.Frank
Apr 17, 2016, 9:53:40 AM4/17/16
to
On 17.04.16 05:35, vevi_91 wrote:
> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
http://www.freecx.co.uk/utils/
> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
--
cHNiMUBACG0HAAAAAAAAAAAAAABIZVbDdKVM0w1kM9vxQHw+bkLxsY/Z0czY0uv8/Ks6WULxJVua
zjvpoYvtEwDVhP7RGTCBVlzZ+VBWPHg5rqmKWvtzsuVmMSDxAIS6Db6YhtzT+RStzoG9ForBcG8k
G97Q3Jml/aBun8Kyf+XOBHpl5gNW4YqhiM0=
--- news://freenews.netfront.net/ - complaints: ne...@netfront.net ---
vevi_91
Apr 17, 2016, 9:55:23 AM4/17/16
to
Am Sonntag, 17. April 2016 10:19:27 UTC+2 schrieb Beloumi:
> Zeichenraum hoch Zeichenanzahl.
> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
> lässt sich nicht zuverlässig einschätzen.
Die Zeichenfolge 15635 hat einen Zeichenraum von 10 und enthält 5 Zeichen. Die Entropie ist 10 000 Bit, wenn das Passwort von einem Zufallsgenerator erzeugt wurde. Kann das stimmen?
> Zeichenraum hoch Zeichenanzahl.
> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
> lässt sich nicht zuverlässig einschätzen.
Karl.Frank
Apr 17, 2016, 10:04:01 AM4/17/16
to
On 17.04.16 15:55, vevi_91 wrote:
> Am Sonntag, 17. April 2016 10:19:27 UTC+2 schrieb Beloumi:
>
>> Zeichenraum hoch Zeichenanzahl.
>> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
>> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
>> lässt sich nicht zuverlässig einschätzen.
>
> Die Zeichenfolge 15635 hat einen Zeichenraum von 10 und enthält 5 Zeichen.. Die Entropie ist 10 000 Bit, wenn das Passwort von einem Zufallsgenerator erzeugt wurde. Kann das stimmen?
> Am Sonntag, 17. April 2016 10:19:27 UTC+2 schrieb Beloumi:
>
>> Zeichenraum hoch Zeichenanzahl.
>> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
>> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
>> lässt sich nicht zuverlässig einschätzen.
>
>
Die maximale Entropy on Bit per Byte ist 8 wenn der Zeichenraum alle 256
mögliche Byte enthält. Demnach kann das oben aufgeführte Ergebnis nicht
stimmen. Ein Online-Test gibt es hier http://planetcalc.com/2476/
Rainer Zwerschke
Apr 17, 2016, 11:22:29 AM4/17/16
to
"vevi_91" <g.stu...@gmail.com> schrieb im Newsbeitrag
news:738d9440-c873-43b2...@googlegroups.com...
Probiere mal CrypTool 1.4.31 (Beta), dort Einzelverfahren / Tools /
Passwort-Entropie
https://www.cryptool.org/de/ct1-downloads
Karl.Frank
Apr 17, 2016, 11:45:54 AM4/17/16
to
On 17.04.16 17:22, Rainer Zwerschke wrote:
>
> "vevi_91" <g.stu...@gmail.com> schrieb im Newsbeitrag
> news:738d9440-c873-43b2...@googlegroups.com...
> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
> damit es eine Entropie von n Bit besitzt.
>
Die Formel ist eigentlich ganz einfach
>
> "vevi_91" <g.stu...@gmail.com> schrieb im Newsbeitrag
> news:738d9440-c873-43b2...@googlegroups.com...
> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
> damit es eine Entropie von n Bit besitzt.
>
siehe http://rosettacode.org/wiki/Entropy
> Da gibt es ein schönes Programm
> Probiere mal CrypTool 1.4.31 (Beta), dort Einzelverfahren / Tools /
> Passwort-Entropie
> https://www.cryptool.org/de/ct1-downloads
http://rumkin.com/tools/password/passchk.php
Karl.Frank
Apr 17, 2016, 11:54:44 AM4/17/16
to
On 17.04.16 05:35, vevi_91 wrote:
> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
Ein erklärende Thread in English warum ein Password aus meine sicht
>
> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss, damit es eine Entropie von n Bit besitzt.
immer in der gesamte Anzahl möglicher Byte sein sollte ist hier
Measure and Compare Entropy
http://s13.zetaboards.com/Crypto/topic/7474978/1/
Juergen P. Meier
Apr 18, 2016, 12:57:39 AM4/18/16
to
to Beloumi <bel...@riseup.net>:
Bei den ueblichen "Passwort muss mindestens Gross und kleinschreibung,
eine Ziffer und ein Sonderzeichen enthalten!!1"-Regeln verringert sich
Zeichenraum und Entropie zum Teil erheblich.
In der Regel wird mit so einem Unfug die Sicherheit der Passwoerter
insgesammt stark verschlechtert. (die Dummuser, die damit zu
nicht-trivialen Passwoertern gezwungen werden, schreiben sich ihre
Passwoerter auf Zettel auf und legen diese unter die Tastatur, und
alle die ordentliche Passwoerter nutzen werden damit zu stark
reduzierter Entrophie gezwungen).
> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
> lässt sich nicht zuverlässig einschätzen.
Es laesst sich aber eine obere Grenze feststellen.
> Am 17.04.2016 um 08:38 schrieb Marc Stibane:
>> vevi_91 <g.stu...@gmail.com> wrote:
>>
>>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>>
>>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>>> damit es eine Entropie von n Bit besitzt.
>>
>>
>> http://xkcd.com/936
>>
>> http://explainxkcd.com/936
>>
>>
> Zeichenraum hoch Zeichenanzahl.
Nur solange keine "Sicherheitsregeln" den Zeichenraum einschraenken.
>> vevi_91 <g.stu...@gmail.com> wrote:
>>
>>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>>
>>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>>> damit es eine Entropie von n Bit besitzt.
>>
>>
>> http://xkcd.com/936
>>
>> http://explainxkcd.com/936
>>
>>
> Zeichenraum hoch Zeichenanzahl.
Bei den ueblichen "Passwort muss mindestens Gross und kleinschreibung,
eine Ziffer und ein Sonderzeichen enthalten!!1"-Regeln verringert sich
Zeichenraum und Entropie zum Teil erheblich.
In der Regel wird mit so einem Unfug die Sicherheit der Passwoerter
insgesammt stark verschlechtert. (die Dummuser, die damit zu
nicht-trivialen Passwoertern gezwungen werden, schreiben sich ihre
Passwoerter auf Zettel auf und legen diese unter die Tastatur, und
alle die ordentliche Passwoerter nutzen werden damit zu stark
reduzierter Entrophie gezwungen).
> Das gilt ausschließlich für Zeichenfolgen, die per Zufallsgenerator
> ezeugt werden. Die Entropie von durch Menschen erzeugten Passwörtern
> lässt sich nicht zuverlässig einschätzen.
Marc Haber
Apr 18, 2016, 2:24:04 AM4/18/16
to
"Juergen P. Meier" <nospa...@jors.net> wrote:
>to Beloumi <bel...@riseup.net>:
>> Am 17.04.2016 um 08:38 schrieb Marc Stibane:
>>> vevi_91 <g.stu...@gmail.com> wrote:
>>>
>>>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>>>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>>>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>>>
>>>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>>>> damit es eine Entropie von n Bit besitzt.
>>>
>>>
>>> http://xkcd.com/936
>>>
>>> http://explainxkcd.com/936
>>>
>>>
>> Zeichenraum hoch Zeichenanzahl.
>
>Nur solange keine "Sicherheitsregeln" den Zeichenraum einschraenken.
>
>Bei den ueblichen "Passwort muss mindestens Gross und kleinschreibung,
>eine Ziffer und ein Sonderzeichen enthalten!!1"-Regeln verringert sich
>Zeichenraum und Entropie zum Teil erheblich.
>
>In der Regel wird mit so einem Unfug die Sicherheit der Passwoerter
>insgesammt stark verschlechtert. (die Dummuser, die damit zu
>nicht-trivialen Passwoertern gezwungen werden, schreiben sich ihre
>Passwoerter auf Zettel auf und legen diese unter die Tastatur, und
>alle die ordentliche Passwoerter nutzen werden damit zu stark
>reduzierter Entrophie gezwungen).
Das war gerade heute bei Heise:
>to Beloumi <bel...@riseup.net>:
>> Am 17.04.2016 um 08:38 schrieb Marc Stibane:
>>> vevi_91 <g.stu...@gmail.com> wrote:
>>>
>>>> Vermutlich eine triviale Frage: Wie berechnet man die Entropie in Bit
>>>> eines Passwortes, wenn der Zeichenraum und die Anzahl der Zeichen des
>>>> Passwortes bekannt sind? Welche Größen müssen noch bekannt sein?
>>>>
>>>> Ich möchte berechnen können, wie viele Zeichen ein Passwort haben muss,
>>>> damit es eine Entropie von n Bit besitzt.
>>>
>>>
>>> http://xkcd.com/936
>>>
>>> http://explainxkcd.com/936
>>>
>>>
>> Zeichenraum hoch Zeichenanzahl.
>
>Nur solange keine "Sicherheitsregeln" den Zeichenraum einschraenken.
>
>Bei den ueblichen "Passwort muss mindestens Gross und kleinschreibung,
>eine Ziffer und ein Sonderzeichen enthalten!!1"-Regeln verringert sich
>Zeichenraum und Entropie zum Teil erheblich.
>
>In der Regel wird mit so einem Unfug die Sicherheit der Passwoerter
>insgesammt stark verschlechtert. (die Dummuser, die damit zu
>nicht-trivialen Passwoertern gezwungen werden, schreiben sich ihre
>Passwoerter auf Zettel auf und legen diese unter die Tastatur, und
>alle die ordentliche Passwoerter nutzen werden damit zu stark
>reduzierter Entrophie gezwungen).
http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
[dsf 9.1]
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Rainer Zwerschke
Jun 28, 2016, 2:37:44 AM6/28/16
to
"
>
> Das war gerade heute bei Heise:
> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>
sicheren Paßwörtern hat.
Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
Ratschläge zu machen das müßte dann sicher sein.
Jens Hektor
Jun 28, 2016, 3:13:43 AM6/28/16
to
https://www.usenix.org/system/files/login/articles/822/howard.pdf
Juergen Ilse
Jun 28, 2016, 3:28:43 AM6/28/16
to
Hallo,
Rainer Zwerschke <rainer.z...@web.de> wrote:
>> Das war gerade heute bei Heise:
>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
Das sind doch seit vielen Jahren bekannte Tatsachen (aus denen aber viele
IT-Abteilungen auch heute noch nichts gelernt haben).
> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
> sicheren Paßwörtern hat.
> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
> Ratschläge zu machen das müßte dann sicher sein.
Als denkender Mensch wuerde ich mir die Argumente ansehen und auf Plausi-
bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Rainer Zwerschke <rainer.z...@web.de> wrote:
>> Das war gerade heute bei Heise:
>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
IT-Abteilungen auch heute noch nichts gelernt haben).
> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
> sicheren Paßwörtern hat.
> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
> Ratschläge zu machen das müßte dann sicher sein.
bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Rainer Zwerschke
Jun 28, 2016, 4:45:44 AM6/28/16
to
"Juergen Ilse" <jue...@usenet-verwaltung.de> schrieb im Newsbeitrag
news:57722729$0$5577$7b62...@news1.net.de...
> Hallo,
>
> Rainer Zwerschke <rainer.z...@web.de> wrote:
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>
> Das sind doch seit vielen Jahren bekannte Tatsachen (aus denen aber viele
> IT-Abteilungen auch heute noch nichts gelernt haben).
>
>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
>> sicheren Paßwörtern hat.
>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
>> Ratschläge zu machen das müßte dann sicher sein.
>
> Als denkender Mensch wuerde ich mir die Argumente ansehen und auf Plausi-
> bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
> Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
> fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
>
Nur weil Du das so siehst ist das noch lange nicht richtig!
>
> Rainer Zwerschke <rainer.z...@web.de> wrote:
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>
> Das sind doch seit vielen Jahren bekannte Tatsachen (aus denen aber viele
> IT-Abteilungen auch heute noch nichts gelernt haben).
>
>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
>> sicheren Paßwörtern hat.
>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
>> Ratschläge zu machen das müßte dann sicher sein.
>
> Als denkender Mensch wuerde ich mir die Argumente ansehen und auf Plausi-
> bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
> Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
> fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
>
Das ein paar Scheinargumente aufgebauscht werden und die eigntliche
wichtigen Sachen unter den Tisch fallen ist ein beliebtes Mittel in der
Werbung und der Politik.
Deswegen mögen Politiker und Werbefuzzies die 40+ Generation so wenig. Bei
denen schlägt meistens die Lebenserfahrung durch und sie springen nicht
nicht auf jeden Hochglanz Gag an.
Es mag ein paar Menschen geben die, wenn man sie zum Paßwortwechsel zwingt,
sich das Paßwort aufschreiben *und* herumliegenlassen oder nur zwei Zeichen
vertauschen.
("Sicher" aufschreiben haben wir ja schon an ander Stelle festgestellt ist
nicht schädlich.)
Wieviele das sind kann niemand sagen. Du sagst Viele; Ich sage
vernachlässigbar Wenige.
Ein Paßwort wird durch Paßwortwechsel nicht sicherer oder besser.
Aber ein Paßwortwechsel stellt sicher, daß ein gehacktes Paßwort in der
Zukunft für den Angreifer den Nutzen verliert und daß ein Angriff (gleich
welcher Art) nach dem Wechselzeitraum neu anfangen muß und nicht auf den
bisherigen aufbauen kann.
Sogar bei social engineering sollte es dem Dümmsten irgendwann einmal
auffallen wenn der Kollege alle 3 Monate wieder mit den Sprüchen über die
IT-Abteilung auftaucht.
Um auf Deine Aussage zurückzukommen:
Ich habe mir die Argumente angesehen, gewogen und für viel zu leicht
befunden.
Sie spielen eigentlich nur solchen Leuten in die Hände die ein Interesse an
langfristigen Zugängen zu den paßwortgeschützten Daten haben.
Juergen Ilse
Jun 28, 2016, 5:16:52 AM6/28/16
to
> "Juergen Ilse" <jue...@usenet-verwaltung.de> schrieb
>>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
eine Tatsache, dass erzwungene haeufige Passwortwechsel mit vorgeschriebener
"Mindestkomplexitaet" dazu fuehren, dass Passworte notiert werden (nicht gut),
dass an vielen Stellen identische Passworte verwendet werden (dass man sich
davon zumindest nicht so viele merken muss ... auch nicht gut) und/oder dass
die Passworte "fast gleich" gehalten werden, also wenn gewechselt wird, nur
minimal veraendert werden (auch nicht wesentlich besser als sie gleich bei-
zubehalten).
> Das ein paar Scheinargumente aufgebauscht werden und die eigntliche
> wichtigen Sachen unter den Tisch fallen ist ein beliebtes Mittel in der
> Werbung und der Politik.
Es sind Beobachtungen, die dort gemacht wurden, wo haeufige Passwortwechsel
und "cryptische Passworte" erzwungen werden. Und diese Beobachtungen wurden
auch schon vor Jahrzehnten gemacht, nur wurden an vielen Stellen bis heute
noch nicht die passenden Konsequenzen daraus gezogen. Alle paar Jahre popped
dann das Thema mal wieder hoch, allerdings ohne dass sich wesentliches
aendert.
> Deswegen mögen Politiker und Werbefuzzies die 40+ Generation so wenig. Bei
> denen schlägt meistens die Lebenserfahrung durch und sie springen nicht
> nicht auf jeden Hochglanz Gag an.
Es ist kein Gag, deswegen denke ich (deutlich aelter als 40) auch nicht
sofort darauf an, sondern stelle die Plausibilitaet der Argumentation fest
und glaube daher auch den Feststellungen dieser Studie.
> Es mag ein paar Menschen geben die, wenn man sie zum Paßwortwechsel zwingt,
> sich das Paßwort aufschreiben *und* herumliegenlassen oder nur zwei Zeichen
> vertauschen.
Ob es absichtliche herumliegen lassen wird, ist eine Sache , aber allein
schon, dass es aufgeschrieben wird (weil man es sich nicht merken kann)
ist ein Schwachpunkt.
> ("Sicher" aufschreiben haben wir ja schon an ander Stelle festgestellt ist
> nicht schädlich.)
Es ist ein (vermeidbares) Risiko, weil trotzdem die Moeglichgkeit besteht,
dass jemand einen Blick darauf erhaschen kann. Passworte sollten nicht auf-
geschrieben werden.
> Ich habe mir die Argumente angesehen, gewogen und für viel zu leicht
> befunden.
Dann ist deine Einschaetzung unzutreffend, denn die Beobachtung von realen
Usern zeigt genau das, was in der studie festgestellt wurde.
>>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>> Als denkender Mensch wuerde ich mir die Argumente ansehen und auf Plausi-
>> bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
>> Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
>> fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
> Nur weil Du das so siehst ist das noch lange nicht richtig!
Es ist ja auch nicht richtig "weil ich das so sehe", sondern es ist einfach
>> bilitaet ueberpruefen, dann feststellen, dass da etwas dran ist und die
>> Konsequenzen daraus ziehen. Und in diesem Punkt, es tut mir zwar leid
>> fuer dich dir das mitteilen zu muessen, hat die CESG voellig recht.
> Nur weil Du das so siehst ist das noch lange nicht richtig!
eine Tatsache, dass erzwungene haeufige Passwortwechsel mit vorgeschriebener
"Mindestkomplexitaet" dazu fuehren, dass Passworte notiert werden (nicht gut),
dass an vielen Stellen identische Passworte verwendet werden (dass man sich
davon zumindest nicht so viele merken muss ... auch nicht gut) und/oder dass
die Passworte "fast gleich" gehalten werden, also wenn gewechselt wird, nur
minimal veraendert werden (auch nicht wesentlich besser als sie gleich bei-
zubehalten).
> Das ein paar Scheinargumente aufgebauscht werden und die eigntliche
> wichtigen Sachen unter den Tisch fallen ist ein beliebtes Mittel in der
> Werbung und der Politik.
und "cryptische Passworte" erzwungen werden. Und diese Beobachtungen wurden
auch schon vor Jahrzehnten gemacht, nur wurden an vielen Stellen bis heute
noch nicht die passenden Konsequenzen daraus gezogen. Alle paar Jahre popped
dann das Thema mal wieder hoch, allerdings ohne dass sich wesentliches
aendert.
> Deswegen mögen Politiker und Werbefuzzies die 40+ Generation so wenig. Bei
> denen schlägt meistens die Lebenserfahrung durch und sie springen nicht
> nicht auf jeden Hochglanz Gag an.
sofort darauf an, sondern stelle die Plausibilitaet der Argumentation fest
und glaube daher auch den Feststellungen dieser Studie.
> Es mag ein paar Menschen geben die, wenn man sie zum Paßwortwechsel zwingt,
> sich das Paßwort aufschreiben *und* herumliegenlassen oder nur zwei Zeichen
> vertauschen.
schon, dass es aufgeschrieben wird (weil man es sich nicht merken kann)
ist ein Schwachpunkt.
> ("Sicher" aufschreiben haben wir ja schon an ander Stelle festgestellt ist
> nicht schädlich.)
dass jemand einen Blick darauf erhaschen kann. Passworte sollten nicht auf-
geschrieben werden.
> Ich habe mir die Argumente angesehen, gewogen und für viel zu leicht
> befunden.
Usern zeigt genau das, was in der studie festgestellt wurde.
Helmut Hullen
Jun 28, 2016, 5:46:57 AM6/28/16
to
Hallo, Juergen,
Du meintest am 28.06.16:
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort
>>> -Aenderung-3176493.html
> Das sind doch seit vielen Jahren bekannte Tatsachen (aus denen aber
> viele IT-Abteilungen auch heute noch nichts gelernt haben).
Ach - IT-Abteilungen machen Fehler?
Wenn/weil Virenscanner nicht fehlerlos arbeiten, dann empfiehlst Du, sie
zu meiden ...
Viele Gruesse!
Helmut
Du meintest am 28.06.16:
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort
>>> -Aenderung-3176493.html
> Das sind doch seit vielen Jahren bekannte Tatsachen (aus denen aber
> viele IT-Abteilungen auch heute noch nichts gelernt haben).
Wenn/weil Virenscanner nicht fehlerlos arbeiten, dann empfiehlst Du, sie
zu meiden ...
Viele Gruesse!
Helmut
Juergen P. Meier
Jun 28, 2016, 9:26:22 AM6/28/16
to
Jens Hektor <hek...@rz.rwth-aachen.de>:
Grund fuer eine Aenderung gibt.
Und nein, irgend ein willkuerliher Zeitraum ist *kein* valider Grund
dafuer.
> https://www.usenix.org/system/files/login/articles/822/howard.pdf
Das gilt ausserdem.
> Am 28.06.2016 um 08:37 schrieb Rainer Zwerschke:
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>>
>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an sicheren Paßwörtern hat.
>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der Ratschläge zu machen das müßte dann sicher sein.
>
> Fast 10 Jahre alt: "How Often Should You Change Your Password?"
Man sollte ein Passwort dann, und *nur* dann aendern, wenn es einen
>>> Das war gerade heute bei Heise:
>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>>
>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an sicheren Paßwörtern hat.
>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der Ratschläge zu machen das müßte dann sicher sein.
>
> Fast 10 Jahre alt: "How Often Should You Change Your Password?"
Grund fuer eine Aenderung gibt.
Und nein, irgend ein willkuerliher Zeitraum ist *kein* valider Grund
dafuer.
> https://www.usenix.org/system/files/login/articles/822/howard.pdf
Das gilt ausserdem.
Juergen P. Meier
Jun 28, 2016, 9:29:43 AM6/28/16
to
Ingrid:
Die Uebernahme eines PAsswortes (=initialpasswort) ist *immer* ein
Grund dafuer, es zeitnah zu aendern.
Auch das verwenden des Passwortes in abnormaler Umgebung (dazu zaehlen
Phishing-Seiten *grundsaetzlich*) ist ein Grund, ein Passwort schnellst
moeglich zu aendern.
All das ist *Gesunder Menschenverstand* und sollte selbstverstaendlich
sein. Leider sind Menschen aber grundsaetzlich und ausnahmslos Dumm.
Juergen
> Jens Hektor <hek...@rz.rwth-aachen.de>:
>> Am 28.06.2016 um 08:37 schrieb Rainer Zwerschke:
>>>> Das war gerade heute bei Heise:
>>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>>>
>>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an sicheren Paßwörtern hat.
>>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der Ratschläge zu machen das müßte dann sicher sein.
>>
>> Fast 10 Jahre alt: "How Often Should You Change Your Password?"
>
> Man sollte ein Passwort dann, und *nur* dann aendern, wenn es einen
> Grund fuer eine Aenderung gibt.
>
> Und nein, irgend ein willkuerliher Zeitraum ist *kein* valider Grund
> dafuer.
Aus obigem Anlass:
>> Am 28.06.2016 um 08:37 schrieb Rainer Zwerschke:
>>>> Das war gerade heute bei Heise:
>>>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
>>>
>>> Das ist natürlich DIE Organisation die ein besonders großes Interesse an sicheren Paßwörtern hat.
>>> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der Ratschläge zu machen das müßte dann sicher sein.
>>
>> Fast 10 Jahre alt: "How Often Should You Change Your Password?"
>
> Man sollte ein Passwort dann, und *nur* dann aendern, wenn es einen
> Grund fuer eine Aenderung gibt.
>
> Und nein, irgend ein willkuerliher Zeitraum ist *kein* valider Grund
> dafuer.
Die Uebernahme eines PAsswortes (=initialpasswort) ist *immer* ein
Grund dafuer, es zeitnah zu aendern.
Auch das verwenden des Passwortes in abnormaler Umgebung (dazu zaehlen
Phishing-Seiten *grundsaetzlich*) ist ein Grund, ein Passwort schnellst
moeglich zu aendern.
All das ist *Gesunder Menschenverstand* und sollte selbstverstaendlich
sein. Leider sind Menschen aber grundsaetzlich und ausnahmslos Dumm.
Juergen
Chr. Maercker
Jun 28, 2016, 11:41:45 AM6/28/16
to
Rainer Zwerschke wrote:
>> Das war gerade heute bei Heise:
>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
> sicheren Paßwörtern hat.
Ich nehme an, Du meinst damit die Quelle, auf die sich Heise beruft, odre?
>> Das war gerade heute bei Heise:
>> http://www.heise.de/newsticker/meldung/Wider-den-Zwang-zur-Passwort-Aenderung-3176493.html
> Das ist natürlich DIE Organisation die ein besonders großes Interesse an
> sicheren Paßwörtern hat.
> Als Normaldenkender würde ich empfehlen so ziemlich das Gegenteil der
> Ratschläge zu machen das müßte dann sicher sein.
längst selbst gekommen, dazu brauche ich diesen englischen Saftladen nicht.
--
CU Chr. Maercker.
0 new messages