Google Chrome generiert sichere Passwörter

Supernature

Und jetzt?
Teammitglied
Passwörter sind generell eine unsichere Sache, schreibt Google in seinem Chromium-Blog. Meist sind sie viel zu einfach strukturiert, und sie sind vergleichsweise einfach zu stehlen.
Daher hat man für den hauseigenen Browser Chrome eine Funktion vorbereitet, welche die Sicherheit verbessern soll: Kryptische Passwörter, die der Anwender selbst nicht mehr kennt.
In einer der kommenden Versionen von Chrome soll das neue Feature eingebaut werden - es soll Registrierungsseiten weitgehend selbständig erkennen und in das Passwort-Feld einen Button einblenden, über den sich der Anwender ein automatisch generiertes, sicheres Passwort vorschlagen lassen kann.
Nimmt er den Vorschlag an, wird das Passwort übernommen und über die ebenfalls integrierte Passwortverwaltung von Chrome übernommen.

chrome-passwort-vorschlag.png

Der Haken dabei: Wer sich das Kennwort nicht notiert, weiß es nachher nicht mehr. Das findet Google natürlich ebenfalls nicht gut und will über eine spezielle Webseite die Möglichkeit bieten, die Passwörter anzuzeigen und eventuell auch zu exportieren.
Grundsätzlich ist das alles eine gute Idee - wäre da nicht die Sache mit dem Vertrauen. Wer möchte schon die Verwaltung seiner Kennwörter in fremde Hände geben.
Außerdem bindet diese Funktion den Anwender unnötig eng an den Google-Browser.
Wenn schon, empfiehlt sich die Nutzung eines Dienstes, der browserübergreifend funktioniert - hier wäre z.B. LastPass zu empfehlen, welches ich schon lange nutze.

https://sites.google.com/a/chromium.org/dev/developers/design-documents/password-generation
 
Und im besten Fall sendet Chrome die Daten nach Hause.
Oder kann man diesen Punkt mittlerweile bedenkenlos aus
seinem Kopf streichen? Wurde google diesbezüglich
rehabilitiert?
 
Für mich klingt das nach einer gaaaanz lauten Einladung für Phishing-Betrüger. Eine Website zu erstellen, die eine nahezu perfekte Imitation einer anderen ist, war noch nie schwer, das zeigt die Fülle an Betrugsfällen per Phishing. Wenn dann noch die Funktion des "Passkey-erstellen"-Buttons imitiert wird, dann steht Tür und Tor offen. Rentable Ziele sind hier auch schon ziemlich offensichtlich.

Ohne ein bis zwei weitere Absicherungsstufen stehe ich dieser Funktion sehr kritisch gegenüber.
 
Bedenklich finde ich eher, dass viele, viele Websites immernoch ihre Registrierungsfelder limitieren. ZB Beim Mailanbieter, warum darf das Passwort nur 6-8 oder 6-12 Zeichen haben?

Mein Passwörter liegen direkt auf dem Desktop in einer txt Datei. Sofern ich sie mir überhaupt notiere, das tu ich nur bei selten besuchten Seiten. Das sähe dann zB so aus:
Zutaten
4 EL Mehl
1 1/2 EL Zucker
4 EL Kakaopulver
1 Ei
3-4 EL Milch
1 Messerspitze Backpulver


Lieber generiere ich mir Passwörter im Kopf statt irgendeinem Programm zu trauen, indem ich mir Sätze mit Zahlen und Satzzeichen ausdenke. Da leg ich dann meine "Master Schablone" drüber, und hab ein total sicheres Passwort, welches nur durch BruteForce und entsprechende Programme gehackt werden kann, nicht aber mit Wortfiltern, persönlichen Daten und ähnlich einfachen Methoden.
 
Über die Kennwort-Restriktionen bei manchen Online-Diensten habe ich mich auch schon öfter geärgert.
Erst kürzlich stolperte ich darüber: Zuerst hieß es, das Passwort sei zu lang, maximal acht Zeichen erlaubt.
Als dann noch ein Unterstrich als "ungültiges Zeichen" abgelehnt wurde - nur Buchstaben und Zahlen erlaubt - habe ich die Anmeldung abgebrochen.
Weiß leider nicht einmal mehr, wo das war.
 
Das beste an der ganzen Passwort Sache ist ja, dass wir seit Jahren dazu erzogen werden, einfach zu knackende, dafür aber schwer zu merkende Passwörter zu verwenden.

3%Hx_@ÜgL[°-

kann sich fast niemand merken. Würden wir zum Beispiel jedoch beliebig lange Passwörter verwenden dürfen, könnten wir z.B. einfach ein paar unzusammenhängende Wörter hintereinander hängen und hätten weniger Probleme.

So würde z.B. aus den Hauptwörtern des zwar sinnfreien, aber einfach zu merkenden Satzes

Da steht ein Pferd auf dem Flur und sagt "wir sind Papst", bevor es mit der Eisenbahn wegfährt.

das Passwort

pferdflurpapsteisenbahn

Dieses hat eine um mehrere Dimensionen höhere Entropie (ca. 2^40) und man kann es sich einfacher zu merken als das vorangegangene Kryptische (ca. 2^29) und ist dadurch deutlich sicherer, obwohl es sich nur aus Kleinbuchstben zusammensetzt. Wie lange es dauert, um bei einer Brute Force Attacke ein solches Passwort zu knacken, kann sich ja jeder selbst ausrechnen (Wer nicht rechnen will: Das Kryptische ist in wenigen Tagen geknackt). Passwort Längenbegrenzung ist so mit das Blödeste, was man machen kann, Länge ist nur schwer zu schlagen.
 
Wer wissen möchte, wie lange ein Desktop-PC braucht, um ein Passwort zu knacken, kann auf der Seite How Secure Is My Password? nachsehen. Zusätzlich gibts auch Tipps, was am Passwort richtig/falsch ist. Aber ob dies wirklich stimmt, kann ich nicht garantieren.

Die Passwortlänge zu begrenzen ist das blödeste, was ich je gehört habe.
 
Weitestgehend ja, aber die Bedeutung von Sonderzeichen etc. wird stark überschätzt.

Es ist für einen Menschen einfacher, ein weiteres unzusammenhängendes Wort wie z.B. "hammer" an mein Passwortbeispiel "pferdflurpapsteisenbahn" anzuhängen, als sich zu merken, wo man welches kryptisches Zeichen hinzu gefügt hat und wann man wo wie groß oder klein geschrieben hat. 2 kryptische Zeichen in einem Passwort erhöhen den Exponenten der Entropie des Passworts um lediglich zwei Stellen, ein weiteres Wort mit 4-6 Buchstaben jedoch um ca. 6-10. Die Aneinanderreihung der Wörter verhindert auch eine lexigraphische Attake ziemlich gut, zumindest bleibt das Passwort deutlich sicherer als wenn es zu kurz ist.

Für das im obigen Beispiel erwähnte, schlecht zu merkende Passwort 3%Hx_@ÜgL[°- errechnete die Seite 280 Milliarden Jahre, um es auf einem derzeit handelsüblichen PC zu knacken, pferdflurpapsteisenbahn zu knacken würde laut deren Berechnung aber gigantische 44 Billiarden Jahre dauern, also ca. 160.000 Mal so lang.

Diese Zahlen können locker durch ca. 1000 geteilt werden, wenn man die Stream Prozessoren des GPU einer Gamer Grafikkarte darauf ansetzt, unter verwendung spezieller Graka Arrays, die als "Number Cruncher" zusammenarbeiten, kann das ganze noch einmal um den Faktor 10.000 bis 100.000 reduziert werden. Beide Passwörter sind also als ziemlich sicher anzusehen, aber interessanterweise bleibt das einfacher zu merkende Passwort um Dimensionen sicherer. Hinzu kommt: Man muss es nirgends, außer in den eigenen grauen Zellen speichern ;)

PS: Das immer noch leicht zu merkende Passwort "pferdflurpapsteisenbahnhammer" zu knacken würde laut deren Berechnung 13 Quadrillionen Jahre dauern - also 13.000.000.000.000.000.000.000.000.000 (ich hoffe ich habe mich nicht bei den Nullen verzählt ;))

edit:
PPS: Ich habe gerade einmal überschlagen, wie die Entropie bei einem lexigraphischen Angriff auf das Passwort aussehen würde. Dabei bin ich lediglich von der Anzahl der gebräuchlichen Deutschen Wörter ausgegangen, die eine Länge von mindestens 4 Buchstaben haben und das Ergebnis war gerade ein mal um den Faktor 2 unterschiedlich. Das bedeutet, es dauert auf diese Art nur noch ca. 7 Quadrillionen Jahre :D

Ein Problem bleibt jedoch weiterhin bestehen: Wie sicher werden die Passwörter von der Seite gespeichert, bei der man sich einloggt?
Sollte das ein einfacher MD5 Algorithmus sein, ist es im Falle des Diebstahls der Passwortdatenbank ziemlich gleichgültig, wie sicher man sein Passwort gewählt hat, denn ein einfacher MD5 ohne Salt und mehrere Runden ist in weniger als einer Stunde, sogar ohne Einsatz der Grafikkarte als "Number Cruncher" zu knacken. Leider wird diese Art der "Verschlüsselung" immer noch von vielen Webseiten zum Ablegen der Passwörter verwendet. Ja, ich weiß auch, dass man damit nicht das Original Passwort erhält, da MD5 destruktiv arbeitet, aber zumindest bekommt man ein funktionierendes Ersatz-Passwort, was je nach Anwendung schon schlimm genug sein kann. Wenn eine andere Seite den selben dummen MD5 Algorithmus benutzt, funktioniert das "geknackte" Ersatz-Passwort auch da.
Das bedeutet: Verwendet niemals das Passwort, was ihr bei einer Bank zum Online Banking benutzt, für andere Sachen - auch nicht bei einer anderen Bank ;)
 
Zuletzt bearbeitet:
Oben