Transkript by Google
Am ersten februar. Das ist jetzt am vergangenen Wochenende gewesen. Ist jedes Jahr der sogenannte ändere. Dein passwort-tag Das ist ja eigentlich ganz nett. Das ist ein Tag gibt. Der sich mit dem Thema Passwort Sicherheit beschäftigt. Das ist gut. Was nicht so gut ist ist dass er ändere. Dein passworttag heißt weil eigentlich ist das Ändern eines passworts nicht wirklich das was da irgendwas sicherer macht.
Das hat folgende Gründe. Na klar, wenn Passwort irgendwie geknackt war oder oder kompromittiert ist oder in einer Weise offengelegt dann dann. Muss man es ändern und dann hat das auch einen großen positiven Effekt auf die Sicherheit aber was nicht? Eigentlich nicht gut ist ist. Sind Dinge wie Firmen das gerne machen dass sie sagen hier alle 14 Tage alle vier Wochen alle drei Monate alle halbe Jahr oder wie auch immer.
Habt ihr bitte euer Passwort zu ändern? Machen ja machen viele Firmen für für ihre Firmen Accounts und und auch anderes was wo sie dem Nutzer das sozusagen vorschreiben all das vermeintlich dann irgendwas sicherer macht. Das ist? Aktuellen Erkenntnissen ich will gar nicht sagen neueren weil eigentlich ist das ein alter Hut, aber das ist nach aktuellen Erkenntnissen der IT-Sicherheit eigentlich dumm, weil es dazu führt dass Leute.
Dazu neigen, dass sie sich Passwörter auswählen, die dann nach einem bestimmten System. Ähm funktionieren das heißt? Man wählt eine Kombination aus einem Passwort, dass man einfach jedes Mal nimmt und irgendwie dem Datum. Also wenn man jetzt mein fegen alle. Drei Monate das Wechseln soll, dann macht man immer. Passwort 123 vielleicht ein Tick sicherer und dann hängt man noch Herbst oder Frühling oder Sommer oder Winter dran, so in der Art oder eben den monatsnamen oder die Kalenderwoche irgendwie sowas.
Also Leute suchen sich dann solche Systeme weil sie sonst bekloppt werden, weil sie ja dauernd ein neues Passwort sich suchen müssen, vor allem dann. Wenn Wert darauf gelegt wird, dass das jedes Mal auch tatsächlich eingegeben wird und nicht etwa. In einem passwortmanager gespeichert wird, dass Leute zu wenig Passwort Manager verwenden.
Ist das eigentliche Problem? Also vielleicht müssen wir den Tag umbenennen in verwende ein passwortmanager Tag oder so? Das würde für die Sicherheit von Passwörtern wahrscheinlich sehr viel mehr tun. Was regelmäßig eigentlich auch jedes Jahr zu diesem Tag aber passiert. Das sind so lustige Übersichten die uns sagen wie sicher bestimmte Sorten Passwörter sind.
Und das finde ich regelmäßig interessant. Ich weiß auch nicht, ob es jedes Jahr die gleichen Knackzeiten sind die man da so angibt aber Zumindest was in dieser Woche oder letzte Woche da dazu so. Gepostet wurde sind so Sachen wie? Wenn ich zum Beispiel ein achtstelliges Passwort habe. Das nur aus Zahlen besteht, dann dauert es.
Rechnerisch 37 Sekunden bis zum So ein so ein knack Skript. Sozusagen gelöst hat. Und? Ich sag mal acht. Acht Ziffern ist jetzt. Wahrscheinlich macht keiner so eine Passwörter. Aber wir über 10. Zeichen reden und das sind nur Zahlen. Dann dauert es eben auch nur eine Stunde und da kommen wir glaube ich schon so in die Nähe der standardpasswörter für.
Für manche Router oder auch auch? Ja, WLANs Die dann irgendeiner Weise voreingestellt sind. Am interessantesten finde ich nach wie vor wir reden von einer passwortlänge von genau vier Zeichen was ehrlich gesagt so eine scheiß Idee ist. Und da wird behauptet wenn das nur Zahlen sind dann ist es sozusagen sofort geknackt.
Zumindest wenn man Automaten ransetzt, weil es dann dermaßen wenig Möglichkeiten gibt, dass er das in null komma nichts auf hat. Und? Da muss man sich immer vergegenwärtigen, dass wir vermutlich fast alle. Passwörter benutzen, die aus vier Zahlen bestehen, vielleicht weniger für unser E-Mail Konto, weil kein wahrscheinlich keinen nennenswerter E-Mail Anbieter So ein Passwort erlauben würde aus sicherheitsgründen.
Wo es aber mehr oder weniger vorgeschrieben ist, ist bei jeder normalen Bank. Wenn ich Geld holen will, gebe ich vier Zahlen ein. Das unfassbar eigentlich? Selbst sechs Zahlen werden. Unwesentlich sicherer. Eigentlich müsste man dann. Mindestens eine Kombination aus kleiner großbuchstaben haben. Eigentlich müsste man mit richtigen Passwörtern arbeiten. Besser noch.
Irgendwie sowas wie eine Entsperrung per Smartphone oder so? Keine Ahnung, also es gibt ja reichlich Möglichkeiten das ganze ein bisschen sicherer zu machen. Man hat in dem Fall natürlich eine gewisse mehr Sicherheit dadurch, dass eben auch eine Karte die zu diesem Passwort passt. Zum Einsatz kommen muss, sonst kriegt man da natürlich auch nichts auf aber es ist.
Eigentlich ein Unding, dass das so das nach wie vor der normale Standard ist, dass wir mit vierstelligen zahlen-pins arbeiten. Bei etwas ja nicht ganz Unwichtigem, nämlich einen Bankkonto. Also das ist schon sehr bemerkenswert. Ohnehin vier passwortlänge von 4 also die aktuellen Tabellen sagen da selbst wenn wir da Zahlen kleinen Buchstaben großbuchstaben Sonderzeichen reinpacken dann ist das halt nach neun Sekunden auf.
Dann hat man dann hatten Automat auch alle Möglichkeiten durch das natürlich immer theoretisch weil man natürlich so ein. Man kann natürlich sagen, wenn das hier zweimal dreimal falsch eingegeben wurde, dann wird es jetzt erstmal eine Stunde gesperrt und das gibt es ja auch tatsächlich nur. Das kann man natürlich immer noch bedeuten, dass man dann einfach nur ein paar Tage braucht und dann ist es immer noch offen.
Eigentlich ist es eine absolute Katastrophe und Was diese Tabelle einmal mehr? Deutlich macht ist dass man Eigentlich nichts unter? Zehn Zeichen haben möchte. Bei 10 Zeichen die nur Zahlen sind ausgehen dann haben wir eine Stunde ist das auf? Wenn wir? Klein und großbuchstaben nehmen. Dann sind es 1000 Jahre immerhin schon.
Wenn wir zahlen Kleinbuchstaben großbuchstaben Sonderzeichen nehmen sind 33.000 Jahre. Ich würde immer ein Passwort nehmen von Namen mindestens 12 eher 16 Zeichen ich würde mir die aber auch niemals selber merken. Ich würde sie mir auch nicht selber. Ausdenken, sondern da nimmt man echt ein Passwort Manager oder ein Passwort Generator zumindest ist für ein erledigt.
Und nur mal so zum Vergleich. Laut dieser Tabelle wie genau sie auch sein mag, aber so rein von der Richtung her wird das so falsch nicht sein. Von 16 Zeichen ausgehen. Und da sind Zahlen Kleinbuchstaben, großbuchstaben und Sonderzeichen drin. Dann dauert es aktuell drei billiarden Jahre bis ein Automat das Passwort geknackt hat.
Das ist ja vielleicht. Als Benchmark erstmal nicht so verkehrt. Man sollte bei diesen Zeiteinheiten bedenken, dass das der aktuelle Stand der Technik ist. Wir leben im ki-zeitalter Und? Es ist durchaus möglich, dass sich diese Zahlen in vier fünf Jahren auch einfach mal halbieren oder? Oder keine Ahnung Zehntel oder so.
Das ist? Alles möglich, wenn dann irgendwann die quantencomputer da sind, dann werden jetzt auch noch ein bisschen schneller hinkriegen. Auch das muss man aber immer bedenken. Das Passwort was heute sicher ist. Das kann in zehn Jahren nicht so sicher sein. Das heißt ab und zu so ein Passwort mal ändern und ein bisschen aufbohren in Sachen Sicherheit ist vielleicht auch nicht so blöd aber einmal im Jahr das Passwort zu ändern.
Ist eigentlich ein Ratschlag der überholt ist und den man so nicht? Nicht nicht sklavisch befolgen sollte. Passwort Manager nutzen und Passwort definitiv ändern, wenn man Anzeichen dafür hat, dass es irgendwie missbraucht wurde.
